Touché directement par le scandale de la NSA, Microsoft a promis de multiples mesures pour renforcer la confidentialité de ses services. Mais pour la Free Software Foundation, ces promesses n'ont pas de sens puisqu'elles ne peuvent pas être effectivement vérifiées.

Lié au programme de surveillance PRISM et cible toute particulière de la NSA, Microsoft a annoncé cette semaine plusieurs mesures techniques pour, dit-il, garantir la confidentialité de ses clients et de leurs informations. Évidemment, ces nouvelles dispositions (essentiellement du chiffrement) ont leurs limites : Microsoft reste soumis à la législation américaine, et en particulier au Patriot Act.

Le problème n'est pas que Microsoft s'engage sur le terrain de la vie privée. Il est évidemment préférable que le principal éditeur de logiciels au monde se convertisse au chiffrement des données, ne serait-ce que pour contrer les pirates informatiques. En réalité, c'est que les promesses du groupe ne peuvent pas être vérifiées dans le code, puisque les sources sont fermées.

C'est le principal point faible de l'annonce de Microsoft, aux yeux de la Free Software Foundation (FSF). "En fin de compte, ces promesses n'ont pas de sens. Les logiciels propriétaires comme Windows sont fondamentalement peu sûrs, non pas à cause de la politique de confidentialité de Microsoft, mais parce le code est caché aux utilisateurs".

"Une serrure sur votre propre maison mais dont vous n'avez pas la clé principale n'est pas un système de sécurité, c'est une prison", a asséné John Sullivan, le directeur de la FSF. Il est vrai que l'impossibilité de contrôler le code est un handicap majeur dans la chaîne de confiance. Faut-il rappeler la découverte de _NSAKEY, cette étrange variable dans Windows et dont le nom n'est guère pas rassurant ?

"Si les révélations sur la NSA nous ont appris une chose, c'est que les journalistes, les gouvernements, les écoles, les ONG, les entreprises et les particuliers doivent utiliser des systèmes d'exploitation dont le code peut être revu et modifié sans la bénédiction de Microsoft ou de n'importe qui d'autre", poursuit la FSF. Toutes les promesses sur la transparence, sans ouverture du code, ne peuvent être crédibles.

La Free Software Foundation reconnaît que changer d'écosystème n'est pas toujours aisé pour l'utilisateur de base. À défaut de passer sous Linux, la FSF recommande au moins d'utiliser des outils de chiffrement issus du logiciel libre, comme GNU Privacy Guard. Mais la FSF prévient qu'il y a une rupture dans la chaîne de confiance, puisque le chiffrement / déchiffrement se fait sur une plateforme incertaine.

La mise en garde de la FSF fait écho à celle des promoteurs du réseau TOR, qui ont également appelé à ne pas utiliser Windows, du fait de l'incertitude sur le contenu du code source du système d'exploitation.

Partager sur les réseaux sociaux

Articles liés