Microsoft a fait un point sur le déploiement d'une série de mesures visant à limiter l'accès non autorisé de la NSA dans son infrastructure. L'essentiel de son plan repose sur le chiffrement, mais des doutes persistent sur qui et qui n'a pas accès aux clés de déchiffrement.

Dans le monde post-Snowden qui se profile à l'horizon, le chiffrement jouera incontestablement un rôle central pour protéger les communications électroniques des regards indiscrets. Et dans ce nouveau chapitre qui s'ouvre, les géants du net sont décidés à ne pas rester en retrait. Il faut dire que leur image de marque a été sévèrement écornée lorsque les documents confidentiels de la NSA les ont mentionnés.

Tout comme Google et Yahoo, Microsoft communique beaucoup sur cette thématique. Il a ainsi été question d'un déplacement des serveurs de stockage à l'étranger, pour limiter l'accès des autorités américaines à certaines données, ou encore de l'ouverture d'un centre de transparence pour l'examen de code source de ses produits, afin de vérifier l'absence de portes dérobées exploitables par la NSA.

Toujours dans un effort de rassurer l'ensemble de ses utilisateurs, des particuliers aux administrations en passant par les entreprises, Microsoft a aussi l'intention de miser sur le chiffrement. Une stratégie a été présentée en décembre, avec plusieurs phases au programme pour renforcer significativement la protection des données circulant dans ou étant hébergée sur son infrastructure.

Outlook et OneDrive

Ce mardi, le géant des logiciels a fait un point d'étape sur l'évolution de sa politique en matière de chiffrement et de transparence. "Outlook.com est maintenant protégé par le protocole TLS (Transport Layer Security), offrant un chiffrement à la fois pour le courrier électronique entrant et sortant", à condition que le service mail du correspondant supporte lui aussi TLS (c'est le cas de Gmail, par exemple).

Outlook.com bénéficie aussi de la confidentialité persistante (PFS) qui permet d'utiliser une clé de chiffrement différente à chaque connexion. Cette méthode vise à compliquer les efforts d'un attaquant cherchant à déchiffrer une connexion sécurisée. La clé variant à chaque fois, l'assaillant sera contraint de recommencer à zéro lors d'une nouvelle connexion.

Le PFS est aussi actif sur OneDrive, le service de stockage à distance de Microsoft.

Si Microsoft ne mentionne jamais la NSA dans son article, son ombre est toutefois omniprésente. Il est clair que ce sont les révélations de la presse américaine qui ont obligé Microsoft et les autres à donner un coup de collier pour durcir la sécurité de leurs produits et services, même si les avancées en matière de chiffrement vont aussi permettre de gérer d'autres menaces.

Qui a vraiment accès aux clés ?

Reste que les protections de Microsoft ne servent à rien si Microsoft est prêt à donner les clés à la NSA. Or justement, le géant de Redmond est très proche de l'agence nationale de sécurité américaine, comme l'a montré le programme PRISM.

Plus récemment, un autre document confidentiel a montré que Microsoft a travaillé des mois durant avec le FBI pour fournir aux agences de gouvernement un accès simplifié aux données de SkyDrive (l'ancien nom de OneDrive. Ce travail ne s'est pas limité au seul SkyDrive, mais a concerné d'autres services, ne serait-ce que pour répondre à des requêtes légales.

C'est le cas de SkyDrive. Comme nous l'écrivions l'an passé,  alors qu'il était autrefois réputé pour le chiffrage de ses communications, censé rendre difficile voire impossible l'écoute des conversations, Skype apparaît comme partenaire du programme PRISM, qui permet à la NSA d'accéder aux données d'utilisateurs de services en ligne.

Dès juin 2011, au moment de son rachat de Skype, Microsoft avait dit être prêt à livrer aux Russes des clés de déchiffrement des conversations, ce qui laissait peu de doutes sur le fait que les Etats-Unis bénéficiaient déjà d'un tel accès. Par ailleurs, la centralisation de Skype, qui reposait autrefois sur une architecture P2P, ne fera que faciliter les interceptions.

Ce sont ces différents points qui ont fait dire à la Free Software Foundation que les engagements de Microsoft n'ont aucun sens, puisqu'ils ne peuvent pas être véritablement vérifiés.

Partager sur les réseaux sociaux

Articles liés