Accès aux données privées : Microsoft tient tête au FBI
Pour protéger ses clients

Le , par Hinault Romaric, Responsable .NET
Depuis les révélations sur les programmes d’espionnage à grande échelle de la NSA par Edward Snowden, et les probables implications des géants de l’IT américains, ces firmes ont joué la carte de la transparence pour dégager leur responsabilité.

Microsoft, Google, Facebook ou encore Apple, ont entrepris de publier les rapports de divulgation des données des utilisateurs aux autorités. Celles-ci ont fait savoir qu’elles s’investissaient pour protéger les renseignements des utilisateurs, à travers notamment le chiffrement de données, mais qu’il était difficile de s’opposer aux demandes des agences de sécurité, à cause des directives comme le Patrioct Act.

Microsoft vient de se démarquer dans sa tentative pour montrer aux utilisateurs qu’il met tout en œuvre pour assurer la protection de leurs données personnelles de l’œil espion des autorités américaines. La firme est sortie victorieuse d’un bras de fer avec le FBI.

Microsoft avait reçu une lettre de sécurité nationale du FBI, qui voulait avoir accès à des informations associées au compte entreprise d’un client d’Office 365. La firme devait garder le silence sur cette opération, car ce type de demande fait l’objet d’un dispositif de non divulgation.

Bien qu’ayant respecté cette directive, Microsoft a cependant intenté une action en justice pour contester la demande du FBI, car elle constituait une violation de son engagement d’informer ses clients des accès à leurs données et de son droit de libre expression.

La firme vient de révéler par le clavier de Brad Smith, son responsable des affaires juridiques, le succès de son action, car un tribunal de Seattle a révélé publiquement le dossier. Microsoft était surtout consterné par le fait qu’il ne pouvait pas informer son client. « En décembre dernier, j’ai annoncé que Microsoft s’était engagé à informer les clients commerciaux et gouvernementaux en cas de réception d’ordres juridiques liés à leurs données. Lorsqu’une obligation de silence nous interdit de le faire, nous la contestons en justice. Nous l’avons fait dans le passé et nous continuerons à le faire pour préserver notre capacité à alerter les clients lorsque les gouvernements cherchent à obtenir leurs données. », a-t-il expliqué.

Suite à la plainte de Microsoft, le FBI aurait retiré sa demande. Le document rapporte que le FBI serait sorti de toute façon vainqueur, car il aurait obtenu les informations qu'il désirait auprès du concerné par « des moyens légaux via un tiers, à savoir le client, d'une manière qui préserve la confidentialité de son enquête ».

Source : Microsoft

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ticNFA ticNFA - Membre confirmé https://www.developpez.com
le 24/05/2014 à 19:52
Citation Envoyé par Hinault Romaric Voir le message
Qu'en pensez-vous ?
Qu'elle est bien bonne.
La seule transparence dont ils font preuve est celle vis-à-vis de leurs compères FBI/NSA & cie. Le reste est de l'enfumage, de la comédie qu'ils sont obligés de faire après les révélations de Snowden.
Avatar de cchatelain cchatelain - Expert éminent https://www.developpez.com
le 25/05/2014 à 11:10
Ils ont tenu tête une fois, mais une fois sur combien ?
Vu comme ça, on ne peut penser qu'à une bonne opération de communication.
Avatar de Hinault Romaric Hinault Romaric - Responsable .NET https://www.developpez.com
le 12/06/2014 à 13:25
Microsoft se lance dans un bras de fer avec la justice américaine
qui veut accéder aux emails d’un utilisateur stockés en Irlande

Nouveau bras de fer entre Microsoft et le gouvernement américain pour protéger les données des utilisateurs de ses services.

Après avoir tenu tête au FBI qui voulait avoir accès à des informations associées au compte entreprise d’un client d’Office 365 le mois dernier , la firme de Redmond s’oppose à nouveau à une décision de justice des États-Unis sur l’accès des données stockées hors du pays.

Face au scepticisme créé chez les utilisateurs par les révélations sur les vastes programmes d’espionnage de la NSA, Microsoft veut rassurer ses utilisateurs en dévoilant les rapports sur les accès aux données de ceux-ci par les gouvernements lorsque la demande est légitime, mais aussi en s’opposant vigoureusement lorsqu’elle estime que la demande n’est pas légale.

En effet, dans chaque pays et suivant les réglementations en vigueur, Microsoft doit permettre aux autorités de fouiller les données de ses utilisateurs lorsque celles-ci sont stockées sur le territoire en question.

Dans le cadre d’une affaire criminelle pour trafic de drogue, la justice américaine, s’appuyant sur la loi Electronic Commerce Protection Act (ECPA), a sommé la firme de mettre à sa disposition des mails d’un de ses clients dont les données sont stockées dans son Datacenter de Dublin en Irlande.

Microsoft a contesté cette décision arguant que les informations stockées sur ses serveurs en Irlande doivent être soumises au droit irlandais. Sans l’approbation d’un tribunal irlandais, ses serveurs doivent donc rester inaccessibles aux autorités américaines.

Pour la société, cette décision est une violation de la constitution américaine. « Le mandat dans ce cas est une violation du quatrième amendement », explique Microsoft dans la missive déposée au tribunal. « Le mandat vise à autoriser les agents du gouvernement à rechercher toute information associée au compte de messagerie ciblé dans les Datacenter de Microsoft à travers le monde et en outre, enrôler Microsoft pour faire cela ».

Microsoft compte environ 100 de ses installations dans 40 pays. Cette affaire est une première qui est révélée publiquement, et son dénouement permettra de savoir jusqu’où peut aller la justice américaine pour accéder aux données des utilisateurs.

Source : Le depot de Microsoft (au format ¨PDF)

Et vous ?

Qu'en pensez-vous ?
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 12/06/2014 à 14:12
Est-ce que Microsoft s'est autant soucié du droit international lorsqu'ils ont accédé au compte Hotmail d'un blogger français pour débusquer une fuite interne ???

Microsoft ne se soucis pas des données de ses clients, uniquement de son image.
Avatar de Beowulf59 Beowulf59 - Membre actif https://www.developpez.com
le 12/06/2014 à 14:47
Citation Envoyé par Saverok Voir le message
Microsoft ne se soucis pas des données de ses clients, uniquement de son image.
Même si je suis un gros consommateur de services Microsoft, je ne peux que t'approuver, la plupart des grosses firmes sont dans le même bateau.
L'acte en lui même me paraît justifié : Microsoft veut certainement s’éloigner publiquement du gouvernement américain, pour rassurer (à tort?) ses utilisateurs (en opposition à d'autres grosses entreprises américaines qui ne font rien visiblement, ou en tout cas on en parle beaucoup moins), et par la même occasion essayer de calmer le jeu avec la Chine, qui boude les produits américains justement à cause du gouvernement.
Avatar de grafikm_fr grafikm_fr - Expert confirmé https://www.developpez.com
le 12/06/2014 à 15:47
Citation Envoyé par Hinault Romaric Voir le message
Qu'en pensez-vous ?
J'en pense que l'on a surtout ici un juge particulièrement boulet (ce qui est hélas très fréquent aux USA ) qui se prend magnifiquement les pieds dans le tapis en trois temps façon valse de Schubert:
- En se mélangeant les pinceaux entre un warrant et un subpoena, puis en essayant de se justifier qu'en fait dans la loi ECPA, "warrant" ne veut pas dire "warrant" mais veut dire "un hybride" entre les deux, alors qu'il y a aucune espèce de raison de le penser.
- En ne spécifiant pas un endroit précis dans le mandat (pour un warrant, il faut avoir une cause probable, et une localisation précise - i.e. la maison de Mr. Boulet. Ou en l'espèce, le serveur mail de Microsoft. Sauf que le hic, c'est que le serveur est en Irlande. Mais ça, le juge en a rien à br***er, et il veut que Microsoft cherche à sa place les mails n'importe où dans le monde. Ce qui est effectivement contraire au 4eme amendement, auquel MS doit se plier because le juge lui demande de faire quelque chose à sa place (il y a transitivité, en quelque sorte).
- Ce qui nous amène au point 3: en demandant à MS de chercher des mails sur son coffee-shop néerlandais... euh, serveur irlandais, pardon , le juge essaie de s'assoir joyeusement sur le principe de territorialité, en vertu duquel un mandat américain ne s'applique pas hors du territoire des USA (sauf 3 cas exceptionnels, et aucun des 3 ne marche ici).
Donc assez logiquement, les avocats de MS ont envoyé bouler le juge en pointant du doigt son incompétence, le fait qu'il soit totalement à la botte du FBI, ou les deux.

Ce qui est assez hilarant dans cette histoire, c'est que certains députés UE ne seraient pas contre le fait que MS accepte la demande du juge (cf. la note 19 du doc). En gros, c'est OK que MS de plie à une demande du juge qui n'est pas en bonne et due forme, qui s'assoie sur la Constitution américaine (ce qui est pas rien) et envoie ch*er le droit international par la même occase'. L'essentiel, c'est que ça fasse plaisir au gouvernement américain et au FBI.

Conclusion: dans ce cas, MS se soucie plus des données de son client (fut-il suspecté de trafic de drogue et de blanchiment d'argent) qu'un député européen élu par son peuple. Cherchez l'erreur.
Avatar de pcaboche pcaboche - Rédacteur https://www.developpez.com
le 12/06/2014 à 19:43
Citation Envoyé par grafikm_fr Voir le message
J'en pense que l'on a surtout ici un juge particulièrement boulet (ce qui est hélas très fréquent aux USA ) qui se prend magnifiquement les pieds dans le tapis en trois temps façon valse de Schubert: (...)
Tes arguments sont parfaitement valides, cependant il reste un point qui peut donner raison au juge.

Il se peut que le serveur, bien qu'hébergé en dehors des USA, tombe quand même sous la juridiction de la justice américaine, du fait de son nom de domaine...

Par exemple, pour le domaine .com :
The domain was originally administered by the United States Department of Defense, but is today operated by Verisign, and remains under ultimate jurisdiction of U.S. law.
Source: http://en.wikipedia.org/wiki/.com
De manière plus générale, certains "Top-Level Domains" (notamment .com et .net, car opérés par une entreprise américaine) sont techniquement sous la juridiction de la justice américaine.
Source : http://www.theinquirer.net/inquirer/...s-jurisdiction

Pour un hébergeur de services internet (ou "cloud" pour faire plus moderne), le service en question tombe sous 2 juridictions :
- la juridiction du pays où est hébergé le serveur
- la juridiction du pays où est hébergé le service (en gros, la juridiction du nom de domaine)

Un document intéressant à ce sujet :
http://www.intralinks.com/articles/2...house-data.pdf
Avatar de grafikm_fr grafikm_fr - Expert confirmé https://www.developpez.com
le 12/06/2014 à 20:08
Citation Envoyé par pcaboche Voir le message
Tes arguments sont parfaitement valides, cependant il reste un point qui peut donner raison au juge.

Il se peut que le serveur, bien qu'hébergé en dehors des USA, tombe quand même sous la juridiction de la justice américaine, du fait de son nom de domaine...
Non-non. Parce que un mandat (warrant), ça obéit à des règles bien précises. Quand un juge fait un warrant, tu dois spécifier la probable cause et un lieu. Pas une entreprise, pas un nom de domaine, un LIEU qui peut et va être fouillé. En l’occurrence, l'ECPA dit clairement que pour les données, le lieu c'est l'endroit où sont stockés les données. En l'occurrence, ils sont stockés en Irlande, donc hors de portée de la juridiction USA. La seule adaptation qui a été faite, c'est qu'un juge d'un état X peut demander les données hébergés sur le territoire Y (parce que salut le bordel venant de la structure en comptés et états des USA sinon), mais en restant sur le territoire national.

Deuxièmement, le serveur est exploité par une filiale de MS en Irlande et loué à un presta (si j'ai bien tout compris, pour la partie presta), donc la filiale irlandaise est une société de droit irlandais et RAB de son nom de domaine. Mais le plus hilarant, c'est que le juge ne le mentionne pas (ou n'insiste pas suffisamment dessus tout du moins), mais s'embarque au lieu de ça dans un ramassis de conneries qui n'ont aucun sens.

Donc dans cette affaire il a tort. Il y a un traité d'assistance mutuelle entre les USA et l'Irlande, il l'utilise. Le pire c'est que le juge avait visiblement l'air d'être au courant de ça, mais c'était pas "assez vite" à son goût donc il a voulu forcer la mise en pensant que MS allait trembler devant Monsieur Le Juge. Et ben en fait non

Citation Envoyé par pcaboche Voir le message
De manière plus générale, certains "Top-Level Domains" (notamment .com et .net, car opérés par une entreprise américaine) sont techniquement sous la juridiction de la justice américaine.
Source : http://www.theinquirer.net/inquirer/...s-jurisdiction
Non, ce que prouve ce lien, c'est que Erik Barnett qui est assistant deputy director de l'ICE pense que puisque le nom de domaine est hebergé par Verisign, ça lui suffit. Faut voir le résultat du procès, on est dans un pays qui se dit légaliste (oui je sais, bouhahahaha aussi ) et est en mode case law, donc faut voir la jurisprudence et le résultat final.

Puis surtout, le truc, c'est que là, on parle pas de fermer un site qui poste des vidéos pirates en flinguant son nom de domaine et/ou le site lui-même, mais de forcer MS à exécuter un "mandat de perquisition" pour le compte du juge. Et qui dit mandat dit des règles strictes, notamment de territorialité. Même pour Megaupload, cette règle a été appliquée: ce sont des flics néo-zelandais qui ont débarqué pour chercher Mr. Bouletus. En vertu d'un traité avec les USA et sur leur demande, évidemment, mais au moins le protocole a été partiellement suivi.

Après, le problème du fond du cloud, c'est que tu ne sais pas par avance où tes fichiers vont se trouver. Si les fichiers du gars en question étaient stockés aux USA, MS serait obligé de se plier au mandat sans aucune discussion possible. Là, il a eu du bol.
Avatar de Kapeutini Kapeutini - Membre du Club https://www.developpez.com
le 20/06/2014 à 16:44
il m'arrive de faire ce genre de choses, fouiller dans la vie d'une personne, suite à la demande officielle du gouvernement et je n'ai aucun
droit, sauf celui de fermer ma gueule...

Je me sens plus fidèle et respectueux du droit de mes clients
que d'aucun état quel qu'il soit.
Avatar de Hinault Romaric Hinault Romaric - Responsable .NET https://www.developpez.com
le 01/07/2014 à 14:30
L'UE soutient Microsoft dans son opposition à l’accès aux données hors US
et fustige l'attitude des autorités américaines

Le mois dernier, Microsoft avait rejeté une décision de la justice américaine lui intimant de mettre à sa disposition des mails d’un de ses clients dont les données étaient stockées dans son Datacenter de Dublin en Irlande, dans le cadre d'une affaire criminelle pour trafic de drogue.

Pour la firme de Redmond, il s'agissait d'une violation de la constitution américaine, car les autorités américaines n'ont pas le droit d’accéder aux données personnelles des utilisateurs stockées en dehors du territoire américain.

Dans son bras de fer, Microsoft a été rejoint par plusieurs autres firmes de l'IT, notamment Apple, Verizon, Cisco, AT & T, qui veulent parvenir à bloquer les autorités américaines dès lors que les données sont stockées en dehors des États-Unis. Elles sont inquiètes des répercussions, qui pourraient entraîner la perte de nombreux clients.

La firme vient de bénéficier d'un autre soutien important. L’Europe se serait alignée derrière Microsoft, dans cette bataille contre les États-Unis.

La commissaire européenne Viviane Reding aurait affirmé que le mandat de perquisition de la justice américaine pourrait être une violation du droit international. Pour elle, cette décision contourne les procédures formelles qui ont été signées entre les États-Unis et l'Union européenne. Les autorités américaines auraient dû avoir recours aux voies officielles normalement utilisées entre différents États pour l'application de la loi.

Pour accéder aux données stockées en Irlande, les autorités américaines auraient dû au préalable demander une autorisation de la justice irlandaise, car les données stockées sur le territoire sont soumises au droit irlandais.

En voulant forcer Microsoft à mettre à sa disposition ces données, les États-Unis pourraient nuire à la protection des personnes que garantit l'Union européenne, selon Viviane Reding.

À l'issue de cette bataille, Microsoft pourrait redorer son image qui avait été ternie par les révélations sur sa potentielle participation aux vastes programmes d'espionnage de la NSA.

Source : Financial Times
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil