La veille de son départ de la Maison-Blanche, Donald Trump a signé un décret qui facilite la rétention de données des opérateurs de Cloud étatsuniens.
C'était son petit dernier. Discret durant les dernières heures de sa présidence, Donald Trump a pourtant signé un décret aux répercussions bien plus que symboliques, le mardi 19 janvier 2021. Celui-ci impose aux prestataires de Cloud américains de conserver les dossiers complets de leurs clients étrangers. Une décision que tout dirigeant européen ne pourrait pas prendre, avec le RGPD. Le but ? Faciliter la traque d'éventuels cybercriminels et se prémunir de tout abus et toute menace provenant de l'extérieur.
Trump voulait briser les ailes de potentiels individus malveillants basés à l'étranger
Plus précisément, le décret fait peser l'obligation sur les fournisseurs de Cloud de conserver des dossiers comprenant les noms, les adresses postales et électroniques, les moyens et informations de paiement, les numéros d'identification nationaux, les coordonnées téléphoniques mais aussi les adresses IP rattachées à l'utilisateur qui sollicite les services du fournisseur, et ce pour chaque connexion.
Dans une lettre écrite à la présidente de la Chambre des représentants Nancy Pelosi et du désormais ancien vice-président et ex-président ex-officio du Sénat Mike Pence, Donald Trump pointe du doigt les acteurs étrangers utilisateurs de produits IaaS (Infrastructure as a service), qui, pour lui, peuvent les utiliser « pour diverses activités malveillantes, ce qui fait qu'il est très difficile pour les responsables américains de suivre et de récolter des informations par le biais d'une procédure judiciaire, avant même que ces acteurs étrangers ne basculent sur une infrastructure de remplacement et ne détruisent les preuves de leurs activités passées ».
Il faut avoir à l'esprit qu'une solution IaaS permet à son utilisateur d'accéder au Cloud depuis n'importe quel endroit du monde, du moment qu'il jouit d'une connexion internet. Ce qui rend évidemment plus difficile voire impossible la détection d'acteurs étrangers, comme les hackers.
Le décret ne se limite pas qu'au IaaS (même si Donald Trump ne vise que le IaaS dans sa lettre), il s'ouvre aussi à d'autres services d'hébergement en ligne, ce qui comprend les offres complémentaires, d'essai, ou celles qui fournissent le traitement, le stockage, les réseaux ou d'autres ressources informatiques.
Un point doit être fait avec le président américain dans 240 jours
Officiellement donc, et même si Joe Biden est en capacité légale de révoquer ce décret depuis qu'il a officiellement prêté serment au Capitole le 20 janvier, le secrétaire au Commerce des États-Unis disposera très bientôt du pouvoir de limiter l'accès aux services américains de Cloud s'il s'avère qu'un pays héberge un trop grand nombre d'individus utilisant des produits IaaS américains, dans le but de mener des activités cybercriminelles.
Cette restriction d'accès aux services de Cloud computing américains pourrait s'appliquer à des personnes, des entreprises ou à certaines juridictions.
Si le décret reste en vigueur, les entreprises du Cloud disposent de 6 mois (180 jours) pour attester de la tenue de registres comportant les données des utilisateurs. Un peu avant, dans 120 jours, l'administration américaine devra discuter de la façon d'augmenter le partage d'informations entre les fournisseurs de Cloud et les autorités du pays. L'idée première restant, donc, de dissuader toute utilisation abusive des solutions IaaS de l'oncle Sam.
Dans 240 jours, le président Joe Biden pourra consulter un rapport et recevoir certaines recommandations.
Source : ZDNet.com
