Le Pentagone va-t-il héberger des données sensibles dans le Cloud ?

Sur le web

Par Elodie le

Selon nos confrères de Next INpact, le Département de la Défense américain, le Pentagone, envisagerait de placer certaines données sensibles dans le Cloud. Dans le contexte actuel, cela semble bien risqué. Qu’en est-il ?

US President Barack Obama gestures for the crowd to keep quiet about his visit to the O&H Danish Bakery to buy kringle pastries so that First Lady Michelle Obama wouldn't find out about the visit, during a town hall event on the economy at Racine Memorial Hall in Racine, Wisconsin, June 30, 2010. AFP PHOTO / Saul LOEB (Photo credit should read SAUL LOEB/AFP/Getty Images)
AFP/Getty images

Révélations d’Edward Snowden sur la manière dont les agences de renseignement américaines pratiquent un espionnage et une surveillance massive et systématique sur l’ensemble des communications mondiales, NSA en tête ; piratages en série sur des sites gouvernementaux et de multinationales, vol de données personnelles en ligne ou revente à des entreprises tierces ; celebgate, autant d’événements qui ont mis la sécurité informatique au cœur des préoccupations actuelles.

Faut-il confier ses informations personnelles à des solutions de stockage de données en ligne, sont-elles sécurisées, revendues, vulnérables, la vie privée des internautes est-elle respectée ? Autant de questions qui revêtent une importance fondamentale pour les utilisateurs et un enjeu pour les compagnies proposant ces services. Notamment pour celles déjà mises à mal par les révélations de l’ex-agent et qui s’escriment depuis à retrouver la confiance de leurs clients.

Quelle mouche a donc bien pu piquer le Pentagone pour que celui-ci envisage de placer certaines données sensibles dans le Cloud ?

An aerial view of the Pentagon Building in Washington.

Dernièrement, en marge du celebgate (ou fappening, le scandale de la publication de photos intimes de célébrités sur la toile), Apple s’est résolu à avouer qu’il s’était bien fait pirater, non sans rejeter toute responsabilité.
Quant à Dropbox, son cloud fut également soupçonné de défaillance (Snowden conseille d’ailleurs SpiderOak en remplacement de DropBox)
Quoiqu’il en soit, les failles de sécurité d’un tel système sont bien réelles, aggravées par la méconnaissance de certains internautes dans les outils qu’ils utilisent.
Gageons, du moins espérons, qu’il n’en sera pas de même pour le Département de la Défense américaine.

Pour l’instant, rien n’est acté. Comme nous le signale Next INpact, le Pentagone a mis en ligne un « important document » (en .pdf) dans lequel il émet l’idée de stocker dans le cloud des informations « impact de niveau 6 » (IL6 Impact Level 6), la même catégorie que la majorité des documents subtilisés par Snowden, soit le plus haut niveau de confidentialité d’une information classée secret-défense.

Afin de faciliter la communication et l’échange d’informations entre les différents services, la Défense envisage donc différentes options pour « intégrer des services de cloud avec les réseaux du Département de la Défense » , comme lancer des appels d’offres auprès d’entreprises telles qu’Amazon ou Microsoft (EC2 et Azure étant respectivement les services de cloud de ces entreprises) afin de se voir proposer ce type de solutions à intégrer à leur réseau.

pentagone_cloud_datacenter

Rapportant des précisions d’Information Week, Next INpact précise donc que les solutions envisagées par la DISA (Defense Information Systems Agency) s’articulent autour de 2 options :

Data Center Leasing Modele (DCLM) : celui qui vend sa solution cloud loue directement des serveurs du DoD, les CDC (Core Data Centers). Ainsi, l’ensemble reste sous la protection et la supervision du gouvernement.

On-Premise Container Model (OPCM) : la société choisie fournit un package sous forme d’un conteneur, placé dans les locaux de la DoD.

Aucune piste n’est préférée à l’autre puisque les informations stockées par l’une ou l’autre option « réside dans, ou à proximité des data centers du DoD ».

On est quand même loin des services cloud proposés aux internautes lambda. Le Pentagone aimerait déployer un cloud privé à installer dans les data center du gouvernement avec pour « seuls locataires la communauté du DoD (Department of Defense) ».

fbi-pentagone_cloud

Cette spécificité s’explique bien entendu par des contraintes de sécurité accrue.
Sécurité réelle ou surestimée qui inquiète le député Républicain Mike Rogers, à la tête de la House Intelligence Committee. Ce dernier est très critique à l’égard de la sécurité des réseaux américains dans l’optique d’une cyber guerre, estimant que les États-Unis ne sont « pas préparés si le gouvernement fédéral décide de se lancer dans une action offensive ou perturbatrice, même en réponse [à une autre attaque] ». Surtout que le gouvernement ne détient que 15% du réseau contre 85% par le secteur privé. Une attaque de grande envergure contre les États-Unis serait dévastatrice.

Depuis quelques semaines, il semblerait que les différentes administrations américaines ne soient passées le mot. Dans un premier temps, nous avons le FBI qui critique les méthodes de chiffrement d’Apple et Google, semblant nous envoyer le message d’un service difficile à espionner et hacker afin de restaurer la confiance perdue envers les géants du web, puis le FBI, toujours par la voix de son directeur, affirme que les autorités chinoises s’adonnent à du cyberespionnage intensif via des attaques « extrêmement agressives » et ce chaque jours à l’encontre des plus grandes entreprises américaines et tirent la sonnette d’alarme car selon lui, la grande majorité des gens ne perçoivent pas les dangers du cyberespionnage et du cybercrime, Internet étant « le parking le plus dangereux qui soit ».

Et maintenant le Pentagone, qui semble fragilisé en cas de cyberguerre. Heureusement, nombre de sociétés US sont spécialisées dans ce secteur…

Source: Source