Quand le gouvernement US s’arroge le droit de lire nos données personnelles

Megaupload était une système de partage de fichiers techniquement neutre. Oui, il contenait beaucoup de contenus enfreignant les lois sur le copyright. Mais il y avait également des utilisateurs qui y plaçaient leurs propres ressources dans la plus stricte légalité et qui se sont retrouvés du jour au lendemain dans l’incapacité d’y accéder lorsque le gouvernement américain a fait fermer Megaupload.

C’était le cas de Kyle Goodwin qui a déposé un recours pour tenter de les récupérer.

Mais le gouvernement américain ne l’entend pas de cette oreille en choisissant volontairement de mettre des bâtons dans les roues de la procédure. Pire encore il se permettrait d’aller fouiller sans autorisation dans le feu compte Megaupload de Kyle Goodwin afin d’y trouver d’éventuelles preuves d’une quelconque culpabilité (comme par exemple y puiser un fichier illégal).

Et ce n’est plus le seul problème de Kyle Goodwin avec Megaupload qui est en jeu ici, c’est le devenir de toutes les données personnelles que nous mettons dans le cloud computing, puisque rien ne semble empêcher demain le même gouvernement d’aller fouiller sans vous prévenir dans votre compte Google, Apple ou Amazon !

Nous devons lutter contre ces agissements brutaux et dangereux du gouvernement américain. Mais nous devons aussi nous interroger quant au devenir de nos données que nous laissons, parfois naïvement, dans le cloud, a fortiori si derrière ce cloud se cachent des serveurs sur territoire américain (et donc juridiction américaine).

Fernando - CC by-sa

Megaupload et l’attaque du cloud computing par le gouvernement Américain

Megaupload and the Government’s Attack on Cloud Computing

Cindy Cohn et Julie Samuels – 31 octobre 2012 – EFF.org
(Traduction : Zii, Husi10, A-xis, KoS, lgodard, Ag3m, Maxauvy, Ryoanji, 3josh)

Hier, EFF (Electronic Frontier Fondation), pour le compte de son client Kyle Goodwin, a déposé un recours en justice dans l’affaire Megaupload afin de rendre le gouvernement responsable des actions entreprises (et celles qu’il n’a pas reussi à entreprendre) lorsqu’il a fermé le service de Megaupload et ainsi empêché des tiers comme M. Goodwin d’accèder à leurs biens. Le gouvernement a également déposé son propre recours, imposant la mise en place d’un long et difficile processus qui demanderait à des tiers (souvent des anonymes ou des petites entreprises) de voyager jusqu’à de lointains tribunaux et de participer à de multiples audiences, uniquement pour récupérer ce qui leur revient de droit.

Pire, le gouvernement a reconnu avoir eu accès au compte Megaupload de M. Goodwin et en avoir examiné le contenu. En agissant ainsi, le gouvernement a franchi une étape significative et quelque peu effrayante. Il a apparemment fouillé les données saisies dans un but précis alors que sa cible était Megaupload, afin d’utiliser les preuves éventuellement découvertes contre M. Goodwin, qui a été atteint par ces actions mais qui n’est clairement pas l’objet d’une quelconque enquête criminelle, et encore moins concerné par celle visant Megaupload. Il s’agit bien sûr d’une vaine tentative pour attaquer M. Goodwin, en essayant de détourner l’attention de la presse et de la Cour de l’incapacité du gouvernement à prendre des mesures, et encore moins les mesures raisonnables requises par la loi, afin de protéger les droits de propriété des tiers, que ce soit avant ou après l’exécution d’un mandat. Et bien entendu, si le gouvernement est si bien placé qu’il peut fouiller dans les fichiers de M. Goodwin et donner son avis sur leur contenu (et il n’est pas certain que cette seconde fouille ait jamais été autorisée), il peut a priori trouver un moyen de les lui restituer.

Mais, en plus de cela, l’approche du gouvernement devrait terrifier tous les utilisateurs de services de cloud, sans compter les fournisseurs de ces services. Le gouvernement maintient que M. Goodwin a perdu ses droits de propriété sur ses données en les stockant sur un service de cloud computing. Spécifiquement, le gouvernement argumente qu’à la fois le contrat entre Megaupload et M. Goodwin (un contrat standard de cloud computing) et le contrat entre Megaupload et son hébergeur Carpathia (un accord standard également), « limite tout intérêt de propriété qu’il pourrait avoir » dans ses données. (Page 4). Si le gouvernement a raison, aucun fournisseur ne peut plus se protéger contre des pertes soudaines (comme celles dues à un ouragan), ni promettre à leurs clients que leurs droits de propriété seront maintenus en utilisant le service. Ils ne peuvent non plus garantir que leurs fichiers ne risquent pas de disparaître soudainement, sans aucun moyen raisonnable de les récupérer si le gouvernement décide de les saisir avec un mandat. Apparemment, vos droits de propriété « deviennent sévèrement limités » si vous autorisez une tierce personne à héberger vos données sous couvert d’un accord standard de cloud computing. Cet argument n’est aucunement limité à Mégaupload, il s’appliquerait aussi si la tierce partie était le S3 d’Amazon, Google Apps ou Apple iCloud.

La tactique du gouvernement nous démontre une chose effrayante : si les utilisateurs essaient d’obtenir leurs biens, le gouvernement n’hésitera pas à les passer au peigne fin afin d’essayer de trouver une preuve à utiliser contre eux. Le gouvernement cherche également à imposer un fardeau quasi insurmontable aux utilisateurs en demandant au tribunal d’avancer lentement et d’utiliser un processus à plusieurs étapes qui aurait lieu dans un tribunal éloigné. La plupart des personnes utilisant le service de cloud computing pour stocker leurs documents commerciaux ou personnels ne sont pas en mesure d’assister à une seule comparution devant le tribunal de Virginie, et encore moins aux multiples autres que le gouvernement envisage de soumette à la Cour.

Finalement, si le gouvernement ne ressent pas l’obligation de respecter le droit des utilisateurs de Megaupload, et c’est vraiment le cas, il ne va pas changer d’avis si la cible de sa prochaine investigation est un service de partage encore plus populaire. La portée de cette saisie a été sans précédent et ils n’ont pas engagé un processus que la loi nomme « minimisation », que ce soit en amont ou après coup, en faisant en sorte de rendre leurs données aux utilisateurs du cloud et ce en mesurant bien les dégâts. Et maintenant le gouvernement est en train d’essayer d’utiliser les clauses des contrats standards pour vendre le fait que les utilisateurs d’un service de cloud ont au mieux, « sévèrement limité » leurs droits de propriété sur leur propres données.

Tous ceux qui ont réfléchi sur ce qu’impliquent les problèmes soulevés par ce procès ont raison de penser que l’affaire Megaupload va bien au delà de Megaupload.

Crédit photo : Fernando (Creative Commons By-Sa)

8 Réponses

  1. D’habitude, quand on perd le contrôle, c’est pour trouver un peu de liberté. Ben, pas avec le cloud, l’outsourcing, puisque quelqu’un d’autre gagne le contrôle. Quel aléa moral ! (surtout si les Big Brothers y viennent mettre leur grain de sel, et de SLAPP ; les gros bénéfices, c’est notamment pour pratiquer the SLAPP)

    « Le gouvernement maintient que M. Goodwin a perdu ses droits de propriété sur ses données en les stockant sur un service de cloud computing. »

    Donc le partage sur des sites d’hébergements nous fait perdre nos droits de propriétés. Pour que eux les gagnent ?

    Conclusion : même pas besoin de lire les termes de contrats. Le gouvernement états-unien les baffouera, avec ou sans raison.

  2. Marie-Odile

    Bonjour,

    Et pourtant avec tous les « frama » possibles, c’est tellement simple aujourd’hui d’avoir son nuage dans sa poche !

    Amicalement !

  3. @Marie-Odile : Merci !

    Toujours en Italie (et à pester contre Google Apps Education :)) ?

  4. la liberté est un exercice exigeant …
    se tenir debout alors qu’il est si confortable, physiquement, de rester suspendu à son youpala numérique, ça fait mal aux neurones,  » tout; tout de suite et partout, quand je veux » ça va vite montrer ses limites …
    et il sera trop tard, l’infantilisation aura ramené l’homme à l’état de nourrisson … incapable mineur …
    f*ck …
    on avait tant de possibles, et on va en arriver au pire !

  5. Benjamin Bayard dirait que c’est encore un peu minitel 2.0. LOL

  6. Marie-Odile

    Bonjour,
    Oui toujours fidèle, mais je cède mon fonds de commerce à la fin de cette année scolaire…. Donc avis aux amateurs ! (si le poste est maintenu)

    Quand au reste, ce sera toujours un regret pour moi de n’avoir pas réussi à m’opposer puisque d’autres solutions existaient, proposées et maintenues par des collègues fonctionnaires. Ma parole de femme n’avait pas assez de poids !
    Regrets aussi que nos hiérarchies ne soient pas sensibilisées à tous ces problèmes et choisissent ce qui fait « in » sans réfléchir aux conséquences concernant les chères têtes bondes !
    Trop de choses à dire et ça dérange…. Je me retire !
    Bonne continuation !
    Amicalement

  7. Bonjour,

    Tout ce que nous mettons sur un soit-disant « réseau social » dépend de la bonne volonté de la société qui le met à votre disposition « gratuitement et à ses conditions d’utilisation », des conditions à accepter telles quelles.
    Les comptes FTP proposés par la plupart des FAI sont bien plus sûrs et le FAI n’a « en principe » aucun regard sur son contenu. Il ne s’agit pas d’un espace de partage mais d’un espace privé dans lequel vous pourrez créer un site web contenant des données publiques dont vous serez le seul maître. Outre le fait qu’il faut être capable de créer un site web (FTP, HTML, CSS, …), le seul problème est que vous ne bénéficiez pas de la visibilité d’un réseau social, tout dépendra de la qualité du site, de son ergonomie et de son contenu.
    Pour la plupart, le chemin facile est de se tourner vers les réseaux sociaux avec un prix à payer qui est la perte de contrôle de ses informations. C’est un choix !
    Amicalement

  8. Dans un commentaire précédent, j’écrivais :
    « Les comptes FTP proposés par la plupart des FAI sont bien plus sûrs et le FAI n’a « en principe » aucun regard sur son contenu. » Est-ce si sûr ? Qu’en est-il de la sécurité et de la confidentialité de ces données ?

    Sachant les (mauvaises) habitudes de la plupart des utilisateurs, on peut penser que les données sont plus en sécurité dans les data-centers gérés par des équipes de techniciens qualifiés et appliquant des protocoles stricts que dans nos disques durs locaux. La confidentialité demeure un problème … qui pourrait trouver une réponse dans le principe même de transport des données d’un point à un autre.

    On sait qu’au moment de l’envoi, les données sont découpées en paquets qui vont « percoler » dans le réseau internet à la manière d’un volume d’eau passant dans un filtre à sable, pour se retrouver regroupées à l’arrivée. Rien n’empêche d’imaginer que le processus « découpage/reconstitution » soit réalisé en deux phases :
    1) à l’envoi les données sont découpées en paquets stockés « tel quels » dans des data-centers » ;
    2) les paquets sont appelés et regroupés à l’arrivée. Les data-centers ne stockent que des nuages de paquets sans signification.
    Et dans ce cas, le « cloud » pourrait vraiment être un espace sécurisé et confidentiel.
    Qu’en pensez-vous ? Serait-ce envisageable ?