Quand le gouvernement US s’arroge le droit de lire nos données personnelles

Megaupload était une système de partage de fichiers techniquement neutre. Oui, il contenait beaucoup de contenus enfreignant les lois sur le copyright. Mais il y avait également des utilisateurs qui y plaçaient leurs propres ressources dans la plus stricte légalité et qui se sont retrouvés du jour au lendemain dans l’incapacité d’y accéder lorsque le gouvernement américain a fait fermer Megaupload.

C’était le cas de Kyle Goodwin qui a déposé un recours pour tenter de les récupérer.

Mais le gouvernement américain ne l’entend pas de cette oreille en choisissant volontairement de mettre des bâtons dans les roues de la procédure. Pire encore il se permettrait d’aller fouiller sans autorisation dans le feu compte Megaupload de Kyle Goodwin afin d’y trouver d’éventuelles preuves d’une quelconque culpabilité (comme par exemple y puiser un fichier illégal).

Et ce n’est plus le seul problème de Kyle Goodwin avec Megaupload qui est en jeu ici, c’est le devenir de toutes les données personnelles que nous mettons dans le cloud computing, puisque rien ne semble empêcher demain le même gouvernement d’aller fouiller sans vous prévenir dans votre compte Google, Apple ou Amazon !

Nous devons lutter contre ces agissements brutaux et dangereux du gouvernement américain. Mais nous devons aussi nous interroger quant au devenir de nos données que nous laissons, parfois naïvement, dans le cloud, a fortiori si derrière ce cloud se cachent des serveurs sur territoire américain (et donc juridiction américaine).

Megaupload et l’attaque du cloud computing par le gouvernement Américain

Megaupload and the Government’s Attack on Cloud Computing

Cindy Cohn et Julie Samuels – 31 octobre 2012 – EFF.org
(Traduction : Zii, Husi10, A-xis, KoS, lgodard, Ag3m, Maxauvy, Ryoanji, 3josh)

Hier, EFF (Electronic Frontier Fondation), pour le compte de son client Kyle Goodwin, a déposé un recours en justice dans l’affaire Megaupload afin de rendre le gouvernement responsable des actions entreprises (et celles qu’il n’a pas reussi à entreprendre) lorsqu’il a fermé le service de Megaupload et ainsi empêché des tiers comme M. Goodwin d’accèder à leurs biens. Le gouvernement a également déposé son propre recours, imposant la mise en place d’un long et difficile processus qui demanderait à des tiers (souvent des anonymes ou des petites entreprises) de voyager jusqu’à de lointains tribunaux et de participer à de multiples audiences, uniquement pour récupérer ce qui leur revient de droit.

Pire, le gouvernement a reconnu avoir eu accès au compte Megaupload de M. Goodwin et en avoir examiné le contenu. En agissant ainsi, le gouvernement a franchi une étape significative et quelque peu effrayante. Il a apparemment fouillé les données saisies dans un but précis alors que sa cible était Megaupload, afin d’utiliser les preuves éventuellement découvertes contre M. Goodwin, qui a été atteint par ces actions mais qui n’est clairement pas l’objet d’une quelconque enquête criminelle, et encore moins concerné par celle visant Megaupload. Il s’agit bien sûr d’une vaine tentative pour attaquer M. Goodwin, en essayant de détourner l’attention de la presse et de la Cour de l’incapacité du gouvernement à prendre des mesures, et encore moins les mesures raisonnables requises par la loi, afin de protéger les droits de propriété des tiers, que ce soit avant ou après l’exécution d’un mandat. Et bien entendu, si le gouvernement est si bien placé qu’il peut fouiller dans les fichiers de M. Goodwin et donner son avis sur leur contenu (et il n’est pas certain que cette seconde fouille ait jamais été autorisée), il peut a priori trouver un moyen de les lui restituer.

Mais, en plus de cela, l’approche du gouvernement devrait terrifier tous les utilisateurs de services de cloud, sans compter les fournisseurs de ces services. Le gouvernement maintient que M. Goodwin a perdu ses droits de propriété sur ses données en les stockant sur un service de cloud computing. Spécifiquement, le gouvernement argumente qu’à la fois le contrat entre Megaupload et M. Goodwin (un contrat standard de cloud computing) et le contrat entre Megaupload et son hébergeur Carpathia (un accord standard également), « limite tout intérêt de propriété qu’il pourrait avoir » dans ses données. (Page 4). Si le gouvernement a raison, aucun fournisseur ne peut plus se protéger contre des pertes soudaines (comme celles dues à un ouragan), ni promettre à leurs clients que leurs droits de propriété seront maintenus en utilisant le service. Ils ne peuvent non plus garantir que leurs fichiers ne risquent pas de disparaître soudainement, sans aucun moyen raisonnable de les récupérer si le gouvernement décide de les saisir avec un mandat. Apparemment, vos droits de propriété « deviennent sévèrement limités » si vous autorisez une tierce personne à héberger vos données sous couvert d’un accord standard de cloud computing. Cet argument n’est aucunement limité à Mégaupload, il s’appliquerait aussi si la tierce partie était le S3 d’Amazon, Google Apps ou Apple iCloud.

La tactique du gouvernement nous démontre une chose effrayante : si les utilisateurs essaient d’obtenir leurs biens, le gouvernement n’hésitera pas à les passer au peigne fin afin d’essayer de trouver une preuve à utiliser contre eux. Le gouvernement cherche également à imposer un fardeau quasi insurmontable aux utilisateurs en demandant au tribunal d’avancer lentement et d’utiliser un processus à plusieurs étapes qui aurait lieu dans un tribunal éloigné. La plupart des personnes utilisant le service de cloud computing pour stocker leurs documents commerciaux ou personnels ne sont pas en mesure d’assister à une seule comparution devant le tribunal de Virginie, et encore moins aux multiples autres que le gouvernement envisage de soumette à la Cour.

Finalement, si le gouvernement ne ressent pas l’obligation de respecter le droit des utilisateurs de Megaupload, et c’est vraiment le cas, il ne va pas changer d’avis si la cible de sa prochaine investigation est un service de partage encore plus populaire. La portée de cette saisie a été sans précédent et ils n’ont pas engagé un processus que la loi nomme « minimisation », que ce soit en amont ou après coup, en faisant en sorte de rendre leurs données aux utilisateurs du cloud et ce en mesurant bien les dégâts. Et maintenant le gouvernement est en train d’essayer d’utiliser les clauses des contrats standards pour vendre le fait que les utilisateurs d’un service de cloud ont au mieux, « sévèrement limité » leurs droits de propriété sur leur propres données.

Tous ceux qui ont réfléchi sur ce qu’impliquent les problèmes soulevés par ce procès ont raison de penser que l’affaire Megaupload va bien au delà de Megaupload.

Crédit photo : Fernando (Creative Commons By-Sa)