Décret Trump concernant les étrangers et le Cloud américain : quelles répercussions ?

22 janvier 2021 à 08h00
9
Donald Trump © Evan El-Amin / Shutterstock.com
© Evan El-Amin / Shutterstock.com

La veille de son départ de la Maison-Blanche, Donald Trump a signé un décret qui facilite la rétention de données des opérateurs de Cloud étatsuniens.

C'était son petit dernier. Discret durant les dernières heures de sa présidence, Donald Trump a pourtant signé un décret aux répercussions bien plus que symboliques, le mardi 19 janvier 2021. Celui-ci impose aux prestataires de Cloud américains de conserver les dossiers complets de leurs clients étrangers. Une décision que tout dirigeant européen ne pourrait pas prendre, avec le RGPD. Le but ? Faciliter la traque d'éventuels cybercriminels et se prémunir de tout abus et toute menace provenant de l'extérieur.

Trump voulait briser les ailes de potentiels individus malveillants basés à l'étranger

Plus précisément, le décret fait peser l'obligation sur les fournisseurs de Cloud de conserver des dossiers comprenant les noms, les adresses postales et électroniques, les moyens et informations de paiement, les numéros d'identification nationaux, les coordonnées téléphoniques mais aussi les adresses IP rattachées à l'utilisateur qui sollicite les services du fournisseur, et ce pour chaque connexion.

Dans une lettre écrite à la présidente de la Chambre des représentants Nancy Pelosi et du désormais ancien vice-président et ex-président ex-officio du Sénat Mike Pence, Donald Trump pointe du doigt les acteurs étrangers utilisateurs de produits IaaS (Infrastructure as a service), qui, pour lui, peuvent les utiliser « pour diverses activités malveillantes, ce qui fait qu'il est très difficile pour les responsables américains de suivre et de récolter des informations par le biais d'une procédure judiciaire, avant même que ces acteurs étrangers ne basculent sur une infrastructure de remplacement et ne détruisent les preuves de leurs activités passées ».

Il faut avoir à l'esprit qu'une solution IaaS permet à son utilisateur d'accéder au Cloud depuis n'importe quel endroit du monde, du moment qu'il jouit d'une connexion internet. Ce qui rend évidemment plus difficile voire impossible la détection d'acteurs étrangers, comme les hackers.

Le décret ne se limite pas qu'au IaaS (même si Donald Trump ne vise que le IaaS dans sa lettre), il s'ouvre aussi à d'autres services d'hébergement en ligne, ce qui comprend les offres complémentaires, d'essai, ou celles qui fournissent le traitement, le stockage, les réseaux ou d'autres ressources informatiques.

Un point doit être fait avec le président américain dans 240 jours

Officiellement donc, et même si Joe Biden est en capacité légale de révoquer ce décret depuis qu'il a officiellement prêté serment au Capitole le 20 janvier, le secrétaire au Commerce des États-Unis disposera très bientôt du pouvoir de limiter l'accès aux services américains de Cloud s'il s'avère qu'un pays héberge un trop grand nombre d'individus utilisant des produits IaaS américains, dans le but de mener des activités cybercriminelles.

Cette restriction d'accès aux services de Cloud computing américains pourrait s'appliquer à des personnes, des entreprises ou à certaines juridictions.

Si le décret reste en vigueur, les entreprises du Cloud disposent de 6 mois (180 jours) pour attester de la tenue de registres comportant les données des utilisateurs. Un peu avant, dans 120 jours, l'administration américaine devra discuter de la façon d'augmenter le partage d'informations entre les fournisseurs de Cloud et les autorités du pays. L'idée première restant, donc, de dissuader toute utilisation abusive des solutions IaaS de l'oncle Sam.

Dans 240 jours, le président Joe Biden pourra consulter un rapport et recevoir certaines recommandations.

Source : ZDNet.com

Modifié le 22/01/2021 à 09h50
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
10
Voir tous les messages sur le forum

Lectures liées

Facebook accusé de bloquer délibérément des chercheurs enquêtant sur les pratiques du réseau
Publicité en ligne : Google et Facebook accusés de collusion
Facebook analyse les données chiffrées, sans les décrypter, pour de la pub ciblée
GitHub déploie une offre de conseil juridique pour les développeurs open source
La nouvelle carte nationale d’identité numérique officialisée ce lundi 2 août
PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Google enregistre des bénéfices impressionnants sur la recherche et sur YouTube
Pegasus : Macron demande des clarifications aux autorités israéliennes
Face au blocus des communications à Cuba, les USA envisagent de déployer Internet via des ballons
Cyberattaque : la France est dans le viseur de hackers chinois
Haut de page