Microsoft s’engage sur le chiffrement
Alors que sa vice-présidente EMEA en charge des affaires internes et légales a récemment reconnu que l’éditeur ne chiffre pas encore les échanges entre ses centres de calcul, son supérieur tente de rassurer.
Eteindre l’incendie avant qu’il ne se propage. C’est ce que Brad Smith, vice-président exécutif et conseiller général de Microsoft chargé des affaires légales et corporate, donne l’impression de chercher à faire avec son tout dernier billet de blog, alors que le scandale Prism n’en finit pas et que Dorothee Belz, vice-présidente EMEA de l’éditeur en charge des affaires internes et légales, a récemment révélé que le groupe ne chiffre pas les échanges entre ses centres de calcul.
Ainsi, Brad Smith relève que « nombre de nos clients sont fortement préoccupés par la surveillance gouvernementale d’Internet. Et nous partageons ces préoccupations ». Et d’assurer « prendre les mesures nécessaires pour assurer que les gouvernements utilisent des processus légaux plutôt que la force brute technologique pour accéder à des données clients ».
Dès lors, Brad Smith présente trois engagements, à commencer par un portant sur le chiffrement, pour ses « principaux » services en ligne, dont Outlook.com, Office 365, Skydrive et Azure : « les contenus clients en mouvement entre nos clients et Microsoft seront chiffrés par défaut. Toutes nos plateformes clés, services de productivité et de communication chiffreront les contenus clients lors de leurs déplacements entre nos centres de calcul. Nous utiliserons le meilleur chiffrement disponible pour protéger ces canaux, dont Perfect Forward Secrecy et des clés 2048 bits. » Surtout, « tout cela sera effectif d’ici la fin 2014, et une grande part est effective immédiatement ». Las, il ne détaille pas cette « grande part ». Mais Brad Smith promet le chiffrement des données clients stockées, sauf dans certains cas comme Azure où le choix sera laissé au client, comme c’est déjà le cas. Et d’indiquer travailler avec des tiers pour « assurer que les données circulant entre services - d’un fournisseur d’e-mail à l’autre, par exemple - sont protégées ».
Reste que, pour l’heure, si les données des utilisateurs d’Outlook.com sont chiffrées entre l’utilisateur et Microsoft, elles ne le semblent pas dans le cadre des communications entre les centres de calcul de l’éditeur, contrairement aux données stockées dans Azure ou aux traitements Office 365.