Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Microsoft vs US devant la Cour d’Appel : l'affaire Tech de la décennie franchit un nouveau pas !


Dans l'affaire des emails stockés à Dublin et exigés par le gouvernement américain, Microsoft a assumé le rôle d’un vrai leader de son industrie qui ne transige pas sur les principes.

Personne ne peut dire qui va gagner mais, quant à nous, nous pensons que Microsoft a raison.



Microsoft vs US devant la Cour d’Appel : l'affaire Tech de la décennie franchit un nouveau pas !
Le 10 septembre 2015, la Cour d’Appel du 2ème Circuit a entendu les plaidoiries dans l'appel par Microsoft dans l’affaire célèbre du « search warrant » américain pour le contenu d’un compte client de courrier électronique, stocké dans un serveur situé en Ireland, à Dublin.

L’ordre du gouvernement a été signifié en application du Titre II de la loi ECPA (« Electronic Communications Privacy Act » de 1986) qui traite des conditions de divulgation des communications électroniques hébergées par les fournisseurs de service américains sur Internet.

Dans cette affaire, Microsoft est déterminé à se battre jusqu’au bout et la portera devant la Cour Suprême s’il le faut. En janvier de cette année, Microsoft a rendu public un « Opening Brief » impressionnant, élaboré sans doute avec l'aide de juristes les meilleurs et les plus chers de New York.

Il y a quelques mois, nous avons publié une analyse détaillée de ce document sur notre site anglais et conclu que Microsoft avait une chance - pas certaine mais raisonnable - de gagner en appel.

Ici, nous nous appuyons à la fois sur cette analyse et sur les plaidoiries, non pas pour dire qui va gagner, mais pour dire pourquoi nous pensons que le gouvernement américain a tort et Microsoft a raison.

Si le gouvernement gagne, d'autres pays suivront l'exemple américian

Dans une interview récente, Brad Smith, l’avocat général de Microsoft, a déclaré: « Les gens veulent savoir quel droit sera appliqué à leurs données. Les français veulent leurs droits en vertu de la loi française et les brésiliens en vertu du droit brésilien. Que fera notre gouvernement quand d'autres pays s’arrogeront à leur tour le droit d’accéder aux données dans des data centers sur notre territoire, sans en informer le gouvernement des États-Unis .... Si le gouvernement gagne dans cette affaire, la porte sera ouverte ... »

Ce résultat n’était pas inévitable. Le gouvernement aurait pu utiliser le processus MLAT (traités d'entraide juridique multilatérale) avec l'Irlande, mais - pour des raisons peu claires – a trouvé ce processus trop lourd. En réalité, dans le cas de la coopération avec les pays de l'UE, les demandes urgentes peuvent être traitées sous quelques jours. Pour empêcher la destruction de preuves, une hotline est ouverte sur une base 24/7. La République d'Irlande, en particulier, a une réputation exceptionnelle en matière de coopération avec les autorités américaines.

Une décision en faveur du gouvernement serait un coup dur pour la coopération judiciaire multilatérale en matière de preuve électronique, avec un risque très important que plusieurs pays – et notamment les plus autoritaires – optent pour une approche unilatérale, en citant l’exemple des États-Unis.

La Cour d'Appel semble consciente de ce risque, mais peut très bien ne pas le prendre en compte. Comme l'un des trois juges a déclaré mercredi matin ; « Nous ne faisons pas les relations étrangères ... Si le Congrès adopte une loi que le pouvoir exécutif utilise comme un tromblon de manière à provoquer des tensions internationales, c’est leur problème et non pas le nôtre. »

L’industrie Tech américaine paierait les pots cassés

Lors des plaidoiries, les procureurs ont affirmé que le gouvernement fédéral a le droit de saisir les emails de toute personne dans le monde ... si le siège social du fournisseur de service est situé sur le sol américain.

A l’époque du jugement en première instance, nous avons écrit que « l’enjeu est de taille parce que, si la décision est maintenue, elle pourrait éventuellement concerner non seulement les services de courrier électronique mais aussi d’autres comme Office 365 et Google Apps, et même les services Cloud fournis aux entreprises par AWS, IBM, Verizon et bien sûr Microsoft lui-même. ».

Ce serait une très mauvaise nouvelle pour les acteurs Tech américains, qui ont enfin compris qu'il y a un principe majeur en jeu pour les clients non américains et, par voie de conséquence, un enjeu commercial énorme.

En bref, les clients s’attendent à ce que l'accès à leurs données sensibles soit régi par leurs propres juridictions nationales (ou tout au moins par les lois des pays où ils choisissent de stocker leurs données) et non pas par la juridiction, même bienveillante, du pays de leur fournisseur de service.

Selon Brad Smith, l’avocat général de Microsoft, dans une interview avec The Guardian, une victoire du gouvernement fédéral « forcerait les acteurs américains du Cloud à chercher d'autres façons de crypter les données … mais sans conserver les clés eux-mêmes. » En effet, certains grands acteurs comme Amazon offrent déjà le cryptage avec les clés sous le contrôle du client, vendu comme « meilleure pratique de sécurité », avec l'avantage de mettre le fournisseur « en dehors de la boucle » de contrôle des données.

L’avocat général a aussi remarqué que, dans ce contexte, des clients non américains pourraient très bien donner la préférence aux acteurs locaux. Rappelons que l’Allemagne a clairement pris la position que, si cette décision reste en place, le gouvernement allemand ne donnera plus aucun contrat à un acteur américain du Cloud.

Plus largement, le problème de l'ingérence judiciaire des États-Unis est de plus en plus vu (quoique vaguement et à tort ou à raison) dans un cadre d'ensemble d’espionnage technologique. Le plus grand risque est que les autres pays décident que, tout simplement, on ne peut plus faire confiance à la technologie américaine.

Le raisonnement juridique du gouvernement américain est profondément vicié

La question fondamentale dans cette affaire est de savoir si la loi ECPA donne l'autorité au gouvernement fédéral de procéder de manière extraterritoriale à la recherche et la saisie des preuves électroniques.

Le problème pour le gouvernement est qu'il est établi en droit constitutionnel qu’un « search warrant » n’est valable que sur le territoire des États-Unis. Pour contourner cette difficulté, les procureurs fédéraux et la Cour de première instance se sont appuyés sur deux arguments juridiques extraordinairement créatifs...

  • La localisation physique n’a aucune importance en « cyberspace » : les e-mails sont « vraiment » stockés à Seattle au QG de Microsoft

Selon le gouvernement, « la propriété électronique » est tout simplement un bloc de uns et de zéros « stocké quelque part sur un ordinateur quelconque » et accessible sur Internet. En d'autres termes, dans cyberspace la localisation géographique ne veut rien dire. La Cour de première instance a même conclu qu’on peut considérer - pour l'application de la loi - que la recherche et la saisie d'une propriété électronique se passe au siège du fournisseur de services, dans ce cas à Seattle.

Cependant, les e-mails en question (les blocs de zéros et de uns) sont vraiment stockés dans un serveur à Dublin, même s’ils peuvent être copiés à Seattle. Tout ce raisonnement flou et mal informé - à la limite du fumeux - est contredit par de nombreux précédents judiciaires et complètement réfuté dans un mémoire amicus curiae signé par 35 éminents chercheurs en informatique, déposé auprès du tribunal.

  • Un « search warrant » sous la loi ECPA n’est pas vraiment un « search warrant » mais un « subpoena » hybride

Ceci est un point juridique crucial. Un « search warrant » donne le droit aux policiers d’entrer dans un lieu et rechercher les preuves tandis qu’un « subpoena » exige que la personne ciblée produise des informations en sa possession ou contrôle, indépendamment de la localisation de ces informations.

Le gouvernement affirme que le document présenté comme un « search warrant » était en réalité un « subpoena hybride ». Lorsque la Cour a demandé si ce document était en fait un « subpoena » habillé comme un « search warrant » avec les pouvoirs d'un « subpoena », les avocats du gouvernement ont répondu par l’affirmative.

Le problème avec ce raisonnement compliqué est qu'il est totalement incompatible avec le texte de la loi que le Congrès a réellement écrit et adopté. En fait, la loi ECPA prévoit les deux instruments juridiques séparément et les traite de manière très différente. Un simple « subpoena » est suffisant pour ordonner la production devant le tribunal de l’historique des transactions d'un fournisseur de services. Le Congrès a exigé un « search warrant » (un instrument juridique très différent dans la tradition juridique anglo-américaine) pour la recherche et la saisie des communications privées détenues en fiducie.

On pourrait aussi ajouter que la Cour d'appel du 8ème Circuit, dans une affaire antérieure a rejeté l'argument que les règles de type « subpoena » devraient s'appliquer aux « search warrants » émis en vertu de la loi ECPA. Selon ce tribunal, « le Congrès les a appelés search warrants et nous trouvons que le Congrès voulait qu'ils soient traités comme search warrants. »

Ce débat est très technique mais loin d’être anodin. La Cour d’Appel du 2ème Circuit pourrait très bien prendre sa décision en fonction de cette distinction.

Conclusion

Dans cette affaire, les enjeux sont très élevés. Qui va gagner – l'état national sécuritaire ou l'Internet international et ouvert ?

A la surprise de beaucoup, Microsoft a assumé le rôle d’un vrai leader avec des principes, soucieux non seulement des intérêts de son industrie mais aussi des droits des clients dans le monde numérique.

Personne ne peut dire qui va gagner mais, quant à nous, nous pensons que Microsoft a raison.


Duquesne Advisory
Samedi 12 Septembre 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Vendredi 21 Mars 2014 - 14:31 Retour sur l'affaire SocGen-Kerviel


Duquesne Research Newsletter