En janvier dernier, le Département du Commerce des États-Unis a publié un avis de proposition de réglementation visant à établir de nouvelles exigences pour les fournisseurs d’Infrastructure en tant que Service (IaaS). Cette proposition s’articule autour d’un régime « Know Your Customer » (KYC) pour les entreprises offrant des services cloud, dans le but de contrer les activités de « cyberacteurs malveillants étrangers ».Depuis longtemps, l'accès à certains services, qu'ils soient en ligne ou non, n'est autorisé que si le client prouve son identité. Souvent lié à des produits financiers, mais dans de nombreux cas de transactions de base d'argent ou de biens effectuées en ligne, le fait de donner son nom, son adresse, sa date de naissance et d'autres informations similaires peut renforcer la confiance dans le fait qu'une transaction se déroulera très probablement comme prévu. Dans certains cas, notamment lors de l'achat de produits à usage restreint, la preuve de l'identité peut être une condition de vente.
Pourtant, pendant de nombreuses années, les entreprises opérant dans l'espace en ligne ont été heureuses de faire des affaires avec des clients sans savoir grand-chose sur eux.
Dans certains cas, lorsque les entreprises comprennent que l'absence de friction est précieuse pour le client, une adresse électronique a longtemps été considérée comme suffisante. Si la carte de crédit ou de prépaiement éventuellement utilisée pour payer un produit dispose d'un crédit suffisant et n'est pas volée, il n'y a guère lieu de s'inquiéter. Pour de nombreux gouvernements, cependant, tout niveau d'anonymat est susceptible de susciter des inquiétudes, et si cela signifie démasquer tout le monde pour identifier quelques mauvais acteurs, qu'il en soit ainsi.
À la récolte des données de tous au nom de la lutte contre les cybercriminels
Le principe est relativement simple. Une procédure d'inscription plus rigoureuse pour les plateformes telles que AWS d'Amazon, par exemple, permet de réduire le risque que des acteurs malveillants utilisent les services américains de cloud pour attaquer les infrastructures critiques des États-Unis ou porter atteinte à la sécurité nationale par d'autres moyens. Le Bureau de l'industrie et de la sécurité a fait la remarque suivante dans son annonce de fin janvier :
La règle proposée introduit des réglementations potentielles qui exigent que les fournisseurs américains de cloud computing et leurs revendeurs étrangers mettent en œuvre et maintiennent des programmes d'identification des clients (CIP - Customer Identification Programs), qui incluraient la collecte d'informations « Know Your Customer » (KYC). Des exigences similaires existent déjà dans d'autres secteurs et visent à aider les fournisseurs de services à identifier et à traiter les risques potentiels liés à la fourniture de services à certains clients. Ces risques comprennent la fraude, le vol, la facilitation du terrorisme et d'autres activités contraires aux intérêts de la sécurité nationale des États-Unis.
La définition d’un IaaS est étonnamment large :
Tout produit ou service offert à un consommateur, y compris les offres gratuites ou « d'essai », qui fournit des ressources de traitement, de stockage, de réseaux ou d'autres ressources informatiques fondamentales, et avec lequel le consommateur est en mesure de déployer et d'exécuter des logiciels non prédéfinis, y compris des systèmes d'exploitation et des applications.
En général, le consommateur ne gère ni ne contrôle la majeure partie du matériel sous-jacent, mais il a le contrôle des systèmes d'exploitation, du stockage et de toutes les applications déployées. Le terme englobe les produits ou services « gérés », dans lesquels le fournisseur est responsable de certains aspects de la configuration ou de la maintenance du système, et les produits ou services « non gérés », dans lesquels le fournisseur est uniquement chargé de veiller à ce que le produit soit disponible pour le consommateur.
En général, le consommateur ne gère ni ne contrôle la majeure partie du matériel sous-jacent, mais il a le contrôle des systèmes d'exploitation, du stockage et de toutes les applications déployées. Le terme englobe les produits ou services « gérés », dans lesquels le fournisseur est responsable de certains aspects de la configuration ou de la maintenance du système, et les produits ou services « non gérés », dans lesquels le fournisseur est uniquement chargé de veiller à ce que le produit soit disponible pour le consommateur.
« Cette définition engloberait des services tels que les réseaux de diffusion de contenu, les services proxy et les services de résolution de noms de domaine », peut-on lire dans la proposition.
La règle proposée, intitulée « National Emergency with Respect to Significant Malicious Cyber-Enabled Activities », cessera d'accepter les commentaires des parties intéressées le 30 avril 2024.
Trop d'informations ?
Compte tenu des implications pour les citoyens ordinaires, dont beaucoup s'accrochent déjà à ce qui reste de leur vie privée, la perspective de devoir fournir des informations très sensibles simplement pour obtenir l'essai d'un produit est une véritable source d'inquiétude. Le risque de fuites augmente avec chaque divulgation, tout comme la possibilité que des informations personnelles se retrouvent en vente sur le dark web.
C'est là que les acteurs de la menace obtiendront les identifiants d'autres personnes pour se faire passer pour des utilisateurs réguliers lorsqu'ils seront soumis à un processus de connaissance du client. En ce qui concerne les services IaaS proprement dits, les plus grandes entreprises n'auront guère de difficultés à mettre en œuvre des programmes d'identification des clients et pourraient même les considérer comme utiles. D'une part, ils peuvent contribuer à arrêter les cybercriminels et, d'autre part, profiter de l'occasion pour constituer une base de données contenant les informations personnelles de chaque client.
« La règle adoptée aujourd'hui signale aux cyberacteurs étrangers malveillants que nous prenons des mesures pour les empêcher d'utiliser notre propre infrastructure cloud afin de porter atteinte à nos intérêts en matière de sécurité nationale », a déclaré Alan Estevez, sous-secrétaire d'État à l'industrie et à la sécurité, lors de sa présentation en janvier. « La règle proposée aujourd'hui donne au secrétaire au commerce les outils dont il a besoin pour faire face aux risques tout en maintenant l'approche globale du ministère en matière de sécurité nationale : innover et faire des affaires partout où nous le pouvons, et protéger ce que nous devons ».
Le contexte de l'IA et de la Chine
En janvier, la secrétaire américaine au Commerce, Gina Raimondo, a expliqué que le gouvernement Biden propose d'exiger des entreprises américaines de cloud computing qu'elles déterminent si des entités étrangères accèdent aux centres de données américains pour...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.