Le dimanche 19 juin, les 25 millions utilisateurs de DropBox, service de stockage de documents en ligne, auront pu mesurer toute la réalité des problèmes de confidentialité liés à l’utilisation du cloud computing ou informatique des nuages. Pendant 4 heures, il suffisait de taper n’importe quel mot de passe pour accéder aux données d’un utilisateur des services DropBox. A l’occasion de la catastrophe de Fukushima-Daiichi, les experts nous l’auront rappelé : quelle que soit la nature de nos activités, le risque zéro n’existe pas.
Un monde de failles
Malgré toutes ces péripéties, le mouvement d’externalisation de l’informatique des entreprises se poursuit inexorablement. Après la messagerie, le stockage, la bureautique, Vmware propose, avec Vmware View, une solution pour déporter les applications à l’extérieur de la station de travail et très bientôt, sans doute, dans les nuages. L’éditeur, dès l’automne 2010, proposait une offre avec Vmware vCloud Director autour de Vsphere pour la conception d’une infrastructure en tant que service (IAAS). Allons-nous vers des espèces de gated communities transposées au monde de l’informatique ?
Quel que soit le degré d’isolation retenu, l’utilisation des applications du cloud repose majoritairement sur les serveurs Web, les gestionnaires de contenus, les navigateurs Web et leur cohorte de plugins et d’extensions. Or, depuis le début de l’année 2011 (jusqu’au 1er juillet inclus), c’est un véritable déluge de failles de sécurité qui s’est abattu sur les applicatifs du Web :
- 6 avis pour le navigateur Google Chrome
- 6 avis pour le plugin Adobe Flash Player et 2 pour Adobe Shockwave Player
- 5 avis pour le gestionnaire de contenu/CMS WordPress
- 4 avis pour Joomla!
- 3 avis pour le navigateur Opera
- 3 avis pour Internet Explorer
- 3 avis pour les produits de la fondation Mozilla
- 3 avis pour le langage Java
- 3 avis pour le langage Php
- 3 avis pour le framework .Net
- 2 avis pour le CMS Drupal
- 2 avis pour le CMS Zope, écrit en Python
- 2 avis pour le serveur web Apache Tomcat, qui exécute les applications écrite en Java
- 1 avis pour IIS, le serveur Web de Microsoft, qui exécute, entre autres, les applications Asp.net
- 1 avis pour le plugin RIA de Microsoft, Silverlight
La multiplication des failles applicatives et aussi l’utilisation des smartphones exposent, de plus en plus, nos environnements et les données qui y sont stockées. Elles ne sont plus la merci d’un effet papillon. Tout aujourd’hui semble irrémédiablement interconnecté, quelle que soit la logique de développement retenue.
Interrogations sur le comportement des fournisseurs de cloud américains
L’aspect technique est-il le seul à prendre en compte ? Dans un marché dominé par Google, Amazon, Microsoft, ce n’est pas l’annonce de Gordon Frazer qui risque d’amener les entreprises française à lever leurs réticences vis à vis du cloud. Le directeur général de Microsoft Royaume-Uni, a récemment reconnu que les données stockées relatives aux entreprises européennes et, a fortiori, françaises pouvaient être transmises aux autorités fédérales américaines dans le cadre du Patriot Act. Gordon Frazer vient de dire tout haut ce que tout le monde savait depuis bien longtemps déjà. Et, il est, en effet, peu probable que Dassault Systèmes, Areva ou encore Airbus, compte tenu de la nature de leurs activités, aient recours aux services de Google ou de Microsoft pour héberger leurs données dans les nuages gérés par des serveurs « américains » !
A noter d’ailleurs que Dassault Systèmes est aujourd’hui le propriétaire d’Exalead, le seul moteur occidental à ne pas être détenu par une société américaine !
Crédit photos : Avorh
Source : Ecole informatique exia.cesi
AirbusArevaCertaCloud ComputingDassault SystèmesDropboxEffet PapillonExaleadFaille de sécuritéFailles de sécuritéFukushima-DaiichiGoogleIAASInformatique des nuagesMicrosoftRisque zéroStockage des données en ligne