Confidentialité : Microsoft blinde un peu plus OneDrive et Outlook.com

Soupçonné, comme d’autres entreprises IT, de collaborer avec l’Agence nationale de sécurité américaine (NSA) dans le cadre des ses campagnes massives de cyber-espionnage, Microsoft annonçait, fin 2013, une série de résolutions visant à retrouver la confiance des utilisateurs de ses services.

L’éditeur s’engageait notamment à renforcer la sécurité de toutes les données transitant par ses serveurs. En quelques mois, le chiffrement s’est généralisé, des communications entre data centers aux messages échangés avec Office 365, en passant par la plate-forme cloud Azure, via la fonction ExpressRoute permettant au entreprise d’établir des connexions sécurisées entre leur infrastructure privée et celle de Microsoft.

Ce blindage tous azimuts se poursuit avec Outlook.com et OneDrive. Le webmail et le service de stockage en ligne supportent désormais tous deux le dispositif de confidentialité persistante Perfect Forward Secrecy (PFS), qui rend plus difficile le déchiffrement de communications par des tiers : une nouvelle clé privée est générée à chaque connexion. Cette prise en charge est effective sur l’interface Web des deux outils, mais aussi sur les applications mobiles et les différents clients de synchronisation.

Autre nouveauté pour Outlook.com : le support du protocole de chiffrement TLS (Transport Layer Security), aussi bien pour l’envoi que la réception d’e-mails. Ces derniers seront chiffrés pendant leur transfert, à condition que le(s) correspondant(s) utilise un client de messagerie compatible. Des travaux en ce sens ont été menés avec les groupes russes Yandex et Mail.Ru, ainsi qu’avec l’opérateur allemand Deutsche Telekom.

Vice-président de la division Trustworthy Computing Security chez Microsoft, Matt Thomlinson annonce en parallèle, dans une contribution blog, l’ouverture d’un « Transparency Center » sur le campus de Redmond. Cette structure permettra aux organisations gouvernementales d’accéder au code source de produits pour s’assurer qu’il n’existe pas de portes dérobées. Le concept devrait bientôt être décliné en Europe, à Bruxelles.

Ces mesures s’inscrivent dans un effort global de l’industrie IT américaine pour protéger les données personnelles des utilisateurs de services Web. Elles font surtout suite aux nombreuses révélations d’Edward Snowden. Ce technicien ayant collaboré pour plusieurs entreprises sous-traitantes de la NSA est aujourd’hui connu comme le « lanceur d’alertes » qui a fait émerger le scandale PRISM, du nom de ce programme d’écoutes électroniques mené à l’échelle mondiale.

Microsoft est d’autant plus impliqué que des documents révélés le 11 juillet 2013 semble attester de ses relations conciliantes avec le renseignement américain. La firme aurait notamment fourni à la NSA les clés de chiffrement des messageries Outlook(.com) et Hotmail, lui permettant d’intercepter tous les messages, sans restrictions, avant qu’ils ne soient cryptés. Le FBI aurait par ailleurs obtenu des accès aux données stockées sur l’espace en ligne SkyDrive.

Le principal intéressé assure pour sa part ne jamais avoir fourni d’informations aux autorités sans ordonnance judiciaire, malgré les nombreuses demandes reçues au nom du « Foreign Intelligence Surveillance Act », qui oblige les entreprises à participer à l’effort de surveillance national.

Selon le groupe de réflexion américain « The Information and Innovation Foundation », qui fédère de grandes figures politiques, mais aussi des personnalités issues de sociétés comme Apple, Intel ou encore Oracle, la perte de confiance engendrée par la révélation des écoutes de la NSA pourrait occasionner, d’ici 2016, un manque à gagner de plusieurs dizaines de milliards de dollars pour les grands groupes IT américains.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit illustration : Maksim Kabakou – Shutterstock.com