Le cloud computing a des avantages séduisants, mais aussi des problèmes qu'il faut considérer avant de l'adopter.
Par Frédéric Prost.
Le cloud c'est l'idée toute simple selon laquelle, à une époque où la communication est à la fois instantanée et quasi-gratuite (plus exactement le coût marginal de la communication d'un bit d'information est quasi nul), il est possible de rationaliser à la fois le stockage et les traitements informatiques. L'idée est très séduisante : pourquoi s'embêter à gérer soi même son infrastructure informatique si on peut la sous-traiter à des professionnels qui se chargeront de le faire ? Il n'y aurait plus qu'à se munir de machines rudimentaires qui servent simplement d'interfaces réseau et permettent à l'utilisateur d'accéder à ses données et services. On pourrait schématiquement dire que le cloud est à l'informatique au XXI° siècle ce que l'électrification à été à l'énergie au XX° : tout un chacun, des grandes entreprises aux particuliers, n'aurait plus qu'à se brancher sur le réseau pour obtenir de la puissance informatique à la demande.
Les avantages du cloud sont séduisants : facturation en fonction de la consommation réelle (pas besoin d'acheter des machines inutiles au moins la moitié de la journée), fiabilité accrue (les grandes fermes informatiques sont sécurisées, dupliquées etc.), flexibilité plus grande, gain de productivité (avec toutes les économies d'échelle qu'on peut imaginer), etc. Actuellement ce sont, comme bien souvent dans le domaine des technologies de l'information et de la communication, des géants américains, notamment Amazon, Microsoft, Apple et Google qui se taillent la part du lion. Le fait que ces derniers soient américains n'est pas anecdotique.
Le cloud peut sembler miraculeux sur bien des points, il demeure qu'externaliser ses données n'est pas anodin. Comment s'assurer qu'on aura accès en permanence à ses dernières ? Quels sont les risques en matière d'espionnage ? On peut bien sûr faire confiance aux géants de l'informatique sus nommés pour respecter les SLA (le plus souvent peu claires voire illisibles). C'est d'ailleurs ce que font la plupart des gens en utilisant qui Doodle pour planifier des réunions, qui le cloud Apple pour sauvegarder leur Iphone etc. Il existe cependant un risque ignoré de la plupart des utilisateurs. À partir du moment où l'acteur du cloud que vous utilisez a une activité commerciale aux États-Unis, les agences de renseignement américaines peuvent demander l'installation de dispositifs permanents pour enregistrer toutes les données gérées en dehors des États-Unis (loi FISAA article 1881a). Comme d'habitude les justifications sont dans la lutte anti-terroriste... Le fait que la loi précise que les "renseignements étrangers" couvrent "l'information qui concerne une organisation basée à l'étranger politique ou un territoire étranger qui se rapporte à la conduite des affaires étrangères des États-Unis" montre que cette justification n'est rien de plus qu'un cache-sexe aux dimensions les plus ténues. En d'autres termes, cette loi est un blanc-seing pour la surveillance politique avec ou sans lien avec le terrorisme. Étant donnée que les agences de renseignement américaines peuvent obliger le fournisseur à réaliser de telles écoutes numériques, il est presque impossible de s'en protéger et même de le savoir. Une solution serait de tout crypter avant d'entreposer ses données sur le cloud. Ce dernier perdrait une grande partie de son intérêt puisqu'il se trouverait réduit à n'être plus qu'une solution de stockage, un genre de Dropbox taillé pour l'entreprise. Car dès que les données sont décryptées pour être utilisées, si ce décryptage n'a pas été fait en local (c'est donc exactement l'antithèse de ce qui est cherché par le cloud), il est légitime de penser qu'il a été copié par des oreilles gouvernementales au passage.
En marge de ce problème "d’espionnage institutionnel" un autre souci commence à apparaître : la féodalisation du net. Cette idée développée par Bruce Schneier repose sur la constatation que sur internet les utilisateurs sont de plus en plus dépendants de grands seigneurs (qui sont justement ces acteurs majeurs du cloud) : que vous ayez un téléphone fonctionnant sous Android vous impose d'avoir un compte Google ce qui vous pousse à utiliser les services en ligne de Google. On pourrait dire la même chose de ceux qui ont un Iphone et qui gravitent dans le monde d'Itunes. Vous pouvez aussi choisir de tout déléguer à Microsoft, Samsung également entre dans le jeu etc. Il devient de plus en plus difficile de ne pas faire allégeance à l'un de ses géants du web. Les implications de ce modèle sont que ces géants des TIC prennent de plus en plus le pouvoir sur les matériels (du Kindle en passant par l'Iphone) et les logiciels que nous utilisons (il faut jailbreaker son Iphone pour y installer un programme qui n'a pas reçu le sceau d'Itunes). D'autre part ce sont eux qui ont le fin mot sur les données des utilisateurs. Le dernier scandale en date sur l'utilisation commerciale que voulait faire Instagram des photos personnelles n'est qu'un exemple parmi d'autres des problèmes qui peuvent en découler. Le marché faustien qu'ils proposent est d'échanger du contrôle, que l'on perd, contre de la tranquillité (et de la protection offerte par le seigneur protecteur). Enfin, toute personne ayant migré d'un Iphone vers un téléphone Android peut mesurer combien la liberté de disposer de ses propres informations est toute... relative.
On le voit le passage au cloud n'est pas de même nature que celui qui consista à uniformiser l'accès à l'énergie. En termes stratégiques, la domination des États-Unis est inquiétante du fait de la tournure autoritaire prise depuis 2001 et l'empilement de lois facilitant les écoutes pour l'exécutif. Que l'Europe et la France avec Andromède tentent de mettre en place des solutions de cloud "locale" pourrait être une piste. Mais à l'image du moteur de recherche européen, Quaero, on est en droit de douter du succès d'une telle entreprise face aux mastodontes du net. Une solution scientifique pourrait exister en utilisant la cryptographie homomorphe, c'est-à-dire une manière de crypter les données qui permet de travailler sur ces dernières sans avoir à les décrypter. Seulement pour l'instant ça reste du domaine de la recherche fondamentale et ce n'est absolument pas envisageable d'un point de vue industriel. Donc en attendant que faire ? Se montrer vigilant et se tenir informé semble être un minimum pour ne pas céder aux chants des sirènes se cachant dans les nuages.