News-3

Microsoft s’engage à stocker et traiter les

DOnnées de ses clients Cloud en Europe

Au travers de la création d’un plan nommé « EU Data Boundary for the Microsoft Cloud », Microsoft annonce que ses clients européens des secteurs privé et public pourront stocker et traiter leurs données au sein de l’Union européenne. Une annonce qui s’incrit dans un contexte juridique et réglementaire incertain et alors que les prestataires cloud américains ne peuvent pas garantir la confidentialité des données à caractère personnel des utilisateurs européens à l’égard des autorités américaines.

Les clients « n’auront pas à déplacer leurs données en dehors de l’UE pour utiliser les services Cloud de Microsoft« , indique Brad Smith, président de Microsoft dans un billet de blog. Il précise que cet engagement s’appliquera à l’ensemble de ses plateformes Cloud : Azure, Microsoft 365 et Dynamics 365. 
Ce Cloud de Microsoft, qui veut s’inscrire dans les limites de l’Europe, s’appuyera sur les datacenters annoncés ou exploités actuellement dans 13 pays : Allemagne, Autriche, Danemark, France, Grèce, Irlande, Italie, Pays-Bas, Norvège, Pologne, Espagne, Suède et Suisse. Tout devrait être mis en place pour la fin 2022.

Brad Smith annonce aussi la création d’un centre d’excellence en ingénierie de la confidentialité à Dublin « pour guider nos clients européens dans le choix des bonnes solutions pour intégrer une protection robuste des données dans leurs charges de travail cloud, y compris pour répondre aux exigences réglementaires« .

Depuis 2016, plusieurs réglementations sur les données ont été mises en oeuvre aux États-Unis et dans l’Union Européenne (RGPD, US-EU Privacy Shield, Cloud Act), visant à établir un cadre juridique strict concernant les flux de données. Mais l’invalidation du Privacy Shield par la Cour de justice de l’UE en 2020 a mis en évidence l’incompatibilité entre les règles du RGPD et les règles extraterritoriales américaines, et fait porter des risques juridiques et commerciaux aux entreprises européennes recourant à des fournisseurs cloud américains. 
Rappelons que la législation américaine autorise actuellement l’accès des autorités américaines aux données à caractère personnel, que les informations se trouvent sur ou en dehors du territoire des États-Unis. Les prestataires cloud américains ne peuvent pas garantir la confidentialité des données à caractère personnel des utilisateurs européens à l’égard des autorités américaines. Dans cette phase d’incertitude réglementaire et juridique, Brad Smith se veut pourtant confiant : « Nous prendrons des mesures supplémentaires pour minimiser les transferts de données client et de données personnelles en dehors de l’UE. Nous pensons que notre nouvelle initiative répondra aux exigences réglementaires et répondra aux besoins de nos clients européens qui recherchent des engagements encore plus importants en matière de localisation de données. »

Microsoft pense que ce plan fournira « la base technique et commerciale » pour soutenir « son engagement continu envers l’initiative GAIA-X« , la plateforme qui vise à établir un Cloud européen et souverain et s’efforce de créer un environnement dans lequel les données peuvent être partagées et stockés sous le contrôle des propriétaires et des utilisateurs des données.

Les données de 100 millions d’utilisateurs d’applis Android exposées

Des applications très populaires, ayant été parfois téléchargées plus de 10 millions de fois, souffrent de grosses failles de sécurité. Leurs développeurs n’ont pas protégé l’accès aux données personnelles des utilisateurs sur des services cloud tiers.

Des e-mails, des données de géolocalisation, des mots de passe, des photos, des échanges de messages, des données personnelles… Ce sont les informations personnelles de 100 millions d’utilisateurs d’applications populaires pour Android, qui ne sont pas protégées d’éventuelles captations par des pirates. Détectée par le laboratoire de recherche de la société de sécurité Check Point, cette énorme faille concerne des applications, dont certaines atteignent jusqu’à 10 millions de téléchargements.

En tout, ce seraient 23 applications pour Android qui seraient touchées par ces carences de sécurité. On trouve de tout, comme Astro Guru, une application d’astrologie, d’horoscope et de chiromancie, téléchargée plus de 10 millions de fois. Une fois que les utilisateurs ont saisi leurs informations personnelles telles que leur nom, leur date de naissance, leur sexe, leur domicile, leur adresse e-mail et leurs détails de paiement, Astro Guru leur fournit un rapport personnel d’astrologie et leur horoscope. Malheureusement, ce sont autant de données personnelles qui ne sont pas protégées.

Autre champion du téléchargement, Screen Recorder permet d’enregistrer l’écran de l’appareil de l’utilisateur et de stocker les enregistrements sur un service cloud. Si l’accès aux enregistrements d’écran via le Cloud est une fonctionnalité pratique, les mots de passe privés des utilisateurs se trouvent sur le même service Cloud qui stocke les enregistrements. Gênant… C’est également le cas de T’Leva, une application de réservation de taxi qui a été téléchargée plus de 50.000 fois. Les chercheurs de Check Point ont pu accéder aux échanges entre les chauffeurs et les passagers et récupérer les noms complets des utilisateurs, leurs numéros de téléphone et leurs localisations — destination et prise en charge.

La sécurité des services cloud tiers oubliée des développeurs

Tout provient d’un manque flagrant de sécurisation de services tiers de stockage en cloud et notamment le traitement de bases de données en temps réel. Il en est de même pour des services de gestion de l’envoi de notifications, par exemple. Il s’agit de briques qui peuvent être intégrées facilement aux applications par les développeurs. Mais voilà, ces derniers négligent totalement l’aspect sécurité de ces services tiers et ne configurent pas les systèmes de protection des données lors de leur intégration.

Il n’y a pas que les données personnelles des utilisateurs qui sont alors en danger. Certaines fonctionnalités utilisées par les éditeurs le sont tout autant. Une personne malveillante peut très bien accéder au mécanisme des mises à jour par notifications, par exemple. Cela peut représenter une catastrophe si la notification invite à activer une mise à jour comportant en réalité une charge virale. Pour les inviter à corriger le tir, Check Point a contacté l’ensemble des éditeurs des applications. À l’heure actuelle, certaines, mais pas toutes, ont pris soin de renforcer leur sécurité. De même Google a été informé et a incité à fournir des tests plus approfondis pour l’accueil de ces applications sur le Play Store.

Ce qu’il faut retenir

  • Les données de 100 millions d’utilisateurs d’applications Android ne sont pas protégées
  • Les développeurs ont oublié de sécuriser les bases de données gérées sur des services cloud
  • Les services de gestion des notifications des applications peuvent aussi être impactés
Suite des News
Retour Menu NEWS
Retour Acceuil
Plugin WordPress Cookie par Real Cookie Banner