La proposition américaine qui s'apparente aux processus “Know Your Customer” mettra fin à l’anonymat des utilisateurs du cloud.
Prétextant la lutte contre la cybercriminalité, elle suscite la controverse

En janvier dernier, le Département du Commerce des États-Unis a publié un avis de proposition de réglementation visant à établir de nouvelles exigences pour les fournisseurs d’Infrastructure en tant que Service (IaaS). Cette proposition s’articule autour d’un régime « Know Your Customer » (KYC) pour les entreprises offrant des services cloud, dans le but de contrer les activités de « cyberacteurs malveillants étrangers ».

Depuis longtemps, l'accès à certains services, qu'ils soient en ligne ou non, n'est autorisé que si le client prouve son identité. Souvent lié à des produits financiers, mais dans de nombreux cas de transactions de base d'argent ou de biens effectuées en ligne, le fait de donner son nom, son adresse, sa date de naissance et d'autres informations similaires peut renforcer la confiance dans le fait qu'une transaction se déroulera très probablement comme prévu. Dans certains cas, notamment lors de l'achat de produits à usage restreint, la preuve de l'identité peut être une condition de vente.

Pourtant, pendant de nombreuses années, les entreprises opérant dans l'espace en ligne ont été heureuses de faire des affaires avec des clients sans savoir grand-chose sur eux.

Dans certains cas, lorsque les entreprises comprennent que l'absence de friction est précieuse pour le client, une adresse électronique a longtemps été considérée comme suffisante. Si la carte de crédit ou de prépaiement éventuellement utilisée pour payer un produit dispose d'un crédit suffisant et n'est pas volée, il n'y a guère lieu de s'inquiéter. Pour de nombreux gouvernements, cependant, tout niveau d'anonymat est susceptible de susciter des inquiétudes, et si cela signifie démasquer tout le monde pour identifier quelques mauvais acteurs, qu'il en soit ainsi.

À la récolte des données de tous au nom de la lutte contre les cybercriminels

Le principe est relativement simple. Une procédure d'inscription plus rigoureuse pour les plateformes telles que AWS d'Amazon, par exemple, permet de réduire le risque que des acteurs malveillants utilisent les services américains de cloud pour attaquer les infrastructures critiques des États-Unis ou porter atteinte à la sécurité nationale par d'autres moyens. Le Bureau de l'industrie et de la sécurité a fait la remarque suivante dans son annonce de fin janvier :

La règle proposée introduit des réglementations potentielles qui exigent que les fournisseurs américains de cloud computing et leurs revendeurs étrangers mettent en œuvre et maintiennent des programmes d'identification des clients (CIP - Customer Identification Programs), qui incluraient la collecte d'informations « Know Your Customer » (KYC). Des exigences similaires existent déjà dans d'autres secteurs et visent à aider les fournisseurs de services à identifier et à traiter les risques potentiels liés à la fourniture de services à certains clients. Ces risques comprennent la fraude, le vol, la facilitation du terrorisme et d'autres activités contraires aux intérêts de la sécurité nationale des États-Unis.
En clair, selon la règle proposée, les programmes d’identification des clients exploités par les fournisseurs d’IaaS doivent collecter des informations à la fois des clients existants et potentiels, c’est-à-dire ceux au stade de la demande d’ouverture de compte. Les données minimales comprennent le nom du client, son adresse, les moyens et la source de paiement pour chaque compte client, les adresses e-mail et les numéros de téléphone, ainsi que les adresses IP utilisées pour l’accès ou l’administration du compte.

La définition d’un IaaS est étonnamment large :

Tout produit ou service offert à un consommateur, y compris les offres gratuites ou « d'essai », qui fournit des ressources de traitement, de stockage, de réseaux ou d'autres ressources informatiques fondamentales, et avec lequel le consommateur est en mesure de déployer et d'exécuter des logiciels non prédéfinis, y compris des systèmes d'exploitation et des applications.

En général, le consommateur ne gère ni ne contrôle la majeure partie du matériel sous-jacent, mais il a le contrôle des systèmes d'exploitation, du stockage et de toutes les applications déployées. Le terme englobe les produits ou services « gérés », dans lesquels le fournisseur est responsable de certains aspects de la configuration ou de la maintenance du système, et les produits ou services « non gérés », dans lesquels le fournisseur est uniquement chargé de veiller à ce que le produit soit disponible pour le consommateur.
Et ce n'est pas tout. Le terme IaaS englobe tous les produits et services « virtualisés » où les ressources informatiques d'une machine physique sont partagées, comme les serveurs privés virtuels (VPS). Il couvre même les serveurs « baremetal » alloués à une seule personne. La définition s'étend également à tout service pour lequel le consommateur ne gère ni ne contrôle le matériel sous-jacent, mais passe un contrat avec un tiers pour y avoir accès.

« Cette définition engloberait des services tels que les réseaux de diffusion de contenu, les services proxy et les services de résolution de noms de domaine », peut-on lire dans la proposition.

La règle proposée, intitulée « National Emergency with Respect to Significant Malicious Cyber-Enabled Activities », cessera d'accepter les commentaires des parties intéressées le 30 avril 2024.

Nom : kyc.png
Affichages : 11351
Taille : 196,7 Ko

Trop d'informations ?

Compte tenu des implications pour les citoyens ordinaires, dont beaucoup s'accrochent déjà à ce qui reste de leur vie privée, la perspective de devoir fournir des informations très sensibles simplement pour obtenir l'essai d'un produit est une véritable source d'inquiétude. Le risque de fuites augmente avec chaque divulgation, tout comme la possibilité que des informations personnelles se retrouvent en vente sur le dark web.

C'est là que les acteurs de la menace obtiendront les identifiants d'autres personnes pour se faire passer pour des utilisateurs réguliers lorsqu'ils seront soumis à un processus de connaissance du client. En ce qui concerne les services IaaS proprement dits, les plus grandes entreprises n'auront guère de difficultés à mettre en œuvre des programmes d'identification des clients et pourraient même les considérer comme utiles. D'une part, ils peuvent contribuer à arrêter les cybercriminels et, d'autre part, profiter de l'occasion pour constituer une base de données contenant les informations personnelles de chaque client.

« La règle adoptée aujourd'hui signale aux cyberacteurs étrangers malveillants que nous prenons des mesures pour les empêcher d'utiliser notre propre infrastructure cloud afin de porter atteinte à nos intérêts en matière de sécurité nationale », a déclaré Alan Estevez, sous-secrétaire d'État à l'industrie et à la sécurité, lors de sa présentation en janvier. « La règle proposée aujourd'hui donne au secrétaire au commerce les outils dont il a besoin pour faire face aux risques tout en maintenant l'approche globale du ministère en matière de sécurité nationale : innover et faire des affaires partout où nous le pouvons, et protéger ce que nous devons ».

Le contexte de l'IA et de la Chine

En janvier, la secrétaire américaine au Commerce, Gina Raimondo, a expliqué que le gouvernement Biden propose d'exiger des entreprises américaines de cloud computing qu'elles déterminent si des entités étrangères accèdent aux centres de données américains pour former des modèles d'intelligence artificielle :

« Nous ne pouvons pas avoir des acteurs non étatiques, la Chine ou des personnes que nous ne voulons pas voir accéder à notre cloud pour entraîner leurs modèles », a déclaré Raimondo lors d'un entretien avec Reuters. « Nous utilisons des contrôles à l'exportation sur les puces », a-t-elle fait remarquer. « Ces puces se trouvent dans des centres de données en nuage américains, nous devons donc également penser à fermer cette voie pour des activités malveillantes potentielles ».

La secrétaire au Commerce a parlé à Reuters après avoir pris la parole lors d’un événement avec l’ancienne secrétaire d’État Condoleezza Rice, informant l’audience que le département commençait le processus d’exiger des entreprises de cloud américaines de signaler chaque fois qu’une entité non américaine utilise leur cloud pour entraîner un grand modèle de langage.

L'administration Biden a indiqué qu'elle prenait une série de mesures pour empêcher la Chine d'utiliser la technologie américaine pour l'intelligence artificielle, car ce secteur en plein essor soulève des problèmes de sécurité. Les États-Unis « essaient autant que possible de priver la Chine de la puissance de calcul dont elle a besoin pour former ses propres modèles (d'IA), mais à quoi cela sert-il s'ils contournent le problème pour utiliser notre cloud pour former leurs modèles ? », a déclaré Raimondo.

En décembre, Raimondo a déclaré que le département du commerce ne permettrait pas à Nvidia « de livrer les puces d'IA les plus sophistiquées et les plus puissantes, qui permettraient à la Chine d'entraîner ses modèles d'avant-garde ». Le gouvernement américain s'inquiète de voir la Chine développer des systèmes d'IA avancés pour diverses raisons de sécurité nationale et a pris des mesures pour empêcher Pékin de recevoir des technologies américaines de pointe afin de renforcer son armée.

Sources : Federal Register, Bureau of Industry and Security

Et vous ?

Quels impacts pensez-vous que la réglementation KYC aura sur la vie privée des utilisateurs du cloud ?
La sécurité accrue justifie-t-elle les inconvénients potentiels pour les utilisateurs légitimes du cloud ?
Comment les fournisseurs de services cloud peuvent-ils équilibrer les exigences de conformité avec la protection de la confidentialité des clients ?
Quelles pourraient être les conséquences inattendues de l’application de ces règles pour les startups et les petites entreprises ?
Les mesures KYC sont-elles une réponse proportionnée aux menaces de cyberacteurs malveillants ou vont-elles trop loin ?
Comment cette proposition pourrait-elle affecter l’innovation dans le domaine du cloud computing ?
Quelles alternatives pourraient être envisagées pour atteindre les mêmes objectifs de sécurité sans compromettre l’anonymat ?