Microsoft a ajouté un dernier système de chiffrement à son service de webmail Outlook.com et à son service de stockage dans le cloud OneDrive, afin de mieux les protéger contre d'éventuelles actions d'espionnage des gouvernements. « Notre objectif est d'offrir une plus grande protection aux données dans tous les services de Microsoft. C'est aussi une façon pour nous d'obliger les gouvernements à ne pas utiliser de méthodes brutales et à passer par des procédures juridiques appropriées, s'ils veulent avoir accès à ces données », a écrit dans un blog Matt Thomlinson, vice-président de Microsoft, Trustworthy Computing Security.

Ces aménagements interviennent après la mise en place des dernières dispositions de sécurité par certains fournisseurs de services cloud. Par exemple, en avril, Google a annoncé le chiffrement de bout en bout de son service Gmail, y compris pour la protection des e-mails quand ils transitent entre les datacenters de Google. Et le fournisseur a récemment annoncé le chiffrement end-to-end de son service de stockage dans le cloud Google Drive. Microsoft n'a pas précisé si la nouvelle protection couvrait les messages d'Outlook.com et les fichiers de OneDrive quand ils transitent par les datacenters de Microsoft. On ne sait pas non plus si jusqu'ici les services OneDrive et Outlook.com bénéficiaient ou non d'une quelconque protection cryptée et Microsoft n'a pas répondu à une demande de commentaire à ce sujet.

Microsoft s'était engagé en décembre à chiffrer ses services cloud

Les fournisseurs de cloud comme Microsoft, Google, Amazon et d'autres ont été ébranlés par les divulgations de l'ex-consultant de la National Security Agency (NSA) Edward Snowden, qui a permis à leurs clients de savoir que le gouvernement américain espionnait les communications en ligne. Depuis ces révélations, ces entreprises s'emploient à renforcer le chiffrement de leurs systèmes, tout en faisant pression sur le gouvernement américain pour qu'il cesse sa surveillance furtive et généralisée des services Internet. En décembre dernier, Microsoft a fait savoir qu'il améliorerait dans l'année à venir le chiffrement de ses services cloud grand public et professionnels, et en particulier Outlook.com, sa plate-forme Azure, Office 365 et d'autres produits. L'annonce faite hier fait partie de cette stratégie de protection des données engagée l'an dernier.

À l'époque, Brad Smith, le conseiller juridique de Microsoft, avait déclaré que Microsoft était « particulièrement alarmée par les récentes allégations parues dans la presse au sujet des vastes actions concertées menées par certains gouvernements pour contourner les mesures de sécurité en ligne - et selon Microsoft, des processus et des protections juridiques - afin de collecter à l'insu de tous des données privées. En particulier, certains articles de presse parlent d'interception et de collecte de données privées par le gouvernement - sans mandat de perquisition ou sans assignations juridiques -  quand elles sont échangées entre clients et serveurs ou entre les datacenters des entreprises ». Celui-ci avait ajouté que, si ces informations se vérifiaient, cet était de fait risquait de « porter gravement atteinte » à la sécurité et à la confidentialité des communications en ligne, et transformerait l'espionnage gouvernemental « en menace persistante avancée au même titre que les malwares sophistiqués et les cyber attaques ».

Mardi, l'éditeur a déclaré que le courrier entrant et sortant de Outlook.com était désormais protégé par une couche de chiffrement Transport Layer Transport (TLS) quand les données sont transmises ou sortent des systèmes de messagerie de Microsoft. Néanmoins, si un autre fournisseur de service de messagerie est impliqué dans l'échange, il faut également qu'il implémente le TLS de son côté pour verrouiller le système. C'est pourquoi Microsoft a travaillé avec d'autres grands fournisseurs de services de courrier électronique internationaux pour qu'ils adoptent plus largement le TLS. Outlook.com est désormais protégé par le chiffrement Perfect Forward Secrecy (PFS). Comme l'explique Matt Thomlinson, le PFS utilise une clé de chiffrement différente pour chaque connexion, « ce qui complique la tâche des attaquants qui veulent déchiffrer les connexions ». Le support du PFS a également été ajouté au site de OneDrive, à l'application mobile et aux clients de synchronisation desktop. « Comme dans le cas du transfert de mail d'Outlook.com, le PFS rend plus difficile le décryptage des données échangées entre leurs systèmes et OneDrive », a-t-il encore écrit.

Le vice-président de Microsoft, Trustworthy Computing Security, a également annoncé l'ouverture du premier Microsoft Tranparency Center à Redmond, Washington, où se trouve le siège de l'entreprise. Dans ces centres, des « gouvernements partenaires » vont pouvoir examiner le code source des principaux produits de Microsoft afin de vérifier qu'ils ne contiennent pas de « portes dérobées », a-t-il expliqué. L'idée est de rassurer ces gouvernements étrangers en montrant que Microsoft ne laisse pas le gouvernement américain accéder à ses systèmes cloud pour espionner les individus, les agences gouvernementales et les entreprises étrangères. Microsoft prévoit d'ouvrir d'autres centres ailleurs dans le monde. Un nouveau centre, annoncé en janvier, sera installé à Bruxelles.