• [^] # Re: Nationalité du logiciel?

    Posté par . En réponse au journal Il y a du chemin avant que nos dirigeants intègrent la notion de souveraineté à l'heure du numérique. Évalué à 9.

    Si tu héberges tes données dans la Drome sur un serveur Windows, tu pars du principe que 1) Microsoft a accès à tes données, et 2) le gouvernement US a légalement (au moins selon le droit US) le droit d'y accéder?

    Dans la mesure où un logiciel peut téléphoner à la maison, s'il peut être accédé ou contrôlé
    à distance (par exemple, en invalidant une licence, en installant une mise à jour, etc.) il est susceptible d'être corrompu. Après tout, il est théoriquement possible pour Microsoft d'installer une backdoor via Windows Update, volontairement ou non. C'est pareil pour tous les updaters automatiques pour Chrome, Firefox, Java, Adobe Acrobat. J'imagine que c'est peu probable en temps de paix, mais ce n'est pas à exclure en cas de conflit.

    Et par ailleurs c'est effectivement exactement pareil si le logiciel est libre. Si les mises à jour automatiques de RHEL sont activées tu pourrais te retrouver avec une backdoor au petit matin.

    Et c'est pareil pour les routeurs, je me souviens qu'à une époque on préconisait de mettre un routeur chinois derrière un routeur américain pour que les backdoors s'annulent mutuellement...

    Pour les clouds en France, il semble que l'usage est de les faire gérer par les filiales françaises de ces entreprises US, qui ne sont pas soumises au droit US.

    Il faut voir qui maintient les serveurs en pratique. En général il y a plusieurs shifts en fonction des zones géographiques (en fonction des fuseaux horaires) pour la maintenance 24/7 donc la maison-mère a techniquement le contrôle sur les datacenters en Europe et est donc techniquement en mesure de répondre aux requêtes de la mère patrie.

    Certes ce sont des choses qui semblent peu probables bien que "techniquement possibles" mais dans la mesure où ce type de requête ne peut généralement pas être rendue publique (ce qui justifie les divers canaris du genre "on n'a jamais transmis de données sur nos clients" dans les conditions en ligne), en fonction de ton niveau de paranoïa, si c'est techniquement possible c'est peut-être déjà un risque trop important.