A défaut de se mettre d’accord sur une réforme en profondeur de la loi FISA, Joe Biden signait le 22 décembre 2023 le National Defense Authorization Act.

Cette loi, passée quasi inaperçue chez nous, non seulement prolonge les prérogatives d’interception de données sans contrôle judiciaire des agences étasuniennes jusqu’en avril 2024 mais semble surtout élargir un peu plus son champ d’application : elle étend en effet les entreprises soumises à cette obligation depuis les fournisseurs de Cloud vers les équipementiers (potentiellement Cisco…) et les hosteurs (potentiellement Equinix ou Data41…).

Si ce sujet a fait émerger outre atlantique un large débat public sur ces pratiques et ses dérives (les GAFAM prenant officiellement partie contre), ce n’a pas été le cas en Europe où en France le député Philippe Latombe a été un des rares à évoquer le sujet.

Cette actualité est la dernière en date d’une longue série autour de la souveraineté des données, nous pourrions citer notamment les invalidations successives des Safe Harbor et Privacy Shield par les arrêts Shrems, les polémiques sur l’hébergement du Health Data Hub ou de Doctolib, l’impact réel des lois extraterritoriales américaines, la doctrine Cloud de l’État et son Cloud de confiance, la vulnérabilité aux fournisseurs américains, etc…

Les états et les entreprises se questionnent aujourd’hui sur leurs dépendances et la confiance à apporter envers leurs partenaires, leurs fournisseurs et les chaines logistiques qui les relient. Le numérique n’échappe pas à ses interrogations et vit lui aussi à l'heure des soubresauts géopolitiques et de la quête - à tort ou à raison - de souveraineté.

Cas pratique chez Amazon

Comment réagissent les fournisseurs Cloud dans ce contexte ? Tous les acteurs se prêtent à un petit jeu de transparence et d’engagement sur la confidentialité des données de leurs clients afin de gagner et maintenir leur confiance.

Pour Amazon, cette profession de foi prend notamment la forme chaque semestre de statistiques sur les différentes réquisitions judiciaires de données (« law enforcement information request ») traitées par l’entreprise sur les 6 derniers mois.

Cet exercice, peu médiatisé, peu discuté, est effectué depuis déjà 8 ans désormais : le premier rapport a été publié pour le premier semestre 2015.

Les données, fournies au format PDF et enfouies dans la profonde arborescence d’amazon.com (vous les trouverez ici) ouvrent à qui veut bien la possibilité d’analyser et mesurer (dans la limite de ce qui est fourni) dans le temps les interactions de AWS et de Amazon avec les autorités US et étrangères sur ce sujet sensible.

Le format et la ventilation des données communiquées a complètement changé lors du premier semestre 2020, ce qui oblige à une analyse différente entre ses époques.

Regardons de plus près !

Avant 2020

De 2015 au premier semestre 2020 inclus, Amazon fournit le détail par type de réquisitions judiciaires, on y trouve notamment :

  • Les « Subpoenas » : injonctions en provenance de diverses autorités américaines (tribunaux, avocats, agences, jurys) mais sans contrôle de fond préalable par un juge ou un magistrat
  • Les « Search warrants » : mandats de recherche délivrés par des tribunaux (locaux, étatiques, fédéraux) identifiant spécifiquement le lieu de la perquisition et les objets/données à saisir.
  • Les « Other court orders » : toutes autres ordonnances judiciaires en provenance de tribunaux qui ne seraient ni des Subpoenas, ni des Search Warrants.
  • Les « National security requests » : l’objet de tous les fantasmes et interrogations, il s’agit des réquisitions tombant sous le coup des NSL (« National Security Request ») et surtout de la très fameuse et méconnue loi FISA (« Foreign Intelligence Surveillance Act ») évoquée en introduction
  • Les « Non-US requests » : toutes les réquisitions et demandes émanant de l’extérieur des États-Unis

Si Amazon explique fournir uniquement des métadonnées (des « Non-Content » dans la taxonomie des rapports) dans le cas des Subpoenas, toutes les autres réquisitions peuvent faire l’objet de livraison de « vrais » contenus (« Content ») et/ou de métadonnées (« Non-Content »). Jusqu’en 2020, Amazon ne fournit pas de précisions sur la répartition entre les réponses de type « Content » et « Non Content ».

Sur cette période de 5 ans, Amazon fait cependant la différence selon la quantité de données effectivement fournies aux autorités en réponse aux réquisitions (cette distinction disparaitra dans les rapports après 2018). Trois niveaux sont distingués par Amazon :

  • « Full response » : toutes les informations demandées sont fournies
  • « Partial response » : seulement une partie des informations demandées est retournée
  • « No response » : chou blanc, aucune information n’est donnée par Amazon

📊 Toutes les données de cette période sont à retrouver dans le premier onglet du dashboard Looker Studio

Quelques enseignements sur la période :

  • La demande totale de réquisitions a été multipliée par presque 4 pour passer de 983 au premier semestre de 2015 à 3 644 en 2020
  • Les Subpoenas sont de loin les plus représentés : environ 18 000 sur la période contre 24 313 requêtes au total.
    Pour rappel, Amazon explique ne fournir dans le cadre des Subpoenas que des métadonnées (mais pour les lecteurs de Shoshana Zuboff, vous savez que les seules métadonnées sont déjà une riche mine d’information)
  • Si Amazon a tendance à répondre plutôt favorablement aux demandes émanant des institutions américaines (Environ 25% seulement des requêtes font l’objet d’un « No Response »), il n’en est pas de même pour les requêtes étrangères qui font face à 86% de « No Response ».

Depuis 2020

A partir de 2020, Amazon change donc son reporting en profondeur :

  • Le type de réquisition judiciaire disparait et n’est plus indiqué : « Subpoenas », « Search Warrants », « Others courts orders » sont agrégés dans le même indicateur.
  • Un distinguo par pays d’origine de la réquisition est en revanche ajouté : c’est la partie la plus croustillante !
  • Le niveau de réponse disparait (Full / Partial / No response)
  • La proportion de type de données apportée en réponse est précisée : « Content » ou « Non Content ».

📊 Toutes les données après 2020 sont dans le second onglet du dashboard Looker Studio

Là aussi, quelques enseignements :

  • Historiquement, les US sont friands de données hébergées par AWS (jusqu’à 70% des demandes en 2021S1) et l’Allemagne friande des données hébergées chez Amazon (45% du total).
    Néanmoins, une forte augmentation de réquisition de données en provenance de pays toujours plus nombreux tend à contredire ces proportions (émergence de l’Inde par exemple)
  • Si les réquisitions sont stables concernant Amazon, leurs nombres augmentent pour AWS : x2 en 2 ans.
  • Malgré tout, l’immense majorité des données demandées concerne Amazon (97,3%), et non AWS.

Autre particularité, en toute fin de document, Amazon répond désormais à cette question :

« How many requests resulted in the disclosure to the U.S. government of enterprise content data located outside the United States? »

Cette information est régulièrement mise en avant par AWS pour répondre aux inquiétudes de ces clients (par exemple ici lors du AWS Summit 2023). La réponse à cette question est la même dans chaque rapport semestriel : « None ».

Cas des National Security Requests

Depuis le premier rapport en 2015 et jusqu’à aujourd’hui, Amazon ne peut légalement indiquer le nombre exact de réquisitions de type NSL ou FISA reçues. Seule une fourchette est indiquée, et pour chaque semestre depuis le début des publications, cette fourchette se situe entre 0 et 249 requêtes.

Conclusions

Malgré cette abondance de données, il est très compliqué de tirer des conclusions de ces rapports. Prenons par exemple la transition entre les deux périodes :

  • Au premier semestre 2020 sont reportés 3 644 réquisitions dont 5% classées comme « Non US requests » (soit 195).
  • Au second semestre 2020 sont cette fois-ci déclarés 28 187 réquisitions dont 88% hors United States (soit 24 737, dont presque la moitié de l’Allemagne) !!

Amazon ne fournit aucune explication sur cette subite inflation dont la méthode de comptage est sans doute la principale explication.

Pris en première lecture, ces chiffres tendent à faire minimiser les risques de « détournement légal » des données stockées chez AWS par les administrations US : peu de données fournies (et quand elles le sont, principalement du « Non content »), peu de réquisitions concernant AWS, des demandes majoritairement en provenance de pays étrangers…

Pour autant, des zones d’ombre persistent, en particulier autour des NSL (incluant les requêtes sur base de la loi FISA) et de l’absence de mentions spécifiques sur le CLOUD Act. Rappelons que la loi FISA semble être un filet aux mailles fines et à l’étendue plutôt vaste, elle s’accompagne également d’une culture du secret dans son application extraterritoriale qui rend tout exercice de transparence par nature délicat, par exemple2 :

  • Une interdiction de prévenir les détenteurs des données peut accompagner les injonctions
  • Les détenteurs de données européennes ne peuvent bénéficier d’aucune des garanties constitutionnelles américaines de protection
  • Les personnes qui révéleraient l’existence des dispositifs de collecte et de surveillance peuvent faire l’objet de poursuites et de sanctions potentiellement très lourdes

Avec son « AWS European Sovereign Cloud » annoncé en octobre 2023, AWS tente une fois de plus de montrer patte blanche vis-à-vis de l’Europe et de convaincre les indécis et les perplexes. Effort sans doute vain, le vers étant dans le fruit et l’arsenal judiciaire états-unien étant constitué : il appartient au client lui-même de protéger ses données les plus sensibles, en choisissant éventuellement un autre partenaire mais surtout de manière plus pragmatique et systématique en les chiffrant, et ce quel que soit son fournisseur !

🛠️ Opendata

Toutes les données raw des rapports d’Amazon depuis 2015 sont disponibles librement.

Vous retrouverez toutes les informations ici :

Sur l’outillage, retrouvez toutes les infos sur le README du projet GitLab.


English version available on medium here

  1. Voir à ce sujet la réaction de Philippe Latombe sur le cas de data4 ↩︎
  2. "FISAA : les contours d’une loi trop négligée", Cairn, 2013 ↩︎
Antoine LAGIER

Antoine a réalisé pendant plusieurs années des projets d’infrastructure sur des sujets de stockage, de virtualisation, de supervision ou d’ordonnancement. Technophile avéré, il s'est tourné vers le conseil en Cloud Computing et transformation des DSI. Il fait partie de notre équipe Cloud Transformation. Antoine est un passionné de lecture et de musique - il débarque régulièrement à la péniche avec sa guitare ! C'est également un féroce adversaire au babyfoot...