USA: La proposition américaine « Know Your Customer » mettra fin aux utilisateurs anonymes du cloud
-
Fin janvier, le ministère américain du Commerce a publié un avis de proposition de réglementation visant à établir de nouvelles exigences pour les fournisseurs d’infrastructure en tant que service (IaaS). La proposition se résume à un régime « Know Your Customer » pour les entreprises exploitant des services cloud, dans le but de contrer les activités des « acteurs malveillants étrangers ». Pourtant, malgré l’accent mis sur l’étranger, les Américains ne pourront pas éviter les exigences de la proposition, qui couvrent entre autres les CDN, les serveurs privés virtuels, les proxys et les services de résolution de noms de domaine.
Pourtant, depuis longtemps, l’accès à certains services, en ligne ou hors ligne, n’est accordé que lorsque le client prouve son identité.
Souvent liées à des produits financiers, mais dans de nombreux cas, des transactions monétaires/biens de base effectuées en ligne, en communiquant un nom, une adresse, une date de naissance et des détails similaires, peuvent accroître la confiance dans le fait qu’une transaction aura plus de chances qu’improbable de se dérouler comme prévu. Dans certains cas, notamment lors de l’achat de produits soumis à des restrictions, la preuve de l’identité peut être une condition de vente.
Depuis de nombreuses années, les entreprises opérant dans l’espace en ligne se contentent de faire affaire avec des clients sans vraiment les connaître.
Dans certains cas, où les entreprises comprennent que l’absence de friction est précieuse pour le client, une adresse e-mail a longtemps été considérée comme suffisante. Si la carte de crédit ou de prépaiement finalement utilisée pour payer un produit dispose de suffisamment de crédit et n’est pas volée, il semble y avoir très peu de raisons de s’inquiéter. Cependant, pour de nombreux gouvernements, tout niveau d’anonymat peut susciter des inquiétudes, et si cela signifie démasquer tout le monde pour identifier quelques mauvais acteurs, qu’il en soit ainsi.
Améliorer la détection et la prévention des cyberactivités malveillantes étrangères
Les menaces perçues et réelles émanant d’acteurs étrangers obscurs sont quelque chose que peu de pays peuvent éviter. Que ce soit à l’Ouest ou à l’Est, les informations faisant état d’ingérences relativement discrètes menant à des piratages malveillants, voire à des attaques contre des infrastructures clés, deviennent une réalité de la vie moderne.
Après des années de discussions, le ministère américain du Commerce a publié fin janvier un projet de réglementation dans l’espoir de réduire les menaces qui pèsent sur les États-Unis. Si elle est adoptée, la proposition établira un nouvel ensemble d’exigences pour les fournisseurs d’infrastructure en tant que service (IaaS), souvent appelés fournisseurs d’infrastructure cloud, afin de refuser l’accès aux adversaires étrangers.
Le principe est relativement simple. En mettant en place une procédure d’inscription plus rigoureuse pour les plateformes telles qu’AWS d’Amazon, par exemple, le risque que des acteurs malveillants utilisent les services cloud américains pour attaquer les infrastructures critiques américaines ou porter atteinte à la sécurité nationale d’une autre manière peut être réduit. Le Bureau de l’industrie et de la sécurité a noté ce qui suit dans son annonce fin janvier.
La règle proposée introduit des réglementations potentielles qui obligeraient les fournisseurs d’infrastructures cloud américains et leurs revendeurs étrangers à mettre en œuvre et à maintenir des programmes d’identification des clients (CIP), qui incluraient la collecte d’informations « Connaître votre client » (KYC). Des exigences KYC similaires existent déjà dans d’autres secteurs et visent à aider les prestataires de services à identifier et à gérer les risques potentiels posés par la fourniture de services à certains clients. Ces risques incluent la fraude, le vol, la facilitation du terrorisme et d’autres activités contraires aux intérêts de sécurité nationale des États-Unis.
Bien qu’elle soit censée viser des menaces externes, seule une identification positive de tous les clients peut éliminer la possibilité qu’un utilisateur national « innocent » ne soit pas en réalité un acteur malveillant étranger. Ou, selon la proposition, n’importe qui (ou toutes les personnes) d’une juridiction spécifiée, à la discrétion du gouvernement. Sur notification des fournisseurs IaaS, cela pourrait inclure des personnes étrangères formant de grands modèles d’intelligence artificielle « dotés de capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes ».
Portée des programmes IaaS et d’identification des clientsSelon la règle proposée, les programmes d’identification des clients (CIP) exploités par les fournisseurs IaaS doivent collecter des informations auprès des clients existants et potentiels, c’est-à-dire ceux qui sont au stade de la demande d’ouverture d’un compte. Le strict minimum comprend les données suivantes : le nom du client, son adresse, le moyen et la source de paiement du compte de chaque client, les adresses e-mail et les numéros de téléphone, ainsi que les adresses IP utilisées pour l’accès ou l’administration du compte.
Ce qui constitue un IaaS est étonnamment vaste :
Tout produit ou service offert à un consommateur, y compris les offres complémentaires ou « d’essai », qui fournit du traitement, du stockage, des réseaux ou d’autres ressources informatiques fondamentales, et avec lequel le consommateur est en mesure de déployer et d’exécuter des logiciels non prédéfinis, y compris des systèmes et applications.
Le consommateur ne gère ni ne contrôle généralement la plupart du matériel sous-jacent, mais contrôle les systèmes d’exploitation, le stockage et toutes les applications déployées. Le terme inclut les produits ou services « gérés », dans lesquels le fournisseur est responsable de certains aspects de la configuration ou de la maintenance du système, et les produits ou services « non gérés », dans lesquels le fournisseur est uniquement responsable de garantir que le produit est disponible pour le consommateur.
Et cela ne s’arrête pas là. Le terme IaaS inclut tous les produits et services « virtualisés » où les ressources informatiques d’une machine physique sont partagées, comme les serveurs privés virtuels (VPS). Cela couvre même les serveurs « baremetal » alloués à une seule personne. La définition s’étend également à tout service pour lequel le consommateur ne gère ni ne contrôle le matériel sous-jacent mais passe un contrat avec un tiers pour l’accès.
“Cette définition engloberait des services tels que les réseaux de diffusion de contenu, les services proxy et les services de résolution de noms de domaine”, indique la proposition .
La règle proposée , Urgence nationale concernant des activités cybernétiques malveillantes importantes , cessera d’accepter les commentaires des parties intéressées le 30 avril 2024.
Compte tenu des implications pour les citoyens ordinaires, dont beaucoup s’accrochent déjà à ce qui reste de leur vie privée, la perspective de transmettre des informations hautement sensibles simplement pour obtenir un essai de produit est une réelle préoccupation. Le potentiel de fuite augmente à chaque divulgation, tout comme la possibilité que des informations personnelles finissent en vente sur le dark web.
C’est là que les acteurs malveillants obtiendront les informations d’identification d’autres personnes pour se faire passer pour des utilisateurs réguliers lorsqu’ils seront soumis à un processus Know Your Customer. Pour les services IaaS eux-mêmes, les plus grands auront peu de problèmes à mettre en œuvre des programmes d’identification des clients et pourront même les considérer comme utiles. D’une part, ils peuvent aider à arrêter les acteurs malveillants et, d’autre part, profiter de l’opportunité de créer une base de données contenant les informations personnelles de chaque client.
A priori, même si la loi passe, je ne vois pas ce qui empêche les clients de services cloud américains de se faire héberger ailleurs (ni les pirates), mais c’est un nouveau serrage de vis. Un petit crochet bleu ou autre pacotille pour les clients identifiés ?