L’absence de souveraineté technologique illustrée par le routage du Cloud Public.
Préambule : localisation physique et juridique
Évidemment, vos fournisseurs de Cloud Public, tels AWS et Azure, vous garantissent disposer de datacenters situés sur le sol européen. Et à priori, ils ne vous mentent pas : ils disposent bien d’installations physiques. Peut-être même que ces installations exécutent vos machines virtuelles. Mais cette localisation physique présent-t-elle le moindre intérêt ?
La localisation physique est recherchée par les DSI pour des raisons principalement règlementaires. Le datacenter étant situé sur le sol européen, on considère que c’est le droit européen qui s’applique. Pourtant, le Cloud Act institue le contraire, puisqu’il offre un droit d’accès extraterritorial aux institutions américaines sur les datacenters des GAFA localisés à l’étranger.
De facto, si la localisation géographique de ces datacenters est européenne, leur localisation juridique est américano-européenne.
Localisation logique
La dualité localisation physique / localisation juridique est un sujet bien connu et abondamment commenté.
Mais il existe une dernière forme de localisation, beaucoup moins évidente, et pourtant bien plus stratégique. Il s’agit de la localisation logique.
Cette localisation est la moins abordée dans le débat public, peut-être parce qu’elle nécessite un certain nombre de compétences pour être discutée. Pourtant, cette localisation est déterminante.
Imaginons un cas purement théorique : votre datacenter est physiquement situé en France, et est opéré par la filiale française d’un grand groupe américain. On peut légitimement penser que les souverainetés française et américaine vont essayer de s’appliquer toutes les deux, donc se concurrencer. Imaginons maintenant que l’opérateur de ce datacenter fasse appel à un sous-traitant chinois gérant à la fois les interconnexions réseaux et le chiffrement de l’infrastructure de stockage. Qui a la souveraineté réelle ? Ni la France, ni les États-Unis. Il faudra l’intervention d’un tiers chinois pour accéder de manière effective aux données. Et ce tiers aura également le pouvoir de les intercepter.
Dans le monde réel, on sait cette souveraineté logique quasi intégralement aux mains des fournisseurs américains de Cloud Public. Ils gèrent l’infrastructure, ils gèrent le chiffrement des données, ils gèrent les dispositifs de sécurité, etc.
Tout le monde le sait déjà. Mais saviez-vous que d’un point de vue Réseau, vos machines sont en fait toutes localisées aux États-Unis ? Démonstration.
Localisation des IP publiques
Assignons une adresse IP publique à une machine virtuelle ou à un service PaaS, par exemple au sein d’une zone UE d’AWS.
Que nous dit un whois sur 15.188.123.180, adresse d’un Application Load Balancer d’AWS ?
Première curiosité, l’adresse dépend de l’ARIN (registre américain) mais elle est localisée en France, dépendant normalement du RIPE (registre européen).
Allons plus loin en cherchant à localiser cette adresse par un traceroute.
Celui-ci nous enseigne deux choses :
- lorsque nous visons, depuis la France, l’adresse de notre load balancer officiellement localisé en Europe, le premier saut hors de notre fournisseur d’accès est officiellement localisé… à Seattle ! Et dépend donc lui aussi de l’ARIN ;
- à partir de ce premier saut, AWS assure ensuite lui-même la totalité du routage, qui passe exclusivement par des adresses sous contrôle administratif américain.
On pourrait donc croire que l’ensemble du trafic émanant d’un client Français vers un load balancer AWS officiellement localisé en France passe physiquement par les États-Unis. En fait, c’est un peu plus compliqué. Quand on regarde la latence, on constate que c’est physiquement impossible : l’ensemble des routeurs traversés ne peuvent être que très proches. Que doit-on en conclure ?
Implications techniques
Techniquement, cela signifie vraisemblablement qu’AWS capte le trafic au plus proche (notamment pour des raisons de performance) et que les équipements sont géographiquement localisés dans les pays déclarés. AWS ne vous ment donc pas sur la localisation physique de ses services.
Néanmoins, de manière logique, l’espace d’adressage utilisé est la propriété d’AWS USA et dépend de l’autorité de l’ARIN. Concrètement, cela donne le pouvoir technique à AWS USA de modifier à sa discrétion les règles de son système de routage pour rediriger à la demande tout trafic jugé utile vers les points de passage de son choix, sans qu’il soit possible de le voir de l’extérieur. A l’inverse des détournements BGP classiques qui ne sont pas invisibles, comme on a pu le constater en juin 2019 lorsque la Chine a détourné le trafic européen.
Demain, à 10h32, peut-être que l’ensemble du trafic visant vôtre load balancer passera temporairement par des routeurs hébergés aux USA. Vous n’en saurez rien (modulo la latence) et aucun tiers ni aucune autorité politique ne pourra en avoir connaissance. Cela sera techniquement et administrativement invisible.
Implications juridiques
D’un point de vue juridique, il est curieux que la localisation « administrative » de ces adresses soit aux États-Unis.
Par exemple, si j’active le déchargement SSL sur mon load balancer, qu’est-ce que cela signifie ? Est-ce le droit applicable à AWS France ou AWS USA qui entre en jeu ? Quel droit va encadrer l’exploitation et le stockage de ces données déchiffrées, qui sont transmises à des adresses IP localisées aux États-Unis ?
Que faire ?
Si vos données n’ont pas de valeur, vous pouvez bien entendu faire comme si de rien était face à cette absence totale de souveraineté logique, qui porte sur les données, les infrastructures et les interconnexions réseaux. Vous pouvez également, comme Robin, vous dire que vous êtes protégés par un contrat.
Mais si cette situation vous déplaît, vous avez deux grandes familles de solutions :
- utiliser ces infrastructures avec des mécanismes complexes de chiffrement (peu sécurisé et lourd à mettre en place, vu que vous ne maitrisez pas les couches sous-jacentes) ;
- contracter avec un acteur notoirement fiable, soumis au même droit que vous et disposant d’une puissance économique dans le même ordre de grandeur que la vôtre ; nous avons en France des acteurs comme Outscale, OVH, Scaleway, Clerver Cloud…
Vous pouvez également choisir d’amener le Cloud dans vos datacenters et non l’inverse… avec dc-tomorrow.io !