La vogue de l'informatique externalisée offre aux entreprises et internautes la possibilité de réaliser des économies, mais elle est également à l'origine de nouveaux soucis de sécurité.
Grâce au nuage (cloud), les internautes peuvent stocker en ligne discothèques, bibliothèques et photos, tandis que des administrations fédérales américaines, comme la CIA, rendent leurs données accessibles partout dans le monde, ce qui entraîne des économies d'énergie et, a priori, est meilleur pour la sécurité du pays.
Des géants informatiques comme Microsoft, Google, Amazon et IBM sont des acteurs majeurs de ce secteur en plein essor, qui permet aux internautes et à des entreprises ou administrations de leur confier leurs données pour qu'ils les stockent sur leurs propres serveurs.
Pour certains spécialistes de la sécurité, cette évolution fait que ce n'est plus l'internaute qui est garant de la sécurité de ses données, mais le fournisseur de services.
«Cela devient beaucoup plus difficile pour les pirates, ce qui signifie que les pirates amateurs pourraient être dépassés», estime Stelios Sidiroglou-Douskos, chercheur au laboratoire sur l'intelligence artificielle à la prestigieuse université MIT (Massachusetts Institute of Technology).
«Les défenses peuvent être meilleures» avec le cloud, «mais si une attaque intervient, c'est très amplifié», ajoute-t-il.
Plusieurs incidents récents ont suscité des inquiétudes, visant notamment le réseau de jeux en ligne Sony PlayStation Network, l'an dernier, le réseau social pour professionnels LinkedIn ou encore la messagerie Gmail de Google. Un pirate a également revendiqué récemment le vol de coordonnées de cartes de crédit dans 79 grands banques.
«Les criminels visent des sources de valeur. Les réseaux de grandes entreprises offrent plus de cibles aux pirates», fait valoir Nir Kshetri, un professeur d'économie qui étudie la cybercriminalité à l'Université de Caroline du Nord à Greensboro.
«Les informations stockées dans le cloud sont une mine d'or potentielle pour les cybercriminels», ajoute-t-il, ce que ne reconnaissent pas toujours les fournisseurs de service.
«La réaction du secteur (des fournisseurs d'informatique externalisée) c'est que c'est plus sûr que tout ce qu'on utilise maintenant. Mais beaucoup d'utilisateurs ne sont pas d'accord», dit-il.
Marcus Sachs, ancien directeur du centre de sécurité Storm de l'Institut de technologies Sans, estime que même si le "cloud" peut être plus sûr que les systèmes traditionnels, il pose des problèmes nouveaux: «dans le cloud, on ne sait pas toujours où se trouvent les données», explique-t-il.
«Cela ne les rend pas moins vulnérables, et quand il faut les vérifier, ou les détruire, comment savoir qu'elles ont disparu?».
En outre M. Sachs note le danger des «faux clouds», des systèmes présentés comme des alternatives bon marché à ce qu'offrent des grands groupe qui en fait sont gérés par «des groupes criminels qui surveillent et volent les données».
"On en a vu, pas aux Etats-Unis, mais dans l'ancienne Union soviétique et en Chine", assure-t-il.
Se posent aussi des questions juridiques, notamment pour savoir qui est responsable si des données sont perdues, et l'accès que peuvent y avoir des services de police.
"Les questions de confidentialité, de sécurité et de propriété tombent dans des zones grises de légalité", note M. Kshetri.
A ce stade, résume M. Sidiroglou-Douskos, les systèmes d'informatique externalisée facilitent la tâche des services de police, mais "si votre plus grande inquiétude, c'est un pirate installé en Russie, alors peut-être qu'une infrastructure de 'cloud' est mieux pour votre sécurité".