https://arpokrat.com/fr/blog/tags/fisa/ Recent content in FISA on Arpokrat Hugo -- gohugo.iofrThu, 21 May 2026 00:00:00 +0000 https://arpokrat.com/fr/blog/illusion-of-sovereignty-cloud-act-fisa/ Thu, 21 May 2026 00:00:00 +0000 https://arpokrat.com/fr/blog/illusion-of-sovereignty-cloud-act-fisa/ <p>L’annonce a résonné comme un véritable « cri d’indépendance » dans les couloirs de Paris : la Première ministre a ordonné que le gouvernement français abandonne WhatsApp et Signal au profit d’Olvid, une application de messagerie présentée comme « native ». L’objectif affiché était clair : protéger les secrets d’État de la longue main des agences de renseignement étrangères.</p> <p>Cependant, une ironie amère s&rsquo;est rapidement imposée : le cœur d’Olvid — son infrastructure de serveurs — bat au sein d’Amazon Web Services (AWS), un géant américain.</p> <p>Pour le grand public, cela semble n’être qu’une simple question technique d’hébergement. Mais pour les <a href="https://arpokrat.com/fr/infrastructure">architectes de la cybersécurité souveraine</a> et ceux qui suivent la géopolitique des données, il s’agit d’une vulnérabilité politique de tout premier ordre.</p> <h2 id="extraterritorialité-et-conflit-de-souverainetés">Extraterritorialité et Conflit de Souverainetés</h2> <p>En s&rsquo;appuyant sur l&rsquo;infrastructure d&rsquo;Amazon, Olvid entre automatiquement dans l’orbite du <a href="https://wikipedia.org/wiki/CLOUD_Act">CLOUD Act américain</a>.</p> <p>L’analyse juridique de cette affaire révèle un scénario d&rsquo;insécurité juridictionnelle que la simple adoption d’une « application » nationale ne permet absolument pas de résoudre. Le point de bascule réside dans le concept de « contrôle » versus « localisation ».</p> <p>Le CLOUD Act a radicalement modifié le paradigme juridique en stipulant que la localisation physique du serveur n&rsquo;a aucune importance. L’obligation de coopération du fournisseur de services (ici, AWS) découle uniquement de son lien juridictionnel avec les États-Unis. Ainsi, Washington peut exiger des données auprès d’entreprises relevant de sa juridiction, même lorsque ces données sont physiquement stockées sur le sol européen.</p> <p>Sur le plan légal, cela crée un conflit frontal avec le Règlement général sur la protection des données (RGPD). La Cour de justice de l&rsquo;Union européenne (à travers les célèbres <a href="https://wikipedia.org/wiki/Max_Schrems">arrêts Schrems I et II</a>) a d&rsquo;ailleurs déjà établi que les lois de surveillance américaines n’offrent pas un niveau de protection équivalent à celui de l’Europe, car elles ne se limitent pas à ce qui est « strictement nécessaire ».</p> <blockquote> <p>La souveraineté numérique n’est pas un attribut du logiciel, mais une propriété de l’intégrité de la chaîne de garde.</p> </blockquote> <h2 id="le-spectre-du-fisa-et-la-fausse-promesse-du-chiffrement">Le Spectre du FISA et la Fausse Promesse du Chiffrement</h2> <p>Pire encore, cette dépendance à l&rsquo;infrastructure américaine place ces données sous l’ombre du <a href="https://wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act">Foreign Intelligence Surveillance Act (FISA)</a>, qui autorise la surveillance électronique à des fins de « renseignement étranger » visant des cibles situées hors des États-Unis.</p> <p>Face à ces menaces, Olvid affirme que son chiffrement de bout en bout constitue un bouclier suffisant. Du point de vue de l&rsquo;ingénierie de la vie privée, cette défense est dangereusement partielle.</p> <p>Le récent rejet par l’Assemblée nationale française des <em>backdoors</em> (portes dérobées) témoigne d’une résistance législative face à la vulnérabilité par conception. Pourtant, même si le contenu d&rsquo;un message est chiffré, l&rsquo;infrastructure centralisée d&rsquo;AWS expose les <strong>métadonnées</strong>. Savoir <em>qui</em> parle à <em>qui</em>, <em>quand</em>, <em>à quelle fréquence</em> et <em>depuis où</em> est souvent beaucoup plus précieux pour le renseignement étranger que le contenu du message lui-même.</p> <p>Le chiffrement protège le texte, mais le serveur centralisé trahit le réseau de contacts.</p> <h2 id="le-véritable-danger-reste-à-venir">Le Véritable Danger Reste à Venir</h2> <p>Tant que l’infrastructure européenne dépendra d’entités soumises à des statuts extraterritoriaux, la sécurité juridique de nos communications restera purement temporaire et illusoire.</p> <p>La sécurité nationale au XXIᵉ siècle exige bien davantage que de bonnes intentions législatives ou des boucliers logiciels de façade : elle exige une <a href="https://arpokrat.com/fr/os">indépendance totale de l&rsquo;infrastructure et du matériel</a>. Car si l&rsquo;interception de ces métadonnées et de ces paquets chiffrés semble inoffensive aujourd&rsquo;hui, elle nourrit en réalité la menace la plus dévastatrice de la prochaine décennie : la stratégie du <em>&ldquo;Collecter maintenant, déchiffrer plus tard&rdquo;</em>.</p> <p>Un secret d&rsquo;État intercepté aujourd&rsquo;hui n&rsquo;est qu&rsquo;une bombe à retardement mathématique.</p> <p><em>(Lisez la suite de notre analyse dans la Partie 2 : <a href="https://arpokrat.com/fr/blog/harvest-now-decrypt-later-hndl-zero-knowledge/">La Bombe à Retardement et l&rsquo;Impératif Zero-Knowledge</a>)</em></p>