D'après Forbes, Microsoft a confirmé avoir transmis au FBI des clés de récupération BitLocker permettant de déchiffrer des postes chiffrés, ces clés étant hébergées dans son environnement en ligne. L’incident met en lumière la distinction décisive entre chiffrement technique et contrôle effectif des secrets. Pour les organisations européennes, la question n’est plus seulement technique ou contractuelle, elle devient géopolitique et réglementaire.
BitLocker, intégré à Windows, est censé protéger les données en cas de perte ou de vol de matériel. Mais son efficacité dépend de l’endroit où la clé de récupération, ce code de secours à 48 chiffres, est stockée. Par défaut, sous Windows 11, cette clé est souvent envoyée sur le compte Microsoft de l’utilisateur ou dans l’annuaire d’entreprise. Ainsi, elle devient accessible à Microsoft et, en cas d’injonction judiciaire, aux autorités américaines. D’après un article de notre confrère Forbes aux États-Unis, Microsoft a reconnu recevoir environ 20 demandes par an de ce type, en précisant que la majorité échoue lorsque la clé n’a pas été sauvegardée en ligne.
L’accès remis en cause ne contourne pas le chiffrement, il exploite un mécanisme de sauvegarde pensé pour l’assistance et la récupération. Ce point, souvent ignoré des utilisateurs finaux, redéfinit la notion de confiance. Le chiffrement n’est solide que si le secret reste inatteignable par le fournisseur, que ce soit pour un particulier, une entreprise ou un secteur régulé.
Clés hébergées, clés inaccessibles : deux visions du chiffrement
On distingue deux modèles d’architecture. Dans le premier, la clé de récupération est déposée chez un tiers, par exemple dans le compte Microsoft ou dans une console d’administration Intune pour les entreprises. Ce schéma simplifie la gestion mais confère au fournisseur la capacité matérielle de fournir la clé à la demande, sous contrainte judiciaire.
Le second modèle, qualifié de « zéro connaissance », la clé de déchiffrement n’est pas accessible au fournisseur, ni stockée sur un service en ligne centralisé. Elle reste sur le terminal, dans un module sécurisé, ou dans un coffre-fort matériel contrôlé par le client. Seule cette approche empêche effectivement un accès par une autorité extérieure, quelle que soit la légitimité affichée de la demande.
Implications immédiates pour les organisations européennes
Pour les entreprises, ce débat n’est pas une abstraction. Si la clé de récupération BitLocker peut être retrouvée sur un tableau de bord en ligne ou administrée via un service cloud, elle peut aussi être transmise sur réquisition, dans le cadre légal du pays du fournisseur. L’architecture Microsoft Intune prévoit cette possibilité pour simplifier le support et la continuité opérationnelle, mais elle doit alors être intégrée comme une variable de gouvernance et de gestion des droits, avec toutes les conséquences sur la chaîne de confiance.
L’épisode BitLocker illustre la différence entre confidentialité promise et confidentialité effective. Le stockage, la gestion, l’accès et la journalisation des clés doivent être évalués comme des critères de conformité et de souveraineté à part entière, en particulier pour les secteurs sensibles ou régulés.
Quand la clé devient un instrument de pouvoir juridique
Au-delà de l’argumentation juridique avancée par Microsoft, l’incident révèle une mécanique structurelle qui dépasse le simple cadre technique. Une autorité nationale s’octroie une compétence extraterritoriale, impose son droit interne et s’appuie sur un acteur privé, ici Microsoft, qui détient le levier technologique. Ce schéma n’est pas propre à l’informatique, il est utilisé pour les sanctions économiques, les restrictions technologiques, ou, dans d’autres contextes, pour des actions beaucoup plus conflictuelles.
Dans le cas du chiffrement, la même logique juridique est transposée au numérique. L’utilisateur européen se retrouve exposé à une législation étrangère, même lorsqu’il respecte toutes les normes locales. La jurisprudence Schrems II a précisément tenté de formaliser ce risque systémique, non par rapport à des abus avérés, mais du fait de la possibilité même d’un accès non contrôlable par le client.
La question n’est donc pas seulement que Microsoft ait remis une clé dans un cadre jugé légitime, mais qu’il en ait la capacité technique et juridique. Dès lors, la clé hébergée devient un point d’appui stratégique susceptible d’être mobilisé contre un individu, une entreprise, voire tout un secteur, selon l’évolution des rapports de force et de la situation géopolitique.
Le RGPD face aux limites du chiffrement cloud
Le RGPD encadre strictement les transferts de données hors de l’UE. Depuis Schrems II, il ne suffit plus de garantir la localisation physique des données, il faut aussi évaluer les moyens d’accès dont dispose un fournisseur étranger, notamment via les clés de chiffrement. Une clé de récupération hébergée dans un cloud non européen est désormais considérée comme un point de vulnérabilité juridique. Les recommandations du CEPD, le Comité Européen de la Protection des Données (European Data Protection Board, EDPB en anglais) imposent des mesures complémentaires, notamment le chiffrement robuste avec une gestion des clés entièrement sous contrôle du client, pour que le fournisseur ne puisse pas accéder aux données même sous contrainte.
Cette évolution pousse les entreprises à réviser leurs analyses d’impact et leurs procédures d’achat, à documenter précisément la chaîne de détention des clés et à démontrer leur inaccessibilité réelle par des tiers non autorisés, sous peine d’exposition réglementaire et contractuelle.
Fournisseurs souverains, ce qui change vraiment
Les acteurs souverains, qu’il s’agisse d’éditeurs de solutions de chiffrement ou de prestataires cloud, disposent ici d’un véritable avantage concurrentiel. Ils peuvent démontrer qu’ils n’ont jamais accès aux clés, grâce à des architectures zéro connaissance ou à des dispositifs matériels (HSM) opérés exclusivement en Europe. Certains proposent des schémas de clés partagées, garantissant qu’aucun acteur seul ne puisse déchiffrer les données.
Pour les DPO, RSSI et responsables achats, la question de la souveraineté devient ainsi mesurable et vérifiable. Elle ne dépend pas du lieu d’hébergement, ce qui n’a jamais étét le cas, mais de la capacité démontrée à empêcher tout accès non autorisé, même sur injonction. Dans les appels d’offres, la description détaillée des mécanismes de gestion des clés, des audits et des processus de support sans « clé universelle » devient un critère aussi important que le prix, la disponibilité ou la performance technique.
