Israël : utilisation d’un « code clin d’œil » secret demandée à Google et Amazon pour contourner des injonctions judiciaires

 (theguardian.com)
3 points par GN⁺ 2025-10-31 | 1 commentaires | Partager sur WhatsApp
  • Lors de la conclusion en 2021 du contrat cloud de 1,2 milliard de dollars (Project Nimbus), le gouvernement israélien a demandé à Google et Amazon d’utiliser un système de signal secret (« mécanisme du clin d’œil »)
  • Ce système permet, si une autorité judiciaire étrangère exige l’accès à des données israéliennes, à l’entreprise d’informer le gouvernement israélien qu’elle les a transmises via un signal de paiement chiffré
  • Selon les documents contractuels, un montant correspondant à l’indicatif téléphonique du pays (1 000 à 9 999 shekels) doit être viré dans les 24 heures et, s’il est impossible de révéler le pays, 100 000 shekels doivent être versés
  • Le contrat comprend aussi une clause interdisant de restreindre ou d’interrompre l’accès du gouvernement israélien au cloud, ce qui garantit le maintien du service même en cas de questions liées aux droits humains ou de changement de politique
  • Des experts estiment que ce mécanisme constitue une pratique risquée susceptible de contourner des obligations légales, tandis que Google et Amazon nient toute tentative d’échapper à des obligations juridiques

Vue d’ensemble du contrat Project Nimbus

  • Conclu en 2021, Project Nimbus est un contrat de sept ans dans lequel le gouvernement israélien stocke des données publiques et militaires dans les centres de données commerciaux de Google et Amazon
  • Le contrat, fondé sur des documents du ministère israélien des Finances, inclut des dispositions selon lesquelles Google et Amazon ont modifié leurs procédures internes et subordonné leurs conditions contractuelles standard aux exigences israéliennes
  • Dans une note interne, le gouvernement israélien a estimé que « les entreprises ont compris la sensibilité du gouvernement et accepté ses demandes »

Fonctionnement du « mécanisme du clin d’œil »

  • Si un tribunal étranger exige la remise de données israéliennes et émet une ordonnance de confidentialité (gag order), l’entreprise avertit le gouvernement israélien via un signal de paiement
    • Exemple : États-Unis (+1) → virement de 1 000 shekels, Italie (+39) → virement de 3 900 shekels
    • S’il est impossible d’indiquer le pays, 100 000 shekels (environ 30 000 dollars) sont versés
  • Ce système est décrit sous la forme d’une « compensation spéciale » (special compensation) et doit être payé dans les 24 heures suivant la transmission de l’information
  • Des experts juridiques soulignent que cette méthode pourrait violer des obligations de confidentialité imposées aux États-Unis
    • Ancien juriste du gouvernement américain : « C’est astucieux sur le plan juridique, mais dangereux »
  • Les documents israéliens reconnaissent eux aussi un risque de conflit avec le droit américain, en indiquant que les entreprises pourraient se retrouver dans une situation où elles devraient choisir entre violer le contrat ou violer la loi

Position de Google et d’Amazon

  • Les deux entreprises nient contourner des injonctions légales
    • Google : « L’affirmation selon laquelle nous contournerions des obligations légales imposées par le gouvernement américain ou tout autre État est totalement fausse »
    • Amazon : « Il n’existe aucune procédure permettant de contourner une injonction légale »
  • Google a réaffirmé que « le contrat Nimbus fonctionne conformément à ses conditions de service existantes et à sa politique d’utilisation acceptable »
  • Un porte-parole du ministère israélien des Finances a rétorqué que « l’idée selon laquelle les entreprises seraient forcées à enfreindre la loi est sans fondement »

Clause d’interdiction de restriction d’accès

  • Le contrat précise que Google et Amazon ne peuvent ni restreindre ni interrompre l’accès du gouvernement israélien au cloud
    • L’accès doit être maintenu indépendamment d’un changement de politique, de controverses liées à des violations des droits humains ou d’une éventuelle violation des conditions d’utilisation
  • À l’exception des violations du droit d’auteur ou de la revente de technologies, tous les usages de service autorisés par le droit israélien sont possibles
  • Cette clause a été insérée pour éviter le risque d’une interruption de service sous la pression d’organisations de défense des droits humains ou d’actionnaires
  • Un responsable israélien : « Il n’y a aucune limite aux informations pouvant être placées dans le cloud, y compris les données militaires et de renseignement »
  • En cas de violation du contrat, des sanctions financières et des poursuites judiciaires sont possibles

Contexte et cas comparatif

  • En septembre 2025, Microsoft a bloqué une technologie utilisée pour faire fonctionner un système de surveillance de civils palestiniens, coupant l’accès de l’armée israélienne à Azure
    • Motif : « Nous ne soutenons pas la surveillance de masse des civils »
  • Dans le cadre du contrat Nimbus, Google et Amazon ne pourraient pas prendre une telle mesure, celle-ci étant considérée comme « une discrimination envers le gouvernement israélien »
  • Le ministère israélien des Finances a indiqué que « le contrat est composé d’obligations strictes protégeant les intérêts fondamentaux de l’État »

Experts et débats à venir

  • D’anciens procureurs américains et responsables de la sécurité estiment que le mécanisme du clin d’œil respecte la lettre de la loi tout en pouvant en violer l’esprit
  • D’après les documents du gouvernement israélien, les entreprises sont conscientes d’un risque de conflit entre les injonctions légales et leurs obligations contractuelles
  • Google et Amazon n’ont pas répondu aux questions sur l’usage effectif de ce mécanisme
  • Amazon s’est contenté d’indiquer qu’il disposait de « procédures mondiales strictes pour répondre aux demandes de données fondées sur des injonctions légales »

À lire aussi

1 commentaires

 
GN⁺ 2025-10-31
Avis Hacker News

  • Alors que Microsoft a déclaré que l’usage d’Azure violait les conditions d’utilisation et qu’il ne « coopère pas à une surveillance de masse des civils », Google et Amazon étaient empêchés, par le contrat Nimbus, de discriminer le gouvernement israélien. En cas de non-respect, ils s’exposaient à des sanctions juridiques et des amendes. La situation est profondément contradictoire

    • À en juger uniquement par l’article, ce n’est pas forcément une histoire si folle. Je n’ai jamais vu les documents divulgués moi-même, et on n’a guère plus qu’une affirmation selon laquelle il existait un « code secret », sans éléments concrets suffisants
    • Dans le cadre juridique américain, il est risqué qu’un pays autre que les États-Unis conclue ce type de contrat. Au final, Amazon et Google restent structurellement contraints de suivre la volonté de Washington
    • Ce genre de contrat est suicidaire. Même si la plateforme se fait pirater, il n’y a aucun moyen de s’y opposer si l’autre partie affirme ensuite qu’il s’agissait d’un « accès autorisé par contrat »
    • La capitulation sans fin face à Israël est le symbole d’un échec social. Si un pays peut agir au-dessus des lois sans être sanctionné, alors c’est déjà une société en échec

  • Le passage dissimulé vers le milieu de l’article est intéressant. Selon un document divulgué du ministère israélien des Finances, Google et Amazon devaient virer au gouvernement israélien des montants alignés sur l’indicatif téléphonique international de certains pays. Par exemple, les États-Unis (+1) correspondent à 1 000 shekels, l’Italie (+39) à 3 900 shekels, et s’il était impossible d’indiquer le pays, il fallait même verser 100 000 shekels

    • Mais ce système est truffé de bugs, notamment parce que le Canada utilise aussi +1, entre autres collisions de codes
    • Une telle structure crée au contraire le risque d’un autre délit, à savoir des virements frauduleux
    • Il est impossible qu’une clause pareille ait été insérée à l’insu des équipes juridiques. Ce type de contrat passe forcément par une revue des équipes juridique, opérationnelle et financière
    • Il est extrêmement improbable qu’un commercial ait pu approuver de son propre chef un contrat avec un gouvernement étranger
    • Le fait d’avoir mis une telle clause par écrit revient à documenter une entente criminelle. En termes de bon sens, cela n’a aucun sens

  • Cette structure est encore plus dangereuse qu’un warrant canary. Le simple fait d’effectuer un virement d’un montant précis peut déjà être interprété comme le signal d’une violation d’une injonction secrète

    • Il est surprenant que des avocats aient intégré ce genre de dispositif « mignon » dans un contrat. On se demande pourquoi cela a été autorisé alors que le risque d’illégalité est élevé
    • On dirait un dispositif imaginé par des non-professionnels fascinés par les films de détective. Il n’y a aucune raison que cela tienne juridiquement
    • Un canari repose sur l’idée de « signaler régulièrement un état normal », alors qu’ici on est simplement au niveau de « clignez trois fois si on vous le demande », soit un code très superficiel
    • Il n’y a même pas besoin d’envoyer de l’argent. Il suffirait d’écrire « 1 000 » dans un e-mail. Au fond, c’est l’acte même de communication secrète qui serait interdit

  • Google pourrait en pratique ne jamais effectuer ce type de « virement spécial ». La plupart des contrats comportent des clauses interdisant de violer la loi, donc l’entreprise pourrait simplement l’ignorer

    • Mais il existe déjà des documents divulgués par Snowden indiquant qu’Israël reçoit des flux de données non identifiantes de la part des États-Unis. Officiellement, on parle de « gentleman’s agreement », mais en réalité tout le monde le sait peut-être déjà
    • Si un tribunal israélien inclut la perte d’actifs informationnels dans l’évaluation du préjudice subi sur le territoire national, Google s’exposerait à des dommages-intérêts considérables. Le point essentiel est qu’une saisie d’actifs locaux deviendrait alors possible
    • Israël pourrait aussi recruter quelqu’un parmi les employés internes comme source de renseignement pour surveiller la situation. Le simple fait de discuter de « ne pas prévenir » constitue déjà un signal informationnel
    • Si cela relève seulement d’une violation contractuelle, l’affaire pourrait se terminer sur le terrain civil plutôt que pénal
    • Mais certains soutiennent que la signature même du contrat constituerait d’emblée une entente pénale. En pratique, la probabilité de poursuites reste toutefois faible

  • Je me demande pourquoi les montants des virements varient selon les pays. Cela ne permettrait au fond de savoir que quel pays a formulé la demande, mais c’est peut-être aussi un mécanisme destiné à une réponse de renseignement spécifique à chaque État

  • Au départ, je pensais qu’il s’agissait simplement d’un contrat de cloud pour l’administration, mais il pourrait en fait s’agir d’une infrastructure de surveillance internationale et d’opérations cyber. Le cloud est rapide et accessible dans le monde entier

  • Il est assez amer de constater qu’aujourd’hui même les gouvernements ne savent plus faire tourner leurs propres serveurs et dépendent d’AWS, Azure et GCP

    • En internalisant, ils ne pourraient pas profiter des gains liés aux investissements boursiers, donc il est plus avantageux de confier cela aux grands fournisseurs de cloud
    • Les acheteurs de cloud ont plus d’influence que les personnes qui savent réellement gérer des serveurs
    • La plupart des aides extérieures des États-Unis sont en réalité réinvesties dans des entreprises américaines, et Israël ne fait pas exception. Article lié : enquête de The Intercept

  • Si le gouvernement américain demandait des données via une injonction non publique (FISA, NSL, etc.) et que Google ou Amazon en informaient Israël, il s’agirait d’un crime passible de prison

    • Mais il est peu probable que Google fasse passer Israël avant les États-Unis. Il s’agit sans doute plutôt d’un dispositif destiné à d’autres pays
    • Dans un pays qui applique strictement la loi, cela serait évidemment sanctionné
    • Tout dépend de l’État qui donne l’ordre et de l’étendue de l’injonction secrète. S’il s’agit d’une injonction fédérale américaine, ce type de « virement-clin d’œil » serait clairement interdit
    • Cette structure repose sur des virements fondés sur l’indicatif téléphonique d’un pays donné, ce qui laisse penser qu’elle a été conçue pour répondre aussi à de simples injonctions locales

  • Même en laissant Israël de côté, tout gouvernement devrait protéger ses propres données avec des clés de chiffrement qu’il contrôle lui-même. Dépendre des clés du fournisseur de cloud est dangereux

    • Mais si un État démocratique exigeait ce type de clause de communication secrète, ce serait extrêmement choquant. Et si Israël n’est pas une démocratie, alors il est aussi problématique que Microsoft fasse affaire avec un tel gouvernement
    • Certains estiment aussi que la comparaison simple ne tient pas, puisque Israël fait l’objet de mandats de la CPI et d’une décision de l’ONU sur un génocide
    • Le problème est aussi que ce type de contrat est clairement illégal au regard du droit américain et qu’aucun autre pays ne pourrait bénéficier d’un tel traitement de faveur

  • Le service juridique d’Alphabet a déclaré qu’il ne « contourne pas les obligations légales imposées par le gouvernement américain », mais cette formule est suffisamment litigieuse pour être débattue devant un tribunal