L'April demande la publication de l'« accord de sécurité » entre Microsoft et l'État

Paris, le 20 octobre 2016. Communiqué de presse.

Lors de la diffusion de l'émission Cash Investigation consacrée à l'Open Bar Microsoft/Défense, Marc Mossé, directeur affaires publiques et juridiques de Microsoft France, a reconnu l'existence d'un « accord de sécurité » entre Microsoft et l'État français. L'April demande la communication de cet accord pour en connaître le périmètre exact et notamment s'assurer qu'il ne s'agit pas d'un « accord d'espionnage ».

Image extrait reportage Cash InvestigationDans l'édition du 18 octobre 2016 du magazine de France 2 Cash investigation a été diffusée une enquête sur le contrat « Open Bar » passé entre Microsoft et le ministère de la Défense (c'est la seconde enquête, à partir de la minute 42). L'enquête montre les possibilités de prise de contrôle, non autorisée, à distance, d'ordinateurs équipés de Microsoft Windows. Élise Lucet interroge Marc Mossé sur les failles de sécurité de Windows et sur la participation de Microsoft au programme de surveillance PRISM, selon les rélévations d'Edward Snowden (à partir de 1h 20 min sur la vidéo, lire notre transcription).

Marc Mossé réfute la participation de Microsoft au programme PRISM. L'échange se poursuit sur les failles de sécurité des logiciels de Microsoft :

Marc Mossé : « Je vais vous dire autre chose, je crois que je ne l'ai jamais dit. Ce n'était pas public jusqu'à maintenant. L'État français a un accord avec Microsoft pour bénéficier de toutes les informations techniques et de sécurité concernant les logiciels qu'il utilise »

Élise Lucet : « Cela veut dire que quand vous détectez une faille, vous communiquez cette faille au ministère de la Défense par exemple ? »

Marc Mossé : « Ce sont des accords dont je ne donnerai aucun détail, ce sont des accords de sécurité, l'État français bénéficie des informations nécessaires à la sécurité de ses systèmes d'information, en lien avec les produits Microsoft »

Marc Mossé ne donne donc aucun détail sur le périmètre de cet accord. S'agit-il de permettre à l'État français de connaître en avant-première les failles de sécurité des outils Microsoft qu'il utilise et de prendre les mesures de sécurisation nécessaires ? Peut-on vraiment accepter que la souveraineté informatique de l'armée dépende de la bonne foi d'une entreprise privée ? Par ailleurs, sachant que ces outils Microsoft sont aussi largement utilisés par d'autres États, par les entreprises, par le public… s'agirait-il pour l'État français d'être informé en avant-première de failles permettant l'espionnage de tiers ?

« Ce questionnement peut paraître exagéré mais nous sommes désormais dans l'ère post Snowden. Il est essentiel que chacun puisse prendre connaissance de cet « accord de sécurité » entre Microsoft et l'État. L'April en demande donc la publication » a déclaré Étienne Gonnu, chargé de mission affaires publiques à l'April.

Image extrait reportage Cash InvestigationD'autant plus que, dans la même émission (vers 1h 05 min) le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense et qui a été membre du comité de pilotage chargé d'étudier la proposition d'accord « Open Bar » de Microsoft en 2007/2008 (comité présidé par Alain Dunaud, le directeur adjoint de la DGSIC de l'époque), reconnaît qu'il ferait aujourd'hui le même choix. Il ajoute même « Je m'en fous de ce débat-là. C'est un débat qui a plus de 4 ou 5 ans⁠ ce truc. Pour moi c'est un débat d'informaticiens, c'est un débat qui est dépassé ». L'April ne voudrait pas paraître dépassée, encore moins discourtoise, mais la vérité nous oblige à dire qu'il serait peut-être temps que le vice-amiral Arnaud Coustillière prenne sa retraite.

L'enquête de Cash Investigation rappelle que le choix de Microsoft est plus cher qu'un recours au logiciel libre (exemple de la gendarmerie nationale, à partir de 1 h 15 minutes) et moins sécurisé que le logiciel libre (voir les propos de Éric Filiol, ex lieutenant-colonel de l'armée de terre, directeur du centre de recherche de l'ESIEA, à partir de 1 h 7 min). Elle souligne également que les décideurs du ministère de la Défense sont passés outre les recommandations du groupe d'experts qu'ils ont eux-mêmes mandatés (voir les propos de Thierry Leblond, ingénieur général de l'armement, à partir de 46 minutes, propos confortés par des témoins masqués 1 et notre rappel chronologique depuis la signature du contrat initial).

« Et pourtant, personne au ministère de la Défense n'a fourni les arguments qui ont motivé la décision du contrat « Open Bar » avec Microsoft. On peut légitiment poser la question suivante : quelle est donc la contrepartie qui fait que ce contrat était un passage obligé pour le Ministère ? » a déclaré Frédéric Couchet, délégué général de l'April.

L'April profite de l'occasion pour rappeler que le logiciel libre est la brique de base nécessaire et essentielle pour la sécurité et la confiance dans l'informatique. Voir à ce sujet, notre tribune publiée dans Libération suite aux révélations d'Edward Snowden.

  • 1.

    Le journaliste, au téléphone avec un membre du groupe d'experts « Il y a une étude interne qui écarte le scénario Microsoft [note de l'April : comprendre le scénario Open Bar ]. Pourquoi cette étude n'a pas été suivie ? ».

    Réponse de la personne : « Je pense que la décision était prise avant même qu'on lance l'étude ». Un autre interlocuteur « Ce contrat, il y a des gens qui ont les fesses qui ne sont pas propres ».

    L'auteur du rapport du groupe d'experts : « Le seul scénario qui était déconseillé a été celui qui in fine a été retenu. Oui, on peut considérer que les recommandations n'ont pas été suivies. ».