Microsoft menace la sécurité de l’Etat

4 septembre 2017  |  dans Enquêtes

Bureaux de Microsoft en Allemagne.

Bureaux de Microsoft en Allemagne.

C’était il y a 8 ans mais Camille* n’a jamais oublié cette journée d’enfer. Ce matin de la mi-janvier 2009, l’expert informatique du ministère de la Défense est appelé en urgence « pour régler un problème avec la Marine nationale ». Le militaire obéit mais quand il arrive au centre de commandement des opérations, il comprend vite qu’il n’est pas là pour réparer la connexion wifi. « C’était la pagaille ! 55 000 ordinateurs hors service, le réseau de diffusion restreinte à plat, les PC à terre, les PC embarqués. Bref, la presque totalité du parc informatique de la marine à l’arrêt », sue-t-il encore, dans ce café parisien où il a accepté de nous rencontrer. Le moment est particulièrement mal choisi, la Navale est au beau milieu d’une opération : « Les Rafales n’ont pas pu décoller… Quand aux bateaux, ils ont fini par communiquer avec la télégraphie, après ça il n’y avait plus que les pigeons voyageurs pour nous sortir de là ! ». A l’époque, le porte-parole du ministère n’a pas la même version que l’expert informatique… Il ne nie pas la panne, mais il jure qu’elle n’a affecté aucune activité opérationnelle.

Et pour ne rien gâcher à ce scénario digne d’un film catastrophe, le couac aurait été le résultat non de l’attaque d’une nation ennemie mais de la maladresse d’un haut gradé de la base navale de Toulon. Ce dernier aurait introduit par inadvertance une clef usb personnelle infectée sur le réseau interne de la marine, Intramar. Il n’en faut pas plus au virus Conficker qui a déjà fait plusieurs millions de victimes dans le monde, pour se répandre sur terre, en mer… Bonne nouvelle : l’attaque ne visait par l’armée française. Mauvaise nouvelle, en revanche : Conficker, un virus qui exploite une faille de Windows, avait été conçu pour infecter exclusivement les ordinateurs Microsoft… le principal fournisseur de la Navale.

Huit ans plus tard, alors qu’une cyberattaque massive – exploitant une faille de Windows XP – vient de bloquer des dizaines de milliers d’ordinateurs dans le monde, la défense comme les administrations françaises ne semblent pas avoir retenu les leçons du fiasco Intramar. En mai 2017 Wanacrypt, un logiciel malveillant utilisant une faille exploitée par la NSA et dévoilée par un groupe de hackers, pénétrait les passerelles de sécurité et rançonnait (300$ pour récupérer ses données) notamment le service national de santé britannique, Renault, ou encore le ministère des Affaires étrangères russe. Les administrations françaises qui ne travaillent majoritairement plus sous Windows XP, semblent, quant à elle, avoir été épargnées (« moins d’une dizaine d’entreprises privées ont été touchées, mais la situation peu évoluer » confirmait l’Agence nationale de la sécurité des systèmes d’information, interrogée à l’époque). Ce n’est que partie remise, croit savoir ce fonctionnaire du ministère de l’Intérieur : « Si l’attaque avait visé Windows 7 ou 10, les conséquences auraient été désastreuses ».

Alerte email reçue dans un service du ministère de l'Intérieur en mai 2017.

Alerte email reçue dans un service du ministère de l’Intérieur en mai 2017.

[Pour en savoir plus, voir également cette note de la Direction interarmées des réseaux d’infrastructure et des systèmes d’information de la défense (DIRISI) sur les risques de cyberattaques  : 20150717_np_dirisi-sea_no-406582-montee-en-version-d-internet-explorer-v11_01.pdf]

« Aujourd’hui c’est encore pire qu’en 2009 », jure Camille au ministère de la défense. Si une attaque comme celle de Conficker se produisait, cette fois ce serait les 200 000 PC de la Défense qui seraient infectés. Car « à quelques exceptions près -les sous-marins nucléaires par exemple- l’ensemble du système est aujourd’hui relié à internet et désormais toute la Défense est sous Microsoft ». De nouvelles attaques ont donc été enregistrées ? « Des attaques, il y en a tout le temps, dans 99 % des cas les hackers utilisent des failles Microsoft pour traverser la passerelle de sécurité. Pour vous donner un exemple de la vulnérabilité des outils comme la messagerie Outlook, en 2016, l’Annudef’ (l’annuaire du ministère de la Défense) a été téléchargé deux fois et on ne sait toujours pas par qui ». Interrogé, le ministère de la Défense n’a pas donné suite. « Les Chinois et les Américains développent leurs propres réseaux, s’énerve Camille, nous, avec Microsoft, on a donné les clefs à une entreprise américaine qui travaille avec la NSA. Bref, ce qui est aujourd’hui l’administration Trump ! »

Un nouveau contrat évalué à 120 millions sans appel d’offre

Et ce n’est pas fini. D’après un document interne (cf. ci-dessous) que nous nous sommes procuré, le ministère de la Défense renouvellera son contrat avec la firme de Redmond le 25 mai prochain. Une signature effectuée dans la plus grande discrétion mais qui se négocie pourtant depuis un an et demi (le 2 décembre 2015). « Windows III » -le nom du 3e contrat- n’est pas public mais son montant devrait s’élever au moins à 120 millions d’euros, d’après un document interne de la DIRISI (Direction interarmées des réseaux d’infrastructures et des systèmes d’information de la Défense)

Note interne du ministère de la Défense, 2015.

Note interne du ministère de la Défense, 2015.

(Pour télécharger l’intégralité du document, cliquer ici : Note-ministere-2015.pdf.

Pour en savoir plus, voir aussi les documents suivants :
Document 1 : 20150317_NP_DEF_DIRISI-SICO-SI_500518-MIGRATION-DES-SERVEURS-WINDOWS-SERVER-2003-..pdf
Document 2 : 20150727_NP_DIRISI-SECPART_NO-406874-COUT-DU-SUPPORT-WINDOWS-XP-ET-WINDOWS-SERV
Document 3 :  20151202_NP_EMAT-NP_NO-514447-RECENSEMENT-DES-BESOINS-EN-LICENCES-MICROSOFT

La première version de ce contrat, dit « Open bar » car il permet au ministère de la Défense de piocher librement dans l’offre de logiciels Microsoft (pour 100 euros HT/poste), passé sans mise en concurrence et contre l’avis des experts, avait été vivement critiqué à sa signature en 2009. Mais la commission des marchés publics de l’État (CMPE), avait validé ce contrat signé de « gré à gré » pour 82 millions d’euros. Cette dernière avait encore donné son aval en 2013, au moment de son renouvellement. Toutefois, cette commission ayant été abrogée juste après, en juin 2013, on se demande bien comment cette fois, le ministère de la Défense va pouvoir justifier « Windows III ». Une validation qui semble indispensable puisque le montant du contrat a augmenté de 31 % par rapport à 2009. Le ministère n’a pas donné suite, non plus.

Le rapporteur de la première Commission, Georges Rozen, lui, a bien une réponse : « C’était déjà illégal à l’époque, je ne vois pas pourquoi cela le serait moins aujourd’hui ! On m’a demandé de valider la décision politique émanant d’un cabinet, j’ai refusé, mais on ne m’a pas écouté ». L’expert que nous rencontrons dans son appartement parisien ne mâche pas ses mots : « Il n’y avait aucune raison de favoriser Microsoft, ils n’ont pas le monopole du traitement de texte… On était dans un délit de favoritisme, ce contrat aurait dû passer par une procédure de marché public, ça relève du pénal. Ce contrat aurait dû finir devant un tribunal, mais personne n’a osé ».  Difficile de ne pas s’interroger sur cette préférence que semble avoir le ministère pour les produits de la firme de Redmond. Plusieurs experts interrogés et quelques articles de presse avancent que Balard serait tenu de souscrire aux offres de Microsoft pour des raisons d’interopérabilité avec l’OTAN (la capacité des systèmes informatiques à fonctionner avec ceux de l’organisation internationale). Pourtant, à la lecture des documents ci-après, il semble que l’engagement commercial de l’OTAN et de la Défense française avec Microsoft n’ait pas toujours été une évidence. Et des contre-exemples existent : l’armée italienne a sérieusement engagé sa migration vers Linux, et jusqu’à présent elle en est toujours un membre important.

[Document 1 : NATO_Business_Proposal-Final_Expurgated1.doc
Document 2 : NATO_OSS_STRATEGY
Document 3 : partenariat_microsoft_AC_322-N20060039_ENG
Document 4 : partenariat_microsoft_GM_06_17
Document 5 : partenariat_microsoft_REPAN_CIS_16-2006]

Microsoft, désormais le premier fournisseur de logiciels de l’Etat

Le ministère de la Défense n’est pas la seule administration française à avoir signé avec le Tycoon américain. À l’exception notable de la Gendarmerie nationale – qui au prix d’une bataille ardue (cf. encadré en fin d’article) a entièrement migré sous Linux -, l’ensemble des ordinateurs des ministères français roulent désormais sous système d’exploitation Windows. Ces dernières années, certains d’entre-eux ont même suivi les traces du ministère de la Défense en passant également des accords spécifiques, à l’instar des ministères de la Culture (un contrat de deux millions, en novembre 2016), les ministères sociaux -Travail, Jeunesse et Sports, Santé- (11,8 millions, janv. 2014), de l’Education nationale (convention de mécénat, 13 millions d’euros, 2015). Aucun d’entre eux n’a jugé bon d’avoir recours à une procédure d’appel d’offres. Et fiscalité attractive oblige, tous les contrats (sauf mécénat) on été passés non pas par Microsoft France, mais par sa filiale irlandaise Microsoft Ireland Operations LTD. D’après une source interne au ministère des Finances, l’éditeur de logiciel américain serait désormais « le premier fournisseur de logiciels de l’Etat » (La source cite notamment les données qu’elle a pu récolter dans le logiciel de comptabilité interne Chorus : « Hors ministère de la Défense qui a son propre contrat « open bar », or licences OEM, l’État aurait dépensé entre 2010 et 2013, entre 48,3 millions et 42,7 millions d’euros par an – auxquels il faut ajouter les 5 millions/an des licences OEM »).

Des dizaines de millions chaque année, sans mise en concurrence, et autant d’administrations désormais liées à la firme la plus vulnérable aux attaques du monde*. Un phénomène qui est observé dans toute l’Europe. Du Portugal à la Finlande, de la Grèce à l’Irlande, les services informatiques des administrations publiques travaillent désormais avec les systèmes d’exploitation Microsoft. Au point que la Commission Européenne convient elle-même que l’Europe est dans une « captivité effective avec Microsoft » (effective captivity). Un choix intriguant quand on sait que la firme a été la première à collaborer avec la NSA, selon les révélations d’Edward Snowden. Mais si les responsables informatiques de plusieurs administrations, soumis à l’obligation de réserves des fonctionnaires, ont accepté de parler à Marianne, c’est que désormais ils savent qu’avec Donald Trump aux manettes, les risques pour l’État français sont décuplés. « Si demain Trump décide d’appuyer sur un bouton, il éteint tout le pays. Il peut aussi appuyer sur ‘record’, mais ça ils le font déjà », ironise un responsable informatique du ministère de l’Education. Le risque est là, mais Microsoft a des arguments convaincants.

Des liens très serrés

« Les signatures de ces contrats sont des décisions politiques qui émanent des cabinets, souvent contre l’avis des experts, comme dans le cadre du contrat Open bar ministère de la Défense, commente l’APRIL, l’Association de défense du logiciel libre. Il faut dire que les lobbyistes de Microsoft ont de très bonnes relations dans les ministères ». Le Canard Enchaîné et l’April avaient déjà souligné les liens très proches entre la firme de Redmond et certains élus. Ainsi le directeur des affaires publiques et juridiques de Microsoft est un ancien collaborateur de Robert Badinter, élu et militant socialiste. Un important lobbyiste chez Microsoft depuis janvier 2014 a été collaborateur parlementaire de trois sénateurs socialistes. Quant au directeur de l’innovation au sein de la division des services de Microsoft, il a œuvré au cabinet de trois ministres de l’Éducation nationale : Claude Allègre, Ségolène Royal et Jack Lang. Mais la liste est plus longue… On note également que l’ancienne « directeur law et corporate affairs » chez Microsoft a fait ses armes chez « SOS Racisme » avant de rejoindre l’équipe parlementaire de Claude Bartolone, ancien ministre de la Ville et président de l’Assemblée nationale. Ce dernier lui remettra d’ailleurs lui-même la légion d’honneur en 2013, en présence de Fleur Pellerin, ministre déléguée en charge des PME, de l’innovation et de… l’économie numérique. À la Défense, un nom circule aussi régulièrement : celui de l’ancien directeur adjoint de la DGSIC et ingénieur de l’armement, l’artisan principal du contrat Open bar, aujourd’hui en charge du « Secteur public-marché Défense » chez Sopra, partenaire de Microsoft. Interrogés, ni Microsoft France ni ces deux derniers n’ont accepté de répondre à nos questions.

Ces liens étroits ne sont pas surprenants pour un ancien lobbyiste de Microsoft qui a accepté de répondre à nos questions sous couvert d’anonymat : « Cela se passe dans le strict respect de la réglementation. Après, il y a des relations humaines qui opèrent. On rencontre les élus dans les cafés autour de l’Assemblée nationale et du Sénat ». Le professionnel n’hésite pas à citer le nom d’un ancien ministre qui a dû récemment démissionner qui pratique le même hobby que lui :  « C’est un copain, quand j’ai besoin d’un contact, je l’appelle. » Si on le croit, le lobbying auprès des élus opère aussi plus insidieusement : « Ce n’est pas un hasard, quand un parlementaire ouvre son ordinateur, il voit Windows…». Le professionnel n’est d’ailleurs pas le seul à opérer dans les hautes sphères de l’État : « Bill Gates ? Moi je ne l’ai pas fait venir mais d’autres l’ont fait venir à l’Elysée à l’époque de Sarkozy. La France, dans l’esprit de Bill Gates, c’est important, pas seulement pour le montant des contrats, mais pour le français, c’est la troisième langue au monde ». Le fondateur emblématique de Microsoft a passé le flambeau depuis 2014, mais il continue à avoir ses entrées à l’Elysée pour le travail qu’il effectue avec sa fondation. Le couple Gates vient d’ailleurs d’être décoré de la légion d’honneur le 24 avril dernier par le président Hollande… himself.

Mécénat à l’Education nationale

François Hollande avait déjà reçu son successeur, Satya Nadella, le 9 novembre 2015. Ce dernier venait signer un chèque de 83 millions d’euros d’investissement pour « La French Tech ». Mais pas seulement : à la surprise générale, dans la valise du magnat de l’informatique se trouvait également un cadeau en nature pour l’Education nationale. Des formations sur du matériel Microsoft pour les enseignants et les élèves de France, d’une valeur estimée -par Microsoft- à 13 millions d’euros. « Une manière de faire massivement entrer Microsoft dans les écoles françaises, d’habituer les élèves et les enseignants à travailler sur le matériel de la marque », rectifie la présidente d’Edunathon, le collectif d’associations qui s’est monté en réaction à l’opération de mécénat. Peu importe, « la convention » de 18 mois est signée 15 jours plus tard entre la ministre Najat Vallaud-Belkacem et le président de Microsoft France, le 26 novembre 2015.

Quant à la direction du service informatique du ministère, elle est mise devant le fait accompli. Dans son bureau du ministère, Mathieu Jeandron, son directeur, se rappelle l’évènement : « Personne n’était au courant. On m’a prévenu un petit peu après la visite de Satya Nadella, parce qu’on devait travailler sur le texte de l’accord ». Réactif, le service de Jeandron se rend compte qu’un point sensible n’est pas abordé : la protection des données des élèves et des enseignants. Un article est finalement ajouté qui prévoit la signature d’une charte par Microsoft. C’était il y a un an et demi… Au mois de mars 2017, ladite charte était toujours « en discussion à la CNIL ». Le plus drôle ? La convention arrive à son terme à la fin du mois de mai. « Même si elle n’est pas encore signée, rassure Mathieu Jeandron, nous avons obtenu que la messagerie soit hébergée sur les serveurs de l’Education nationale ». Nouveau hic : « Malheureusement nous n’avons pas pu le faire pour les services du cloud ». Les données stockées en ligne par les élèves et les enseignants… Regrettable.

Employés à demeure et adresses email maison

Mais parfois Microsoft n’a pas besoin de contrat pour franchir la porte des ministères. C’est ce dont s’est aperçu cet employé du service informatique du ministère de l’Intérieur. « Il y a régulièrement des employés de Microsoft dans nos bureaux, mais lui n’était pas identifié, ce qui est un problème quand on travaille dans un service avec des données sensibles », raconte-t-il. C’est le moins que l’on puisse dire : Julien G., consultant chez Microsoft depuis 2010 peut-on lire sur son profil Linkedin, dispose d’une adresse email maison. Avec un @interieur.gouv.fr accolé à son nom, le commun du ministère ne pouvait qu’ignorer que Julien G. était un employé de Microsoft « qui envoyait des instructions pour installer Windows 10 ». Le fonctionnaire intrigué par le lobbying insistant de son collègue, finit par tirer l’affaire au clair : « J’ai vu passer une facture à 0 euros à son nom sur le logiciel de comptabilité interne Chorale, j’ai compris qu’il n’était donc pas payé par le ministère ». Ce dernier n’a pas donné suite à notre demande d’interview.

À la Défense, un ministère aux données toutes aussi sensibles, cette pratique surprenante semble aussi avoir cours. Dans plusieurs documents internes de Microsoft que nous nous sommes procuré, nous nous sommes aperçu qu’au moins trois personnes employées de Microsoft -dont certains haut-placés- disposait également d’un email @Intradef.gouv.fr. Une simple formalité ? Un accès au réseau interne de Balard ? Le ministère n’a pas souhaité répondre mais Microsoft ne semble pas apprécier qu’on désactive parfois ces courriels… Dans un autre document, la firme se plaint « que les comptes @Intradef utilisés par ses intervenants sont toujours désactivés temporairement et que cela peut engendrer un retard dans les différentes missions qui lui sont confiées ». Pourquoi se gêner ? « Je ne savais pas qu’ils avaient des adresses emails intradef, répond Camille, mais plus rien ne me surprend, aujourd’hui, dans nos ministères, Microsoft est comme à la maison ».

Leïla Miñano avec Benoit Drevet et Loïc Tanant (Cash Investigation)

Cette enquête a été réalisée dans le cadre du projet « Investigate Europe », un consortium de 9 journalistes européens, partenaires de 13 grands médias européens qui ont réalisé la même enquête dans leur pays (voir l’ensemble des 13 publications).

NOTES : En France, suite à l’enquête parue dans l’hebdomadaire Marianne en mai 2017, une sénatrice interrogeait la ministre de la Défense et au président de la République, sur le renouvellement du contrat « Open Bar » – au moins 120 millions d’euros- entre le ministère de la Défense et Microsoft, réalisé sans appel d’offre (voir l’intégralité de la question sur le blog de la sénatrice).

Fin août, 3 mois plus tard, la ministre de la Défense confirmait devant le Sénat l’information publiée dans notre enquête, selon laquelle le contrat avait bien été renouvelé sans consultation publique, refusant toutefois d’en donner le montant (voir sa réponse sur le site de Next Inpact).

Last but not least, le 30 août dernier, l’entreprise Nexedi a annoncé son intention d’attaquer le ministère de la Défense et le contrat « Open bar » avec plusieurs autres entreprises européennes (lire le communiqué)

 

[Encadré]
La gendarmerie nationale : « Le village gaulois »

La gendarmerie nationale est aujourd’hui la seule administration française à travailler exclusivement avec des logiciels libres. Elle a commencé sa migration en 2008 avec le renouvellement de 40 000 ordinateurs utilisant le système d’exploitation Linux, dans l’optique de réaliser une économie de 8 millions d’euros par an par rapport à une solution « tout Microsoft », selon une note interne de la direction générale de la gendarmerie, datée du 11 décembre 2006 (cf. document ci-dessous). Dans cette note, les gendarmes pressentent déjà que cette migration ne se fera pas sans résistance : « Cette situation (la migration, ndlr) peut justifier aujourd’hui des actions ciblées pour empêcher ou discréditer la politique de la gendarmerie en matière de poste de travail ». Elle décide donc de garder profil bas : « De façon à ne pas être freinée dans sa progression par des influences exogènes, la SDTI (service des technologies et des systèmes d’information de la Sécurité intérieure) réalisera sans publicité cette migration technique vers Linux et ne s’investira en communication extérieure qu’une fois le processus devenu irréversible. »

Document interne à la gendarmerie nationale, 2006.

Document interne à la gendarmerie nationale, 2006.

(Pour télécharger la totalité du document, cliquer ici : Note-gendarmerie-2006.pdf)

Huit ans plus tard, d’après une enquête réalisée par Cash Investigation, entre 2008 et 2014, la GN a réalisé une économie de 20 millions d’euros. Un bilan qui toutefois ne semble pas convaincre sa hiérarchie au ministère de l’Intérieur, qui, d’après une source interne, « maintient une pression constante » pour qu’elle entame une migration inverse. « Chaque jour qui passe est une nouvelle gifle pour la direction des services informatiques qui continuent de prétendre que seul le système Microsoft marche ». Mais les gendarmes semblent avoir trouvé la parade :  « Aujourd’hui ils résistent en jouant au chat et à la souris avec le ministère. Ils ne sont pas dans le même immeuble donc ils font trainer, ne répondent pas au téléphone, esquivent les réunions. Mais jusqu’à quand ? » Dans une note interne datée du 14 avril 2016 que nous avons pu consulter, la Place Beauveau, par la voix de deux responsables de la direction des infrastructures, semble en effet vouloir sonner la fin de la recré. Pour des raisons de sécurité informatique, elle « propose de décider » que la gendarmerie migre sous Windows 10. Techniquement les gendarmes doivent obéir. Mais interrogé, « le village gaulois » – semble croire en « son indépendance » : « Depuis 2005, notre migration se déroule dans le calme et de manière durable ».

[Encadré]
Audits téléguidés, « harcèlement » : quand Microsoft passe à la vitesse supérieure

« Microsoft s’est débattu comme un beau diable lorsqu’ils ont eu vent de notre projet de migration vers les logiciels libre en 2012. Ils ont tenté de diligenter un audit mais je les attendais au virage ». Ce fonctionnaire d’une collectivité territoriale relate un épisode « d’audit », une des craintes principales des directeurs des services informatiques des administrations qui travaillent avec Microsoft. Cette méthode consiste à envoyer un cabinet d’audit, en l’occurrence Ernst&Young (cf. document ci-dessous), procéder à une inspection au sein du service concerné afin de d’assurer de la bonne utilisation des licences et, si tel n’est pas le cas, à procéder au recouvrement financier. Et l’amende peut coûter cher… « Tous les employés ne savent pas forcément bien se servir des licences et il y en a toujours quelque uns pour pirater celle de son collègue, installer le logiciel sur son ordinateur portable, précise un autre DSI. Il est impossible de savoir combien d’argent on va le devoir. C’est pour cette raison que c’est inquiétant et ils le savent ».

Contractuellement, Microsoft a le droit de procéder à de tels audits, mais à en croire une série d’emails et de courriers que nous nous sommes procurés, Microsoft se servirait de cette méthode pour éviter qu’une administration ne quitte son giron. D’ailleurs, certains ne se privent pas de lui signaler, comme dans un courrier de la Région Bretagne à Ernst&Young qui s’interroge sur la concomitance de l’audit avec leur décision de migration vers le libre (lire ici : Lettre_reponse_DSI_Region_Bretagne_vers_EY_Microsoft.pdf). Il n’est pas le seul dans ce cas : dans plusieurs échanges d’emails (cf. document ci-dessous) entre les responsables des services informatiques, on peut lire par exemple que la région Nord-Pas-de-Calais semble avoir eu maille à partir avec les services commerciaux de Microsoft. Tout comme le DSI de la Région Centre, la fonctionnaire n’hésite pas à parler de « harcèlement » de la part du fournisseur. « Pour votre info, nous sommes actuellement victimes d’un contrôle de licences Microsoft, réalisé par Ernst & Young, peut-on lire dans cet email. Après une première procédure de recensement extrêmement détaillée qui a pris au bas mot deux jours à plein temps au responsable Infrastructures, nous sommes maintenant harcelés d’appels téléphoniques et questions complémentaires de la part des fonctionnaires zélés d’Ernst & Young. C’est pire qu’un contrôle de la Chambre des Comptes ». En Languedoc Roussillon, ce sont même les services juridiques de l’administration qui ont été saisis. Ils donnent d’ailleurs un conseil avisé : « Les affaires juridiques nous ont invités à ne pas faire mention de la migration Libre Office en cours».