L'Europe doit-elle se désintoxiquer des technologies américaines?

Lancement de Windows 8 à New York en 2012. REUTERS/Lucas Jackson

Lancement de Windows 8 à New York en 2012. REUTERS/Lucas Jackson

Le piratage du courrier électronique de parlementaires européens en pleine négociation sur le Partenariat transatlantique de commerce et d'investissement, pose la question de la souveraineté technologique.

«Ce qui me surprend, c'est que ça ait pris autant de temps pour que ce genre de chose arrive. À moins, bien sûr, que d'autres l'aient fait avant sans en parler.» Karsten Gerloff, le président de la Free Software Foundation Europe, l'organisation européenne de promotion du logiciel libre, n'a pas franchement l'air étonné par le piratage de la messagerie électronique de 14 députés européens révélé ce jeudi par Mediapart. Tout juste concède-t-il, beau joueur:

«Ça aurait pu se produire avec d'autres logiciels que ceux de Microsoft. La technique utilisée – une attaque de l'homme du milieu – est ici assez basique, et si l'utilisateur ne fait pas attention à l'avertissement de sécurité qu'il reçoit, ses communications seront interceptées. C'est aussi un problème humain.»

Il n'empêche: l'affaire tombe assez mal pour le géant de Redmond, dont l'image a été sérieusement écornée ces derniers mois par les révélations d'Edward Snowden concernant, notamment, l'installation de portes dérobées dans les logiciels Outlook et Skype. Elle vient ajouter de l'eau au moulin de ses détracteurs, au premier rang desquels les associations «libristes», déjà mobilisées depuis de nombreuses années contre ses pratiques commerciales monopolistiques et ses contrats avec les institutions.

«Une vraie perte de savoir-faire»

En France, l'AFUL (Association francophone des utilisateurs de logiciel libre) et l'April (l'association de promotion et de défense du libre) ont notamment, au printemps dernier, dénoncé la renégociation du contrat dit «Open Bar» entre Microsoft et le ministère de la Défense. Passé en 2009 sans appel d'offre, portant sur l'équipement de près de 190.000 postes, il a débouché sur l'installation, au cœur même de la Direction interarmées des réseaux d'infrastructures et des systèmes d'information, d'un «centre de compétences» dédié. Ce qui fait bondir Laurent Séguin, le président de l'AFUL:

«Là où ça devient très grave, c'est que, dans le même temps, l'administration française réduit les effectifs. Il y a une vraie perte de savoir-faire, ce sont des salariés de Microsoft qui s'occupent de toute la gestion, qui ont accès à tout, et les agents publics ne sont plus capables de voir ce qui passe sur les réseaux.» 

Une situation également dénoncée par plusieurs parlementaires —hier l'UMP Bernard Carayon, aujourd'hui la verte Isabelle Attard– ainsi que par le très médiatique Éric Filliol, ancien de la DGSE, qui affirmait le mois dernier sur BFM TV qu'«on ne peut pas se protéger quand on utilise les outils de l'adversaire». «Filiol n'est pas un activiste du libre, avance Frédéric Couchet à l'April. C'est bien un problème politique.»

De son côté, Karsten Gerloff n'a pas hésité à parler de «syndrome d'enfermement» concernant les contrats passés entre Microsoft et la Commission européenne:

«Ça fait 22 ans que la Commission achète leurs produits, sans appel d'offre public et sans interruption. De notre point de vue, c'est clairement hors des clous.»

«Pas une question de politique publique»

Pas forcément très «dans les clous» non plus, la pratique qui consiste à offrir aux assistants des parlementaires européens des licences d'utilisation pour l'usage domestique. Courante dans les contrats passés avec des entreprises privées, elle peut ici, pour ses opposants, mener directement à des conflits d'intérêt.

Mais de là à voir les institutions européennes remettre en cause les accords passés avec Microsoft, on n'y est pas encore. Si certains eurodéputés ont d'ores et déjà réagi à l'article de Mediapart et demandent l'ouverture d'un débat sur les choix technologiques, la seule annonce officielle est celle d'une enquête lancée ce matin.

Dans la foulée des révélations sur le programme Prism, la commissaire chargée de la société numérique, Neelie Kroes, en avait appelé à la constitution d'un cloud européen; rien de tel pour l'instant côté logiciels, comme l'indique son équipe à Slate:

«Il s'agit d'un problème opérationnel urgent, mais ce n'est pas une question de politique publique. Cela dit, cet incident souligne la nécessité d'accélérer la mise en place de nos propositions en matière de sécurité des réseaux et de l'information. La cybersécurité fait de plus en plus l'actualité, et les gouvernements et les entreprises, tout comme les institutions européennes, doivent y être sensibles.»

Même écho du côté du vice-président en charge de la «réforme technologique» de la Commission, Maroš Šefčovič. Pour son porte-parole, Antonio Gravili, le problème est contingent, pas structurel:

«Dans ce cas particulier, il ne s'agit pas d'une vulnérabilité technique en tant que telle, plus d'une tromperie dont n'importe qui – y compris vous – pourrait être victime. Les équipes de sécurité de plusieurs institutions européennes discutent actuellement des moyens de réduire ce type de risque.»

«C'est un enjeu stratégique»

Du côté des promoteurs du logiciel libre, on ne l'entend évidemment pas de cette oreille. Pour Laurent Séguin, il est grand temps de basculer vers des solutions ouvertes:

«Cette histoire prouve qu'on ne peut pas avoir confiance dans un logiciel qu'on ne peut pas auditer. On a besoin de systèmes à la fois cohérents et hétérogènes, et surtout, de pouvoir corriger en interne un problème dès qu'il a été trouvé, sans passer par un éditeur tiers. C'est un enjeu stratégique, d'indépendance.»

Quant à l'éditeur tiers, on ne saura pas, pour l'instant, ce qu'il en pense: impossible, malgré nos demandes, de trouver un interlocuteur chez Microsoft. Il faudra se contenter de la déclaration officielle, pour le moins succincte, d'«un porte-parole» de l'entreprise:

«Microsoft est au courant que le Parlement européen aurait été victime d'un hacking ciblé. Nous avons contacté le département du service informatique du Parlement européen afin d'avoir plus d'informations.»

Ce qui est bien le moins. En attendant «plus d'informations», donc, l'entreprise vient opportunément d'annoncer la sortie d'une nouvelle solution de chiffrement des e-mails – le genre de fonctionnalité qui aurait précisément pu permettre d'éviter la mésaventure des eurodéputés. Au-delà, le débat sur la souveraineté technologique pourrait trouver un terrain supplémentaire.

Karsten Gerloff n'attend que ça, lui qui relève ce paradoxe, à l'ère de la «société de l'information»: «Le système de communication des institutions européennes a des fuites, et dans le même temps, quand on essaie d'avoir des informations sur le TTIP [le Partenariat transatlantique de commerce et d'investissement, actuellement en négociation entre les États-Unis et l'Europe], ça coince. La transparence n'est vraiment pas là où il faudrait qu'elle soit.»

Amaelle Guiton