En plein scandale Prism, la Défense explique ses préférences pour Microsoft

PC INpact avait révélé la signature par la Défense d’un contrat « open bar » avec Microsoft Irlande permettant au ministère de puiser dans tout le catalogue de l’éditeur pour s’équiper en logiciels. Un contrat sans appel d’offres qui fait tiquer jusque chez les députés. En pleine affaire Prism, où le nom de Microsoft circule, des députés ont questionné des représentants du ministère sur le choix de l’éditeur américain lors d'un échange organisé le 12 juin à l'Assemblée nationale.

Grâce à cet accord-cadre, la Défense s’offre les logiciels Microsoft pour un forfait de 100 euros par poste. La commission des marchés publics avait donné un joli feu vert à sa signature... malgré quelques couacs. Le contrat repose en effet sur un droit d’usage, non un transfert de propriété. Au bout des 4 ans, si l’accord n’est pas renouvelé, les machines doivent être purgées.

Le contrat avait de plus subi les foudres du rapporteur de la commission des marchés publics de l'État qui soulevait différents soucis comme les risques concurrentiels ou un coût final difficilement quantifiable. S’appuyant sur travaux d’experts du ministère, Le Canard Enchaîné évoquait quant à lui un risque d’intrusion de la NSA via des backdoors placés dans les logiciels exportés. Voilà pourquoi la députée Isabelle Attard a demandé récemment quelques explications, d'autant que « ce choix fait peser sur un ministère régalien de lourds soupçons de participation aux mesures d'optimisation fiscale d'une société américaine ».

Sous le prisme du code source

Toutefois, le scandale Prism relance la question de la dépendance technologique et celle, épineuse, de l'accès aux codes sources. 6 jours après la révélation de ce programme, le député Sylvain Berrios a soulevé le couvercle en Commission de la Défense : « L’actualité récente montre que le gouvernement américain s’est octroyé un pouvoir d’espionnage très large des données personnelles par l’intermédiaire de grandes firmes américaines opérant dans le secteur de l’Internet. Cela pose naturellement la question de la protection de nos données personnelles et de l’architecture de nos systèmes » introduit-il, avant de mettre l’index sur l’accord-cadre signé avec Microsoft.

« En 2009, une de ces grandes compagnies américaines a bénéficié d’un accord-cadre avec le ministère de la Défense, à l’issue duquel devait normalement être mise en place en 2011-2012 une solution basée sur l’utilisation de logiciels libres, permettant ainsi d’avoir un meilleur accès aux codes sources et conférer ainsi d’une capacité préventive accrue ». Et le député de réclamer le point de vue de l’officier général, en charge de la cyberdéfense à l’état-major des armées, présent en Commission.

Pour la défense, les grands éditeurs deviennent des normes

La réponse du contre-amiral Arnaud Coustillière est intéressante. Il souligne d'abord un petit paradoxe, teinté d'une pointe de jalousie. Voilà des utilisateurs qui confient leurs données personnelles à de grands acteurs, alors « qu’en France l’État ne peut accéder à ces données que de manière extrêmement encadrée, sous le contrôle étroit de la CNIL ».

Sur le choix Microsoft, les réponses seront plus claires encore : « les grands éditeurs de logiciels, dont les produits ont tendance à devenir des normes, ne sont pas forcément moins bons en matière de sécurité de leurs produits que les développeurs de logiciels libres ». Le militaire voit un autre avantage à choisir la  « norme » propriétaire plutôt que des produits libres : ces éditeurs de solutions propriétaires « ont en effet tout intérêt à faire évoluer leur produit commercial et à en assurer la fiabilité dans la durée. Inversement, le logiciel libre est développé par une communauté, parfois à géométrie variable. En tout état de cause, le débat entre logiciel commercial et logiciel libre tourne parfois à la « guerre de religion » ».

Le risque Microsoft et la question de l'OTAN

Quid de la sécurité ? Pour le contre-amiral, pas d'inquiétude. Le choix de l’accord-cadre avec Microsoft, « ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres ». Pourquoi ? Simple : « Dans ce dernier cas, il aurait fallu développer une capacité forte de suivi et de contrôle pour se garantir effectivement contre les risques éventuels. En la matière, il convient d’adopter une approche mesurée et pragmatique, tenant compte à la fois du coût, des risques et de contraintes opérationnelles, dont notamment le lien avec l’OTAN. »

Lien avec l’OTAN, contraintes opérationnelles ? L'hebdomadaire satirique avait déjà cité les réponses de Patrick Bazin. Le directeur central de la Direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI) prône lui aussi ce contrat pour des questions d'« interopérabilité entre alliés », dans la mesure où « l'OTAN a fait le choix des solutions Microsoft pour ses postes de travail »... OTAN faire de même, donc.

Le libre, aiguillon pour baisser les prix des logiciels propriétaires

À l’Assemblée nationale, le contre-amiral Arnaud Coustillière décèlera un autre bonus. Le prix. « Ce débat sur les logiciels libres a permis d’engager une baisse tendancielle des prix pratiqués par les grands éditeurs de logiciels et, parallèlement, à une décroissance du recours aux logiciels libres ». Ce type de réponse est connu. En janvier 2007, par exemple le ministre de l’Éducation nationale l’avait déjà opposé à un député sensible à l’usage des solutions libres : « le poids du logiciel libre au sein de l'éducation nationale reste un argument de négociation avec les éditeurs permettant de tirer les prix des licences commerciales vers le bas ».

En somme, le libre aurait coûté trop cher à la Défense. Le libre a permis à ce même ministère de négocier à la baisse des licences avec Microsoft. Enfin, le choix Microsoft a permis de mieux répondre aux contraintes opérationnelles pour échanger avec l’OTAN. Et finalement le choix Microsoft n’ouvre pas de plus de risque particulier. Des filtres sont placés sur les passerelles vers les réseaux extérieurs. De plus, précisent les militaires, « les attaques d’espionnage utilisent moins les failles éventuelles de produits Microsoft que celles de documents en format PDF ou de logiciels de développements de sites ». Enfin, sur les « réseaux classifiés », qui n’ont pas de contact avec l’extérieur, c’est surtout l’usage des clefs USB qui pose problème. De toute façon, « l’espionnage industriel a toujours existé. »

Cette mitraille d’arguments pro Microsoft n’aura pas séduit le député Jean-Yves Le Déaut. « Je ne partage votre optimisme sur la question des codes sources. Nous n’avons jamais rien obtenu de Microsoft. Je pense que l’utilisation de logiciels libres offre plus de garanties. » Réponse du contre-amiral : « Je ne sais pas si le débat se situe toujours là aujourd’hui en termes de sécurité. Ce qui pousse la technologie vers le haut désormais, ce sont les smartphones, les informations que l’on trouve sur les clouds. Ces systèmes sont extrêmement complexes et les codes sources n’en constituent qu’un élément ».

S'inquiéter du matériel (asiatique) plus que du code source (américain)

Le commandant Hervé Mermod, chef du centre d’analyse en lutte informatique défensive du ministère de la Défense (CALID) épaulera son collègue, avec la même arme à l'épaule : « les matériels sont aujourd’hui également concernés par les attaques informatiques et l’enjeu se situe davantage sur ce point que dans la maîtrise des codes sources », même donc lorsqu’on travaille au cœur de la défense française. Selon lui « les risques se situent dans les nombreux périphériques de systèmes d’information globaux dont le logiciel ne constitue qu’une brique ». Une brique, pas un trou et encore moins une fenêtre constituant le maillon faible d’une chaîne de sécurité.

Plutôt que de pérorer sur l’inaccessibilité des codes-sources et la question de Prism, ce représentant de la Défense préfère inviter les députés à s’inquiéter des fabricants de matériel (essentiellement asiatiques) : « On a en effet pu constater des attaques par des portes dérobées installées sur des cartes réseaux ou des clés 3G de fabrication étrangère. »

« Il n’y a rien à ajouter sur l’état de dépendance de la Défénse avec Microsoft et l’OTAN. Ils ne voient le libre que comme un seul levier de pression sur le prix des logiciels privateurs, commente Frédéric Couchet, de l'April, l'association pour la promotion du libre. Nous attendons d'ailleurs toujours la réponse du ministre de la Défense sur cet accord Open Bar. »