L'Union européenne et Microsoft : vingt ans de dépendance aveugle
28 novembre 2013 | Par Jérôme Hourdeaux
Les institutions européennes ne veulent pas entendre le message politique lancé par le hacker qui a piraté la messagerie du parlement, comme l'a révélé Mediapart. Et il semble hors de question de remettre en cause le partenariat (100 millions d'euros) unissant, depuis vingt ans, la commission européenne et Microsoft, à chaque fois renouvelé sans appel d'offres.
Les révélations, publiées la semaine dernière par Mediapart, sur le piratage dont a été la cible le service de messagerie du parlement européen auraient pu être l'occasion d'une remise à plat de la sécurité informatique des institutions européennes. Difficile d'imaginer moment mieux choisi. Pressée par des députés et des associations qui demandent depuis des années l'abandon des contrats les liant à Microsoft, confrontée aux révélations d'Edward Snowden sur le dispositif d'espionnage mondial mis en place par les États-Unis, ces institutions ont désormais la preuve de la facilité avec laquelle il est possible de s'introduire dans un service de messagerie. L'an prochain, la commission européenne, qui contracte pour l'ensemble des institutions de l'Union, aura l'occasion de renégocier ses contrats passés avec le géant américain du logiciel, son principal fournisseur depuis vingt ans.
Lire aussi
Les mails des eurodéputés ont été piratés par un hacker
Par Jérôme Hourdeaux
Les eurodéputés « choqués » par le piratage de leur messagerie
Par Ludovic Lamant
Pour l'instant, la commission européenne fait la sourde oreille et ne veut pas voir de problème de fond, limitant le piratage du parlement européen à un simple problème « technique ». Interrogé par Mediapart sur ses motivations, le hacker avait pourtant insisté sur la dimension politique de son acte. Il ne s'agissait pas de s'attaquer à un logiciel en particulier. Outré par le manque de réaction des responsables politiques face au scandale Prism, il voulait « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ».
Les dirigeants européens ne veulent pas entendre ce message politique. « Il s’agit d’un problème opérationnel urgent, mais ce n’est pas une question de politique publique », a ainsi déclaré au site Slate la commissaire chargée de la société numérique, Neelie Kroes. De fait, les réponses du parlement européen à l'annonce de son piratage se sont pour l'instant limitées à des mesures techniques d'urgence comme la fermeture du réseau wifi extérieur ou l'envoi d'un simple mail demandant à tous les usagers de changer leur mot de passe, ce qui ne change strictement rien aux possibilités de piratage!
Interrogée par Mediapart sur l'opportunité de travailler avec des entreprises dont la participation au programme d'espionnage de la NSA ne fait désormais plus de doute, la commission se contente de renvoyer à des réponses déjà faites à des questions d'eurodéputés (par exemple, celle du 11 juin, par Hans-Peter Martin, élu indépendant autrichien). Dans sa réponse, publiée le 18 septembre dernier, le vice-président de la commission Maroš Šefčovič expliquait que l'UE était tenue par un accord avec l'Organisation mondiale du commerce l'obligeant à ouvrir ses appels d'offres à tous les pays sans discrimination. Des exceptions existent bien, notamment quand la sécurité nationale est en jeu. Mais celles-ci « doivent être interprétées de manière restrictive », avertissait le commissaire.
Dans la foulée, Hans-Peter Martin avait déposé, le 2 octobre, une nouvelle question demandant plus précisément si, après les révélations d'Edward Snowden, la commission entendait faire jouer cette exception pour exclure de ses marchés publics des entreprises telles que Microsoft, Google, Apple ou encore Yahoo. Dans sa réponse, non encore publiée mais que la commission a transmise à Mediapart, celle-ci explique qu'elle « continuera à vérifier » que ses fournisseurs respectent les « spécifications techniques » notamment en matière de sécurité. Avant de poursuivre : « Au regard des logiciels et du matériel auxquels se réfère l'Honorable Membre, et en particulier ceux utilisés par la commission, pour l'instant la commission n'a aucune preuve concluante qu'ils contiennent une backdoor délibérément implantée. »
Cette affirmation fera bondir toute personne ayant un peu suivi l'actualité... La commission se limite en effet à évoquer les « backdoors », des failles de sécurité utilisées comme des portes d'accès secrètes aux logiciels. Elle écarte ainsi les nombreux programmes révélés par la presse et dans le cadre desquels les services américains obtiennent des données directement des sociétés visées, sans avoir à utiliser de « backdoor ». De plus, même s'il est effectivement difficile par définition de prouver la présence d'une « backdoor » particulière, leur existence a été à de nombreuses reprises attestée.
Or c'est à cette même commission européenne que reviendra la charge de négocier avec Microsoft ses deux principaux contrats arrivant à échéance en 2014. Or, depuis 1993, la firme fondée par Bill Gates a réussi à rester le principal partenaire des institutions européennes. L'alliance a été reconduite à six reprises, sans aucune concurrence, car précédée d'aucun appel d’offres!
La passation de marchés publics est pourtant encadrée par un « règlement financier » qui prévoit, par défaut, que tout contrat doit au préalable faire l’objet d’une mise en concurrence. Mais les textes prévoient également certaines dérogations permettant à la commission de choisir directement une entreprise, dans le cadre d’une « procédure négociée », notamment lorsque celle-ci est capable de répondre à elle seule à l’ensemble de la demande. Et jusqu’à présent, Microsoft s’est toujours arrangé pour bénéficier de l’une de ces « procédures négociées ».
Dans les années 1990, le principal argument avancé pour ce régime de faveur était que la société américaine, à une époque où l’informatique grand public était encore peu développée, était quasiment la seule sur son marché. Puis, au fur et à mesure qu’apparaissaient de potentielles alternatives, la commission a commencé à justifier son choix par le fait que changer de fournisseur coûterait trop cher et serait trop compliqué techniquement à mettre en place.
Ces explications sont jugées insuffisantes, voire contradictoires, par de nombreux employés et élus européens. Le dernier contrat, signé en mai 2011 et portant sur la fourniture de logiciels pour 36 000 ordinateurs pour un montant de 50 millions d’euros, a ainsi été contesté par plusieurs députés. La commission avait justifié ce recours à une « procédure négociée », parce qu’il s’agissait d'une mise à jour des logiciels, d’une « extension » de contrat, d'un « remplacement partiel » de logiciels déjà existants. De plus, la commission expliquait que le passage à un autre fournisseur provoquerait « une incompatibilité ou des difficultés techniques disproportionnées dans l’opération et la maintenance ».
Ce dernier argument est justement celui avancé par les défenseurs du logiciel libre, c’est-à-dire ouvert et ne dépendant d’aucune licence propriétaire, qui réclament une véritable rupture avec le système actuel. « En fait, ce qu’ils disent, c’est "nous ne pouvons rien acheter d’autre que du Microsoft car ça serait trop compliqué à faire fonctionner". Et cela nous mène à la question du "lockin"», de l’enfermement », explique Karsten Gerloff, président de la Free Software Foundation Europe (FSFE).
« De fait, ajoute-t-il, en faisant le choix de Microsoft, la commission européenne accentue elle-même ce processus de "lockin". Quand ils disent qu’ils ont tellement de choses au format Microsoft qu’ils ne peuvent pas s’en sortir, cela veut dire que Microsoft peut imposer ce qu’il veut. C’est une situation à laquelle de nombreuses entreprises, mais également des particuliers, doivent faire face. Dois-je continuer à payer le fabricant propriétaire des logiciels pour installer encore plus de fichiers aux formats secrets ou, à un certain point, dois-je investir pour me libérer de ces formats et basculer dans des formats libres pour pouvoir, à l’avenir, choisir la manière dont je veux fonctionner et utiliser toute une gamme de logiciels disponibles ? »