Pourquoi les entreprises françaises sont-elles vulnérables à l’espionnage économique ?

Bernard Carayon, Maire de Lavaur et Député UMP du Tarn de 1993 à 1997 et de 2002 à 2012, a écrit plusieurs rapports sur les questions de mondialisation. Ses thèmes favoris sont notamment le patriotisme économique, la politique publique d’intelligence économique, le renseignement et les technologies de l’information. Dans un long entretien (en deux parties) accordé à SecuriteOff, Bernard Carayon aborde le contrat OpenBar, les révélations de Wikileaks sur l’espionnage économique… Et il rappelle que la NSA introduit systématiquement des portes dérobées ou backdoors dans les logiciels exportés !

Propos recueillis par Philippe Richard


Pour Bernard Carayon, le contrat OpenBar représente un grave danger pour la sécurité nationale et l’indépendance technologique de la France.

Securiteoff.com : Que pensez-vous du contrat OpenBar de Microsoft et de l’utilisation par l’Armée française de serveurs Lenovo ?
Je ne vois pas comment les données sensibles de l’armée française ne seraient pas (potentiellement !) entre les mains des Américains et des Chinois par le contrat Open Bar. Microsoft travaille comme chacun le sait avec le Pentagone. Ce contrat augmente ainsi évidemment les risques d’espionnage (notamment au vu des dernières révélations de Wikileaks). Le rapport de la DGSIC du ministère de la Défense sur l’offre Microsoft souligne divers « effets secondaires indésirables » : atteinte à la sécurité nationale, problème de neutralité, monopole, dépendance… Je rappelle que le contrat de 2007 a été conclu sans appel d’offres, enlevant toute chance au logiciel libre français de prendre sa place au sein de nos armées.

Le rapport pointe également un risque de « perte de souveraineté nationale », avec une NSA susceptible d’accéder à l’ensemble de notre parc informatique national. Selon l’organisme April, qui milite pour le logiciel libre, ce contrat crée « une dépendance inacceptable du ministère de la Défense envers Microsoft ». April rapporte les propos d’experts du Ministère : « la NSA […] introduit systématiquement des portes dérobées ou backdoors dans les logiciels exportés, ce qui rendrait dès lors le système informatique de l’armée française susceptible d’être victime d’une intrusion de la NSA dans sa totalité ». En 2010, j’avais interpellé le Ministre de la Défense sur cette question. Je vous laisse juge de la réponse qui m’avait alors été faite.

Les atouts des logiciels libres

Le contrat Open Bar a été hélas renouvelé pour la période 2013-2017 : une fois de plus sans appel d’offres. Cette décision a été prise au plus haut niveau de l’État. Le document du Ministère que s’est procuré l’April note, pour justifier le non-recours aux logiciels libres que, « selon un tableau de synthèse présenté par la DIRISI au comité des achats, l’utilisation de logiciels libre serait d’un coût de revient proche de l’utilisation de licences Microsoft.

En effet, s’il n’existe pas d’achat de licence au démarrage, les mises à jour ne seraient pas en revanche gratuites. D’autres frais seraient aussi à prendre en compte comme la formation de personnels de soutien, les logiciels libres nécessitant une plus grande implication des utilisateurs. D’autres matériels doivent aussi être achetés afin de permettre l’utilisation de ces logiciels. » Mais tout ceci est faux : le logiciel libre est avantageux pour la pérennité du matériel, ses mises à jour sont libres et les utilisateurs n’ont pas nécessairement besoin de s’impliquer autant que cela est avancé.

Rien n’est dit en revanche sur les problématiques de surveillance ou des portes dérobées présentes dans les logiciels privés, malgré un grave danger immédiat pour la sécurité nationale et l’indépendance technologique de la France.
En 2014, les ministères du Travail, de la Santé et de la Jeunesse et des Sports ont conclu avec Microsoft Irlande, et dans la plus totale discrétion, un marché de plus de 11 millions d’euros. Il ressemble à s’y méprendre au contrat Open Bar conclu entre Microsoft et la Défense.
Sur les serveurs, l’entreprise chinoise Lenovo a racheté la division informatique d’IBM et est ainsi devenue le premier constructeur mondial de PC.

Lenovo a finalisé l’acquisition des serveurs x86 d’IBM pour 2,1 milliards de dollars (fin septembre 2014), pouvant désormais concurrencer les Américains dans ce domaine. Lenovo ajoute des tablettes, des smartphones et des serveurs à ses ventes de PC.

Backdoors

Un article du webzine Silicon du 11 juin 2014 s’interroge : pour les serveurs x86, l’armée française peut-elle ou non faire confiance à Lenovo ?

« La DSI du ministère de la Défense confie à IBM la fourniture de serveurs x86 pendant les quatre ans qui viennent. Une activité qui va passer dans le giron de Lenovo. D’où des craintes de backdoors et autres logiciels espions enfouis dans le silicium des machines. […]

Selon toute vraisemblance (la notification de ce marché n’est pas encore publique), il s’agit des serveurs devant motoriser le futur système d’information interarmées (SIA) qu’est en train de bâtir la Dirisi. Autrement dit, les serveurs véhiculeront des informations ultra-sensibles relatives aux opérations de l’armée française. »
L’article souligne de plus que « ce n’est pas la première fois que Lenovo est accusée de piéger ses machines à des fins d’espionnage pour le compte du gouvernement chinois. En juillet 2013, l’Australian Financial Review révélait que les services secrets du pays, mais aussi leurs homologues américains, anglais, canadiens et néo-zélandais, ont banni les PC du fabricant chinois de leurs réseaux classés « secret » ou « top secret » en raison de doutes quant à leur sécurité.

Cette interdiction daterait du milieu des années 2000 – époque où la firme chinoise mettait la main sur l’activité PC d’IBM -, à la suite de tests intensifs sur les machines du constructeur. Tests qui ont, d’après les sources anonymes citées par le journal australien, fait apparaître des doutes quant à certains circuits et firmwares produits en Chine par des industriels proches du gouvernement…

Ces composants sont soupçonnés d’héberger des portes dérobées autorisant l’espionnage à distance des activités sur les PC de la marque. L’hypothèse est considérée avec le plus grand sérieux par les spécialistes de sécurité. L’Académie chinoise des Sciences possède 38 % de Legend Holdings, cette dernière étant l’actionnaire principal de Lenovo (à hauteur de 34 %). Dans un communiqué, l’industriel avait expliqué à l’époque ne pas être au courant de cette mesure de bannissement prise par les services secrets de cinq pays. »

Se fournir chez les Américains et les Chinois, on ne peut, honnêtement, faire pire, en matière de sécurité.
Selon le journal Le Monde, « la méfiance est réciproque : selon des informations récentes de l’agence Bloomberg, la Chine a entamé des essais pour se passer des serveurs d’IBM dans le secteur bancaire, sur fond de soupçons d’espionnage américain. Pire : dans son livre, le journaliste Glenn Greenwald a publié des photos d’agents de la NSA insérant des dispositifs d’espionnage cachés dans des serveurs Cisco. Citant un gradé anonyme, le Canard enchaîné avance l’hypothèse selon laquelle le prix proposé par IBM, extrêmement bas, aurait emporté la décision du ministère, dont le budget est sous pression. »

Securiteoff.com : Les dernières révélations de Wikileaks sur les écoutes des Présidents de la République française puis sur l’espionnage économique vous ont-elles surpris ?
Évidemment non ! J’ai mis en garde dès mon rapport « Intelligence économique, compétitivité et cohésion sociale » remis à Jean-Pierre Raffarin en 2003, les plus hautes autorités de l’État, dans le silence des médias et l’indifférence – parfois la commisération – de tous. Je me souviens même de l’extrême prudence, alors, des « experts » de l’intelligence économique sur ce sujet, rétifs, parfois hostiles, aux concepts de « guerre économique » et de « patriotisme économique »…

Comme s’il ne fallait pas se fâcher avec les « amis » américains ! Je mentionnais déjà « la National Security Agency – NSA –, dont le réseau d’espionnage international Echelon auquel participent la plupart des pays anglo-saxons, aurait été détourné de ses objectifs militaires d’origine à des fins d’espionnage économique. » Je vous invite aussi à relire mon ouvrage, paru en 2006, Patriotisme économique : de la guerre à la paix économique, qui contient, sur le sujet, beaucoup d’informations… Pendant dix ans, j’ai multiplié les tribunes dans les médias, mais une chape de plomb est toujours retombée sur ces questions… Les révélations de Wikileaks ne sont donc pas du tout une surprise.

Plus récemment, dans mon rapport sur ma proposition de loi relative au secret des affaires du 11 janvier 2012, je soulignais la vulnérabilité de nos entreprises face à la concurrence étrangère et les lacunes du droit français pour y répondre : « La protection des entreprises françaises n’est pas un enjeu partisan : elle est une question d’intérêt national. Les États-Unis l’ont parfaitement compris : l’Espionnage Economic Act de 1996, la législation y protégeant les secrets des affaires, est issue d’une initiative bipartisane, d’un représentant républicain et de deux représentants démocrates, de même que la proposition de loi adoptée par le Judiciary Committee du Sénat américain le 8 décembre 2011 destinée à le renforcer. Il serait heureux qu’il en soit de même dans notre pays.

L’espionnage économique

Le soutien apporté à la démarche entreprise ici par notre collègue Jean-Michel Boucheron, ancien président (PS) de la commission de la Défense de l’Assemblée nationale, et le vote à l’unanimité du présent texte par la commission des Lois, constituent des signes encourageants, comme l’avait été, en son temps, l’adoption à l’unanimité, le 6 juillet 2005, d’un amendement au projet de loi en faveur des petites et moyennes entreprises, à l’initiative de votre rapporteur, autorisant les fondations reconnues d’utilité publique à recevoir la majorité, ou plus, des actions ou des parts sociales de sociétés industrielles ou commerciales, mettant celles-ci, à l’occasion notamment de successions difficiles, à l’abri des entreprises de rachat ou de démantèlement initiées par des fonds ou des prédateurs industriels étrangers. […]

Préoccupés par le développement de l’espionnage industriel et le préjudice économique subi de ce fait par les entreprises américaines, les États-Unis envisagent de renforcer les sanctions prévues par l’Espionage Economic Act. Le 8 décembre 2011, le Judiciary Committee du Sénat américain a ainsi adopté l’Economic Espionage Penalty Enhancement Act. Cette proposition de loi, issue d’une initiative bipartisane, prévoit de porter la peine d’emprisonnement prévue par la section 1831(a) du titre 18 du code des États-Unis de 15 à 20 ans, en cas d’espionnage au profit d’un gouvernement, d’une organisation ou d’un agent étrangers.

Le texte impose également à la United States Sentencing Commission de durcir les lignes directrices fédérales sur la détermination de la peine applicables à cette infraction. » Mais le gouvernement n’a pas mis à l’ordre du jour du Sénat mon texte, voté à l’Assemblée nationale, et s’est contenté d’un amendement à la loi Macron déposé par le député (PS) Urvoas. Il a dû battre en retraite devant la campagne des médias lancée… par Médiapart. On attend maintenant une directive européenne… pour faire le boulot ?

Partager :

Dans la même catégorie

Publié le : 02/12/2024

La nécessité d’avoir des mots de passe robustes

Découvrir
Publié le : 07/11/2024

Qu’est-ce qu’une attaque par ransomware ?

Découvrir
Publié le : 04/11/2024

Ma petite entreprise n’intéresse pas les pirates !

Découvrir
error: Le contenu est protégé !!