Les révélations, publiées la semaine dernière par Mediapart, sur le piratage dont a été la cible le service de messagerie du parlement européen auraient pu être l'occasion d'une remise à plat de la sécurité informatique des institutions européennes. Difficile d'imaginer moment mieux choisi. Pressée par des députés et des associations qui demandent depuis des années l'abandon des contrats les liant à Microsoft, confrontée aux révélations d'Edward Snowden sur le dispositif d'espionnage mondial mis en place par les États-Unis, ces institutions ont désormais la preuve de la facilité avec laquelle il est possible de s'introduire dans un service de messagerie. L'an prochain, la commission européenne, qui contracte pour l'ensemble des institutions de l'Union, aura l'occasion de renégocier ses contrats passés avec le géant américain du logiciel, son principal fournisseur depuis vingt ans.
Pour l'instant, la commission européenne fait la sourde oreille et ne veut pas voir de problème de fond, limitant le piratage du parlement européen à un simple problème « technique ». Interrogé par Mediapart sur ses motivations, le hacker avait pourtant insisté sur la dimension politique de son acte. Il ne s'agissait pas de s'attaquer à un logiciel en particulier. Outré par le manque de réaction des responsables politiques face au scandale Prism, il voulait « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ».
Les dirigeants européens ne veulent pas entendre ce message politique. « Il s’agit d’un problème opérationnel urgent, mais ce n’est pas une question de politique publique », a ainsi déclaré au site Slate la commissaire chargée de la société numérique, Neelie Kroes. De fait, les réponses du parlement européen à l'annonce de son piratage se sont pour l'instant limitées à des mesures techniques d'urgence comme la fermeture du réseau wifi extérieur ou l'envoi d'un simple mail demandant à tous les usagers de changer leur mot de passe, ce qui ne change strictement rien aux possibilités de piratage!
Interrogée par Mediapart sur l'opportunité de travailler avec des entreprises dont la participation au programme d'espionnage de la NSA ne fait désormais plus de doute, la commission se contente de renvoyer à des réponses déjà faites à des questions d'eurodéputés (par exemple, celle du 11 juin, par Hans-Peter Martin, élu indépendant autrichien). Dans sa réponse, publiée le 18 septembre dernier, le vice-président de la commission Maroš Šefčovič expliquait que l'UE était tenue par un accord avec l'Organisation mondiale du commerce l'obligeant à ouvrir ses appels d'offres à tous les pays sans discrimination. Des exceptions existent bien, notamment quand la sécurité nationale est en jeu. Mais celles-ci « doivent être interprétées de manière restrictive », avertissait le commissaire.
Dans la foulée, Hans-Peter Martin avait déposé, le 2 octobre, une nouvelle question demandant plus précisément si, après les révélations d'Edward Snowden, la commission entendait faire jouer cette exception pour exclure de ses marchés publics des entreprises telles que Microsoft, Google, Apple ou encore Yahoo. Dans sa réponse, non encore publiée mais que la commission a transmise à Mediapart, celle-ci explique qu'elle « continuera à vérifier » que ses fournisseurs respectent les « spécifications techniques » notamment en matière de sécurité. Avant de poursuivre : « Au regard des logiciels et du matériel auxquels se réfère l'Honorable Membre, et en particulier ceux utilisés par la commission, pour l'instant la commission n'a aucune preuve concluante qu'ils contiennent une backdoor délibérément implantée. »
Cette affirmation fera bondir toute personne ayant un peu suivi l'actualité... La commission se limite en effet à évoquer les « backdoors », des failles de sécurité utilisées comme des portes d'accès secrètes aux logiciels. Elle écarte ainsi les nombreux programmes révélés par la presse et dans le cadre desquels les services américains obtiennent des données directement des sociétés visées, sans avoir à utiliser de « backdoor ». De plus, même s'il est effectivement difficile par définition de prouver la présence d'une « backdoor » particulière, leur existence a été à de nombreuses reprises attestée.
Or c'est à cette même commission européenne que reviendra la charge de négocier avec Microsoft ses deux principaux contrats arrivant à échéance en 2014. Or, depuis 1993, la firme fondée par Bill Gates a réussi à rester le principal partenaire des institutions européennes. L'alliance a été reconduite à six reprises, sans aucune concurrence, car précédée d'aucun appel d’offres!
La passation de marchés publics est pourtant encadrée par un « règlement financier » qui prévoit, par défaut, que tout contrat doit au préalable faire l’objet d’une mise en concurrence. Mais les textes prévoient également certaines dérogations permettant à la commission de choisir directement une entreprise, dans le cadre d’une « procédure négociée », notamment lorsque celle-ci est capable de répondre à elle seule à l’ensemble de la demande. Et jusqu’à présent, Microsoft s’est toujours arrangé pour bénéficier de l’une de ces « procédures négociées ».
Dans les années 1990, le principal argument avancé pour ce régime de faveur était que la société américaine, à une époque où l’informatique grand public était encore peu développée, était quasiment la seule sur son marché. Puis, au fur et à mesure qu’apparaissaient de potentielles alternatives, la commission a commencé à justifier son choix par le fait que changer de fournisseur coûterait trop cher et serait trop compliqué techniquement à mettre en place.
Ces explications sont jugées insuffisantes, voire contradictoires, par de nombreux employés et élus européens. Le dernier contrat, signé en mai 2011 et portant sur la fourniture de logiciels pour 36 000 ordinateurs pour un montant de 50 millions d’euros, a ainsi été contesté par plusieurs députés. La commission avait justifié ce recours à une « procédure négociée », parce qu’il s’agissait d'une mise à jour des logiciels, d’une « extension » de contrat, d'un « remplacement partiel » de logiciels déjà existants. De plus, la commission expliquait que le passage à un autre fournisseur provoquerait « une incompatibilité ou des difficultés techniques disproportionnées dans l’opération et la maintenance ».
Ce dernier argument est justement celui avancé par les défenseurs du logiciel libre, c’est-à-dire ouvert et ne dépendant d’aucune licence propriétaire, qui réclament une véritable rupture avec le système actuel. « En fait, ce qu’ils disent, c’est "nous ne pouvons rien acheter d’autre que du Microsoft car ça serait trop compliqué à faire fonctionner". Et cela nous mène à la question du "lockin"», de l’enfermement », explique Karsten Gerloff, président de la Free Software Foundation Europe (FSFE).
« De fait, ajoute-t-il, en faisant le choix de Microsoft, la commission européenne accentue elle-même ce processus de "lockin". Quand ils disent qu’ils ont tellement de choses au format Microsoft qu’ils ne peuvent pas s’en sortir, cela veut dire que Microsoft peut imposer ce qu’il veut. C’est une situation à laquelle de nombreuses entreprises, mais également des particuliers, doivent faire face. Dois-je continuer à payer le fabricant propriétaire des logiciels pour installer encore plus de fichiers aux formats secrets ou, à un certain point, dois-je investir pour me libérer de ces formats et basculer dans des formats libres pour pouvoir, à l’avenir, choisir la manière dont je veux fonctionner et utiliser toute une gamme de logiciels disponibles ? »
Une procédure opaque
Ce quasi-monopole de Microsoft est d’autant plus étrange que les institutions européennes n’ont de cesse de vanter non seulement les vertus de la concurrence et la nécessité de marchés publics transparents, mais aussi les mérites des logiciels libres. De plus, les différentes équipes techniques semblent avoir pleinement conscience des enjeux.
Il existe ainsi, au sein du parlement européen, une association des utilisateurs de logiciels libres, l’EPFSUG, qui travaille en collaboration avec la direction des services informatiques (DIGIT). « Nous avons lancé l’EPFSUG il y a trois ans », raconte ainsi Erik Josefsson, conseiller du groupe Vert pour les questions de nouvelles technologies. « Et nous avons eu un bon dialogue avec le DIGIT, en particulier sur le chiffrement des communications. C’est donc une discussion en cours. Nous sommes tombés d’accord sur le fait qu’il fallait s’éloigner de plateformes propriétaires fermées. »
Le siège de la commission européenne à Bruxelles © Reuters
Par ailleurs, les institutions européennes ont déjà mis en place plusieurs projets de logiciel, comme « AT4AM » permettant de gérer les amendements. Et l’EPFSUG travaille actuellement sur un « projet de distribution sous Debian », un système d’exploitation libre, « permettant d’intégrer PGP », le principal logiciel libre de chiffrement de données. De son côté, la commission a bien mis en place, en 2011, une « stratégie pour l’usage interne des logiciels libres » sous la forme d’une déclaration d’intentions. Mais le document, qui s’arrête en 2013, n’a pour l’instant pas été mis à jour.
Les députés n’ont de cesse de questionner leur administration sur la question. En 2012, le parlement a demandé des explications sur l’utilisation des logiciels libres à l’occasion du vote de la décharge, c’est-à-dire le contrôle du budget pour l’année 2011, durant laquelle ont été conclus les derniers contrats avec Microsoft. Depuis, le groupe Vert se bat pour obtenir des explications. Saisi en juillet par une question écrite de Daniel Cohn-Bendit et Rebecca Harms, le président du parlement Martin Schulz a répondu en détaillant l’ensemble des projets impliquant des logiciels libres. Insuffisant, ont répondu les élus qui ont mandaté une société extérieure, Mitopics, pour mener une expertise du parc informatique.
Dans son rapport, rendu à la fin du mois d’octobre, Mitopics soulignait, notamment, que le parlement n’avait « pas fourni une réponse pleine et complète aux questions » posées par les députés et appelait à plus de transparence dans le processus décisionnel.
Cette opacité est un autre des reproches régulièrement formulés, notamment dans le cadre des décisions accordant à Microsoft une « procédure négociée » au détriment d’un appel d’offres. En effet, pour bénéficier de ce régime dérogatoire, « il y a plusieurs cas de figure possibles (détaillés ici et ici) mais tous ont en commun qu'ils doivent être exceptionnels et surtout dûment justifiés », explique Maël Brunet de l’Open Forum Europe, une association militant pour le développement des logiciels libres. « Dans le cas du contrat de services Microsoft, l'explication fournie par la commission (voir ici, IV.1.1Type of procedure) était clairement expéditive et insatisfaisante, c'est pourquoi le recours à cette procédure a d'ailleurs été largement critiqué. »
Ainsi, les détails mêmes des contrats passés avec Microsoft en 2011 n’ont pas été rendus publics. « Ce qu’ils disent, c’est qu’ils ne peuvent pas donner les détails du contrat car cela violerait les intérêts commerciaux de Microsoft », explique Karsten Gerloff. « Personnellement, en tant que citoyen, je me moque des intérêts commerciaux de Microsoft. Ce qui m’intéresse, en tant que contribuable, ce sont les intérêts des institutions européennes, de savoir où va mon argent, s’il est utilisé d’une manière efficace ou non. Or, la tendance est plutôt à conserver les contrats de fourniture secrets. »
À ce jour, la commission européenne est liée à Microsoft par deux contrats. Le premier, passé via un fournisseur du nom de Fujitsu, est celui portant directement sur la fourniture des logiciels pour un montant de 50 millions d’euros. Le second, signé directement avec Microsoft pour un montant de 44,7 millions d’euros, porte lui sur le « support », c’est-à-dire l’entretien des logiciels vendus.
Or, ces deux contrats arrivent tous deux à échéance l’année prochaine. La commission se décidera-t-elle à sauter le pas du logiciel libre en remettant en cause sa dépendance vis-à-vis de Microsoft? « J’aimerais le penser », estime Karsten Gerloff. « Le moment n’a jamais été meilleur. Il n’y a jamais eu autant de gens concernés par les logiciels libres au sein de la commission et ceux-ci sont de plus en plus performants. En même temps, je ne suis pas excessivement optimiste. »
Interrogée par Mediapart sur son intention de lancer, ou non, un appel d'offres, la commission refuse pour l'instant de se prononcer. Elle rappelle que « ses décisions dans le domaine du choix des logiciels, d’une part, respectent toujours pleinement la législation applicable en matière de marchés publics et, d’autre part, sont basées sur des analyses coût-bénéfice visant à déterminer le coût total de possession (et les risques) de chaque alternative ».
La commission précise cependant avoir récemment « recadré sa stratégie autour de trois grands axes d’action : Axe 1 - Garantir à tout moment la continuité totale des opérations en ce qui concerne l’ensemble de la plateforme bureautique. Axe 2 - Introduire progressivement des technologies et des solutions alternatives, à l’échelle jugée opportune au cas par cas. Axe 3 - Préparer le terrain pour permettre, à terme, une gestion de la plateforme bureautique en mode "services" ». Le piratage du Parlement risque d'accélérer ces débats.