Avec notre spécialiste numérique, Eric Filiol, consultant expert dans le domaine de la protection de l'information et des systèmes, nous revenons sur la panne mondiale de Windows survenue en juillet dernier. Sur les conséquences de donner carte blanche à une entreprise qui «préfère le profit à la sécurité», envers laquelle notre dépendance a «atteint un point critique extrêmement grave au niveau mondial» et sur le pillage technologique et scientifique dont l'Europe est victime face aux GAFAM.

Amèle Debey, pour L’Impertinent: Que s’est-il passé le jour de la panne informatique mondiale selon vous?

Eric Filiol: En réalité, le problème est plus profond qu’on ne le pense. Crowdstrike a déployé au niveau mondial un antivirus sur un grand nombre d’ordinateurs et en particulier sur la plateforme Microsoft Azure (le cloud de Microsoft, ndlr), laquelle héberge énormément de services dans le monde: la gestion des billets d'avion, la planification des services ferroviaires, etc. Ce qui veut dire que lorsque la solution a été déployée, des bugs ont provoqué ce qu'on appelle un écran bleu de la mort (une sorte de mécanisme d’urgence pour protéger le cœur ou noyau des systèmes Windows), et ça a tout bloqué.

Cela a activé un mécanisme de protection des systèmes et ça a tout planté. Et comme Azure est très répandu et utilisé par énormément de compagnies d'aviation, de service de billetterie et autres systèmes indispensables à l’économie mondiale, tout a été bloqué.

Microsoft permet d'héberger certains outils de sécurité. Comme une gérance qui attribuerait des appartements. Mais il peut proposer des services de téléphonie, de télésurveillance, de nettoyage, différents services à des sociétés partenaires. Le problème, c'est que ce service a été mis à jour sur l'ensemble du parc Microsoft en même temps dans le monde. Ce qui est déjà une première erreur.

Qu'en est-il de la responsabilité de Microsoft dans cette affaire?

Je veux bien qu'on dise que Microsoft n'est pas responsable de cette panne. Le fait est qu’il ne devrait pas permettre qu'on mette à jour une fonctionnalité critique comme un antivirus sur l'ensemble d'Azure au niveau mondial. Il devrait y avoir au moins une régionalisation pour que, justement, si une région tombe, les autres régions ne soient pas affectées. Il y a un problème structurel, ce n’est pas normal.

Il y a aussi, de la part de Microsoft, une absence de contrôle. Avant de déployer un produit, il aurait dû exiger les tests de sécurité pour passage en production, en particulier ceux qui concernent la stabilité.

Prenons l’exemple d’une centrale nucléaire: on ne laisse pas n'importe qui aller triturer, aller bidouiller au cœur du réacteur nucléaire. On les laisse nettoyer les abords, ce qu'on appelle le mode utilisateur. Mais normalement, avant que les gens soient habilités à traiter au niveau du noyau Windows (le cœur du réacteur nucléaire), on vérifie qu’ils soient compétents. Or là, ce qui s'est passé, c’est que Crowdstrike est intervenu directement au niveau du cœur nucléaire, ce qu'on appelle le noyau Windows, sans que l’équipe ait véritablement la compétence technique, et plus grave, que le management n’ait vérifié ni la maîtrise technique des équipes (staffing et skills), ni contrôlé le passage en production. Il y a là une carence extrêmement grave du management.

(Re)lire notre interview de Fabrice Epelboin: «Les JO étaient l’occasion de promouvoir la surveillance algorithmique»

Crowdstrike est une grosse société américaine qui a pignon sur rue, qui est considérée comme un acteur majeur de la sécurité. Mais dans les faits, la compétence n’est pas à la hauteur de la renommée. Je connais ces grandes boîtes. On encourage à aller innover et personne ne contrôle si les gens ont les compétences. L'hubris remplace la précaution et la compétence réelle. Plus généralement, le management n’est pas à la hauteur. En fait, ce type d’industrie devraient avoir des leaders techniques et non des managers qui le plus souvent n’ont plus de contacts avec la technique et l’opérationnel.

On sait très bien que chez Microsoft, il y a eu des affaires récentes. Microsoft est potentiellement une menace sur la sécurité nationale (dixit A.J. Grotto, ancien directeur principal de la politique cyber de la Maison Blanche[1]) et récemment, il a été révélé que Microsoft préférait le profit à la sécurité, ce qui lui a valu une audition devant le Congrès américain. Vu le niveau de criticité de Microsoft qui est au cœur de tous nos systèmes, il y a de plus en plus d'échos et de rapports qui montrent que ce n’est plus un acteur de confiance en termes de sécurité. Notre dépendance à Microsoft a en conséquence atteint un point critique extrêmement grave au niveau mondial.

Cela veut dire qu’on ne peut plus faire confiance à Microsoft?

Oui, on ne peut plus aveuglément faire confiance à Microsoft et on devrait pouvoir lui demander des comptes.

Ce qui n’est pas le cas?

Est-ce que l'Union européenne a convoqué les gens de Microsoft? Quant aux États-Unis, les voyez-vous se priver de la plus formidable agence de renseignements technologiques dont ils disposent? Ils leur tapent un peu sur les mains, mais tant qu'on ne frappera pas au porte-monnaie très sévèrement, cela ne changera pas. Microsoft et ces sociétés-là sont maintenant ce qu'on appelle des infrastructures vitales mondiales. Les politiques devraient exiger que l’on mette en place des pénalités graves à chaque fois qu’une carence, qu'elle soit organisationnelle ou technique, a été constatée. On ne se rend pas compte que Microsoft est plus qu'une société privée. Elle est au cœur de tous les services critiques. Donc, les Etats devraient en droit d'exiger, voire de sanctionner, quand il y a manquement grave.

Vous parliez également d’un second problème de Microsoft?

Il y a des choses qu'on a observées mais qu'on ne peut pas expliquer. Quelques heures avant l’incident Crowdstrike, on a observé une panne relativement importante sur les environnements Azure au niveau mondial. Mon sentiment c’est qu’il y a des problèmes récurrents sur Azure, parce qu'il ne tient pas la charge et on l'a vu, parce que quelques jours après, il y a eu des attaques par déni de service qui ont provoqué quelques disruptions.

Peut-on écarter tout lien entre cette panne et les krashs boursiers qui se sont produits juste après?

C'est difficile. Il est clair que ça eut un impact économique, mais il semblerait que le krach boursier soit plutôt une inquiétude liée à l'éventuelle récession économique et un problème de l'emploi aux Etats-Unis. Mais, il y aura toujours des analystes pour faire un lien plus ou moins ténu entre les deux.

Ce que je veux dire, c'est qu'on ne peut pas s'attaquer à la bourse en passant par l'informatique?

Non. Le risque zéro et l'impossibilité totale n'existent pas, mais les systèmes boursiers, qui ont appris de certaines erreurs dues notamment aux cotations informatiques, ont gagné en  maturité. Il y a tellement de redondances, y a tellement de contrôles, que je ne pense pas que cela soit probable sinon qu’avec une probabilité infime. Si on voulait vraiment porter atteinte au système boursier, ce serait en jouant sur les produits boursiers eux-mêmes. Mais une attaque purement informatique est extrêmement peu probable.

Pour revenir à Microsoft, que pensez-vous des qualificatifs de corruption employés par Fabrice Epelboin dans son interview avec L’Impertinent?

Ce terme est très fort, parce qu'il sous-entend pas mal de chose. Qu’il y ait un copinage éhonté, oui. Mais on pourrait citer beaucoup d'autres cas[3]. Ce que je sais personnellement, c’est que j'ai très mal vécu (et j'en ai en partie fait les frais) quand Microsoft a fait du forcing pour imposer Azure dans les universités et les écoles d'ingénieurs.

A l’époque, j'étais en position de donner un avis technique et cela m’a semblé être un énorme risque. Surtout qu'on avait des alternatives. On a vu après qu'il y a eu des décisions totalement incompréhensibles concernant l'hébergement des données de santé. D'un côté, on nous impose le règlement général de protection des données (RGPD), de l'autre côté, on nous dit: on met tout sur Microsoft. Soit il y une incompétence au niveau politique, soit il y a des collusions.

N’oublions pas que ce qu'on appelle corruption en Afrique, on l'appelle facilement lobbying en Europe. C’est plus pratique, mais c'est une question de sémantique. C’est vrai que ça interroge. Rappelons-nous l’analyse pertinente faite par Elise Lucet sur Cash investigation en 2016[4].

Dans votre cas, ils ont fait du forcing, mais sont-ils parvenus à leur fins?

Oui, à terme. Six mois après, il y a eu une aubaine qui s'est appelée Covid.

Mais encore une fois, ce n'était pas la seule option possible. À l'époque, j’avais alerté sur le fait qu’on allait confier à Microsoft toutes les mémoires scientifiques et techniques des élèves ingénieurs qui travaillent dans des entreprises. Microsoft sera au courant de tout le potentiel économique et scientifique de la nation. Cela permet de tracer, de profiler, systématiquement les étudiants à travers ce qu'ils disent. Cela ne choque personne?

Retrouvez les chroniques numériques d'Eric Filiol en cliquant ICI

Il s’agit quand même, techniquement, de la plus merveilleuse agence de renseignements technologiques dont on puisse rêver. Nos forces vives, c'est-à-dire la richesse d'un pays de demain, nos jeunes ingénieurs, nos jeunes scientifiques, dès le départ, sont dans un environnement qui les espionne pour le compte des USA (Cloud Act, FISA, etc…).

Je regrette, mais les États-Unis ne sont pas une nation favorable à la France. Il y a beaucoup d'innovation en France et en Europe plus généralement, et il n’y en a peut-être pas autant qu'on voudrait bien le dire aux États-Unis[5]. On assiste à un véritable pillage technologique et scientifique, notamment contre la France. Pour moi, c'est une aberration. Cela représente un risque stratégique. Surtout que des alternatives, il y en a partout en Europe. On voit bien à qui profite cette absence de transparence.

En quoi est-ce que le Covid a été une aubaine?

Dans le cadre du télétravail dans l’urgence, tout le monde s’est réjoui d’avoir Microsoft et les GAFAM. Les Etats européens n’ont jamais fait la moindre projection stratégique ni la moindre analyse de risque. En conséquence, les GAFAM se sont gavés comme jamais. Ils ont pu étudier la planète confinée. Cela a été le Las Vegas pour le renseignement américain et chinois (n’oublions pas que de grands acteurs chinois sont déjà à l’œuvre en Europe et constituent une menace tout aussi grande voire supérieure).

Pourtant, on ne manque pas d’alternatives. L’Europe est particulièrement en avance. Elle maîtrise la technologie. Je ne vois pas pourquoi on irait, par complaisance, laxisme ou incompétence, favoriser un pays ou deux. Et là, c’est la responsabilité directe des politiques, en particulier européens.

Références:

[1] https://www.theregister.com/2024/04/21/microsoft_national_security_risk/ et https://www.theregister.com/2024/06/15/microsoft_brad_smith_congress/

[2] https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers et https://techreport.com/news/microsoft-azure-hit-with-the-largest-data-breach-in-its-history-hundreds-of-executive-accounts-compromised/

[3] https://www.opex360.com/2024/01/23/selon-un-rapport-parlementaire-le-ministere-des-armees-risque-de-tomber-dans-le-piege-microsoft/ https://securite.developpez.com/actu/346725/Microsoft-et-Google-pourraient-devoir-remettre-des-donnees-personnelles-a-l-Arabie-saoudite-apres-avoir-signe-de-gros-contrats-dans-ce-pays-selon-des-groupes-de-defense-des-droits-de-l-homme/ https://sebsauvage.net/links/?0oF8DA et pour une liste relativement exhaustive https://sebsauvage.net/wiki/doku.php?id=microsoft

[4] https://www.dailymotion.com/video/x4x93oh

[5] Par exemple, peu de gens savent que les USA (défense US, FBI et le Homeland Security) sont très dépendants des technologies françaises. Lire également le rapport de Nicolas Harbulot, Rapport d'alerte - Comment les Etats-Unis contribuent-ils à affaiblir l'économie française ? https://www.ege.fr/actualites/rapport-dalerte-comment-les-etats-unis-contribuent-ils-affaiblir-leconomie-francaise 

Sur le même sujet:

«Les JO étaient l’occasion de promouvoir la surveillance algorithmique»