Microsoft coupe les mails de la Cour Pénale Internationale, un avertissement pour tous les Européens
Alors que son président s’était engagé à protéger les données des Européens, Microsoft a retiré à la CPI l’accès à ses services. La coupure fait suite à une volonté de l’administration américaine, à laquelle Microsoft s’est soumis malgré ses promesses.
Lors de sa visite à Bruxelles, Brad Smith, le président de Microsoft, l’avait juré. Son groupe s’engagerait à défendre les intérêts et les données des Européens face aux aléas géopolitiques, y compris d’éventuelles pressions de l’administration américaine.
Mais les promesses n’engagent que ceux qui les croient. Et après ce joli discours – où Brad Smith assurait avec emphase que Microsoft « dépend de manière critique de la confiance de ses clients, des pays et des gouvernements à travers l’Europe » –, la raison dictait d’avoir des preuves qui confirmeraient cet engagement avant de le croire.
Or peu après cette déclaration, on apprenait que Microsoft suspendait la messagerie et d’autres services utilisés par le bureau du procureur de la Cour Pénale Internationale (CPI) de La Haye, Karim Khan.
Cette coupure se conformait aux sanctions imposées par Washington à l’encontre du personnel du CPI après que la Cour a décidé d’ouvrir des enquêtes sur de hauts dignitaires israéliens.
Le contexte est sulfureux, mais ce n’est pas le fond du problème. Quoi que l’on pense de ces enquêtes d’un côté, et de la légitimité des sanctions américaines de l’autre, cette affaire prouve que Microsoft a non seulement la capacité, mais aussi la volonté d’exécuter les directives de l’État américain et de couper les services à tout acteur jugé indésirable par son administration.
Une posture qui va à l’encontre des engagements pris par Brad Smith sur le sol européen.
Un clic de souris qui résonne dans le monde entier
Cette coupure est, si je puis dire, un clic de souris qui résonne dans le monde entier. Un clic qui devrait en tout cas faire réfléchir les décideurs sur leurs relations « de confiance » avec Microsoft.
« Les responsables IT, en particulier dans le public, savent qu’il est temps de trouver une alternative “au cas où”. Un plan B est une question de bon sens. »
De fait, plusieurs institutions publiques néerlandaises ont aussitôt accéléré leurs recherches de solutions alternatives, hébergées en Europe. Dans le même temps, le nombre de demandes de backups pour sécuriser les données dans Microsoft aurait bondi. En Allemagne, la presse s’est fait l’écho d’un regain d’intérêt pour des systèmes de sauvegarde face à une possible perte d’accès aux services Microsoft. Dans les pays nordiques comme en France, l’idée d’un avenir numérique moins dépendant d’Azure est encore plus ancienne et cette affaire ne fait que la raviver.
Une vague d’interruptions de service volontaire par Microsoft est hautement improbable – l’éditeur fait 25 % de ses revenus en Europe, il ne peut pas se passer de ce marché sous peine de suicide commercial. Il ne s’agit donc pas d’avoir peur.
Mais lorsqu’un prestataire clé sur lequel les organisations comptent depuis des années se montre soumis aux volontés d’un gouvernement étranger, fût-il ami, la plupart des responsables IT (en particulier dans le secteur public) savent qu’il est temps de trouver une alternative « au cas où ». Avoir un plan B est une question de bon sens.
Le véritable problème pour Microsoft pourrait d’ailleurs être là : dans l’IT, les plans B deviennent souvent les plans A. Une fuite modeste de clients peut vite se transformer en exode. Les gouvernements sont par nature prudents, mais ils sont aussi assez moutonniers. Quand l’un d’entre eux change de chemin, les autres ont plus tendance à le suivre.
Un changement d’ambiance vers moins de confiance
Cette affaire ne provoquera donc pas d’exode de chez Microsoft. D’ailleurs, même en imaginant que ce soit techniquement possible (ce qui bien souvent n’est pas le cas), les organisations sont plus préoccupées que paniquées.
« Nombreux sont ceux qui estiment que Microsoft, au lieu d’avoir défendu un pilier de la communauté juridique mondiale, a agi comme un instrument de la politique américaine. »
Mais l’affaire marque un changement d’ambiance : jusque-là très fidèles à Microsoft, plusieurs structures discutent désormais ouvertement de la nécessité de réduire leur dépendance à l’éditeur américain.
Les inquiétudes liées à de possibles pressions des autorités américaines sur les hyperscalers – Microsoft, Google ou AWS – existent depuis longtemps. Mais elles étaient atténuées par les promesses répétées de ces fournisseurs de protéger leurs clients.
Cependant, nombreux sont ceux qui estiment que Microsoft, à l’épreuve du feu, n’a pas tenu parole. Et qu’au lieu d’être un défenseur d’un pilier de la communauté juridique mondiale, il a agi comme un instrument de la politique américaine.
« Le CPI a dû renoncer à certaines fonctionnalités et à une certaine facilité d’utilisation, mais c’est un bien petit prix à payer pour protéger ses équipes. »
Proton Mail n’est pas une panacée. Le service est soumis au droit suisse, qui oblige (lui aussi) sur demande à divulguer certaines données à un gouvernement (ici, Helvète). Mais ces informations se cantonnent à certaines métadonnées, comme l’adresse IP, et ne concernent pas les mails eux-mêmes.
En passant à une alternative, il y a fort à parier que Karim Khan a dû renoncer à certaines fonctionnalités et à une certaine facilité d’utilisation, mais il doit aussi se dire que c’est un petit prix à payer pour protéger ses équipes et son institution de l’influence du gouvernement américain.
Trouver une alternative est peut-être un choix que d’autres devront envisager dans les mois ou les années qui viennent. Car si cette affaire rappelle une chose, c’est qu’on ne peut pas toujours faire confiance aux fournisseurs cloud pour garantir la souveraineté des données, malgré leurs discours.
Et dans ce cas précis, malheureusement, les actes de Microsoft résonnent bien plus fort que les mots rassurants de Brad Smith.
