Pouvons-nous encore faire confiance aux services cloud américains? «Nous avons collectivement posé notre tête sur le billot»
L’expert en informatique Bert Hubert (49 ans), ancien superviseur des services de renseignement néerlandais, alerte sur les risques liés au stockage des données auprès d’entreprises cloud américaines. «C’est de la folie, pour un pays, de confier ses communications à une organisation étrangère.»
«Revenons un instant aux années 1980. Imaginons que le gouvernement néerlandais doive déménager son service courrier, et que l’ambassade des Etats-Unis mette alors à disposition une pièce, en promettant de ne surtout pas lire les lettres. Tout le monde crierait: « Mais vous êtes cinglés? » Et pourtant, c’est ce que les gens défendent aujourd’hui: « Non, non, les Américains ne vont vraiment pas lire nos données dans le cloud, ils l’ont promis eux-mêmes. » C’est complètement fou.»
Celui qui parle, c’est le cyberexpert néerlandais Bert Hubert, connu pour son logiciel DNS, utilisé au cœur de presque tous les fournisseurs d’accès à Internet, et ancien actionnaire de la célèbre entreprise de cybersécurité de Delft, Fox-IT. «Après avoir vendu mes parts dans PowerDNS et Fox-IT, j’aurais pu aller m’installer sur un bateau, jouer au golf ou collectionner de l’art. Mais je suis tout simplement très en colère sur l’état de la technologie en Europe. Et c’est pour ça que j’écris aujourd’hui des posts sur mon blog.»
Ces posts semblent être bien lus. Le Parlement néerlandais a adopté à la mi-mars plusieurs motions demandant au gouvernement de réduire sa dépendance aux entreprises américaines de logiciels.
Bert Hubert: Il s’agissait d’une dizaine de motions, et je peux dire sans fausse modestie qu’environ la moitié d’entre elles ont un lien avec mes contributions sur le blog. J’ai ainsi écrit un jour sur la Première Guerre mondiale, lorsque les Pays-Bas ont soudainement été coupés de leurs colonies –notre communication avec l’Indonésie passait par l’Angleterre. Et lorsque Londres a bloqué cette communication, les Pays-Bas ont alors mis en place une station radio extrêmement puissante pour envoyer directement des messages vers l’Indonésie. C’était Radio Kootwijk. Eh bien, j’ai plaidé pour la création aujourd’hui d’une sorte de «Cloud Kootwijk». Le Parlement soutient cette proposition.
En Belgique, il n’y a eu aucun débat public ou parlementaire sur les risques de confier ses données à des fournisseurs cloud américains. Pourtant, la situation belge est comparable à celle des Pays-Bas, non?
Je peux l’affirmer presque avec certitude. Presque toutes les administrations utilisent Microsoft pour leurs e-mails, à l’exception de quelques services de renseignement. Le problème, cependant, c’est que Microsoft a déclaré il y a quelques années: «Nous allons rendre de plus en plus difficile, de plus en plus coûteux et de plus en plus contraignant la possibilité d’exploiter vous-même votre propre serveur de messagerie.» Le 14 octobre 2025 marque une échéance: à cette date, vous devrez soit avoir installé une nouvelle version onéreuse du logiciel de messagerie Microsoft, soit transférer tous vos courriels vers des serveurs américains.
Ils ne sont pas déjà hébergés sur des serveurs américains?
Autrefois, on pouvait faire tourner soi-même les logiciels Microsoft sur son propre serveur. Mais cette possibilité s’est considérablement réduite au cours des dix dernières années. Toutes les entreprises ont déjà déplacé leurs courriels sur des serveurs américains. Et les pouvoirs publics sont maintenant, eux aussi, en train de céder.
Il y a d’ailleurs bien plus de données dans le cloud que de simples e-mails.
Le grand acteur dans cette histoire s’appelle «Microsoft 365», une combinaison de traitement de texte, de bases de données, de feuilles Excel, d’agendas, de visioconférences… En réalité, l’ordinateur sur votre bureau devient une sorte d’écran qui affiche ce que vous avez placé dans le cloud de Microsoft.
Et vous considérez qu’il est risqué de confier toutes ses données à Microsoft 365?
Si vous êtes un gouvernement et que vous voulez élaborer une politique à propos, disons, de Donald Trump, il est tout de même curieux que cela se fasse sur un serveur situé aux Etats-Unis –ou en tout cas sous contrôle américain, non? Microsoft 365 est d’abord dangereux parce que les Américains peuvent regarder. Mais deuxièmement: il n’existe plus d’alternative. Que se passe-t-il en cas de panne de Microsoft 365, intentionnelle ou non? Nous avons donc collectivement posé notre tête sur le billot.
«Le véritable problème sous-jacent, c’est que nos responsables politiques et administratifs n’ont aucune affinité avec la technologie. Ils la détestent.»
Comment cela s’explique-t-il?
Le véritable problème sous-jacent, c’est que nos responsables politiques et administratifs n’ont aucune affinité avec la technologie. Ils la détestent, et si vous comprenez mal quelque chose, tout le monde se moque de vous. Le Belge moyen s’y connaît largement plus en informatique que le ministre moyen.
Quel est, pour la Belgique, le pire scénario si nous continuons à faire confiance au cloud américain?
Si Microsoft 365 tombe en panne, c’est toute l’administration qui s’arrête. Pensez aussi aux hôpitaux, aux cabinets de médecins généralistes, à la gestion de nos routes, etc. Cela peut très facilement conduire à une désorganisation totale de la société. Surtout si cela survient au moment où une catastrophe est déjà en cours. Par exemple une inondation, où les citoyens ne peuvent même plus retrouver les numéros des services compétents. Ou à un incendie majeur, où l’on ne peut plus savoir où se trouvent précisément les camions de pompiers.
Pourquoi une puissante entreprise américaine comme Microsoft se laisserait-elle instrumentaliser par la politique?
Vous partez du principe que tout le monde va agir de façon logique, et qu’une entreprise comme Microsoft va défendre les droits des Européens. Mais ce n’est pas ce que nous observons. Ce que nous voyons, c’est que les géants technologiques américains font la file pour faire plaisir à Trump.
«Ce que nous voyons, c’est que les géants technologiques américains font la file pour faire plaisir à Trump.»
Facebook et Amazon ont déjà déclaré qu’ils sont partenaires de Trump. Le plus gros client de Microsoft est probablement le gouvernement américain. Microsoft ne va pas mettre en péril sa relation avec Washington D.C. pour faire plaisir au Parlement belge.
Quelles sont les alternatives à ces services cloud américains?
Il n’existe aucune alternative qui offre toutes les fonctionnalités de Microsoft 365. Microsoft a créé un environnement qui contient tout. Néanmoins il existe bel et bien des alternatives. Moi, par exemple, j’utilise Libre Office pour le traitement de texte et Thunderbird pour les e-mails, sur mon propre serveur mail.
Mais vous écrivez vous-même sur votre blog que la logique du marché n’a pas produit de cloud européen.
Jusqu’à présent, il n’y a jamais eu de demande pour des solutions européennes. Pire encore: c’est la Commission européenne qui a le plus vigoureusement affirmé qu’elle n’avait aucun intérêt pour des produits européens.
Pardon?
La Commission européenne a elle-même été l’un des tout premiers grands utilisateurs de Microsoft 365. Mais le Comité européen de la protection des données est intervenu: «Ce n’est pas autorisé, car de cette manière vous traitez les données personnelles des Européens sur des serveurs américains.» Plutôt que de passer à des fournisseurs européens, la Commission européenne a intenté un procès contre son propre comité de la vie privée.
Ce qu’il faudrait en réalité, c’est que les gouvernements européens mènent une véritable politique industrielle. Qu’ils achètent par exemple à des développeurs un ensemble complet et avancé de services de messagerie électronique, et qu’ils commencent déjà à le payer avant même qu’il ne soit livré. Afin que les entrepreneurs sachent que cela vaut la peine de développer ce genre de technologie.
Peut-être que les énormes budgets de défense que l’Europe met aujourd’hui sur la table représentent une opportunité?
Certainement, il s’agit de 800 milliards d’euros supplémentaires. Avec un milliard d’euros destiné au développement logiciel, on irait déjà très loin. Bien sûr, nous ne pouvons pas construire un énorme appareil de défense pour nous défendre et dire ensuite: «Cela ne fonctionnera que si l’Amérique l’approuve.»
Vous avez également été superviseur des services secrets néerlandais. Les services de renseignement néerlandais (AIVD) et la Sûreté de l’Etat belge peuvent-ils encore faire confiance aux services américains?
Je vais être très clair là-dessus. Non, ce n’est tout simplement pas possible. La Directrice du Renseignement national américain, Tulsi Gabbard, est pro-russe. Le chef du FBI adhère à des théories du complot sur l’ »Etat profond ». Le numéro deux du FBI est un animateur de podcast d’extrême droite. Je pense donc que nos services vont devenir très prudents.
Microsoft réagit: «Nos e-mails sont stockés en Europe»
«Nous disposons de 17 centres de données en Europe», réagit Frank Callewaert, Chief Technology Officer chez Microsoft. «Les e-mails et documents des clients européens sont uniquement stockés et traités au sein de l’Europe –pas sur des serveurs aux Etats-Unis. Nous le garantissons contractuellement grâce à nos engagements EU Data Boundary.» Mais qu’en est-il alors de la loi américaine sur la surveillance, qui s’applique universellement aux entreprises américaines? Si vous relevez de cette loi, peu importe où se trouvent les serveurs. Frank Callewaert: «Microsoft est en effet une entreprise américaine, mais pour les clients européens, nous avons la bien-nommée EU Data Boundary, qui garantit que les données restent en Europe. De plus, nous appliquerons toujours le RGPD et les autres législations européennes en priorité.»
Et que se passe-t-il si un juge américain arrive avec un mandat? «En vertu du RGPD, c’est le client qui est le responsable du traitement des données», explique Frank Callewaert. «Nous renverrons donc le juge vers ce client. Par ailleurs, nous examinerons aussi si la demande est légitime et proportionnée, et si elle ne constitue pas une violation du droit européen. Si tel est le cas, nous engagerons nous-mêmes une procédure judiciaire contre l’autorité qui formule ce type de requêtes. Nous l’avons d’ailleurs déjà fait dans le passé.»
Selon Frank Callewaert, il n’y a pas lieu de s’inquiéter d’une panne: «Pour l’environnement Office 365, nous conservons les données des clients dans des centres de données situés dans au moins deux emplacements géographiques différents. Les données d’un client peuvent donc être stockées, par exemple, aux Pays-Bas et en Irlande. Si, par hypothèse, les Pays-Bas se retrouvaient privés d’Internet, nous disposerions toujours d’une copie des données en Irlande. Cette redondance a été intégrée pour surmonter d’éventuelles défaillances. Et pour garantir que les données des clients restent toujours accessibles, indépendamment de ce type de situations.»
«Nous garantissons contractuellement une disponibilité très élevée de nos services. Il est pratiquement exclu qu’Office 365 soit complètement hors service pendant une longue période», affirme Frank Callewaert, qui confirme que le gouvernement américain est un client important. «Mais le marché européen est encore bien plus vaste. Notre capacité de 17 centres de données européens existe et existera toujours. Rien que ces 16 derniers mois, nous avons investi 20 milliards d’euros dans une capacité supplémentaire pour nos centres de données en Europe. Et cet automne, Microsoft ouvrira encore de nouveaux centres de données européens, notamment en Belgique.»
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici
