Dilemme de Microsoft face à la dépendance du gouvernement américain
Dans le paysage mondial de la cybersécurité, rarement un nom n’émerge avec autant de poids et de contradictions que Microsoft. Les systèmes de Microsoft se sont entrelacés pour devenir un élément central de la structure de gouvernance américaine, étant le principal fournisseur de technologie au gouvernement américain. Des applications de bureau au Pentagone, au Département d’État et au FBI, Microsoft est un partenaire clé dans les initiatives gouvernementales en matière de défense cybernétique, détenant des informations uniques sur les activités des pirates informatiques en plus de vastes capacités pour contrer leurs opérations cybernétiques.
Cependant, quelques incidents récents de piratage ainsi qu’un rapport du Conseil de révision de la cybersécurité ont attiré l’attention sur un dilemme auquel l’entreprise américaine est confrontée. Malgré les cyberattaques répétées menées par des adversaires directs des États-Unis contre Microsoft, la position de l’entreprise semble ferme et immunisée contre toute conséquence ou critique. Le gouvernement américain a continué à acheter et à utiliser les produits de Microsoft, et les hauts responsables gouvernementaux ont refusé d’émettre des critiques publiquement contre la société, comme le mentionne un rapport de Wired.
## Défaillances en cybersécurité
Au cœur de ce dilemme se trouvent une série de défaillances en matière de sécurité cybernétique qui n’ont pas seulement embarrassé Microsoft, mais qui ont également révélé les vulnérabilités critiques dans l’infrastructure américaine, exposant aux opérations d’espionnage et de sabotage.
Ces piratages ne sont pas simplement des incidents isolés, mais des symptômes d’un mal plus profond, à savoir la « culture de l’entreprise qui ne donne pas la priorité à la sécurité et à la sûreté », comme le mentionne le rapport du Conseil de révision de la cybersécurité sur Internet Safety.
Le Conseil, qui réunit des experts gouvernementaux et industriels, a critiqué la société pour son échec continu en matière de sécurité cybernétique, en particulier après une importante violation perpétrée par des pirates informatiques chinois en 2023.
Ce n’était pas la première fois, car en 2021, des pirates informatiques affiliés au gouvernement chinois ont exploité des vulnérabilités dans les serveurs de messagerie électronique de Microsoft, ciblant les clients de l’entreprise, puis ont divulgué ces failles au grand public, déclenchant une vague d’attaques cybernétiques. Le plus marquant de ces incidents a été l’échec de Microsoft à patcher rapidement ces vulnérabilités connues, permettant leur exploitation à plus grande échelle.
En revanche, le piratage de 2023 était plus préoccupant pour le gouvernement américain, car des agents chinois ont infiltré les comptes de messagerie appartenant à 22 agences fédérales, leur permettant d’espionner de hauts responsables du Département d’État et de la ministre du Commerce Gina Raimondo avant des réunions diplomatiques importantes avec le gouvernement chinois, comme le rapporte Wired.
En janvier dernier, Microsoft a révélé que des pirates russes avaient accédé aux e-mails de responsables de l’entreprise, d’experts en cybersécurité et d’avocats, divulguant des informations sensibles, y compris du code source et des données confidentielles entre les employés et certains clients.
## Source de revenus
La complexité de la situation réside dans l’approche de Microsoft en matière de cybersécurité en tant qu’opportunité de tirer davantage de revenus, car la société facture des frais supplémentaires pour des fonctionnalités de sécurité avancées, des services que beaucoup estiment devoir être des services essentiels et non payants.
En janvier 2023, Microsoft avait annoncé que les revenus annuels de sa division Sécurité avaient dépassé les 20 milliards de dollars, témoignant de l’ampleur de ses activités en matière de cybersécurité.
Cette stratégie a été vivement critiquée au début de 2021 lorsque le non-paiement de ces frais pour de tels services premium a facilité aux pirates informatiques russes l’exploitation de la célèbre faille « SolarWinds ».
Juan Andrés, vice-président de la recherche chez SentinelOne, a critiqué l’approche de Microsoft visant à générer des revenus à partir de la cybersécurité, déclarant à Wired que « Microsoft a transformé la cybersécurité en une source de revenus ».
## Point faible évident
La dépendance du gouvernement américain à l’égard des produits Microsoft pose un autre dilemme, où le point de rupture devient unique, un danger amplifié par la large diffusion des produits de l’entreprise dans la plupart des opérations gouvernementales, comme l’indique le rapport.
Les experts mettent en garde contre le fait que le monopole de Microsoft sur l’infrastructure technique gouvernementale crée un point faible évident, car concentrer des tâches sensibles au sein d’une seule plate-forme signifie qu’une faille de sécurité pourrait avoir des répercussions étendues. Par exemple, si une attaque rendait inopérante la plate-forme de messagerie électronique de Microsoft, cela n’arrêterait pas seulement les communications, mais pourrait entraîner l’effondrement des capacités opérationnelles du gouvernement fédéral, comme le prévoit un expert en cybersécurité cité par Wired.
Cela a suscité des appels de législateurs américains à diversifier les fournisseurs de services technologiques pour réduire ces risques et réduire la dépendance excessive du gouvernement envers une seule entreprise.
### Extension de l’influence
Selon le rapport, l’influence de Microsoft va bien au-delà des caractéristiques de son logiciel ou de sa domination du marché, pénétrant les rouages du pouvoir à travers des pressions stratégiques et une participation à l’élaboration des politiques publiques.
Andrew Grotto, ancien responsable de la Maison Blanche en matière de cybersécurité, déclare que « Microsoft est sans aucun doute la plus habile à naviguer sur ces questions au sein de l’univers technologique ».
L’équipe de Menace cybernétique de Microsoft, qui possède une expertise inégalée dans ce domaine par rapport à toute autre entreprise et à la plupart des gouvernements, publie régulièrement des recherches sur ces menaces et collabore avec les forces de l’ordre pour démanteler l’infrastructure des groupes de pirates informatiques.
La société aide également à financer des groupes comme le CyberPeace Institute, qui prône un Internet plus sûr et défend les organisations non gouvernementales contre les attaques de pirates informatiques, selon le rapport de Wired.
Cette implication de Microsoft ne se limite pas à la coopération opérationnelle, mais s’étend à l’élaboration des politiques, la société fournissant souvent aux législateurs des projets de loi, la plaçant ainsi en tant que partenaire de la politique publique confrontée à des questions de sécurité cybernétique pour lesquelles les décideurs politiques manquent d’expérience, selon le rapport.