Le géant Microsoft a définitivement renoncé aux ingénieurs chinois qui l'aidaient pour ses services cloud militaires américains. Une décision qui fait suite aux révélations embarrassantes de ProPublica sur la cybersécurité.
Microsoft a annoncé vendredi, par le biais de son responsable de la communication, arrêter immédiatement de travailler avec des ingénieurs basés en Chine pour le support technique de ses services cloud Azure, eux-mêmes destinés au département de la Défense américain, c'est-à-dire au Pentagone. La décision a été prise après la publication d'un rapport du média d'investigation ProPublica, qui a révélé des failles dans la supervision de ces équipes étrangères. Le Pentagone a en parallèle lancé un audit de deux semaines sur l'ensemble de ses contrats cloud.
Quand une enquête met au jour les pratiques douteuses de Microsoft avec la Chine
L'enquête de ProPublica a semé la panique dans les couloirs du Pentagone. Le média new-yorkais a dévoilé que Microsoft confiait la maintenance de ses systèmes cloud militaires à des ingénieurs basés en Chine. Pour respecter les règles de sécurité, ces techniciens chinois travaillaient théoriquement sous la surveillance d'employés américains, qui formaient ce qui a été surnommé une « escorte numérique ». Un dispositif de contrôle qui s'avérait totalement inefficace.
Cette escorte possédait certes les habilitations de sécurité nécessaires, mais elle manquait souvent de compétences techniques pour évaluer si le travail des ingénieurs de l'empire du Milieu représentait une menace pour la cybersécurité. Imaginez un videur qui ne saurait pas reconnaître un trouble-fête. Le cocktail était explosif, d'autant que Microsoft a déjà essuyé des cyberattaques menées par des hackers chinois et russes.
Microsoft avait pourtant assuré à ProPublica que ses employés et contractants respectaient toutes les réglementations du gouvernement américain. L'entreprise affirmait avoir divulgué ses pratiques aux autorités compétentes lors du processus d'autorisation. Mais cette justification n'a pas suffi à calmer les réactions du Congrès et du Pentagone face aux risques de cybersécurité révélés. La ligne de défense est ici aussi solide qu'un château de cartes face à la tempête politique qui a suivi.
La contre-attaque du département de la Défense force Microsoft à changer de cap
Le secrétaire à la Défense américaine, Pete Hegseth, n'y est pas allé par quatre chemins. Dans une vidéo postée vendredi sur le réseau social X/Twitter, il a sorti l'artillerie lourde : « J'annonce que la Chine n'aura plus aucune implication dans nos services cloud, avec effet immédiat. » Un audit de deux semaines va désormais passer au peigne fin tous les contrats cloud du département de la Défense.
Le sénateur républicain Tom Cotton, qui préside la commission du renseignement, a enfoncé le clou en réclamant la liste complète des contractants utilisant du personnel chinois. Dans sa lettre au Pentagone, rapportée par Reuters, il rappelle que « le gouvernement américain reconnaît que les capacités cyber de la Chine constituent l'une des menaces les plus agressives et dangereuses pour les États-Unis. »
Frank Shaw, le porte-parole de Microsoft, a préféré rapidement sortir le drapeau blanc en annonçant les changements. La firme de Redmond a, dit-il, pris les mesures nécessaires pour « garantir qu'aucune équipe d'ingénierie basée en Chine ne fournisse d'assistance technique pour le cloud gouvernemental du département et de la Défense et des services associés. »
Une vraie communication de crise pour une entreprise dont la division cloud Azure génère plus de 25% de son chiffre d'affaires global aujourd'hui. L'enjeu était déterminant pour Microsoft, qui tire une partie substantielle de ses revenus de ces contrats gouvernementaux.
