Nous n’avons pas l’habitude de mêler ensemble des mots comme “informatique” et “géopolitique”, n’est-ce pas ?
Nous autres techniciens sommes persuadés de travailler dans un monde neutre, idéal où seule la qualité technique des systèmes importe, pas leur origine. Cependant, je viens de me rendre compte fortuitement que cette illusion ne pouvait plus tenir, que les tensions du monde sont en train de nous rejoindre !
Rassurez-vous, nous allons rester dans notre domaine et je ne vais pas profiter de cette chronique pour divaguer sur les dérives du monde ou en faire une tribune pour telle ou telle cause. Il s’agit simplement de se rendre compte que les questions de souveraineté nous concernent désormais et d’en prendre acte.
La question de confiance
Avant d’aborder le vif du sujet, revenons tout d’abord sur une notion essentielle : la confiance. Eh oui, avant de choisir un fournisseur, que ce soit pour le cloud ou autre chose, la confiance est primordiale. Allez-vous vous engager avec un prestataire pour lequel vous ne ressentez que de la défiance ?
Non, sûrement pas (à part quelques cas comme les situations monopolistiques). Donc, forcément, si vous choisissez Amazon, Microsoft ou Google (ou un autre bien sûr) pour votre cloud, c’est que vous avez une certaine confiance dans sa capacité à assurer ladite prestation selon les termes du contrat établi entre les parties. Pourtant, vos capacités à vérifier que cette firme est effectivement digne de confiance sont très limitées. Avez-vous pu visiter un de leurs datacenters ? Non, évidemment non.
Avez-vous pu auditer les logiciels utilisés par les techniciens de cette entreprise ? Pas plus bien sûr.
Et pourtant, c’est bien sur les datacenters d’Amazon, Microsoft ou Google (ou un autre bien sûr) que vos données, documents et applications vont se retrouver (sans pouvoir choisir l’emplacement du datacenter en question en plus !). Donc, on l’aura compris, c’est grâce à l’aura de réputation qui entoure ces sociétés que l’on choisit de s’engager avec un tel ou une telle.
Or, nous allons voir ensemble que cette fameuse “question de confiance” est de plus en plus malmenée et que de sérieuses interrogations s’accumulent désormais au-dessus des sociétés américaines en particulier…
Première prise de conscience : le “cloud act”
C’est avec cette loi fédérale américaine que nous avons eu un premier signal important. Pour comprendre de quoi il s’agit et pourquoi c’est important, je vous encourage à visionner cette excellente vidéo qui résume cela très bien :
Reprenons. Si on a bien tout compris, Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943) est une loi fédérale des États-Unis adoptée en 2018 sur l’accs aux données de communication, notamment opérées dans le Cloud. Elle modifie principalement le Stored Communications Act (SCA) de 1986 en permettant aux instances de justice (fédérales ou locales, y compris municipales) de contraindre les fournisseurs de services établis sur le territoire des États-Unis, par mandat ou assignation, à fournir les données relatives aux communications électroniques, stockées sur des serveurs, qu’ils soient situés aux États-Unis ou dans des pays étrangers (source https://fr.wikipedia.org/wiki/CLOUD_Act).
Relisez la dernière phrase “qu’ils soient situés aux États-Unis ou dans des pays étrangers”… C’est assez clair : si vous avez des données hébergées sur les serveurs d’un fournisseur américain (Amazon, Microsoft, IBM ou Google, au hasard…), le gouvernement US s’arroge le droit d’y avoir accès, point. Amazon, Microsoft, IBM ou Google peuvent bien mettre des datacenters en Europe et même en France, ça ne change rien (ou dans des pays étrangers), ces entreprises sont susceptibles d’accéder à vos données. que cela vous plaise ou non. Selon Nathalie Devillier, professeure en droit du numérique à l’école de management de Grenoble “Le Cloud Act offre un cadre légal à la saisie de documents, de mails, en bref de toutes les communications captées à l’étranger par les serveurs des sociétés américaines”.
Peut-être n’est-ce pas une possibilité qui vous pose problème, mais c’est quand même mieux de le savoir au moment de choisir son fournisseur de Cloud, non ?
Mais attendez, il y a plus !
La liberté de redistribuer des copies du programme
Parlons de l’Open Source maintenant. Comme l’expliquent fort bien Jérôme Giusti et Géraldine Salord dans l’article “Disposer d’une stratégie « open source » quand on est une entreprise peut devenir un véritable casse-tête” (voir à https://www.village-justice.com/articles/disposer-une-strategie-open-source-quand-est-une-entreprise-peut-devenir,32673.html). Les libertés fondamentales de ce type de projet peuvent se résumer au respect des quatre libertés suivantes :
- La liberté d’exécuter / utiliser un programme;
- La liberté d’étudier et d’adapter le programme;
- La liberté de redistribuer des copies du programme;
- La liberté de modifier et de publier les modifications apportées à un programme.
Vous allez me dire “oui, tout cela est bien connu, qu’est-ce que cela a à voir avec le sujet du jour ?”. Eh bien, justement, parce que je me suis rendu compte que certains grands projets Open Source avaient désormais une “clause d’exclusion”…
Un exemple ? Facile, le projet Apache, serveur HTTP de référence… Je n’invente rien, la preuve :
Source => https://www.apache.org/licenses/exports/
Le détail du texte traduit en français (quand même) :
DESTINATIONS SOUS EMBARGO
Vous ne pouvez pas exporter ou réexporter, directement ou indirectement, des logiciels et/ou des données techniques ASF vers une destination soumise à des embargos américains ou à des sanctions commerciales, sauf autorisation formelle du gouvernement américain. Notez que la liste des destinations sous embargo est sujette à changement et que la portée de la technologie incluse dans l’embargo est spécifique à chaque pays sous embargo. Pour obtenir les informations les plus récentes sur les pays sous embargo et sanctionnées par les États-Unis, consultez les réglementations de l’administration des exportations des États-Unis et du département du Trésor.
LISTES DE PARTIES REFUSÉES
Les réglementations américaines en matière d’exportation exigent que toutes les transactions internationales et nationales soient vérifiées par rapport à la liste du gouvernement américain des utilisateurs finaux interdits. Les expéditions à certaines personnes, organisations ou institutions qui ont enfreint les lois américaines sur l’exportation sont interdites. Le gouvernement des États-Unis maintient des listes d’exportations interdites, y compris, mais sans s’y limiter, la liste des ressortissants spécialement désignés du département du Trésor et les listes des entités et des personnes refusées du département du commerce.
===
Et c’est rétroactif ?
Voilà qui interpelle, n’est-ce pas ?
De plus, j’attire votre attention sur “Notez que la liste des destinations sous embargo est sujette à changement et que la portée de la technologie incluse dans l’embargo est spécifique à chaque pays sous embargo”… qu’est-ce que ça veut dire ?
Que votre “infraction” pourrait être rétroactive ?
Imaginez que vous envoyiez votre système contenant Apache vers une contrée ou une organisation qui, pas de chance, quelques années après est bannie par les USA… Est-ce que les ennuis vont commencer après cela ?
Oui, je sais, la notion de droit rétroactif est antinomique avec la constitution française (à raison !), mais nous ne sommes pas ici entre juristes distingués, plutôt au cœur d’un affrontement qui nous dépasse de beaucoup… Donc, le droit légitime, les clauses abusives, tout cet arsenal censé nous protéger, vous pouvez oublier !
Les Américains durcissent tout ce qui est en leur pouvoir
Bien entendu, le raidissement des relations entre les Américains d’une part et les Russes et les Chinois d’autre part ne semble pas vraiment avoir à faire quoi que ce soit avec nous, modestes contributeurs à nos économies nationales, dans le domaine civil le plus souvent (si vous travaillez avec les militaires, sans doute êtes-vous plus avertis de ces choses). Mais le fait est que, depuis le début des années 2000, nos amis américains sont de moins en moins “cools” et ne se contentent plus de faire usage de la “soft power”, ils sont désormais de plus en plus à cheval sur les moyens d’aligner les autres nations sur leur ligne.
Le soft power (traduisible en français par la « manière douce » ou le « pouvoir de convaincre ») est un concept utilisé en relations internationales. Développé par le professeur américain Joseph Nye, il a été repris par de nombreux dirigeants politiques. Colin Powell l’a employé au Forum économique mondial en 2003 pour décrire la capacité d’un acteur politique — État, firme multinationale, ONG, institution internationale (comme l’ONU ou le FMI), voire réseau de citoyens (comme le mouvement altermondialiste) — d’influencer indirectement le comportement d’un autre acteur ou la définition par cet autre acteur de ses propres intérêts à travers des moyens non coercitifs (structurels, culturels ou idéologiques).
Et, pour cela, ils ont de plus en plus recours à des moyens contraignants comme leur mainmise sur le dollar et l’établissement de fortes amendes pour tous les contrevenants, y compris et surtout en dehors du territoire US, c’est ce qu’on appelle désormais l’extraterritorialité.
En avril 2018, la DGSI établit une note pour le gouvernement français dans laquelle elle estime que « les entreprises françaises […] font l’objet d’attaques ciblées, notamment par le biais de contentieux juridiques, de tentatives de captation d’informations et d’ingérence économique ». Le document qui se présente comme un « panorama des ingérences économiques américaines en France » avance que l’aéronautique et la société Airbus seraient les premières cibles de ces captations d’information. Dans la même note, la DGSI souligne que « plusieurs grands groupes français ont ainsi été ciblés par le ministère de la Justice américain ces dernières années […] (Technip, Total, Alstom, Alcatel, BNP Paribas, Crédit agricole, Société générale). Les opérations d’acquisition ou de fusion ayant suivi, pour certains d’entre eux, pourraient être interprétées comme le fruit de manœuvres de déstabilisation et de fragilisation rendues possibles par la mise en œuvre de ces dispositions légales ».
L’extraterritorialité est un principe de droit international public qui revient pour un pays à laisser s’exercer l’autorité d’un État étranger ou d’une organisation internationale sur une partie de son territoire propre. En France, l’extraterritorialité de certaines lois américaines a fait l’objet d’un rapport à l’Assemblée Nationale en 2016 par Pierre Lellouche et Karine Berger. Celle-ci est décrite comme posant des « difficultés » aux entreprises et personnes françaises.
Bien entendu, si vous êtes à la tête d’une PME œuvrant dans le domaine tertiaire, tout cela doit vous paraître lointain et nébuleux… Jusqu’au jour où, surprise, vous constaterez que, si finalement, vous êtes concerné !
Et ce n’est pas que l’Open Source qui est en cause. En fait, toutes les sociétés américaines le disent clairement : pas question de faire quoi que ce soit avec les pays “sous embargo”.
Un exemple, Seagate (les périphériques de stockage) vous avertit avec la plus grande clarté (sur sa page https://www.seagate.com/fr/fr/support/warranty-and-replacements/embargo-country-notice/) :
Seagate et ses employés ne sont ainsi pas autorisés à effectuer quelque transaction que ce soit avec les pays suivants :
- Cuba
- Iran
- Corée du Nord
- Syrie
- Crimée (Ukraine)
Les projets Open Source d’origine américaine à éviter ?
Avant d’aller plus loin, je voudrais préciser que, en aucun cas je ne peux être taxé d’anti-américanisme primaire. Je connais bien les USA, j’y ai vécu pendant une décennie et c’est une contrée que j’apprécie beaucoup. Je pense même que nous devrions l’imiter sur certains points (mais pas tous !). Ceci étant dit, je peux poursuivre.
Les projets Open Source d’origine américaine sont désormais suspects s’ils commencent à généraliser ce genre de clause d’exclusion. Tout d’abord cela va totalement à l’encontre de l’esprit des logiciels libres tel qu’il nous a été présenté et auquel nous nous sommes habitués. Remettre ces règles en cause jette une ombre funeste sur toute la communauté du logiciel libre. Je vous encourage donc à vérifier ce point dans les projets que vous utilisez déjà ou que vous vous apprêtez à utiliser. Pendant qu’on y est, ajoutez donc une clause ad hoc aux contrats que vous passez avec vos prestataires les obligeant à vérifier ce point afin d’éviter ces situations délicates.
Conclusion : un souci de plus à prendre en compte !
Je l’ai déjà dit et répété, 2021 est l’année où on ne peut plus faire l’impasse sur les questions liées à la sécurité. Selon une étude à paraître de la London Business School, en examinant les commentaires faits aux investisseurs par 12 000 entreprises cotées dans 85 pays sur deux décennies, on se rend compte que le cyber-risque a plus que quadruplé depuis 2002 et triplé depuis 2013.
Mais voilà qu’un nouveau souci est en train de poindre à l’horizon… En effet, les questions de souveraineté (et de remise en cause de notre souveraineté, pour mettre les points sur les i…) qu’on a abordée dans cette chronique peuvent vous paraître encore lointaines, mais il suffit de peu pour être tout d’un coup concerné : si votre fournisseur a inclus une couche open source dans un système qu’il vous vend ou loue et qu’elle tombe (la couche en question) dans le cadre d’une clause restrictive, vous allez vite vous rendre compte que ces questions sont importantes finalement.
Et on peut ainsi imaginer nombre de scénarios où ces restrictions vont venir perturber votre fonctionnement sans que vous puissiez l’anticiper au départ… Mais alors, que faire ?
Eh bien il est clair que le choix de la nationalité de vos fournisseurs va devenir de plus en plus importante, voire primordiale. Et que ces mêmes fournisseurs auront tout intérêt à être très regardants sur l’origine de composants utilisés dans leurs systèmes (encore une précaution à vérifier, ne rien croire sur parole).
On pouvait rire de ceux qui jouaient les cassandres sur ces sujets il y a quelques années, mais moi, personnellement, je ne ris plus. Cette découverte (la clause d’exclusion d’Apache) m’a ouvert les yeux et on ne peut plus être naïf : nos systèmes sont trop précieux pour ne pas faire l’objet de toutes les convoitises et de tous les calculs. Désormais, il faut se protéger des hackers, mais aussi des états… quelle époque !