Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 28/11/2013, à 19:48

PPdM

Microsoft et la Comission Européenne

L'Union européenne et Microsoft : vingt ans de dépendance aveugle

28 novembre 2013 |  Par Jérôme Hourdeaux

Les institutions européennes ne veulent pas entendre le message politique lancé par le hacker qui a piraté la messagerie du parlement, comme l'a révélé Mediapart. Et il semble hors de question de remettre en cause le partenariat (100 millions d'euros) unissant, depuis vingt ans, la commission européenne et Microsoft, à chaque fois renouvelé sans appel d'offres.


Les révélations, publiées la semaine dernière par Mediapart, sur le piratage dont a été la cible le service de messagerie du parlement européen auraient pu être l'occasion d'une remise à plat de la sécurité informatique des institutions européennes. Difficile d'imaginer moment mieux choisi. Pressée par des députés et des associations qui demandent depuis des années l'abandon des contrats les liant à Microsoft, confrontée aux révélations d'Edward Snowden sur le dispositif d'espionnage mondial mis en place par les États-Unis, ces institutions ont désormais la preuve de la facilité avec laquelle il est possible de s'introduire dans un service de messagerie. L'an prochain, la commission européenne, qui contracte pour l'ensemble des institutions de l'Union, aura l'occasion de renégocier ses contrats passés avec le géant américain du logiciel, son principal fournisseur depuis vingt ans.
Lire aussi

    Les mails des eurodéputés ont été piratés par un hacker

    Par Jérôme Hourdeaux
    Les eurodéputés « choqués » par le piratage de leur messagerie

    Par Ludovic Lamant

Pour l'instant, la commission européenne fait la sourde oreille et ne veut pas voir de problème de fond, limitant le piratage du parlement européen à un simple problème « technique ». Interrogé par Mediapart sur ses motivations, le hacker avait pourtant insisté sur la dimension politique de son acte. Il ne s'agissait pas de s'attaquer à un logiciel en particulier. Outré par le manque de réaction des responsables politiques face au scandale Prism, il voulait « les secouer un peu » pour « améliorer la prise de conscience » et, « qui sait, améliorer les choses pour le prochain mandat ».

Les dirigeants européens ne veulent pas entendre ce message politique. « Il s’agit d’un problème opérationnel urgent, mais ce n’est pas une question de politique publique », a ainsi déclaré au site Slate la commissaire chargée de la société numérique, Neelie Kroes. De fait, les réponses du parlement européen à l'annonce de son piratage se sont pour l'instant limitées à des mesures techniques d'urgence comme la fermeture du réseau wifi extérieur ou l'envoi d'un simple mail demandant à tous les usagers de changer leur mot de passe, ce qui ne change strictement rien aux possibilités de piratage!

Interrogée par Mediapart sur l'opportunité de travailler avec des entreprises dont la participation au programme d'espionnage de la NSA ne fait désormais plus de doute, la commission se contente de renvoyer à des réponses déjà faites à des questions d'eurodéputés (par exemple, celle du 11 juin, par Hans-Peter Martin, élu indépendant autrichien). Dans sa réponse, publiée le 18 septembre dernier, le vice-président de la commission Maroš Šefčovič expliquait que l'UE était tenue par un accord avec l'Organisation mondiale du commerce l'obligeant à ouvrir ses appels d'offres à tous les pays sans discrimination. Des exceptions existent bien, notamment quand la sécurité nationale est en jeu. Mais celles-ci « doivent être interprétées de manière restrictive », avertissait le commissaire.

Dans la foulée, Hans-Peter Martin avait déposé, le 2 octobre, une nouvelle question demandant plus précisément si, après les révélations d'Edward Snowden, la commission entendait faire jouer cette exception pour exclure de ses marchés publics des entreprises telles que Microsoft, Google, Apple ou encore Yahoo. Dans sa réponse, non encore publiée mais que la commission a transmise à Mediapart, celle-ci explique qu'elle « continuera à vérifier » que ses fournisseurs respectent les « spécifications techniques » notamment en matière de sécurité. Avant de poursuivre : « Au regard des logiciels et du matériel auxquels se réfère l'Honorable Membre, et en particulier ceux utilisés par la commission, pour l'instant la commission n'a aucune preuve concluante qu'ils contiennent une backdoor délibérément implantée. »

Cette affirmation fera bondir toute personne ayant un peu suivi l'actualité... La commission se limite en effet à évoquer les « backdoors », des failles de sécurité utilisées comme des portes d'accès secrètes aux logiciels. Elle écarte ainsi les nombreux programmes révélés par la presse et dans le cadre desquels les services américains obtiennent des données directement des sociétés visées, sans avoir à utiliser de « backdoor ». De plus, même s'il est effectivement difficile par définition de prouver la présence d'une « backdoor » particulière, leur existence a été à de nombreuses reprises attestée.

Or c'est à cette même commission européenne que reviendra la charge de négocier avec Microsoft ses deux principaux contrats arrivant à échéance en 2014. Or, depuis 1993, la firme fondée par Bill Gates a réussi à rester le principal partenaire des institutions européennes. L'alliance a été reconduite à six reprises, sans aucune concurrence, car précédée d'aucun appel d’offres!

La passation de marchés publics est pourtant encadrée par un « règlement financier » qui prévoit, par défaut, que tout contrat doit au préalable faire l’objet d’une mise en concurrence. Mais les textes prévoient également certaines dérogations permettant à la commission de choisir directement une entreprise, dans le cadre d’une « procédure négociée », notamment lorsque celle-ci est capable de répondre à elle seule à l’ensemble de la demande. Et jusqu’à présent, Microsoft s’est toujours arrangé pour bénéficier de l’une de ces « procédures négociées ».

Dans les années 1990, le principal argument avancé pour ce régime de faveur était que la société américaine, à une époque où l’informatique grand public était encore peu développée, était quasiment la seule sur son marché. Puis, au fur et à mesure qu’apparaissaient de potentielles alternatives, la commission a commencé à justifier son choix par le fait que changer de fournisseur coûterait trop cher et serait trop compliqué techniquement à mettre en place.

Ces explications sont jugées insuffisantes, voire contradictoires, par de nombreux employés et élus européens. Le dernier contrat, signé en mai 2011 et portant sur la fourniture de logiciels pour 36 000 ordinateurs pour un montant de 50 millions d’euros, a ainsi été contesté par plusieurs députés. La commission avait justifié ce recours à une « procédure négociée », parce qu’il s’agissait d'une mise à jour des logiciels, d’une « extension » de contrat, d'un « remplacement partiel » de logiciels déjà existants. De plus, la commission expliquait que le passage à un autre fournisseur provoquerait « une incompatibilité ou des difficultés techniques disproportionnées dans l’opération et la maintenance ».

Ce dernier argument est justement celui avancé par les défenseurs du logiciel libre, c’est-à-dire ouvert et ne dépendant d’aucune licence propriétaire, qui réclament une véritable rupture avec le système actuel. « En fait, ce qu’ils disent, c’est "nous ne pouvons rien acheter d’autre que du Microsoft car ça serait trop compliqué à faire fonctionner". Et cela nous mène à la question du "lockin"», de l’enfermement », explique Karsten Gerloff, président de la Free Software Foundation Europe (FSFE).

« De fait, ajoute-t-il, en faisant le choix de Microsoft, la commission européenne accentue elle-même ce processus de "lockin". Quand ils disent qu’ils ont tellement de choses au format Microsoft qu’ils ne peuvent pas s’en sortir, cela veut dire que Microsoft peut imposer ce qu’il veut. C’est une situation à laquelle de nombreuses entreprises, mais également des particuliers, doivent faire face. Dois-je continuer à payer le fabricant propriétaire des logiciels pour installer encore plus de fichiers aux formats secrets ou, à un certain point, dois-je investir pour me libérer de ces formats et basculer dans des formats libres pour pouvoir, à l’avenir, choisir la manière dont je veux fonctionner et utiliser toute une gamme de logiciels disponibles ? »

source mad

Dernière modification par PPdM (Le 30/11/2013, à 08:28)


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#2 Le 28/11/2013, à 19:51

PPdM

Re : Microsoft et la Comission Européenne

À ce jour, la commission européenne est liée à Microsoft par deux contrats. Le premier, passé via un fournisseur du nom de Fujitsu, est celui portant directement sur la fourniture des logiciels pour un montant de 50 millions d’euros. Le second, signé directement avec Microsoft pour un montant de 44,7 millions d’euros, porte lui sur le « support », c’est-à-dire l’entretien des logiciels vendus.

Or, ces deux contrats arrivent tous deux à échéance l’année prochaine. La commission se décidera-t-elle à sauter le pas du logiciel libre en remettant en cause sa dépendance vis-à-vis de Microsoft? « J’aimerais le penser », estime Karsten Gerloff. « Le moment n’a jamais été meilleur. Il n’y a jamais eu autant de gens concernés par les logiciels libres au sein de la commission et ceux-ci sont de plus en plus performants. En même temps, je ne suis pas excessivement optimiste. »


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#3 Le 28/11/2013, à 23:21

ares

Re : Microsoft et la Comission Européenne

Merci pour le lien PPdM  smile

«(...) En même temps, je ne suis pas excessivement optimiste. »

Moi aussi, et pourtant j'accepterais de payer plus d'impôts (raisonnablement) pour que cela se réalise!
Techniquement c'est quasi irréalisable, ce qui nous garantie des hausses d'impôts substantiels. sad

Hors ligne

#4 Le 29/11/2013, à 07:27

vikin712

Re : Microsoft et la Comission Européenne

Il est plutôt nerveux le fanboy d'Apple dans les commentaires.

#5 Le 30/11/2013, à 08:31

PPdM

Re : Microsoft et la Comission Européenne

Pour ceux qui n'ont pas lu l'article a l'origine de la polémique.

Les mails des eurodéputés ont été piratés par un hacker

21 novembre 2013 |  Par Jérôme Hourdeaux

Des dizaines de milliers de mails et de données personnelles : un hacker a pénétré les messageries des députés européens pour faire la démonstration des immenses failles dans la sécurité informatique de l'institution. Il met en cause le choix de Microsoft qui équipe le Parlement et les « comportements catastrophiques » des élus. Malgré le scandale de la NSA, bon nombre d'institutions restent des passoires.
es dizaines de milliers de mails, des documents confidentiels, des carnets d'adresses, des agendas, des correspondances professionnelles mais aussi privées... Le Parlement européen va devoir changer radicalement son système de sécurisation des messageries de l’ensemble des députés européens. Car la démonstration vient d'être faite, par un hacker, de la fragilité de la sécurité des serveurs de mails au sein du Parlement.

Mediapart a ainsi pu constater que ce hacker a eu accès, ces derniers mois et de manière régulière, à l’ensemble des mails reçus par les 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire pour les besoins de sa démonstration, après avoir réussi à entrer dans le logiciel de messagerie Microsoft Exchange utilisé par le Parlement. Il s'agit des députés :
Markus Pieper (Allemagne, PPE/CDU),
Jean-Jacob Bicep (France, Verts),
Maurice Ponga (France, UMP),
Constance Le Grip (France, UMP),
Ana Gomes (Portugal, Socialiste),
Aldo Patriciello (Italie, Le Peuple de la liberté).

Les assistants parlementaires sont :
Sonia Léa Rouahbi et Melanie Vogel (Jean-Jacob Bicep)
Ivan Forte (Aldo Patriciello),
Alexandra Carreira (Ana Gomes),
Perrine Orosco (Mauric Ponga).

La collaboratrice d'un groupe politique est :
Céline Bayer (Socialistes et démocrates).

Enfin, les deux employés du Parlement travaillant pour les services informatiques et sécurité sont :
Dimitrios Symeondis,
Antonio Inclan.
Exemple de mails d'eurodéputés. Cliquer pour agrandir.Exemple de mails d'eurodéputés. Cliquer pour agrandir.

« C’était un jeu d’enfant », affirme à Mediapart l’intéressé. « Avec un ordinateur portable bas de gamme équipé du wifi et quelques connaissances que tout le monde est capable de trouver sur internet, n’importe qui est capable de faire la même chose. » Le « pirate » n’a eu qu’à s’installer dans un lieu public proche du parlement de Strasbourg, à portée des députés, puis à lancer sa machine. Seule partie un peu technique, « il faut ensuite s’arranger pour que les téléphones portables des gens se trouvant à portée passent par le wifi de mon ordinateur pour se connecter à internet ».

À partir de là, la récupération des données est d’une simplicité déconcertante. Une bonne partie des smartphones de nos élus européens sont en effet équipés d’une application de Microsoft dénommé « Active Sync » qui, régulièrement, se connecte aux serveurs mails du Parlement pour vérifier si l’utilisateur a reçu de nouveaux messages. Or, dans cette application, sont enregistrés ses identifiants et mots de passe. En cas de problème, et notamment de tentative d’intrusion, le téléphone affiche alors un message abscons, « sur lequel la plupart des gens appuient sur OK sans même l’avoir lu », explique le hacker. « Ce qui permet à l’ordinateur portable qui est au milieu de déchiffrer les communications à son niveau, avant de les re-chiffrer et de les envoyer au vrai serveur. »

Concrètement, en s’interposant entre le téléphone portable et le serveur de Microsoft Exchange, l’attaquant récupère les identifiants et mots de passe de toutes les personnes visées, lui offrant ainsi l’accès à l’ensemble de leur compte, c’est-à-dire l’ensemble des mails reçus et envoyés, les agendas personnels et, « avec un peu d’effort », les fichiers éventuellement stockés sur des comptes personnels au sein du réseau du parlement européen.


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne