Ministère de la défense et Microsoft : les dessous du contrat «open-bar»

Par

Le ministère de la défense a renouvelé le contrat équipant ses ordinateurs, au grand dam des défenseurs du logiciel libre. Sa signature initiale, contre l'avis d'un groupe d'experts de l'armée, avait suscité de nombreuses inquiétudes. En pleine affaire Snowden, le choix du géant américain interroge.

Cet article est en accès libre. Découvrez notre offre spéciale ! S'abonner

Les majorités passent mais certaines choses ne changent pas. Le ministère de la défense de Jean-Yves Le Drian, par exemple, se refuse toujours à donner la moindre indication sur le contenu très controversé du contrat dit « open-bar » signé en 2009 sous le mandat de son prédécesseur Hervé Morin, et renouvelé au mois d'octobre dernier.

Cet accord cadre, passé sans appel d’offres dans des conditions opaques, prévoyait d’accorder le droit pour 185 500 postes de travail de piocher dans un catalogue de logiciels Microsoft en échange d’un montant forfaitaire s’élevant, à l’origine, à 19 millions d’euros par année d'utilisation. Un contrat accusé de plonger la France dans une situation de dépendance vis-à-vis du géant américain, et de mettre en danger la sécurité informatique de l’armée française. Les récentes révélations sur la collaboration des entreprises américaines avec les services de renseignements n’ont évidemment fait qu’aggraver ces inquiétudes.

« La décision de conduire le renouvellement du contrat cadre Microsoft est le fruit d'un choix raisonné », indique à Mediapart le ministère de la défense (voir l'intégralité des réponses sous l'onglet Prolonger). « Les réflexions ont débuté, en avril 2011, soit deux ans avant la fin du contrat. (…) Après avoir vérifié que les conditions d’exclusivité de la société Microsoft étaient toujours réunies, la direction des affaires juridiques a estimé que le ministère de la défense était fondé à engager de nouveau la passation d’un marché négocié sans publicité ni mise en concurrence », poursuit le service de presse de l’armée dans cette réponse écrite à nos questions. « Cette position a été confirmée, le 22 octobre 2012, par l’avis émis par la commission consultative des marchés publics. »

Il est cependant impossible de connaître les détails de l’accord, que ce soit le nombre de postes visés ou le montant global. C'est ainsi que l’association pour la promotion et la défense du logiciel libre April, qui a déjà obtenu un certain nombre de documents dans cette affaire, a demandé à l’armée la publication du contrat. N’ayant pas eu de réponse au bout d’un mois, et conformément à la législation sur la publication des documents d’intérêt public, l’association a donc décidé d’envoyer, hier, une demande officielle à la Commission d’accès aux documents administratifs.

Confrontée à une véritable omerta dans cette affaire, l’April a également décidé d’interpeller directement François Hollande dans une lettre ouverte publiée par Mediapart. « Monsieur le président de la République », écrit le président de l’association Lionel Allorge, « depuis plusieurs mois, les révélations sur l’espionnage généralisé de la population et des officiels français par les services secrets américains via la National Security Agency (NSA), à travers notamment son programme PRISM, ont montré combien il est vital pour les services de l’État français de conserver la maîtrise de leurs systèmes informatiques. » « Pourtant, dans ce contexte d’atteintes à la souveraineté, à l’indépendance nationale, aux principes fondateurs de notre République que sont la présomption d’innocence et le respect de la vie privée », poursuit l’April, « nous constatons que de nombreuses administrations passent des contrats d'exclusivité avec des entreprises internationales qui font partie de ce réseau d'espionnage de fait. »

Cela fait maintenant près de cinq années que ce contrat suscite interrogations, et surtout, critiques. Pour comprendre les tenants et aboutissants de cette affaire, il faut remonter à 2007. À cette époque, les différentes composantes de l’armée avaient déjà en grande partie recours à Microsoft, ainsi que, de manière marginale, à d’autres éditeurs de logiciels. Mais chaque service faisait ses achats de son côté, sans coordination globale. L’état-major décide de lancer un plan de centralisation et rationalisation des systèmes informatiques de l’armée.

Ce travail débute par la rédaction, par la direction générale des services d’information et de communication (DGSIC), d’un « guide pour la mise en place de partenariats avec éditeurs de logiciels ». Rendu le 20 juin 2007, ce document, qui liste et analyse les différents sous-traitants de l’Armée en matière informatique, fait une large place à Microsoft. On y apprend notamment que la société a déjà proposé « un partenariat global sur la base d’un contrat d’entreprise ». Mais, déjà, le rapport (qualifié de « Guide ») met en garde contre « l’extrême difficulté et le profond état de dépendance dans lesquels se trouvera le ministère au terme du contrat ». En conséquence, il recommande « de conduire une analyse de risque en fonction des scénarios envisageables ».

«La NSA introduit systématiquement des portes dérobées»

Suivant ces recommandations, la DGSIC mandate, le mois suivant, un comité de pilotage chargé d’étudier la proposition de Microsoft. Ce comité est composé de représentants de la DGSIC, de la DIRISI (Direction interarmées des réseaux d’infrastructure et des systèmes d’informations de la défense nationale) et de l’EMA (État-major des armées). À cette occasion, le directeur général de la DGSIC, Henri Serres, envoie, le 17 juillet, une note au chef d’état-major des armées annonçant la « centralisation des négociations avec la société Microsoft ». Le texte fait notamment référence au « Guide » publié le mois précédent. Mais il en fait une interprétation pour le moins personnelle. « Le projet de Guide (…), transmis en pièce jointe à la lettre en référence, souligne l’intérêt pour le ministère d’établir avec la société Microsoft une relation privilégiée. » Exit « l’extrême difficulté et le profond état de dépendance »...

La lettre du 13 juillet 2007

Le comité de pilotage mis en place, composé de huit officiers et présidé par le directeur adjoint de la DGSIC Alain Dunaud, n’en décide pas moins de nommer un groupe de neuf experts à qui il confie la charge « de réaliser une analyse de la valeur du projet de contrat cadre Microsoft » et « de proposer une solution concrète de partenariat ».

Les conclusions des experts, rendues le 18 janvier 2008, sont particulièrement critiques. Le rapport liste toute une série de risques tels que « l’affaiblissement de la gouvernance », ou encore « une addiction aux technologies Microsoft ». Plus gênant, au paragraphe « Perte de la souveraineté nationale », les auteurs écrivent : « L’ensemble des produits américains doivent obtenir l’aval de la NSA pour être exporté. La NSA introduit systématiquement des portes dérobées ou "backdoors" dans les produits logiciels. Un système SIC reposant majoritairement sur des produits américains comme Microsoft serait vulnérable car susceptible d’être victime d’une intrusion de la NSA dans sa totalité. »

Le rapport du groupe d'experts

« Position dominante »

Ce rapport, réalisé par des techniciens chevronnés et utilisant une méthode d’évaluation reconnue dite « MAREVA », ne va pas plaire au comité de pilotage. Le 15 février, l’un de ses membres, Philippe Arnould, envoie une note à la DGSIC dans laquelle il qualifie les conclusions des experts de « partiales » et « difficilement vérifiables et exploitables ». « Pour se conformer aux orientations ministérielles », il préconise de « poursuivre la démarche de contractualisation avec la société Microsoft ».

Note du 15 février 2008

Le 30 mai, Alain Dunaud diffuse une fiche résumant les réflexions du comité de pilotage. Celle-ci fait bien référence, de manière détaillée, au rapport des experts. Mais le président du comité de pilotage considère que, « compte tenu des opportunités entrevues (…) le bilan risques-opportunités est favorable à la conclusion du contrat ». Le même jour, le directeur de la DGSIC écrit au chef d’état-major des armées lui demandant de donner son feu vert aux négociations avec Microsoft.

Au mois d’avril 2008, la proposition du géant américain fuite dans la presse via le site PC INpact, alertant ainsi les associations de défense des logiciels libres. Malgré la polémique, les négociations se poursuivent et, le 24 février 2009, est signé en Irlande le fameux contrat « open-bar », sans appel d’offres. Celui-ci accorde pour une durée de quatre ans le droit d’utiliser toute une gamme de logiciels Microsoft en échange d’un montant forfaitaire de 100 euros hors taxes par poste, soit un montant total de près de 19 millions d’euros.

Le contrat de 2009

Au préalable, la commission des marchés publics avait, comme le prévoit la loi, été saisie. Or même celle-ci s’était inquiétée de la signature de ce contrat de partenariat, comme l’a révélé au mois de février 2013 le site PC INpact. Dans son avis, elle s’inquiétait notamment de plusieurs dispositions, comme un article permettant « l’ajout sans avenant de nouveaux produits, non spécifiés à ce jour ».

Le rapporteur dénonçait, lui aussi, la situation de dépendance dans laquelle ce contrat plaçait le ministère de la défense. « Tout le monde sait bien ce qui se passe en pratique », écrit-il « et qui se répète dans bien d’autres domaines où un fournisseur est en position dominante : dans le cas présent les utilisateurs ont l’habitude des produits du fournisseur et rechignent à en changer, l’acheteur public est de toute façon obligé à terme d’acheter les versions successives des produits, les anciennes versions étant "arrêtées" à une date dépendante du bon vouloir du fournisseur. »

Comment expliquer que malgré ces différentes alertes, ce contrat ait finalement été validé en haut lieu ? Interrogé par Mediapart, le ministre de la défense de l’époque Hervé Morin affirme ne pas avoir été mis au courant de ces différents documents de travail. Le président du Nouveau centre se souvient cependant de la polémique, et des arguments avancés en faveur de la signature du contrat. « Il y avait tout d’abord un besoin indispensable de rationalisation. Les différents services de l’armée travaillaient souvent sur des sujets communs avec des systèmes qui n’étaient pas compatibles, et avec aucune cohérence. Nous avions l’obligation de mettre en place des systèmes transversaux qui fonctionnent pour tous. Ensuite, je me souviens qu’il y avait un impératif d’inter-opérabilité avec l’Otan. »

Ce dernier argument est effectivement le principal avancé par les défenseurs du partenariat avec Microsoft. Interrogé sur la reconduction du contrat, Patrick Bazin, directeur central de la Direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI), affirmait au mois d’avril au Canard enchaîné que l’armée française avait l’obligation de choisir la firme de Bill Gates dans la mesure où « l'OTAN a fait le choix des solutions Microsoft pour ses postes de travail ».

L’April avait alors dénoncé un argument « fallacieux ». « L'interopérabilité consiste à pouvoir fonctionner avec l'ensemble des systèmes, et non sous l'hégémonie d'un éditeur unique », écrivait alors l’association. « C’est n’importe quoi, au mieux une bêtise », confirme un des experts du groupe de travail de 2007, toujours dans l'armée, s’exprimant sous couvert de l’anonymat. « C’est un argument qui mélange tout, compatibilité et interopérabilité. Mais c’est un élément qu’effectivement, on entendait régulièrement. » Il est d’ailleurs intéressant de noter que l’Otan elle-même ne semble pas imposer Microsoft aux États membres, bien au contraire. Dans un document publié en 2008 consacré aux « standards d’interopérabilité », elle recommande même « d’utiliser des standards ouverts quand cela est possible lors des tentatives de standardisation d’un service ».

Selon plusieurs connaisseurs du dossier interrogés par Mediapart, l’une des raisons du traitement de faveur réservé à Microsoft s’expliquerait par la puissance de lobbying du géant américain. Microsoft dispose en effet, pour les différentes administrations, de correspondants chargés de défendre ses intérêts.

Dans ce dossier, c’est Bernard Marty, chargé des ministères de la défense, de l’intérieur et de la justice et par ailleurs administrateur au Haut comité français pour la défense civile (une association 1901 qui « participe à la réflexion sur la doctrine, l'organisation et les techniques de notre pays en matière de sécurité sociétale »), qui s’est chargé d’assurer un lobbying. Un lobbying jugé agressif par certains des intervenants. « C’était l’homme chargé du lobby de Microsoft au sein du ministère », témoigne un des membres du groupe d’experts, « et il nous a mené une vie terrible durant cette période. Il n’a cessé de nous mettre des bâtons dans les roues ». Contacté à plusieurs reprises par mail, Bernard Marty n'a pas répondu à nos sollicitations.

« Bernard Marty n’a pas de rôle au sein du ministère de la défense », affirme de son côté le service de presse de l’Armée. « Représentant de la société Microsoft France auprès de grands comptes, M. Marty est reçu à l’instar des représentants des autres éditeurs de solutions propriétaires ou de solutions Open source, ainsi que de sociétés de services en logiciels "libres". » Le ministère, qui n’a répondu que par écrit à quelques-unes de nos questions, conteste par ailleurs le terme même de contrat « open-bar » arguant du fait qu’il existe « des quantités plafond dûment fixées pour chaque logiciel dans les marchés subséquents ». 

Concernant les risques évoqués, et notamment en termes de sécurité et de surveillance, le ministère explique être « bien conscient de la vulnérabilité croissante de l’État et de la société face à des attaques informatiques de plus en plus dangereuses. Cette vigilance vaut pour le risque potentiel de vulnérabilité attaché à l’utilisation de logiciels développés par un grand constructeur, qu’il s’agisse par exemple de Microsoft, de SAP ou d’Oracle. Le ministère fait preuve de la même lucidité concernant les logiciels libres, qui sont également vulnérables aux attaques ciblées et qui ne bénéficient pas des moyens que consacrent les grands éditeurs pour leur veille et leur sécurisation ».

Il insiste également sur les procédures de sécurité mises en place. « Nous ne pouvons pas avoir confiance dans les logiciels qui sont déployés sur nos machines, ni probablement dans les équipements eux-mêmes, hormis bien entendu dans les logiciels et équipements gouvernementaux », reconnaît-il. Ainsi, par exemple, « dès le niveau "confidentiel défense", il n’existe aucune connexion avec l’extérieur, ce qui limite très fortement les risques d’attaques ».

Enfin, concernant l’avenir, il annonce que, « dès 2014, soit trois ans avant la fin du nouveau marché, la DGSIC pilotera des études afin de statuer sur la poursuite ou non de la stratégie actuelle vis-à-vis de l’éditeur Microsoft. Ces études analyseront, en particulier, les opportunités nouvelles qui pourraient émerger des évolutions technologiques et de l’offre de services interministérielle ».

En revanche, le ministère ne répond pas aux questions centrales entourant la conclusion du contrat en 2009 ni à celle de savoir pourquoi les différents rapports d’experts ont été soit ignorés soit dénaturés. « Une chose est sûre, c’est que les experts n’ont pas été assez écoutés », reconnaît ainsi aujourd’hui un des acteurs de ces négociations. « Je suis un militaire. Et je dois dire que je ne suis pas très fier de mon pays », poursuit-il. « J’aurais pu accepter beaucoup de choses, mais à partir du moment où on m’explique pourquoi. Là, nous n’avons jamais eu de réponse. La devise pour laquelle nous nous battons, et pour laquelle certains d’entre nous ont versé leur sang, c’est Liberté, égalité, fraternité. Dans ce dossier, nous avons bradé notre liberté, nous avons trahi notre pays. Et encore aujourd’hui, je suis incapable de vous dire pourquoi… »

Si vous avez des informations à nous communiquer, vous pouvez nous contacter à l’adresse enquete@mediapart.fr. Si vous souhaitez adresser des documents en passant par une plateforme hautement sécurisée, vous pouvez vous connecter au site frenchleaks.fr.

Prolongez la lecture de Mediapart Accès illimité au Journal contribution libre au Club Profitez de notre offre spéciale