Hello nal,
J'ai bien aimé ce passage que j'ai trouvé très clair sur la souveraineté numérique concrète :
Si la France veut réellement reprendre la main, elle doit cesser de confondre souveraineté et relocalisation des infrastructures. Stocker des données sur le sol national ne garantit en rien leur contrôle. Avec le Cloud Act, les États-Unis se sont arrogés le droit d'accéder aux informations de toute entreprise américaine, où qu'elles soient hébergées. Qu'importe que nos serveurs soient dans la Drôme, le Nord ou en Lozère : si le logiciel qui les pilote est sous licence américaine, ou si l'entreprise que les héberge est détenue par des capitaux américains, nos données restent vulnérables.
C'est tiré d'un article de la Revue de presse de l’April pour la semaine 7 de l’année 2025 « [Silicon] Souveraineté numérique: la France est-elle prête à briser ses chaînes? ».
Pour vous dire à quel point on en est loin, je vous mets quelques applications de cette souveraineté à l'heure du numérique dans le domaine militaire (les articles sont en accès payants mais je vous mets les extraits) :
Et le F-35, c'est un cloud complètement captif. Sans l'aval des Américains, c'est un avion d'aéroclub
Est-ce qu'acheter US ne peut pas poser problème, comme avec le choix belge d'acheter le F-35 américain ? Nous sommes trop dépendants des US, au niveau des missiles, des avions, des systèmes de communication…
On est complètement à la merci des États-Unis. Notre défense est assurée par les USA et le parapluie nucléaire. Et si les US ne veulent pas que la Belgique fasse décoller ses F-35, ils resteront cloués au sol. Il faut bien comprendre ça. Les Français seraient par exemple probablement favorables à ce que les Ukrainiens utilisent le Scalp pour faire des frappes en profondeur face à la Russie. Mais les USA ne veulent pas et peuvent l'interdire, à cause de composants américains dans ces missiles. On doit avoir l'autorisation de Donald Trump…
Donald Trump menace d'annexer le Groenland et c'est la Chine qui offre son soutien à l'île et pas l'Europe. Et quand bien même, on voudrait protéger le Groenland, on ne pourrait pas faire décoller nos F-35 car ils ont besoin de l'autorisation du Pentagone pour décoller.
J'avais aucune idée tout ça en ce qui me concerne…
Bref, souveraineté ne semble pas rimer avec priorité pour les dirigeants européens.
# Nationalité du logiciel?
Posté par arnaudus . Évalué à -2 (+1/-6). Dernière modification le 03 mars 2025 à 11:18.
J'ai un doute pour le coup du logiciel. Si tu héberges tes données dans la Drome sur un serveur Windows, tu pars du principe que 1) Microsoft a accès à tes données, et 2) le gouvernement US a légalement (au moins selon le droit US) le droit d'y accéder? Si on va par là, Linux n'est pas un logiciel français… Je me demande s'il n'y a quand même pas du FUD là-dedans. On peut reprocher plein de trucs à Windows, mais de là à imaginer que le gouvernement US a un accès légal à toutes les données des ordinateurs qui font tourner Windows, ça me semble un chouilla exagéré.
Pour les clouds en France, il semble que l'usage est de les faire gérer par les filiales françaises de ces entreprises US, qui ne sont pas soumises au droit US. On peut douter en pratique de la solidité du truc, mais apparemment ça a au moins convaincu l'État français qui héberge de cette manière des données confidentielles (coffre-fort numérique des administrations, etc).
[^] # Re: Nationalité du logiciel?
Posté par nud . Évalué à 7 (+5/-0).
Dans la mesure où un logiciel peut téléphoner à la maison, s'il peut être accédé ou contrôlé
à distance (par exemple, en invalidant une licence, en installant une mise à jour, etc.) il est susceptible d'être corrompu. Après tout, il est théoriquement possible pour Microsoft d'installer une backdoor via Windows Update, volontairement ou non. C'est pareil pour tous les updaters automatiques pour Chrome, Firefox, Java, Adobe Acrobat. J'imagine que c'est peu probable en temps de paix, mais ce n'est pas à exclure en cas de conflit.
Et par ailleurs c'est effectivement exactement pareil si le logiciel est libre. Si les mises à jour automatiques de RHEL sont activées tu pourrais te retrouver avec une backdoor au petit matin.
Et c'est pareil pour les routeurs, je me souviens qu'à une époque on préconisait de mettre un routeur chinois derrière un routeur américain pour que les backdoors s'annulent mutuellement…
Il faut voir qui maintient les serveurs en pratique. En général il y a plusieurs shifts en fonction des zones géographiques (en fonction des fuseaux horaires) pour la maintenance 24/7 donc la maison-mère a techniquement le contrôle sur les datacenters en Europe et est donc techniquement en mesure de répondre aux requêtes de la mère patrie.
Certes ce sont des choses qui semblent peu probables bien que "techniquement possibles" mais dans la mesure où ce type de requête ne peut généralement pas être rendue publique (ce qui justifie les divers canaris du genre "on n'a jamais transmis de données sur nos clients" dans les conditions en ligne), en fonction de ton niveau de paranoïa, si c'est techniquement possible c'est peut-être déjà un risque trop important.
[^] # Re: Nationalité du logiciel?
Posté par arnaudus . Évalué à 1 (+0/-2).
C'est justement la différence entre "techniquement possible" et "légalement envisageable" dont on parle ici. Si on héberge nos données sur un cloud US, il est légalement envisageable que le gouvernement US y ait accès grâce à l'arsenal législatif dont ils disposent. Si tu héberges tes données dans la Drôme par une entreprise française qui utilise Windows server, il est techniquement possible que le serveur soit piraté, mais ni plus ni moins que n'importe quel système informatique, et je ne suis pas sûr du tout qu'utiliser un logiciel US change les risques d'intrusion de la part du gouvernement US.
Le pire que tu puisses imaginer, c'est plutôt une collaboration de ton prestataire, qui "offrirait" les données sans y être contraint, pour des raisons plus ou moins claires, stratégiques ou économiques. Mais là encore, tu ne peux pas y faire grand chose.
[^] # Re: Nationalité du logiciel?
Posté par rewind (Mastodon) . Évalué à 8 (+5/-0).
Il n'y a pas que Windows. Généralement, un «cloud» à base de MS, ça va être Teams. Et va savoir ce que fait Teams !
[^] # Re: Nationalité du logiciel?
Posté par lesensei . Évalué à 4 (+3/-0).
Le problème, c'est qu'en pratique (notamment pour le gouvernement français que tu prenais en exemple précédemment), le cloud Windows, c'est le cloud Azure. Il y a bien sûr d'autres fournisseurs, et ce ne sont pas ceux là qui posent problème, mais c'est malheureusement anecdotique.
Nos entreprises, et même notre gouvernement, dépendent en pratique très profondément du cloud Azure de Microsoft, même si les données sont généralement stockées en Europe, voire en France.
Sauf que l'administration US peut bel et bien obliger Microsoft à activer le "kill switch" de ces services qui tournent sur notre territoire, et on aura aucun moyen de les forcer à redémarrer.
C'est exactement ce qu'il s'est passé pour une banque néerlandaise (ATB), filiale d'un groupe russe. Suite aux sanctions décidées par les US dans le cadre de l'attaque contre l'Ukraine, les services devaient légalement être coupés par MS, ce qu'ils ont fait, privant 200k clients de tout accès à leurs comptes et à leur banque (la communication s'appuyant également sur les services de MS).
La justice néerlandaise a obligé MS à remettre les données aux mandataires de la banque, qui ont pu faire le nécessaire pour que les clients puissent aller voir ailleurs et que la faillite de la banque soit sans trop de conséquences. Mais nul doute que si les US n'avaient pas voulu de cette solution, la justice UE se serait vue bien embarrassée.
Actuellement, c'est tout l'enjeu des récentes réglementations européennes, notamment DORA, que de forcer les boites et administrations à envisager sérieusement un plan de contingence en cas de coupure des prestations liées à d'autres territoires. Mais on est très loin de pouvoir dormir tranquille si on rêve de pouvoir courroucer l'oncle Sam. Très, très loin.
[^] # Re: Nationalité du logiciel?
Posté par Quinane . Évalué à 2 (+1/-0).
Et Adobe.
Suite à un décret lors du précédent mandat de Trump contre le Venezuela, les graphistes abonnés dans ce pays à la suite du rentier, Creative Cloud, se sont réveillés un matin, littéralement, sans pouvoir bosser, licence verrouillée du fait de l'embargo.
[^] # Re: Nationalité du logiciel?
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 03 mars 2025 à 16:00.
Ça a dû rappeler à certains quand ils se sont réveillés avec tout leur boulot pourri parce qu'Adobe était en bisbille avec Pantone et que les couleurs Pantone n'étaient plus utilisables dans les logiciels Adobe (moralité, utiliser les standards de couleurs libres).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Nationalité du logiciel?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
moui en école d'ingé j'ai croisé Pantone : tu payes 2 fois
moui j'ai participé à l'espace PAO et beaucoup étaient meilleurs en dessin que moi :p
[^] # Re: Nationalité du logiciel?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
donc bon on faisait plutôt (l'ami de Mickey<) de la quadrichromie :YMCK
[^] # Re: Nationalité du logiciel?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Les canaris peuvent être vrais du point de vue de l’éditeur du logiciel, ça ne veut pas dire qu’il n’existe pas de mécanisme et que ceux-ci ne sont pas utilisés par ces états qui sont Nos Supers Amis. Qui se souvient de Wanna Cry ?
Et attention que mon propos ne vise pas krosoft et/ou l’oncle Sam, quoique ils ont bien infiltré KryptoAG… (car neutre mais pas vraiment souverain en gros.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Nationalité du logiciel?
Posté par BAud (site web personnel) . Évalué à 5 (+3/-0).
NSA :-p excellent !
[^] # Re: Nationalité du logiciel?
Posté par pasBill pasGates . Évalué à 1 (+0/-0).
Je t'invite à découvrir les systèmes genre WSUS (pour Windows), qui permettent de couper tes machines d'internet, et qui te permet de controler quelles updates arrivent sur tes machines.
https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-announcing-a-new-independent-sovereign-cloud-in-europe/
We’re designing the AWS European Sovereign Cloud to be separate and independent from our existing Regions, with infrastructure located wholly within the European Union (EU), with the same security, availability, and performance our customers get from existing Regions today. To deliver enhanced operational resilience within the EU, only EU residents who are located in the EU will have control of the operations and support for the AWS European Sovereign Cloud
# Les F-35 à abonnement bientôt ?
Posté par Quinane . Évalué à 7 (+6/-0).
Et il y a le contrat open bar Microsoft / Défense. Je me souviens qu'un officier de l'état-major ne voyait pas où était le problème : les USA sont des « alliés ». Et ce, malgré l'avis de bien des experts à l'époque.
Alors bien sûr, ce sont des DC contrôlés par le ministère et certainement avec une télémétrie contrôlée… autant qu'il soit possible avec un système privateur. Mais les ressources consacrées à durcir Windows vis-à-vis de MS pourraient l'être pour employer un système libre. La Gendarmerie a fait ce choix.
Les guides permettant de limiter autant que possible la « télémétrie » MS font des dizaines de pages.
L'US Navy gère la flotte sous-marinière nucléaire (SNLE) avec RHEL.
Car le problème n'est pas d'être souverain. En Corée du Nord, ils ont un système souverain… (Kylin, dérivé Ubuntu).
Parce que si cette « souveréaineté » pour faire des saloperies, pour envoyer des armes à Israël ou à l'Arabie Saoudite, ou faire des Oradour-sur-Glannes en Algérie ou même comme un appel récent dans Valeurs Actuelles de tout un quarteron d'officiers d'active ou à la retraite qu'ils étaient prêts à « reprendre la France en main » je ne la revenqieu pas du tout.
[^] # Re: Les F-35 à abonnement bientôt ?
Posté par pasBill pasGates . Évalué à 1 (+0/-0).
Ben à la base c'est assez simple… Si tu as un système contenant des données sensibles, ou qui permet de faire des choses sensibles, ben tu ne l'expose pas à internet, que ce soit en inbound ou outbound.
Et si il n'y a pas de connectivité internet, ben la télémetrie, elle ne va nulle part.
# Pour mieux comprendre
Posté par orfenor . Évalué à 3 (+1/-0).
Sur la soi-disant indépendance vis-à-vis des Etats-Unis, on doit lire (ou relire) François-Xavier Verschave, notamment sa petite conférence, publiée sous le titre "De la Françafrique à la Mafiafrique" qui expose à quel point c'est un leurre depuis la deuxième guerre mondiale (il ne s'agit pas que de technologie).
# Nuance
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4 (+2/-0).
:-)
L'achat de ces ferrailles en Europe est un tel non-sens qu'il suffirait à lui seul à démontrer le côté marionnette de nos élites délocalisées (vous savez, ceux qui se sentent autant chez eux à New-York, qu'à Moscou,
PékinBeijing, ou Paris…). Tiens les évolutions du vocabulaire aussi font facilement offices de marqueurs. Depuis que McKinsey à remplacer les universitaires locaux pour orienter les politiques publiques, la tendance semble s'être accélérée.Mais par dessus tout, il me semble que les problématiques de la propriété intellectuelle illustrent à merveille notre dépendance absolue des USA : combien de fois a-t-on vu, et verra-t-on venir, et revenir des lois totalement néfastes à l'activité en Europe (Eucd, Dadvsi, brevets logiciels, etc). Quelle autre explication à ses retours à répétition, et validations à l'usure et aux forceps que l'intérêt de quelques puissances obscures capables de téléguider des représentants pas trop regardant ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Nuance
Posté par Benjamin Henrion (site web personnel) . Évalué à 3 (+2/-0).
"combien de fois a-t-on vu, et verra-t-on venir, et revenir des lois totalement néfastes à l'activité en Europe (Eucd, Dadvsi, brevets logiciels, etc)."
La mise en place du Tribunal du Brevet Unitaire est suffisante pour valider les brevets logiciels en Europe, tout a été fait pour que la CJEU n'ait rien a dire sur la question.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.