Microsoft met fin à l'assistance technique basée en Chine pour les systèmes en nuage du ministère de la défense

Microsoft n'autorisera plus le personnel chinois à fournir une assistance technique dans le cadre des projets "cloud" du ministère de la défense Le personnel chinois à fournir une assistance technique aux projets de cloud du ministère de la défense. Cette décision fait suite à une enquête de ProPublica https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers révélant que l'entreprise s'était discrètement appuyée sur des ingénieurs basés en Chine et supervisés par des "escortes numériques" américaines pour assurer le fonctionnement des systèmes sensibles du Pentagone.

Le responsable de la communication, Frank Shaw, a écrit sur X que Microsoft avait "effectué des changements [...] pour s'assurer qu'aucune équipe d'ingénieurs basée en Chine ne fournisse une assistance technique" au Pentagone. M. Shaw a ajouté que l'entreprise continuerait à ajuster ses protocoles de sécurité en coopération avec ses partenaires en matière de sécurité nationale.

Le rapport de ProPublica décrit en détail le modèle d'escorte. L'un des accompagnateurs a déclaré à l'agence que des citoyens américains disposant d'une habilitation de sécurité surveillaient le travail d'ingénieurs étrangers, mais qu'ils n'avaient souvent pas les connaissances techniques nécessaires pour repérer les codes malveillants. De nombreux surveillants gagnaient à peine plus que le salaire minimum alors qu'ils supervisaient des collègues ayant des compétences de codage bien plus solides.

Le sénateur Tom Cotton a demandé au secrétaire à la défense Pete Hegseth une liste des entreprises employant du personnel chinois et des dossiers de formation concernant le programme d'escorte, avertissant que les capacités cybernétiques de Pékin figuraient parmi les menaces les plus dangereuses pour les États-Unis. M. Hegseth a répondu en ordonnant un examen de deux semaines de tous les contrats d'informatique dématérialisée et en déclarant : "La Chine ne sera plus impliquée de quelque manière que ce soit dans nos services d'informatique dématérialisée, avec effet immédiat".

Les spécialistes de la sécurité ont souligné que, même sans preuve d'espionnage, le fait de permettre à des sous-traitants étrangers de toucher à des infrastructures classifiées crée une surface d'attaque évidente. Ils ont exhorté le Pentagone à vérifier chaque système auquel les équipes étrangères ont eu accès, en faisant remarquer qu'une porte dérobée oubliée peut saper un réseau par ailleurs bien protégé.

L'examen du Pentagone devrait s'achever au début du mois d'août. Ses conclusions détermineront s'il est nécessaire d'imposer de nouvelles restrictions, ou de réformer plus largement les entreprises, pour protéger les charges de travail militaires dans l'informatique dématérialisée.