Selon un rapport de ProPublica publié ce mardi, des ingénieurs chinois installés en Chine assurent la maintenance de systèmes informatiques du ministère américain de la défense. S’ils travaillent sous la surveillance de personnel américain, des questions de confidentialité et d’accès éventuel à des données confidentielles se posent.
Selon un rapport du service d’investigation de ProPublica, Microsoft fait appel à des ingénieurs chinois pour assurer la maintenance des systèmes informatiques du ministère américain de la défense, avec une supervision minimale de la part du personnel américain. La relation entre l’éditeur et ce ministère est encadrée par un contrat selon lequel l’éditeur s’engage à ce que du personnel américain connu sous le nom d’ « escortes numériques », supervisent ces travailleurs étrangers. Cependant, d’après ProPublica, ce personnel manque souvent de compétences pour contrôler le travail de manière efficace. « Nous sommes convaincus que ce qu’ils font n’est pas malveillant, mais nous ne pouvons pas vraiment le savoir », a déclaré l’un des membres de ce personnel cité par ProPublica. « Cet arrangement, mis en place depuis près de dix ans, n’a jamais été rendu public », a indiqué ProPublica.
Compte tenu des tensions apparues entre les deux pays ces dernières années, il est surprenant de voir que le gouvernement américain autorise l’accès de travailleurs chinois à ses systèmes sans supervision adéquate. Dans son évaluation des menaces de renseignement pour 2023, le bureau du directeur du renseignement national des États-Unis (US Office of the Director of National Intelligence, ODNI) a identifié la Chine comme « la menace de cyberespionnage la plus étendue, la plus active et la plus persistante pour les réseaux du gouvernement américain et du secteur privé ». Un an plus tard, la Chine figurait toujours en tête de liste des menaces pour les experts en sécurité de la défense des États-Unis et d’autres pays occidentaux. Dans son évaluation du risque cyber pour 2025, l’ODNI a réaffirmé sa position en déclarant que « la Chine était l’acteur le plus à même de menacer les intérêts américains à l’échelle mondiale ».
Les révélations régulières sur les attaques chinoises contre les infrastructures critiques, les entreprises, les systèmes informatiques du gouvernement, les contractants et peut-être même les tribunaux américains n’ont guère contribué à calmer les esprits. La guerre commerciale sur les tarifs douaniers et l’accès aux terres rares et à d’autres matériaux essentiels pour les fournisseurs d’IT lancée par le président américain Donald Trump lors de sa prise de fonctions en janvier, a encore aggravé la situation, même si, au mois de juin, M. Trump a affirmé que les relations entre les deux pays étaient excellentes.
Protéger les données sensibles
Le fournisseur a déclaré que le personnel de l’entreprise et les sous-traitants ayant un accès privilégié aux systèmes cloud du gouvernement américain étaient soumis à des contrôles et que leurs antécédents devaient être approuvés par le gouvernement. L’entreprise a ajouté qu’elle adhérait aux exigences de sécurité du FedRAMP (NIST 800-53) et du Department of Defense Security Requirements Guide (DoD SRG). « Pour certaines demandes techniques, Microsoft fait appel à son équipe d’experts mondiaux pour fournir une assistance par l’intermédiaire du personnel américain autorisé, conformément aux exigences et aux processus du gouvernement américain. Dans ces cas, le personnel d’assistance international n’a pas d’accès direct aux données ou aux systèmes des clients. Seules les personnes américaines autorisées, disposant des habilitations et de la formation nécessaires, fournissent une assistance directe. Ces personnes reçoivent une formation spécifique sur la protection des données sensibles, la prévention des dommages et l’utilisation des commandes/contrôles spécifiques dans l’environnement », a fait savoir un porte-parole de la firme de Redmond.
Selon le rapport, le groupe a indiqué à ProRepublica avoir fourni au gouvernement fédéral tous les détails sur les profils de ces escortes numériques. Mais, selon ce même document, les personnes impliquées dans ce travail ont répondu à l’éditeur que ces protections étaient inadéquates. « Les ingénieurs étrangers ont accès à des informations détaillées sur le cloud fédéral qui pourraient être exploitées par des pirates, et les escortes numériques ne sont pas suffisamment qualifiées pour détecter toute activité suspecte », estime le rapport. La Defense Information Systems Agency a déclaré à ProPublica que les escortes numériques étaient utilisées « dans certains environnements non classifiés » pour « le diagnostic et la résolution de problèmes avancés par des experts » et que « les experts supervisés par les escortes n’avaient pas d’accès direct aux systèmes gouvernementaux, mais offraient plutôt des conseils et des recommandations aux administrateurs autorisés qui effectuaient les tâches ».
Cette description correspond à une offre d’emploi pour un « DoD Secret Cleared Escort » de l’entrepreneur Insight Global, qui donne une idée du type de travail effectué par les escortes numériques, même si l’offre ne dit rien sur la nationalité des travailleurs qui seront supervisés. Pour un salaire horaire compris entre 18 et 28 $, plus l’assurance médicale, les escortes doivent « servir en frontal » du cloud souverain d’Insight Global au service des clients du gouvernement fédéral et des États américains, et « répondent aux instructions des ingénieurs demandeurs » (qui peuvent ne pas avoir l’habilitation de sécurité nécessaire). Les escortes exécutent les commandes des ingénieurs et partagent les résultats avec eux. Leurs activités peuvent comprendre la maintenance d’Exchange Server, l’administration d’Active Directory, le travail avec des bases de données SQL, la gestion de machines virtuelles avec Hyper-V et la gestion de réseau. Autant dire des tâches loin d’être anodines et sans conséquence si elles tombaient entre les mains d’individus peu scrupuleux.