Le secrétaire américain à la Défense, Pete Hegseth, organise une démonstration de drones au Pentagone, le 10 juillet 2025. (Image : wikimedia / U.S. Marine Corps photo by Lance Cpl. Alondra Lopez Gonzalez / Domaine public)
Le jeudi 28 août, le ministère américain de la Défense (DoD) a annoncé avoir suspendu un programme lié à Microsoft permettant aux codeurs chinois, sous la supervision de sous-traitants américains, de travailler sur des systèmes cloud sensibles du DOD.
Microsoft fait appel à des codeurs chinois depuis près de dix ans,
Dans une allocution vidéo, le secrétaire à la Défense Pete Hegseth a déclaré : « le mois dernier, le ministère de la Défense a été informé de l’existence d’un programme hérité de l’ère Obama-Biden appelé " Digital Escorts ". Depuis près de dix ans, Microsoft fait appel à des codeurs chinois, supervisés à distance par des sous-traitants américains, pour assurer le support des systèmes cloud sensibles du ministère. Ce programme a été conçu pour respecter les règles contractuelles, mais il a exposé le ministère à des risques inacceptables ».
« Si l’on considère l’Amérique d’abord, ainsi que le bon sens, aucun de ces deux tests ne passe. J’ai donc immédiatement lancé une enquête sur cette vulnérabilité et je souhaite vous faire part de nos premières conclusions », a-t-il déclaré.
« Pete Hegseth a de plus révélé que le DoD a envoyé une lettre officielle de préoccupation à Microsoft, documentant une rupture de confiance, et que le DoD exige un audit par un tiers du programme d’escortes numériques pour examiner attentivement le code et les soumissions faites par les ressortissants chinois », peut-on lire dans un communiqué de presse sur le sujet.
Allant encore plus loin, Pete Hegseth a déclaré qu’il chargeait le DoD de mener des enquêtes distinctes pour déterminer si des ressortissants chinois avaient « eu un impact négatif sur le codage des systèmes cloud du DoD », et que tous les fournisseurs de logiciels du DoD devaient mettre fin à toute implication chinoise dans les systèmes cloud du DoD.
« Cela me stupéfie de dire ces choses… (et) que nous ayons permis que cela se produise », a déclaré Pete Hegseth à propos de l’utilisation par le DoD du programme d’escortes numériques, ajoutant que le Pentagone travaille désormais vigoureusement pour corriger le tir et que le département attend de ses fournisseurs qu’ils placent la sécurité nationale américaine avant la maximisation des profits.
« Je suis déterminé, comme (le président Donald J. Trump), à garantir la sécurité de nos réseaux de sécurité nationale », a affirmé Pete Hegseth.
Des centaines de ressortissants chinois impliqués
La situation s’est envenimée en 2024 lorsque le président de Microsoft, Brad Smith, a témoigné devant la commission de la sécurité intérieure de la Chambre des représentants. Les législateurs l’ont interrogé sur des informations selon lesquelles l’entreprise aurait demandé à environ 700 à 800 employés – principalement des ingénieurs chinois – de déménager dans le cadre d’une initiative plus vaste visant à réduire son empreinte technique en Chine.
Selon un article du Wall Street Journal de mai 2024, Microsoft a offert à des centaines d’employés de ses départements de cloud computing et d’intelligence artificielle la possibilité de déménager dans plusieurs pays occidentaux, notamment aux États-Unis, en Irlande, en Australie et en Nouvelle-Zélande, malgré les tensions accrues avec les États-Unis.
À l’époque, Brad Smith avait été interrogé sur les liens de Microsoft avec la Chine communiste et sur les « failles » de sécurité qui ont permis aux pirates chinois de pénétrer dans les systèmes de Microsoft en 2023.
Le rapport du Cyber Safety Review Board (CSRB) américain a conclu que la culture d’entreprise de Microsoft était responsable du piratage.
Le rapport critique Microsoft pour avoir laissé se produire une « cascade » d’« erreurs évitables » ayant conduit à la violation. Cette dernière a exposé des dizaines de milliers de courriels, dont certains émanant de hauts responsables américains.
Le rapport conclut que l’intrusion s’est produite en mai et juin 2023 et a été menée par l’acteur malveillant Storm-0558, un groupe affilié à la Chine avec des objectifs d’espionnage.
Le conseil d’administration a déclaré que la violation « n’aurait jamais dû se produire » et qu’une préoccupation centrale était la culture de sécurité d’entreprise inadéquate chez Microsoft, qui minimisait les investissements en matière de sécurité d’entreprise et une gestion rigoureuse des risques.
Le rapport a noté que Microsoft n’a pas réussi à détecter la compromission de ses « joyaux de la couronne » cryptographiques (plus précisément, une clé de signature) par lui-même, ne l’ayant appris que parce qu’un client avait signalé des anomalies.
S’adressant au Comité de la sécurité intérieure de la Chambre des représentants, Brad Smith a déclaré : « Nous acceptons la responsabilité de chacune des conclusions du rapport du CSRB. »
Pour améliorer votre expérience, nous (et nos partenaires) stockons et/ou accédons à des informations sur votre terminal (cookie ou équivalent) avec votre accord pour tous nos sites et applications, sur vos terminaux connectés.
