Les plus grandes entreprises suisses stockent les mails, les calendriers ou les documents de dizaines de milliers de collaborateurs sur les serveurs de Microsoft ou de Google. Elles s’exposent ainsi volontairement à la surveillance des agences de renseignements américaines.
Par Florian Imbach, François Pilet et Barnaby Skinner
«Nous avons choisi Google Apps pour rassembler nos employés, nos clients et nos partenaires partout autour du globe. Cette solution apportera à nos collaborateurs des outils qu’ils connaissent et qu’ils utilisent déjà dans leur vie personnelle. » Khushnud Irani, responsable IT du groupe Holcim, était tout heureux d’annoncer le transfert de l’infrastructure informatique sur les serveurs de Google, le 12 mars dernier. Le programme «Ensemble, plus vite» d’Holcim concerne l’e-mail, les calendriers, la messagerie en direct, l’intranet et la gestion des documents, le tout pour 40 000 employés dans le monde.
Moins de trois mois plus tard, les révélations d’un ex-informaticien de l’agence américaine d’espionnage électronique, la NSA, sont venues ruiner ces réjouissances. Les documents transmis à la presse par Edward Snowden prouvent que les Etats-Unis ont mis en place un programme de surveillance qui leur permet d’accéder à l’ensemble des données stockées sur des serveurs aux Etats-Unis. Google et Microsoft sont explicitement cités.
Holcim n’est de loin pas la seule entreprise suisse à avoir confié ses données à des services de «cloud» américains. ABB, Nestlé et la Zurich Assurance y ont aussi recours à grande échelle. L’éditeur Ringier a été un des premiers à franchir le cap, en 2010, en hébergeant les e-mails de ses 8000 employés chez Google.
En août 2012, Nestlé est devenu le plus gros client de la firme californienne Salesforce. Son logiciel Salesforce Chatter se présente comme le «Facebook de l’entreprise», qui permet aux collaborateurs d’échanger des messages et des documents sur une sorte de «réseau social interne». Nestlé a activé cette fonction pour 300 000 employés. Les serveurs de Salesforce se trouvent aux Etats-Unis. La firme de Vevey confirme à demi-mot: «Effectivement, nous collaborons avec divers prestataires de services dont les serveurs sont basés dans différents pays. »
Les deux plus grandes entreprises pharmaceutiques du pays, Roche et Novartis, hébergent elles aussi leurs données aux Etats-Unis. En février 2012, Roche a confié toute la messagerie de 90 000 employés dans 140 pays à Google. Novartis utilise la suite bureautique Office 365 qui intègre un service de sauvegarde en ligne sur les serveurs de Microsoft. Les programmes secrets PRISM et BLARNEY exposés par Edward Snowden permettent de surveiller les données dès leur transit vers les services de «cloud» de Google, Microsoft et d’autres(voirinfographie ci-dessus).
L’avocat Sébastien Fanti juge «complètement fou» que les plus grandes entreprises du pays puissent «manquer à ce point de clairvoyance». «Je suis stupéfait», tonne le spécialiste en protection des données. Confier autant d’informations en sous-traitance à des firmes sous juridiction américaine démontre selon lui un «manque total de vision stratégique de la part de ceux qui dirigent les plus grandes entreprises de ce pays. »
La sénatrice démocrate Loretta Sanchez a prévenu, jeudi, à l’issue de l’audition de plusieurs hauts responsables des services secrets, que les révélations des médias de ces derniers jours n’étaient que «la pointe de l’iceberg». La surveillance électronique opérée par la NSA irait, selon elle, «beaucoup plus loin» que ce qui a été dit jusqu’ici.
Sébastien Fanti dénonce le risque auquel s’exposent volontairement des firmes comme Roche et Novartis, particulièrement dépendantes du secret en matière de propriété intellectuelle. «Tout cela intervient dans un contexte de guerre économique», rappelle-t-il, et alors que certaines de ces mêmes entreprises souffrent justement d’un «manque de compétitivité».
L’agence Bloomberg a révélé vendredi l’existence d’un autre programme secret qui consiste à «partager» des informations sensibles avec des entreprises américaines. Ces «partenariats privilégiés» établiraient un lien direct entre les services secrets et les dirigeants des plus grandes firmes américaines. Microsoft et Google sont à nouveau citées, aux côtés d’Intel, l’éditeur du logiciel antivirus McAfee. Ces échanges ne seraient soumis à aucun contrôle administratif ou judiciaire, puisque opérés sur une base volontaire.
Les réponses des entreprises concernées sont laconiques. Holcim estime que ces révélations ne «changent rien» à sa stratégie. De même, Ringier ne voit «pas de raison de s’inquiéter». ABB est «au courant de la situation actuelle». Chez Roche, la porte-parole Silvia Dobry estime que «la situation n’a pas fondamentalement changé» depuis les révélations d’Edward Snowden et que Google s’est engagé à respecter les normes ISO 27001, le standard dans la branche. Novartis dit porter «la plus haute attention à la protection des données de l’entreprise et de celles de ses collaborateurs», mais ne peut faire plus de commentaire pour des «raisons de confidentialité».
L’expert en sécurité informatique Marc Rüf ne croit pas à ce discours. Il prédit que certaines entreprises suisses «vont annoncer dans les prochains jours qu’elles tournent le dos aux Etats-Unis». La porte-parole de Zurich Assurance, Ulrike Felber, indique que ce «thème» fait actuellement l’objet «d’éclaircissements juridiques» qu’elle ne peut commenter.
Embarrassé par le scandale, le président Barack Obama avait tenté de rassurer les Américains au lendemain de l’éclatement du scandale, le 6 juin. Il avait alors déclaré que ces programmes de surveillance ne «s’appliquent pas aux citoyens américains ni aux gens qui vivent aux Etats-Unis». Le responsable allemand de la protection des données, Peter Schaar, avait qualifié ces explications de «monstrueuses». Dans l’interview qu’il nous accorde aujourd’hui, le ministre de la Défense Ueli Maurer estime quant à lui qu’on «ne peut rien contre cette forme d’espionnage».
GOOGLE SE CACHE AUSSI DERRIÈRE SUNRISE
E-MAILMême si Sunrise ne veut pas dire combien il compte d’utilisateurs, de nombreux Suisses se servent chaque jour de la messagerie gratuite de l’opérateur. Ce que beaucoup d’entre eux ignorent, c’est que leurs e-mails ne se trouvent pas en Suisse, mais aux Etats-Unis. Sur les serveurs de Google, la firme dont le nom figure sur les documents internes de la NSA dévoilés par Edward Snowden. Les abonnés de Sunrise ne peuvent d’ailleurs pas le deviner, à moins de lire attentivement les petites lettres des conditions générales. Le service de courriel de l’opérateur suisse n’est rien d’autre que Gmail, avec un logo Sunrise. Les documents confiés par Edward Snowden auGuardianet auWashington Postprouvent que les services secrets américains disposent d’un accès direct à ces données. Pire: cette surveillance serait spécifiquement dirigée sur les utilisateurs non-américains. En février dernier, «Le Matin Dimanche» avait raconté comment un jeune Romand avait été interdit de séjour aux Etats-Unis après avoir échangé une mauvaise plaisanterie sur Gmail au sujet d’une «bombe» et d’un «avion» avec son frère en voyage en Iran.
Le porte-parole de Sunrise estime que l’existence d’un programme de «surveillance systématique» des e-mails est toujours contestée. Les opérateurs visés – Google en particulier – ont nié tout «accès direct» à leurs serveurs, bien que les documents internes de la NSA utilisent exactement cette expression.
Swisscom confirme pour sa part que tous les serveurs e-mail de son service Bluewin se trouvent en Suisse. «Chez nous, il n’y a aucun échange de données avec les Etats-Unis», assure Carsten Roetz, porte- parole de Swisscom.