Les relations entre la Chine est les États-Unis sont actuellement sensibles. Le géant américain, Microsoft, affirme cesser séance tenante d’utiliser des ingénieurs basés en Chine pour sécuriser ses services cloud Azure. Ces derniers sont destinés au département de la défense étasunienne, soit le Pentagone. La décision découle du rapport écrit par le média d’investigation ProPublica. D’autant que les autorités chinoises emploient un nouveau type de logiciel malveillant pour extraire des données à partir de téléphones saisis lors d’un contrôle frontalier.

Ce qui n’était qu’un bruit de couloir devient une tempête politico-médiatique. Un article de ProPublica du 15 juillet 2025 met à jour une faille majeure dans l’architecture de cybersécurité des États-Unis. En effet, Microsoft faisait appel à des ingénieurs chinois pour la maintenance de ses systèmes sensibles. Cette pratique encadrée par un dispositif de contrôle nommé « digital escorting ». « Mais ces travailleurs n’ont souvent pas l’expertise technique nécessaire pour surveiller la police d’ingénieurs étrangers ayant des compétences beaucoup plus avancées », explique ProPublica.

Cloud, Chine et PentagonLeaks…

Le système mis en place par Microsoft repose sur une idée simple : permettre à des ingénieurs étrangers d’intervenir sur des serveurs sensibles. Mais à la condition qu’ils soient supervisés par un citoyen américain habilité. Ces escortes numériques, censée jouer les vigies « n’ont souvent pas l’expertise technique nécessaire pour surveiller la police d’ingénieurs étrangers ayant des compétences beaucoup plus avancées », a constaté ProPublica.

« Certains sont d’anciens militaires avec peu d’expérience du codage qui sont payés à peine plus que le salaire minimum pour le travail », ajoute ProPublica. L’illusion du contrôle masque une réalité brutale : dans ce rapport de forces asymétrique, les clefs du système sont potentiellement dans les mains d’opérateurs étrangers.

En parallèle, un second rapport révèle l’existence de Massistant. Les chercheurs du Lookout Threat Lab ont découvert une application criminalistique, un outil de forensique mobile développé par Xiamen Meiya Pico. Elle est capable d’extraire l’intégralité des données d’un smartphone saisi : messages (même chiffrés), photos, localisations, audios… Ce logiciel, utilisé sur le terrain par les autorités chinoises, opère sans exploit zero-day, ni piratage. Il suffit d’un téléphone déverrouillé et d’un accès physique. (Credits : Xiamen Meiya Pico/Xiamen Meiya Pico/TechCrunch)

La police d’État chinoise possède depuis le 1^er juillet 2024 « des pouvoirs étendus pour fouiller les appareils électroniques, y compris les smartphones et les ordinateurs portables […] dans le cadre d’une campagne nationale visant à garantir la “sécurité nationale” ». Donc, là où Microsoft joue l’externalisation pour des raisons financières, la Chine y voit une opportunité d’ingérence. La loi chinoise impose aux entreprises de coopérer avec les services de renseignement. Dans cette configuration, chaque ligne de code, chaque intervention technique devient un vecteur d’espionnage possible.

Tempête à Washington D.C.

Les révélations de ProPublica provoquent un électrochoc à Washington D.C.. Le secrétaire à la Défense, Pete Hegseth, a annoncé la rupture immédiate de toute collaboration avec des équipes chinoises sur le susnommé cloud. Un audit express de deux semaines est lancé sur l’ensemble des contrats cloud du département de la Défense. Électrochoc amplifié par les vulnérabilités de SharePoint de Microsoft et son exploitation par Linen Typhoon, Violet Typhoon et Storm-2603, groupes réputés proches du gouvernement chinois.

« Au moment de la rédaction du présent rapport, Microsoft a observé deux acteurs chinois de l’État-nation, Linen Typhoon et Violet Typhoon, exploitant ces vulnérabilités ciblant les serveurs SharePoint orientés vers l’internet », relate Microsoft.

D’ailleurs le rapport déclassifié, sur l’évaluation annuelle des menaces (05/02/2024 — Page 11), martèle que : « la Chine reste la menace cybernétique la plus active et persistante pour les réseaux gouvernementaux, privés et d’infrastructure critique des États-Unis. »

Il ajoute que « les activités d’espionnage cybernétique de Pékin et l’exportation par son industrie de technologies de surveillance, d’information et de communication augmentent les menaces d’opérations cybernétiques agressives contre les États-Unis et la suppression de la libre circulation de l’information dans le cyberespace. »

Sous le feu de cyberattaques

Du côté du Congrès, les demandes se font pressantes : le sénateur Tom Cotton exige une liste exhaustive des sous-traitants faisant appel à du personnel chinois. L’affaire prend des airs de scandale d’État.

Face à la pression, Microsoft a publié un communiqué annonçant la fin de toute implication chinoise sur les systèmes militaires. Une manœuvre de damage control nécessaire pour protéger un secteur qui représente plus du quart de ses revenus mondiaux.

Cette affaire Microsoft illustre la dépendance critique des institutions américaines vis-à-vis de prestataires privés dont les impératifs commerciaux priment souvent sur les exigences stratégiques.

La question qui se pose : à qui doit revenir la responsabilité de la sécurité des données de défense ? Peut-on confier des infrastructures critiques à des entreprises extérieures au pays ? L’Europe tente, avec Gaia-X, de répondre par la création de clouds souverains. Les États-Unis, eux, sont face à un choix : reprendre la main ou continuer à naviguer à vue dans un espace numérique devenu un théâtre d’opérations hybrides. (Crédits : Juan Rojas/Pexels)

Ce que révèle cette affaire n’est pas uniquement une brèche, mais la vision d’un adversaire qui, avance à pas feutrés, avec une vision à long terme. Dans le cyberespace, ce ne sont plus les missiles qui font la guerre, mais les lignes de code. Microsoft, entreprise privée à but lucratif vient d’en faire l’expérience. C’est aussi aux dirigeants d’opter pour des solutions, et d’opter pour des systèmes d’information adéquats : entre le profit et la sécurité nationale, il faut choisir.