Les Pays-Bas bloquent le rachat par un groupe américain d’un fournisseur numérique critique

 (politico.eu)
1 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le gouvernement néerlandais a bloqué l’acquisition de Solvinity par l’américain Kyndryl afin de répondre aux inquiétudes liées à une prise de contrôle étrangère d’une infrastructure clé de vérification d’identité en ligne
  • Solvinity exploite la plateforme de l’application DigiD, utilisée pour l’authentification en ligne lors de rendez-vous médicaux, d’achats immobiliers et de démarches auprès des services publics
  • L’autorité chargée du contrôle des investissements a estimé que l’opération pouvait créer un risque potentiel pour l’intérêt public, et le gouvernement a suivi cette recommandation lundi pour la bloquer
  • Les Pays-Bas soulignent qu’ils reconnaissent la valeur économique des entreprises technologiques étrangères tout en appliquant un cadre indépendant de contrôle des investissements, quelle que soit la nationalité de l’investisseur
  • Cette décision intervient avant la présentation du paquet sur la souveraineté technologique de l’UE, dans un contexte de débat européen sur la dépendance aux technologies étrangères dans le cloud, les microprocesseurs et l’IA

Blocage du rachat de Solvinity

  • Le gouvernement néerlandais a bloqué la tentative de rachat du fournisseur informatique néerlandais Solvinity par l’entreprise américaine Kyndryl
  • Solvinity exploite la plateforme de l’application DigiD aux Pays-Bas
  • L’application DigiD est utilisée pour l’authentification en ligne des citoyens néerlandais, notamment pour prendre des rendez-vous médicaux, acheter un logement et accéder aux services publics
  • Kyndryl avait annoncé en novembre son projet d’acquérir Solvinity, ce qui a renforcé les inquiétudes à l’idée qu’un outil clé d’identité en ligne puisse passer sous contrôle étranger

Contrôle des investissements et risque pour l’intérêt public

  • La secrétaire d’État néerlandaise à l’économie numérique, Willemijn Aerdts, a indiqué dans une lettre au Parlement rendue publique mardi que l’autorité nationale chargée du contrôle des investissements avait recommandé au gouvernement de bloquer l’acquisition
  • L’opération a été considérée comme une transaction susceptible d’entraîner un risque potentiel pour l’intérêt public
  • Le gouvernement néerlandais a accepté cette recommandation lundi et a décidé de bloquer l’acquisition
  • Les Pays-Bas ont souligné qu’ils accordent de l’importance à la présence d’entreprises technologiques étrangères, en particulier américaines, ainsi qu’à leur valeur ajoutée pour l’économie néerlandaise et l’infrastructure numérique du pays
  • En parallèle, ils maintiennent un cadre indépendant de contrôle des investissements destiné à protéger l’intérêt public, appliqué de la même manière quelle que soit l’origine nationale de l’investisseur

Débat européen sur la dépendance technologique

  • Les inquiétudes autour de la dépendance aux technologies américaines grandissent partout en Europe
  • Cette décision intervient une semaine avant la présentation par la Commission européenne du paquet sur la souveraineté technologique
  • Ce paquet regroupe des propositions visant à réduire la dépendance européenne aux technologies étrangères dans les domaines du cloud, des microprocesseurs et de l’IA

Position de Kyndryl

  • Kyndryl a déclaré être « très déçu » par cette décision
  • L’entreprise a critiqué « la politisation de cette procédure, qui a occulté les avantages clairs et importants que cette opération aurait apportés aux clients de Solvinity et aux citoyens néerlandais »

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Commentaires Hacker News

  • Enfin.

    Tout le pays le réclamait depuis des semaines et le gouvernement est resté totalement silencieux. Il y a quelques semaines, l’ensemble du Parlement a adopté une motion approuvant la fin du contrat avec Solvinity, avec un seul parti contre, mais le gouvernement a au contraire prolongé le contrat, et au final il ne restait plus qu’à bloquer l’acquisition elle-même, sans qu’on ait vraiment confiance dans le fait que le gouvernement le ferait.

    La raison essentielle, c’est que Solvinity héberge DigiD, le système d’identité électronique néerlandais. DigiD gère l’authentification pour tous les systèmes publics et pour des systèmes sensibles comme la santé. À cause de la législation américaine qui impose que les données détenues par des entreprises américaines puissent être accessibles au gouvernement américain, quel que soit l’endroit où elles sont hébergées, ce système ne doit clairement pas tomber entre des mains américaines.

    Bien sûr, beaucoup de données sensibles restent entre les mains d’entreprises américaines comme Microsoft ou Amazon. Je ne sais pas quand ce point sera traité.

    • C’est un peu plus compliqué que ça.

      C’est Logius qui possède et administre réellement la pile DigiD, et Solvinity n’a été embauchée que pour son expertise. À ma connaissance, Solvinity n’a pas accès aux données.

      Je ne le retrouve plus maintenant, mais sur Tweakers un insider avait laissé un long commentaire expliquant que Logius n’a presque aucune connaissance du fonctionnement réel de la pile actuelle et qu’elle contient beaucoup d’éléments sur mesure. C’est un cas classique de dépendance fournisseur. L’administration, ou plus précisément Logius, veut maintenant se détacher de Solvinity, mais cela semble être un processus qui prendra probablement plus de cinq ans.

      C’est peut-être le genre de chose que la « voie rapide » de l’UE devrait prendre en charge. Par exemple en partant de la pile de l’Estonie, puis en la faisant adopter et développer conjointement par la Suède, le Danemark, la Finlande et les Pays-Bas. Il suffirait de rendre extensibles les éléments spécifiques à chaque pays, puis tous les quelques années d’examiner quelles extensions sur mesure peuvent être généralisées et modularisées pour aboutir à un bien meilleur produit. On peut rêver :)

    • Pour certaines fonctions, DigiD exige elle-même une app iOS ou Android. Cela implique d’avoir une relation contractuelle avec Apple ou Google, et ce sont eux qui décident aussi si l’app peut être installée et utilisée.

      Je comprends que cette voie ne permette pas un accès supplémentaire à des données sensibles, mais cela donne quand même à ces entreprises le pouvoir de bloquer l’accès d’une personne donnée à l’app DigiD.

      La plupart des fonctions n’ont pas besoin de l’app, mais pour certaines démarches liées à la santé, il n’existe pas d’alternative : seule l’app fonctionne.

    • Pour parler de « enfin », c’est déjà un peu trop tard. Vous vous souviendrez de l’avoir lu ici en premier quand ça reviendra dans deux ans.

      Si l’entreprise fait appel, il y a de fortes chances que cette décision soit annulée à la fois devant les juridictions néerlandaises et européennes. Surtout après que Papa Mark Rutte aura passé un coup de fil. Le seul but de cette mesure est de permettre au gouvernement néerlandais de sauver la face, et elle est destinée à l’opinion intérieure. Ils ont probablement déjà caché quelque part une analyse juridique interne allant dans ce sens. Et plus tard ils diront : « nous avons essayé, mais le tribunal nous en a empêchés ».

      L’ensemble de l’appareil diplomatique et administratif néerlandais, y compris le ministère des Affaires étrangères, utilise massivement l’infrastructure Microsoft pour le travail quotidien, les services cloud et l’e-mail. Et il y a déjà eu des fuites.

      « Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government » - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      L’entreprise qui fera appel s’appuiera aussi là-dessus comme argument juridique central. Elle soutiendra que la décision a été politisée, qu’elle repose sur une base insuffisante et qu’elle est disproportionnée, puisque des garanties techniques et juridiques contraignantes auraient pu traiter le risque. Et elle citera l’usage massif de Microsoft par le ministère des Affaires étrangères comme exemple :-)

      Au final, ce n’est qu’un nouvel exemple d’hypocrisie à la mode polder du gouvernement néerlandais.

    • Vu ce que l’on sait aujourd’hui, cette évolution paraît assez logique. C’est juste qu’on ne sait pas ce qui se passe encore en coulisses.

      Il y a probablement eu des négociations, par exemple sur des moyens d’isoler et de maintenir les données, et le blocage total a sans doute été gardé comme ultime recours.

      Cela dit, le résultat reste positif.

    • Quand vous dites « une loi américaine selon laquelle le gouvernement américain doit pouvoir accéder aux données détenues par des entreprises américaines », de quelle loi parlez-vous exactement ?

  • « La politisation de ce processus a éclipsé les bénéfices clairs et importants que cette transaction aurait apportés aux clients de Solvinity et aux citoyens néerlandais »

    C’est vraiment d’un culot incroyable. La protection de la vie privée et des intérêts des citoyens, c’est précisément le rôle des responsables politiques. Même si, vu des États-Unis aujourd’hui, cela peut paraître une idée étrange.

  • Voilà pourquoi une protection de la vie privée garantie par l’architecture est plus importante qu’une protection garantie par des politiques. Les Pays-Bas ont cru à la politique disant que « Solvinity ne peut pas accéder aux données », mais l’architecture, elle, le permettait malgré tout.

    La vraie solution, c’est un système de souveraineté cryptographique dans lequel, quelle que soit la loi américaine, même le fournisseur ne peut mathématiquement pas accéder aux données utilisateur. Pas « nous promettons de ne pas regarder », mais « nous ne pouvons littéralement pas regarder ».

    Je suis en train de construire un petit projet dans cette direction. L’identité y est une phrase mnémonique BIP-39, et les messages passent par un réseau mesh chiffré de bout en bout au niveau du protocole plutôt qu’au niveau de l’application. Le but est que même moi, en tant que développeur, je ne puisse pas lire les messages des utilisateurs. C’est encore très tôt, mais le problème décrit ici est précisément la raison pour laquelle ce genre de chose doit exister.

    • « l’identité est une phrase mnémonique BIP-39 »

      Donc, encore une fois, un seul facteur d’authentification fondé sur la connaissance devient l’identité ?

      S’il n’existe pas ce type d’idée, ce n’est pas sans raison.

    • Ou alors il suffit d’héberger les données dans notre pays chez une entreprise constituée dans notre pays. Autrement dit, un cloud souverain.

  • En tant que citoyen néerlandais, je ne comprends pas pourquoi on ne peut pas auto-héberger une solution d’identité open source pour 20 millions d’utilisateurs et 30 000 requêtes par heure. En quoi est-ce si difficile ?

    • En tant que citoyen américain qui soutient justement le gouvernement néerlandais pour qu’il fasse exactement cela, je me pose aussi la question.

      https://openwallet.foundation/staff/

    • On se demande à quel point il peut être difficile de recruter des ingénieurs compétents pour travailler dans une banque ou dans l’administration.

    • 30 000 requêtes par heure ? Même un VPS à 5 euros peut gérer ça sans problème.

  • Je n’avais jamais entendu parler de « Kyndryl ».

    https://en.wikipedia.org/wiki/Kyndryl

    « Lancée officiellement fin 2021, Kyndryl a été créée à partir de la scission de l’activité services d’infrastructure d’IBM »

« Kyndryl opérait dans 63 pays en novembre 2021 »

  • J’aimerais que davantage de médias l’écrivent correctement. Kyndryl, c’est l’ex-IBM, avec 73 000 employés dans le monde. Quand cette info est sortie pour la première fois, personne n’en avait entendu parler, donc ça sonnait comme une petite société d’hébergement sortie de nulle part, alors qu’en réalité c’est énorme.

  • Personne ne se fait licencier parce qu’on a embauché Kyndryl.

  • Si c’est une infrastructure néerlandaise aussi importante, pourquoi est-elle entre les mains du privé à la base ?

    • DigiD appartient bien à l’État, mais l’infrastructure est gérée par une entreprise privée, Solvinity. Ce n’est pas très différent du fait que le gouvernement américain fasse tourner la moitié de sa stack sur AWS.

    • Parce qu’il y a trop peu de profils IT compétents prêts à travailler sous les grilles salariales de l’État. Dans la plupart des cas, on gagne davantage dans le privé ou en entreprise.

      Résultat, la plupart des projets IT néerlandais partent dans le privé, et pour des services comme DigiD ou les plateformes sécurisées de messagerie officielle, les hébergeurs peuvent facturer des tarifs absurdes. Saviez-vous qu’envoyer un seul message via Berichtenbox coûte 25 centimes ? À chaque fois que l’État envoie son message annuel « il est temps de déclarer vos impôts », il doit payer des millions d’euros. Sauf s’il existe un contrat avec remise sur volume.

    • Parce que des acteurs très puissants du capital-risque privé et de la banque d’investissement veulent que l’État reste impuissant face au capital. Bienvenue dans le monde occidental.

    • À cause de la privatisation.

  • C’est une bonne chose, mais vu l’administration américaine actuelle en particulier, je doute que ce soit la dernière fois. ASML aussi n’a obtenu l’autorisation de racheter l’américain Cymer en 2013 qu’au prix d’accords stricts sur le partage technologique et les contrôles à l’exportation. Cymer détenait réellement une technologie précieuse de source EUV.

    Il est certain que le fait que les Pays-Bas bloquent une acquisition américaine pour des raisons de contrôle technologique va froisser Washington.

    • Il ne s’agit pas d’une entreprise qui fabrique une technologie indépendante ou quoi que ce soit du genre, mais d’une société qui gère une partie de l’infrastructure la plus importante de notre gouvernement. On peut très bien imaginer les inquiétudes en matière de vie privée. C’est un cas complètement différent.

    • Si on était encore en 2013, la même opération serait probablement passée. Les relations États-Unis–Pays-Bas sous Obama en 2013 et celles d’aujourd’hui sous le second mandat de Trump n’ont rien à voir. Invoquer ce qu’a fait Obama pour parler de réciprocité aujourd’hui n’est pas convaincant, puisque tout le monde sait que Trump s’oppose à presque tout ce qu’Obama a fait.

    • C’est un gros détail qui complexifie encore le tableau. La technologie de lithographie d’ASML a largement bénéficié de recherches du département américain de l’Énergie.

      « En 1997, ASML a commencé à étudier un passage à l’utilisation de l’ultraviolet extrême. Deux ans plus tard, l’entreprise a rejoint un consortium comprenant Intel et deux autres fabricants américains de semi-conducteurs afin d’exploiter des recherches fondamentales menées par le département américain de l’Énergie. Le Cooperative Research and Development Agreement (CRADA) auquel ce consortium se conformait étant financé par le gouvernement américain, les licences doivent être approuvées par le Congrès. »

    • ASML a internalisé Cymer parce que Cymer n’arrivait pas à produire la technologie nécessaire, et qu’ASML devait déverser des ressources et des ingénieurs dans le projet d’un fournisseur pour obtenir le résultat voulu. Cymer n’arrivait qu’à une source EUV de 10 W, alors qu’ASML avait besoin de 250 W ; l’entreprise l’a donc rachetée pour pouvoir réaliser ce qu’elle voulait. ASML avait aussi d’autres fournisseurs de sources vers lesquels elle aurait pu se tourner.

      Littéralement, elle l’a rachetée parce que Cymer n’arrivait pas à faire ce qu’il fallait. Mais beaucoup d’Américains veulent réécrire l’histoire du monde à la sauce exceptionnelle américaine habituelle, comme si ASML était une entité magique qui cachait en réalité de la technologie américaine sous son manteau. Comme si, d’une manière ou d’une autre, tout devait quelque chose aux Américains.

      Le gouvernement américain a forcé toutes les entreprises américaines à ne pas travailler avec les juges ou le personnel de la CPI au nom de la défense d’Israël, le maître des États-Unis. Rien que pour ça, les entreprises américaines devraient être expulsées de tous les pays étrangers. Donner le contrôle technologique d’une infrastructure nationale à une entreprise domiciliée aux États-Unis est une folie, presque une trahison. Toute personne qui pousse ça devrait faire l’objet d’une enquête approfondie. De même, le fait que le Royaume-Uni continue à déployer les cochonneries de Palantir est une preuve flagrante que ce pays est complètement cassé et qu’il a besoin d’une vaste réorganisation de sa fonction publique.

      Tout cela indépendamment des innombrables caprices, d’un niveau de corruption grotesque et des menaces ouvertes contre ses alliés.

      Oui, cela va certainement « froisser », mais les États-Unis sont déjà allés trop loin. À ce stade, plus personne ne se soucie de savoir pour quelle raison la clique de pédophiles, d’imbéciles et de criminels affairistes de ce pays stupide fait encore un scandale. À ce stade, il faut expulser les États-Unis de l’OTAN, fermer toutes les bases et laisser chacun se doter de l’arme nucléaire.

  • C’est une bonne nouvelle. Il aurait été désastreux qu’une partie aussi centrale de notre société dépende des caprices d’un autre pays, qui plus est instable et ouvertement hostile.

  • On va voir plus souvent à l’avenir ce mouvement de blocage des prises de contrôle américaines. Même quand les relations sont excellentes, aucun gouvernement ne devrait ni ne peut céder à un acquéreur étranger l’accès aux données de son propre État et de ses citoyens.

    À part ça, cette affaire donne une image plus nette encore de l’emprise américaine. Elle est en train de s’effriter. Les États-Unis apparaissent comme une menace, et une pratique coercitive commence à s’installer : posséder les données pour ensuite les utiliser comme levier de contrôle.

    • Vous semblez partir du principe que les données des citoyens seraient transférées ; y a-t-il des éléments qui le prouvent ?

  • Si les Pays-Bas ont un accord de partage de renseignement avec les Five Eyes ou les Fourteen Eyes, alors toutes ces données pourraient de toute façon rester accessibles aux États-Unis et à d’autres alliés. Même si, espérons-le, le gouvernement néerlandais jouerait alors un rôle de gardien.

    • Le problème n’est pas seulement celui des données. Par exemple, le risque, c’est que les États-Unis puissent pratiquement couper les impôts ou les soins hospitaliers néerlandais dans le cadre d’une attaque préventive sur le Groenland.

      Bien sûr, c’est peu probable. Mais dans le climat actuel, les gens sont inquiets, et mieux vaut ne pas prendre le risque. Le gouvernement actuel a déjà lancé une stratégie de long terme pour rapatrier davantage d’infrastructures logicielles critiques dans le pays ; vendre à l’étranger le logiciel du principal fournisseur d’identité va directement à l’encontre de cette politique.

    • Le point central relevait moins de la vie privée que du principe : « ne donnons pas à un adversaire potentiel l’une des pièces les plus importantes de notre infrastructure ». DigiD est la plateforme d’authentification des utilisateurs pour presque tous les sites publics néerlandais. Un gouvernement étranger pourrait faire pression sur des individus néerlandais et les forcer à obéir en limitant leur accès.

    • C’est précisément ce rôle de gardien qui fait la différence ici. La question est de savoir si l’on remet toutes les données à un autre pays en demandant qu’on nous en rende des morceaux quand c’est nécessaire, ou si l’on héberge soi-même et qu’on ne partage que les éléments pertinents pour une enquête de ce pays. Il ne faut pas qu’un autre pays puisse bloquer DigiD chaque fois que quelqu’un essaie de l’utiliser.

    • « Si les Pays-Bas ont un accord de partage de renseignement avec les Fourteen Eyes », eh bien les Pays-Bas sont membres des Fourteen Eyes, donc c’est une hypothèse assez sûre.

    • La question n’est pas la vie privée, mais le contrôle.