Cybermenaces : bombe électronique à retardement

En fait. Le 14 octobre se terminent à Monaco les 23e Assises de la cybersécurité qui se sont tenues sur quatre jours. Les cyber-risques n’augurent rien de bon, tant les cyberattaques n’ont jamais été aussi redoutables avec le renfort de l’intelligence artificielle et maintenant de l’informatique quantique.

En clair. Sauve qui peut. Les responsables de la sécurité des systèmes d’information (RSSI) des entreprises et administrations, et leurs dirigeants, ont du souci à se faire. Jamais les cybermenaces et les cyberattaques n’ont été aussi fortes et nombreuses dans le monde. Internet devient le premier théâtre des opérations de la criminalité, de la guerre et de l’ingérence étrangère, tant économique que géopolitique. Cybersécurité et cyberdéfense n’y suffiront pas.
Aux 23es Assises de la cybersécurité (1), à Monaco, les quelque 5.000 visiteurs – Chief Information Security Officer (Ciso) en tête – auraient préféré ne pas verser dans le catastrophisme ni dans les théories du cybercomplot. Hélas, les prévisions sont plus que jamais alarmistes. Steve Morgan, fondateur de la société d’études américaine Cybersecurity Ventures, le confirme à Edition Multimédi@ : « Depuis trois ans, nos prévisions n’ont pas changé. Les coûts mondiaux des dommages liés à la cybercriminalité augmentent de 15 % par an et atteindront 10.500 milliards de dollars en 2025, contre 8.000 milliards de dollars en 2023. C’était 3.000 milliards de dollars en 2015 » (2). Rien que pour 2023, selon nos calculs, le cybercrime mondial pèse financièrement plus de deux fois et demie le PIB de la France, et plus de mille fois le PIB de la Principauté de Monaco où se tiennent chaque année ces Assises de la cybersécurité ! « Cadence des attaques, émergence des innovations [IA, quantique, deepfake, …, ndlr], rotations dans les équipes, profils des attaquants, environnement social et géopolitique, … : le RSSI est sous pression », a confirmé en session plénière (3) Sabrine Guihéneuf, présidente d’honneur 2023 de ces assises internationales, par ailleurs directrice de la cybersécurité et de la gouvernance IT du groupe français URW (4). Certains, comme chez l’électronicien Thales, s’attendent à « l’Apocalypse quantique ». D’autres, comme chez l’hypermarchant Carrefour, craignent les IA génératives dans le retail et le e-commerce. L’équipementier télécoms américain Cisco s’attend, lui, au pire durant les JO de 2024 à Paris.
Se cyberdéfendre à armes égales contre les hackers du monde entier (cryptage et vol de données, rançongiciel, Dos/DDoS (5), hameçonnage, authentification frauduleuse, deepfake, etc.), supposent aux victimes potentielles de recourir elles aussi à l’IA et à la cryptographie quantique voire post-quantique. @

Cybersécurité et cybercensure pourraient accélérer la balkanisation du Net et marginaliser l’Icann

L’avenir de l’Internet est hypothéqué par le cybersécuritaire et le cyberpolitiquement correct. Les remèdes contre les ransomware et les fake news pourraient s’avérer pire que les maux. Les lignes Maginot du Net et sa surveillance généralisée risquent d’accélérer son éclatement.

Pendant que les acteurs de l’Internet et les start-up de l’économie numérique font la fête à Lisbonne au Portugal, à l’occasion de la grand-messe du Web Summit du 1er au 4 novembre 2021 au Portugal (1), le « réseau des réseaux », lui, est de plus en plus pris à partie par les politiques de lutte contre la cybercriminalité et les cybermenaces, d’une part, et la traque aux fausses informations et aux contenus illicites, d’autre part. La pression des Etats, dont certains appellent à la « coopération internationale » contre ces « fléaux », réels ou pas, va peser sur le fonctionnement du Web et la gouvernance du Net.

Forte poussée des « Internet souverains »
L’Icann (2), seule organisation non-gouvernementale qui gère dans le monde les noms de domaine de l’Internet, est censée avoir pris depuis cinq ans maintenant son indépendant par rapport aux Etats-Unis. Mais son rôle reste méconnu et suscite la défiance de nombreux pays. Dirigée par le Suédois Göran Marby (photo), l’Icann est censée s’être émancipée depuis cinq ans de la tutelle étatsunienne et à la suite de l’expiration le 1er octobre 2016 du contrat qui la liait depuis 1998 au département du commerce des Etats-Unis (DoC) et son administration nationale des télécommunications et de l’information (NTIA).
Depuis ce tournant historique, la gestion de domaines et des « identificateurs uniques » du Net relève du secteur privé (3). L’Icann, qui est une société californienne à conseil d’administration présidée par Göran Marby, fait depuis lors figure d’autorité suprême de l’Internet, dotée d’une gouvernance multipartite (gouvernements, entreprises, société civile, etc.) et du département Iana (4) supervisant l’attribution mondiale des adresses IP, des numérotations autonomes, et des racines des noms de domaine (DNS). L’Européen Göran Marby – habitant et travaillant à Los Angeles – accompagne cette émancipation de l’institution (5), tout en s’engageant à ce que « l’Internet de demain reste aussi libre, ouvert et accessible que l’Internet d’aujourd’hui ». Or des vents contraires soufflent de plus en plus fort.
Rien qu’en matière de cybersécurité et de protection des données, l’Icann semble effacée. Les 13 et 14 octobre, les Etats-Unis ont réuni une trentaine de pays – dont la France, mais sans la Russie – pour riposter aux rançongiciels. Le 14 octobre, ils ont publié un « Joint Statement » contre les ransomware (6). De son côté, Göran Marby a fixé le 4 octobre dernier une dizaine d’objectifs (7) pour 2022 afin d’améliorer le fonctionnement et la transparence de l’Icann, dont la 23e assemblée générale annuelle s’est tenue fin octobre (8). Parmi eux, explique-t-il : « La sécurité de l’information, la cybersécurité et la sécurité personnelle combinées aux préoccupations liées à la protection de la vie privée sont des sujets d’actualité, mais la réponse à ces préoccupations a été dispersée entre divers groupes non reliés. Le DSFI-TSG [groupe de travail technique sur la sécurité du système de noms de domaines (9), ndlr] a construit un moyen de communiquer au-delà de certaines des frontières qui existent dans l’écosystème de l’Icann ».
A l’heure où la Russie, la Chine, l’Inde ou encore l’Iran cherchent à s’affranchir de l’Internet, la balkanisation du « réseau des réseaux » guette. « L’Internet libre et l’Internet souverain, ces deux notions ne se contredisent pas », avait lancé le président russe Vladimir Poutine en décembre 2019. Göran Marby le reconnaît : « Le rôle, le mandat et les activités de l’Icann sont peu connus », appelant sa communauté à « travailler plus étroitement avec les gouvernements du monde ». Et d’ajouter en perspective : « Le prochain milliard d’utilisateurs d’Internet proviendront en grande partie d’Asie et d’Afrique, alors nous devrions commencer à les rejoindre ». La Chine en fait partie. Sur les questions de cybersécurité, de cyberguerre, de « souveraineté numérique » ou d’« Internet souverain », l’Icann a-t-elle son mot à dire ? Reste que la mainmise de cette organisation privée sur la racine d’Internet, en cheville avec la société américaine Verisign cotée à la Bourse de New-York, fait débat. Le cofondateur d’Internet, Louis Pouzin (10) (*) (**), ne cesse de fustiger ce « monopole autoproclamé ».

Gouvernance du Net : le forum fin 2021
Göran Marby ouvra-t-il le débat au sein de l’Icann ? « Les discussions techniques sur les racines alternatives, les systèmes de noms de domaine alternatifs et les protocoles Internet alternatifs (IP) se poursuivent dans les forums en dehors de l’écosystème de l’Icann. Certaines propositions sont avancées et d’autres sont fondées sur des opinions plutôt que sur des faits, mais toutes ont le potentiel de changer la façon dont fonctionne Internet ». La 16e réunion annuelle du Forum sur la gouvernance de l’Internet (IGF), organisée par la Pologne – à Katowice du 6 au 10 décembre 2021 – sous le thème cette année d’« Internet United » (11) sonnera-t-elle la fin des divisions ? @

Charles de Laubier

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques.

Chaîne de compromission « SolarWinds »
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage.
Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2). Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe.
Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire « forcera une évaluation approfondie des éditeurs de logiciels » et que « la réglementation sur le risque cyber devrait s’accroître pour la chaîne d’approvisionnement ». La « transition numérique » interroge ainsi plus que jamais les pratiques, les garanties, les responsabilités et la régulation même de la sécurité numérique.
Ce qui, en France, invite à rappeler tout d’abord la fonction institutionnelle du Premier ministre dans la protection et la régulation de la sécurité numérique nationale, à souligner ensuite la force de la récente décision n°2019- 810 QPC du Conseil constitutionnel sur les exigences de contrôle des garanties de sécurité, et à évoquer enfin les nécessités d’un renforcement des certifications obligatoires, des garanties et des responsabilités du côté de la chaine des fournisseurs d’informatique et d’infogérance en nuage. Le Premier ministre est institutionnellement le régulateur de la sécurité numérique nationale.
Au titre de ses attributions de responsable de la défense et de la sécurité nationale, il a pour fonction et mission de définir la politique, de coordonner l’action gouvernementale et de fixer et contrôler le respect des règles nécessaires aux besoins de sécurité des systèmes d’information (SSI) dans le cadre de la défense et de la promotion des intérêts fondamentaux de la nation, dont son indépendance, sa sécurité et les éléments essentiels de son potentiel scientifique, technique et économique incluant la « souveraineté numérique ».

Règles et référentiels de sécurité
Le Premier ministre dispose en particulier à cet effet :
du Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui préside le Comité stratégique de la SSI et prépare la réglementation ;
de l’ANSSI, qui élabore les référentiels d’exigences pour l’évaluation et la qualification des produits et des prestations de confiance pour les besoins de la SSI ;
du Service de l’information stratégique et de la sécurité économiques (SISSE), qui informe sur les entités, les réglementations, les standards de conformité et les pratiques d’affaires extérieurs susceptibles de menacer les technologies, les entreprises et les filières stratégiques pour l’économie française. Le Premier ministre structure les conditions et la filière de la cybersécurité nationale en promouvant et en approuvant les référentiels de qualification et d’exigences des produits de sécurité et des prestataires de service de confiance (3).
Des référentiels de qualification ont été fixés pour les prestataires d’audit de la SSI (PASSI), les prestataires de détection des incidents de sécurité (PDIS), les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires de services d’informatique en nuage (PSIN IaaS PaaS et SaaS). Ils sont en cours d’élaboration pour les prestations d’administration et de maintenance sécurisées (PAMS) et les prestations d’accompagnement et de contrôle de SSI (PACS).

Pouvoir de régulation du Premier ministre
Le Premier ministre fixe et contrôle le respect des règles de politique de SSI des opérateurs désignés d’importance vitale (OIV) et des opérateurs publics ou privés qui participent à leurs systèmes (4), ainsi que des opérateurs désignés de services essentiels au fonctionnement de la société et de l’économie (OSE) (5). Ces règles recouvrent les domaines de la gouvernance, de la protection, de la défense et de la résilience des systèmes et des activités concernés. Elles obligent ou préconisent le recours aux prestataires de service de confiance qualifiés, et peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
L’ANSSI souligne à cet égard, d’une part, que « la mise en conformité d’un [système d’information essentiel (SIE)] à la réglementation est de la responsabilité de l’opérateur », que « lorsque l’opérateur confie tout ou partie de la conception ou de l’exploitation [de son SIE] à un prestataire, le contrat doit prévoir les mesures de sécurité que le prestataire doit mette en oeuvre », et que « le niveau de sécurité exigé pour [son SIE] est le même que celuici soit directement géré par l‘opérateur ou qu’il soit confié à un prestataire », d’autre part, qu’« un prestataire qualifié fournissant une prestation qualifiée est considéré comme étant de confiance par défaut, alors que si la prestation n’est pas qualifiée, l’opérateur a la responsabilité de s’assurer du respect des exigences de sécurité par son prestataire » (6). Enfin, le Premier ministre contrôle et autorise l’exploitation par les opérateurs de réseaux 5G, directe ou par l’intermédiaire de tiers fournisseurs, des appareils (tous dispositifs matériels et logiciels) de connexion des terminaux au réseau qui, par leurs fonctions (7), présentent un risque pour le respect des règles de permanence, d’intégrité, de sécurité ou de disponibilité du réseau ou de confidentialité des messages transmis et des informations liées aux communications, et refuse l’octroi de cette autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense nationale « résultant du manque de garantie du respect [de ces] règles », en considération du « niveau de sécurité » et des « modalités de déploiement et d’exploitation envisagées » de ces dispositifs et du « fait que l’opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d’ingérence d’un Etat non membre de l’Union européenne » (8).
Dans sa décision du 5 février dernier (n°2020-882 QPC), le Conseil constitutionnel a remarquablement validé ce régime de contrôle et d’autorisation par le Premier ministre, en affirmant tout d’abord qu’il mettait « en oeuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la nation » en ce qu’il avait pour objectif de « prémunir les réseaux mobiles des risques d’espionnage, de piratage et de sabotage pouvant résulter des nouvelles fonctionnalités offertes par la 5G », en soulignant ensuite qu’il ne visait « ni un opérateur ou un prestataire déterminé ni les appareils d’un fabricant déterminé » et que le critère d’appréciation du risque sérieux d’atteinte « dû à l’insuffisance des garanties du respect des règles » lié à la considération du « fait que l’opérateur ou son prestataire est sous le contrôle ou soumis à des actes d’ingérence d’un Etat étranger » est cohérent avec l’objet de l’autorisation, laquelle est accordée « non pas seulement en fonction des caractéristiques de l’appareil », mais aussi au regard des modalités de déploiement et d’exploitation envisagées, « ce qui recouvre les opérations de configuration, de supervision ou de maintenance par des prestataires et sous-traitants ».

Garanties des fournisseurs d’informatique en ligne
Ces exigences constitutionnelles de sécurité numérique nationale pourraient supporter un renforcement des garanties de sécurité et de confiance du côté des fournisseurs d’informatique et d’infogérance en nuage, qui sont à la fois les principaux transitaires et bénéficiaires de la « transformation numérique » et des facteurs et des vecteurs de risques de sécurité bien identifiés avant l’affaire « SolarWinds » (9).
En décembre 2020, l’ANSSI appelait l’Union européenne à « élever le niveau de sécurité de la chaine d’approvisionnement » et à « garantir la sécurisation des chaînes de valeur numériques » en activant des « leviers tels que la certification ou encore l’encadrement de la responsabilité des acteurs privés ». A cette date, aucun des grands fournisseurs d’informatique et d’infogérance en nuage actifs en France ne présentait la certification de confiance de l’ANSSI. Elle n’était que volontaire et pourrait légitimement devenir une « norme » obligatoire. @

L’Europe appelle la France à garder son sang-froid

En fait. Le 23 octobre, le Premier ministre français, Jean Castex, s’est rendu à Bruxelles pour y rencontrer la présidente de la Commission européenne, Ursula von der Leyen. Après l’assassinat à Conflans-Sainte-Honorine, le gouvernement est poussé à lutter contre la haine sur les réseaux sociaux – mais sans menacer la liberté d’expression.

En clair. Lutter contre la haine en ligne, oui. Porter atteinte à la liberté d’expression sur Internet, non. C’est en substance la mise en garde qu’a lancée la Commission européenne au gouvernement français, dont le Premier ministre – en déplacement à Bruxelles le 23 octobre – appelle à durcir la lutte contre la cyberhaine. Et ce, après les messages haineux ou appelant au crime lancés sur les réseaux sociaux en France, à l’encontre du professeur d’histoire et de géographie Samuel Paty, au cours des quelques jours précédant son assassinat le 16 octobre à Conflans Saint-Honorine (Yvelines) par un individu russe-tchétchène radicalisé (1). L’enseignant a été décapité dans la rue à proximité de son collège pour avoir montré en classe – dans le cadre d’un cours sur la liberté d’expression et par rapport à l’attentat de Charlie Hebdo – des caricatures représentant le prophète Mahomet. Avant de les montrer, il aurait « invité les élèves musulmans à sortir de la classe », d’après un représentant de parents d’élèves (2). La cyberhaine qui s’était propagée sur les réseaux sociaux, dont Facebook, à l’encontre de cet enseignant avant qu’il ne soit tué, a été unanimement condamnée. « Ceux qui sont derrière des messages inacceptables appelant ou justifiant des meurtres doivent répondre en justice », a assuré le 19 octobre la commissaire européenne Véra Jourová, en charge des valeurs et de la transparence (3). Mais elle met en garde le gouvernement français – poussé par sa droite et l’extrême-droite à mettre au pas les réseaux sociaux – contre une loi répressive envers Internet qui « pourrait miner la liberté d’expression, alors que nous essayons précisément de la protéger ».
La Commission européenne prépare justement un paquet législatif, le Digital Services Act (DSA), qui prévoit en l’occurrence, rappelle la commissaire tchèque, de « garantir que les contenus illégaux soient retirés avec les garde-fous nécessaires pour protéger la liberté d’expression ». Et Véra Jourová d’insister : « La haine ne connaît pas de frontières. Nous devons y répondre ensemble, d’une façon européenne ». Le Premier ministre français, lui, a dit le 21 octobre au Sénat vouloir « attaquer plus fortement encore à ceux qui manipulent et à ceux qui transmettent la haine », quitte à remettre sur le métier le projet de loi Avia qui avait été retoqué par le Conseil constitutionnel pour cause d’atteinte à la liberté d’expression. @

Pourquoi Oracle, géant du logiciel de bases de données et de services aux entreprises, s’intéresse-t-il à TikTok ?

Mais que vient faire Oracle – numéro deux mondial du logiciel (derrière Microsoft), spécialiste des bases de données et services de cloud aux entreprises – dans la bataille pour tenter de s’emparer des activités américaines de l’application grand public TikTok, très prisée des ados ? Pour l’instant, Larry Ellison n’en dit mot.

Oracle et TikTok, c’est la rencontre improbable entre un géant du logiciel pour les entreprises et une application mondiale pour jeunes. Dans le cas où la firme cofondée il y a 43 ans par Larry Ellison (photo) rachèterait l’activité de la filiale du chinois de ByteDance aux Etats-Unis (voire aussi au Canada, en Australie et en Nouvelle- Zélande), ce serait le mariage de la carpe et du lapin. Pourquoi le fleuron américain du logiciel B2B, numéro un mondial du logiciel d’entreprise, s’est entiché d’une application B2C d’origine chinoise ? Rien de commun entre les deux entreprises. Aucune synergie possible. Pas de clients communs. Tout les oppose. Leurs intérêts ne sont pas les mêmes. Quant à Larry Ellison (76 ans depuis le 17 août dernier), il a passé l’âge de pousser la chansonnette dans de mini clips vidéo musicaux et de partager ses improvisations sur les réseaux sociaux. Ses hobbies sont ailleurs : la guitare, la voile, l’avion et le tennis. Même ses deux enfants, David (37 ans) et Megan (34 ans), ne sont pas de la génération des tiktokers. Le président d’Oracle Corporation, dont il est aussi l’actuel directeur de la technologie (CTO) après en avoir été PDG de juin 1977 à septembre 2014, est-il tombé dans un délire stratégique sans queue ni tête ?

Trump incite Oracle à s’emparer de TikTok
Depuis l’article du Financial Times daté du 18 août dernier révélant que la firme de Redwood City (Californie) a engagé des discussions avec des investisseurs (dont General Atlantic et Sequoia Capital) déjà actionnaires de ByteDance, la maison mère chinoise de TikTok (1), aucun commentaire ni démenti de l’intéressé. Au-delà des sources proches du dossier qui ont confirmé – au Financial Times, à Bloomberg ou encore à Reuters – l’existence de ces discussions entre Oracle et des investisseurs de ByteDance, la confirmation implicite des tractations est venue du président des Etats-Unis lui-même. « Eh bien, je pense qu’Oracle est une grande entreprise et je pense que son propriétaire [Larry Ellison et sa famille détiennent près de 40 % du capital, ndlr] est un gars formidable, une personne formidable. Je pense qu’Oracle serait certainement quelqu’un qui pourrait le gérer », a lancé le 18 août dernier Donald Trump, lors d’un déplacement à Yuma, dans l’Arizona.

Larry Ellison, l’ami de Donald Trump
Cet appui présidentiel intervient après que le locataire de la Maison-Blanche ait donné 90 jours au chinois ByteDance pour vendre, aux Etats-Unis, sa populaire application TikTok – téléchargée par plus de 175 millions d’Américains (sur 1 milliard de fois dans le monde). Cette injonction s’inscrit dans la croisade de Donald Trump contre des intérêts chinois tels que Huawei qu’il accuse – sans preuve – de cyberespionnage et d’atteinte à la « sécurité nationale » du pays. Le dessaisissent a été ordonné par décret présidentiel – un Executive Order – le 14 août, assorti d’un délai d’exécution de 90 jours à compter du lendemain, soit jusqu’au 12 novembre prochain. « A moins que cette date ne soit prolongée pour une période ne dépassant pas 30 jours [jusqu’au 12 décembre, ndlr], aux conditions écrites du Comité sur l’investissement étranger aux Etats-Unis (CFIUS) » (2). Ce délai de trois mois s’est en fait substitué à un délai plus court – 45 jours – qui avait été décrété le 6 août (3) et dont l’échéance devait intervenir dès mi-septembre ! Ce même jour, un autre Executive Order a été signé par Trump à l’encontre de, cette fois, WeChat du groupe chinois Tencent. A partir du 15 septembre, toute « transaction » avec cette messagerie instantanée-réseau social-système de paiement sera interdite aux Etats- Unis (4). ByteDance, d’une part (5), et Tencent via la « U.S. WeChat Users Alliance », d’autre part (6), ont porté plainte contre Trump devant la justice américaine. Sous cette pression politique, l’Américain Kevin Mayer (ex-dirigeant de Disney) – directeur général de TikTok depuis juin – a annoncé le 26 août sa démission.
En apportant publiquement son soutien à Oracle dans son projet de reprise des activités américaines du chinois, face aux autres candidats déclarés que sont Microsoft (avec Walmart) et Twitter, Donald Trump a lancé un clin d’œil intéressé à son ami Larry Ellison. Ce dernier est réputé avoir collecté des fonds de plusieurs millions de dollars dès février pour cofinancer la prochaine campagne présiden-tielle de Donald Trump en vue de tenter de remporter un second mandat à l’issue des élections de novembre prochain. Entre milliardaires, on se comprend : Lawrence J. Ellison est la cinquième plus grande fortune mondiale avec un patrimoine professionnel de 73,2 milliards de dollars (au 21-08-20), selon Forbes (7). L’actuelle PDG d’Oracle, l’Israélo-américaine Safra Catz, est elle aussi une partisante du milliardaire de l’immobilier devenu président. En début d’année, Oracle s’est même associé à la Maison-Blanche pour étudier les effets de l’hydroxy-chloroquine sur le covid-19. En outre, Donald et Larry sont sur la même longueur d’ondes lorsqu’il s’agit d’encourager les intérêts technologiques américains dans l’esprit bien compris du slogan nationaliste « America First ». Disposant de 43 milliards de dollars de cash disponibles au 31 mai dernier (8), Oracle a les moyens de racheter TikTok hors de Chine, qui est, d’après l’agence Bloomberg, valorisé entre 20 et 50 milliards de dollars sur un total de 75 milliards de dollars. ByteDance a généré un bénéfice net de 3 milliards de dollars l’an dernier, pour un chiffre d’affaires de 17 milliards. Ce qui en fait la licorne la plus rentable au monde, alors que la rumeur de son introduction à la Bourse de Hong Kong avait été démentie en octobre 2019 par la firme de Pékin. Mais le mariage improbable entre l’appli des teens et les soft des corporates apparaît comme plus politique que stratégique. Oracle, qui a publié au tout début de l’été les résultats de son exercice annuel clos le 31 mai dernier (9), a fait état d’un chiffre d’affaires de 39 milliards de dollars, dont 83 % réalisés dans le cloud et les licences de logiciels, 9 % dans la vente de matériel et support, et 8 % dans les services. Sa rentabilité a été affectée par la pandémie, son bénéfice net reculant de 6 % sur un an, à 10,1 milliards de dollars.
La firme de Larry Ellison s’est d’ailleurs félicitée d’avoir accueillir en avril dernier un nouveau client de son offre « Oracle Cloud Infrastructure as a Service » (OCI) (10) : Zoom. La plateforme de vidéoconférence s’est révélée au grand public lors du confinement du printemps où le télétravail s’est imposé. C’est dans cet esprit que le géant du logiciel d’entreprise souhaite aussi se rendre utile à tout le monde en acquérant des actifs de TikTok. Car, contrairement à Microsoft qui s’adresse à la fois aux entreprises et aux particuliers (Windows, Xbox et LinkedIn), tout comme Amazon (e-commerce), Oracle est inconnu dans les chaumières. Outre la puissance de son cloud, la firme d’Ellison pourrait aussi mettre à profit son expertise data et de courtage de données sur le marché de la publicité ciblée en ligne.

Oracle veut cibler plus le grand public
Le « Data Cloud » publicitaire d’Oracle, né après l’acquisition de Datalogix pour plus de 1 milliard de dollars en 2015, rivalise aujourd’hui avec Facebook sur ce segment réputé rentable, malgré le ralentissement de cette activité provoqué par l’entrée en vigueur en mai 2018 en Europe du contraignant règlement général sur la protection des données (RGPD) et par les restrictions au ciblage publicitaire au regard de la protection de la vie privée depuis le scandale « Facebook-Cambridge Analytica » (11). TikTok permettrait à Oracle de redresser la barre de cette activité. @

Charles de Laubier