Wheel of Confusion
Windows 11, le plus gros edge cloud au monde
Le 8 avril 2026, Jason Donenfeld publie un message bref sur X¹. Microsoft a suspendu sans préavis le compte Partner Center qu'il utilise pour signer les pilotes WireGuard. Une procédure d'appel sur 60 jours est ouverte, sans canal humain. Mounir Idrassi, mainteneur de VeraCrypt, est dans la même situation depuis mi-janvier². Le compte qu'il utilisait depuis huit ans pour signer le bootloader VeraCrypt a été terminé. Microsoft ne lui répond qu'avec des bots.
Les certificats existants des deux projets expirent fin juin 2026. Sans nouvelle signature, les machines avec Secure Boot activé refuseront de charger les drivers à partir de cette date. Pour VeraCrypt, cela signifie des partitions chiffrées qui pourraient ne plus booter. Pour WireGuard, cela signifie une rupture des fonctions VPN sur lesquelles reposent Mullvad, Proton, Tailscale et plusieurs services concurrents³.
La cause est administrative. Microsoft a lancé en octobre 2025 une campagne de re-vérification d'identité IDV obligatoire pour tous les partenaires du Windows Hardware Program qui ne s'étaient pas re-vérifiés depuis avril 2024. La fenêtre s'est fermée le 1er avril 2026. Ceux qui n'ont pas su la traiter dans les temps sont purgés. Microsoft a corrigé les cas les plus médiatisés après intervention de Scott Hanselman. Les autres restent sans recours.
L'incident a circulé 72 heures sur les réseaux techniques anglophones, puis a quitté l'actualité. Pris pour ce qu'il est en surface, c'est un dysfonctionnement administratif chez un grand fournisseur. Pris pour ce qu'il manifeste de l'objet qui l'a permis, c'est tout autre chose. L'objet qui a permis cet incident n'est plus tout à fait Windows. C'est une chose qui s'achète encore comme une licence Windows, qui s'utilise encore comme Windows, mais qui se comporte techniquement comme autre chose. Cette autre chose n'a pas de nom dans le vocabulaire des analyses de maîtrise des dépendances numériques. Ni en France, ni en Europe, ni aux États-Unis qui hébergent pourtant son opérateur.
Une qualification technique manquante
Les analyses du marché logiciel d'entreprise opèrent globalement avec deux catégories. D'un côté, le logiciel acheté en licence, installé localement, contrôlé par son propriétaire. De l'autre, le service cloud souscrit à distance, opéré par un tiers, soumis aux conditions de ce tiers. Cette distinction structure la doctrine d'achat public dans la plupart des États. Elle structure les référentiels SecNumCloud, C5, FedRAMP. Elle structure les analyses Gartner, IDC, Forrester. Elle structure ce que les organisations croient acheter quand elles signent un contrat informatique. Et elle ne décrit plus Windows 11.
Un poste Windows 11 en configuration usine, en avril 2026, possède simultanément les six propriétés que la littérature technique appelle un nœud edge cloud. Le matériel appartient au client. La chaîne de confiance d'exécution est gouvernée à distance par Microsoft via Secure Boot et Partner Center. La télémétrie diagnostic remonte par défaut vers le centre de gestion. L'opérateur peut déployer et révoquer des composants à distance via Windows Update et SmartScreen. Les données critiques — clés Bitlocker, mots de passe Edge, captures Recall, contenu OneDrive — sont séquestrées par défaut dans l'infrastructure cloud de l'opérateur. Et la décision finale sur ce qui peut s'exécuter sur la machine appartient à Microsoft, pas au propriétaire physique.
Ces six propriétés sont la définition opérationnelle d'un nœud edge cloud telle qu'on la trouve dans les spécifications ETSI MEC, dans les documents Gartner sur l'edge computing, dans les whitepapers AWS Outposts et Azure Stack Edge⁴. Si on les applique à Windows 11, la qualification suit mécaniquement.
Et l'échelle rend la chose vertigineuse. Statcounter mesure Windows 11 à 72,78 % du parc Windows desktop mondial en février 2026⁵. Microsoft a annoncé début 2026 avoir dépassé le milliard d'utilisateurs Windows 11 actifs⁶. AWS Outposts cumule quelques dizaines de milliers d'unités déployées. Azure Stack et Google Distributed Cloud comptent dans le même ordre. Les déploiements MEC télécom européens additionnent quelques milliers de sites. SecNumCloud français qualifie quelques dizaines d'offres en production.
Posons le calcul. Un milliard de nœuds Windows 11 d'un côté. De l'autre, tous les déploiements edge cloud reconnus comme tels dans la littérature du marché, additionnés : quelques dizaines à quelques centaines de milliers d'unités tout compris. Le rapport est de l'ordre de cinq ordres de grandeur. Microsoft opère un edge cloud qui dépasse en volume tous les autres edge clouds reconnus comme tels, mis ensemble, par un facteur d'environ dix mille à cent mille.
Le plus gros opérateur d'edge cloud au monde n'apparaît dans aucune cartographie publique du marché du cloud edge. Aucune analyse Gartner ne lui applique la qualification. Aucun rapport de la Commission européenne sur les marchés cloud ne le mentionne dans cette catégorie. Aucune doctrine ANSSI ne le décrit en ces termes. Personne ne lui applique la qualification parce que Microsoft ne la revendique pas. Et Microsoft ne la revendique pas parce qu'elle est commercialement et juridiquement coûteuse pour lui.
Cette invisibilité statistique est en soi un fait politique. Le marché mondial du cloud edge est dominé à plus de 99,99 % par un seul acteur qui n'apparaît dans aucune analyse de ce marché. La concentration la plus extrême de l'histoire de l'informatique se déroule dans une catégorie qui n'a pas été créée pour la décrire.
Deux régimes pour un même objet
L'edge cloud Windows 11 ne s'exerce pas de la même façon selon le client. Particuliers et organisations vivent deux régimes distincts du même contrat technique.
Pour le particulier, qui constitue l'écrasante majorité du parc, le compte Microsoft est devenu obligatoire pour l'installation initiale. Depuis Windows 11 25H2, sorti à l'automne 2025, les méthodes de contournement (oobe\bypassnro, ms-cxh:localonly) ont été retirées par Microsoft, qui justifie le verrouillage en arguant qu'un appareil sans compte Microsoft n'est pas correctement configuré pour l'usage⁷. Le client n'est pas un administrateur de son matériel. Il est un compte dans l'infrastructure Microsoft.
Le verrouillage initial déclenche le reste. La connexion internet est exigée à l'OOBE. Bitlocker s'active automatiquement sur les Windows 11 récents avec sauvegarde silencieuse de la clé de récupération dans le compte Microsoft. OneDrive est proposé par défaut comme emplacement Documents. La télémétrie diagnostic minimale n'est pas désactivable. Recall, annoncé en mai 2024, mis en pause après scandale puis déployé sur les Copilot+ PCs en avril 2025, capture périodiquement l'écran et l'indexe pour recherche IA locale. Edge est le navigateur par défaut, et chaque tentative d'en changer rencontre des frictions documentées par les utilisateurs et par la Commission européenne dans ses travaux DMA.
Pour l'organisation, l'edge cloud s'exerce par les couches d'identité (Active Directory, Entra ID), de gestion (Group Policy, Intune), de sécurité (Defender, Sentinel, Conditional Access), de signature kernel (Partner Center) et de chiffrement agréé. Les éditeurs nationaux qui produisent les outils certifiés au plus haut niveau ne tournent que sur Windows. L'organisation n'est pas plus libre que le particulier. Elle est captive d'un tissu de dépendances qu'elle a intégré sur vingt-cinq ans et qu'elle ne peut pas démêler à court terme.
Les pouvoirs qui suivent s'exercent dans les deux régimes, avec des intensités et des modes opératoires différents. Certains, comme l'activation par défaut du hotpatching ou l'éjection des outils tiers du kernel, ne s'exercent que sur le périmètre organisation Enterprise et Education géré via Intune.
Ce que les contrats disent déjà, en langue juridique
Les juristes qui rédigent les contrats de licence ont dix ans d'avance sur les analyses publiques des produits qu'ils encadrent. Ils doivent décrire la réalité opérationnelle de ce que l'éditeur fait, pas le récit marketing.
Le CLUF Windows 11 OEM, dans sa version d'avril 2024⁸, contient quatre clauses qui consacrent juridiquement la qualification edge cloud posée plus haut. La section 2.a affirme dès la première phrase opérationnelle que le logiciel est concédé sous licence, pas vendu. La section 5 réserve à Microsoft le droit de remplacer à distance, sur l'appareil du client, tout logiciel Microsoft jugé altéré ou improprement modifié, sans définir ces termes ni canal de contestation. La section 6 affirme que les mises à jour automatiques sont reçues sans notification supplémentaire au-delà du consentement initial. La section 14.c autorise contractuellement Microsoft à désactiver ou retirer les logiciels antimalware concurrents quand il juge que la protection existante est expirée.
Le CLUF Windows Server 2025 OEM⁹, qui régit le côté serveur de l'environnement entreprise, ajoute une couche que celui de Windows 11 ne contient pas. Le modèle de licence par cœur impose un minimum de 16 cœurs par serveur et exige un Client Access License pour chaque utilisateur ou device qui accède au serveur. Le couplage avec Azure Arc devient explicite pour les fonctions modernes : le hotpatching de Windows Server 2025 nécessite une connexion Azure Arc et une Software Assurance active. Le mode de facturation pay-as-you-go est exclusivement disponible via Azure Arc. Les fonctions de sauvegarde, de site recovery et de récupération avancée sont conditionnées à des bénéfices Software Assurance qui poussent vers Azure. Le contrat de Windows Server 2025 décrit en termes juridiques le mouvement que Microsoft promeut commercialement sous le nom de hybrid cloud : un serveur on-premises qui paye Microsoft à l'usage, qui dépend d'Azure pour ses fonctions critiques, et qui n'est plus opérationnellement séparable du cloud du même éditeur.
La fiction contractuelle est celle d'une licence logicielle classique, du côté Windows 11 comme du côté Windows Server. La réalité opérationnelle décrite par les clauses est celle d'un service cloud opéré à distance, hybride côté serveur et complet côté poste client. Les juristes Microsoft ont écrit le contrat d'un edge cloud. Les équipes marketing vendent une licence. Et depuis l'intérieur même de Microsoft France, cette fiction contractuelle a trouvé une limite sous serment. Le 10 juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été auditionné par la commission d'enquête sénatoriale sur la commande publique. Interrogé par le président Uzenat sur la possibilité de garantir que les données des citoyens français ne seraient jamais transmises au gouvernement américain sans l'accord explicite des autorités françaises, il a répondu : Non, je ne peux pas le garantir, mais cela ne s'est encore jamais produit¹⁰. Cette déclaration, faite sous serment devant une institution de la République française, constitue la documentation publique la plus précise disponible sur l'exposition structurelle au CLOUD Act américain des données hébergées par des entreprises soumises à la juridiction américaine.
Neuf mois plus tard, le 5 mars 2026 à Seattle, Brad Smith, président et vice-chairman de Microsoft, a publiquement désavoué cette déclaration. Dans une interview rapportée par Numerama, il a qualifié la question parlementaire française de réponse stupide à une question stupide et substitué le mot confiance au mot garantie, en se disant confiant dans le fait que Microsoft peut protéger les données des citoyens français¹¹. Le désaveu, par le président mondial de l'entreprise, depuis le territoire américain et dans un cadre non contraignant, d'une déclaration sous serment faite par le directeur juridique France du même groupe devant une commission d'enquête parlementaire, illustre directement le rapport de force entre l'éditeur et l'institution française qui avait posé la question. Il substitue aussi, dans le vocabulaire officiel de Microsoft, un régime de garantie vérifiable par un régime de confiance déclarative.
Des analyses critiques de ces contrats existent, sur un périmètre voisin mais distinct. L'autorité allemande de protection des données du Bade-Wurtemberg a produit en avril 2021 une analyse technique détaillée de Microsoft 365 dans les écoles¹². Noyb a déposé en juin 2024 une plainte contre Microsoft 365 Education pour violation du RGPD dans le contexte scolaire¹³. L'Autorité européenne de protection des données a constaté en mars 2024 une violation du RGPD par Microsoft 365 dans le cadre de son utilisation par la Commission européenne¹⁴, sur un service que Microsoft reconnaît contractuellement comme cloud. Aucune analyse équivalente n'existe à ce jour sur Windows 11 OEM, précisément parce que la fiction contractuelle de la licence logicielle maintient le produit hors du périmètre régulatoire cloud. Le contrat est lu pour ce qu'il prétend être — une licence — pas pour ce que ses clauses opérationnelles décrivent — un service cloud distribué.
La qualité technique réelle
Si Microsoft occupe cette position, ce n'est ni par accident, ni par captation marketing seule. Microsoft a construit, sur trente ans, une architecture d'OS d'entreprise dont les propriétés techniques n'ont pas d'équivalent à un niveau opérationnellement comparable. Les autres alternatives à grande échelle existent. Elles sont d'une autre nature. ChromeOS est un terminal léger orienté consommation cloud, opéré par Google sur une logique différente : peu d'exécution locale, dépendance assumée à des services distants, périmètre fonctionnel restreint. Les déploiements Linux d'entreprise existent à grande échelle, mais exigent une équipe spécialisée pour atteindre une posture comparable à celle qu'un administrateur Windows obtient par défaut.
macOS occupe une position intermédiaire qui mérite d'être nommée. Le SLA Apple pour macOS Tahoe 26¹⁵ contient des clauses qui s'apparentent à un edge cloud : licence non vente, mises à jour automatiques avec consentement par l'usage, restrictions strictes sur la redistribution, contrôle Apple sur le code signing pour la distribution App Store. Côté particulier comme côté organisation, l'utilisateur de Mac s'inscrit dans un système où Apple décide de ce qui peut s'installer et se synchroniser. Mais trois mécanismes que Microsoft a et qu'Apple n'a pas changent la nature de l'objet. Pas d'équivalent strict de Partner Center pour les drivers kernel tiers : Apple a supprimé les kernel extensions tierces depuis macOS Big Sur en 2020, au profit de System Extensions qui tournent en user-space, ce qui prive l'éditeur du mécanisme de révocation administrative et silencieuse qui a permis l'incident WireGuard côté Microsoft. Pas de clause équivalente à la 14.c sur la désactivation des antimalwares concurrents. Pas de couplage contractuel hybrid cloud type Azure Arc qui force les clients on-premises à payer le cloud du même éditeur pour ses fonctions critiques. macOS s'approche d'un edge cloud, mais la combinaison des trois mécanismes manquants empêche d'appliquer la qualification au sens fort où elle s'applique à Windows 11.
Aucune de ces alternatives n'occupe la même position que Windows 11 : un edge cloud opéré sur du matériel possédé par le client, à l'échelle d'un milliard de nœuds, avec exécution locale lourde, intégration profonde dans les processus d'entreprise, et aucune qualification publique en tant qu'edge cloud.
Le modèle de sécurité Windows NT, conçu en 1993 par l'équipe de Dave Cutler, intègre nativement des concepts qui sur Linux relèvent de couches additionnelles assemblées par strates successives. Identifiants de sécurité découplés de leur représentation textuelle. Listes de contrôle d'accès granulaires sur tous les objets sécurisables, pas seulement les fichiers. Privilèges granulaires distincts des droits d'objet. Système d'impersonation contrôlé. Autorité centrale de sécurité locale qui consolide les décisions d'autorisation. Sur Linux, l'équivalent fonctionnel se construit en assemblant POSIX, ACLs ajoutées tardivement, capabilities, SELinux ou AppArmor, PAM, et plusieurs autres briques pensées séparément. Le résultat peut être équivalent dans les mains d'un administrateur expert. La cohérence vient alors moins de l'OS lui-même que de la compétence de celui qui l'opère.
L'intégration Kerberos est probablement le point le plus mal compris en dehors des cercles techniques. Microsoft a pris Kerberos v5 en 2000 et a construit autour une intégration où littéralement tout dans l'environnement Windows authentifie via Kerberos par défaut. Login utilisateur. Accès aux partages SMB. Accès aux applications web via SPNEGO. Connexion aux bases SQL Server. Accès à Exchange. Accès aux applications métiers via SSPI. Le ticket obtenu au login s'utilise partout, sans ressaisie, avec délégation contrôlée. C'est du single sign-on à l'échelle de l'organisation, sans broker, sans surcouche.
Faire l'équivalent sur Linux exige Heimdal ou MIT Kerberos plus FreeIPA plus SSSD plus configuration PAM plus configuration NSS plus intégration applicative cas par cas. Ça existe et ça fonctionne. La majorité des déploiements Linux d'entreprise se contente d'authentification par mot de passe local ou LDAP simple, qui sont nettement inférieurs à ce que produit un AD bien configuré.
La scalabilité de gestion via Group Policy n'a pas d'équivalent fonctionnel sur Linux à grande échelle. Un administrateur AD définit, pour des dizaines de milliers de postes simultanément, des centaines de paramètres de sécurité et de configuration, qui s'appliquent automatiquement, sont héritables, peuvent être ciblés. L'équivalent Linux se construit en assemblant Ansible ou Puppet, Foreman, des dépôts internes, des outils MDM tiers, et beaucoup de scripts shell. Ça fonctionne, à condition d'avoir une équipe qui sait construire et maintenir cette chaîne.
Il existe des contre-exemples, et ils méritent d'être nommés. La Gendarmerie nationale française opère sous GendBuntu un parc de 103 000 postes répartis sur 4 300 sites¹⁶, soit 97 % de son parc en 2025, après vingt ans de migration progressive entamée en 2004, avec une économie de licences estimée à 2 millions d'euros par an. La municipalité de Munich a fait tourner LiMux sur environ 18 500 postes entre 2003 et 2017 avant un retour partiel négocié vers Microsoft. La Chine pousse Kylin et UOS dans l'administration. La Russie déploie Astra Linux dans l'armée et les services. Ces exemples démontrent que la migration à grande échelle est techniquement possible. Ils démontrent aussi qu'elle exige soit une équipe spécialisée dédiée sur la durée, soit un mandat politique qui surpasse le calcul opérationnel rationnel, soit les deux. Le retour partiel de Munich en 2017 sert d'épouvantail dans toutes les discussions de migration depuis.
Cette qualité architecturale a sa contrepartie sombre, qu'il faut nommer aussi. Le modèle est cohérent mais complexe au point d'être difficile à auditer correctement. L'intégration Kerberos est puissante mais elle a été configurée par défaut avec RC4 pendant plus d'une décennie, ce qui a rendu le Kerberoasting trivial sur la majorité des déploiements et a contribué à l'attaque ransomware contre Ascension Health en mai 2024. Le système hospitalier américain, avec ses 140 hôpitaux, a tourné en mode dégradé pendant des semaines. Les données de 5,6 millions de patients ont été exfiltrées. La compromission est entrée par un simple clic d'un sous-traitant sur un résultat de recherche Bing¹⁷.
Group Policy est scalable mais sa structure héritée produit des configurations dont personne ne maîtrise plus l'état réel après quelques années d'évolution organisationnelle. Liz Tesch, du Microsoft Incident Response Critical Action Team, en a documenté¹⁸ les conséquences sur des Active Directory déployés il y a vingt ans, encore administrés selon les pratiques de 1999. Le Cyber Safety Review Board américain a conclu en mars 2024¹⁹ à l'insuffisance de la culture de sécurité Microsoft. En réponse, Satya Nadella a envoyé en mai 2024 un mémo interne à 200 000 employés posant la sécurité comme priorité absolue, devant les fonctionnalités et le support des systèmes legacy²⁰. Une partie de la rémunération des dirigeants a été indexée sur les objectifs sécurité. Nadella a lui-même demandé au conseil d'administration de réduire son bonus 2024 de 10,66 à 5,2 millions de dollars. Les défaillances décrites dans cet article continuent d'être documentées dans les incidents qui suivent.
Deux énoncés tiennent simultanément. L'environnement Microsoft est techniquement supérieur à ses alternatives disponibles dans le contexte actuel pour la majorité des organisations. Cet environnement est administré dans la pratique avec des défauts hérités et des vulnérabilités de fond qui produisent des incidents catastrophiques à intervalles réguliers. Les deux sont vrais en même temps. Reconnaître la supériorité technique n'efface pas les défaillances. Reconnaître les défaillances n'efface pas le fait que toute alternative dégraderait la posture défensive à court terme, et que la dégradation serait immédiatement imputable au décideur qui l'aurait choisie.
Le calcul économique
Dans le contexte de conflictualité cyber actuel, dégrader sa posture de sécurité a un coût opérationnel et humain immédiatement visible. Les hôpitaux ferment des semaines après une attaque ransomware. Les collectivités perdent l'usage de leurs systèmes pendant des mois. Les administrations centrales sont ciblées quotidiennement par des opérateurs étatiques chinois et russes. Les grandes entreprises industrielles découvrent au moment de l'incident que leur cyber-assurance ne couvre pas tous les coûts.
Une décision de sortie de Windows à l'échelle d'une organisation dépasse le cadre technique. Elle est portée au niveau du comité exécutif, parfois du conseil d'administration. L'arbitrage qui y est fait est économique avant d'être stratégique. Le comité doit chiffrer l'impact sur l'EBITDA pendant les trois à cinq années de transition, le surcoût d'équipes spécialisées à recruter sur un marché en pénurie, l'exposition au risque cyber pendant la phase de coexistence, la dégradation de productivité pendant la formation des utilisateurs, et la responsabilité personnelle des dirigeants si une compromission survient pendant la transition, avec son traitement probable par la cyber-assurance.
Le seul cas occidental de migration réversée à l'échelle d'une grande organisation publique fournit des chiffres. Munich a voté en novembre 2017 son retour vers Windows à 49,3 millions d'euros estimés pour la seule migration technique, dans un projet IT total d'environ 89 millions d'euros²¹. Munich n'a d'ailleurs jamais atteint l'homogénéité, opérant à son pic environ 18 500 postes LiMux parallèlement à 10 700 postes Windows restés incompatibles pour raisons applicatives. Les chiffres consolidés publiés ultérieurement par la ville montent l'enveloppe totale entre 86 et 100 millions d'euros une fois les coûts d'intégration applicative et la maintenance parallèle pendant la phase de transition incluses²². Le rapport est de l'ordre de un à deux pour ce type d'opération entre coût technique annoncé et coût réel observé, et la durée d'exécution tourne autour de cinq à sept ans plutôt que des deux à trois années initialement promises. Ces chiffres concernent un aller simple d'un périmètre relativement contenu sans changement majeur d'identité ni de chaîne de signature kernel. Une migration équivalente pour une administration centrale française avec ses dépendances Active Directory, ses applications métiers Windows, ses outils de chiffrement agréés et son parc d'EDR Defender approcherait probablement la fourchette haute. À ces questions, l'environnement Microsoft fournit des réponses chiffrables et acceptables. Les alternatives ne fournissent que des estimations contestables et des risques juridiques individuels que les dirigeants n'ont aucune raison de prendre à leur niveau de carrière.
La rationalité individuelle de chaque acteur du système conduit à maintenir la dépendance. C'est précisément pour cela que la sortie est impossible à organiser à partir des incitations existantes. La dépendance Microsoft n'est pas une faute, c'est la conséquence prévisible d'un système dans lequel chaque acteur fait ce qui est rationnel pour lui à son horizon décisionnel. Le coût de la dépendance se paie collectivement à un horizon que personne n'a la responsabilité de défendre.
C'est cette mécanique qui rend le piège refermable. Pas la captation commerciale brute. Pas les pratiques anticoncurrentielles classiques. Pas l'opacité contractuelle. La supériorité technique objective de l'environnement, dans un contexte où les alternatives ne peuvent pas l'égaler à court terme et où la dégradation immédiate de posture serait politiquement coûteuse. Microsoft n'a pas besoin de tromper ses clients pour les retenir. Il lui suffit d'être effectivement le meilleur choix à l'horizon décisionnel d'un DSI moyen sous contrainte de continuité de service. Et il l'est, dans la majorité des cas.
Neuf pouvoirs et une absence
Une fois la qualification posée et la rationalité de la dépendance reconnue, l'inventaire des pouvoirs prend sa place. Ces pouvoirs s'inscrivent dans une logique cohérente : ils découlent d'une position que la qualité technique a légitimement produite, et qui s'exerce depuis un siège social américain sur des nœuds répartis dans tous les États du monde, sous un cadre juridique qui est celui de Washington et pas celui des États où les nœuds tournent.
Révoquer le droit d'exécution. L'incident WireGuard l'a démontré début avril 2026. Microsoft peut, par application d'une politique administrative interne qui n'a pas à être justifiée individuellement, exclure de la chaîne de signature kernel des composants utilisés par des dizaines de millions de postes. La révocation a pris sa forme atténuée — gel de la capacité de patch plutôt que révocation rétroactive des signatures émises — mais la forme atténuée suffit à transformer en quelques mois un composant fonctionnel en composant non viable. Le mécanisme ne distingue pas la criticité des composants. Un mainteneur OSS individuel d'un outil de chiffrement de disque utilisé par les journalistes du monde entier passe dans le même filtre administratif qu'un compte fantôme créé la semaine dernière. L'absence de différenciation est une propriété de la politique de conformité, pas un dysfonctionnement de cette politique.
Modifier le code en mémoire des postes clients sans qualification locale. À partir du 11 mai 2026, Microsoft active par défaut le hotpatching via Windows Autopatch sur toutes les machines Windows 11 Enterprise ou Education gérées par Microsoft Intune ou Microsoft Graph²³. Le mécanisme modifie le code exécutable en mémoire des postes sans redémarrage, sans fenêtre de qualification locale préalable, et sans rollback automatique. La documentation Microsoft précise que la seule voie de récupération en cas de problème est la désinstallation manuelle suivie de la réinstallation de la mise à jour cumulative de base avec redémarrage²⁴. La checklist de préparation publiée par Microsoft mentionne explicitement la corruption mémoire parmi les scénarios à tester côté client. Le parallèle avec l'incident CrowdStrike de juillet 2024 n'est pas technique mais structurel : application automatique à l'échelle de millions de postes, au niveau kernel, sans qualification locale. La différence est que CrowdStrike avait un défaut dans un driver tiers, tandis que le hotpatch modifie le code du système d'exploitation lui-même.
Réserver l'observation kernel à son propre outil. Le Windows Resiliency Initiative, lancé par Microsoft en réponse à l'incident CrowdStrike et en private preview depuis juillet 2025 via le programme Microsoft Virus Initiative 3.0, vise à éjecter progressivement les EDR tiers du kernel Windows vers le user mode²⁵. Pavel Yosifovich, expert reconnu de l'architecture Windows cité par Cybersecurity Dive, qualifie de quasi impossible le fonctionnement entièrement hors du kernel sans réingénierie significative ou dégradation des capacités des produits de sécurité. À horizon 2027-2028, si le mouvement se confirme, Defender sera le seul outil bénéficiant d'un accès kernel complet sur Windows 11, et donc le seul outil techniquement capable d'observer ce que le hotpatching modifie réellement en mémoire. Microsoft devient à la fois l'auteur des modifications du code et le seul observateur autorisé de ces modifications.
Cartographier nominativement les contributeurs critiques. La re-vérification IDV qui a éjecté WireGuard est l'instrument de constitution d'une base de données des développeurs autorisés à contribuer au Windows Hardware Program. Microsoft dispose désormais, pour chaque mainteneur significatif, de l'identité civile vérifiée par IDV tiers, croisée avec l'historique GitHub depuis 2008, croisée avec les patterns Copilot, croisée avec le graphe social professionnel. Aucune agence de renseignement traditionnelle n'a jamais eu, sur la population des développeurs critiques mondiaux, une base de connaissance comparable. Cette base est constituée par un acteur privé étranger, sans contrôle public, dans le cadre d'une politique officiellement justifiée par la sécurité.
Gouverner l'identité d'entreprise. Active Directory structure l'authentification de la quasi-totalité des grandes organisations occidentales depuis vingt-cinq ans. La sortie n'est pas une option à court terme pour la majorité des clients. La documentation Microsoft Road to the cloud²⁶ le reconnaît : pour les organisations qui ne peuvent pas migrer hors d'AD à cause de leurs applications legacy, la solution recommandée est de redéployer un AD chez Azure plutôt que de chercher une alternative. La dépendance ne meurt pas, elle monte dans le cloud du même fournisseur, et la rente de licence se transforme en rente de consommation Azure.
Séquestrer les clés cryptographiques. Sur Windows 11 en configuration par défaut, l'utilisateur grand public qui active Bitlocker via l'assistant initial enregistre automatiquement et silencieusement sa clé de récupération dans son compte Microsoft, hébergé sur Azure. Pour l'usage entreprise via Entra ID, les clés sont sauvegardées dans le tenant de l'organisation, géré par l'administrateur, mais l'infrastructure de stockage reste Azure. Dans les deux cas, la clé est techniquement accessible à Microsoft sous procédure légale américaine via le CLOUD Act. La couche de chiffrement censée protéger les données du client est une couche dont la gouvernance des secrets revient à l'opérateur de l'edge.
Capter la fonction de recherche en sécurité externe. Le 7 avril 2026, Anthropic annonce Project Glasswing²⁷, un consortium fermé d'une quarantaine d'organisations — Microsoft, Amazon, Apple, Google, Cisco, CrowdStrike, Palo Alto Networks, NVIDIA, JPMorgan Chase, Linux Foundation entre autres — qui accèdent en exclusivité à Claude Mythos Preview, un modèle de découverte de vulnérabilités qui a déjà identifié des milliers de failles inédites dans tous les systèmes d'exploitation majeurs, dont un bug vieux de 27 ans dans OpenBSD. Microsoft distribue le modèle à ses clients Azure du consortium via Microsoft Foundry²⁸. La fonction de découverte de vulnérabilités, historiquement portée par une communauté globale de chercheurs externes indépendants, migre vers un cercle fermé de fournisseurs dominants qui se partagent l'accès à l'outil. Ce mouvement réduit la dépendance de l'industrie à cette communauté, ce qui justifie économiquement la fermeture progressive de Partner Center via le filtre IDV. Il produit un narratif d'IA défensive efficace qui évite aux clients de questionner la fragilité du modèle défensif dominant face à l'offensive assistée par IA. Et il verrouille l'environnement de sécurité autour des quelques acteurs qui peuvent payer l'accès au modèle, en rendant fondamentalement plus difficile l'émergence d'alternatives portées par des acteurs en dehors du consortium²⁹.
Absorber les éditeurs de sécurité prétendument indépendants. Les éditeurs nationaux qui produisent les outils agréés au plus haut niveau dans les différents pays européens — Ercom (groupe Thales), TheGreenBow et Prim'X en France pour le VPN souverain et le chiffrement de poste, HarfangLab pour l'EDR qualifié ANSSI³⁰, leurs équivalents allemands, néerlandais, italiens et finlandais — fonctionnent quasi exclusivement sur Windows parce que c'est là que se trouvent leurs clients. Leur portage Linux est inexistant ou marginal, et n'est pas qualifié au même niveau d'assurance. La pluralité apparente de l'offre Windows en sécurité endpoint, qui voit des éditeurs européens crédibles coexister avec Defender et avec les acteurs américains comme CrowdStrike ou SentinelOne, ne contredit pas la captation : elle se déploie à l'intérieur de la captation. Tous ces éditeurs dépendent de Partner Center pour la signature de leurs drivers kernel, de la compatibilité Secure Boot pour leur exécution, et de l'API Windows Defender Application Guard pour leur intégration. L'autonomie nationale en sécurité endpoint, telle qu'elle existe dans les marchés publics européens, est une couche fine de produits nationaux déposée sur une infrastructure intégralement Microsoft, dont elle dépend pour son exécution kernel via Partner Center, pour son identité via AD, et pour son cycle de mise à jour via Windows Update.
Désactiver les concurrents à la racine. Et il y a la clause 14.c du CLUF Windows 11, qui autorise contractuellement Microsoft à désactiver ou retirer les logiciels antimalware concurrents quand il juge que la protection existante est expirée. Ce qu'aucun régulateur antitrust européen n'a jamais formellement examiné comme tel.
Le fil conducteur de ces neuf pouvoirs est unique. Microsoft remplace progressivement les mécanismes de contrôle vérifiables par des mécanismes de confiance déclarative, et supprime en parallèle les outils qui permettraient à des tiers indépendants de vérifier cette confiance. Ce qui s'est passé au niveau juridique avec la substitution du mot confiance au mot garantie par Brad Smith le 5 mars 2026, se passe au niveau technique avec la substitution progressive des observateurs indépendants par un observateur unique qui est aussi l'auteur des modifications.
À ces neuf pouvoirs s'ajoute une dixième propriété intrinsèque : l'absence de contre-pouvoir politique. Le sénateur Wyden a demandé en septembre 2025 une enquête FTC contre Microsoft pour négligence cybersécurité grave après l'attaque Ascension³¹. Sa formule décrit Microsoft comme un pyromane qui vendrait des services anti-incendie à ses victimes. Le rapport CSRB de mars 2024 avait demandé une refonte complète de la culture de sécurité de l'éditeur et a déclenché en réponse le mémo Nadella et l'indexation salariale mentionnés plus haut, sans démonstration publique d'un changement de trajectoire opérationnel sur les défaillances de fond. Les sénateurs Schmitt et Wyden ensemble ont écrit en mai 2024 au Department of Defense pour s'opposer à l'extension de la dépendance via les licences E5, en utilisant explicitement le terme de monoculture³². Le DoD a continué dans la trajectoire qu'ils contestaient. Bruce Schneier a publié le 9 avril 2026 un commentaire sur une enquête ProPublica révélant que les évaluateurs FedRAMP eux-mêmes ont conclu en 2024 à un lack of confidence in assessing the system's overall security posture sur GCC High, le service cloud destiné aux données les plus sensibles du gouvernement américain³³. Le système a été approuvé malgré ce verdict, assorti d'un avertissement aux agences fédérales, dans un mouvement que ProPublica décrit comme hautement inhabituel. Le pouvoir politique américain, qui est en théorie le seul capable d'imposer une régulation à un acteur américain, a démontré qu'il ne le fait pas et ne le fera probablement pas. Et les pouvoirs européens, qui n'ont même pas commencé à formuler le diagnostic dans ces termes, sont encore plus loin de l'action. Quelques annonces récentes laissent pourtant entendre l'inverse, et méritent d'être examinées pour ce qu'elles couvrent et pour ce qu'elles laissent intact.
Les annonces nationales
Plusieurs États et grandes organisations ont annoncé ces dernières années leur intention de réduire leur dépendance à Microsoft. Munich a tenté la migration entre 2003 et 2017, avant un retour partiel négocié. Le Land de Schleswig-Holstein a annoncé en 2024 sa migration vers LibreOffice et Linux, avec une feuille de route pluriannuelle. La France a connu plusieurs débats récents autour des marchés publics éducation et des contrats Microsoft 365.
Le 8 avril 2026, la France annonce officiellement sa sortie de Windows au cours d'un séminaire interministériel³⁴. Le même jour, à huit mille kilomètres, Microsoft suspend les comptes Partner Center des mainteneurs d'outils de sécurité que les administrations qui voudraient sortir utiliseraient pour protéger leurs postes Linux. Les deux événements n'ont pas été coordonnés. Leur coïncidence calendaire est un accident. Mais cet accident rend visible une mécanique de fond : l'annonce politique de sortie et la fermeture technique du canal de sortie se déroulent dans le même intervalle de temps, sans que les acteurs de l'annonce politique ne mentionnent la fermeture technique, ni que les acteurs de la fermeture technique ne remarquent l'annonce politique.
L'orientation annoncée par la DINUM vise la sortie de Windows pour les postes de l'administration et la migration vers Linux, ce qui touche à la fois l'OS et la couche bureautique. Les feuilles de route ministérielles sont attendues à l'automne. La DINUM elle-même migrera ses 200 à 250 postes internes. La Caisse nationale d'Assurance maladie a annoncé peu avant la migration de ses 80 000 agents vers Tchap, Visio et FranceTransfert. La plateforme nationale des données de santé doit basculer vers une infrastructure de confiance européenne d'ici fin 2026. L'ANSSI, qui édite le référentiel SecNumCloud définissant ce qu'est un service cloud de confiance en France, n'a jamais qualifié Windows 11 selon ce référentiel, parce que Windows 11 n'est formellement pas un service cloud.
Cette intention rencontrera, dès sa descente dans l'exécution, l'ensemble des contraintes que cet article a décrites. Les Active Directory ministériels — il en existe plusieurs, sans annuaire interministériel unifié — continueront de tourner, parce qu'il n'existe pas d'alternative qualifiée pour leur fonction et parce que les applications métiers en dépendent. Les outils de chiffrement agréés Diffusion Restreinte resteront sur Windows, parce qu'aucun équivalent n'existe à effort équivalent. La signature kernel des composants critiques continuera de passer par Partner Center, parce que c'est techniquement la seule chaîne de confiance reconnue par Secure Boot.
Le cas de l'EDR illustre directement ce que la migration ne peut pas reproduire. Sur Windows, l'offre est plurielle, et la dépendance Microsoft sur le marché EDR Windows ne porte pas sur le choix du produit, qui est large, mais sur l'infrastructure d'exécution dont tous ces produits dépendent — point traité plus haut dans l'inventaire des pouvoirs. Le verrou spécifique au scénario de migration est ailleurs : il est dans l'absence d'équivalents qualifiés sur Linux à un niveau opérationnel comparable. Une migration de poste vers Linux suppose un EDR Linux qualifié, intégré dans une chaîne de gestion qui n'a pas la maturité de Windows. L'offre existe sur Linux, mais la diversité, la profondeur d'intégration et le nombre de déploiements de référence restent en deçà de ce que l'environnement Windows offre.
Les choix qui découleront de ces contraintes seront moins des compromis que des renoncements. Le périmètre effectif de chaque migration sera défini non pas par l'ambition initiale, mais par ce que les contraintes opérationnelles permettront. Et la part de la stack qui restera dans l'edge cloud Microsoft — la couche d'identité, la couche de chiffrement agréé, la couche de signature kernel, la couche de séquestre des clés, la couche de défense, la couche de cartographie des contributeurs — est précisément celle sur laquelle s'exercent les neuf pouvoirs décrits plus haut, et donc précisément celle qui structure la dépendance réelle. La migration des couches visibles, qui est la part qui sera effectivement exécutée, est aussi celle qui pèse le moins dans l'équation.
Ce constat décrit ce que la décision politique ne peut pas faire à elle seule, sans la critiquer. Et c'est précisément parce qu'elle ne peut pas tout faire qu'elle aurait dû être accompagnée d'une qualification publique de ce qui restait dans le périmètre Microsoft, et d'une réflexion sur ce que cette part résiduelle implique en termes de maîtrise réelle. Cette qualification n'a eu lieu nulle part. Les annonces traitent la maîtrise des dépendances comme si elle se jouait dans la couche bureautique, alors qu'elle se joue ailleurs. Personne, dans aucun État, n'a publiquement nommé l'ailleurs.
Ce que je ne sais pas
La qualification edge cloud que cet article propose pour Windows 11 est un acte de proposition vocabulaire, pas un constat empirique vérifiable. Je raisonne en appliquant à l'objet une définition opérationnelle issue de la littérature ETSI MEC, Gartner et des whitepapers Azure Stack et AWS Outposts. La logique tient à mes yeux. Je ne sais pas si la communauté technique reprendra le mot, ni dans quel délai, ni avec quelle pression politique. Une proposition de qualification vit ou meurt par sa reprise dans le débat public, et cette reprise ne se commande pas.
La projection sur le Windows Resiliency Initiative à horizon 2027-2028 est une hypothèse. Je dis que Defender pourrait être le seul outil avec accès kernel complet à cette échéance si le mouvement engagé se confirme. Microsoft elle-même qualifie la transition de travail massif qui pourrait prendre des années. ESET parle d'un scénario plus probable de monde hybride où certains composants de sécurité tiers conserveraient un accès kernel et où d'autres basculeraient en user mode. Je peux me tromper sur la trajectoire, sur le rythme, et sur le périmètre final. Si le mouvement est moins poussé que ce que j'anticipe, l'argument du couplage hotpatching plus Resiliency Initiative perd une partie de sa force démonstrative, sans pour autant invalider le pouvoir de modification en mémoire qui, lui, est déjà en production au 11 mai 2026.
Le calcul du facteur cinq ordres de grandeur entre Windows 11 et les autres edge clouds reconnus a un biais méthodologique. Je compare un parc déployé à très grande échelle à des produits encore en phase de pénétration de marché. AWS Outposts, Azure Stack Edge, Google Distributed Cloud et les déploiements MEC télécom européens pourraient connaître dans dix ans des volumes très différents de ceux d'aujourd'hui. La domination quantitative actuelle de Windows 11 sur la catégorie edge cloud est un état présent, pas une propriété intrinsèque qui se prolongerait mécaniquement. Cette comparaison reste valide pour décrire la situation au moment de la publication, et c'est ce qu'elle prétend faire. Elle ne dit rien sur la trajectoire à horizon dix ans, et il serait erroné de la lire ainsi.
Une question, pas une solution
Cet article ne propose pas de sortie. Il n'en propose pas parce qu'il n'en existe pas à court terme dont le coût opérationnel soit politiquement supportable, et parce qu'une fausse sortie serait plus dangereuse qu'aucune sortie. La supériorité technique de l'environnement Microsoft est réelle, sa captation par un acteur privé étranger unique est réelle, et les deux sont liées par construction. On ne peut pas avoir la première sans la seconde dans le modèle économique qui a produit l'une et l'autre. Un système d'exploitation d'entreprise de la qualité de Windows n'a jamais été produit par un modèle décentralisé. Il n'y a pas de raison de fond de penser qu'il pourrait l'être à brève échéance.
Le pire scénario à court terme n'est pas qu'un État ou une grande organisation migre mal hors de Microsoft. Le pire scénario est que les acteurs concernés continuent à formuler leur maîtrise des dépendances numériques dans des catégories qui ne décrivent plus la réalité de ces dépendances, qu'ils investissent dans des migrations qui ne touchent pas le cœur du problème, et que pendant ce temps le cœur du problème continue de se durcir. Les annonces portent sur cinq pour cent de la stack et laissent intacts les quatre-vingt-quinze pour cent qui structurent la dépendance.
La qualification d'un objet est le préalable à toute action sur lui. Tant qu'on n'a pas le mot pour le décrire, aucune politique ne peut s'exercer. Windows 11 est devenu un edge cloud opéré par un fournisseur unique sur près d'un milliard de nœuds dans le monde, dont une fraction substantielle structure le fonctionnement quotidien d'États et de grandes organisations sur tous les continents. Cette qualification n'a pas de cadre juridique pour être traitée, pas de doctrine nationale pour être nommée, pas de référentiel international pour être incluse, pas de débat public pour être contesté. Elle existe seulement dans la réalité opérationnelle, où elle produit ses effets en silence.
Une politique de maîtrise des dépendances numériques qui n'a pas de mot pour décrire l'objet sur lequel elle prétend s'exercer reste une politique d'affichage. Et l'absence de qualification a un coût mesurable pour les États et les grandes organisations qui se disent maîtres de leurs choix : elle laisse un acteur privé étranger accumuler sur leur territoire des pouvoirs qu'aucun cadre public ne nomme. La formulation de ces pouvoirs, dans un vocabulaire qui les rend visibles, est le préalable que personne n'a encore voulu poser. C'est ce qui rend le travail urgent.
Références
¹ Donenfeld, J. (8 avril 2026). Post sur X confirmé par TechCrunch. Whittaker, Z., « WireGuard VPN developer can't ship software updates after Microsoft locks account », TechCrunch, 8 avril 2026. https://techcrunch.com/2026/04/08/wireguard-vpn-developer-cant-ship-software-updates-after-microsoft-locks-account/
² Idrassi, M. Post SourceForge VeraCrypt cité par Whittaker, Z., « Developer of VeraCrypt encryption software says Windows users may face boot-up issues after Microsoft locked his account », TechCrunch, 8 avril 2026. https://techcrunch.com/2026/04/08/veracrypt-encryption-software-windows-microsoft-lock-boot-issues/
³ CyberInsider, « Microsoft suspends VeraCrypt and WireGuard signing accounts, blocking Windows updates », 9 avril 2026 — confirme l'expiration des certificats existants à fin juin 2026 et l'impact sur les systèmes Secure Boot. https://cyberinsider.com/microsoft-suspends-veracrypt-and-wireguard-signing-accounts-blocking-windows-updates/
⁴ ETSI MEC ISG, Multi-access Edge Computing (MEC) — Framework and Reference Architecture, ETSI GS MEC 003. Spécifications publiques de référence sur la définition technique d'un nœud edge cloud. https://www.etsi.org/technologies/multi-access-edge-computing
⁵ StatCounter Global Stats, « Desktop Windows Version Market Share Worldwide », février 2026 : Windows 11 à 72,78 %, Windows 10 à 26,27 %. https://gs.statcounter.com/windows-version-market-share/desktop/worldwide
⁶ Microsoft, déclaration publique début 2026, citée par The Register (Speed, R., « Windows 11 tops market share as 10 faces extended farewell », 2 mars 2026) et Windows Central. Annonce du dépassement du milliard d'utilisateurs Windows 11 actifs. https://www.theregister.com/2026/03/02/windows_11_market_share/
⁷ Windows Latest, « Microsoft confirms Windows 11 requires a Microsoft account, internet in OOBE », 7 octobre 2025. Confirmation que les méthodes de bypass (oobe\bypassnro, ms-cxh:localonly) ont été retirées dans Windows 11 25H2. Justification officielle Microsoft : « device is not fully configured for use » sans compte Microsoft. Bitlocker s'active automatiquement sur Windows 11 Home avec sauvegarde de clé dans le compte Microsoft. https://www.windowslatest.com/2025/10/07/microsoft-confirms-windows-11-to-require-microsoft-account-internet-during-oobe-tested/
⁸ Microsoft, Microsoft Software License Terms — Windows Operating System — OEM (pre-installed), version d'avril 2024. Sections 2.a (licence non vente), 5 (réparation automatique du logiciel altéré), 6 (mises à jour automatiques sans notification), 14.c (désactivation des antimalwares concurrents). https://www.microsoft.com/content/dam/microsoft/usetm/documents/windows/11/oem-(pre-installed)/UseTerms_OEM_Windows_11_English.pdf
⁹ Microsoft, Microsoft Software License Terms — Windows Server 2025 Datacenter and Standard — OEM, 1er avril 2025. Modèle de licence par cœur (minimum 16 cœurs/serveur), Client Access License obligatoire, couplage Azure Arc pour hotpatching et pay-as-you-go, mises à jour automatiques imposées. Windows Server 2025 Licensing Guidance, Microsoft Commercial Licensing. https://www.microsoft.com/content/dam/microsoft/usetm/documents/windows-server/2025-datacenter-and-standard/oem/UseTerms_OEM_WindowsServer2025_DatacenterAndStandard_English.pdf https://www.microsoft.com/licensing/guidance/Windows-Server-2025
¹⁰ Sénat, commission d'enquête sur les coûts et les modalités effectifs de la commande publique, compte rendu de l'audition de Microsoft France, mardi 10 juin 2025. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, et Pierre Lagarde, directeur technique secteur public, ont été auditionnés sous serment. Interrogé par le président Simon Uzenat sur la possibilité de garantir que les données des citoyens français ne seraient jamais transmises au gouvernement américain sans l'accord des autorités françaises, Carniaux a répondu : Non, je ne peux pas le garantir, mais cela ne s'est encore jamais produit. Déclaration confirmée par plusieurs sources de presse. https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html https://videos.senat.fr/video.5460497_6847c70b82594.commande-publique--audition-de-microsoft https://www.cio-online.com/actualites/lire-achats-publics-it-les-senateurs-appellent-l-etat-a-changer-de-logiciel-16460.html https://www.actuia.com/actualite/donnees-sensibles-et-cloud-act-microsoft-france-admet-ne-pas-pouvoir-sopposer-a-une-injonction-americaine/
¹¹ Baba Aissa, A., « Une réponse stupide à une question stupide : le patron de Microsoft balaie les craintes françaises sur l'accès américain à nos données », Numerama, 5 mars 2026. Interview de Brad Smith, président et vice-chairman de Microsoft, à Seattle. Smith qualifie publiquement la question parlementaire française posée par la commission d'enquête sénatoriale sur la commande publique de « réponse stupide à une question stupide » et substitue le mot « confiance » au mot « garantie » en déclarant être « confiant dans le fait que Microsoft peut protéger les données des citoyens français ». Le désaveu intervient neuf mois après la déposition sous serment d'Anton Carniaux (voir référence 10) qui avait reconnu ne pouvoir rien garantir. https://www.numerama.com/cyberguerre/2196299-une-reponse-stupide-a-une-question-stupide-le-patron-de-microsoft-balaie-les-craintes-francaises-sur-lacces-americain-a-nos-donnees.html
¹² Datenschutzbeauftragter Baden-Württemberg (DSB), Pilot Nutzung MS an Schulen: Empfehlungen des LfDI, avril 2021. Analyse technique détaillée de Microsoft 365 dans les écoles du Land de Bade-Wurtemberg. https://media.frag-den-staat.de/files/foi/626585/2021-04-23_Empfehlung_LfDI.pdf
¹³ noyb (European Center for Digital Rights), plainte contre Microsoft 365 Education, juin 2024. Plainte pour violation du RGPD dans l'usage scolaire de Microsoft 365, référençant notamment l'analyse DSB Bade-Wurtemberg. https://noyb.eu/sites/default/files/2024-06/Microsoft%20Complaint%201%20EN_redacted_0.pdf
¹⁴ Autorité européenne de protection des données (EDPS), décision du 8 mars 2024 (communiqué du 11 mars 2024). Constat de violation du règlement UE 2018/1725 par la Commission européenne dans l'utilisation de Microsoft 365, notamment en raison de transferts de données hors de l'Union européenne sans garanties adéquates. La décision reste valide comme constat de violation pour la période 2021-2024. La Commission européenne a formé un recours devant le Tribunal de l'Union européenne (affaires T-262/24 et T-265/24, en cours). L'EDPS a clos la procédure d'exécution en juillet 2025 après mise en conformité. Aucune analyse équivalente n'existe à ce jour sur Windows 11 OEM, précisément parce que la fiction contractuelle de la licence logicielle maintient le produit hors du périmètre régulatoire cloud. https://www.edps.europa.eu/data-protection/our-work/publications/investigations/2024-03-08-edps-investigation-european-commissions-use-microsoft-365_en
¹⁵ Apple Inc., Software License Agreement for macOS Tahoe 26, juillet 2025. Sections 1.A (logiciel concédé sous licence et non vendu), 2.J (restrictions d'usage et de redistribution), 2.N (interdiction de reverse engineering), 2.Q (mises à jour automatiques avec consentement par l'usage), 5 (collecte de données), 6.B (services iCloud opt-in). Le SLA contient les clauses qui s'apparentent à un edge cloud mais ne contient pas de mécanisme équivalent à Partner Center pour les drivers kernel tiers, pas de clause équivalente à 14.c du CLUF Windows 11, et pas de couplage contractuel type Azure Arc. Apple a supprimé les kernel extensions tierces depuis macOS Big Sur (2020) au profit des System Extensions en user-space. https://www.apple.com/legal/sla/docs/macOSTahoe.pdf
¹⁶ Wikipedia FR, GendBuntu, consulté en avril 2026. 103 000 postes en 2025, soit 97 % du parc, répartis sur environ 4 300 sites incluant les territoires d'outre-mer. Migration progressive entamée en 2004 par la bureautique (LibreOffice ex-OpenOffice.org sur 90 000 postes en 2004-2005, Firefox et Thunderbird en 2006), bascule du système d'exploitation lancée en 2008 après l'évaluation négative de Vista. Économies estimées à 2 millions d'euros par an sur les seules licences d'OS. Sources primaires Gendarmerie nationale, reprise par Connect LP-125 (revue interne, 2021) et CIO-Online (janvier 2008). https://fr.wikipedia.org/wiki/GendBuntu
¹⁷ Wyden, R. (10 septembre 2025). Lettre à Andrew N. Ferguson, FTC Chair, sur les pratiques de sécurité Microsoft. Documentation détaillée de l'attaque ransomware contre Ascension Health (mai 2024) : entrée par recherche Bing d'un sous-traitant, exploitation de Kerberoasting via RC4 par défaut, ransomware sur des milliers de machines, 5,6 millions de patients exposés. https://www.wyden.senate.gov/imo/media/doc/wyden_letter_to_ftc_on_microsoft_kerberoasting_ransomwarepdf.pdf
¹⁸ Tesch, L. (6 mars 2025). « Active Directory is 25 Years Old. Do You Still Manage It Like It's 1999? », Microsoft Community Hub — Core Infrastructure and Security Blog. Auteure : Cloud Solutions Architect, Microsoft Incident Response Critical Action Team (MIRCAT). https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-is-25-years-old-do-you-still-manage-it-like-its-1999/4390114
¹⁹ Cyber Safety Review Board, Review of the Summer 2023 Microsoft Exchange Online Intrusion, U.S. Department of Homeland Security, 20 mars 2024 (publication 2 avril 2024). Conclusions : la culture de sécurité Microsoft est inadéquate et exige une refonte ; la compromission Storm-0558 a réussi par une cascade de défaillances de sécurité chez Microsoft. https://www.cisa.gov/sites/default/files/2025-03/CSRBReviewOfTheSummer2023MEOIntrusion508.pdf
²⁰ Nadella, S. (3 mai 2024). Mémo interne à 200 000 employés Microsoft, obtenu par The Verge et Bloomberg. « If you're faced with the tradeoff between security and another priority, your answer is clear: Do security. » Posant la sécurité comme priorité absolue, devant les fonctionnalités et le support des systèmes legacy. Indexation d'une partie de la rémunération des dirigeants sur les objectifs sécurité. Réduction volontaire du bonus 2024 de Nadella de 10,66 à 5,2 millions de dollars (filing SEC octobre 2024). https://blogs.microsoft.com/blog/2024/05/03/prioritizing-security-above-all-else/ https://www.cybersecuritydive.com/news/microsoft-ceo-nadella-cut-pay-security/731070/
²¹ Speed, R., « Munich council finds €49.3m for Windows 10 embrace », The Register, 24 novembre 2017. Vote du conseil municipal de Munich (50 contre 25) pour la migration de tous les postes Linux restants vers Windows 10 en 2020, dans le cadre d'une refonte IT globale de 89 millions d'euros, dont 49,3 millions pour la migration technique et 9 millions de licences sur six ans. https://www.theregister.com/2017/11/24/munich_will_spend_about_50_million_euros_on_windows_migration/
²² Wikipedia EN, LiMux, consulté en avril 2026, et Slashdot/ZDNet, « Munich Says It's Now Shifting Back From Microsoft to Open Source Software — Again », mai 2020. Coûts consolidés de la migration de retour vers Microsoft estimés entre 86,1 millions d'euros (chiffre ZDNet) et environ 100 millions une fois les coûts d'intégration applicative inclus, sur une durée d'exécution effective de cinq à sept ans plutôt que les deux ou trois années initialement annoncées. https://en.wikipedia.org/wiki/LiMux https://linux.slashdot.org/story/20/05/23/238252/munich-says-its-now-shifting-back-from-microsoft-to-open-source-software----again
²³ Microsoft Windows IT Pro Blog, « Securing devices faster with hotpatch updates on by default », 9 mars 2026. Annonce officielle de l'activation par défaut du hotpatching via Windows Autopatch à partir du 11 mai 2026, pour toutes les machines Windows 11 Enterprise ou Education éligibles gérées via Microsoft Intune ou Windows Updates API (Microsoft Graph). Opt-out tenant disponible à partir du 1er avril 2026. Couverture reprise par BleepingComputer, The Register, Help Net Security, Neowin, 4sysops, Petri et Windows News. https://techcommunity.microsoft.com/blog/windows-itpro-blog/securing-devices-faster-with-hotpatch-updates-on-by-default/4500066 https://www.bleepingcomputer.com/news/microsoft/microsoft-to-enable-hotpatch-security-updates-by-default-in-may/ https://www.theregister.com/2026/03/11/microsoft_hotpatching/
²⁴ Microsoft Learn, documentation officielle « Hotpatch updates | Manage Windows Autopatch », consultée en avril 2026. Documentation technique du mécanisme hotpatching : modification du code exécutable en mémoire sans redémarrage, absence de rollback automatique (« Automatic rollback of a hotpatch update is not supported »). En cas de problème, la voie de récupération imposée est la désinstallation manuelle suivie de la réinstallation de la mise à jour cumulative de base avec redémarrage. Les prérequis imposent VBS activée, Windows 11 24H2 ou ultérieur, Enrollment dans Windows Autopatch avec Quality update policy Intune, et licence eligible (Enterprise E3/E5, Education A3/A5). https://learn.microsoft.com/en-us/windows/deployment/windows-autopatch/manage/windows-autopatch-hotpatch-updates
²⁵ Miller, D., « How Microsoft, partners are tackling 'huge, huge task' of making security software safer », Cybersecurity Dive, 2 mars 2026. État du Windows Resiliency Initiative lancé par Microsoft en réponse à l'incident CrowdStrike de juillet 2024, et du programme Microsoft Virus Initiative 3.0 qui le coordonne. Private preview ouverte en juillet 2025 à une douzaine d'éditeurs (Bitdefender, CrowdStrike, ESET, SentinelOne, Sophos, Trellix, Trend Micro, WithSecure). Objectif déclaré : faire fonctionner les EDR tiers en user mode plutôt qu'en kernel mode. Citation de Pavel Yosifovich, expert de l'architecture Windows : fonctionnement entièrement hors kernel « quasi impossible sans réingénierie significative ou dégradation des capacités des produits de sécurité ». Citation de Tony Anscombe (ESET) : chaque jour est une courbe d'apprentissage. https://www.cybersecuritydive.com/news/microsoft-windows-resilience-initiative-security-kernel/813416/
²⁶ Microsoft Learn, Road to the cloud — Migrate from Active Directory, documentation officielle Microsoft Entra. Pour les organisations qui ne peuvent pas migrer hors d'AD à cause des applications legacy, la documentation recommande le redéploiement d'AD dans Azure plutôt que la sortie effective. https://learn.microsoft.com/en-us/entra/architecture/road-to-the-cloud-migrate
²⁷ Anthropic, « Project Glasswing: Securing critical software for the AI era », 7 avril 2026. Consortium fermé d'environ 40 organisations réunissant Amazon, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks. Accès exclusif à Claude Mythos Preview pour la découverte de vulnérabilités. Anthropic a engagé 100 millions de dollars de crédits d'usage sur le programme. Le modèle a identifié des milliers de failles inédites, dont un bug vieux de 27 ans dans OpenBSD, une vulnérabilité de 16 ans dans FFmpeg, et plusieurs chaînes d'exploitation dans le noyau Linux. https://www.anthropic.com/project/glasswing https://cyberscoop.com/project-glasswing-anthropic-ai-open-source-software-vulnerabilities/
²⁸ Microsoft Security Response Center, « Strengthening secure software at global scale: How MSRC is evolving with AI », 7 avril 2026. Annonce de la distribution de Claude Mythos Preview aux clients Azure participant à Project Glasswing via Microsoft Foundry. Positionne Microsoft comme participant au consortium Anthropic et comme canal de distribution du modèle à ses clients cloud. https://www.microsoft.com/en-us/msrc/blog/2026/04/strengthening-secure-software-global-scale-how-msrc-is-evolving-with-ai
²⁹ Voir « L'IA ou l'effondrement du modèle défensif occidental » et « Now You See Me », deux articles publiés sur klaerenn.fr, respectivement sur l'écart entre productivité offensive et défensive face à l'IA générative, et sur la stagnation des frameworks de détection. https://www.klaerenn.fr/
³⁰ HarfangLab, communiqué de janvier 2025. Premier et seul EDR à recevoir une qualification de l'ANSSI (16 janvier 2025), après une certification CSPN obtenue en 2020 et étendue en 2024. Certification BSZ du BSI allemand obtenue fin 2025. Support Windows, Linux et macOS. https://harfanglab.io/fr/press/harfanglab-premier-edr-a-recevoir-une-qualification-de-lanssi/ https://cyber.gouv.fr/produits-services-qualifies/harfanglab-edr
³¹ Wyden, R. (10 septembre 2025). Voir référence 17. Citation directe : Microsoft décrit comme « an arsonist selling firefighting services to their victims ». Reportage : Johnson, D., « Wyden calls on FTC to investigate Microsoft for 'gross cybersecurity negligence' », CyberScoop, 10 septembre 2025. https://cyberscoop.com/ron-wyden-ftc-microsoft-default-security-flaws-rc4-kerberoasting-ascension-ransomware/
³² Schmitt, E. & Wyden, R. (mai 2024). Lettre conjointe au Department of Defense sur l'extension des licences Microsoft E5 et la concentration de marché. Le terme « monoculture » est utilisé explicitement dans un cadre bipartisan. https://www.schmitt.senate.gov/media/press-releases/
³³ Schneier, B., « On Microsoft's Lousy Cloud Security », Schneier on Security, 9 avril 2026, reprenant une enquête ProPublica publiée la veille via Ars Technica. Documents internes FedRAMP montrant que les évaluateurs fédéraux ont conclu fin 2024 à une impossibilité d'évaluer la posture de sécurité de Microsoft Government Community Cloud High, par manque de documentation détaillée fournie par Microsoft sur le chiffrement des données en transit entre serveurs. L'autorisation FedRAMP a néanmoins été délivrée, assortie d'une notice d'avertissement aux agences fédérales, dans un mouvement décrit par ProPublica comme hautement inhabituel. https://www.schneier.com/blog/archives/2026/04/on-microsofts-lousy-cloud-security.html https://arstechnica.com/information-technology/2026/03/federal-cyber-experts-called-microsofts-cloud-a-pile-of-shit-approved-it-anyway/
³⁴ DINUM, communiqué officiel, « Souveraineté numérique : l'État accélère la réduction de ses dépendances extra-européennes », 8 avril 2026. Séminaire interministériel co-organisé avec DGE, ANSSI et DAE. Annonce de la sortie de Windows pour les postes DINUM, calendrier de feuilles de route ministérielles à l'automne 2026. https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes/
