Pourquoi c’est inquiétant. Une situation qui plonge la Confédération dans l’embarras, puisque certaines informations concernent des Etats étrangers. Ce qui pourrait porter atteinte à la réputation d’excellence de la Suisse en matière de secret diplomatique.
La Suisse est à nu et même si, depuis la cyberattaque de l’entreprise Xplain avec laquelle travaille la plupart des services de sécurité helvétiques, on s’attendait à une opération de déstabilisation, la véritable ampleur des fuites semblent prendre de cours la Berne fédérale.
Un expert de la cybersécurité contacté par Heidi.news, qui préfère garder l’anonymat, s’étonne: «C’est quand même surprenant que de telles données puissent se retrouver dans une infrastructure externe, de surcroît sans avoir été préalablement chiffrées.»
Les réactions. Pour le conseiller national Samuel Bendahan, contacté ce dimanche par Heidi.news, la situation est vraiment préoccupante. «De telles fuites pourraient donner lieu à des scandales d'Etat. En tout cas, elles sont de nature à susciter la méfiance.» L'élu socialiste s'interroge: peut-on encore avoir confiance dans la sécurité des données les plus sensibles de l'Etat, notamment les communications des conseillers fédéraux?
«Nous devons désormais obtenir des explications sur les raisons pour lesquelles de telles informations ont pu tomber dans les mains de ce prestataire, et pourquoi elles n'ont pas été chiffrées», relève Samuel Bendahan.
La presse alémanique se demande aussi de son côté si des têtes vont tomber, en particulier au sein de l’Office fédéral de la police (Fedpol), qui pourrait être mis en cause.
Pour la conseillère aux Etats Johanna Gapany, «c'est un exemple de plus qui met en lumière la fragilité du système». La médiatisation d'un cas particulier rend selon elle ces données d'autant plus vulnérables, «quand bien même ce phénomène doit être communiqué et surtout pas ignoré».
Pour l'élue fribourgeoise, il est important de mieux maîtriser la numérisation. Elle plaide en ce sens pour «remplacer la méfiance par la compétence», avec des mesures à prendre sur le plan national:
Meilleure gouvernance;
Formation de spécialistes;
Mise en place de systèmes séparés;
Sensibilisation aux risques pour les employés de la Confédération;
Collaboration avec des polices étrangères pour l'échanger d'informations ainsi que pour la sauvegarde des données.
Ce qu’il s’est passé. Le 28 juin 2023, le Conseil fédéral a mis sur pied un état-major de crise, auquel participent tous les départements, suite au piratage de l’entreprise bernoise Xplain, basée à Interlaken, qui s’est fait voler, ce printemps, une quantité importante de données.
Parallèlement, le Ministère public de la Confédération a ouvert une procédure pénale et le Préposé fédéral à la protection des données a lancé une enquête contre Fedpol et l’Office fédéral des douanes, soupçonnant «des indices de violations potentiellement graves des dispositions sur la protection des données».
Selon les premières informations du Sonntagsblick, non confirmées, Xplain aurait stocké des quantités importantes de données des Offices fédéraux, probablement illégalement et en partie de manière non cryptée. Le Département des finances de Karin Keller-Sutter a également lancé une procédure administrative, pour déterminer si les directives de sécurité, mises en œuvre par la Confédération, étaient suffisantes.
Le piratage de la société Xplain, ce printemps, s’est fait selon un schéma classique, selon Le Temps: paralysie des systèmes internes, vol de données, demande de rançon, puis, face au refus de Xplain de payer, mise en ligne des informations exfiltrées sur le dark web.
Ce qui a été volé. Officiellement, la Confédération parle de fichiers avec des millions de données, sans plus de précisions, mais les recherches des médias alémaniques démontrent que certaines sont hautement confidentielles. On retrouve ainsi sur le dark web les adresses des conseillères et conseillers fédéraux, ainsi que les résidences privées de certains cadres supérieurs des autorités de sécurité suisses placés sous protection.
Par ailleurs, les dispositifs de sécurité détaillés de Fedpol pour les hôtes d’Etat étrangers sont également concernés, notamment ceux à l’intention de corps diplomatiques de pays sensibles et stratégiques, notamment en raison de l’actualité (*)
A cela s’ajoutent les mesures de sécurité pour les magistrats et les hauts fonctionnaires de l’administration fédérale, ainsi que les dispositifs pour la sécurisation des bâtiments publics sensibles. Les «alertes rouges» d’Interpol, à l’adresse des autorités suisses, sont aussi tombées entre les mains des cybercriminels. Il s’agit d’alertes visant la localisation, l’arrestation et/ou l’extradition de grands criminels présumés. Enfin, les autorités enquêtent actuellement sur l'éventuel vol de données de connexion de certains systèmes informatiques d’offices fédéraux.
Quelle leçon tirer de cet événement? Christophe Gerber, directeur de l’entreprise Elca Security, explique:
«En premier lieu, j'ai beaucoup de respect pour cette situation, car cela peut arriver à n'importe quelle entreprise ou institution. Cette affaire démontre la dimension critique des fournisseurs de systèmes comme Xplain ou comme notre entreprise. Chez Elca, nous plaidons pour figurer parmi la liste des infrastructures critiques.»
En quoi le fait de figurer parmi les acteurs critiques pourrait s'avérer positif pour les fournisseurs de systèmes et leurs clients? Christophe Gerber mentionne trois éléments:
L'obligation d'annonce des cyberincidents. Même si le fait de communiquer de tels événements figure parmi les bonnes pratiques en matière de cybersécurité, les acteurs qui ne sont pas considérés comme critiques n'ont aucune obligation d'informer leurs clients et les autorités.
La possibilité pour les clients d'auditer les systèmes du fournisseur de systèmes, lequel doit donc s'efforcer de conserver un haut niveau de protection.
L'échange d'informations entre les acteurs critiques sur les menaces en cours, les méthodes employées par les cybercriminels, etc.
Le spécialiste évoque également l'importance de mettre en place des mesures de «défense en profondeur», pour permettre la détection des menaces dès la phase de reconnaissance et réagir de manière adéquate, notamment en cloisonnant les systèmes en cas de pénétration dans le réseau. Une telle protection nécessite un monitoring permanent, 24 heures sur 24 et 7 jours sur 7.
Et maintenant? Le scandale devient hautement politique et le Parlement s’en est déjà emparé. La Commission de gestion du Conseil national a invité, jeudi 29 juin 2023, la directrice de Fedpol, Nicoletta della Valle, fortement sous pression.
Avec ces questions: comment des documents fédéraux classés se sont-ils retrouvés dans une entreprise privée et non sur des serveurs sécurisés de l’administration fédérale? Y a-t-il eu incohérences dans la gestion des données sensibles? La NZZ am Sonntag évoque un courriel, entre Fedpol et Xplain, où l’on parle, entre autres, de dates de livraison non respectées, de mises en œuvre tardives et de chefs de projet changeants. La société Xplain et Fedpol ont également déposé des plaintes pénales.
La Suisse est considérée comme un partenaire fiable en matière diplomatique et de renseignement et Matthias Michel, président de la Commission de gestion de Conseil des Etats exige que les pays concernés soient informés de manière proactive, pour éviter des dégâts d’image pour la Confédération.
La pratique de l’externalisation des données au sein de l’administration fédérale va par ailleurs inévitablement ressurgir. En 2021, la décision de la Confédération de confier le stockage de ses données à des sociétés américaines et chinoise avait fait polémique, particulièrement en Suisse romande. Dans le cas présent, c’est une société basée à Interlaken qui a été piégée.
Le 28 juin, la ministre des Finances Karin Keller-Sutter qualifiait la fuite des données d'«inquiétante». Le mot est faible au vu de ce que l’on sait aujourd’hui. La Confédération aura en tout cas fort à faire en matière pour renforcer sa sécurité informatique, alors qu’elle s’apprête à accueillir un nouvel office fédéral dédié à la cybersécurité, qui sera rattaché au Département fédéral de la défense, de la protection de la population et des sports (DDPS), dirigé par la Centriste Viola Amherd.
(*) Cet article a été modifié lundi 3 juillet. Les noms des pays pour lesquels les dispositifs de sécurité ont été éventés ont été retirés du texte à la demande de Fedpol, pour des raisons de sécurité.