Le piratage, qui date de la fin mai, a été révélé la semaine dernière par le site Watson.ch, avant que le Temps n'en dévoile l'étendue. Il s'agit d'une cyberattaque de type «ransomware», avec des malfrats qui volent des données et demandent une rançon. La commune de Rolle n'a pas cédé, mais les informations subtilisées ont fini sur le darkweb, la partie «cachée» du web.
«La Municipalité regrette d'avoir sous-estimé la gravité de l’attaque, le potentiel de l'utilisation des données et l'importance de la transparence vis-à-vis de la population rolloise», admet la syndique de Rolle Monique Pugnale, citée dans un communiqué diffusé mercredi soir au nom de la Municipalité. Elle reconnaît aussi «une certaine naïveté face aux enjeux représentés par le darkweb et la gestion d'actes malicieux de piratage.»
L'attaque s'est produite dans la nuit du 29 au 30 mai. Un nombre «limité» des données de la commune a été exfiltré par les cyberpirates, «correspondant à moins de 1% du volume total selon les informations reçues», poursuit le communiqué. Il ajoute que la cellule de la Confédération en cas d'urgence informatique (GovCERT), la police vaudoise et une société spécialisée ont été immédiatement informées. Les systèmes informatiques ont été sécurisés en deux semaines et une plainte pénale contre X a été déposée le 14 juin.
A ce moment-là, la commune explique qu'elle n'a pas averti la population «en l'absence d'informations précises et afin de ne pas accroître sa vulnérabilité.» Elle dit aussi s'être basée sur l'avis d'experts en cybersécurité.
Les autorités ont ensuite appris fin juin que des documents volés avaient été repérés sur le darkweb. La commune estime alors avoir été «livrée à elle-même devant l'inconnu.» Et que, «sans cadre d'action ni d'alerte forte et explicite», elle n'a entrepris aucune action urgente. Le personnel de l'administration concerné par le piratage a été averti début juillet.
Ce sont essentiellement des e-mails et des «documents non identifiés» qui ont atterri sur le darkweb, assure la Municipalité. Selon Le Temps, qui a été alerté par un spécialiste, des données relatives aux quelque 5500 habitants de la commune (nom, adresse, date de naissance, numéro AVS, etc), à des employés communaux et à certaines entreprises sont visibles.
Des notes d'élèves sont aussi accessibles, mais elles ne concernent pas ceux qui fréquentent l'école publique, a précisé mercredi sur Twitter Cesla Amaralle, la ministre vaudoise de l'éducation.
Après avoir fait amende honorable, la Municipalité rolloise souhaite désormais ouvrir «une phase d'action fondée sur la communication et le soutien à nos citoyens.» Une taskforce a été mise en place, réunissant des experts informatiques et des représentants de la commune, du canton et de la Confédération. Une helpline ainsi que des séances d'information sont prévues pour la population. Des audits réguliers de cybersécurité seront également menés, tout comme des campagnes de prévention.