Quel est le comble absolu pour une entreprise de sécurité informatique? Se faire pirater! C'est malheureusement ce qui est arrivé à une boîte genevoise, prestataire en informatique. Ce dimanche en fin d'après-midi, presque 65'000 documents confidentiels datant de 2000 à 2022 sont apparus sur le darknet.
Banques, services de l'Etat, enquêtes judiciaires: 200 entités romandes se retrouvent lésées, selon les précisions apportées par le journal «Le Temps». Les documents confidentiels comportent la liste des clients des entreprises prestataires: la Chancellerie d'Etat de Genève, les HUG, l'aéroport de Genève, mais également des institutions vaudoises, des multinationales ainsi que des études d'avocats.
Manque de transparence de la part de l'entreprise
L'entreprise informatique a été contactée lundi par «Le Temps». Elle semblait découvrir le piratage. Plus tard dans la journée, le directeur a indiqué ne pas souhaiter s'exprimer sur le sujet. Il a précisé qu'il ne parlerait «qu'avec la police». Une affirmation appliquée avec un peu trop de rigueur puisqu'aucun client joint par le journal n'a été mis au courant de l'affaire.
Selon Silvia Böhlen, spécialiste en communication du préposé fédéral à la protection des données et à la transparence, «la loi sur la protection des données (LPD) ne formule pas de manière explicite une obligation d’informer les personnes concernées. Mais tout traitement de données doit être effectué conformément au principe de la bonne foi, ce qui implique une obligation de transparence. L’obligation d’informer existe en particulier lorsqu’il y a un risque pour les personnes concernées – ce qui semble être le cas ici – afin qu’elles puissent prendre des mesures pour se protéger.»
L'avocat à la protection des données du canton du Valais, Sébastien Fanti, confirme que «dans le cadre contractuel, le prestataire est tenu d'informer son mandant afin de lui éviter des dommages. Une banque pourrait, dans le cas présent, se retourner contre la société.»
Rançon pas payée, documents publiés
Dimanche matin, une dizaine de milliers de documents étaient mis aux enchères sur le darknet. «Le Temps» précise qu'il s'agit d'un groupe de hackers d'origine russe, LockBit3.0, utilisant le principe de ransomware. Cela consiste à paralyser les systèmes visés: le déblocage est ensuite monnayé sous la menace de la diffusion des données, si la victime refuse de verser la somme demandée.
Une rançon semble bien avoir été demandée dans le cas présent. Mais faute de payement, les documents confidentiels se sont retrouvés sur le darknet en fin de journée.
Des réseaux pas vraiment sécurisés
L'entreprise avance être «spécialisée depuis 1998 dans l’installation de systèmes de sécurité, firewalls, messageries protégées et réseaux sécurisés». Et pourtant, des données techniques des serveurs installés et même des mots de passe ont été échangés par mail - et se retrouvent maintenant disponibles en ligne!
Un spécialiste de la sécurité informatique s'étrangle devant cette affaire. Dans «Le Temps», il n'est pas tendre avec ses confrères piratés: «Une hérésie. Pour des gens qui font des audits de sécurité, c’est d’un grand amateurisme, j’ai rarement vu pareille bêtise.»
Pléthore de données personnelles
Papiers d'identité, CV avec photos, données bancaires, adresses e-mail, numéros de téléphone... la liste est très longue. Et c'est sans compter la publication d'informations sensibles sur des affaires judiciaires vaudoises, notamment des éléments portant sur le décès d'un adolescent.
Dans cette affaire, l'entreprise avait été mandatée pour analyser le téléphone de la victime. Pourtant, aucune des données n'a été cryptée ni protégée par un mot de passe. Un manque de sécurité qui ne devrait jamais arriver dans des affaires sensibles.