La cyberattaque contre Xplain en juin dernier aura au moins servi à une chose: montrer clairement que la Confédération a un gros problème de sécurité.
En effet, parmi les données dérobées par les hackers à la société informatique basée à Berne figurent non seulement des informations relevant de la sécurité nationale, mais aussi des données personnelles beaucoup plus sensibles.
766 personnes figuraient en effet depuis septembre 2015 dans le registre Hoogan de la Confédération, lequel recense les personnes ayant commis des violences lors d'un match de football ou une autre manifestation sportive. Cette base de données permet ensuite à la police de contrôler les personnes interdites de stade ou de périmètre.
Sauf que leurs données circulent désormais publiquement sur le darknet et sont accessibles librement.
Pourquoi des données datant de 2015 sont-elles restées stockées?
Dès lors, une question se pose: pourquoi des données datant de 2015 n'ont-elles jamais été effacées? Toutes ces informations confidentielles devaient en effet être effacées de la base de données Hoogan au bout de trois ans, à moins qu'une personne ne se montre violente à plusieurs reprises.
Interrogé par Blick, Fedpol répond: «Cette base de données fonctionne sur une infrastructure sécurisée de la Confédération.» Le fichier concerné, qui circule sur le darknet, ne serait par ailleurs qu'un simple extrait de cette base de données: «Selon les premières constatations, ce fichier est probablement parvenu à la société Xplain en 2015 à des fins de test.»
Mais l'Office fédéral de la police reste flou quant à la manière précise dont cet extrait contenant des données sensibles est parvenu à Xplain. Il affirme que des investigations sont actuellement en cours pour déterminer dans quelles circonstances ces données ont pu arriver chez Xplain et pourquoi elles y sont restées stockées avant d'être attaquées.
Une plainte contre X a été déposée par Fedpol.
La fuite «soulève de nombreuses questions juridiques»
«Cette fuite soulève de nombreuses questions juridiques», explique l'avocat Martin Steiger, expert en droit de l'espace numérique. Il s'agit tout d'abord d'une violation du secret de fonction: «La question cruciale sera de savoir comment on a pu envoyer des données aussi sensibles à une entreprise de développement de logiciels?»
Les personnes victimes de ce piratage vont très certainement demander des comptes à Fedpol et à la société Xplain, notamment afin de savoir quelles données sont en libre circulation sur le darkweb et pourquoi? Il s'agira ensuite de désigner des responsables.
Il existe une voie de droit, mais elle sera compliquée
«Ces personnes pourraient porter plainte contre la société Xplain sur le plan civil pour atteinte à la personnalité et demander des dommages et intérêts. Elles pourraient également demander une réparation pour le préjudice moral», explique l'avocat. La responsabilité de l'Etat se pose également.
Par ailleurs, les personnes concernées pourraient porter plainte pour violation du secret de fonction contre Fedpol et l'entreprise Xplain. «Juridiquement, il existe de nombreuses possibilités. Le problème est que pour les citoyens ordinaires, les voies de droit sont toujours très compliquées», conclut toutefois Martin Steiger.