La cyberattaque dont a été victime la société informatique Xplain début juin prend des allures de scandale. En effet, l’entreprise basée à Interlaken dans le canton de Berne stockait des quantités importantes de données des Offices fédéraux de la police (Fedpol) et des douanes (OFDF), probablement illégalement et en partie de manière non cryptée.
Les deux autorités ont déposé une plainte pénale contre inconnu: une sous-commission ainsi que le préposé fédéral à la protection des données ont commencé à enquêter sur les faits. Le Ministère public de la Confédération a ouvert une procédure pénale et la Confédération a mis en place une cellule de crise «Fuite de données» à laquelle tous les départements participent.
Le Département des finances de Karin Keller-Sutter a entre-temps lancé une procédure administrative. Un organisme indépendant doit déterminer où et pourquoi les directives de sécurité de la Confédération ont été mises en œuvre de manière insuffisante.
Dispositifs de sécurité volés
Au vu de l’inquiétude des différents organismes, il reste à savoir précisément quelles données ont été dérobées. Des données que tout un chacun peut désormais télécharger sur le Darknet. Officiellement, la Confédération reste nébuleuse et parle d’une «grande quantité de données» et de «données opérationnelles». Mais la réponse détaillée est bien plus inquiétante, comme le montre l’enquête de Blick. Parmi les innombrables documents, l’on retrouve les dispositifs de sécurité détaillés de Fedpol pour les hôtes d’Etat étrangers ainsi que pour les représentations diplomatiques et leur personnel.
Ainsi, les mesures de sécurité à l’intention du corps diplomatique étasunien stationné à Berne sont désormais librement accessibles en ligne. Les criminels peuvent également se faire une idée du dispositif que déploie la Confédération pour protéger la représentation ukrainienne. Les nations concernées sont celles qui ont des exigences de sécurité sensibles, comme les pays du Golfe.
La liste des secrets dévoilés est bien plus longue encore: à cela s’ajoutent les mesures de sécurité pour les magistrats et les hauts fonctionnaires de l’administration fédérale, ainsi que les dispositifs pour la sécurisation des bâtiments et autres objets importants. Les malfaiteurs, ou même les simples curieux, peuvent facilement consulter sur le Darknet les noms, les adresses et le niveau de sécurité des installations protégées.
Des données de connexion en ligne
Les «Red Notices» d’Interpol, à l’adresse des autorités suisses, sont également tombées entre les mains des pirates informatiques. Il s’agit d’alertes visant la localisation, l’arrestation et/ou l’extradition de grands criminels présumés.
Mais ce n’est pas tout: les autorités enquêtent actuellement sur l'éventuel vol de données de connexion de certains systèmes informatiques d’offices fédéraux. Une demi-douzaine de ces offices utilise en effet des solutions informatiques de la société Xplain. Les services concernés ont bloqué tous les accès ainsi que les mises à jour.
Florian Schütz, le directeur du nouvel Office fédéral de la cybersécurité, explique que «jusqu’à présent, rien n’indique que quelqu’un ait voulu se servir des informations publiées pour accéder à un système».
Des nouvelles obligations pour les prestataires?
En 2021, la Confédération a listé 2372 contrats importants avec des prestataires de services informatiques. Depuis deux ans, toutes les entreprises concernées ont l’obligation de signaler si elles se retrouvent visées par une cyberattaque. La mise en place de mesures de sécurité additionnelles est actuellement discutée. «Nous examinons désormais tous les contrats: les clauses relatives à la prudence dans le traitement des données sont-elles formulées de manière suffisamment stricte?», rapporte Florian Schütz.
De nouvelles obligations envisageables seraient, par exemple, un cryptage obligatoire de toutes les données, ou ce que l’on appelle un droit d’audit dans les contrats. La Confédération aurait alors la possibilité de contrôler à intervalles réguliers la gestion des données par les différents prestataires.
Le coût de telles mesures doit également être pris en compte dans les réflexions: «Plus un système est sûr, plus la maintenance est chère», explique Florian Schütz. Il s’agit de peser le pour et le contre. Mais «la sécurité absolue n’existe pas», rappelle le directeur du Centre national pour la cybersécurité (NCSC).
Externalisation problématique
Ce qui inquiète les experts, c’est la pratique de l’externalisation au sein de l’administration fédérale: si l’Etat confie, à des privés, des prestations informatiques dans des domaines sensibles, cela ouvre la porte à l’espionnage.
Un Etat tiers pourrait créer clandestinement en Suisse une entreprise informatique sur le modèle de Xplain. Elle pourrait proposer des prestations en dessous du seuil de 230’000 francs lors d’appels d’offres, afin que l’adjudication se fasse en coulisse – sans procédure longue et risquée. Des informations confidentielles pourraient ainsi être collectées sans grands obstacles.
Pression sur Fedpol
L’affaire est également fâcheuse au niveau de la politique étrangère suisse: le Conseil fédéral vient de refuser l’exportation de 96 chars Léopard d’Italie vers l’Allemagne, à l’incompréhension de nos voisins.
Le ministre des Affaires étrangères Ignazio Cassis a opté pour une politique de bons offices et veut établir le pays comme médiateur. Pour cela, la confiance est maître-mot. Mais cette confiance pourrait bien être ébranlée après les révélations sur la cyberattaque de Xplain.
C’est surtout Fedpol, sous la direction de sa directrice Nicoletta della Valle, qui est sous pression. Le conseiller national UDC zurichois Alfred Heer, président de la sous-commission du département de la justice, a été le premier à mettre l’affaire sur le tapis au Parlement. Il exige une «clarification complète et rapide» des faits, a-t-il rapporté à Blick.
«Nous avons affaire ici à une défaillance au sein de la Confédération qui touche le noyau le plus confidentiel de la sécurité, de sorte que des conséquences sur le plan du personnel sont inévitables.» La pression sur Fedpol ne devrait donc pas diminuer dans un avenir proche.