Plus de 16 000 fichiers sensibles volés à Xplain
Après le piratage du prestataire informatique, l’Office fédéral de la cybersécurité a publié hier un rapport chiffrant l’ampleur des dégâts. Des fichiers contenant des mots de passe sont concernés
Un coin du voile est levé après le piratage massif ayant touché la Confédération au printemps 2023. En juin dernier, Le Temps révélait que des pirates avaient attaqué un prestataire informatique important de l’Etat, de cantons mais aussi de polices, volant un nombre considérable de données. Le piratage de la société Xplain avait contraint la Confédération à accroître les mesures de sécurité par rapport à ses fournisseurs externes. Et hier, l’Office fédéral de la cybersécurité (OFCS) a publié un rapport chiffrant l’ampleur des dégâts liés à l’attaque contre Xplain.
Au total, les experts de l’OFCS ont passé environ 1000 heures à dénombrer au total 1,3 million de fichiers volés par les hackers du groupe Play et mis en libre accès sur le darknet. Sur ce total, il y avait beaucoup de fichiers non pertinents et des doublons. Les spécialistes ont identifié environ 65 000 documents concernant directement les administrations publiques. Plus de 70% d’entre eux appartenaient à la société Xplain (47 413 objets) et environ 14% à l’administration fédérale (9040 objets). Les cantons (6200 fichiers) et des corps de police (944 fichiers) sont aussi touchés. On arrive ainsi à un total d’environ 16 000 fichiers sensibles.
Aucun objet classé «secret»
Quelque 95% des objets de l’administration fédérale provenaient des unités administratives du Département fédéral de justice et police (DFJP) – l’Office fédéral de la justice, l’Office fédéral de la police, le Secrétariat d’Etat aux migrations et le Centre de services informatiques du DFJP. A noter aussi que le Département fédéral de la défense, de la protection de la population et des sports est aussi touché par la fuite, avec un peu plus de 3% des données.
Que contiennent ces documents volés? Les experts notent qu’au total 5182 objets affichant un contenu sensible ont été recensés, contenant des données personnelles permettant d’identifier des personnes physiques (nom, adresse électronique, numéro de téléphone ou adresse postale). Ce n’est pas tout, car 121 objets classifiés ont été découverts: 84 objets sont classés «interne», un tiers est classé «confidentiel». Aucun objet classé «secret» n’a été découvert. Signalons aussi que quatre fichiers contenaient des mots de passe – une pratique pourtant scrupuleusement déconseillée par des experts en cybersécurité…
«Il semble que des documents contenant le mot «russe» aient été délibérément supprimés»
OFFICE FÉDÉRAL DE LA CYBERSÉCURITÉ
L’OFCS a constaté un décalage entre la masse de données publiées et le volume de données que les pirates de Play disaient détenir. Tout n’a-t-il pas encore été publié? C’est possible. Les experts ont remarqué qu’il manque certains fichiers… Et, chose intéressante, les noms de ces fichiers manquants appartenant notamment à Fedpol contenaient tous le mot «russisch», soit «russe» en allemand (par exemple «InfoblattRussisch.docx»). «Il semble que ces documents aient été délibérément supprimés (éventuellement de manière automatisée) de la fuite de données», note l’OFCS, qui écrit aussi qu’il est «connu que d’autres groupes cybercriminels russes évitent de faire référence à la Russie pour ne pas risquer d’attirer l’attention de leurs propres autorités».
Conclusion pour le moins défaitiste de l’OFCS: «Malgré toutes les mesures de précaution, il faut malheureusement s’attendre à ce que des incidents impliquant des données de la Confédération se produisent encore à l’avenir.» Signalons enfin que d’autres enquêtes demandées par le Conseil fédéral sont en cours pour déterminer les responsabilités dans cette affaire.
■