Scandale : l’énorme fuite de données personnelles subie par la Suède en 2015 serait due à une incroyable erreur de l’administration de l’époque.
À voir aussi sur Konbini
En matière de sécurité informatique, les organismes gouvernementaux nous ont habitués à des niveaux d’amateurisme souvent spectaculaires, entre mots de passe de machines sensibles laissés à leurs paramètres par défaut, serveurs non sécurisés, voire codes secrets révélés à la faveur d’un selfie publié sur Twitter, mais le scandale qui est en train de se dévoiler pli après pli en Suède appartient déjà à la catégorie des bévues de légende. En septembre 2015, la Suède subit une gigantesque fuite de données personnelles, qui concerne non seulement les informations de millions de ses citoyens mais également des membres des services secrets, des documents militaires, des archives de la police nationale et une foultitude d’informations stratégiques sur l’état des infrastructures du pays. Pour faire simple, la Suède s’est retrouvée à poil, sans que personne ne sache comment un tel effeuillage avait pu se produire.
Le 25 juillet dernier, le Premier ministre Stefan Löfven a confirmé, dans une conférence de presse, ce que l’enquête officielle et une série d’articles du quotidien Dagens Nyheter, traduits en anglais par un membre du Parti pirate, laissaient clairement entendre : la faute revient à l’administration suédoise. Comment a-t-on pu en arriver là ? Si toutes les informations n’ont pas encore été découvertes, les premières conclusions de l’enquête dessinent déjà une hallucinante séquence de hasards malheureux, de décisions irresponsables et d’erreurs impardonnables à ce niveau de responsabilité.
Autopsie d’une énorme bourde
Tout débute donc en septembre 2015, raconte le site spécialisé The Hacker News. L’Agence suédoise du transport (STA), un organisme gouvernemental, décide de téléverser (oui, okay, “uploader”) l’intégralité de sa base de données sur des serveurs appartenant à IBM, en signant au passage un contrat de maintenance des réseaux et données avec l’entreprise américaine – de la sous-traitance de gestion informatique tout à fait classique dans le secteur privé, en somme. Au moment de transférer les données à IBM, la STA ne prend pas soin de vérifier, encore moins de trier le contenu sensible, et se borne à tout balancer d’un coup à IBM en lui faisant confiance pour se débrouiller avec.
Le problème, c’est que sa base de données contenait non seulement des informations personnelles sur l’identité de tous les détenteurs de véhicules du pays – nom, adresse, photos, la totale – mais aussi sur des militaires, pilotes, agents des services secrets et des troupes d’élite, policiers et citoyens placés sous le programme de protection des témoins, ainsi que les informations (et défaillances) de tous les véhicules des forces de l’ordre en circulation et quelques informations sur les infrastructures stratégiques du pays, comme la capacité de charge des ponts. Des informations désormais entre les mains du personnel suédois d’IBM. Vous croyez que c’est fini ? Oh que non.
Car une telle maladresse, si énorme soit-elle, ne suffit pas encore à rendre la bêtise légendaire. Là où la STA s’est surpassée, c’est en mars 2016, lorsqu’elle a ensuite envoyé cette même base de données par mail à tous les publicitaires ayant souscrit à une offre pour y avoir accès – si ça vous choque, sachez que les cartes grises sont un business tout aussi lucratif en France –, le tout dans un texte en clair, pas chiffré pour un sou. Prévenue, et probablement engueulée, par les services secrets mis en PLS par la fuite, la STA a ensuite renvoyé un e-mail aux publicitaires, en identifiant formellement les données protégées pour leur demander gentiment de les effacer eux-mêmes. Le tout, vous l’aurez deviné, une nouvelle fois en texte clair, comme un bon vieux courriel de bureau. Là, on touche au sublime.
Cerise sur le gâteau : pendant les mois ayant suivi ce transfert de données de la STA vers IBM, les informations sensibles resteront librement accessibles aux employés gouvernementaux en passe d’être licenciés – ce qui est, au mieux, une grossière erreur d’appréciation de la capacité de nuisance humaine. Seconde cerise posée sur la première : le contrat passé entre l’administration suédoise et IBM permettait aux employés de la firme américaine d’accéder aux données depuis des pays étrangers, comme ont pu le constater des administrateurs d’IBM basés… en République tchèque, qui se baladaient librement dans les informations classifiées.
En clair, de septembre 2015 à fin 2016, époque à laquelle les services secrets suédois ouvrent une enquête, le coffre à secrets d’État suédois aura été un véritable moulin. À ce niveau-là de maladresse, on est plus proche de la haute trahison que de l’incompétence.
Bienvenue dans l’ère de l’incompétence informatique
En janvier 2017, l’enquête conduira à l’éviction de la directrice générale de la STA, Maria Ågren, qui sera également reconnue coupable de “négligence criminelle” et condamnée à payer un salaire mensuel d’amende, soit 7 300 euros, raconte Libé. Et c’est tout. Oui, c’est peu cher payé pour la mise en danger de la sécurité nationale. Avec cette conférence de presse, qui confirme la responsabilité de son administration dans la mise en danger directe de ses citoyens, le Premier ministre expose son gouvernement à une crise de confiance inédite. Selon le Financial Times, les partis d’opposition envisageraient désormais le dépôt d’une motion de défiance du gouvernement. Le pire ? Selon les déclarations du nouveau directeur de la STA, les fuites pourraient ne pas être colmatées avant l’automne.
Si vous vous dites qu’il y a peu de chance que cela se produise chez nous, souvenez-vous que l’armée française devrait une nouvelle fois prolonger le contrat qui la lie à Microsoft depuis 2008, pour l’étendre jusqu’à 2021. Un contrat qualifié d’“open bar” par les défenseurs du logiciel libre et les observateurs de la souveraineté numérique nationale, pointé par des enquêtes, qui permet au ministère de la Défense d’utiliser 200 000 postes équipés de Windows moyennant une certaine somme (120 millions d’euros pour la période 2013-2017), le tout sans appel d’offres et contre l’avis de la Commission des marchés publics de l’État.
De la même manière que la Suède en sous-traitant joyeusement la gestion de ses bases de données, la France se rend elle-même vulnérable en mariant de force certains de ses domaines les plus sensibles à une entreprise étrangère. Du pain bénit pour les hackers d’État alors que la guerre de l’information fait déjà rage et qu’il ne se passe plus une semaine sans qu’un pays ne se fasse dérober des données sensibles.
On ne le dira jamais assez : dès lors que des êtres humains ont accès à des informations classifiées, “no system is safe”.
