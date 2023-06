© Keystone

Des pirates informatiques ont volé et publié un grand nombre de données sur les Suisses de l’étranger. Comment cela a-t-il pu se produire?

27 juin 2023

Balz Rigendinger

Au mois de mai dernier, de nouvelles données ont été volées pour être publiées sur le darknet dont, entre autres, des informations sur les abonnés à la Revue SuisseLien externe. Il s’agit du magazine que la Confédération édite pour tenir les Suisses vivant à l’étranger au courant des événements qui se déroulent leur pays d’origine.

Le corps de données est complet. Il contient actuellement plus de 425’000 adresses, dont 40% d’adresses postales et 60% d’adresses électroniques. Toute personne enregistrée en Suisse en tant que citoyen(ne) résidant à l’étranger reçoit en effet automatiquement la Revue Suisse par e-mail ou par courrier. Selon le Département fédéral des affaires étrangères (DFAE), seuls 330'000 des 800'000 Suisses de l’étranger ne reçoivent pas la publication, notamment les italophones.

Le DFAE respecte pourtant scrupuleusement les règles de la protection des données dans la conservation de ces adresses. Ces informations sont fournies de manière involontaire. Elles proviennent des consulats et des offices d’état civil suisses à l’étranger. Les personnes qui annoncent leur départ en Suisse doivent en effet obligatoirement faire suivre leur adresse à l’étranger à la représentation suisse compétente. C’est ainsi que se constitue la base d’abonnés de la Revue Suisse.

Des données scrupuleusement protégées

La Confédération considère que ces données sont si sensibles que même l’éditeur de la Revue Suisse, l’Organisation des Suisses de l’étranger (OSELien externe), n’y a pas accès. Or, ce sont justement ces données que l’on trouve sur le darknet. La quantité exacte de données publiées n’est pas encore clairement définie. «Le DFAE n’a pas connaissance du nombre de données effectivement volées», écrit le DFAE.

«Il est très regrettable que des données qui n’ont pas été collectées volontairement soient ainsi rendues publiques», déplore Adrian Lobsiger, préposé fédéral à la protection des données. Celui-ci demande que les personnes concernées soient informées. Une plainte pénale a été déposée et une enquête diligentée.

Butin accidentel d’une cyberattaque

Mais comment en est-on arrivé là? En gros, les 425’000 adresses des Suisses de l’étranger sont des prises accessoires d’une attaque de chantage contre deux maisons d’édition suisses, le groupe d’édition NZZ et CH Media. Les deux entreprises sont reliées entre elles par leur infrastructure numérique.

L’organisation criminelle responsable de l’attaque s’appelle «Play». Il s’agit d’un collectif international de hackers, qui serait en lien avec la Russie. Le 3 mai 2023, «Play» a publié sur le darknet de nombreuses données volées au groupe d’édition suisse CH Media. Cette publication s’inscrivait dans le cadre d’une demande de rançon, comme c’est souvent le cas lors d’attaques informatiques. Les criminels s’introduisent d’abord dans les systèmes d’une firme. Souvent, ils cryptent les données de leurs victimes. Parallèlement, ils menacent de publier des données sensibles. Si l’entreprise victime du chantage refuse de payer, les données sont placées sur le darknet. Dans ce cas-ci, les entreprises attaquées affirment ne pas avoir payé de rançon.

Écran d'un ordinateur infecté par un ransomware avec demande de paiement d’une rançon. © Keystone

L’attaque contre l’écosystème numérique de la NZZ et de CH Media a eu lieu fin mars. La Revue Suisse a également ressenti les effets de l’attaque par le biais de perturbations dans le système de rédaction, selon le directeur Marc Lettau. Son infrastructure informatique est en effet liée à l’environnement attaqué.

Le 3 mai 2023, le jour où «Play» a publié les données dérobées, CH Media a informé les entreprises partenaires que les données des clients étaient également concernées. Cette information a été transmise à la Revue Suisse. Deux semaines plus tard, à la mi-mai, il a été établi que les données contenaient les adresses des abonnés de la Revue Suisse. Le DFAE communique ces données six fois par an, pour la date d’impression, à l’imprimerie responsable de l’envoi de la revue.

Cryptage dans l’échange de données

Existe-t-il des mesures de protection des données dans ce processus? Le DFAE répond: «La Confédération envoie des fichiers cryptés. Ce trafic n’a pas été affecté, n’a pas été piraté et ne fait pas l’objet d’un vol de données. Conformément aux dispositions de protection des données de la Confédération, les données doivent être enregistrées sous forme cryptée chez l’imprimeur.»

On ignore si le paquet de données en question était finalement crypté. CH Media se borne à déclarer ne pas se prononcer sur les relations individuelles avec les clients. Six semaines après l’annonce de la fuite, le DFAE a communiqué que l’imprimerie n’aurait pas eu de données personnelles en sa possession, à l’exception des adresses.

Manifestement, le DFAE s’est battu pendant des semaines pour obtenir des informations en règle et communiquer à ce sujet. Pour les spécialistes, il est certain que «l’erreur n’est pas imputable à la Confédération». C’est ce qu’affirme Reto Vogt, rédacteur en chef du magazine Inside-IT. La Confédération est connue pour ses grandes précautions en matière de protection des données. «Dans ce cas particulier, elle n’a pas eu de chance», ajoute Reto Vogt.

Le vote électronique en danger?

Pourtant, cette attaque pourrait alimenter le débat sur la sécurité du système suisse de vote électronique qui sera réintroduit en 2023. En effet, plusieurs cyberattaques ont eu lieu en Suisse parallèlement à la première tentative avec le nouveau système de vote électronique. Outre le chantage exercé sur des maisons d’édition, «Play» a également réussi une attaque spectaculaire contre la société informatique suisse Xplain. Cette entreprise fournit des logiciels aux autorités judiciaires et policières helvétiques.

Cette attaque contre rançon a également débouché sur la publication de données sensibles. L’armée, l’Office fédéral des douanes et de la sécurité des frontières et la police fédérale Fedpol sont notamment concernés. Là aussi, l’enquête se poursuit. L’ampleur des dommages reste difficile à estimer.

Par ailleurs, début juin, un autre collectif de pirates informatiques a paralysé d’importants sites web suisses. L’attaque a été menée par le groupe prorusse «NoName», en réaction à une apparition vidéo du président ukrainien Volodymyr Zelenski au Parlement suisse.

De nombreux sites web cantonaux ont été attaqués, ainsi que des sites de la Confédération et de la Bourse suisse. Le principe de ces attaques était différent, on parle d’attaques DDoS. Les sites attaqués sont poussés à la limite de leurs capacités et temporairement mis à genoux par d’innombrables sollicitations simultanées.

Ni les attaques par ransomware ni les attaques DDoS ne sont directement liées à la technologie du vote électronique. Mais si de telles attaques se produisent fréquemment, cela a des conséquences. C’est la conviction de l’entrepreneur informatique Franz Grüter. «Même si cet incident n’a pas de lien direct avec le système de vote électronique, la confiance dans la sécurité des systèmes informatiques de l’État diminue à chaque nouvel incident cybernétique», déclare-t-il.

Année électorale

Pour le Lucernois Franz Grüter, ces incidents jettent le «doute sur les standards de la Confédération en matière de sécurité.» Conseiller national de l’Union démocratique du centre (UDC / droite conservatrice), Franz Grüter se montre sceptique vis-à-vis de l’e-voting. Il juge l’incident grave et souligne qu’un jeu de données achetable contenant toutes les adresses des Suisses de l’étranger représente une valeur particulièrement importante lors d’une année électorale. «Quelqu’un pourrait s’en servir pour faire de la publicité électorale ciblée.» Le DFAE indique cependant qu’il «n’a pas connaissance du fait que les données sont à disposition sur le darknet».

Reto Vogt ne pense pas que le vol de données de la Revue Suisse aura un impact négatif sur le débat relatif au vote électronique suisse. «Dans les deux cas, il s’agit de Suisses de l’étranger. Mais le point commun s’arrête là.»

Cependant, cet incident ne doit pas être sous-estimé. Les Suisses de l’étranger ne constituent pas seulement le plus grand lobby en faveur du vote électronique et de la cyberadministration, mais aussi le plus passionné. Et l’attaque de «Play» fait que la majorité d’entre eux sont maintenant aussi les victimes d’un piratage informatique.

