Des perspectives suisses en 10 langues
Connectez-vous

Grande quantité de données volées lors de l’attaque contre Ruag

Les pirates informatiques ont volé plus de 20 Go de données lors de l'attaque contre Ruag. La Confédération est "très probablement" touchée (image symbolique/archives). KEYSTONE/SALVATORE DI NOLFI sda-ats
Ce contenu a été publié sur
4 minutes

(Keystone-ATS) Plus de 20 Giga octets (Go) de données ont été volées lors de l’attaque de cyberespionnage contre l’entreprise Ruag. Des données alimentant le service de messagerie de l’administration fédérale “semblent faire partie du lot”, a annoncé lundi le Conseil fédéral.

Le gouvernement ne confirme pas les spéculations concernant les auteurs de l’attaque: l’enquête pénale contre inconnu pour suspicion d’espionnage industriel ouverte par le Ministère public est encore en cours.

L’enquête cherche à déterminer la quantité de données volées. Il est “très probable” que des données appartenant au répertoire Admin, qui alimente le service de messagerie Outlook de l’administration fédérale, en fassent partie.

Mais aucune information personnelle privée de collaborateurs de l’administration n’a été touchée par la cyberattaque, affirme le Conseil fédéral.

Attaque sophistiquée

L’attaque a été menée de manière très ciblée et professionnelle, note-il. Les pirates informatiques ont utilisé un logiciel malveillant appartenant à la famille Turla. Il s’agit de chevaux de Troie capables d’attaques informatiques très complexes et sophistiquées.

Selon les experts, un tel logiciel malveillant peut rester inaperçu pendant très longtemps. Pour ne pas être détecté, Turla utilise un code impénétrable.

Les cyberattaquants ont fait preuve de beaucoup de patience pendant l’infiltration. Ils ne se sont attaqués qu’à ce qui les intéressait, constate dans un rapport la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI).

Partager pour se protéger

Le Conseil fédéral a décidé de rendre ce rapport public afin de sensibiliser les responsables de la sécurité d’autres entreprises et d’administrations publiques à ce genre d’attaque. “Il s’agit de la meilleure contre-mesure”, relève MELANI. C’est d’ailleurs grâce au partage d’information que l’attaque chez RUAG a pu être repérée.

Selon le rapport, l’attaque a commencé au plus tard en septembre 2014. C’est à ce moment-là que les premiers indices ont été découverts. MELANI souligne toutefois que les données stockées plus anciennes n’étaient plus disponibles.

La cyberattaque s’est déroulée en plusieurs étapes. Les pirates informatiques ont d’abord rassemblé le plus d’informations possibles sur leur cible, l’entreprise d’armement RUAG. Ensuite, un profil du système informatique est créé, sorte d’empreinte digitale d’un ordinateur. L’attaque est alors lancée.

Une fois les pirates dans le système de leur victime, ils ont construit un réseau hiérachisé: certains systèmes appelés “drones de travail” ne communiquaient pas avec l’extérieur, se contentant de voler les données. Ils les transmettaient ensuite aux “drones de communication” qui les exfiltraient hors du système informatique de RUAG vers des serveurs nommés “commande et contrôle”.

Recommandations

Dans ses recommandations, MELANI propose des contre-mesures: actualiser continuellement la mise à jour de la protection informatique ou installer une application de Microsoft, AppLock, qui verrouille automatiquement le système utilisé et le profil de ses utilisateurs. MELANI recommande également de séparer la gestion du système du trafic lié aux affaires.

Le rapport ne mentionne aucun éventuel auteur de l’attaque, “parce qu’il est pratiquement impossible de trouver assez de preuves pour de telles affirmations”. MELANI ne considère pas non plus l’origine de l’attaque comme importante: “de nombreux acteurs” utilisent des logiciels malveillants pour arriver à leurs fins.

Dans un premier temps, la Russie avait été évoquée, notamment pour le conseiller aux Etats et président de la délégation parlementaire Alex Kuprecht (UDC/SZ). Le Département fédéral de la défense n’avait pas confirmé ses dires.

La cyberattaque contre l’entreprise d’armement de la Confédération a été rendue publique début mai. Les services de renseignement n’ont réagi qu’en janvier 2016 suite à un indice fourni à l’étranger.

RUAG a rapidement pris les mesures ciblées requises, évitant tout autre préjudice. Le Conseil fédéral a lui aussi pris des mesures, mais leur teneur n’a pas été communiquée pour des raisons de sécurité.

SWI swissinfo.ch - succursale de la Société suisse de radiodiffusion et télévision

SWI swissinfo.ch - succursale de la Société suisse de radiodiffusion et télévision