En Suède, un vaste scandale entoure actuellement une fuite de données, probablement l’une des plus grandes jamais enregistrées. Le pays, en accord avec IBM pour gérer une importante masse de données, n’a pas assez travaillé la sécurité de ces échanges. Parmi les informations lâchées dans la nature, certaines sont sensibles.
Les fuites de données ont été particulièrement nombreuses ces dernières années. L’accent particulier mis sur la sécurité les a d’autant plus éclairées d’une lumière crue, mais le nombre d’attaques semble également s’être multiplié. La fuite révélée en Suède n’est cependant ni celle d’une entreprise, ni le résultat d’une attaque par un groupe de pirates.
Elle émane de la Transportstyrelsen, ou agence suédoise des transports. Liée par contrat à IBM pour l’hébergement et le traitement des données, il semble qu’elle n’ait pas suffisamment travaillé les procédures d’accès à sa colossale masse de données. L’affaire met désormais à mal le ministère, tout autant que le gouvernement.
Ce qui a fuité
La base de données de la Transportstyrelsen envoyée sur les serveurs d’IBM contient notamment la totalité des véhicules immatriculés dans le pays. On y retrouve bien sûr l’ensemble des voitures pour les particuliers, mais également tous les véhicules de fonction dans les administrations, ceux de l’armée, les poids lourds, et globalement tout ce qui a deux ou quatre roues et devrait faire l’objet d’une immatriculation.
Avec chaque plaque vient une fiche composée des renseignements trouvés dans l’équivalent suédois de la carte grise : nom, prénom, photo et adresse postale des conducteurs y sont donc présents. S’ajoutent à cette masse de données des informations sur les conducteurs dans l’armée, y compris les pilotes d’avions de l’armée de l’air.
Plus grave encore, la base contient aussi des informations très sensibles, comme les suspects de la police dans des enquêtes en cours, voire les personnes bénéficiant du programme de protection et de relogement des témoins. Actuellement, les raisons de la présence de ces informations dans la base du ministère des Transports ne sont pas claires.
Enfin, on trouve dans le stock des données techniques, comme le poids supporté par chaque route et pont du pays.
La fuite connue depuis longtemps
Déjà énorme au vu de l’énorme masse de données, la fuite attire d’autant plus les regards qu’elle est connue depuis un certain temps.
Le contrat avec IBM a été mis en place en avril 2015. Il incluait notamment toute la maintenance des bases de données et réseaux du ministère suédois des Transports. Dans le cadre de cet accord, les données de la Transportstyrelsen ont été copiées dans les serveurs d’IBM, avec l’idée de profiter des opportunités offertes par le cloud.
Le ministère a ensuite contacté les personnes qui pourraient avoir besoin d’accéder à la base. On ne sait pas exactement ce qui s’est passé, mais des employés d’IBM en République Tchèque se sont retrouvés avec des droits complets sur ces bases, pouvant donc les consulter à loisir, y compris les informations les plus sensibles.
Comme l’indiquent les médias suédois, il semble que la Transportstyrelsen n’ait pas réalisé en amont les contrôles nécessaires pour valider les identités des personnes qui pourraient accéder à ces données. Or, le problème s’est déclaré en même temps que la copie des bases sur les serveurs d’IBM. La fuite existe donc depuis 2015.
Toujours selon la presse locale, ce sont les services secrets suédois qui ont mis le doigt dessus l’année dernière. On sait qu’une enquête a commencé immédiatement. En janvier dernier, la ministre des Transports, Maria Ågren, était remerciée pour motifs inconnus. Plus récemment, avec la conclusion de l’enquête, elle a écopé d’une amende somme toute légère – environ 7 330 euros – pour « négligence involontaire sur informations secrètes ».
Le grand trouble
Comme le rapporte le Financial Times, le Premier ministre suédois tenait hier une conférence de presse pour informer de la situation. Stefan Lofven a fustigé un accord avec IBM très mal géré et n’a pas cherché à réduire l’ampleur de la fuite : « Ce qui est arrivé au ministère des Transports est un désastre. C’est extrêmement sérieux. [La fuite] a exposé la Suède et les citoyens suédois à des risques ».
La Transportstyrelsen, de son côté, communique amplement sur l’affaire. Elle a même mis en place une FAQ visant à répondre aux questions les plus évidentes. On y apprend notamment que le contrat avec IBM doit durer jusqu’en octobre 2020. Il est très clairement indiqué que l’administration de Maria Ågren n’a pas fait son travail, puisque ce sont les conclusions de l’enquête et du procureur en charge de l’affaire.
Plus intéressant, le ministère indique que depuis juin 2016, toutes les données sont à nouveau hébergées en Suède. L’information n’est pas donnée, mais il se pourrait que l’envoi initial des bases chez IBM ait été lui aussi une erreur. Actuellement, le nouveau ministre des Transports, Jonas Bjelfvenstam, indique cependant que la sécurisation complète des informations ne sera terminée qu’à l’automne.
Inquiétudes autour de la portée de l’incident
Le nombre potentiel de personnes ayant pu accéder aux données est élevé. En l’état, le ministère juge qu’il n’est pas besoin de s’inquiéter outre mesure. La faille se situe dans l’absence de vérification des antécédents qui aurait dû être réalisé pour toute personne habilitée à mettre la main sur ces informations, mais il est peu probable que tous ceux ayant reçu ces droits aient compris ce qu’ils pouvaient en faire.
La Transportstyrelsen précise qu’à l’heure actuelle, rien ne permet d’affirmer que ces données ont été copiées et diffusées « de manière incorrecte ». En d’autres termes, les données sensibles ont pu être vues par de nombreuses personnes habilités – et qui n’auraient pas dû l’être – mais aucune diffusion massive n’aurait eu lieu.
Le ministère précise toutefois que l’étude d’impact n’est pas terminée. Il n’est donc pas impossible qu’elle découvre des traces d’activités suspectes. Si ce ne devait pas être le cas, il s’agirait probablement d’un extraordinaire coup de chance au vu de la sensibilité des informations.
L’incident rappelle quoi qu’il en soit les dangers liés à la concentration des données. Il est évident que les ministères, qui concentrent des montagnes d’informations, sont bien forcés de créer de telles bases puisqu’ils sont en charge de pans entiers de l’activité du pays. Mais l’erreur étant humaine, il existera toujours le risque qu’une opération douteuse soit réalisée.
Le contrat avec IBM n’est a priori pas remis en question, puisque le faisceau d’éléments pointe vers une responsabilité complète du ministère. Ce qui pose d’ailleurs la grande question qui n’a toujours aucune réponse : que s’est-il réellement passé ? Il semblerait que le contrat avec IBM ait été mal interprété, conduisant une ou plusieurs personnes à envoyer les bases dans le cloud, mais une erreur aussi conséquente a de quoi surprendre.
