Lundi 17 décembre 2018 | Dernière mise à jour 14:37

Informatique Le Service de renseignement dérogeait aux règles de sécurité

Le voleur de données se serait certainement fait remarquer si les directives IT de la Confédération avaient été respectées.

Tout ceci ne serait certainement pas arrivé si les règles en matière de sécurité informatique en vigueur dans l’Administration fédérale et au Département de la défense (DDPS) avaient été respectées.

Tout ceci ne serait certainement pas arrivé si les règles en matière de sécurité informatique en vigueur dans l’Administration fédérale et au Département de la défense (DDPS) avaient été respectées. Image: /Keystone

A la recherche d'autre copie

«Tout ce qui est techniquement et humainement possible a été entrepris pour vérifier que toutes les données volées ont été récupérées et qu’aucune autre copie ne circule», selon une source proche de l’enquête. L’analyse a été effectuée par l’équipe d’une quinzaine de spécialistes de haut niveau du docteur Urs Kronenberg, à FedPol.

Les traces de lecture et écriture des disques durs retrouvés chez le voleur de données ont été analysées. Tout comme les fichiers «logs» des ordinateurs auxquels il avait accès, au bureau et chez lui. L’ensemble de ce matériel a été perquisitionné. L’analyse des activités réseau chez son fournisseur d’accès Internet n’aurait pas permis de déceler un envoi de ces données dans le «nuage».

L’analyse des téléphones mobiles du prévenu et de son entourage, ainsi que de leurs comptes bancaires, n’aurait pas non plus permis de déduire qu’une transaction aurait pu avoir lieu. Une certitude à 100% n’existe toutefois pas. «Il est possible que l’informaticien, qui semble avoir prémédité son action, ait effacé ou modifié ses traces», explique Solange Ghernaouti, professeure en cybersécurité à l’Université de Lausanne.

T. P. et D. G.

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

Le serveur interne SiLAN, censé être inviolable, a été copié depuis l’intérieur du Service de renseignement de la Confédération (SRC). Comme «Le Matin Dimanche» le révélait la semaine dernière, l’entier du serveur e-mail ainsi que tous les fichiers de la division dans laquelle travaillait l’informaticien ont été volés.

Avant de se faire arrêter, le prévenu, un gestionnaire de bases de données tessinois établi dans la région de Berne, a conservé plusieurs terabytes d’informations une dizaine de jours chez lui. On y trouvait de nombreux documents confidentiels ou secrets. Tout ceci ne serait certainement pas arrivé si les règles en matière de sécurité informatique en vigueur dans l’Administration fédérale et au Département de la défense (DDPS) avaient été respectées.

Des e-mails non cryptés

Comme toutes les unités qui gèrent des informations ultrasensibles, le Service de renseignement de la Confédération (SRC) est soumis à la plus haute exigence en matière de sécurité. Chaque employé y possède deux postes de travail, l’un branché sur l’extérieur, l’autre uniquement relié au réseau interne, complètement hermétique: le fameux réseau SiLAN.

L’informaticien gérait notamment le serveur mail de ce réseau. Seulement voilà, on n’aurait jamais dû y trouver des données confidentielles ou secrètes. La directive 52.066 de la division Protection des informations et objets (PIO) du DDPS interdit en effet l’envoi de documents confidentiels non chiffrés dans des e-mails, même en interne.

Quant aux documents classés «secret», il est exclu de les envoyer en attachement, même de façon cryptée. La règle veut que ceux-ci soient échangés grâce à des liens vers les serveurs sécurisés, auxquels n’ont accès que les personnes habilitées. Il est par ailleurs conseillé d’y conserver les informations de façon cryptées.

Alors qu’il gère des données de nature à déstabiliser le pays si elles tombaient entre de mauvaises mains, le SRC applique toutefois d’autres règles internes depuis 2010, «pour le traitement facilité des informations». Celles-ci n’exigent pas le chiffrement des données sur le réseau ou dans les mails internes.

Trop de droits à l’administrateur

Les recommandations du Conseil informatique de la Confédération (CI), qui réunit tous les plus hauts responsables IT de l’administration, n’ont pas non plus été respectées au SRC.

Pour les serveurs avec des informations particulièrement sensibles, la bonne pratique définie par le CI préconise que l’administration réseau se fasse selon le principe de separation of duties (SoD): pour faire simple, deux administrateurs réseau se partagent les droits d’accès de façon à ce qu’aucun des deux ne puisse effectuer des interventions cruciales, sans l’assentiment de l’autre. Si cette précaution avait été appliquée, le prévenu n’aurait par exemple pas pu changer seul des scripts pour contourner les alarmes en cas de téléchargement de grandes quantités de données.

Toujours selon le CI, le relevé des activités réseau (les «logs») doit être envoyé sur un serveur auquel l’administrateur n’a pas accès, afin d’y être analysé en permanence. C’est par exemple le cas à l’Office fédéral de police (FedPol). Mais au SRC, ces points n’étaient pas remplis; ou le contrôle des logs était défaillant, puisque le prévenu a pu sortir des données «sur plusieurs semaines». Depuis le vol des données du mois de mai «les procédures ont été revues et ont d’ores et déjà été adaptées là où c’est possible», souligne le DDPS dans une prise de position écrite en réponse à nos questions.

Il rappelle également qu’un Concept de sûreté de l’information et de protection des données a été remis en 2008. Problème: celui-ci n’a pas été mis à jour depuis les nombreux changements structurels et organisationnels survenus avec la fusion en janvier 2010 du Service de renseignement stratégique et du Service d’analyse de prévention.

Un audit qui n’a pas été fait

Un audit transversal de la sécurité informatique avait été mené en 2011 au sein de l’administration par le Contrôle fédéral des finances (CdF). Des lacunes de sécurité avaient été décelées dans de nombreux services. Le SRC, toutefois, n’avait pas été examiné. A l’époque, les experts avaient estimé que les besoins en sécurité y étaient si forts qu’il aurait été absurde de le comparer aux autres services. Une erreur de jugement.

Pour Peter Fischer, le Délégué au pilotage informatique de la Confédération, il s’agit maintenant de tirer les leçons de la faille qui a secoué le SRC: «Nous analyserons le cas lors de nos prochaines réunions du Comité de la sécurité informatique de la Confédération.» De son côté, le CdF envisagerait de procéder à un audit informatique au Service de renseignement. (Le Matin)

Créé: 07.10.2012, 10h57

Publier un nouveau commentaire

Attention, une nouvelle procédure est en place. Vous devez vous inscrire ou mettre à niveau votre profil
"Le Matin" aime les débats. Mais trop d'abus ont lieu dans les forums. La politique pour commenter un sujet a changé. Vous devez créer un compte utilisateur ou compléter votre profil existant avec un numéro de téléphone mobile (vous n'en avez pas? envoyez une demande à l'adresse commentaire@lematin.ch). Nous vous prions d’utiliser votre nom complet. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de penser que de nombreuses personnes vous lisent. Et bon débat!
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.