Début juin, il a été rendu public que l’entreprise suisse Xplain, un fournisseur de logiciels destinés aux autorités de sécurité et aux organisations d’intervention d’urgence, avait été victime d’une attaque par rançongiciel du groupe de cybercriminels Play. En accord avec la Confédération et les autorités de poursuite pénale, l’entreprise Xplain n’a pas répondu aux demandes de rançon des cybercriminels. À la mi-juin 2023, ceux-ci ont alors vraisemblablement publié sur le darknet l’ensemble du lot de données dérobées. L’Office fédéral de la douane et de la sécurité des frontières (OFDF) fait partie des unités administratives concernées par la fuite des données.
Cyberattaque contre l’entreprise Xplain: conséquences pour l’Office fédéral de la douane et de la sécurité des frontières et mesures prises
Le groupe de cybercriminels Play a réussi à accéder à une grande quantité de données stockées dans les systèmes informatiques de Xplain et à les crypter. Après une tentative de chantage infructueuse, les données ont été publiées sur le darknet. L’entreprise Xplain a annoncé le cyberincident au Centre national pour la cybersécurité (NCSC) et déposé plainte auprès de la police cantonale bernoise.
L’OFDF a été informé par Xplain le 23 mai 2023 du vol de données et des autres faits. Après avoir pris connaissance de l’incident, l’OFDF a déposé une plainte pénale contre inconnu auprès du Ministère public de la Confédération et a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) de l’incident.
Dans quelle mesure l’OFDF est-il concerné?
D’après les connaissances actuelles, les données volées comprennent des données personnelles (p. ex. nom, prénom, date de naissance, numéro de passeport) et, dans certains cas, des données sensibles de personnes physiques (p. ex. photos du visage). Sur la base des connaissances acquises à jour, ces données proviennent de rapports de test ou d’erreur et de fichiers journaux du système de contrôle frontalier eneXs, que l’OFDF utilise principalement pour les contrôles de personnes aux frontières extérieures et intérieures de l’espace Schengen. En l’état actuel des connaissances, rien n’indique que des données de documents classés confidentiels et/ou secrets de l’OFDF (selon l’ordonnance concernant la protection des informations, RS 510.411) aient fuité.
Le système de contrôle aux frontières eneXs a été développé par la société Xplain en 2009 sur mandat de l’OFDF. Le système eneXs permet notamment de comparer les documents d’identité avec les systèmes d’information nationaux et européens et de vérifier leur authenticité. Ces contrôles sont importants pour garantir la sécurité intérieure de la Suisse. L’application eneXs n’enregistre aucune donnée. Les informations sont simplement recherchées et affichées temporairement lors des contrôles.
L’OFDF a conclu un contrat d’entreprise avec Xplain dans le domaine informatique pour la livraison et la maintenance du logiciel eneXs et pour les prestations d’assistance. Dans le cadre du développement et de la maintenance du logiciel ainsi que des prestations d’assistance, il est courant que des rapports d’erreur et des données de test soient transmis à Xplain. L’enquête en cours a notamment pour but de déterminer les circonstances et les exigences selon lesquelles les données rendues publiques ont été transmises à Xplain et gardées par celle-ci. Il convient de souligner à cet égard que la fuite des données n’a aucune influence sur le fonctionnement opérationnel de l’OFDF.
L’OFDF prend cet incident très au sérieux. Les données provenant du darknet sont analysées et contrôlées par des spécialistes de l’OFDF afin d’évaluer l’ampleur de la fuite et de déterminer quelles sont les autres mesures à prendre.
Comment l’OFDF informe les personnes concernées?
L’analyse de l’incident et l’évaluation des données en lien avec l’OFDF ne sont pas encore terminées. L’OFDF informera de façon directe et active les personnes dont les droits de la personnalité sont particulièrement affectés par la fuite des données et qui peuvent ainsi être exposées à des préjudices. D’après l’état actuel de l’évaluation, environ 60 personnes seraient concernées par le vol de données sensibles.
En cas d’éléments nouveaux, l’OFDF informera en temps utile et de manière transparente sur son site Internet.
Coordination étroite avec d’autres autorités et services fédéraux
Le Centre national pour la cybersécurité (NCSC) coordonne les analyses et les mesures à prendre au sein de l’administration fédérale. L’OFDF maintient un contact étroit avec le NCSC. Par ailleurs, le Conseil fédéral a convoqué le 28 juin 2023 une cellule de crise politico-stratégique chargée de coordonner les travaux en cours au niveau interdépartemental et de proposer des mesures. Les contrats existants avec les prestataires de services informatiques de la Confédération seront en outre examinés et, si nécessaire, adaptés de manière à améliorer la cybersécurité des prestataires de services et à permettre à la Confédération de réagir rapidement en cas d’attaque fructueuse.
Si vous avez d’autres questions concernant cet incident, veuillez vous adresser à la centrale de renseignement de l’OFDF.
