Données volées disparues du DarkNet

Les données sensibles ont été mises en ligne sur le DarkNet les 13 et 14 juin par le groupe "Play", mais ont été retirées entre-temps, a indiqué dimanche le NCSC à l'agence Keystone-ATS. Il ne s'explique pas cette disparition.

Parmi les données volées auprès de la société bernoise Xplain figure un document de 2018 sur les mesures de sécurité pour les diplomates et les ambassades étrangères, ainsi que les personnes et objets protégés par la Confédération suisse, selon la NZZ am Sonntag. Les adresses de conseillers fédéraux sont listées, tout comme les résidences de cadres supérieurs sous protection.

Le SonntagsBlick affirme de son côté que les pirates informatiques ont aussi mis la main sur des mandats d'arrêt et d'extradition d'Interpol ainsi que sur des avis de recherche concernant des criminels présumés.

Jusqu'à présent, rien n'indique que quelqu'un ait voulu se servir de ces informations pour accéder à un système informatique de la Confédération, écrit le NCSC. Des mesures de sécurité ont été prises au sein de l'administration fédérale immédiatement après l'attaque par rançongiciel, notamment la modification de toutes les données d'accès et de connexion.

Plainte contre inconnu

Interrogé par Keystone-ATS, l'Office fédéral de la police (Fedpol) a fait savoir dimanche qu'il ne confirmait pas la publication sur le DarkNet de certains documents, ni leur actualité ou leur contexte. Cela "afin de ne pas anticiper les différentes enquêtes en cours ou annoncées".

Selon le porte-parole de Fedpol Patrick Jean, la rediffusion de données sensibles peut aussi représenter un risque pour la sécurité et constituer un délit. Fedpol veut clarifier les circonstances dans lesquelles les données opérationnelles se sont retrouvées sur les serveurs de personnes privées et a en conséquence déposé une plainte pénale contre inconnu.

Etat-major de crise

Des pirates informatiques ont attaqué Xplain avec un rançongiciel et volé de grandes quantités de données de l'administration fédérale qui y étaient stockées. L'entreprise bernoise n'a pas cédé au chantage et les pirates ont publié sur le DarkNet des données de Fedpol et de l'Office fédéral des douanes et de la protection des frontières (OFDG) le 3 juin.

Les hackers ont mis en ligne d'autres données opérationnelles de l'administration fédérale il y a deux semaines. Le Ministère public de la Confédération (MPC) a ouvert une procédure.

Le Conseil fédéral a mis en place un état-major de crise, chargé de coordonner les travaux en cours pour gérer l'attaque par rançongiciel menée contre Xplain. "Il faut s'assurer que cette fuite de données ne se poursuit pas et qu'une telle chose n'est plus possible à l'avenir", a déclaré mercredi la ministre des finances Karin Keller-Sutter. Elle a qualifié la fuite des données d'"inquiétante".

Des millions de fichiers

Le Conseil fédéral fait également élaborer un mandat d'enquête administrative par le Département fédéral des finances. Cette enquête vise à examiner de manière indépendante si, où et pourquoi les directives de sécurité de la Confédération ont éventuellement été mal appliquées. La question est notamment de savoir comment un fournisseur informatique privé a pu disposer des données sensibles.

L'évaluation et l'analyse de l'incident et des données volées pourraient prendre plusieurs semaines, voire des mois, des millions de fichiers ayant été volés.