Discussion :

[Olivier Famien]

Suède : L’agence des transports expose des données confidentielles du pays que son ministre qualifie de désastre,
mais l’agence rassure au sujet de son exploitation

En janvier dernier, Maria Agren, directrice de l’agence des transports de Suède a été congédiée pour des raisons non divulguées. Ce n’est pas la première fois qu’un agent de gouvernement se fait limoger, donc pas de quoi s’alarmer. Mais ce qui attira l’attention des médias est que cette dernière fut condamnée à la suite d’une enquête policière à payer en juin dernier 70 000 SKr (ce qui correspond à 7300 euros, la moitié de son salaire) après avoir été condamnée pour négligence dans la gestion des informations secrètes. Cette pénalité a attiré l’attention des médias qui ont investigué et mis l’affaire au grand jour. Que s’est-il passé ?

En 2011, à la suite d’un audit ordonné par le gouvernement suédois, il a été recommandé aux agences gouvernementales suédoises de recourir à plus de sous-traitants dans l’exécution de leurs services informatiques afin de réduire les dépenses budgétaires. En avril 2015, l’agence des transports suédois entreprend de se tourner vers IBM pour externaliser plusieurs services informatiques y compris ceux liés au matériel, réseau et logiciel.

Ce contrat entre l’agence des transports suédois et IBM qui comprend plus de 1000 serveurs, salles de données et support est décrit comme l’une des plus grandes affaires de sous-traitance entreprise par une autorité suédoise. Toutefois, cette affaire qui devait permettre à l’agence des transports suédois de baisser ses coûts va prendre une autre tournure lorsqu’en mai 2015, Maria Ågren, la directrice de l’agence décide faire fi des lois protégeant les données confidentielles et accepte de transférer les données confidentielles à sa disposition en n’entourant pas ce transfert des mesures de sécurité décrites par les lois assurant la protection des données confidentielles. Un audit interne aurait même remis en cause sa décision, mais la directrice aurait décidé quand même de faire marche avant en faisant fi de ces avertissements. Il faut souligner que l’agence a choisi de procéder ainsi, car elle devait réagir vite vu que le personnel disponible commençait déjà à être dégraissé.

En juin 2015, le contrat de maintenance des bases de données de l’agence et de ses réseaux accordé à IBM entre dans phase opérationnelle avec le transfert de la base de données de l’agence sur les serveurs cloud d’IBM. Cette base de données contiendrait les détails sur les véhicules militaires, les pilotes de chasse, les enregistrements de police et des militaires, les informations sur les opérateurs dans les unités secrètes militaires, les suspects de la police, les programmes de protection de témoins et des individus, etc. Et chose inquiétante pour les autorités suédoises est que les services d’IMB fournis à l’agence sont effectués à partir des pays basés en Europe de l’Est et plus précisément en République tchèque et en Serbie et non à l’intérieur de la Suède. Les pare-feu et les communications étaient gérés à partir de la Serbie et les administrateurs d’IBM en République tchèque disposent de tous les accès aux données et aux journaux. Selon les enquêtes, le personnel d’IBM avait également accès aux systèmes de l’agence de transport suédois sans que des vérifications aient été effectuées au préalable.

En outre, en plus des données qui étaient accessibles par le personnel d’IBM, l’agence des transports suédois aurait envoyé par mail la totalité de la base de données à sa disposition à des agences de marketing dans des messages non chiffrés afin que celles-ci puissent s’abonner. Et lorsque l’agence s’est rendu compte du problème de sécurité que les messages envoyés en texte clair posaient, elle a simplement envoyé une seconde liste et a demandé aux destinataires de supprimer la première liste envoyée.

Cette affaire qui a été largement relayée par la presse suédoise a obligé Stefan Lofven, le Premier ministre suédois, à se prononcer ce lundi sur cette exposition de données qu’il a qualifiée « d’extrêmement grave » et de « désastre ». Selon un fonctionnaire de l’agence des transports, en fournissant ces informations à ces sous-traitants sans mesures de sécurité les accompagnant, c’est comme remettre les clés du royaume à des tiers. En attendant toute la lumière sur cette affaire et les décisions prises pour éviter que de tels scénarios se reproduisent, l’agence déclare qu’elle n’a pas accès aux informations sur les véhicules militaires ou les pilotes de chasse, mais a accès à d’autres informations sensibles. Elle ajoute qu’elle n’a aucune indication que les informations ont été mal utilisées. Et même si cela était le cas, cette affaire vient rappeler encore une fois de plus qu'il ne faut pas oublier que le cloud n'est que l'ordinateur d'une autre personne physique ou morale distante. La sécurité personnelle devrait être toujours de mise.

Source : The Financial Times, Reuters, L’Agence des transports suédois, Privacy News Online, SVT NYHETER

Et vous ?

Quelles leçons pouvez-vous tirer de cette affaire ?

Quelles recommandations pouvez-vous faire afin que pareilles situations ne surviennent plus ?

Voir aussi

Une fuite de données chez GeekedIn expose plus de 8 millions de comptes Github sur la toile, chaque utilisateur peut vérifier s'il est concerné
Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée à cause d'un service de stockage qui n'a pas été sécurisé

[Mimoza]

C'est aussi le rapport qui préconise l'utilisation massive de sous-traitants qu'il faut accuser.

[TiranusKBX]

@Mimoza
Le jours ou les ultra-capitalistes et les gouvernants comprendrons que optimisation des coûts et sécurité des données ne vont pas ensemble on auras déjà terraformé Mars