Cyberattaque contre l’entreprise Xplain : publication du rapport de l’Office fédéral de la cybersécurité sur l’analyse des données
Berne, 07.03.2024 - Suite à la cyberattaque contre la société Xplain, l’Office fédéral de la cybersécurité (OFCS) – anciennement le Centre national pour la cybersécurité (NCSC) – s’est chargé de la gestion de l’incident au sein de l’administration fédérale. Ainsi, il a notamment analysé les données publiées par les pirates sur le darknet. Les résultats correspondants sont expliqués dans le rapport publié aujourd’hui. Ce dernier montre le type de données concernées et présente les défis posés à l’analyse. En revanche, il ne procède à aucune évaluation du contenu des données. De plus, il n’examine pas comment la fuite a pu se produire, car cette question sera élucidée dans le cadre de l’enquête administrative en cours.
Lors d’une attaque par rançongiciel, le groupe de pirates informatiques Play a volé des données à l’entreprise Xplain et, le 14 juin 2023, les a publiées sur le darknet, apparemment dans leur intégralité. Les données dérobées contenaient notamment des informations classifiées et des données personnelles sensibles provenant de l’administration fédérale. Le NCSC a dirigé la gestion de l’incident, défini des mesures pour rétablir la sécurité des systèmes et effectué une analyse complète des données publiées.
Afin de contribuer au traitement de l’incident et d’assurer la plus grande transparence possible, le NCSC publie aujourd’hui le rapport correspondant sur la procédure et les résultats de l’analyse des données. L’objectif est de donner un aperçu du type de données concernées et de présenter les défis liés à leur analyse.
Pertinence des données publiées
Le volume de données publiées sur le darknet s’élevait à environ 1,3 million d’objets. Une fois les données téléchargées, tous les documents pertinents pour l’administration fédérale ont été systématiquement catégorisés et triés, sous la conduite du NCSC. Cette étape a permis d’identifier quelque 65 000 documents, soit environ 5 % de l’ensemble des données publiées. Plus de 70 % d’entre eux appartenaient à la société Xplain (47 413 objets) et environ 14 % à l’administration fédérale (9040 objets). Quelque 95 % des objets de l’administration fédérale provenaient des unités administratives du Département fédéral de justice et police (DFJP) – l’Office fédéral de la justice, l’Office fédéral de la police, le Secrétariat d’État aux migrations et le Centre de services informatiques du DFJP. Le Département fédéral de la défense, de la protection de la population et des sports est légèrement touché par la fuite (un peu plus de 3 % des données), tandis que les autres départements ne sont concernés que de manière marginale.
Part des données sensibles
Environ la moitié des documents de l’administration fédérale (5182 objets) contenait des éléments sensibles comme des données personnelles, des informations techniques, des informations classifiées ou des mots de passe. Ainsi, des données personnelles telles que des noms, des adresses électroniques, des numéros de téléphone ou des adresses figuraient dans 4779 objets, tandis que 278 objets ont été classés dans la catégorie des informations techniques (documentation de systèmes informatiques, documents indiquant les exigences posées à des applications, descriptions d’architectures, etc.). De plus, 121 objets étaient classifiés en vertu de l’ordonnance concernant la protection des informations. Enfin, 4 objets contenaient des mots de passe en clair.
Défis liés à l’analyse
Un travail d’analyse considérable a été nécessaire pour déterminer quelles données ont été volées, dans quelle ampleur et à qui elles appartenaient. Les données non structurées ont dû être préparées et rendues lisibles au moyen d’instruments appropriés. Ensuite, il a fallu trier manuellement et catégoriser les objets considérés comme pertinents. Les différents offices fédéraux et prestataires concernés ont collaboré étroitement, sous la conduite du NCSC, ce qui a permis de mettre à profit les synergies, d’utiliser les ressources judicieusement et de gagner un temps précieux.
Enquête administrative
Afin de traiter de manière exhaustive les événements liés à la fuite de données de la société Xplain, le Conseil fédéral a instauré un état-major de crise politico-stratégique « Fuite de données » (EMPS-F) le 28 juin 2023 et ordonné une enquête administrative le 23 août 2023. Cette dernière doit s’achever d’ici la fin mars 2024. Le Conseil fédéral prendra ensuite connaissance de ses résultats et de ses recommandations et décidera de la suite à donner à ce dossier.
Adresse pour l'envoi de questions
Communication OFCS
+41 58 465 04 64
media@ncsc.admin.ch
Auteur
Office fédéral de la cybersécurité
https://www.ofcs.admin.ch
Secrétariat général du DDPS
https://www.vbs.admin.ch/
Dernière modification 08.12.2020