Le gouvernement fédéral n’a jamais contrôlé la société informatique Concevis

La sécurité informatique de l’administration fédérale est inégale. La sécurité des fournisseurs s’est révélée être une faiblesse majeure ces derniers mois. Au cours de l’été, des cyberattaques criminelles contre la société informatique Xplain et un bureau d’architectes bernois ont été révélées. Dans les deux cas, les attaquants ont volé des informations relatives à la sécurité.

Le gouvernement fédéral n’a visiblement encore rien appris de ces attaques des groupes dits de ransomwares – ou n’a pas encore pris de mesures suffisantes. La semaine dernière, le Centre national pour la cybersécurité (NCSC) a annoncé un autre cas : l’éditeur de logiciels Concevis a été victime au début du mois d’une attaque de ransomware, au cours de laquelle des données de la Confédération, des cantons et d’entreprises privées ont probablement également été volées.

Ni l’entreprise ni le NCSC ne révèlent comment les attaquants ont réussi à pénétrer dans les systèmes de Concevis. Mais il est clair que l’attaque est utile L’ensemble du réseau informatique de l’entreprise est crypté et est donc devenu inutilisable. Le cryptage complet signifie que les mesures de sécurité étaient plutôt faibles et que l’attaque a été détectée relativement tard. Cela ne donne pas une bonne image de la sécurité informatique de Concevis.

Aucun contrôle de sécurité effectué depuis des années

Mais ce n’est pas seulement l’entreprise elle-même qui est responsable. Le gouvernement fédéral a également négligé sa capacité de surveillance. Dans les contrats avec ses fournisseurs, l’administration fédérale prévoit ce qu’on appelle le droit d’audit : la Confédération peut vérifier ou faire contrôler la sécurité informatique de l’entreprise externe.

Dans le cas de Concevis, cela ne s’est pas produit. “Le gouvernement fédéral n’a encore procédé à aucun contrôle de sécurité ni audit dans l’entreprise Concevis”, écrit le NCSC sur demande. Et ce, même si l’éditeur de logiciels travaille pour le gouvernement fédéral depuis au moins 2011. Les agences fédérales qui achètent les produits Concevis seraient responsables d’une telle inspection. Il s’agit par exemple de l’Administration fédérale des contributions ou de l’Office fédéral de la statistique.

L’entreprise elle-même n’a apparemment pas fait procéder à un contrôle de sécurité externe. Concevis a répondu de manière évasive à la question de la NZZ. Premièrement, de nouvelles mesures techniques et organisationnelles seraient continuellement « mises en œuvre » pour assurer la cybersécurité. Lorsqu’on lui pose la question pour la première fois, Concevis fait référence au gouvernement fédéral. Interrogée une deuxième fois, l’entreprise a écrit qu’elle ne répondrait pas « aux questions détaillées concernant notre infrastructure informatique ». Cette communication ne laisse pas confiance dans la sécurité informatique.

Après tout, la société Concevis semble relativement bien connaître les données externes stockées sur ses propres serveurs. Selon l’administration fédérale, par rapport à l’entreprise Xplain, Concevis a été en mesure d’informer relativement rapidement sur les données que les criminels auraient pu voler.

Cependant, les informations du NCSC sur les fuites de données soulèvent également des questions. Le communiqué de presse parle de « données opérationnelles plus anciennes » que les criminels auraient copiées. Cependant, ces données ne devraient plus se trouver sur les serveurs de l’entreprise informatique, surtout si elles sont plus anciennes.

Trouver les attaquants est complexe

Les criminels ont menacé de publier les données sur le dark web. Il s’agit d’une procédure courante utilisée par les groupes de ransomwares, qui tentent également de faire chanter la victime. En juin, par exemple, le groupe Play a publié les données du fournisseur informatique Xplain alors qu’aucune rançon n’avait été payée.

Dans le cas de Concevis, cependant, il y avait initialement des indications selon lesquelles un groupe pourrait être à l’origine de l’attaque qui vend les données capturées directement sur le Darknet – sans jamais les rendre publiques. Les autorités ne sauraient alors jamais exactement quelles informations ont été divulguées. Les autorités pensent désormais qu’il existe un groupe qui rend publiques les données volées. Il n’existe aucune information officielle quant au groupe de ransomwares à l’origine de l’attaque. Le parquet compétent de Bâle-Ville ne fournit aucune information à ce sujet.

Selon les informations de la NZZ, le ransomware que les criminels ont utilisé pour chiffrer les systèmes informatiques de Concevis est Phobos. Il s’agit d’un malware utilisé par plusieurs groupes, comme le montre une nouvelle analyse de Cisco Talos. Cela a peut-être contribué à la confusion quant au groupe criminel qui était réellement à l’origine de l’attaque.

Le groupe le plus connu utilisant actuellement Phobos est 8base. Cette bande criminelle est extrêmement active dans le monde entier depuis cet été. Toutefois, les attaques de 8base restent rares en Suisse. Le groupe exploite également un site de fuite, un site Web sur le dark web sur lequel les criminels publient les données des victimes. Dans le passé, 8base avait mentionné son propre nom dans la demande de rançon, ce qui n’était apparemment pas le cas de Concevis. Il n’est donc pas clair si 8base elle-même est à l’origine de l’attaque contre Concevis.

Après l’attaque contre Xplain, le Conseil fédéral une équipe de crise sur le sujet convoqué. Cependant, il n’a pas encore ordonné de mesures majeures. Le gouvernement fédéral a seulement averti les fournisseurs informatiques par écrit : Respect des exigences de sécurité. Une révision des contrats est également en cours. D’autres mesures, telles qu’un contrôle efficace de la sécurité informatique, ne seront pas disponibles avant l’année prochaine, voire pas du tout. D’ici là, la sécurité de l’administration fédérale reste insuffisante.