Lexipedia

16.1021 · Question urgente · 2016-06-02

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Les médias l'ont annoncé, et l'information a été confirmée de source officielle : l'entreprise RUAG et le DDPS ont été victimes d'une cyberattaque. Le rapport technique de la centrale Melani consacré à cette cyberattaque ("APT Case RUAG : Technical Report") fournit les premières informations en la matière et recommande la prise de contre-mesures. Cette situation soulève les questions urgentes suivantes :

1. L'entreprise RUAG veut se profiler comme un centre de compétences en matière de cyberdéfense et de cybersécurité. D'après le rapport, de nombreuses mesures qui ont été omises font partie des bonnes pratiques standard. La réputation de l'entreprise RUAG dans ce domaine est ruinée. Le Conseil fédéral va-t-il intervenir pour que l'on adapte la stratégie commerciale ?

2. La stratégie du propriétaire qu'est la Confédération prévoit l'indépendance de l'entreprise RUAG ; pourtant, les réseaux du DDPS et de l'entreprise RUAG sont restés étroitement liés. Pourquoi ? D'autres offices s'en trouvent-ils concernés ?

3. Pourquoi l'OFIT a-t-il externalisé des données au DDPS, lequel les a externalisées à son tour à l'entreprise RUAG ?

4. Le rapport indique qu'il est essentiel de mener une politique d'information transparente, notamment sur les vecteurs d'attaques et sur les techniques utilisées, dans le but de rendre plus difficiles de futures attaques et d'aider des cibles potentielles à se protéger. Cette façon de procéder qui est correcte en termes de technique de sécurité est en contradiction directe avec les projets de la Confédération et des cantons visant à participer à l'achat de chevaux de Troie gouvernementaux (dans le cadre de la loi sur le renseignement et de la LSCPT). En achetant des chevaux de Troie gouvernementaux, on soutient le marché des lacunes de sécurité inconnues (exploitations "zero day") - et donc des milieux souvent criminels - au lieu de contribuer à accroître la sécurité pour tous. Que pense le Conseil fédéral de cette contradiction ?

5. Le maliciel utilisé, à savoir "Epic Turla/Tavdig", est connu depuis longtemps. Il a été utilisé en août 2014 contre de nombreuses cibles, par exemple gouvernementales, notamment en Suisse. Il n'a pourtant pas été découvert. Sur les réseaux du DDPS et de l'entreprise RUAG, ne scanne-t-on pas régulièrement les ordinateurs (clients et serveurs) à la recherche de maliciels connus ? Ne procède-t-on pas à des audits de sécurité portant par exemple sur les "active directories"?

6. Les fichiers journaux montrent que 23 Go de données ont été exfiltrés, mais ils ne permettent pas de déterminer de quelles informations il s'agit. Toutefois, on a mis en place une phase d'observation après la découverte de la fuite. Les informations concernant le DRA 10, que les médias ont mentionnées, ont-elles été exfiltrées lors de cette phase d'observation ? N'aurait-on pas pu modifier certaines informations sensibles pour faire en sorte que les auteurs de l'attaque se croient en sécurité et pour prévenir la fuite des informations ? Est-il exact que la plus grande partie des données qui ont été ponctionnées ne sera jamais connue ?

Stellungnahme des Bundesrates

1. Le Conseil fédéral abordera les conclusions à tirer de la cyberattaque dans le cadre des discussions ordinaires avec le conseil d'administration de RUAG et demandera à ce qu'on lui expose quelles conséquences l'attaque aura sur la stratégie du groupe.

2. Une importante interconnexion caractérise l'actuel monde du travail, et cela concerne aussi les infrastructures informatiques. Les gains en termes d'efficience qui sont demandés par le Parlement et soutenus activement par le Conseil fédéral nécessitent un échange d'informations rapide et complet. Les exigences en matière de sécurité demandent dans la plupart des cas des efforts supplémentaires, ce qui peut aller à l'encontre de l'efficience. Le présent cas montre toutefois aussi que la protection des réseaux du Département fédéral de la défense, de la protection de la population et des sports (DDPS) et de l'administration fédérale a fonctionné et que l'attaquant n'a pas eu accès, selon les connaissances actuelles, à des données du DDPS.

3. L'Office fédéral de l'informatique et des télécommunications (OFIT) n'a externalisé aucune donnée ou application au DDPS. L'OFIT exploite des répertoires et des systèmes relatifs au personnel qui sont utilisés par les unités de l'administration fédérale. Les questions de l'accès à ces répertoires, du type de données accessibles et des groupes d'utilisateurs autorisés seront examinées et réglées à la suite des clarifications effectuées après la cyberattaque.

4. Les conditions régissant les mesures d'acquisition prévues dans la loi sur le renseignement et le recours à ces mesures sont clairement réglées. Dans le cadre de la révision de la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (RS 780.1), il est par ailleurs prévu d'adapter l'article 269ter du Code de procédure pénale (RS 312.0) afin de créer des conditions-cadres claires pour l'utilisation de programmes informatiques particuliers. Selon le Conseil fédéral, il n'y a là aucune contradiction. La politique d'ouverture en matière d'information sur les vecteurs d'attaques contribue à éviter d'autres attaques ou, du moins, à les identifier à temps. De plus, les failles de sécurité sont documentées de façon exhaustive sur Internet dès qu'elles ont été identifiées et sont (en règle générale) rapidement réparées par le développeur de l'application concernée. Les fabricants de "govware" tentent certes d'utiliser des failles de sécurité, mais ils ne peuvent et ne veulent pas résoudre ces vulnérabilités.

5. L'emploi du maliciel trouvé chez RUAG aurait été identifié dans le réseau de la Confédération. Au DDPS, comme à l'OFIT, des scans du réseau et des PC ont lieu régulièrement. À cet égard, il convient de relever qu'avec le temps de nouvelles variantes peuvent se former au sein d'une famille de maliciels en particulier, qui ne présentent plus forcément les caractéristiques d'identification connues. Des indicateurs techniques concernant la famille de maliciels évoquée sont échangés depuis des années déjà dans le cadre du partenariat public-privé entre la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) et les exploitants des infrastructures critiques (dont RUAG fait partie). Les entreprises sont responsables d'utiliser ou non ces indicateurs dans leurs systèmes de sécurité internes.

6. Une fois l'infection identifiée et les mesures immédiates prises, plus aucune donnée n'a fuité depuis les ordinateurs infectés de RUAG. Il va de soi que lorsque des ordinateurs infectés continuent d'être exploités sous contrôle, on veille à ce qu'il n'y ait pas de fuites de données réelles. Il faut toutefois admettre qu'il est impossible d'identifier toutes les données qui ont fuité.

Réponse du Conseil fédéral.