Attaque contre Xplain: des données de la police militaire également publiées (update)

Mise à jour du 25 août 2023: Dans le cadre des travaux d'enquête menés après le piratage de Xplain, les spécialistes du Groupement Défense et le NCSC ont examiné les jeux de données concernant l'armée. Il apparaît que les auteurs ont également dérobé des fragments du Système de journal et de rapport JORASYS de la police militaire, indique la Confédération. 

Il s’agit de données de journal utilisées par Xplain pour analyser des erreurs d'exploitation. Les extraits contiennent des données sur des personnes soumises au droit pénal militaire ainsi que des tiers enregistrés à la suite d'incidents en rapport avec l'armée ou des militaires. Les auteurs ont également publié une liste d'environ 720 utilisateurs actifs et inactifs de JORASYS au sein de l'armée pour l'année 2020.

Selon la Confédération, il n'y a aucun risque pour les personnes concernées. Elles vont maintenant être informées. L'infrastructure informatique de l'armée n'est pas concernée. L'armée a porté plainte contre les auteurs.

Mise à jour du 19 juin 2023: Selon les recherches du Matin Dimanche, l’attaque par ransomware contre le prestataire bernois Xplain (lire ci-dessous) a compromis des données sensibles. L'hebdomadaire a consulté les fichiers publiés sur le darknet et confirme que des données de la plupart des polices cantonales sont compromises. Des documents des CFF,  de Ruag ou encore du SECO sont aussi dans le paquet de 907 Go de données, réparties en 646 fichiers, volées par le gang Play. «Pour ce qui touche les particuliers, il s’agit de formulaires administratifs remplis, de passeports, de cartes d’identité ou encore de cartes d’assurance. Pour les forces de police, les documents trouvés correspondent principalement à des factures», indique Le Matin Dimanche. 

Mise à jour du 14 juin 2023: Lors d’un premier communiqué daté du 8 juin (lire plus bas), la Confédération partait du principe que ses systèmes n’étaient pas directement accessibles via ceux de Xplain, le prestataire IT alémanique ciblé par l'attaque qui a touché  Fedpol, des polices cantonales, l’armée, les douanes et les CFF. Sauf que des analyses de fond ont confirmé que les données dérobées   comprennent bel et bien des données opérationnelles de diverses autorités et organisations, indique un nouveau communiqué du Centre national de cybersécurité (NCSC). 

Il s'agit maintenant de déterminer si les informations compromises sont actuelles et potentiellement dommageables. Surtout, le NCSC ajoute qu’il va devoir comprendre comment les données de l'administration fédérale se sont retrouvées sur l'infrastructure de l'entreprise Xplain. On apprend également que dans la nuit du 13 au 14 juin, de nouveaux lots de données ont été publiés sur le dark web. En outre, aucun lien n'a pu être établi entre l'attaque contre Xplain et les attaques DDoS lancées contre les sites de l'administration fédérale et des Services du Parlement.

Mise à jour du 12 juin 2023: La liste des victimes de la cyberattaque contre le prestataire de services informatiques Xplain ne cesse de s'étendre. Selon un article de la NZZ am Sonntag, entre autres rapporté par le média Watson, les CFF sont aussi concernés par l’attaque. Le canton d'Argovie figure aussi parmi les victimes. «Un petit volume de données opérationnelles liées à des protocoles d'erreur qui étaient analysées chez Xplain, ainsi que de la correspondance commerciale, sont concernés par la fuite», ont déclaré les autorités argoviennes, citées par Watson. Les cybercriminels auraient volé près d'un téraoctet de données sur les serveurs de Xplain.

Mise à jour du 8 juin 2023: Les premières informations concernant la cyberattaque qui a récemment touché Fedpol, des polices cantonales, l’armée et les douanes (lire ci-dessous) écartaient la compromission de données de projets en production. Mais selon le Centre national de cybersécurité (NCSC), qui vient de publier un communiqué concernant cette attaque, «des données opérationnelles pourraient également être touchées selon les dernières analyses approfondies». Le NCSC ajoute toutefois que l'administration fédérale part du principe que ses systèmes ne sont pas directement accessibles via les systèmes de Xplain, le prestataire IT alémanique ciblé par l'attaque. 

News originale du 5 juin 2023: L’armée suisse et Fedpol touchés par une cyberattaque Fedpol, des polices cantonales, l’armée et les douanes.

Des pirates informatiques ont divulgué sur le dark web des données de plusieurs polices cantonales. Mais aussi de Fedpol, de l’armée, ainsi que de l’Office fédéral de la douane et de la sécurité des frontières (OFDF). C'est le média Le Temps (article accessible aux abonnés) qui a divulgué cette cyberattaque, décrite par le quotidien romand comme «du jamais vu en Suisse». 

La cyberattaque a ciblé le prestataire IT alémanique Xplain. Répondant aux questions du Temps, le CEO de l’entrepise a reconnu l'incident sans donner de détails, ajoutant ne pas être entré en négociations avec les cybercriminels. Le prestataire a en outre demandé l'aide du Centre national de cybersécurité (NCSC). 

Contacté par le quotidien romand, Fedpol explique que les données le concernant et mises en ligne sur le dark web ne concernent pas des projets en production. Il s’agirait de «données de simulation anonymisées à des fins de test». L’Office fédéral de la douane et de la sécurité des frontières affirme de son côté que les données compromises concernent la correspondance avec Xplain, «les données de l’office lui-même ne sont pas concernées». 

Le piratage de Xplain date du 23 mars et serait l'œuvre du gang Play, déjà à l'origine de l’attaque contre CH Media et la NZZ.