Hacking: L’hébergeur des données de la Confédération jamais audité

En mai dernier, des hackers ont piraté la société Xplain et volé plusieurs centaines de gigaoctets de données, avant de les mettre en vente sur le darknet. Parmi ces données, il y a des informations sensibles provenant de l’Administration fédérale, de la police fédérale (FedPol) et de l’Administration fédérale des douanes. Il est question de dispositifs de sécurité, de données personnelles ou même d’informations confidentielles concernant des centaines de procédures pénales. Cette attaque soulève des questions notamment concernant le cryptage des données.

La Confédération a sa part de responsabilité dans cette attaque, selon le  «Tages-Anzeiger». En vertu de la loi fédérale sur la protection des données, Berne devait s’assurer que Xplain était en mesure d’assurer la sécurité de ces données via un audit. Or, en 15 ans, «aucun audit» n’a été effectué chez Xplain, ni par FedPol, ni par l’administration des douanes a appris le quotidien alémanique. «De mon point de vue, ce n’est pas excusable», explique Martin Steiger, avocat et expert en protection des données. Il ajoute: «C’est effrayant, mais je ne suis pas surpris par une telle histoire!»

Avoir l’assurance d’un prestataire que tout sera fait pour éviter des fuites de données ne suffit pas. Il faut également effectuer des audits pour confirmer cette sécurité. Selon Ueli Buri, président de la Conférence des préposé(e)s suisses à la protection des données (privatim), l’externalisation de données à des tiers est autorisée, mais la sécurité des données doit être garantie. «Les autorités ont le devoir de vérifier cela dans un cadre approprié. Et c’est impératif.»

FedPol et l’administration des douanes réfutent ces allégations. «La question de savoir si et dans quelle mesure la loi sur la protection des données a été violée et si des mesures alternatives ont été prises pour garantir la sécurité des données fait l’objet d’enquêtes en cours.»