Suède : scandale national après l’exposition de données secrètes sur le Cloud

Une agence du gouvernement suédois a externalisé à IBM, dans un pays à bas coût, la gestion de bases de données secrètes. Sans précaution particulière.

C’est un scandale qui embarrasse le gouvernement suédois. Les autorités du pays enquêtent sur une fuite de données massives au sein de l’agence des transports de Suède (Swedish Transport Agency, STA), fuite ayant abouti à l’exposition des données personnelles de tout conducteur de véhicule du pays. L’affaire trouve son origine en 2015 quand, pour des questions de baisse des coûts, l’agence confie la gestion de ses bases de données et d’autres prestations IT à IBM et NCR, qui mettent en œuvre ce contrat depuis la République tchèque et la Serbie, respectivement.

Le problème ? En 2016, les services secrets suédois réalisent que la STA, pressée de licencier du personnel IT local, n’a pas respecté les règles de sécurité, en téléchargeant ses bases de données sur le Cloud de ces prestataires et en donnant un accès total aux informations à certains salariés de ces entreprises. Dont des données très sensibles : en sus des permis de conduire, on trouve en effet la base du programme de protection de témoins, des détails personnels (noms, photos, domiciles) sur les unités d’élite de l’armée suédoise, sur les pilotes de combat, des informations sur tout Suédois figurant dans un fichier de police ou encore sur les véhicules employés par le gouvernement et l’armée.  Liste non exhaustive ! Autant de données accessibles à des sous-traitants situés dans les deux pays de l’Est, avec même un accès ouverts à des employés de 11 autres pays concernant IBM.

Modeste sanction financière contre l’ex-directrice

« Tout cela n’est pas seulement en dehors des agences appropriées, mais en dehors de l’Union européenne, entre les mains de personnes qui n’avaient absolument aucune habilitation de sécurité. Toutes ces données peuvent avoir été exposées »,  résume Rick Falkvinge, le responsable de la confidentialité des données de la compagnie Private Internet Access et un des fondateurs du Parti Pirate, dans un billet de blog.

Le scandale a conduit à la démission de l’ex-directrice générale de l’agence des transports, Maria Ågren. La presse a révélé que cette dernière avait reçu, après enquête sur les légèretés de son administration dans la gestion de ces bases de données très sensibles, une sanction financière de 70 000 couronnes (7 300 euros) pour négligence, soit la moitié d’un mois de salaire la concernant. C’est ce procès qui a déclenché la révélation de l’affaire.

Les responsables de la défense suédoise examinent encore l’ampleur des violations de données et cherchent à savoir si certains des salariés d’IBM ou NCR ont eu accès à l’intranet sécurisé de l’Union européenne (Stesta) ou à celui réservé au gouvernement suédois (SGSI). La base de données du STA reste à ce jour gérée par les deux prestataires. Le nouveau directeur de l’agence a indiqué que la sécurisation des bases – passant par la garantie qu’aucune personne d’un pays étranger n’ayant pas les autorisations nécessaires puisse accéder à des informations secrètes – ne serait pas effective avant l’automne.

A lire aussi :

Fuite de données : cours de bourse altérés et pertes de clients

Fuite de données Yahoo : pourquoi les spécialistes tombent des nues

Crédit photo : Visual hunt