Le système d'information Schengen II miné par des failles de sécurité critiques

Onze ans après sa mise en service, le Système d'Information Schengen II (SIS II), épine dorsale du contrôle des frontières européennes, présente des failles béantes de sécurité. Un audit de 2024 du Contrôleur européen de la protection des données révèle des milliers de vulnérabilités critiques dans ce système qui surveille les mouvements de millions d'Européens, selon les informations de Bloomberg et de Lighthouse Report.

L'audit révèle des défaillances préoccupantes dans ce système mis en place en 2013, qui permet aux États membres de l'UE d'émettre et de consulter en temps réel des alertes concernant des individus suspects, notamment des terroristes présumés et des personnes faisant l'objet de mandats d'arrêt, lorsqu'ils tentent de franchir une frontière européenne.

Le rapport pointe particulièrement un "nombre excessif" de comptes disposant d'un accès administrateur à la base de données, créant "une faiblesse évitable qui pourrait être exploitée par des attaquants internes". Cette situation multiplie les risques d'accès non autorisé aux données sensibles.

Des données sensibles de millions de personnes en jeu

SIS II contient actuellement environ 93 millions d'enregistrements, dont 1,7 million concerne des personnes. Parmi ces dernières, 195 000 ont été signalées comme des menaces potentielles à la sécurité nationale. Les alertes peuvent inclure des photos de suspects et des données biométriques comme des empreintes digitales prélevées sur des scènes de crime. Depuis mars 2023, le système intègre également les "décisions de retour", soit des décisions judiciaires ordonnant l'expulsion d'une personne.

Selon Romain Lanneau, chercheur juridique au sein de Statewatch, une violation de ces données « serait catastrophique, affectant potentiellement des millions de personnes ». Le risque est d'autant plus élevé que les individus ne savent généralement pas que leurs informations figurent dans SIS II jusqu'à ce que les forces de l'ordre agissent.

L'audit a identifié que SIS II était vulnérable aux attaques par déni de service (DoS) ainsi qu'aux intrusions permettant d'obtenir un accès non autorisé. Ces failles représentent un danger particulier alors que le système, actuellement isolé, doit être intégré au futur Système d'Entrée/Sortie (EES) de l'UE, qui sera connecté à Internet pour automatiser l'enregistrement des centaines de millions de visiteurs annuels dans l'UE.

Des corrections trop lentes

Lorsque EU-Lisa, l'agence qui supervise les projets informatiques à grande échelle comme SIS II, a signalé ces problèmes à Sopra Steria, l'ESN en charge du développement et de la maintenance du système, les corrections ont pris entre huit mois et plus de cinq ans et demi, selon le rapport et les échanges d'e-mails consultés par Bloomberg et Lighthouse Report.

Pourtant, selon les termes du contrat avec EU-Lisa, Sopra Steria était obligée de corriger les vulnérabilités logicielles "critiques et élevées" dans les deux mois suivant la publication d'un correctif. Les documents montrent que l'entreprise facturait entre 519 000 et 619 000 € par mois pour la "maintenance corrective".

Des e-mails de 2022 révèlent que Sopra Steria avait même argumenté que la correction de certaines vulnérabilités coûterait 19 000 € supplémentaires, alors qu'EU-Lisa estimait que ce travail devait être couvert par le contrat existant.

Des problèmes organisationnels chez EU-Lisa

L'audit pointe également des défaillances du côté d'EU-Lisa, qui n'a pas informé son conseil d'administration des vulnérabilités de sécurité après leur identification. L'agence européenne est décrite comme étant en difficulté avec des "lacunes de sécurité organisationnelles et techniques". Les auditeurs recommandent la mise en place d'un plan d'action avec une "stratégie claire" pour traiter les vulnérabilités.

Le rapport révèle aussi que 69 membres d'équipe non employés directement par l'UE avaient accès à SIS II sans disposer de l'habilitation de sécurité nécessaire, sans qu'il soit clair s'il s'agissait d'employés de Sopra Steria ou d'autres sous-traitants.

Selon trois sources familières du dossier, certains problèmes de SIS II découlent de la tendance d'EU-Lisa à s'appuyer massivement sur des cabinets de conseil plutôt que de développer des capacités technologiques en interne. Cette approche résulte en partie de la pression exercée pour livrer des projets que l'agence n'avait pas le personnel nécessaire pour compléter rapidement.

Cette problématique ne se limite pas à SIS II. Le Système d'Entrée/Sortie (ESS), autre projet supervisé par EU-Lisa et initialement prévu pour 2022, a été retardé plusieurs fois en raison de problèmes techniques largement attribués à l'ESN Atos. La Commission européenne a annoncé il y a deux mois que les États membres activeraient certaines parties d'EES en octobre.

Interrogée par Bloomberg, Francesca Tassinari, chercheuse à l'Université du Pays basque et experte des systèmes informatiques de l'UE, explique que la création d'une agence décentralisée comme EU-Lisa en 2012 devait faciliter le développement de ces systèmes de "frontières intelligentes". « Mais malheureusement, l'agence ne s'est pas avérée suffisante pour gérer l'ampleur et la complexité du projet. »

Face à ces révélations, ni Sopra Steria ni EU-Lisa n'ont souhaité commenter en détail, se contentant d'assurer que les protocoles et frameworks européens étaient respectés, et que des mesures de sécurité continues étaient en place.