Le cas Xplain est un réservoir infini de mauvaises pratiques informatiques. Pour une personne qui parle d’hygiène numérique, c’est en même temps, hilarant d’incompétence crasse et terrifiant de risques de sécurité. Mais aujourd’hui, nous connaissons l’analyse du préposé fédéral à la protection des données, le résultat de l’enquête, le train de mesures de la Confédération et Swissprivacy.law, le site des avocats de la protection des données, nous offre un nouvel article pour conclure le sujet.
Comme toujours, l’article est excellent (si vous ne les suivez pas encore, allez vite vous abonner à leur newsletter) mais, tout comme le Conseil Fédéral, ils passent à côté de l’essentiel, du point qui change tout. Un point pivot sans lequel TOUTES les mesures seront inutiles.
https://swissprivacy.law/306/embed/#?secret=bmqWTdG13R#?secret=nYLWg4RiaW
Alors? Vous trouvez? Non?
La menace pas fantôme du tout
Xplain est une entreprise de support informatique (oui “est”, elle existe toujours et continue de fournir des services) spécialisée dans les outils de sécurité intérieure. C’est comme ça que la Confédération l’a engagée pour plusieurs services du département de la défense et de la protection de la population.
Engagée par les services de la police fédérale (FedPol) ou encore le Service des Douanes, elle faisait du support pour les outils qu’elle leur a fournis. Destinés à gérer des données, des dossiers sur des personnes ou des cas spécifiques, on pourrait imaginer que c’est l’un des bastions de la cybersécurité. Oui, mais non.
Au printemps 2023, c’est la bombe. Le Temps découvre sur le Dark Net plusieurs millions de pages de contenus venant de la société Xplain et surtout de la Confédération. Horreur! Des numéros de téléphones confidentiels, des dossiers aussi bien de dignitaires que de simples péquins surveillés pour hooliganisme, par exemple, sont désormais en ligne, accessibles facilement.
Attaque contre Xplain: des données de la police militaire également publiées (update)
Des cyberpirates ont mis la main sur des données de plusieurs offices de l’administration fédérale et les ont publiées sur le dark web. La cyberattaque a ciblé le prestataire IT alémanique Xplain et a entre autres touché Fedpol, des polices cantonales, l’armée, les douanes et les CFF. Des données opérationnelles sont touchées car elles se trouvaient sur l’infrastructure de Xplain, ce qui n’aurait pas dû être le cas. Des données personnelles sensibles sont concernées.
Est-ce que Xplain a été l’innocente victime d’une bande de méchants criminels? Est-ce que de vilains espions ont réussi à s’infiltrer dans le saint des saints ? Ou bien est-ce que la Confédération ou Xplain ont fait n’importe quoi pendant des années ?
…. D’après vous?
L’incompétence contre-attaque
Ah, les mauvaises pratiques et l’incompétence… Tellement courantes qu’elles en deviennent ordinaires…
Mots de passe en clair, contenus réels, plutôt qu’exemple de données fictives et bien sûr envoyés sans caviardage, utilisation par des employés d’Xplain de mails et de connexion réservés à des employés de la Confédération. Bref, du grand n’importe quoi…
Effectivement si vous commencez comme ça, vous avez peu de chance d’obtenir un résultat sécurisé. Mais prenons un exemple tel que je les explique tous les mois à intergen à votre grand-mère de 80 ans,qui apprend à envoyer des SMS :
Mot de passe
“Les mots de passe c’est comme des petites culottes :
on ne les montre pas aux inconnus,
on ne les laisse pas traîner n’importe où
et on les change régulièrement.”
Je répète ça en boucle pendant intergen, dans mes conférences, dans les conférences des autres aussi d’ailleurs, et dès que je dois parler sécurité informatique quelque soit le niveau de la personne en face de moi. C’est la base et pourtant on a trouvé dans les données volées à Xplain des mots de passe envoyés en clair par des employés au support de Xplain.
Vous allez me dire : “ils n’y peuvent rien les pauvres, si on leur envoie des données qu’ils n’ont pas demandées.”Mais là est le problème. Si quelqu’un d’une petite entreprise m’envoie un mot de passe par mail :
- Je gueule à ameuter tout le voisinage.
- Je lui dis de changer IMMÉDIATEMENT son mot de passe
- si l’entreprise a un informaticien en interne, je le préviens tout de suite!!
Là, ça passe crème. Je rappelle que ce n’est pas une PME qui vend des oreillers, soyons bien d’accord, ce sont des espions !! Ce n’est plus du James Bond, c’est du Mr. Bean !!
Alphabétisation et contrat
Faisons une petite pause numérique: et parlons contrat. Oui je sais, ça fait beaucoup, mais je vous promets, ce sera court.
Pour qu’un contrat fonctionne de quoi a-t-on besoin:
- de quelqu’un pour le rédiger
- d’une feuille de papier et d’un stylo pour l’écrire
- d’au moins 2 personnes pour le signer
On a rien oublié? Si, si, essayez de trouver. Non?
- que toutes les personnes sachent lire et écrire…
- et tout ça dans une langue commune
On oublie souvent que, quel que soit le contrat, si les personnes impliquées et la personne qui le rédige ne savent ni lire ni écrire, et bien, ça ne va pas aller loin, cette histoire.
Alphabétisation numérique
Si en informatique le niveau est tel que je ne sais pas que je ne dois JAMAIS envoyer mon mot de passe, on n’a clairement pas de langue commune. Or même si le rapport met en avant la formation, le Conseil Fédéral ne parle que de formation spécialisée, pas générale.
On a donc pas de personnes qui sachent lire et écrire et pas ou peu de langue commune. Là tous les contrats du monde ne serviront à rien. Alors oui, ils auront signé, ils seront virés si cela se reproduit, mais RIEN ne sera corrigé.
Un nouvel espoir ?
Selon les statistiques fédérales, 42% de la population suisse auraient un niveau meilleur que basique en numérique. C’est très encourageant, n’est-ce pas?
Bon on est d’accord que si je m’énerve, c’est que c’est plus compliqué que ça, non?
Les questions posées pour évaluer ce niveau consistent à savoir:
- envoyer des mails
- écrire des documents en ligne
- payer ses factures en ligne
- utiliser WathsApp, Facebook ou équivalent
- avoir suivi une formation en ligne
À aucun moment on ne demande: comment ça s’est passé, combien de fois ils se sont fait arnaquer ou dans quel état est leur ordinateur ou leurs données. On ne vérifie même pas s’ils ont eu des difficultés à le faire. Bien sûr on ne leur demande pas non plus, s’ils savent ce que ces outils font, combien de fois ils ont eu des problèmes ou quelle est la qualité de leur mot de passe. Bref, s’ils savent prendre un stylo pour faire une croix sur une feuille de papier, mais de là à lire et à comprendre…
Et ce sont nos actifs, les mêmes qui travaillent à la Confédération ou chez Xplain.
Le dernier mot
C’est très bien de s’inquiéter quand on se rend compte qu’un tiers des contrats ne couvre pas correctement les tâches effectuées et le périmètre des droits et devoirs de chacun.
C’est très bien de faire des formations spécifiques plus poussées en fonction des outils à disposition, ou des travaux à faire.
C’est également très bien de rappeler qu’un prestataire externe ne doit pas avoir accès ou supplanter le responsable interne.
Mais si on n’apprend pas les bases de l’informatique, des notions suffisamment communes pour que le dernier des sous-vice-pistot sache que l’on n’envoie JAMAIS de données internes ou de mots de passe, surtout pas en externe et non-chiffrés, on arrivera uniquement à des répétitions sans fin du cas Xplain.
Mais bon en attendant, ça me fait du très bon matériel pour Intergen 😉 c’est déjà ça.
0 Comments