Fuite des données de l’ensemble des automobilistes suédois
Le service suédois des transports a mis en danger le respect de la vie privée de millions de Suédois, en ce compris des militaires, policiers et témoins protégés. En fait, leurs données ont été externalisées à IBM qui a permis à des informaticiens étrangers d’y accéder.
Ce scandale en matière de respect de la vie privée est double: Transportstyreisen, l’agence publique suédoise de la mobilité a en 2015 et pour des raisons de coût externalisé à IBM ses bases de données regroupant les informations relatives à l’ensemble des véhicules du pays, y compris les véhicules de l’armée et de police.
Mais cette externalisation allait à l’époque de pair avec des délais très courts, ce qui a entraîné de sérieux problèmes dans le travail. C’est ainsi que ces données furent accessibles par des collaborateurs IT en Tchéquie (où leur gestion se faisait), des collaborateurs qui n’avaient préalablement pas été passés au crible, ce qui fait qu’il est possible que des personnes indélicates aient eu accès à ces données.
La tête de turc est en l’occurrence Maria Ågren, ex-directrice générale de l’agence, qui fut contrainte de démissionner en janvier. Dans le cadre du procès qui suivit son départ, elle fit l’objet d’une amende de 70.000 couronnes suédoises, soit quelque 7.300 euros, pour n’avoir pas traité consciencieusement ces informations sensibles. Selon le site britannique d’actualité The Local, cité par le journal Dagens Nyheter, Ågren aurait confirmé que son service avait contourné les règles de sécurité en raison des délais.
Le fait que des collaborateurs non-autorisés d’IBM aient eu accès aux données en question, ne constitue pas le seul problème. C’est ainsi que les pare-feu et la communication ont été pris en charge par une entreprise en Serbie. La Suède craint donc d’autres portes dérobées dans les systèmes au vu des bonnes relations entre la Russie et la Serbie et ce, même si cela n’as pas été démontré.
Tout a été mailé par inadvertance deux fois
L’histoire ne se résume cependant pas à une mauvaise externalisation (outsourcing). C’est ainsi que Rick Falkvinge, fondateur du parti des Pirates suédois, écrit qu’en mars de cette année, la base de données de l’ensemble des véhicules a été aussi envoyée à une entreprise de marketing.
En soit, cette démarche n’a rien d’exceptionnel dans la mesure où il s’agit en grande partie de renseignements publics. Mais la version envoyée contenait par mégarde aussi les noms, adresses et photos de personnes qui étaient protégées en leur qualité de témoins dans un procès, mais aussi de pilotes de combat, d’agents de police et d’unités militaires spéciales.
Il est question ici de tous les véhicules militaires et publics, de leurs conducteurs, mais aussi des spécifications de toutes les routes et ponts. Bref de tout ce qui permet de passer en revue l’infrastructure (militaire) suédoise.
La correction de cette erreur ne s’est pas non plus déroulée sans mal. Au lieu d’envoyer une nouvelle liste destinée à remplacer l’ancienne, tous les destinataires ont été informés dans un second mail des véhicules et des personnes à ne pas utiliser, ce qui révèle assez ironiquement les données considérées comme secret d’état.
Danger? Censuré
La Suède elle-même n’apprécie guère de communiquer sur ce scandale lié au respect de la vie privée. Et l’amende qu’a reçue Ågren, est ridicule, selon Falkvinge, puisque son montant ne représente que la moitié de son salaire mensuel. “Si un citoyen ordinaire laissait passer de telles données de manière aussi nonchalante, il serait aussitôt emprisonné. Mais comme cela se passe au niveau gouvernemental, une amende d’un demi mois de salaire suffit”, écrit-il.
Le problème qui se pose dans ce genre de fuite, c’est qu’on ne sait pas très bien si les données sont tombées entre des mains indélicates. Si les informaticiens et spécialistes du marketing concernés n’ont ni manipulé ni copié ces informations, il n’y a en théorie aucun problème. Les autorités suédoises ont une réponse à la question de savoir si la sécurité nationale est menacée. Mais la version publique du rapport dressé par la police à propos de cette affaire, censure cette réponse!
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici