Modifié le 06 mars 2019 à 21:10

De l'armée au Conseil fédéral, toute la Suisse concernée par une fuite de données

Fuite de donnees dampleur nationale
De l'armée au Conseil fédéral, toute la Suisse concernée par une fuite de données L'actu en vidéo / 2 min. / le 06 mars 2019
Une base de données diffusée sur internet donne accès à des mots de passe piratés liés à plus de trois millions de comptes électroniques suisses. La RTS y a retrouvé des conseillers fédéraux, des conseillers d'Etat et des milliers d'employés de la Confédération.

Près de 2,2 milliards d'adresses mails: c'est le contenu de "Collection #1-5", une liste d'identifiants volés diffusée à partir de janvier dernier. Il s'agit d'une compilation inédite de centaines d'intrusions, certaines inconnues, d'autres remontant à plusieurs années.

La RTS a pu analyser tous les emails provenant de domaines suisses listés dans cette archive. Et les chiffres donnent le vertige: 3,3 millions d'adresses différentes en .ch y apparaissent.

Certains emails s'y retrouvent même plusieurs fois avec des mots de passe différents, indiquant que des utilisateurs ont vu leurs données volées sur différents services web. C'est ainsi potentiellement un total de près de 5 millions d'accès d'utilisateurs suisses facilement accessibles sur internet. Et ce décompte ne prend pas en considération les adresses en .com, comme gmail ou hotmail.

Ces combinaisons n'offrent pas forcément un accès direct aux boîtes de réception des utilisateurs, mais ouvrent des brèches dans leur sécurité, par exemple chez les personnes utilisant souvent le même mot de passe pour différents services.

Ignazio Cassis: trois adresses et un seul mot de passe

Les mauvais réflexes sécuritaires se retrouvent au plus haut niveau de l'Etat. La RTS a ainsi repéré trois adresses du conseiller fédéral Ignazio Cassis. Les trois accès - dont deux anciennes adresses officielles - utilisaient le même mot de passe.

Contacté par la RTS, le ministre affirme que seule son adresse privée est toujours active et que le mot de passe "n’est pas valable pour cette adresse". Ignazio Cassis ajoute que ses mails professionnels sont "gérés par les spécialistes de la Confédération et répondent à de hauts critères de sécurité".

La base de données met également à nu des accès de conseillers d'Etat romands (voir encadré). Ainsi, trois conseillers d’Etat romands ont simplement choisi leur prénom comme mot de passe pour s’identifier avec des adresses professionnelles sur différents sites internet victimes de fuites.

Le conseiller d’Etat genevois Mauro Poggia, qui a accepté de nous répondre, a, lui, utilisé sa date d'anniversaire. "C'était sans doute la première adresse mail privée que j'ai eue, il y a plusieurs années, je ne l'utilise plus", explique-t-il. "C'est vrai que ça fait sourire aujourd'hui de mettre sa date de naissance comme mot de passe", concède-t-il en soulignant "que c'est quelque chose que l'on ne fait plus".

Oskar Freysinger apparaît également dans la liste. L'ancien conseiller d'Etat valaisan reconnaît "un vieux mot de passe" utilisé pour des achats en ligne. Il assure jongler actuellement avec "6 ou 7 mots de passe, tous différents".

Plus de 2500 adresses de l'administration fédérale

Au niveau national, l'étendue de la faille est illustrée par la présence de plus de 2500 courriers électroniques de l'administration fédérale: 600 liés à la Défense, 500 aux Affaires étrangères ou encore 210 appartenant à des employés des douanes. Le "record" revient à un militaire dont le nom se retrouve 600 fois dans la liste avec une cinquantaine de codes différents.

Là encore, les plus hautes sphères sont concernées: des emails et des mots de passe d'un commandant de corps de l'Armée suisse et d'un ancien chef des Services secrets.

"Nous avons analysé ces données et informé tous les départements concernés. Une grande partie de ces données sont assez anciennes, certaines adresses concernent des personnes qui ne travaillent plus à la Confédération", explique au 19h30 Max Klaus, responsable adjoint de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).

Les cantons, la police, la justice: tous touchés

Les administrations cantonales romandes ne sont pas en reste, avec là encore des milliers d'accès largement accessibles.

Les recherches de la RTS montrent que de nombreux secteurs potentiellement sensibles sont concernés. On retrouve ainsi 44 adresses et mots de passe d'employés de la police fédérale (fedpol), 35 identifiants de policiers genevois ou encore 14 policiers valaisans. 

Les institutions judiciaires ne sont pas en reste. Le Ministère public de la Confédération (MPC) s'affiche 12 fois dans la base de données, tout comme l'Office fédéral de la justice (OFJ) avec 15 occurrences, ou encore 25 employés du pouvoir judiciaire genevois, dont des procureurs.

La SonntagsZeitung avait par ailleurs déjà révélé que plus d'un quart des parlementaires helvétiques étaient touchés par cette fuite de données.

A noter que la RTS elle-même est concernée, pas moins de 118 adresses @rts.ch complètent le listing pirate.

"Le piratage se passe étape après étape"

Le député vaudois Yann Glayre (UDC), qui a déposé une interpellation auprès du Grand Conseil sur le sujet et averti la RTS de la présence massive d'accès piratés suisses, souligne le danger inhérent de ces bases de données, même anciennes.

"Si le mot de passe n'est plus valable, il l'a sûrement été au moment où il a été volé", souligne-t-il. "On ne peut pas dire 'aujourd'hui ce n'est pas un problème', car il y a peut-être eu des accès illégaux à un certain moment".

Le député, également informaticien, relève surtout que ces informations peuvent représenter une première étape dangereuse. "Un piratage se passe phase après phase, on casse une barrière et on passe à la prochaine", explique-t-il. Un ancien compte à l'abandon peut ainsi toujours s'avérer une mine d'or pour des personnes mal intentionnées.

Marc Renfer, Michaël Maccabez, Fabiano Citroni, Gaspard Kühn & Valentin Tombez

>> Revoir également l'analyse de Gaspard Kühn dans le 19h30:

Gaspard Kühn: "C'est vertigineux: nous sommes tous des cibles potentielles. Mais on peut protéger ses données sur internet."
19h30 - Publié le 06 mars 2019

Publié le 06 mars 2019 à 17:05 - Modifié le 06 mars 2019 à 21:10

Les politiciens trouvés dans Collection #1

La RTS a limité ses recherches aux conseillers fédéraux et conseillers nationaux romands et bernois qui ont siégé ces 10 dernières années. Sur les 106 noms de départ, nous avons retrouvé 23 adresses emails privées ou professionnelles. Certaines personnes contactées ont affirmé ne pas connaître le mot de passe que nous leur avons soumis. A l'inverse, deux personnalités nous ont concédé avoir utilisé jusqu'à ce jour les mots de passes présents dans la base de données.

La liste:

Conseiller fédéraux:

Ignazio Cassis
Alain Berset
Doris Leuthard

Conseillers d'Etat:

François Marthaler (VD)
Jacqueline De Quattro (VD)
Oskar Freysinger (VS)
Christophe Darbellay (VS)
Roberto Schmidt (VS)
Mauro Poggia (GE)
Pierre Maudet (GE)
François Longchamp (GE)
David Hiller (GE)
Erwin Jutzet (FR)
Georges Godel (FR)
Marie Garnier (FR)
Jean-François Steiert (FR)
Claude Lässer (FR)
Laurent Favre (NE)
Frédéric Hainard (NE)
Claude Nicati (NE)
Michel Thentz (JU)
Charles Julliard (JU)
Christoph Neuhaus (BE)

Comment vérifier si l'on est victime d'un vol

Le site Haveibeenpwned permet de vérifier si son adresse mail existe dans ces bases de données.

Le même site permet aussi de rechercher ses mots de passe actuels, et ainsi savoir s'ils sont répandus et/ou compromis.

Dans les deux cas de figure, il vaut mieux modifier ses codes d'accès. De façon générale, il faut favoriser les authentifications en deux facteurs lorsque celles-ci sont disponibles. Cette protection supplémentaire vérifie l'identité de la personne qui se connecte en lui envoyant un code supplémentaire par exemple par SMS.