Les données de 44 parlementaires suisses circulent sur le Darknet. C’est ce que révèle une enquête menée par la société de cybersécurité Constella Intelligence en collaboration avec l’entreprise technologique suisse Proton. Le Darknet, accessible uniquement via des logiciels spécifiques, est souvent utilisé pour des communications anonymes et des activités illégales.
Un groupe d’experts en sécurité informatique a passé au crible le Darknet à la recherche d’adresses e-mail officielles de membres du gouvernement et du Parlement suisses. Résultat: des données concernant 44 élus, issus du Conseil national, du Conseil des Etats et même du Conseil fédéral, y ont été découvertes.
Compte sur un site pornographique
Selon Proton, plusieurs de ces élus ont utilisé leurs adresses e-mail professionnelles pour s’inscrire sur des plateformes tierces. Pas moins de 145 comptes de ce type ont été retrouvés sur le Darknet. Si certains services sont anodins – comme LinkedIn, Dropbox, Canva, MyFitnessPal ou Adobe –, d’autres sont plus sensibles. Parmi eux, le site de rencontres Badoo et une plateforme pornographique appelée Myprivateangels.
Fait explosif: 78 mots de passe liés à ces comptes ont été révélés au grand jour, dont les trois quarts en texte clair. Outre les mots de passe, les chercheurs en informatique ont également trouvé d'autres informations liées aux adresses e-mail, dont des adresses, des anniversaires, des numéros de téléphone et des adresses IP. Par souci de protection de la personnalité, Proton ne donne aucun nom, mais précise qu’aucun parti politique n’est surreprésenté parmi les personnes concernées.
Le fait que des données personnelles se retrouvent sur le Darknet n’a rien d’exceptionnel. Ces dernières années, les plateformes concernées ont subi des piratages ou des fuites de données touchant des millions d’utilisateurs à travers le monde. D’après Proton, les informations retrouvées datent toutes de moins de trois ans. Tous les élus concernés sont encore en fonction, précise un porte-parole.
«Pointe de l'iceberg»
«La publication de données sensibles de politiciens suisses révèle une grave faille dans la sécurité numérique des décideurs», avertit Eamonn Maguire, responsable de la sécurité des comptes chez Proton. «Même un mot de passe compromis peut avoir de graves conséquences pour la sécurité nationale. Les données du Darknet ne sont que la partie émergée de l'iceberg. Derrière elles se cache un écosystème anonyme et illégal qui utilise les informations personnelles à des fins malveillantes.» Les données pourraient ainsi être utilisées à des fins de chantage, d'espionnage ou de campagnes de désinformation.
D'autres parlements encore plus imprudents
Ces chiffres font partie d'une enquête mondiale sur les cyber-risques en politique. En comparaison internationale, la Suisse s'en sort encore relativement bien avec 16% de politiciens concernés parmi tous les politiciens de la Berne fédérale: en Grande-Bretagne, ce taux atteint 68%, contre 44% au Parlement européen, 18% en France et 13% en Allemagne.
Proton a transmis le 16 juin dernier les résultats de sa découverte au service national suisse spécialisé dans la gestion technique des cyberincidents (GovCERT). L'entreprise a en outre directement contacté les politiciens concernés et leur a conseillé d'utiliser des adresses e-mail séparées. Comme solution, Proton recommande des alias d'e-mails, c'est-à-dire des adresses alternatives qui transfèrent les messages vers la boîte aux lettres principale tout en gardant la véritable adresse privée.
Contacté, l'Office fédéral de la cybersécurité (OFCS) dit avoir pris connaissance des éléments transmis au GovCERT. «La liste a été transmise aux services du Parlement. Lorsque les résultats détaillés de l'enquête seront disponibles, l'OFCS les examinera», explique la responsable des médias Manuela Sonderegger.
La sécurité est une priorité pour la Confédération, poursuit-elle. «Pour les accès numériques, la Confédération n'utilise en principe pas, dans la mesure du possible, d'adresses e-mail et de mots de passe, mais d'autres moyens, par exemple une carte à puce physique personnelle.» Les collaborateurs doivent en outre suivre une formation obligatoire sur la sécurité informatique et sont régulièrement sensibilisés aux thèmes de la cybersécurité, notamment à la nécessité de ne transmettre les e-mails professionnels qu'avec circonspection et de ne les utiliser qu'à des fins professionnelles.
