Plus de 20 Giga octets (Go) de données ont été volées lors de l'attaque de cyberespionnage contre l'entreprise Ruag. Des données alimentant le service de messagerie de l'administration fédérale "semblent faire partie du lot", a annoncé lundi le Conseil fédéral.
Le gouvernement ne confirme pas les spéculations concernant les auteurs de l'attaque: l'enquête pénale contre inconnu pour suspicion d'espionnage industriel ouverte par le Ministère public est encore en cours.
L'enquête cherche à déterminer la quantité de données volées. Il est "très probable" que des données appartenant au répertoire Admin, qui alimente le service de messagerie Outlook de l'administration fédérale, en fassent partie.
Mais aucune information personnelle privée de collaborateurs de l'administration n'a été touchée par la cyberattaque, affirme le Conseil fédéral.
Attaque sophistiquée
L'attaque a été menée de manière très ciblée et professionnelle, note-il. Les pirates informatiques ont utilisé un logiciel malveillant appartenant à la famille Turla. Il s'agit de chevaux de Troie capables d'attaques informatiques très complexes et sophistiquées.
Selon les experts, un tel logiciel malveillant peut rester inaperçu pendant très longtemps. Pour ne pas être détecté, Turla utilise un code impénétrable.
Les cyberattaquants ont fait preuve de beaucoup de patience pendant l'infiltration. Ils ne se sont attaqués qu'à ce qui les intéressait, constate dans un rapport la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).
Partager pour se protéger
Le Conseil fédéral a décidé de rendre ce rapport public afin de sensibiliser les responsables de la sécurité d'autres entreprises et d'administrations publiques à ce genre d'attaque. "Il s'agit de la meilleure contre-mesure", relève MELANI. C'est d'ailleurs grâce au partage d'information que l'attaque chez RUAG a pu être repérée.
Selon le rapport, l'attaque a commencé au plus tard en septembre 2014. C'est à ce moment-là que les premiers indices ont été découverts. MELANI souligne toutefois que les données stockées plus anciennes n'étaient plus disponibles.
La cyberattaque s'est déroulée en plusieurs étapes. Les pirates informatiques ont d'abord rassemblé le plus d'informations possibles sur leur cible, l'entreprise d'armement RUAG. Ensuite, un profil du système informatique est créé, sorte d'empreinte digitale d'un ordinateur. L'attaque est alors lancée.
Une fois les pirates dans le système de leur victime, ils ont construit un réseau hiérachisé: certains systèmes appelés "drones de travail" ne communiquaient pas avec l'extérieur, se contentant de voler les données. Ils les transmettaient ensuite aux "drones de communication" qui les exfiltraient hors du système informatique de RUAG vers des serveurs nommés "commande et contrôle".