Le gouvernement suédois est dans la tourmente. Entre incompétence et manque de précautions des fonctionnaires, le cocktail a provoqué l'une des plus importantes fuites de données gouvernementales de l'histoire du web. L'administration est ridiculisée par des erreurs qui ont dévoilé de nombreux secrets militaires et la fuite de données sensibles sur les citoyens suédois.

Quelle mouche a piqué les fonctionnaires et leurs dirigeants suédois pour délocaliser à l’autre bout de l’Europe, hors du territoire national, parfois hors de l’Union, des gigas de données sensibles ?

Une offre alléchante du géant américain IBM peut-être ; mais surtout une imprudence grave à cette échelle de l’État suédois, soulignant, une nouvelle fois, que l’incompétence de nos dirigeants reste l’un des risques les plus dangereux vis-à-vis d’une bonne gouvernance numérique.

Empêtré dans le scandale, le gouvernement suédois doit désormais répondre de son imprudence quant au traitement des données personnelles de ses citoyens. En effet, les autorités judiciaires ont déclenché une polémique nationale en ouvrant une enquête sur la fuite massive des données de l’agence de transport suédoise, la STA. Cette dernière est notamment éditrice d’un fichier central de tous les conducteurs du pays scandinave — fichier naturellement touché par la fuite.

La sécurité informatique à la diète budgétaire

Pour comprendre l’origine de cette fuite, il faut remonter à 2015, quand la STA cherche à faire des économies de fonctionnement. L’agence trouve alors des partenaires privés pour externaliser une partie de son fonctionnement numérique, dont la firme américaine IBM qui se propose de reprendre la main sur cette division de la STA.

L’Américain NCR décrochera également un contrat auprès des Suédois, déplaçant données et services en Serbie, quand IBM installait les données en République Tchèque, en toute légalité et avec la confiance des fonctionnaires.

Mais dès 2016, les services secrets de la couronne découvrent que la STA n’a pris que très peu de précautions avec ses partenaires. Si a délocalisation des données des citoyens était déjà un motif d’inquiétude,  la Säpo redouble de stupeur lorsqu’elle découvre que l’agence a transposé dans des clouds privés — d’IBM et de NCR — les données des citoyens suédois.

data-center-fb

Sans la moindre précaution, ces bases de données pourtant sensibles sont donc donc envoyées sur les serveurs des Américains, dans des pays où la main d’œuvre informatique est moins coûteuse qu’en Scandinavie. Pour réduire les coûts, les fonctionnaires ont très largement dépassé les limites et mis en péril leurs propres concitoyens.

Les raisons de la colère sont donc assez explicites : les Suédois ont du mal à pardonner une telle paresse de la part de leurs gouvernants.

Un manquement aux conséquences graves

Par ailleurs, la Säpo finira également par découvrir qu’au-delà des permis de conduire des Suédois, les administrations laissent également en libre service aux entreprises américaines leurs bases de données sur le programme de protection des témoins ( !), des fiches sur les membres des unités d’élite de l’armée suédoise, sur les pilotes de combat, les données policières concernant certains citoyens, jusqu’aux parcs automobiles du gouvernement.

Pour les services secrets, l’ensemble de ces données au cœur du fonctionnement de l’État sont désormais corrompues car éventuellement exposées.

Drapeau Suède
CC Lumen Bigott

En choisissant la Serbie, NCR fautait doublement avec la bénédiction des autorités : le pays n’est même pas membre de l’Union Européenne. Pour Rick Falkvinge, ancien du Parti pirate, la situation est ubuesque : « [Les données] ne sont pas seulement en dehors des agences gouvernementales, mais en dehors de l’UE, entre les mains de personnes qui n’ont aucune habilitation de sécurité. Toutes ces données peuvent avoir été exposées  ».

Des données ultra sensibles entre les mains de personnes qui n’ont aucune habilitation de sécurité

L’échec est déjà lourd pour le gouvernement et ses agences, mais la gestion publique de l’affaire a encore envenimé la situation. Si de nombreux agents espéraient un passage sous silence de la faille de sécurité provoquée par une erreur humaine, la sanction imposée à la directrice de la STA a provoqué un tollé.

L’enquête sur ses erreurs et les failles provoquées par sa gouvernance s’est en effet soldée par une simple amende de 70 000 couronnes, soit un peu plus de 7 000 euros. Ce qui représente, pour cette haute fonctionnaire, à peine la moitié de son salaire. Cette punition légère a réveillé l’opinion publique qui, aujourd’hui, demande des comptes à ses administrations défaillantes.

Soldat suédois, 2010, Stockholm.
CC. Brixie

Les services secrets n’ont par ailleurs pas terminé leur enquête, qui doit encore s’attacher à découvrir d’autres failles probables, dont certaines qui pourraient avoir des répercussions à l’échelle européenne. En effet, la Säkerhetspolisen doit encore étudier l’accès des entreprises privés au Stesta, intranet de l’UE, hautement confidentiel. Pour Falkvinge, il n’y a pas de doute : il est difficilement imaginable qu’en Serbie, pays allié du Kremlin, personne n’ait cherché à profiter de cette faille béante.

Onze personnes avaient en effet, chaque jour, accès à une assommante quantité de données de l’État scandinave et à des fichiers européens sensibles. Stratégiquement, c’est une opportunité fabuleuse pour tous les ennemis de l’UE, offerte par l’incompétence de l’administration suédoise.

Partager sur les réseaux sociaux