Publié

Le Conseil fédéral confirme l'important vol de données chez Ruag

Une usine Ruag à Emmenbrücke (LU). [Urs Flueeler]
Quelques détails de la cyberattaque contre Ruag sont connus / Le 12h30 / 1 min. / le 23 mai 2016
Plus de 20 Giga de données ont été volées lors de la cyberattaque contre Ruag. Des données alimentant le service de messagerie de l'administration fédérale "semblent faire partie du lot", annonce lundi le Conseil fédéral.

Le gouvernement ne confirme pas les spéculations concernant les auteurs de l'attaque. L'enquête pénale contre inconnu pour suspicion d'espionnage industriel ouverte par le Ministère public est encore en cours.

L'enquête cherche à déterminer la quantité de données volées. Il est "très probable" que des données appartenant au répertoire Admin, qui alimente le service de messagerie Outlook de l'administration fédérale, en fassent partie.

Mais aucune information personnelle privée de collaborateurs de l'administration n'a été touchée par la cyberattaque, affirme le Conseil fédéral.

Attaque professionnelle

L'attaque a été menée de manière très ciblée et professionnelle, note le gouernement. Selon les experts, un tel logiciel malveillant peut rester inaperçu pendant très longtemps, car les pirates informatiques sont très discrets.

La cyberattaque contre l'entreprise d'armement de la Confédération avait été rendue publique début mai.

>> Lire : Des données ultra-sensibles de la Confédération volées chez Ruag?

ats/sbad

Publié

Partage de l'information pour prévenir

Les cyberattaquants ont fait preuve de beaucoup de patience pendant l'infiltration. Ils ne se sont attaqués qu'à ce qui les intéressait, constate dans un rapport la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).

Le Conseil fédéral a décidé de rendre ce rapport public afin de sensibiliser les responsables de la sécurité d'autres entreprises et d'administrations publiques à ce genre d'attaque. "Il s'agit de la meilleure contre-mesure", relève MELANI. C'est d'ailleurs grâce au partage d'information que l'attaque chez RUAG a pu être repérée.

La cyberattaque s'est déroulée en plusieurs étapes. Les pirates informatiques ont d'abord rassemblé le plus d'informations possibles sur leur cible, l'entreprise d'armement RUAG. Ensuite, un profil du système informatique est créé, sorte d'empreinte digitale d'un ordinateur. L'attaque est alors lancée. Une fois les pirates dans le système de leur victime, ils ont construit un réseau hiérarchisé permettant d'exfiltrer des données.

Mesures de protection

Dans ses recommandations, MELANI propose des contre-mesures: actualiser continuellement la mise à jour de la protection informatique ou installer une application de Microsoft, AppLock, qui verrouille automatiquement le système utilisé et le profil de ses utilisateurs. MELANI recommande également de séparer la gestion du système du trafic lié aux affaires.