Le gouvernement ne confirme pas les spéculations concernant les auteurs de l'attaque. L'enquête pénale contre inconnu pour suspicion d'espionnage industriel ouverte par le Ministère public est encore en cours.
L'enquête cherche à déterminer la quantité de données volées. Il est "très probable" que des données appartenant au répertoire Admin, qui alimente le service de messagerie Outlook de l'administration fédérale, en fassent partie.
Mais aucune information personnelle privée de collaborateurs de l'administration n'a été touchée par la cyberattaque, affirme le Conseil fédéral.
Attaque professionnelle
L'attaque a été menée de manière très ciblée et professionnelle, note le gouernement. Selon les experts, un tel logiciel malveillant peut rester inaperçu pendant très longtemps, car les pirates informatiques sont très discrets.
La cyberattaque contre l'entreprise d'armement de la Confédération avait été rendue publique début mai.
>> Lire : Des données ultra-sensibles de la Confédération volées chez Ruag?
ats/sbad
Partage de l'information pour prévenir
Les cyberattaquants ont fait preuve de beaucoup de patience pendant l'infiltration. Ils ne se sont attaqués qu'à ce qui les intéressait, constate dans un rapport la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).
Le Conseil fédéral a décidé de rendre ce rapport public afin de sensibiliser les responsables de la sécurité d'autres entreprises et d'administrations publiques à ce genre d'attaque. "Il s'agit de la meilleure contre-mesure", relève MELANI. C'est d'ailleurs grâce au partage d'information que l'attaque chez RUAG a pu être repérée.
La cyberattaque s'est déroulée en plusieurs étapes. Les pirates informatiques ont d'abord rassemblé le plus d'informations possibles sur leur cible, l'entreprise d'armement RUAG. Ensuite, un profil du système informatique est créé, sorte d'empreinte digitale d'un ordinateur. L'attaque est alors lancée. Une fois les pirates dans le système de leur victime, ils ont construit un réseau hiérarchisé permettant d'exfiltrer des données.
Mesures de protection
Dans ses recommandations, MELANI propose des contre-mesures: actualiser continuellement la mise à jour de la protection informatique ou installer une application de Microsoft, AppLock, qui verrouille automatiquement le système utilisé et le profil de ses utilisateurs. MELANI recommande également de séparer la gestion du système du trafic lié aux affaires.