Ce fut une catastrophe pour un certain nombre d'acteurs: des pirates informatiques ont volé à l'entreprise de logiciels Xplain d'Interlaken de grandes quantités de données parfois sensibles de clients comme la Confédération et les ont publiées sur le Darknet.
L'un des problèmes est que les pirates ont pu accéder à des données personnelles sensibles de toutes sortes. L'une des questions sur lesquelles se penchent notamment les autorités de poursuite pénale et les défenseurs des données: comment se fait-il que les clients aient transmis de telles données au développeur de logiciels? Qui est responsable des dommages?
Mais il y a encore un tout autre problème, qui n'a guère été discuté publiquement jusqu'à présent: que se passerait-il si Xplain devait connaître des problèmes financiers, voire faire faillite, à la suite du piratage et des litiges juridiques? La poursuite sûre de l'exploitation des applications qu'Xplain met par exemple à la disposition d'un certain nombre d'autorités de sécurité de la Confédération sera-t-elle alors garantie?
Avec ses quelque 80 employés, Xplain produit divers logiciels dans le domaine de la sécurité intérieure pour toute une série d'offices fédéraux tels que l'Office fédéral de la police, l'Office fédéral des douanes et de la sécurité des frontières, l'Office fédéral de la justice ou Armasuisse.
Il s'agit notamment de la plateforme eneXs, utilisée jour et nuit par les autorités telles que les gardes-frontières et la police. L'application permet de vérifier partout et à tout moment les passeports, les cartes d'identité, les papiers de séjour, les visas et les plaques d'immatriculation. Xplain met à disposition le serveur eneXs — en quelque sorte la station de relais — par lequel transitent les requêtes vers les différentes bases de données nationales et internationales. Ces bases de données comprennent notamment le système de recherche Ripol, le système central d'information sur la migration Zemis ou le système d'information sur les documents d'identité ISA. Xplain fournit également des mises à jour du logiciel.
Il est écrit sur le site web de l'entreprise Xplain: «Notre serveur eneXs est le centre de dispatching pour toutes les requêtes sur les bases de données nationales et internationales. Il sert de serveur central d'interrogation sur toutes les bases de données».
Toute l'application sur la sécurité intérieure repose donc actuellement manifestement sur Xplain. La Confédération a confié cette tâche délicate à une entreprise privée, on ne sait pourquoi. Cela pourrait maintenant s'avérer lourd de conséquences.
Que se passe-t-il par exemple si Xplain est vendue à l'étranger? Dans le cas extrême, à une entreprise chinoise? La Confédération pourrait-elle l'empêcher? S'est-elle assurée d'une manière ou d'une autre que ça n'arrive pas? Dispose-t-elle de droits ou de garanties en cas d'urgence? Par exemple, une garantie contractuelle qui lui assure l'accès au code source du logiciel en cas de besoin.
Les experts ne s'attendent pas à ce que la Confédération ait beaucoup de choses entre les mains. L'Office fédéral des constructions et de la logistique (OFCL), compétent en la matière, ne veut pas répondre à la question concernant les droits. Après plusieurs jours de recherches, l'OFCL a répondu brièvement jeudi: «En raison de procédures en cours, nous ne pouvons pas nous prononcer actuellement sur le contenu des contrats».
Interrogé à ce sujet, le CEO d'Xplain, Andreas Löwinger, ne veut pas non plus se prononcer sur la question de savoir qui a quels droits et dans quelle mesure la Confédération s'est assurée. Il se contente de dire: «Quelques questions fondamentales se posent, mais nous ne pouvons pas nous prononcer plus en détail pour le moment». Löwinger renvoie toutefois encore aux déclarations de Florian Schütz, chef de la cybersécurité à la Confédération:
La Confédération examine donc manifestement la possibilité d'assumer elle-même à l'avenir certaines tâches souveraines confiées jusqu'ici à des privés par des entreprises comme Xplain.
L'arrière-plan est évident: il n'est pas exclu que Xplain, acculée par le piratage et les conflits juridiques qui s'en sont suivis, ne puisse plus continuer à gérer elle-même les affaires liées aux applications pour la Confédération.
Dans cette situation, la Confédération n'aurait guère d'autre choix que de s'assurer les droits sur ce logiciel si important pour elle. Ce qui aurait bien sûr des conséquences financières, car des entreprises comme Xplain ne voudront guère céder leurs développements gratuitement.
Traduit et adapté par Noëline Flippe
