Voici à quoi ressemble une imprimante au Palais fédéral. image Keystone

Piratage: les secrets du Parlement fédéral trop facilement accessibles

L'infrastructure numérique du Parlement fédéral n'était pas suffisamment sécurisée. Un rapport d'enquête montre qu'il y avait aussi d'autres problèmes.

Petar Marjanović

La pandémie l'a déjà montré: La Suisse a du mal avec la numérisation de son administration. Les rapports sur les infections Covid qui étaient faxées au début de la pandémie ou les pannes du carnet de vaccination électronique en étaient déjà de bons exemples. Un rapport d'enquête du Contrôle fédéral des finances (CDF) en rajoute une couche. Cela soulève de nombreuses questions.

Il s'agit, cette fois, de se pencher sur l'institution qui pourrait définir le cadre légal d'une numérisation idéale: le Parlement fédéral lui-même. Plus précisément des deux projets numériques «CuriaPlus» et «Cervin» qui jouent un rôle central dans le travail quotidien des parlementaires. Nous y reviendrons plus tard.

Le Contrôle des finances a examiné la manière dont les deux systèmes sont mis en place et a rédigé un rapport de 55 pages sous la référence EFK-21310. Le verdict y est accablant.

Qu'est-ce qui a été étudié?

Les parlements, comme celui de la Suisse, produisent énormément de documents: tout ce qui est demandé, discuté ou décidé doit être écrit sous une forme ou une autre. En 2016, le Conseil national et le Conseil des Etats ont décidé de numériser leur travail grâce à de nouvelles solutions. Les représentants du peuple devraient, à l'avenir, pouvoir déposer, signer ou soutenir toutes les interventions par voie numérique. Les procès-verbaux nécessaires à cet effet doivent pouvoir être classés et gérés numériquement.

Le Parlement produit beaucoup de papier qui est ensuite recyclé. image: Keystone

Ce projet phare porte le nom de «CuriaPlus» ou «Cervin». Il s'agit de deux systèmes qui s'appuient l'un sur l'autre et qui, depuis 2019, remplacent progressivement l'obsolète «Parlnet».

La bonne nouvelle: pour autant que certaines conseillères nationales interrogées puissent en juger, le système semble fonctionner. La tendance générale est la suivante: ce n'est pas encore prêt, mais oui, on sait que ça existe ... et ce n'est pas mal.

La mauvaise nouvelle: il n'aurait jamais dû être mis en service et pas seulement parce qu'un certain paragraphe bureaucratique n'a pas été respecté. Les problèmes sont plus graves.

Quel est le problème?

Le rapport révèle que des avertissements internes ont été émis avant même la mise en service. Le responsable qualité aurait écrit ce qui suit dans un mail au chef de projet «quelques jours avant la validation de la mise en production»:

La mise en service est «extrêmement risquée» .

. Le système aurait été «incomplètement testé, non accepté et plusieurs concepts nécessaires au lancement en production seraient manquants».

Malgré l'avertissement clair, le «feu vert» a été donné pour la mise en ligne des systèmes. Nous lisons dans le rapport que des pressions ont joué un rôle décisif. Selon la devise: lorsqu'un système aussi important est en ligne, la pression aide à résoudre les problèmes en suspens. Les problèmes décrits étaient, toutefois, critiques: il manquait ainsi des concepts importants dans le domaine de la gestion des utilisateurs, du monitoring et du logging ainsi que des solutions de sauvegarde et de récupération.

Ces instruments ont une grande importance dans la défense et la détection des cyberattaques. En leur absence, différentes attaques sont possibles contre l'infrastructure numérique du Parlement: ainsi, une personne non autorisée aurait pu temporairement «imiter» les droits d'un conseiller national ou d'un conseiller aux Etats. C'est-à-dire lire des documents confidentiels ou des procès-verbaux secrets. Ou, pour reprendre les termes du Contrôle des finances: «On peut voir ce qu'il a le droit de voir, télécharger les données qu'il a le droit de télécharger ou adapter, modifier et supprimer des informations en son nom».

«Il n'est donc pas possible de déterminer si Cervin/Parlnet a été attaqué depuis sa mise en service fin 2019.» Le Contrôle fédéral des finances

Il n'est pas possible de dire si de telles failles de sécurité ont été utilisées de manière abusive. Les systèmes qui auraient pu identifier de tels incidents de sécurité et irrégularités n'ont tout simplement pas été mis en place. Il n'est même pas possible de vérifier si un administrateur quelconque s'est donné le pouvoir d'un parlementaire pour s'amuser. Le contrôle des finances réprimande ces problèmes en les qualifiant de «particulièrement critiques» et «inacceptables».

Ici, la numérisation fonctionne: dans la Salle des pas perdus, un débat du Conseil national est diffusé en streaming. image: KEYSTONE

Comment cela a-t-il été possible ?

De telles pannes auraient pu être évitées grâce à un concept judicieux de sécurité de l'information et de protection des données. Cependant, ce concept faisait lui aussi défaut ou était formulé de manière si vague que même les cibles d'attaques les plus évidentes n'étaient pas mentionnées:

Comment empêcher le téléchargement automatique de documents secrets?

Comment empêcher toute modification délibérée ou involontaire des données d'un député?

Que faut-il faire contre les attaques par déni de service pour que personne ne puisse paralyser toute l'infrastructure du Parlement?

Il manquait des mesures pour toutes ces questions. Rétrospectivement, le scandale de la numérisation du Parlement n'est donc pas surprenant: ce qui n'a pas été convenu ne pouvait pas être proposé.

Comme si cela ne suffisait pas, l'audit du contrôle financier a documenté des problèmes «humains»: ainsi, le chef de projet ne souhaitait pas de contacts directs entre les parties impliquées dans le projet. Selon lui, elles n'étaient pas nécessaires, prématurés ou inefficaces. Sa solution qui consistait à faire passer toute communication par lui s'est, toutefois, révélée impraticable.

Quelle est l'ampleur des dégâts?

Il n'est pas facile de répondre à cette question: D'une part, rien ne permet de dire si l'informatique du Parlement a été réellement attaquée. D'autre part, la numérisation du Palais fédéral n'est pas encore terminée. C'est pourquoi le Contrôle des finances a également soulevé la question de savoir si le projet devait encore être poursuivi.

Les Services du Parlement n'en pensent rien: ils maintiennent le projet CuriaPlus et promettent une amélioration. Ils souhaitent procéder à une «mise au point de l'architecture», puis réexaminer le système informatique du Parlement afin de détecter d'éventuels problèmes. Selon les termes des Services du Parlement:

«Après une phase initiale difficile, la réalisation progresse rapidement. En l'état actuel, la date d'introduction prévue en 2023 sera respectée, de même que les coûts».

Traduit de l'allemand par Nicolas Varin