brouillard
DE | FR
Suisse
Parlement

Le Parlement suisse facilement exposé aux risques de piratage

Voici à quoi ressemble une imprimante au Palais fédéral.
Voici à quoi ressemble une imprimante au Palais fédéral.image Keystone

Piratage: les secrets du Parlement fédéral trop facilement accessibles

L'infrastructure numérique du Parlement fédéral n'était pas suffisamment sécurisée. Un rapport d'enquête montre qu'il y avait aussi d'autres problèmes.
22.03.2022, 11:4522.03.2022, 15:16
Petar Marjanović
Petar Marjanović
Suivez-moi
Plus de «Suisse»

La pandémie l'a déjà montré: La Suisse a du mal avec la numérisation de son administration. Les rapports sur les infections Covid qui étaient faxées au début de la pandémie ou les pannes du carnet de vaccination électronique en étaient déjà de bons exemples. Un rapport d'enquête du Contrôle fédéral des finances (CDF) en rajoute une couche. Cela soulève de nombreuses questions.

Il s'agit, cette fois, de se pencher sur l'institution qui pourrait définir le cadre légal d'une numérisation idéale: le Parlement fédéral lui-même. Plus précisément des deux projets numériques «CuriaPlus» et «Cervin» qui jouent un rôle central dans le travail quotidien des parlementaires. Nous y reviendrons plus tard.

Le Contrôle des finances a examiné la manière dont les deux systèmes sont mis en place et a rédigé un rapport de 55 pages sous la référence EFK-21310. Le verdict y est accablant.

Qu'est-ce qui a été étudié?

Les parlements, comme celui de la Suisse, produisent énormément de documents: tout ce qui est demandé, discuté ou décidé doit être écrit sous une forme ou une autre. En 2016, le Conseil national et le Conseil des Etats ont décidé de numériser leur travail grâce à de nouvelles solutions. Les représentants du peuple devraient, à l'avenir, pouvoir déposer, signer ou soutenir toutes les interventions par voie numérique. Les procès-verbaux nécessaires à cet effet doivent pouvoir être classés et gérés numériquement.

Ein voller Papierkorb am Ende der Session im Nationalrat, am Freitag, 30. September 2011 bei der Herbstsession der Eidgenoessischen Raete in Bern. (KEYSTONE/Peter Klaunzer)
Le Parlement produit beaucoup de papier qui est ensuite recyclé.image: Keystone

Ce projet phare porte le nom de «CuriaPlus» ou «Cervin». Il s'agit de deux systèmes qui s'appuient l'un sur l'autre et qui, depuis 2019, remplacent progressivement l'obsolète «Parlnet».

La bonne nouvelle: pour autant que certaines conseillères nationales interrogées puissent en juger, le système semble fonctionner. La tendance générale est la suivante: ce n'est pas encore prêt, mais oui, on sait que ça existe ... et ce n'est pas mal.

La mauvaise nouvelle: il n'aurait jamais dû être mis en service et pas seulement parce qu'un certain paragraphe bureaucratique n'a pas été respecté. Les problèmes sont plus graves.

Quel est le problème?

Le rapport révèle que des avertissements internes ont été émis avant même la mise en service. Le responsable qualité aurait écrit ce qui suit dans un mail au chef de projet «quelques jours avant la validation de la mise en production»:

  • La mise en service est «extrêmement risquée».
  • Le système aurait été «incomplètement testé, non accepté et plusieurs concepts nécessaires au lancement en production seraient manquants».

Malgré l'avertissement clair, le «feu vert» a été donné pour la mise en ligne des systèmes. Nous lisons dans le rapport que des pressions ont joué un rôle décisif. Selon la devise: lorsqu'un système aussi important est en ligne, la pression aide à résoudre les problèmes en suspens. Les problèmes décrits étaient, toutefois, critiques: il manquait ainsi des concepts importants dans le domaine de la gestion des utilisateurs, du monitoring et du logging ainsi que des solutions de sauvegarde et de récupération.

Ces instruments ont une grande importance dans la défense et la détection des cyberattaques. En leur absence, différentes attaques sont possibles contre l'infrastructure numérique du Parlement: ainsi, une personne non autorisée aurait pu temporairement «imiter» les droits d'un conseiller national ou d'un conseiller aux Etats. C'est-à-dire lire des documents confidentiels ou des procès-verbaux secrets. Ou, pour reprendre les termes du Contrôle des finances: «On peut voir ce qu'il a le droit de voir, télécharger les données qu'il a le droit de télécharger ou adapter, modifier et supprimer des informations en son nom».

«Il n'est donc pas possible de déterminer si Cervin/Parlnet a été attaqué depuis sa mise en service fin 2019.»
Le Contrôle fédéral des finances

Il n'est pas possible de dire si de telles failles de sécurité ont été utilisées de manière abusive. Les systèmes qui auraient pu identifier de tels incidents de sécurité et irrégularités n'ont tout simplement pas été mis en place. Il n'est même pas possible de vérifier si un administrateur quelconque s'est donné le pouvoir d'un parlementaire pour s'amuser. Le contrôle des finances réprimande ces problèmes en les qualifiant de «particulièrement critiques» et «inacceptables».

ZU DEN EIDGENOESSISCHEN WAHLEN VOM 18. OKTOBER 2015 STELLEN WIR IHNEN ZUM THEMA NATIONALRATSSAAL FOLGENDES BILDMATERIAL ZUR VERFUEGUNG - WEITERE BILDER FINDEN SIE AUF UNSERER WEBSEITE "PARLAM ...
Ici, la numérisation fonctionne: dans la Salle des pas perdus, un débat du Conseil national est diffusé en streaming.image: KEYSTONE

Comment cela a-t-il été possible ?

De telles pannes auraient pu être évitées grâce à un concept judicieux de sécurité de l'information et de protection des données. Cependant, ce concept faisait lui aussi défaut ou était formulé de manière si vague que même les cibles d'attaques les plus évidentes n'étaient pas mentionnées:

  • Comment empêcher le téléchargement automatique de documents secrets?
  • Comment empêcher toute modification délibérée ou involontaire des données d'un député?
  • Que faut-il faire contre les attaques par déni de service pour que personne ne puisse paralyser toute l'infrastructure du Parlement?

Il manquait des mesures pour toutes ces questions. Rétrospectivement, le scandale de la numérisation du Parlement n'est donc pas surprenant: ce qui n'a pas été convenu ne pouvait pas être proposé.

Comme si cela ne suffisait pas, l'audit du contrôle financier a documenté des problèmes «humains»: ainsi, le chef de projet ne souhaitait pas de contacts directs entre les parties impliquées dans le projet. Selon lui, elles n'étaient pas nécessaires, prématurés ou inefficaces. Sa solution qui consistait à faire passer toute communication par lui s'est, toutefois, révélée impraticable.

Quelle est l'ampleur des dégâts?

Il n'est pas facile de répondre à cette question: D'une part, rien ne permet de dire si l'informatique du Parlement a été réellement attaquée. D'autre part, la numérisation du Palais fédéral n'est pas encore terminée. C'est pourquoi le Contrôle des finances a également soulevé la question de savoir si le projet devait encore être poursuivi.

Les Services du Parlement n'en pensent rien: ils maintiennent le projet CuriaPlus et promettent une amélioration. Ils souhaitent procéder à une «mise au point de l'architecture», puis réexaminer le système informatique du Parlement afin de détecter d'éventuels problèmes. Selon les termes des Services du Parlement:

«Après une phase initiale difficile, la réalisation progresse rapidement. En l'état actuel, la date d'introduction prévue en 2023 sera respectée, de même que les coûts».

Traduit de l'allemand par Nicolas Varin

La petite ukrainienne qui chantait «Libérée, délivrée» rempli un stade

Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Pourquoi l'UDC va galérer ces 4 prochaines années
Au Palais fédéral, les décisions politiques se prennent lors des votes, mais aussi et surtout au sein des commissions parlementaires. Grâce à sa victoire électorale en octobre dernier, l'UDC y a renforcé son pouvoir. Malgré cela, le parti devra encore cravacher pour s'imposer.

Le Parlement, ça sert à parler. C'est même dans le nom: on débat, on discute, on échange. Lundi, c'est la rentrée des classes pour la nouvelle législature: une cinquantaine de parlementaires tout neufs, sur les 246 que comptent l'Assemblée fédérale, vont entrer en fonction.

L’article