Quelques clics, un peu de scroll – et voilà, le numéro de téléphone portable privé de la conseillère fédérale Elisabeth Baume-Schneider apparaît, accessible à tous sur Internet. Ceux qui pensaient qu’il était impossible de contacter un membre du gouvernement suisse en privé ont sous-estimé la puissance des moteurs de recherche.
Il n’est pas rare que des politiciens rendent leurs coordonnées publiques. Beaucoup le font et inscrivent leur numéro dans des communiqués de presse pour rester joignables par les journalistes. Mais il est étonnant que même les numéros de portables personnels des conseillers fédéraux soient accessibles librement en ligne. Et ils ne sont pas seuls: des hauts responsables de la sécurité peuvent, eux aussi, être retrouvés de cette manière.
Une simple recherche sur Google suffit
Cette enquête a été déclenchée par un incident survenu aux Etats-Unis: une faille sans précédent dans l’entourage du président américain Donald Trump. Ses principaux conseillers en sécurité ont planifié une opération militaire via l’application de messagerie Signal sans se rendre compte qu’ils avaient, par erreur, invité un journaliste à rejoindre la conversation. Un fiasco en matière de sécurité politique, qui n'est même pas un cas isolé. Le «Spiegel» a révélé que les numéros de téléphone portable et les adresses e-mail privés de plusieurs conseillers en sécurité américains étaient disponibles en ligne.
Blick s’est posé la question: cela pourrait-il aussi arriver en Suisse? Est-il aisé de retrouver les coordonnées personnelles de hauts responsables de la Confédération, comme celles du chef de l’armée ou de la directrice de l’Office fédéral de la police (Fedpol)? La réponse est claire: c’est incroyablement facile. Il suffit parfois d’une recherche Google ou de quelques clics sur un site de recherche de personnes pour voir apparaître des données pourtant sensibles. Voici, à titre d’exemple, les informations que l’on a pu obtenir, sans trop d'effort:
- Elisabeth Baume-Schneider – cheffe du département de l’Intérieur
- Ignazio Cassis – chef du département des Affaires étrangères
- Thomas Süssli – chef de l'armée
- Eva Wildi-Cortés – directrice de Fedpol
- Marc Siegenthaler – secrétaire général adjoint au DDPS
- Simon Müller – responsable cybersécurité de l’armée
- Florian Schütz – directeur de l'Office fédéral de la cybersécurité
- Urs Loher – directeur d'Armasuisse
Les numéros de téléphone portable et certaines adresses e-mail sont liés aux profils LinkedIn des personnes concernées. Et ces numéros fonctionnent, car des messages WhatsApp ont pu être envoyés. Trois des hauts responsables ont même répondu directement, parmi eux le chef de l’armée Thomas Süssli, le chef de l’armement Urs Loher, ainsi que Marc Siegenthaler, désigné par le Département de la défense pour seconder le chef du Service de renseignement, Christian Dussey. Tous ont poliment redirigé les demandes vers leurs services de communication. Seul le numéro supposé appartenir au chef de la cybersécurité, Florian Schütz, ne semblait connecté à aucun service de messagerie.
Des campagnes de sensibilisation en interne
L’Office fédéral de la cybersécurité (OFCS) a répondu aux questions que Blick avait adressées aux différents départements. Selon lui, le fait que ces numéros apparaissent dans des annuaires n’a «rien de problématique». Ces coordonnées sont de toute façon échangées lors d’événements de réseautage. Pour les «conversations sensibles et classifiées», il existe des «canaux de communication sécurisés et chiffrés». Et toutes les personnes occupant des fonctions publiques sensibles sont conscientes des risques – des «campagnes de sensibilisation» sont régulièrement menées en interne.
Pas de problème, alors? Sven Fassbender, expert en sécurité de l'information et directeur de la société de cybersécurité Zentrust Partners, se montre plus critique: «On peut se demander si la sensibilisation est vraiment efficace, quand les numéros de portable privés de hauts responsables de la sécurité peuvent être trouvés si facilement sur Internet», déclare-t-il, avant d'ajouter que si ces campagnes suffisaient, il n’y aurait plus de cyberattaques réussies dans le monde.
Le chef de l'armée joue aux échecs
Selon l'OFCS, les personnes exposées sont en général «très réticentes» à partager leurs données personnelles sur des plateformes publiques. Pourtant, dans le cas du chef de l’armée Thomas Süssli, il a été possible de retrouver plusieurs services associés à ses coordonnées: la plateforme d’apprentissage linguistique Duolingo, le portail d’échecs chess.com ou encore des applications de suivi sportif. La cheffe de Fedpol, Nicoletta Wildi-Cortés, s’est quant à elle inscrite sur le service de paiement PayPal en utilisant son adresse e-mail professionnelle.
Grâce à ces données librement accessibles, des services de renseignement étrangers pourraient compromettre les communications des personnes concernées en infectant leurs appareils avec des logiciels espions. Les cybercriminels, eux aussi, cherchent à exploiter ces failles pour accéder à des comptes ou des services comme les messageries ou PayPal via des attaques de phishing.
«Chaque information trouvée par un criminel augmente les chances de réussite d’une attaque», explique Sven Fassbender. Par exemple, si un attaquant sait que Thomas Süssli utilise Duolingo, il pourrait lui envoyer un e-mail falsifié au nom de la plateforme pour l’inciter à cliquer sur un lien piraté.
Les dommages peuvent être énormes
Si un attaquant réussit son coup, la question se pose: aura-t-il accès à des informations sensibles pour la sécurité? Selon Sven Fassbender, cela dépend aussi du respect des protocoles de sécurité par les personnes concernées. Il est essentiel qu’elles évitent d’échanger des données confidentielles via leurs téléphones portables ou adresses e-mail privés.
L’expert souligne que chaque haut responsable à Berne doit partir du principe que ses appareils personnels peuvent être localisés ou écoutés par des services de renseignement étrangers. Ce qui implique que, «lors de conversations sensibles, ils doivent éteindre et éloigner leur téléphone portable». Une erreur dans ce domaine peut avoir des conséquences considérables. Face à ces risques, Sven Fassbender juge que «le plus sûr serait que les numéros de téléphone et adresses e-mail privés de ces personnes ne soient pas du tout accessibles en ligne».
Du côté de la conseillère fédérale Elisabeth Baume-Schneider, son porte-parole précise qu’elle n’a, jusqu’ici, «jamais eu de mauvaise expérience», même si son numéro privé est trouvable. Toutefois, des mesures vont désormais être prises pour faire supprimer ce numéro des plateformes et sites web.
Robin Bäni
Fabian Eberhard