Le constructeur naval français DCNS a été victime d’une fuite massive d’informations techniques confidentielles sur ses sous-marins Scorpène, ce qui pourrait alarmer les armées indienne, malaisienne et chilienne qui les utilisent, rapporte le journal The Australian.
Le groupe DCNS, détenu à 62 % par l’Etat français, a indiqué à l’AFP que « les autorités nationales de sécurité » françaises enquêtent, sans fournir plus de détails. « Cette enquête déterminera la nature exacte des documents qui ont fait l’objet de ces fuites, les préjudices éventuels pour nos clients ainsi que les responsabilités », a ajouté le groupe.
22 400 pages divulguées
Les 22 400 pages divulguées, que le quotidien australien affirme avoir consultées, détaillent les capacités de combat des Scorpène de la DCNS, conçus pour la marine indienne et dont plusieurs unités ont été achetées par la Malaisie et le Chili. Le Brésil doit lui aussi déployer ces submersibles à partir de 2018. La fuite pourrait également inquiéter l’Australie, qui a octroyé en avril un contrat de 50 milliards de dollars australiens (38 milliards de dollars US) au groupe DCNS pour concevoir et fabriquer sa prochaine génération de submersibles.
Les documents décrivent les sondes des vaisseaux, leurs systèmes de communication et de navigation, et 500 pages sont consacrées exclusivement au système de lance-torpilles, a précisé The Australian. Selon le quotidien, la DCNS aurait laissé entendre que la fuite pourrait venir d’Inde plutôt que de France. Les données pourraient toutefois avoir été emportées hors de France en 2011 par un ancien officier de la marine française qui, à l’époque, était un sous-traitant de la DCNS. Les documents pourraient avoir transité par des sociétés du sud-est asiatique avant d’être finalement envoyés à une entreprise en Australie, poursuit le journal.
Le Premier ministre australien Malcolm Turnbull a reconnu que cette fuite était « préoccupante » tout en en relativisant l’impact éventuel pour l’Australie. « Le sous-marin que nous construisons ou que nous allons construire avec les Français s’appelle le Barracuda, et est totalement différent du Scorpène conçu pour la marine indienne », a-t-il dit à la chaîne australienne Channel Seven. « Nous avons les dispositifs de protection de nos informations de Défense les plus élevés, que ce soit dans le cadre d’échanges avec d’autres pays ou en Australie », a-t-il ajouté. La fuite n’a « aucun lien avec le prochain programme de sous-marins du gouvernement australien », a ajouté dans un communiqué le ministre australien de l’Industrie de Défense, Christopher Pyne. Ce programme, précise le ministre, « se déroule dans un cadre très strict qui régit la façon dont toutes les informations et données techniques sont gérées et seront gérées à l’avenir ».
Un piratage informatique ?
Le ministre indien de la Défense Manohar Parrikar a ordonné une enquête sur les informations rapportées par The Australian, tout en avançant que la fuite pouvait être la conséquence d’un piratage informatique. « J’ai demandé au commandant de la marine d’enquêter et de découvrir ce qui avait fuité et l’étendue de ce qui nous concerne », a-t-il dit aux journalistes en Inde. « Ce que je comprends, c’est que c’est un piratage informatique », a-t-il dit sans donner de précision.
Le contrat des sous-marins australiens est revenu à la DCNS, mais le système de combat secret des 12 sous-marins Shortfin Barracudas est fourni par les Etats-Unis. Les submersibles australiens sont des versions réduites des Barracudas français.
Pour Ben Zilberman, directeur marketing produits sécurité chez Radware, ” Le plus souvent, les compromissions de données de cet acabit reposent sur des menaces persistantes avancées (APT) au cours desquelles les pirates parviennent à franchir les barrières de protection de leur cible puis récoltent les informations via un serveur de type « command and control ». Ce type d’opération requiert généralement une préparation minutieuse, des outils sophistiqués et un ensemble de compétences et de ressources dont seuls disposent des gouvernements, quelques entreprises puissantes ou encore des groupes de hackers aussi nombreux qu’organisés.”
Et de conclure : ” Si dans ce contexte précis les hypothèses sont nombreuses et s’étalent de la simple négligence ou malveillance d’un individu jusqu’à l’initiative de groupes de plus ou moins grande importance, il est certain que toutes les entreprises sont aujourd’hui soumises à des risques similaires ” .
Selon le responsable, pour protéger les données relevant de la propriété intellectuelle et hébergées dans un système d’information, il faut dans un premier temps les classifier en fonction de leur importance et restreindre l’accès aux données confidentielles. Il faut ensuite former les collaborateurs qui ont accès au système. Par ailleurs, ” Il est essentiel de chiffrer les informations les plus confidentielles et de les sauvegarder dans un serveur sécurisé au sein de l’entreprise. Il faut également pratiquer l’audit des partenaires, prestataires de service en amont de la signature d’un contrat. Enfin, il est nécessaire de mettre en place des solutions destinées à protéger l’entreprise de l’exploitation des vulnérabilités applicatives (telles que l’injection SQL) et à prévenir les fuites de données “, avec des solutions permettent de bloquer un document ou d’émettre une alerte quand ce dernier est sur le point de quitter l’enceinte de l’entreprise. “
Auteur : La Rédaction avec AFP