télécoms

Les versions divergent sur l’ampleur du vol de données survenu chez Swisscom

Pendant plusieurs mois, l’opérateur a perdu la trace de cassettes informatiques. Des milliers d’e-mails, de contrats, de numéros et de données internes sont concernés

Elles sont trois, peut-être quatre, d’un format de 10 sur 12 centimètres. Ces cassettes informatiques, Swisscom en a perdu la trace durant plusieurs mois sans s’en rendre compte. Ce n’est que la semaine passée, alerté par la Neue Zürcher Zeitung (NZZ), que l’opérateur a pris conscience du vol. Un journaliste du quotidien alémanique a reçu ces données avant de prévenir l’opérateur. La NZZ publiait mercredi un résumé de ses découvertes. Et selon nos informations, il a fallu une semaine à Swisscom pour récupérer, ce mardi, une partie des données, une semaine pile après avoir été contacté par la NZZ. Explications sur une affaire qui est devenue en l’espace de quelques heures, selon Swisscom, sa «première priorité».

Quelles données ont-elles été volées?

Les cassettes contenaient des centaines de gigaoctets de données. Dans cette masse de données, aucune révélation n’est apparue. Selon la NZZ de mercredi, s’y trouvaient 14 500 e-mails, des contrats entre Swisscom et ses clients (privés et entreprises) et 600 000 numéros de téléphone. Le journaliste a aussi pu consulter la liste des communes et des cantons pour lesquels travaille Swisscom, ainsi que le nom des entreprises pour lesquelles Swisscom gère les serveurs. Les e-mails internes concernaient des procès-verbaux de séances. «Nous ne pouvons pas exclure que des données de clients se trouvent dans ces cassettes, nous les analysons de manière intensive», précise Christian Neuhaus, porte-parole de l’opérateur. Selon Swisscom, l’ensemble des données date de 2008 à 2010.

Contacté, Andreas Schmid, rédacteur de l’article de la NZZ, affirme qu’il «ne publiera pas de noms de particuliers ou d’entreprises en lien avec les données retrouvées».

Où se trouvaient ces informations?

Les versions se contredisent. Swisscom évoque quatre cassettes au total: l’opérateur en aurait récupéré trois ce mardi, alors que la quatrième aurait été rendue par la NZZ à sa source. Andreas Schmid dément: «C’est faux, j’ai rendu toutes les cassettes que je possédais à Swisscom. Et je ne peux pas confirmer qu’il y ait eu quatre ou sept cassettes. L’une d’entre elles contenait 364 gigaoctets de données, une autre 33 gigaoctets. Et il y a peut-être eu d’autres supports informatiques, mais je ne veux pas en dire davantage.» Du fait de ces divergences, il est possible, mais pas du tout certain, que des données se trouvent encore hors de contrôle de Swisscom. «Nous mettons tout en œuvre pour récupérer la cassette manquante», affirme l’opérateur.

Comment ces données ont-elles été perdues?

Selon Swisscom, les cassettes ont été dérobées lors de leur transfert, hors de ses centres de calcul, vers leur lieu habituel de destruction. «Comme il semble presque certain que les données émanent de deux centres de calcul, nous pensons qu’il ne s’agit pas d’une négligence, mais d’un acte intentionnellement criminel, selon Christian Neuhaus. Mais nous ne savons pas s’il s’agit du fait de l’un de nos employés ou d’un collaborateur d’une entreprise tierce.» «Il semble plausible qu’un employé ait voulu montrer qu’il était aisé de dérober ces cassettes et ait préféré avertir les médias plutôt que sa hiérarchie. Il n’y a sans doute pas d’intention criminelle», estime de son côté Philippe Oechslin, directeur de la société Objectif Sécurité. Pour l’heure, on ne sait pas quelle était la véritable intention du voleur.

De quand date la disparition des cassettes?

Swisscom ne se prononce pas. Andreas Schmid affirme détenir les données «depuis plusieurs mois. Mais j’ai eu besoin de l’aide de plusieurs spécialistes pour accéder au contenu de ces cassettes, bien sûr impossible à lire via des ordinateurs classiques. Et j’ai contacté Swisscom pour la première fois mardi 10 septembre pour les avertir de ma découverte». «Nous n’avons reçu les cassettes que ce mardi 17 septembre», dit de son côté Christian Neuhaus. Pourquoi un délai d’une semaine? «Nous ne pouvons pas encore répondre à cette question», dit le porte-parole. Andreas Schmid est plus précis: «Swisscom m’a demandé la semaine passée des détails sur les données pour être certain qu’elles lui appartenaient. J’ai transféré un exemple et Swisscom m’a ensuite réclamé jeudi les cassettes.» Pourquoi ne les avoir rendues que ce mardi? «Ce n’est pas un long délai, Swisscom avait perdu ces cassettes depuis des mois», poursuit Andreas Schmid.

Quelles seront les conséquences juridiques?

Swisscom a déposé une plainte pénale contre X auprès du procureur de la région Berne-Plateau, mais sans citer la NZZ. Selon nos informations, le quotidien pourrait pourtant faire l’objet à l’avenir de poursuites. «Je n’ai rien à me reprocher, j’ai immédiatement alerté Swisscom et n’ai pas utilisé ou copié les données», réagit Andreas Schmid. «La NZZ a vraisemblablement effectué un effort important pour accéder à ces données et analyser leur contenu, a priori sans droit. Selon la méthode choisie et les données en question, on peut imaginer une violation d’articles du Code pénal concernant les délits informatiques ou la divulgation de secrets commerciaux. En l’état, les agissements de la NZZ par rapport à ces données ne sont pas forcément limpides», estime Michel Jaccard, associé de l’étude «id est avocats» à Lausanne et spécialisé dans les nouvelles technologies.

Swisscom devra-t-il dédommager ses clients?

«Swisscom s’est sans doute déjà protégé face à de tels cas dans les conditions générales de ses contrats, poursuit l’avocat. L’opérateur a beaucoup insisté dans son communiqué sur toutes les mesures qu’il a prises pour tenter de limiter le risque réputationnel.» Selon Christian Neuhaus, «il est trop tôt pour parler de dédommagement tant que nous n’aurons pas une vision précise de la situation».

Mercredi, Swisscom a détaillé ses procédures de destruction des documents, en précisant utiliser désormais des disques durs pour le stockage de données – ceux-ci étant démagnétisés avant de quitter l’entreprise. Le convoi est accompagné de deux véhicules.

Publicité