Cyberattaque contre l’entreprise Xplain: conséquences pour fedpol et mesures prises

Début juin 2023, il a été rendu public que l’entreprise suisse Xplain, un fournisseur de logiciels destinés aux autorités de sécurité et aux organisations d’intervention d’urgence, avait été victime d’une attaque par ransomware du groupe de cybercriminels Play. En accord avec la Confédération et les autorités de poursuite pénale, l’entreprise Xplain n’a pas répondu aux demandes de rançon des cybercriminels. À la mi-juin 2023, ceux-ci ont alors publié sur le darknet le lot de données dérobées. fedpol est concerné par cette fuite de données, tout comme d’autres unités administratives fédérales et cantonales.
L’entreprise Xplain a annoncé le cyberincident à l'Office fédéral de la cybersécurité (OFCS) et déposé une plainte auprès de la police cantonale bernoise.
Xplain a informé fedpol du vol de données le 23 mai 2023. Après avoir pris connaissance de l’incident, fedpol a déposé une plainte pénale contre inconnu auprès du Ministère public de la Confédération et a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) de la fuite de données.
Dans quelle mesure fedpol est-il concerné?

Le volume des données volées et publiées sur le darknet concernant fedpol connu à ce jour (septembre 2023) équivaut à moins de 10 % du volume total. Grâce à ses propres analyses, fedpol a constaté déjà à un stade précoce que des données opérationnelles étaient notamment concernées. Il a donc pris sans délai des mesures préventives afin de protéger les personnes, les données, les infrastructures, les objets et les procédures concernés.

D’après les connaissances actuelles, les données détournées comprennent des données personnelles (par ex. nom, prénom, date de naissance) et, dans certains cas, des données sensibles de personnes physiques (par ex. photos du visage). Les analyses ont mis au jour, parmi les données dérobées et publiées, un fichier XML remontant à 2015 qui comprend certaines données du système d’information HOOGAN. Sont enregistrées dans ce système les personnes qui ont affiché un comportement violent lors de manifestations sportives en Suisse ou à l’étranger et contre qui le canton compétent ou fedpol a prononcé une mesure en vertu de l’art. 24a de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI). Le fichier XML publié sur le darknet contient un code technique avec des données concernant 766 personnes saisies dans HOOGAN en septembre 2015. Il ne contient aucune information sur des infractions ou des mesures prononcées (cf. communiqué de presse du 12 juillet 2023).