Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Pendant des années, le Système d’Information Schengen était truffé de milliers de failles

Cinq ans et demi pour les résoudre, ça va

Pendant des années, le Système d’Information Schengen était truffé de milliers de failles

Lors d'un audit, des milliers de failles ont été découvertes dans le Système d'Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

Le 04 juillet à 15h50

L'année dernière, la seconde version du Système d'Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l'espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d'ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées

Selon l'agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d'alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d'entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d'arrêt européen, mais aussi signale, aux fins de non-admission ou d'interdiction de séjour, des personnes signalées dans le cadre d'infractions pénales ou recherchées pour l'exécution d'une peine, ou encore des personnes disparues.

Ces données comprennent l'état civil, des photographies, des empreintes digitales et d'autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l'autorité ayant effectué le signalement » ou le type d'infraction.

Des milliers de problèmes de gravité « élevée »

Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l'époque de l'audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d'une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l'audit du CEPD est indiqué que 69 membres de l'équipe de développement avaient un accès à la base de données du système sans avoir l'habilitation de sécurité nécessaire.

Pour l'instant, le Système d'Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu'il soit intégré, à terme, au « système d'entrée/sortie » des personnes de nationalités en dehors de l'UE, qui lui doit être mis en place à partir d'octobre 2025. Celui-ci est connecté à Internet. Le rapport d'audit s'alarme d'une facilité des pirates d'accéder à la base de données à ce moment-là.

Une très lente réaction de Sopra Steria

Selon Bloomberg, l'audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l'eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l'agence européenne et l'entreprise l'oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n'a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l'eu-LISA qui n'a pas informé son conseil d'administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demande d'établir un plan d'action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l'eu-LISA affirme que « tous les systèmes gérés par l'agence font l'objet d'évaluations continues des risques, d'analyses régulières de la vulnérabilité et de tests de sécurité ».

Commentaires (21)

votre avatar
Du grand art ! Avec les montants en jeu, ça me rappelle les scandales des cabinets de recrutement, à plusieurs milliers d'euros la page. Ou encore le logiciel de paie des militaires français.
votre avatar
normal c'est la même société: Sopra Steria.

Par contre, je me demande qui a accépté les deux marchés, parce que au niveau des dates:
2001: sopra gagne le marché pour louvois pour mise à jour
2008: ça marche pas bien, mais sopra gagne un deuxieme morceau de louvois avec un gros roll-back parce que les paies ne sont pas bien calculé
2011: echec de louvois et passage à source solde par Sopra également
2013: sopra gagne le marché SIS
2025: ça ne marche pas

point commun: une seule société.
votre avatar
Ça prouve qu'ils ont de bons technico/commerciaux capables de répondre aux appels d'offre. Dommage que dans ceux-ci tu ne puisses pas mettre une clause d'exclusion par rapport à des expériences précédentes avec un prestataire.
votre avatar
Pour etre souvent en concurrence avec SopraSteria pour un autre secteur de marché, je peux te dire que les acheteurs ne regardent pas les outils mais la taille de la société derrière. Combien de prospects nous avons perdu, surtout par appel d'offre publique, par ce que "Vous êtes trop petits on préfère les grosses structures même si vous avez le meilleur outil"

Résultat : le choix est souvent fait parce que l'editeur est conséquent et non parce qu'ils ont les outils performants derrière. D'ailleurs, le choix des utilisateurs ayant participé aux démos sont très souvent différents de celui des acheteurs...
votre avatar
"Cinq ans et demi pour les résoudre, ça va"

J'avais le meme "david Goodenough" qui a popé dans ma tête en le lisant.
votre avatar
Je me méfie quand même un peu.

Pour bosser sur des projets de TMA (Tierce Maintenance Applicative), quand il s'agit de maintenance, le prestataire n'est pas celui qui décide ce qui doit être corrigé en premier mais le client.

Quand tu as une liste de 300 bugs/problèmes, c'est au client de prioriser.
Et le problème, c'est qu'un incident de sécurité est vu comme mineur par le client qui choisi donc de déprioriser systématiquement ce sujet pour d'autres.

Combien de fois j'ai vu des clients vouloir passer en "urgence" un truc sans importance mais qui bloque 2 personnes à la place d'un problème de sécurité.


A l'inverse, j'ai connu aussi un projet "security by design", et lors d'un audit exterieur, paf des vulnérabilités ont été découverte.

Le client n'a pas hésité à sacrifier sa routine (et un project increment d'un mois), uniquement pour que les équipes bossent sur les vulnérabilités. Bon, je ne cache pas que le client a gueulé quand même... mais il a fait son taf à ce niveau.
votre avatar
Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».
Contrats mal rédigés ?
SSII qui joue aux cons ?
Réponse à l'appel d'offre sous-estimé pour ensuite verser dans un comportement à la limite de l'extorsion ?

Toute ressemblance avec une situation ayant pu exister est purement fortuite.
votre avatar
Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.
Est-ce vraiment tétonnant ?
votre avatar
De mémoire il me semble que c'était la boite qui envoyait du stagiaire de première année chez les clients
Mais je peux me tromper et dans ce cas désolé :incline:
votre avatar
Cap Gemini fait des trucs proches, et il doit y en avoir d’autres.
votre avatar
C'est bien eux (aussi CapG comme dit ci-dessous).
Et ces stagiaires sont facturés le tarif de seniors++ :transpi:
votre avatar
C'est bien ce dont je me souviens , sauf que ceux de CapGemini je crois que c'était des 2ème années
:mdr2:
votre avatar
Sopra c'est: 😎 nous sommes les pires des pires, et sans forcer en plus.
votre avatar
Eiffage, Atos, Vinci, toussa.....
votre avatar
J'essais de comprendre 34 140 K€ de budget maintenance corrective sur 5 ans.
Et Sopra Steria demandait 19 K€ pour corriger des problèmes élevé ou critique ?!

:reflechis:
votre avatar
Et les 19K, ils auraient engagé 3 stagiaire en plus durant 1 mois
votre avatar
On se demande quand même qui est le con qui a validé le paiement à livraison. Ils font 0 test avant paiement ?
votre avatar
Le problème est souvent contractuel : il y a un temps contraint de vérification et si on dépasse ce délai, la livraison est réputée acceptée...
votre avatar
Qui se souvient d'Adobe Flash et de ses patchs de sécurité toutes les semaines ? :D

Et quand je dis patch, ce n'était pas 1 ou 2 failles à chaque fois qui étaient corrigés, mais des dizaines voire des centaines.

Ce qui a réussi à résoudre le problème ? HTML5... et l'abandon de flash (et pour une fois, même si cela me fait mal de l'admettre, merci Apple, qui a précipité les choses !).
votre avatar
Java remplace Flash, à ce niveau.
votre avatar
Faut dire que Sopra a une excellente référence à mettre en avant.
Qui se souvient de Louvois?
fr.wikipedia.org Wikipedia

Maintenant que c'est corrigé on demande gentiment à tous ceux qui ont copié les données de les effacer?

Je crois que dans le git blame on voit le login d'un certain Xavier Dupont DL

Pendant des années, le Système d’Information Schengen était truffé de milliers de failles

  • 1,7 million de personnes concernées

  • Des milliers de problèmes de gravité « élevée »

  • Une très lente réaction de Sopra Steria

Fermer