Pendant des années, le Système d’Information Schengen était truffé de milliers de failles

Cinq ans et demi pour les résoudre, ça va

Lors d'un audit, des milliers de failles ont été découvertes dans le Système d'Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

Martin Clavey

Le 04 juillet 2025 à 15h50

5 min

Sécurité

L'année dernière, la seconde version du Système d'Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l'espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d'ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées

Selon l'agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d'alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d'entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d'arrêt européen, mais aussi signale, aux fins de non-admission ou d'interdiction de séjour, des personnes signalées dans le cadre d'infractions pénales ou recherchées pour l'exécution d'une peine, ou encore des personnes disparues.

Ces données comprennent l'état civil, des photographies, des empreintes digitales et d'autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l'autorité ayant effectué le signalement » ou le type d'infraction.

Des milliers de problèmes de gravité « élevée »

Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l'époque de l'audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d'une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l'audit du CEPD est indiqué que 69 membres de l'équipe de développement avaient un accès à la base de données du système sans avoir l'habilitation de sécurité nécessaire.

Pour l'instant, le Système d'Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu'il soit intégré, à terme, au « système d'entrée/sortie » des personnes de nationalités en dehors de l'UE, qui lui doit être mis en place à partir d'octobre 2025. Celui-ci est connecté à Internet. Le rapport d'audit s'alarme d'une facilité des pirates d'accéder à la base de données à ce moment-là.

Une très lente réaction de Sopra Steria

Selon Bloomberg, l'audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l'eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l'agence européenne et l'entreprise l'oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n'a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l'eu-LISA qui n'a pas informé son conseil d'administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demande d'établir un plan d'action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l'eu-LISA affirme que « tous les systèmes gérés par l'agence font l'objet d'évaluations continues des risques, d'analyses régulières de la vulnérabilité et de tests de sécurité ».

Commentaires (21)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

pamputt Premium

Modifié le 04/07/2025 à 16h09

Du grand art ! Avec les montants en jeu, ça me rappelle les scandales des cabinets de recrutement, à plusieurs milliers d'euros la page. Ou encore le logiciel de paie des militaires français.

Grutorel Premium

Le 04/07/2025 à 18h17

normal c'est la même société: Sopra Steria.

Par contre, je me demande qui a accépté les deux marchés, parce que au niveau des dates:
2001: sopra gagne le marché pour louvois pour mise à jour
2008: ça marche pas bien, mais sopra gagne un deuxieme morceau de louvois avec un gros roll-back parce que les paies ne sont pas bien calculé
2011: echec de louvois et passage à source solde par Sopra également
2013: sopra gagne le marché SIS
2025: ça ne marche pas

point commun: une seule société.

plopl Premium

Le 04/07/2025 à 19h28

Ça prouve qu'ils ont de bons technico/commerciaux capables de répondre aux appels d'offre. Dommage que dans ceux-ci tu ne puisses pas mettre une clause d'exclusion par rapport à des expériences précédentes avec un prestataire.

Kalsth Premium

Le 04/07/2025 à 19h48

Pour etre souvent en concurrence avec SopraSteria pour un autre secteur de marché, je peux te dire que les acheteurs ne regardent pas les outils mais la taille de la société derrière. Combien de prospects nous avons perdu, surtout par appel d'offre publique, par ce que "Vous êtes trop petits on préfère les grosses structures même si vous avez le meilleur outil"

Résultat : le choix est souvent fait parce que l'editeur est conséquent et non parce qu'ils ont les outils performants derrière. D'ailleurs, le choix des utilisateurs ayant participé aux démos sont très souvent différents de celui des acheteurs...

RuMaRoCO Premium

Le 04/07/2025 à 16h19

"Cinq ans et demi pour les résoudre, ça va"

J'avais le meme "david Goodenough" qui a popé dans ma tête en le lisant.

the_cat

Modifié le 04/07/2025 à 17h00

Je me méfie quand même un peu.

Pour bosser sur des projets de TMA (Tierce Maintenance Applicative), quand il s'agit de maintenance, le prestataire n'est pas celui qui décide ce qui doit être corrigé en premier mais le client.

Quand tu as une liste de 300 bugs/problèmes, c'est au client de prioriser.
Et le problème, c'est qu'un incident de sécurité est vu comme mineur par le client qui choisi donc de déprioriser systématiquement ce sujet pour d'autres.

Combien de fois j'ai vu des clients vouloir passer en "urgence" un truc sans importance mais qui bloque 2 personnes à la place d'un problème de sécurité.

A l'inverse, j'ai connu aussi un projet "security by design", et lors d'un audit exterieur, paf des vulnérabilités ont été découverte.

Le client n'a pas hésité à sacrifier sa routine (et un project increment d'un mois), uniquement pour que les équipes bossent sur les vulnérabilités. Bon, je ne cache pas que le client a gueulé quand même... mais il a fait son taf à ce niveau.

Berbe Premium

Le 04/07/2025 à 17h03

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Contrats mal rédigés ?
SSII qui joue aux cons ?
Réponse à l'appel d'offre sous-estimé pour ensuite verser dans un comportement à la limite de l'extorsion ?

Toute ressemblance avec une situation ayant pu exister est purement fortuite.

Jarodd Premium

Le 04/07/2025 à 16h58

Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

Est-ce vraiment tétonnant ?

JoePike

Le 04/07/2025 à 18h42

De mémoire il me semble que c'était la boite qui envoyait du stagiaire de première année chez les clients
Mais je peux me tromper et dans ce cas désolé

bilbonsacquet Premium

Le 05/07/2025 à 10h50

Cap Gemini fait des trucs proches, et il doit y en avoir d’autres.

Jarodd Premium

Le 05/07/2025 à 13h31

C'est bien eux (aussi CapG comme dit ci-dessous).
Et ces stagiaires sont facturés le tarif de seniors++

JoePike

Le 05/07/2025 à 14h38

C'est bien ce dont je me souviens , sauf que ceux de CapGemini je crois que c'était des 2ème années

nyno Premium

Le 04/07/2025 à 18h29

Sopra c'est: 😎 nous sommes les pires des pires, et sans forcer en plus.

trash.spam.jetable

Le 04/07/2025 à 20h58

Eiffage, Atos, Vinci, toussa.....

janvi Premium

Modifié le 05/07/2025 à 09h14

J'essais de comprendre 34 140 K€ de budget maintenance corrective sur 5 ans.
Et Sopra Steria demandait 19 K€ pour corriger des problèmes élevé ou critique ?!

Dj Premium

Le 05/07/2025 à 21h47

Et les 19K, ils auraient engagé 3 stagiaire en plus durant 1 mois

Gamble

Le 05/07/2025 à 00h08

On se demande quand même qui est le con qui a validé le paiement à livraison. Ils font 0 test avant paiement ?

RFN Premium

Le 07/07/2025 à 08h35

Le problème est souvent contractuel : il y a un temps contraint de vérification et si on dépasse ce délai, la livraison est réputée acceptée...

fdorin Premium

Le 05/07/2025 à 08h04

Qui se souvient d'Adobe Flash et de ses patchs de sécurité toutes les semaines ?

Et quand je dis patch, ce n'était pas 1 ou 2 failles à chaque fois qui étaient corrigés, mais des dizaines voire des centaines.

Ce qui a réussi à résoudre le problème ? HTML5... et l'abandon de flash (et pour une fois, même si cela me fait mal de l'admettre, merci Apple, qui a précipité les choses !).

Patch Premium

Le 05/07/2025 à 20h28

Java remplace Flash, à ce niveau.

skan

Le 05/07/2025 à 12h21

Faut dire que Sopra a une excellente référence à mettre en avant.
Qui se souvient de Louvois?

Wikipedia

Maintenant que c'est corrigé on demande gentiment à tous ceux qui ont copié les données de les effacer?

Je crois que dans le git blame on voit le login d'un certain Xavier Dupont DL