«Mon adresse e-mail a été piratée, mais tous les mots de passe ont été changés»
Roger Nordmann, conseiller national socialiste vaudois
Nos élus sont-ils des passoires en matière de sécurité informatique? Ou les simples victimes des attaques quotidiennes des pirates du monde entier? Dans un cas comme dans l’autre, il y a lieu de s’inquiéter. En recoupant les informations des sites «Have I been pwned?» et «BreachAlarm», services permettant de vérifier si un compte e-mail a été piraté, nous avons découvert que des politiciennes et politiciens vaudois avaient été hackés. Pour Alexis Roussel, ancien président du parti pirate suisse et expert en la matière, il n’y a aucun doute possible: «Ces sites sont réputés. Si une adresse y figure, il faut changer son mot de passe.» Christian Berclaz, COO d’e-Xpert Solutions, confirme: «Ce sont de bonnes sources pour voir si une adresse e-mail a été corrompue, l’information est fiable.»
Mots de passe volés
Dans les faits, Roger Nordmann, conseiller national socialiste vaudois, a vu certains de ses identifiants subtilisés en octobre 2013: «Oui, mon adresse e-mail a été piratée. Tous les mots de passe potentiellement concernés ont été changés». Jean-Yves Pidoux, municipal et directeur des Services industriels de Lausanne (SIL), fait également partie des élus touchés: «Je ne le savais pas quand j’ai reçu votre message. Il s’avère que le piratage qui me concerne provient d’un vol de données qui a affecté le site LinkedIn. Cette page ne contient aucune information sensible, mais j’ai immédiatement changé mon mot de passe». Sauf que «Have I been pwned?» mentionne que des mots de passe auraient été compromis et que le piratage a eu lieu en mai 2016.
Hécatombe cantonale
La liste ne s’arrête pas là. L’adresse privée du conseiller national Fathi Derder y figure également. Sollicité par nos soins, il n’a pas donné suite à notre demande d’interview. Du côté du Grand Conseil vaudois, c’est aussi l’hécatombe. Les adresses e-mails professionnelles d’au moins quatre députés pourraient avoir été touchées: Yves Ferrari, Gérard Mojar, Sonya Butera et Stéphane Rezso. Ce dernier prend cela avec une certaine résignation: «Notre site internet se fait régulièrement attaquer, pour ne pas dire tous les jours. Normalement, les procédures sur le site du canton se font par double identification et les documents sensibles ne sont pas diffusés. Mais c’est la bataille entre la flèche et l’armure, les hommes politiques ont vocation à être publics, donc forcément attaquables.»
Données sensibles
Quant à Sonya Butera, elle semble minimiser la situation. Alors que le site «Have I been pwned?» fait état de mots de passe compromis à trois reprises, la députée n’est pas inquiète: «La boîte à lettres à laquelle vous faites référence n’a pas été piratée, mais son adresse a été récupérée lors du piratage de sites tels que LinkedIn. Il se trouve qu’il s’agit de mon courriel professionnel. Or, l’Institution de Lavigny fait partie de la Fédération des hôpitaux vaudois, cette adresse bénéficie donc de la sécurité informatique propre aux milieux hospitaliers.» Ce qui fait dire à Alexis Roussel: «Ces piratages n’ont rien d’étonnant. Comme n’importe quel citoyen, les élus utilisent des services qui peuvent potentiellement se faire compromettre et dont la liste des identifiants est vendue à d’autres criminels.»
La prise de conscience doit donc être immédiate afin d’éviter que de telles situations ne se reproduisent. Il en va de la sécurité de tous. En effet, qu’adviendra-t-il le jour où des pirates prendront le contrôle du métro M2 ou des Services Industriels de Lausanne?
