Le premier ministre suédois, Stefan Lovfen, a confirmé que des données avaient été compromises lors d’une conférence de presse, le 24 juillet à Stockholm. | Stina Stjernkvist / AP

« Cela a mis en danger la Suède et les citoyens suédois. » Les mots prononcés lundi 24 juillet par le premier ministre suédois, Steven Lovfen, lors d’une conférence de presse, sont durs. C’est que l’affaire est très sensible : une importante masse de données appartenant à l’agence publique des transports suédoise, la Transportstyrelsen, a été compromise. Concrètement, ces données ont été rendues accessibles à des personnes non habilitées à les consulter, notamment des employés de sous-traitants d’IBM en Europe de l’Est.

Ces fichiers contiennent des informations très sensibles, comme les noms, les photos, les adresses des citoyens, dont certains appartiennent à la police, à des unités secrètes de l’armée, ou encore des témoins sous protection. Pis : lorsque l’agence publique s’est rendu compte de son erreur, plutôt que d’envoyer une nouvelle version de la base de données, elle a adressé aux sous-traitants une liste de noms « à retirer » – une liste particulièrement sensible.

Dévoiler ces informations revient à « livrer les clés du royaume », résume l’un des responsables de l’agence des transports dans un rapport de la Säpo, les services de sécurité suédois, chargés de l’enquête.

Des procédures non respectées

Mais comment la Suède, dont l’affaire la plus connue reste celle du Toblerone, a-t-elle pu se retrouver dans une situation aussi problématique ?

L’affaire remonte à 2015, quand l’agence des transports a décidé de sous-traiter la maintenance informatique de ses bases de données et réseaux à IBM. Un transfert qui s’est effectué dans l’urgence, a expliqué Jonas Bjelfvenstam, le nouveau directeur de l’agence des transports, lors de la conférence de presse de lundi. Résultat : certaines règles et procédures internes n’ont pas été respectées, a-t-il regretté, et ces données sensibles ont été rendues accessibles à des personnes n’ayant jamais été habilitées à les manipuler, et vivant dans des pays étrangers.

« Il n’est pas interdit pour la Suède de placer des données dans d’autres pays, explique Ewamari Häggkvist, un procureur à la radio publique suédoise. L’échec réel de la Suède est de ne pas avoir testé la « loyauté » des employés étrangers, ajoute Johan Wiktorin, expert en sécurité informatique, dans les colonnes du Dagens Nyheter : « Vous ne savez pas si vous pouvez leur faire confiance du point de vue suédois. Dans le cas de la Serbie, la relation entre les services de renseignement serbes et russes est plutôt étroite. Dans le pire des cas, des services de renseignement étrangers ont obtenu une entrée directe dans les systèmes informatiques. »

Pour le moment, les autorités n’ont pas précisé si elles disposaient d’éléments permettant d’établir que ces données avaient atterri entre de mauvaises mains. L’agence de transports a affirmé de son côté que « rien n’indique » que les données aient fait l’objet d’un mauvais usage.

Crise politique

Confirmée lundi par le premier ministre, l’affaire a éclaté en juin quand Maria Agren, six mois après son renvoi, sans explication, de la tête de l’agence de transports, a été condamnée à payer une amende de 70 000 couronnes suédoises (7 200 euros) pour négligence dans le traitement de données confidentielles.

« Soyons clairs : si le commun des mortels avait divulgué ces données à cause de ce genre de négligences, il serait condamné à la prison à vie », s’indigne Rick Falkvinge, fondateur du Parti pirate suédois et directeur de la sécurité de l’entreprise Private Internet Access.

Le premier ministre a affirmé n’avoir été informé de l’affaire qu’en janvier. Plusieurs médias suédois accusent en revanche les ministres de la défense, Peter Hultqvist, et de l’intérieur, Anders Ygeman, d’avoir été prévenus dès 2016 et de ne pas avoir fait remonter l’information. La situation pourrait déclencher une crise politique, d’autant que la menace plane d’une motion de censure déposée par l’opposition, majoritaire au Parlement.