[EXCLUSIF] Projets confidentiels, position des caméras... ADP subit des fuites d'informations sensibles.

Ce 10 avril, Christelle, comme les 6434 autres salariés d'Aéroports de Paris (ADP), reçoit un étrange courriel dans lequel figure le nom d'un énigmatique Mr Robot. Cette invitation officielle adressée par la direction lui propose de participer à un atelier au titre angoissant : "Et si le groupe perdait sa liaison Internet ?". Un sujet brûlant. Deux mois plus tôt, une attaque informatique a tenté de noyer sous un flot de requêtes un serveur d'Orly afin de le rendre inaccessible. Un assaut sans conséquence majeure, mais symptomatique des risques grandissant encourus par la plateforme aéroportuaire.

Soumise, depuis la loi de programmation militaire, entrée en vigueur en 2016, à des contraintes plus lourdes en matière de cybersécurité, l'entreprise multiplie les campagnes de sensibilisation en interne. "Nous n'avons plus le droit d'utiliser de clef USB afin d'éviter d'emporter des documents sensibles à la maison, explique Christelle. Nous devons éteindre nos machines en cas de suspicion d'infection et avertir immédiatement lorsque nous recevons un message d'un expéditeur inconnu."

Les services secrets pour colmater les dégâts

Si la direction s'inquiète tant, c'est parce qu'elle a été victime de plusieurs fuites d'informations sensibles ces dernières années, certaines mineures, d'autres de nature à porter atteinte à la sécurité nationale comme L'Express le révèle. Le plan d'une piste d'Orly, l'emplacement des caméras de surveillance d'un terminal en travaux à Roissy-Charles-de-Gaulle, des documents confidentiels concernant le passage rapide aux frontières à Paris, ou encore le réseau d'alimentation en kérosène des avions en stationnement à l'aéroport de Djeddah, en Arabie saoudite, géré en partie par ADP... Voici quelques exemples alarmants.

[Offre limitée] Spécial rentrée. 1€ par mois

Je m'abonne

Chaque fois, la société a tenté de régler ces défaillances avec la plus grande discrétion en intervenant auprès de certains prestataires négligents. Quitte, parfois, à faire appel aux services secrets afin de colmater ces brèches et de nettoyer les dégâts.

À LIRE AUSSI >> LE TRAFIC AÉRIEN S'ENVOLE

Paralysie du trafic aérien, avions cloués au sol, système d'enregistrement des passagers hors service, on imagine aisément les conséquences d'une prise de contrôle malveillante. De tels scénarios ne relèvent plus d'un film catastrophe. L'impact serait immense: Roissy-Charles-de-Gaulle et Orly ont accueilli 101,5 millions de voyageurs l'an dernier. La menace est tellement prise au sérieux qu'un nouveau département a été créé en 2016 à Aéroports de Paris pour "piloter la maîtrise du cyber-risque" selon un document interne classifié.

Heathrow a connu les mêmes mésaventures

Ces dangers inquiètent jusqu'au plus haut niveau de l'Etat, de l'aveu même de Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), le pompier numérique de la République. "Dans le secteur aérien nous n'avons pas le droit à l'erreur vu les risques d'attentat, indiquait-il lors d'une conférence le mois dernier à l'Institut des hautes études de défense nationale. Mais il ne faut pas stigmatiser ce secteur, l'énergie, les transports ou les télécommunications sont tout autant exposés".

D'autres aéroports ont connu des mésaventures similaires, comme celui de Heathrow, à Londres. Les déplacements de la Reine Elisabeth II et de son service de sécurité à l'aéroport se sont retrouvés sur une clef USB remise au journal britannique Sunday Mirror en octobre 2017. Mais jusqu'à présent, aucune déconvenue de ce type n'avait encore été révélée à Paris. Un sujet hautement embarrassant au moment où le gouvernement envisage de privatiser, malgré la menace terroriste.

Le contrôle aux frontières impacté

Une start-up a sonné l'alerte. Depuis plus de quatre ans, ADP a mandaté cette entreprise, dont elle préfère taire le nom, pour surveiller Internet. "Nous avons mis en place un dispositif actif de détection des fuites d'informations nous donnant les moyens de réagir rapidement en cas de besoin. Ce système nous a permis dans chaque affaire de prendre nos dispositions et les mesures nécessaires", indique l'entreprise interrogée par L'Express.

Chaque fois, une course contre la montre s'engage afin de ne pas laisser ces éléments accessibles trop longtemps sur Internet et d'éviter leur dissémination. La dernière découverte, survenue à la fin de 2017, est tout particulièrement inquiétante. Un danger si sérieux que le ministère de l'Intérieur a été immédiatement averti. Des documents et projets confidentiels, en grande quantité, sont apparus sur la Toile à la suite d'une erreur technique commise par Gemalto.

Cette société a été retenue en juillet dernier pour s'occuper de l'avenir de Parafe, ce système automatisé de contrôle des passeports biométriques grâce à la reconnaissance des empreintes digitales, utilisé par la police aux frontières. En coordination avec Place Beauvau, ADP s'occupe du sujet hautement délicat des sas de 2ème génération qui vont permettre la reconnaissance faciale des voyageurs européens.

Une affaire qui tombe mal

La diffusion non désirée de détails sur l'architecture du nouveau système est potentiellement critique. Sa mise en service est prévue le 18 juillet prochain, lors des vacances d'été, souvent synonymes d'interminables files d'attente, surtout avec les contrôles renforcés depuis l'état d'urgence. Pour l'heure, l'objectif de 90 machines a été fixé pour la fin du premier semestre 2018 à Roissy-Charles-de-Gaulle et à Orly afin de fluidifier le trafic en progression constante.

L"'affaire Gemalto" tombe donc au plus mauvais moment. Déjà, la Commission informatique et liberté (Cnil) avait demandé des informations sur "l'éventuelle réévaluation des risques au regard de l'expérimentation et des premiers retours d'expérience" de Parafe. Plus gênant, l'incident concerne une entreprise pourtant spécialisée dans la sécurité informatique. Enfin, le calendrier est désastreux : pour la première fois, ADP reconnaît dans son rapport annuel que de tels accidents "peuvent avoir, s'ils se réalisent, un impact très important sur l'image, la notoriété, la robustesse et la performance de l'entreprise" et ce, au moment où l'Etat (actionnaire à hauteur de 50,6%) envisage sa privatisation.

À LIRE AUSSI >> Que peut (encore) vendre l'État pour boucler son budget?

Inquiets, les services de Bercy cherchent à préserver les exigences de défense nationale. Mais cela n'empêche pas le sénateur François-Noël Buffet (LR), auteur du rapport "Circuler en sécurité en Europe : renforcer Schengen" et membre de la délégation parlementaire au renseignement, de manifester son opposition au projet du gouvernement: "C'est un sujet à ne surtout pas négliger. Comment confier à une entreprise privée, peut-être étrangère, la gestion des aéroports au vue des problèmes de sécurité, de fuites d'informations et d'accès à des données personnelles, sans une très grande prudence ? Nous avons intérêt à être vigilants sur ce dossier et à ne pas nous lancer dans un telle aventure."

La direction de l'immigration au sein du ministère de l'Intérieur a adressé un ferme rappel des consignes à Gemalto, sans toutefois ouvrir d'enquête judiciaire. "Le problème a été résolu en quelques heures et a été sans conséquence, se défend le fautif interrogé à ce sujet. Des mesures ont été mises en place".

Le plan d'une piste d'Orly accessible sur la Toile

Malheureusement, cet épisode est loin d'être le premier du genre. Quelques mois plus tôt, ADP avait déjà repéré sur Internet le plan d'une piste d'Orly, dont la rénovation sur deux ans a fait intervenir quelques 40 entreprises et 700 personnes sur des éléments sensibles : balisage, réfection, aménagement des obstacles... Ces documents sont restés accessibles depuis le serveur non sécurisé d'un prestataire de services.

Ce revers met en lumière une faiblesse. Très régulièrement, des travaux sont effectués à Orly et à Roissy et de nombreux sous-traitants (cabinets d'architecture, entreprises de BTP...) sont sollicités avec un niveau de sensibilité aux questions de sûreté souvent bien inférieur à celui de leur client. "Nos exigences [en la matière] s'appliquent également dans nos relations avec l'ensemble de nos partenaires", se défend la société. Mais le facteur humain existe toujours, imprévisible par nature, et bien souvent à l'origine des plus grands dérapages... y compris sur les pistes.

"Les fuites de données ont principalement deux origines, explique le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie. La première est criminelle, elle peut même être ciblée, quand la seconde, malheureusement majoritaire, est accidentelle : perte ou vol d'un PC, d'une clef USB, d'un disque dur externe, ou mauvaise configuration d'un serveur".(À suivre...)

Retrouvez demain mardi la suite des révélations de L'Express concernant d'autres fuites survenues en 2013 et 2014. L'une d'entre elles a même touché des entreprises françaises du secteur de la défense.