Swisscom s'est fait subtiliser au moins quatre bandes de données provenant de ses centres de calcul. Trois d'entre elles ont déjà été récupérées et le numéro un de la téléphonie en Suisse a porté plainte contre X. Il n'est pas exclu que des informations relatives à la clientèle figurent sur ces supports.
Le quotidien alémanique "Neue Zürcher Zeitung" (NZZ) a contacté la semaine dernière l'ex-régie fédérale afin de lui signaler être en possession de quatre supports de données, a indiqué mercredi à l'ATS Christian Neuhaus, porte-parole de Swisscom. Il revenait sur des informations publiées un peu plus tôt par le journal.
Trois bandes ont été restituées mardi au géant bleu. Ce dernier "met tout en oeuvre" pour pouvoir récupérer la quatrième, qui a été rendue à sa source par la NZZ. "Nous ne savons pour l'heure pas si d'autres supports du même type ont disparu", a précisé le porte-parole.
Les données figurant sur ces bandes constituent des copies de sauvegarde datant des années 2008 à 2010. Elles proviennent d'au moins deux centres de calcul, tous deux situés à Ostermundigen (BE).
15'000 emails
Selon la NZZ, qui est parvenue à décrypter les supports, ils contiennent notamment près de 15'000 emails reçus et envoyés par des collaborateurs de Swisscom. Ces conversations électroniques traitent de l'état des projets en cours, des problèmes internes, ou encore de la gestion du personnel.
Des copies de numéros de téléphone, de contrats et de commandes sont également stockés sur les bandes, poursuit le quotidien zurichois. L'opérateur a dit travailler "d'arrache-pied", en collaboration avec une société externe, à l'analyse de ces documents depuis qu'il les a reçus et ne pouvoir "pas exclure la présence éventuelle de données de clients".
Mercredi matin, l'état des recherches ne laissait pas présager ce scénario du pire. "Mais il nous reste des gigas et des gigas de données à décortiquer", a rappelé Christian Neuhaus. S'il s'avérait que des informations relatives à la clientèle figurent bel et bien sur les bandes, "nous ne pourrions pas faire beaucoup plus qu'avertir les personnes concernées".
Maladresse quasi exclue
L'individu qui a transmis les quatre bandes à la NZZ est pour l'heure inconnu de Swisscom. Le groupe a déposé une plainte pénale contre X auprès du procureur de la région Berne-Mittelland et informé le préposé fédéral à la protection des données. Des enquêtes internes ont également été lancées.
Le fait que les bandes proviennent de plusieurs centres de calcul rend hautement improbable l'éventualité que leur disparition soit liée à de la maladresse. C'est pourquoi Swisscom table sur une intention criminelle.
Le type de bandes concerné par cette affaire n'est plus utilisé depuis 2012 et les données de l'entreprise de télécommunications sont actuellement stockées uniquement sur disque dur. Les anciens supports sont en cours de destruction. Depuis le début de l'année dernière, les disques durs sont démagnétisés dans les centres de calcul afin d'en supprimer les données avant leur élimination.
Dans un communiqué, Swisscom précise qu'il applique "les directives les plus strictes afin de garantir l'élimination sûre et durable" des supports de données devenus obsolètes. Ils sont transportés selon le principe du double contrôle puis stockés dans des locaux hautement sécurisés. Des sociétés partenaires externes participent à ce processus, qui fait l'objet d'un audit annuel.
Il y a quelques mois
La NZZ a reçu les quatre bandes de données "il y a quelques mois", sans avoir de détails sur leur propriétaire ou leur contenu, écrit-elle dans ses colonnes. "Il ne semble pas que ces supports aient été mis à disposition d'autres", poursuit le quotidien.
Ce n'est qu'après être parvenue à lire le contenu des documents à l'aide de matériel spécialisé que le journal alémanique a réalisé qu'il s'agissait de données émanant de Swisscom. "Les bandes ont alors été rendues à leur propriétaire légitime."