Le logiciel de sécurité des frontières de l'Union européenne serait truffé de failles de sécurité, le SIS II développé et géré par Sopra Steria serait vulnérable aux cyberattaques

D'après un rapport

Le logiciel de sécurité des frontières de l'Union européenne serait truffé de failles de sécurité, le SIS II développé et géré par Sopra Steria serait vulnérable aux cyberattaques, d'après un rapport

Un nouveau rapport de Bloomberg et de Lighthouse a révélé que le système d'information Schengen (SIS II), utilisé par les forces de sécurité frontalières de l'Union européenne (UE) pour empêcher les immigrants sans papiers et les criminels présumés de voyager dans la région, présenterait de nombreuses failles de sécurité et serait vulnérable aux cyberattaques.

Le système d'information Schengen de deuxième génération (SIS II) est développé et géré par Sopra Steria, une entreprise de services du numérique (ESN) française et une société de conseil en transformation numérique des entreprises et des organisations. Sopra Steria est le fruit de la fusion en janvier 2015 des deux entreprises françaises de services numériques Sopra et Steria, créées respectivement en 1968 et 1969. En 2020, le groupe compte 55 000 salariés répartis dans 30 pays, dont 21 000 en France, et réalise un chiffre d'affaires de 5,8 milliards d'euros en 2023.

Le SIS II est un système informatique et une base de données partagés par la plupart des États membres de l'UE à des fins d'application de la loi et de sécurité publique. Selon un nouveau rapport collaboratif entre Bloomberg et l'organisation à but non lucratif Lighthouse Reports, le SIS II, utilisé depuis 2013, est confronté à des « milliers » de problèmes de cybersécurité, à tel point qu'un auditeur de l'UE les a qualifiés de « très graves » dans un rapport publié l'année dernière.

Le rapport indique qu'il n'y a aucune preuve de vol de données, mais que le « nombre excessif » de comptes ayant inutilement accès à la base de données signifie qu'elle pourrait être assez facilement exploitée.


Lors de son déploiement initial, les principales nouveautés du SIS II comprenaient la technologie d'empreintes digitales et les photographies dans les alertes. En 2023, le logiciel a été mis à jour avec des données actualisées et des améliorations de ses fonctionnalités existantes, notamment la possibilité de signaler lorsqu'une personne a été expulsée d'un pays. Les journalistes de Bloomberg se sont entretenus avec Romain Lanneau, chercheur juridique auprès d'un organisme de surveillance de l'UE appelé Statewatch, qui a averti qu'une attaque serait « catastrophique et pourrait toucher des millions de personnes ».

À l'heure actuelle, le SIS II fonctionne au sein d'un réseau isolé, mais il sera bientôt intégré au système d'entrée/sortie (EES) de l'UE, qui rendra obligatoire l'enregistrement des données biométriques pour les personnes voyageant dans les zones associées à Schengen lorsqu'il entrera en vigueur, probablement dans le courant de l'année. Comme l'EES sera connecté à Internet, il sera beaucoup plus facile de pirater la base de données du SIS II.


Bloomberg et Lighthouse soulignent que si la plupart des 93 millions d'enregistrements estimés du système SIS II concernent des objets tels que des véhicules volés, environ 1,7 million d'entre eux sont liés à des personnes. Ils ajoutent que les personnes concernées ne savent généralement pas que leurs données sont enregistrées dans la base de données jusqu'à ce que les forces de l'ordre interviennent. Ainsi, en cas de fuite d'informations, les personnes recherchées pourraient plus facilement échapper aux autorités.

Le développement et la maintenance du SIS II sont gérés par un prestataire basé à Paris, Sopra Steria. Selon le rapport, lorsque des vulnérabilités ont été signalées, il a fallu entre huit mois et plus de cinq ans pour les résoudre. Et ce, malgré l'obligation contractuelle de corriger les problèmes jugés critiques dans les deux mois suivant la publication d'un correctif.

Un porte-parole de Sopra Steria n'a pas répondu à Bloomberg concernant la liste détaillée des allégations relatives aux failles de sécurité du SIS II, mais a déclaré dans un communiqué publié dans le rapport que les protocoles de l'UE avaient été respectés. « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts », a-t-il déclaré. « Sopra Steria a rempli son rôle conformément à ces cadres. »


Selon l'enquête, EU-Lisa, l'agence européenne chargée de superviser les systèmes informatiques à grande échelle tels que SIS II, sous-traite régulièrement certaines tâches à des cabinets de conseil externes plutôt que de développer ses propres technologies en interne. L'audit a reproché à l'agence de ne pas avoir informé sa direction des risques de sécurité qui avaient été signalés, ce à quoi elle a répondu que tous les systèmes sous sa gestion « font l'objet d'évaluations continues des risques, d'analyses régulières des vulnérabilités et de tests de sécurité ».

Les révélations du rapport de Bloomberg interviennent moins de quatre ans après l'attaque du rançongiciel Ryuk subie par Sopra Steria, qui avait provoqué des perturbations opérationnelles et des pertes estimées entre 40 et 50 millions d'euros pour l'entreprise. À l'époque, le groupe avait indiqué avoir identifié une nouvelle variante du malware comme étant à l'origine de l'attaque, mais avait déclaré qu'aucune donnée client n'avait été divulguée et que ses clients n'avaient pas été affectés par la violation.

Source : Bloomberg et l'organisation à but non lucratif Lighthouse, spécialisée dans les enquêtes

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions du rapport collaboratif de Bloomberg et Lighthouse crédibles ou pertinentes ?

Voir aussi :

L'Union européenne veut déchiffrer vos données privées d'ici 2030 au travers du projet ProtectEU qui est une redite de ChatControl qui signait la fin des communications privées en Europe

La Commission de l'UE s'attaque au chiffrement de bout-en-bout et propose qu'Europol devienne un FBI européen au travers du nouveau projet dénommé ProtectEU

La Commission européenne lance DNS4EU, un résolveur DNS public destiné à servir d'alternative européenne à des services tels que le résolveur DNS public de Google et le résolveur DNS de Cloudflare