Soupçons de fuites de données à la Banque Mondiale
C’est Fox News qui a levé le lièvre, au début du mois d’octobre dernier. Selon la chaîne de télévision américaine, la Banque Mondiale aurait été victime d’indélicatesses de la part d’employés d’un sous-traitant, Satyam. Devant le mutisme et les dénégations tant de l’organisme de financement du développement des pays pauvres et que de la SSII indienne, Fox News poursuit son enquête.
Un vaudeville à trois. C’est ce que semblent jouer en ce moment la Banque Mondiale, la SSII indienne Satyam et la chaîne de télévision américaine Fox News. Une pièce de théâtre enlevée dans laquelle se multiplient les interlocuteurs anonymes pour donner des versions contradictoires avec, au cœur de l’intrigue, l’éventuel piratage du système d’information de l’organisme de lutte contre la pauvreté. En jeu : l’accès à des données pour lesquelles des spéculateurs peu scrupuleux pourraient vendre père et mère.
Selon Fox News, au plutôt son journaliste d’investigation vedette Richard Behar, la Banque Mondiale aurait subi, au cours des 12 derniers mois, des attaques répétées conduisant à l’intrusion de pirates dans 18 à 40 de ses serveurs, des attaques dont une bonne partie auraient été menées depuis Macao. Des logiciels espions auraient été installés sur des postes de travail au siège de l’organisme de financement du développement des pays pauvres, à Washington.
Comme le répète la chaîne de télévision américaine, la Banque Mondiale nie toute fuite de données sensibles. De son côté, Satyam, dans un communiqué, reconnaît que la Banque Mondiale a été victime d’attaques répétées, mais relativise, plaçant, de ce point de vue, l’organisme financier au même rang que « d’autres institutions publiques ou privées. » Et la SSII indienne d’assurer qu’aucune attaque n’a permis d’accéder à « des données sensibles dans les départements des ressources humaines, de la lutte anti-corruption, du financement ou de la trésorerie de la Banque Mondiale. »
Un contrat d’externalisation qui aurait tourné à l’aigre
En 2003, Satyam a remporté un important contrat d’externalisation de cinq ans auprès de la Banque Mondiale, portant sur la mise en place d’un PGI, mais aussi de systèmes de messagerie et de gestion de documents électroniques. Selon la SSII, ce contrat est arrivé tout naturellement à échéance en septembre 2008, sans être renouvelé.
Mais pour Richard Behar, l’histoire n’est pas aussi simple. Le network américain évoque un courrier électronique, émanant d’un responsable informatique de la Banque Mondiale faisant état de logiciels espions installés sur des postes de travail au siège de l’institution à Washington ; et de soupçons portant sur un ou plusieurs employés de Satyam détachés sur ce site. Pour la SSII, Fox News s’appuie sur « des informations erronées issues de sources non identifiées et de courriels sortis de leur contexte. » Mais celle-ci n’en démord pas : Robert Zoellick, président de la Banque Mondiale, a bien demandé, en avril dernier, le départ de quelques centaines de salariés de Satyam, pour raisons de sécurité.
Des interrogations sur les politiques de sécurité
Maintenant sa version des faits, Richard Behar s’interroge désormais sur le fait que ces salariés continuent, selon les sources de la chaîne de télévision, de travailler pour la Banque Mondiale, comme salariés de l’organisme ou bien d’autres sous-traitants. Pour étayer sa position, Richard Behar fait état de mémos internes à la Banque Mondiale et de témoignages pour évoquer ce qui pourrait être « la plus importante violation de sécurité pour une institution financière globale. » Selon les témoignages recueillis anonymement par Fox, la Banque Mondiale aurait besoin d’opérer un transfert de compétences avant de pouvoir se séparer de ces personnels. Mais, selon un porte-parole de l’institution, qui a accepté de répondre à Richard Behar sous couvert d’anonymat, seuls 12 salariés de Satyam auraient effectivement été conservés.
Toujours selon la chaîne, Satyam aurait demandé à recourir à une procédure d’arbitrage pour rupture de contrat prématurée de la part de la Banque Mondiale, une affirmation contestée par le porte-parole anonyme de l’organisation.
Reste que la Banque Mondiale ne semble pas être un exemple en matière de politiques de sécurité. Selon Fox News, l’accès au service externe de Webmail n’aurait par exemple été sécurisé par un système d’authentification double qu’en août 2008.