Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Fuite de données de l'Agence suédoise des transports

Un contrat d'externalisation informatique bâclé a exposé l'intégralité de la base de données suédoise des véhicules et des permis de conduire — y compris des données sur des identités protégées, des policiers et des militaires — à des informaticiens étrangers non habilités, déclenchant une crise politique nationale.

Victime
Agence suédoise des transports (Transportstyrelsen)
SecteurGouvernement
PaysSuède

En juillet 2017, la Suède a été plongée dans l'un de ses plus graves scandales de sécurité en temps de paix — non pas à cause d'un pirate, mais d'un contrat d'externalisation informatique catastrophiquement mal géré. L'Agence suédoise des transports (Transportstyrelsen) avait de fait exposé l'intégralité de la base de données du pays sur les véhicules et les permis de conduire, ainsi que des masses d'informations classifiées, à des informaticiens étrangers jamais habilités.

Ce qui s'est passé

En 2015, cherchant à réduire les coûts, l'Agence des transports a externalisé l'exploitation de ses registres de véhicules et de permis de conduire à IBM. IBM s'est à son tour appuyé sur des sous-traitants en République tchèque, en Roumanie et en Serbie. Sous une forte pression de calendrier — l'agence prédécesseure avait déjà commencé à licencier du personnel — la directrice générale Maria Ågren a décidé de contourner les exigences habituelles d'habilitation de sécurité suédoises, accordant à des techniciens étrangers l'accès à des systèmes sensibles sans la vérification d'usage.

Il en a résulté que des bases de données et fichiers sensibles entiers étaient accessibles à des personnels situés hors de Suède et dépourvus d'habilitation, en violation de la loi suédoise sur le traitement des informations secrètes.

Impact

Les informations exposées étaient extraordinairement sensibles :

  • Le registre complet des véhicules et des permis de conduire suédois, photographies comprises.
  • Des données pouvant révéler des personnes inscrites dans des programmes de protection des témoins et d'identité protégée.
  • Des informations touchant prétendument des registres de police, des membres d'unités militaires secrètes, des pilotes de l'armée de l'air suédoise, ainsi que des véhicules gouvernementaux et militaires, et des détails sur les infrastructures nationales.

Rien n'indiquait que les données aient été dérobées par un adversaire, mais la Suède ne pouvait plus en garantir la confidentialité — la défaillance de sécurité résidait dans l'exposition elle-même.

Retombées

  • Maria Ågren a été démise de ses fonctions en janvier 2017 et condamnée à une amende pour avoir été négligente avec des informations secrètes.
  • Lorsque l'affaire est devenue publique en juillet 2017, les retombées politiques ont été sévères : deux ministres — le ministre de l'Intérieur et le ministre des Infrastructures — ont démissionné, et le gouvernement minoritaire du Premier ministre Stefan Löfven a surmonté de justesse une crise de motion de censure.

Pourquoi c'est important

L'affaire Transportstyrelsen est un cas marquant de risque lié aux tiers et à l'externalisation pour les gouvernements. Elle a montré qu'une « fuite » peut ne comporter aucun attaquant — et que confier des données à du personnel externalisé non habilité peut en soi constituer une atteinte à la sécurité nationale. Le scandale a refondu la manière dont la Suède encadre l'externalisation des systèmes informatiques publics sensibles, en durcissant les règles d'habilitation de sécurité, de souveraineté des données et de responsabilité ministérielle, et il demeure un exemple européen déterminant d'exposition auto-infligée de secrets d'État.

Chronologie

  1. L'Agence suédoise des transports externalise la gestion de ses registres de véhicules et de permis de conduire à IBM pour réduire les coûts.

  2. La directrice générale Maria Ågren déroge aux règles habituelles d'habilitation de sécurité sous la pression du calendrier ; IBM recourt à des sous-traitants en République tchèque, en Roumanie et en Serbie pouvant accéder aux données.

  3. Säpo, le service de sécurité suédois, alerte sur l'accès étranger non habilité aux registres sensibles.

  4. Maria Ågren est démise de ses fonctions ; elle est ultérieurement condamnée à une amende pour mauvaise gestion d'informations classifiées.

  5. Le scandale devient public, révélant l'ampleur de l'exposition de données nationales sensibles.

  6. Les retombées politiques forcent la démission de deux ministres ; le gouvernement survit à une menace de motion de censure.

Sources

  1. thehackernews.comhttps://thehackernews.com/2017/07/sweden-data-breach.html
  2. thelocal.sehttps://www.thelocal.se/20170725/swedish-government-battles-political-fallout-from-transport-data-leak
  3. thelocal.sehttps://www.thelocal.se/20170721/it-workers-in-other-countries-had-access-to-secret-records-report
  4. careersinfosecurity.co.ukhttps://www.careersinfosecurity.co.uk/sweden-grapples-sensitive-data-leak-scandal-a-10139

Incidents liés

Fuite de donnéesRésolu

Fuite de données Miljödata (2025)

En août 2025, le fournisseur de systèmes suédois Miljödata a été victime d'une attaque par rançongiciel. À la suite de l'attaque, des données ont ensuite été publiées sur le dark web et comprenaient 870 000 adresses e-mail uniques réparties dans divers fichiers compromis.

Victim
Miljödata
Records
870.1K
Fuite de donnéesRésolu

Fuite de données Master Deeds (2017)

En mars 2017, un fichier de sauvegarde de base de données de 27 Go nommé « Master Deeds » a été envoyé à HIBP par un soutien du projet. Après une analyse détaillée plus tard dans l'année, le fichier s'est avéré contenir les données personnelles de dizaines de millions de résidents sud-africains vivants et décédés.

Victim
Master Deeds
Records
2.3M
Fuite de donnéesRésolu

Fuite de données CrimeAgency vBulletin Hacks (2017)

En janvier 2016, un grand nombre de forums vBulletin non corrigés ont été compromis par un acteur connu sous le nom de « CrimeAgency ». Au total, 140 forums ont vu leurs données, notamment des noms d'utilisateur, des adresses e-mail et des mots de passe (principalement stockés sous forme de hachages MD5 salés), extraites puis diffusées.

Victim
CrimeAgency vBulletin Hacks
Records
942.0K
Fuite de donnéesEn cours

ShinyHunters revendique le vol de 297 Go de données de paie et RH du Conseil de l'Europe via une faille zero-day Oracle PeopleSoft

Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.

Victim
Council of Europe