Skip to content
Cyber Breaches
Recherche
Rançongicielinvestigated

Attaque par rançongiciel contre Xplain et fuite de données fédérales suisses

Le gang de rançongiciel Play a compromis le fournisseur informatique suisse Xplain et a divulgué environ 65 000 documents sur le darknet, dont des fichiers sensibles de l'Administration fédérale provenant des départements de la justice, de la police et de la défense.

Victime
Xplain AG
données
65.0K
SecteurGouvernementTechnologie
PaysSuisse
GroupePlay
Attaquants nommésPlay

En mai 2023, le gang de rançongiciel Play a compromis Xplain AG, un fournisseur suisse de logiciels et de services informatiques dont les clients incluent le gouvernement fédéral suisse, l'armée, l'administration des douanes et plusieurs polices cantonales. Les attaquants ont exfiltré puis publié environ 65 000 documents sur le darknet, exposant des données gouvernementales sensibles dans l'une des plus graves atteintes à la chaîne d'approvisionnement de la Suisse.

Ce qui s'est passé

Le 23 mai 2023, l'opération de rançongiciel Play, liée à la Russie, a compromis les systèmes d'Xplain. Xplain — fournisseur de longue date d'applications spécialisées pour les organes policiers, judiciaires et militaires — a refusé de payer une rançon. Le 14 juin 2023, Play a déversé les données volées sur son site de fuite.

Le Centre national pour la cybersécurité (NCSC) suisse a lancé un examen forensique de plusieurs mois sur la fuite. Son rapport final, publié en mars 2024, a établi qu'environ 65 000 fichiers avaient été exposés. Parmi eux, 47 413 (environ 70 %) appartenaient à Xplain elle-même et 9 040 (environ 14 %) à l'Administration fédérale.

Impact

  • Environ 65 000 documents ont été divulgués, dont approximativement 9 040 fichiers de l'Administration fédérale.
  • Environ 95 % des fichiers fédéraux provenaient du Département fédéral de justice et police (DFJP), une part plus faible venant du Département fédéral de la défense, de la protection de la population et des sports (DDPS).
  • Les données exposées comprenaient des informations personnelles, des documents techniques, des mots de passe et des identifiants de connexion ; environ 5 000 fichiers contenaient du contenu sensible tel que des données personnelles, des informations classifiées ou des éléments relevant de la sécurité.

Réponse

Le NCSC, l'Office fédéral de la justice et le Ministère public de la Confédération ont enquêté. Le gouvernement a commandé une enquête administrative externe qui a examiné les pratiques de marchés publics et le traitement des données opérationnelles par les fournisseurs tiers. L'enquête a vivement critiqué tant la posture de sécurité d'Xplain que les offices fédéraux pour avoir stocké des données opérationnelles réelles dans des environnements de test et de développement gérés par le prestataire.

Pourquoi c'est important

L'affaire Xplain est l'incident emblématique de la chaîne d'approvisionnement tierce en Suisse : des données classifiées et policières ont fuité non pas parce que les propres systèmes du gouvernement ont été piratés, mais parce qu'un sous-traitant de confiance l'a été. Elle a déclenché un durcissement des règles fédérales sur le traitement des données par les fournisseurs, des restrictions sur le stockage de données de production dans les environnements des prestataires et un nouvel examen de la sécurité des marchés publics dans toute la Confédération suisse, cette affaire étant régulièrement citée lorsque des atteintes ultérieures à des fournisseurs (comme l'incident Radix de 2025) se sont produites.

Chronologie

  1. Le groupe de rançongiciel Play compromet Xplain AG, un fournisseur informatique suisse des autorités fédérales et cantonales.

  2. Xplain détecte l'intrusion et alerte les autorités ; l'entreprise refuse de payer une rançon.

  3. Play publie environ 65 000 documents volés sur le darknet, dont des fichiers de l'Administration fédérale.

  4. Le Centre national pour la cybersécurité (NCSC) suisse ouvre une enquête sur les données gouvernementales divulguées.

  5. Le rapport final du NCSC confirme 65 000 fichiers divulgués, dont 9 040 appartenant à l'Administration fédérale.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/switzerland-says-government-data-stolen-in-ransomware-attack/
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/
  3. therecord.mediahttps://therecord.media/play-ransomware-leaked-government-files-swiss
  4. securityaffairs.comhttps://securityaffairs.com/160174/data-breach/xplain-data-breach-report.html

Incidents liés

RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records
1.3M
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)