Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victime
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
données
1.3M
SecteurGouvernementTechnologie
PaysSuisse
GroupePlay

Le 23 mai 2023, le groupe de rançongiciel Play a compromis Xplain, un prestataire suisse de services informatiques travaillant pour l'Administration fédérale suisse. Les attaquants ont exfiltré 1,3 million de fichiers, dont environ 65 000 documents liés au gouvernement fédéral, et les ont publiés sur le site de fuite du dark web de Play le 14 juin 2023. L'enquête administrative qui s'en est suivie a identifié 121 documents classifiés au titre de l'Ordonnance sur la protection des informations, dont quatre contenant des mots de passe lisibles.

Ce qui s'est passé

Xplain fournit des services informatiques à un large éventail d'entités fédérales suisses. Lorsque Play a chiffré l'environnement de Xplain en mai 2023, les attaquants ont également exfiltré une vaste archive de données — dont une grande partie portait sur les engagements clients avec l'Administration fédérale. Le 14 juin 2023, après le refus de Xplain de payer, Play a publié le matériel dérobé sur son site de fuite.

L'inventaire post-incident du gouvernement suisse a établi :

  • Environ 70 % (~47 413 fichiers) de la fuite appartenait à Xplain elle-même.
  • Environ 14 % (~9 040 fichiers) appartenait à l'Administration fédérale.
  • Environ la moitié des fichiers ayant fuité de l'Administration fédérale contenait des données personnelles, des informations techniques, des contenus classifiés ou des mots de passe.
  • 121 documents répondaient aux critères de classification au titre de l'Ordonnance suisse sur la protection des informations.
  • Quatre de ces documents contenaient des mots de passe en clair.

Un état-major de crise officiel a été établi le 28 juin 2023 ; une enquête administrative a été lancée le 23 août. Les conclusions publiées sont parues en mars 2024.

Impact

  • 1,3 million de fichiers publiquement divulgués.
  • Environ 65 000 documents de l'Administration fédérale suisse exposés.
  • 121 documents classifiés identifiés dans la fuite.
  • 4 documents contenaient des mots de passe lisibles.
  • Déclenchement d'une revue politique du gouvernement fédéral sur les pratiques de traitement des données par les prestataires.

Pourquoi cela compte

Xplain est le cas européen le plus net d'une compromission d'un prestataire gouvernemental se transformant en fuite de données souveraines. L'enquête du gouvernement suisse se distingue par la finesse de ses détails publics : quel volume a été perdu, quelle part était classifiée, combien de mots de passe ont été laissés en clair dans des fichiers qui n'auraient jamais dû être exfiltrés en premier lieu. Tous les services européens des marchés publics y font désormais référence lors de la rédaction de clauses sur le traitement des données par les prestataires.

Chronologie

  1. Les opérateurs du rançongiciel Play compromettent Xplain et exfiltrent 1,3 million de fichiers, dont des données liées à l'Administration fédérale suisse.

  2. Play publie les données dérobées — environ 65 000 documents appartenant à l'Administration fédérale — sur son site de fuite du dark web.

  3. Les autorités suisses constituent un état-major de crise politique et stratégique pour coordonner la réponse fédérale.

  4. Une enquête administrative est officiellement lancée pour déterminer l'ampleur de l'exposition des données fédérales chez Xplain.

  5. Conclusions de l'enquête : 121 objets classifiés au titre de l'Ordonnance sur la protection des informations ; 4 contiennent des mots de passe lisibles. Environ la moitié des fichiers de l'Administration fédérale ayant fuité contiennent des contenus sensibles — données personnelles, informations techniques, informations classifiées ou identifiants.

Sources

  1. securityaffairs.comhttps://securityaffairs.com/160174/data-breach/xplain-data-breach-report.html
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/switzerland-play-ransomware-leaked-65-000-government-documents/
  3. therecord.mediahttps://therecord.media/play-ransomware-leaked-government-files-swiss
  4. theregister.comhttps://www.theregister.com/2024/03/08/swiss_government_files_ransomware/
  5. hackread.comhttps://hackread.com/xplain-hack-play-ransomware-leak-swiss-govt-data/

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel Rhysida contre la British Library (2023)

Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.

Victim
British Library
Loss
$8.5M
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)