Recherche : [audit] - Cyberveille

Pendant des années, le Système d’Information Schengen était truffé de milliers de failles - Next https://next.ink/191073/pendant-des-annees-le-systeme-dinformation-schengen-etait-truffe-de-milliers-de-failles/

11/07/2025 20:27:11

Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains
problèmes. L’année dernière, la seconde version du Système […]
L'année dernière, la seconde version du Système d'Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l'espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d'ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées
Selon l'agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d'alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d'entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d'arrêt européen, mais aussi signale, aux fins de non-admission ou d'interdiction de séjour, des personnes signalées dans le cadre d'infractions pénales ou recherchées pour l'exécution d'une peine, ou encore des personnes disparues.

Ces données comprennent l'état civil, des photographies, des empreintes digitales et d'autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l'autorité ayant effectué le signalement » ou le type d'infraction.

Des milliers de problèmes de gravité « élevée »
Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l'époque de l'audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d'une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l'audit du CEPD est indiqué que 69 membres de l'équipe de développement avaient un accès à la base de données du système sans avoir l'habilitation de sécurité nécessaire.

Pour l'instant, le Système d'Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu'il soit intégré, à terme, au « système d'entrée/sortie » des personnes de nationalités en dehors de l'UE, qui lui doit être mis en place à partir d'octobre 2025. Celui-ci est connecté à Internet. Le rapport d'audit s'alarme d'une facilité des pirates d'accéder à la base de données à ce moment-là.

Une très lente réaction de Sopra Steria
Selon Bloomberg, l'audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l'eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l'agence européenne et l'entreprise l'oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n'a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l'eu-LISA qui n'a pas informé son conseil d'administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demande d'établir un plan d'action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l'eu-LISA affirme que « tous les systèmes gérés par l'agence font l'objet d'évaluations continues des risques, d'analyses régulières de la vulnérabilité et de tests de sécurité ».

Major security audit of critical FreeBSD components now available - Help Net Security https://www.helpnetsecurity.com/2024/11/18/security-audit-freebsd-components/

19/11/2024 11:07:20

The FreeBSD Foundation has released an extensive security audit of two critical FreeBSD components: bhyve and Capsicum.

Uncovering Apple Vulnerabilities: The diskarbitrationd and storagekitd Audit Story Part 1 https://www.kandji.io/blog/macos-audit-story-part1

13/11/2024 09:15:02

Kandji's Threat Research team performed an audit on the macOS diskarbitrationd & storagekitd system daemons, uncovering several (now fixed) vulnerabilities

Indonesia president orders audit of data centres after cyberattack https://www.reuters.com/technology/cybersecurity/bulk-indonesia-data-hit-by-cyberattack-not-backed-up-officials-say-2024-06-28/#:~:text=JAKARTA%2C%20June%2028%20(Reuters),country's%20vulnerability%20to%20such%20attacks

28/06/2024 13:53:44

Indonesian President Joko Widodo ordered on Friday an audit of government data centres after officials said the bulk of data affected by a recent ransomware cyberattack was not backed up, exposing the country's vulnerability to such attacks.
Last week's cyberattack, the worst in Indonesia in recent years, has disrupted multiple government services including immigration and operations at major airports.

Suisse: Caméras de surveillance de l’armée jugées trop vulnérables https://www.20min.ch/fr/story/cameras-de-surveillance-de-larmee-jugees-trop-vulnerables-780259398946

24/01/2023 09:13:19

Obsolètes, des caméras sont des «proies faciles pour les pirates», conclut un audit interne qui affirme que l’armée néglige sa sécurité informatique.

From NtObjectManager to PetitPotam https://clearbluejar.github.io/posts/from-ntobjectmanager-to-petitpotam/

26/06/2022 12:50:46

Windows RPC enumeration, discovery, and auditing via NtObjectManager. We will audit the vulnerable RPC interfaces that lead to PetitPotam, discover how they have changed over the past year, and overcome some common RPC auditing pitfalls.

Oh Snap! More Lemmings (Local Privilege Escalation in snap-confine) https://www.qualys.com/2022/02/17/cve-2021-44731/oh-snap-more-lemmings.txt

22/02/2022 10:45:56

We recently audited snap-confine (a SUID-root program that is installed
by default on Ubuntu) and discovered two vulnerabilities (two Local
Privilege Escalations, from any user to root): CVE-2021-44730 and
CVE-2021-44731.

Liens par page

Filtres