#cigeo #nucleaire #stockage
L’étrange piratage de documents liés au site d’enfouissement de #déchets_nucléaires de #Bure
▻https://abonnes.lemonde.fr/pixels/article/2018/11/01/l-etrange-piratage-de-documents-lies-au-site-d-enfouissement-de-dech
#cigeo #nucleaire #stockage
L’étrange piratage de documents liés au site d’enfouissement de #déchets_nucléaires de #Bure
▻https://abonnes.lemonde.fr/pixels/article/2018/11/01/l-etrange-piratage-de-documents-lies-au-site-d-enfouissement-de-dech
Dans la nuit du 10 au 11 juin, c’est un étrange message que reçoivent les 1 700 employés d’Ingérop, un grand groupe d’ingénierie dont le siège est situé à Rueil-Malmaison (Hauts-de-Seine). « Cher·e employé·e d’Ingérop », débute le message, avant de dénoncer les conséquences environnementales du projet d’enfouissement de déchets nucléaires à Bure dans la Meuse (Cigéo), dont Ingérop est l’un des principaux prestataires. Plus loin, le courriel se fait plus menaçant, et évoque de futures « actions diverses visant votre entreprise et les personnes impliquées dans le projet Cigéo ». Il se conclut sur un appel aux salariés, leur demandant de transmettre toutes les informations confidentielles à leur disposition sur le projet Cigéo à une adresse e-mail sécurisée.
Le message est signé d’un collectif baptisé « Les Monstres de Cigéo ». Sur un blog fraîchement créé, le collectif appelle les opposants au projet d’enfouissement à mener campagne contre les sous-traitants qui préparent, sur le site de Bure, le gigantesque chantier d’enfouissement de déchets radioactifs.
Très critiqué, le projet fait l’objet d’une importante mobilisation de militants écologistes et d’habitants, avec des manifestations régulières et parfois musclées. « Toute forme d’action est la bienvenue, soyons créatif·ve·s, obstiné·e·s, déterminé·e·s, pour obtenir d’Ingérop qu’elle se retire du projet Cigéo et de tous les projets connexes », est-il encore écrit sur le site, sans précisions sur les modalités d’action que le collectif espère voir naître.
[...]
80 Go de documents publiés en ligne
Dans les jours qui suivent, d’autres documents sont mis en ligne, tous sur un sous-domaine du site SystemAusfall, animé par un collectif allemand qui fournit des outils informatiques libres à qui les demande, et qui n’est pas spécialement lié aux mouvements écologistes. Au total, près de 80 Go de documents, que Le Monde a pu consulter, sont ainsi publiés. On y trouve des fichiers administratifs et des dossiers liés à différents chantiers publics, dont certains semblent sensibles de prime abord : ils ont trait à la centrale nucléaire de Fessenheim, aux installations de Bure, ou encore à des centres pénitentiaires français.
Entre-temps, Ingérop a porté plainte. Les enquêteurs spécialisés ont découvert des accès non autorisés à son réseau interne. L’Anssi, l’agence chargée de la protection informatique de l’Etat qui offre aussi son expertise technique aux sociétés travaillant dans des domaines sensibles, a également repéré la publication des documents. Le 3 juillet, la section du parquet de Paris chargée de la lutte contre la cybercriminalité ouvre une enquête, et sollicite son homologue à Cologne, pour faire cesser la publication des fichiers et recueillir les données techniques du serveur.
« Les documents incluent les plans de quatre prisons françaises et des documents sur le projet Cigéo et les infrastructures de la centrale de Fessenheim »
A Cologne, le juge qui examine la requête française prend l’affaire très au sérieux. « Les documents publiés incluent (…) les plans de quatre prisons françaises et des documents sur le projet Cigéo et les infrastructures de la centrale de Fessenheim », située à quelques kilomètres de la frontière allemande, écrit-il dans sa réquisition transmise à la police de Dortmund, où se situe l’un des serveurs utilisé par SystemAusfall.
Quarante-cinq minutes après avoir reçu le fax de Cologne, le 4 juillet, les policiers de Dortmund se présentent au centre culturel Langer August, qui abrite plusieurs associations, interdisent aux personnes présentes de quitter les lieux, et brisent la porte de la salle serveur, exploitée par l’association scientifique Wissenschaftsladen Dortmund. Les enquêteurs repartent avec plusieurs disques durs et une clé USB – quelques mois plus tard, le ministère de l’intérieur du Land justifiera la perquisition par une « menace sur la sécurité nationale » française.
Des documents confidentiels, mais pas si sensibles
Quel est le niveau de sensibilité réel de ces documents ? Contrairement à ce qu’a cru comprendre le parquet de Cologne, les dossiers ne comprennent pas de détails sur les infrastructures de Fessenheim – mais une expertise du montant de l’indemnisation pour EDF lorsque fermera la plus ancienne centrale nucléaire française, au plus tard en 2022. Certains fichiers liés au projet Cigéo, porté par l’Agence nationale pour la gestion des déchets radioactifs (Andra) et pour laquelle le bureau d’études Ingérop travaille depuis plusieurs années, sont, eux, confidentiels, à défaut d’être particulièrement sensibles.
On y trouve une multitude d’éléments sur les risques naturels et les impacts du projet, les tracés étudiés pour l’acheminement des « colis » radioactifs, la configuration des galeries souterraines, l’agencement des installations de surface ou l’implantation d’un transformateur électrique. Des informations dont beaucoup sont en accès libre sur le site même de l’Andra.
Plus inattendu, un fichier détaille les parcelles agricoles et forestières concernées par l’emprise du chantier, avec les noms de leur propriétaire et de leur exploitant, assortis de la mention « maîtrisé », « maîtrisable » ou « difficile à maîtriser ». Des qualificatifs dont on comprend qu’ils s’appliquent non seulement au contrôle du foncier, mais aussi aux détenteurs des terrains, identifiés comme étant prêts ou non à céder ces parcelles. Un procédé que certains intéressés, qui ont eu connaissance de cette liste, dénoncent comme « un fichage ».
Un autre document fait état d’une réunion, tenue le 12 mars, au cours de laquelle a été examiné le risque d’une action d’opposants à Cigéo désireux de ralentir les travaux et de médiatiser leur combat. Des « préconisations » y sont formulées pour prévenir un « acte de malveillance », par exemple sur l’accès des engins de déblaiement ou le type de formations végétales à éviter. Ces pages éclairent en réalité certains aspects des pratiques et des préoccupations de l’Andra dans la conduite du projet Cigéo, plus qu’elles ne divulguent des informations véritablement sensibles.
Le constat est similaire pour les documents liés à la conception ou à la rénovation de trois prisons, la maison d’arrêt de Bordeaux-Gradignan (Gironde), le centre pénitentiaire d’Orléans-Saran, et le tout nouveau centre pénitentiaire de Lutterbach, dans le Haut-Rhin. Ingérop a naturellement accès à des données confidentielles, comme celles évoquant les problèmes d’amiante à Gradignan.
Les documents en apparence les plus sensibles, des plans détaillés du futur centre de Lutterbach, comprenant l’emplacement des caméras de vidéosurveillance, ne le sont pas tant que ça : « Il s’agit du dossier pour un concours de maîtrise d’œuvre que nous avons perdu », explique François Lacroix, directeur scientifique et technique d’Ingérop. Ce ne sont donc pas ces plans qui sont actuellement utilisés pour construire le centre pénitentiaire.
« Notre système informatique comporte deux niveaux d’authentification, c’est compartimenté, explique M. Lacroix. C’est très déplaisant de se voir voler des données, mais ça ne représente qu’un nombre très réduit de projets. »
Documents remis en ligne
Qui a mis en ligne les documents volés à Ingérop ? Et surtout, qui les a dérobés ? Les indices les plus évidents pointent vers un ou des militants antinucléaires. Mais plusieurs détails laissent planer le doute. Et notamment le fait que les documents aient été volés avant le début des envois de courriels aux salariés d’Ingérop. Selon M. Lacroix, l’attaque qui a visé les systèmes de l’entreprise était « préparée, technique sans être exceptionnelle, mais d’un certain niveau ». Or, le collectif à l’origine des Monstres de Cigéo s’est, d’après son propre historique de mobilisation, davantage illustré par sa propension à l’action directe que par ses capacités de piratage : il a essentiellement revendiqué des blocages, des destructions de biens, des tags… Ses responsables n’ont pas donné suite aux tentatives de contact du Monde.
Coïncidence : le 20 juin, une importante série de perquisitions a également eu lieu en Allemagne, visant des défenseurs des libertés numériques dans le cadre d’un autre dossier lié à Noblogs.org. Mais ces perquisitions reposaient sur des justifications techniques farfelues – certains des militants soupçonnent la police d’avoir surtout cherché à recueillir plus généralement des informations sur des hacktivistes allemands, et accusent à demi-mot la police d’avoir eu des objectifs cachés –, et les perquisitions ont par la suite été annulées par la justice allemande.
...
autre lien :
▻http://www.europe1.fr/societe/des-documents-lies-au-site-de-dechets-nucleaires-de-bure-pirates-3791933