Telegraph : Un logiciel russe utilisé pour concevoir des sous-marins britanniques
Une société engagée pour concevoir un logiciel pour un constructeur de sous-marins britannique a sous-traité le travail à des programmeurs en Biélorussie et en Russie, a rapporté le Telegraph le 3 août.
Selon des documents du ministère britannique de la Défense consultés par le journal, l'entreprise aurait alors tenté de dissimuler la faille de sécurité potentielle.
L'entreprise est un cabinet de conseil numérique appelé WM Reply, qui a été embauché en 2020 pour construire un intranet pour les employés de Rolls-Royce Submarines, a rapporté The Telegraph.
Les ingénieurs nucléaires de Rolls-Royce, qui conçoivent des sous-marins exclusivement pour la Royal Navy, utilisent ce réseau interne pour communiquer tout en travaillant afin d'éviter les risques de sécurité liés à la connexion à Internet.
En raison de la nature sensible des travaux sur les sous-marins Rolls-Royce, la réglementation du ministère britannique de la Défense stipule que le réseau interne ne peut être conçu que par du personnel basé au Royaume-Uni et disposant d'habilitations de sécurité. WM Reply a donc externalisé une grande partie du travail à des programmeurs en Biélorussie et à un télétravailleur à Tomsk, en Sibérie.
Fin 2020, le personnel de WM Reply s'est inquiété du recours à des sous-traitants basés dans un pays concurrent du Royaume-Uni. Le compte rendu d'une conférence téléphonique transmis aux enquêteurs du ministère de la Défense a révélé que l'entreprise avait choisi de ne pas informer Rolls Royce de cette externalisation, craignant que le contrat, d'une valeur de 500 000 £ (640 000 $), ne soit annulé.
Un employé lors de l’appel a suggéré de donner aux programmeurs biélorusses les noms de « personnes décédées au Royaume-Uni », tandis qu’un autre employé a suggéré de demander à un développeur britannique de compiler tout le code créé en Biélorussie et en Russie, pour donner l’impression que l’ensemble du logiciel a été construit au Royaume-Uni.
Finalement, Rolls Royce a été informé que certains programmeurs étrangers seraient utilisés, mais la société n'a pas été informée que ces programmeurs seraient basés en Russie ou en Biélorussie, selon des documents transmis au ministère de la Défense.
Rolls-Royce a ouvert une enquête sur l'incident en 2021, et une enquête a été ouverte au ministère de la Défense en 2022, alors que le Royaume-Uni soutenait l'armée ukrainienne dans son conflit avec la Russie. Rolls-Royce a rompu ses liens avec WM Reply, a déclaré un porte-parole du constructeur de sous-marins au Telegraph, ajoutant qu'« à aucun moment il n'y a eu de risque que des données, classifiées ou non, soient consultées ou mises à disposition de personnes sans habilitation de sécurité ».
« Cette affaire a fait l'objet d'une enquête approfondie de la part de Rolls-Royce. Comme ils l'ont affirmé, à aucun moment l'intégrité du système n'a été compromise », a commenté un porte-parole du ministère.
Cependant, les analystes de la défense ont déclaré au journal que les décrypteurs avaient probablement accès aux communications des employés de Rolls Royce, les exposant ainsi à des risques de chantage ou de cyberattaques.
La décision de WM Reply d'externaliser « nous rend potentiellement vulnérables au risque de porter atteinte à la sécurité nationale », a déclaré l'ancien secrétaire à la Défense Ben Wallace au journal.
