Telegraph : Un logiciel russe aurait servi à concevoir des sous-marins britanniques
Une entreprise engagée pour concevoir un logiciel pour un constructeur de sous-marins britannique a sous-traité le travail à des programmeurs en Biélorussie et en Russie, a rapporté le Telegraph le 3 août.
D'après des documents du ministère britannique de la Défense consultés par le journal, l'entreprise a ensuite tenté de dissimuler la faille de sécurité potentielle.
L'entreprise est une société de conseil numérique appelée WM Reply, qui a été engagée en 2020 pour construire un intranet pour les employés de Rolls-Royce Submarines, a rapporté le Telegraph.
Les ingénieurs nucléaires de Rolls-Royce – qui conçoivent des sous-marins exclusivement pour la Royal Navy – utilisent ce réseau interne pour communiquer tout en travaillant, afin d'éviter les risques de sécurité liés à une connexion à Internet.
Compte tenu de la nature sensible des travaux menés pour Rolls-Royce Submarines, la réglementation du ministère britannique de la Défense stipule que le réseau interne ne peut être conçu que par du personnel basé au Royaume-Uni et disposant des habilitations de sécurité nécessaires. WM Reply a donc sous-traité une grande partie de ce travail à des programmeurs en Biélorussie et à un télétravailleur à Tomsk, en Sibérie.
Fin 2020, le personnel de WM Reply s'est inquiété du recours à des sous-traitants basés dans un pays concurrent du Royaume-Uni. Le compte rendu d'une conférence téléphonique, transmis aux enquêteurs du ministère de la Défense, a révélé que l'entreprise avait choisi de ne pas informer Rolls Royce de cette externalisation, craignant l'annulation du contrat – d'une valeur de 500 000 £ (640 000 $).
Lors de la réunion, un employé a suggéré de donner aux programmeurs biélorusses les noms de « personnes décédées au Royaume-Uni », tandis qu'un autre a suggéré de faire compiler par un développeur britannique tout le code créé en Biélorussie et en Russie, afin de faire croire que l'intégralité du logiciel avait été développée au Royaume-Uni.
Finalement, Rolls-Royce a été informée que des programmeurs étrangers seraient employés, mais la société n'a pas été informée que ces programmeurs seraient basés en Russie ou en Biélorussie, selon des documents transmis au ministère de la Défense.
Rolls-Royce a ouvert une enquête sur l'incident en 2021 et une autre a été ouverte au ministère de la Défense en 2022, alors que le Royaume-Uni soutenait l'armée ukrainienne dans son conflit avec la Russie. Rolls-Royce a rompu ses liens avec WM Reply, a déclaré un porte-parole du constructeur de sous-marins au Telegraph, ajoutant qu'« à aucun moment il n'y a eu de risque que des données, classifiées ou non, soient consultées ou mises à la disposition de personnes non habilitées ».
« Rolls-Royce a mené une enquête approfondie sur cette affaire. Comme l'ont indiqué les autorités, l'intégrité du système n'a jamais été compromise », a commenté un porte-parole du ministère.
Cependant, des analystes de la défense ont indiqué au journal que les cryptanalystes avaient probablement accès aux communications des employés de Rolls Royce, ce qui les exposait à un risque de chantage ou de cyberattaques.
« La décision de WM Reply d'externaliser certaines activités nous expose potentiellement au risque de compromettre la sécurité nationale », a déclaré l'ancien ministre de la Défense, Ben Wallace, au journal.
