Les procureurs européens examinent comment le bureau des entrepreneurs informatiques de Moscou a aidé à construire un nouveau système de frontières électroniques de l’UE qui établira la plus grande base de données d’informations personnelles du bloc.
Selon les documents vus par le Financial Times, le groupe informatique français Atos a été extrêmement exploité en 2021, dans le but de collecter et de stocker des données biométriques sur tous les visiteurs non de l’UE en utilisant le personnel russe. .
La divulgation de la participation de la Russie a soulevé des problèmes de sécurité importants concernant une refonte ambitieuse de l’infrastructure frontalière de l’UE. Son lancement reste incertain après que l’UE a aboli les dates sur certaines cibles en raison de problèmes techniques.
Le document divulgué suggère que la branche d’ATOS à Moscou est exploitée sous une licence qui permet aux services de sécurité Russian de la FSB d’accéder aux travaux intérieurs. Quatre personnes connaissant l’événement sont directement impliquées dans l’achat de logiciels pour le système frontalier et sont généralement chargés de l’autorisation de sécurité de l’UE.
Selon deux personnes connaissant l’enquête, le bureau du procureur européen (EPP) envisage la participation d’Athos Russie dans le projet frontalier.
L’EPPO est responsable de l’enquête et de la poursuite des infractions pénales qui affectent les avantages économiques de l’UE. EPPO a déclaré qu’il n’avait pas commenté l’affaire ou confirmé publiquement l’enquête qu’il poursuivait. Aucun frais n’a été facturé jusqu’à présent.
Le soi-disant système d’entrée / sortie (EES) de l’UE rassemble des données qui suivent les mouvements de tous les touristes étrangers entrant et sortant du bloc, enregistrant des informations biologiques et personnelles ainsi que le statut de visa. Atos Belgique a remporté l’accord EES en 2019, avec IBM Belgium et Leonardo italien, d’une valeur de 212 millions d’euros.
Olaf, le chien de garde de la consommation anti-combustible de l’UE, a enquêté sur les allégations concernant la participation d’Athos Russie l’année dernière. Il s’agit d’une enquête qui n’a pas été divulguée auparavant. Selon une personne ayant une connaissance directe de l’enquête, les mesures prises par l’UE-Lisa, l’agence mettant en œuvre l’EE, ne sont pas suffisantes pour résoudre les «problèmes de sécurité».
La personne a déclaré que des preuves insuffisantes ont été constatées pour ouvrir l’enquête en vertu de l’offre anti-brûlure de l’OLAF, mais une recommandation a été émise à l’UE-LISA pour résoudre les faiblesses. Olaf a refusé de commenter.
« Nous reconnaissons le fait que l’UE-Lisa travaille en étroite collaboration avec l’Olaf. Un porte-parole de la Commission européenne a déclaré:
Recommandation
L’UE-Lisa a déclaré qu’elle était « consciente des allégations concernant la participation d’Athos Russie » dans le projet, et « il n’y avait pas de liens contractuels avec Athos Russie ».
L’agence a déclaré que « il n’y avait pas de violations de sécurité identifiées » et que « a continué de poursuivre les évaluations de sécurité systématiques et a pris toutes les mesures pertinentes après avoir appris le problème ».
Selon les documents internes obtenus par FT, la licence logicielle requise pour une partie de l’EES a été achetée en 2021 via le bureau d’ATOS à Moscou. Il n’y a aucune preuve que la branche de Moscou d’Athos a été impliquée dans les travaux des EES après l’invasion à grande échelle de l’Ukraine russe en 2022.
La succursale de l’ATOS fonctionne depuis 2016 en vertu d’une licence accordée par le FSB, l’un des successeurs du KGB en Union soviétique. Cela couvre «le développement, la production et la distribution des outils de chiffrement, des systèmes d’information et des systèmes de communication», selon les documents officiels russes.
Andrei Soldatov, auteur et expert des services de sécurité russe, a déclaré que ces licences offrent au FSB une « porte arrière » aux activités d’Athos Russie. « Ils peuvent voir tout ce sur quoi cette entreprise travaille », a déclaré Soldatov.
Atos dit qu’il l’a vendu à ses activités russes en septembre 2022 après l’invasion. Atos, IBM et Leonardo ont refusé de commenter.
Un responsable européen a déclaré que la révélation sur Athos Russie avait soulevé des questions urgentes sur l’accès à de tels projets sensibles. « Les problèmes de sécurité viennent immédiatement à l’esprit en raison de la grande quantité de données qui incluent (EES) », ont-ils déclaré.
ATOS procède à certains logiciels EES qui permet aux compagnies aériennes de vérifier les informations des voyageurs telles que le statut de visa, selon des documents divulgués et quatre personnes impliquées dans la vente de logiciels chez ATOS, UE-LISA et ses fournisseurs.
Yulia Plavunova, une employée d’ATOS basée à Moscou, a déclaré qu’elle était « un document divulgué qu’elle a pu acheter des certificats de cryptage à la société américaine AppViewx, qui aide à vérifier les utilisateurs de cette partie de l’EE », selon des documents divulgués. C’était un contact client majeur.
Les adresses de Moscou d’Atos sont également répertoriées dans la documentation par rapport aux licences logicielles vendues par le groupe suisse Magnolia pour le middleware dite qui connecte diverses parties du système informatique.
AppViewx et Magnolia ont confirmé qu’Atos utilisait le bureau de Moscou pour se procurer, et leur contrat était avec Atos France et Atos Belgique.
Un ancien employé de l’ATO travaillant sur le projet a déclaré que Plavunova faisait « partie du bureau des achats » et « elle était constamment impliquée dans des achats impliquant des entrepreneurs tiers ».
Les employés ont dit qu’ils ne savaient pas que Pravnova est basé en Russie et que c’était « étrange » car il ne pouvait être affecté au projet que par le « personnel exempté de l’UE ».
Selon les principaux contrats EES observés par FT, tous les employés des entrepreneurs informatiques travaillant sur le projet seraient « en vigueur au niveau secret de l’UE émis par l’Agence nationale de sécurité (État membre) avant de fournir le service. Vous devez maintenir l’autorisation de sécurité. «
L’UE-Lisa a déclaré que « aucune violation de sécurité identifiée n’a été trouvée » parce que les employés d’Atos Russie « n’avaient pas accès aux systèmes informatiques de l’UE-Lisa, aux informations ou aux installations confidentielles ». Selon UE-Lisa, aucun logiciel acheté par AppVIVVEx n’a été utilisé et Magnolia n’a été utilisé qu’en 2022.
Plavunova a quitté ATOS en 2021 et a déclaré qu’il « ne pouvait divulguer aucune information appartenant aux employeurs précédents ». Elle a dit que ses activités en tant qu’acheteur de logiciels n’étaient « pas connectées à l’entreprise d’Atos Russie » et ATOS « a fourni aux employés des chances égales de travailler dans différentes régions ». . . Être russe ne signifie pas travailler pour le FSB. «
Un porte-parole de la Commission européenne a déclaré que « nous sommes complètement confiants dans la capacité de l’UE-Lisa à gérer la sécurité de l’UE », et l’UE-Lisa « exécutera un audit de sécurité avant la publication de l’EES ».
Rapports supplémentaires de Londres Criskook
