🗓️ Contexte

Article publié le 13 mars 2026 par Dalia Nasser sur ebuildersecurity.com. Le 12 mars 2026, un acteur malveillant se désignant ByteToBreach a publié sur plusieurs forums web ouverts et plateformes de partage de fichiers ce qu’il présente comme le code source complet de la plateforme e-gouvernement suédoise, obtenu après compromission de CGI Sverige AB, filiale suédoise du groupe CGI, prestataire IT gérant des infrastructures numériques critiques pour le gouvernement suédois.

🎯 Données exposées

Les dépôts fuités proviendraient d’une instance GitLab interne de CGI. Les éléments exposés comprennent :

  • Code source des plateformes Mina Engagemang (services citoyens), Signe (portail de signature électronique) et Företrädarregister (système d’autorisation de représentation légale)
  • Documentation API, fichiers de configuration de workflows de signature
  • Mots de passe de bases de données, credentials SMTP, fichiers keystore et credentials Git embarqués
  • Bases de données citoyens et documents de signature électronique (vendus séparément)

🔓 Chaîne d’attaque documentée

ByToBreach a publié sa méthodologie d’attaque :

  1. Exploitation de mauvaises configurations Jenkins (serveur CI/CD)
  2. Évasion du conteneur Docker via l’appartenance de l’utilisateur Jenkins au groupe Docker
  3. Pivotement via des clés SSH privées
  4. Extraction de credentials depuis des fichiers Java heap dump
  5. Exécution de commandes OS via des pivots SQL copy-to-program

🏢 Réponse de CGI

Le 17 mars 2026, CGI a déclaré que l’incident affectait un nombre limité de serveurs de test internes en Suède, non en production. La société affirme qu’il n’y a aucune indication d’impact sur les environnements de production, les données de production ou les services opérationnels. Les clients concernés ont été notifiés.

🔗 Contexte de campagne

ByToBreach est également l’acteur derrière la compromission de Viking Line, publiée un jour avant, suggérant une campagne active contre des infrastructures suédoises via l’empreinte de services managés de CGI. L’acteur a explicitement rejeté le cadre habituel de « violation par un tiers », affirmant que la compromission appartient clairement à l’infrastructure CGI.

📰 Type d’article

Article de presse spécialisée relatant un incident de sécurité majeur, visant à informer les professionnels de la cybersécurité sur la nature de la compromission, les données exposées et la méthodologie d’attaque employée.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • ByteToBreach (unknown)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1611 — Escape to Host (Privilege Escalation)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1213 — Data from Information Repositories (Collection)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

🔗 Source originale : https://ebuildersecurity.com/articles/swedens-e-government-source-code-leaked-after-bytetobreach-breaches-cgi-sverige/

🖴 Archive : https://web.archive.org/web/20260328183027/https://ebuildersecurity.com/articles/swedens-e-government-source-code-leaked-after-bytetobreach-breaches-cgi-sverige/