Un gestionnaire de mots de passe espagnol lié à la Russie utilisé par des institutions européennes
Un gestionnaire de mots de passe espagnol lié à la Russie utilisé par des institutions européennes

Un gestionnaire de mots de passe espagnol lié à la Russie utilisé par des institutions européennes

18.07.2026 12:15
2 min de lecture

La société espagnole Passwork Europe S.L., qui commercialise un gestionnaire de mots de passe auprès d’administrations publiques et d’universités de l’Union européenne, conserve des liens étroits avec la Russie, son code source étant identique à celui de la version russe certifiée par le FSB, rapporte TopTribune.

Selon une enquête du Monde, la filiale européenne partage la même base de code que la maison mère russe Passwork LLC. Les mises à jour du logiciel transitent par une société basée aux Émirats arabes unis, contrôlée par l’un des cofondateurs russes. Cette opacité dans la chaîne d’approvisionnement expose les utilisateurs européens à des risques similaires à ceux de l’attaque SolarWinds, où un code malveillant avait été diffusé via des mises à jour légitimes.

Un logiciel certifié par les services secrets russes

La version russe de Passwork a obtenu une certification du FSTEC, un organe du ministère russe de la Défense. Ce processus implique une analyse détaillée du code source pour détecter les vulnérabilités et les fonctionnalités non déclarées. Étant donné que les versions européenne et russe sont issues de la même base, toute faille identifiée — ou intentionnellement laissée — par les autorités russes peut être exploitée contre les clients européens.

La certification par les services secrets russes confère à Moscou une connaissance approfondie de l’architecture du logiciel, transformant Passwork en un vecteur potentiel d’attaque contre les infrastructures critiques de l’UE. Les experts en cybersécurité soulignent que la synchronisation des versions (notamment la 7.6) entre les deux éditions confirme un processus de développement unique, rendant illusoire toute séparation technique réelle.

Des mises à jour opaques via les Émirats

Le mécanisme de mise à jour de Passwork Europe S.L. passe par une société intermédiaire aux Émirats arabes unis, dirigée par un ressortissant russe. Ce circuit présente un risque majeur pour la sécurité des données sensibles des gouvernements et des institutions scientifiques de l’UE. Dans le cas d’une attaque par la chaîne d’approvisionnement, un acteur malveillant pourrait compromettre les mots de passe et l’accès aux systèmes critiques des clients européens.

La plupart des clients européens, y compris des institutions publiques irlandaises, ignoraient l’origine russe du produit. Le manque de transparence constitue une violation grave des principes de sécurité informatique et pourrait être assimilé à une tromperie sur le niveau de souveraineté du logiciel. Pour les organisations utilisatrices, cela implique un audit d’urgence, la recherche d’alternatives et des coûts financiers et réputationnels significatifs.

Dans le contexte de la guerre hybride menée par la Russie contre l’UE, l’utilisation d’un gestionnaire de mots de passe lié à des développeurs russes au sein des réseaux gouvernementaux européens est jugée inacceptable par les spécialistes. La présence de ce logiciel dans les chaînes d’accès aux données critiques expose l’Union européenne à des fuites de métadonnées, de clés de chiffrement et à des attaques ciblées.

L’enquête du Monde relance le débat sur la dépendance européenne aux fournisseurs de logiciels présentant des liens avec la Russie, alors que les cyberattaques russes se multiplient contre les infrastructures critiques du continent.

Laisser un commentaire

Your email address will not be published.

Dernières nouvelles

À NE PAS MANQUER