Une erreur de frappe a expos des millions de courriels confidentiels du personnel militaire amricain un oprateur web du Mali, un pays alli la Russie. Les courriels mal achemins contiennent des donnes hautement sensibles sur les oprations, les voyages, la sant et les finances des militaires amricains. Par exemple, un courriel mal achemin cette anne comprenait les plans de voyage du gnral James McConville, chef dtat-major de larme amricaine, et de sa dlgation pour une visite alors venir en Indonsie en mai. Le courriel comprenait une liste complte des numros de chambre, litinraire de McConville et 20 autres personnes, ainsi que les dtails de la collecte de la cl de chambre de McConville au Grand Hyatt Jakarta.
Selon le Financial Times, qui a rapport l’histoire pour la premire fois, l’entrepreneur Internet nerlandais Johannes Zuurbier a identifi le problme il y a plus de 10 ans. Depuis 2013, il a un contrat pour grer le domaine national du Mali et, ces derniers mois, il aurait collect des dizaines de milliers d’e-mails mal achemins.
Le problme a t caus par une confusion entre le domaine .MIL, le suffixe de toutes les adresses lectroniques militaires amricaines, et le domaine .ML, lidentifiant du pays du Mali. Les deux domaines se ressemblent beaucoup, mais appartiennent des entits diffrentes. Le domaine .MIL est gr par le Dpartement de la dfense des tats-Unis, tandis que le domaine .ML est gr par le gouvernement du Mali.
Johannes Zuurbier, un entrepreneur nerlandais engag pour grer le domaine du Mali, a dclar au Financial Times que cela se produisait depuis plus d’une dcennie malgr ses tentatives rptes d’avertir le gouvernement amricain. Lorsque Zuurbier a commenc remarquer des demandes de domaines inexistants, comme army.ml et navy.ml, il a mis en place un systme pour intercepter ces e-mails mal achemins, qui, selon le Financial Times, ont t rapidement submergs et ont cess de collecter des messages .
Zuurbier dit qu’aprs s’tre rendu compte de ce qui se passait et avoir consult un avocat, il a tent plusieurs reprises d’alerter les autorits amricaines. Il a dclar au Financial Times qu’il avait donn sa femme une copie de l’avis juridique juste au cas o les hlicoptres noirs atterriraient dans mon jardin .
Ses efforts pour sonner l’alarme comprenaient sa participation une mission commerciale des Pays-Bas en 2014 pour obtenir l’aide de diplomates nerlandais. En 2015, il a fait un nouvel effort pour alerter les autorits amricaines, en vain. Zuurbier a recommenc cette anne collecter des e-mails mal adresss dans le but ultime d’alerter le Pentagone.
Rien que depuis janvier, Zuurbier aurait intercept 117 000 e-mails mal achemins (prs de 1 000 sont arrivs mercredi de la semaine dernire), dont plusieurs contiennent des informations sensibles lies l’arme amricaine. Selon le Financial Times, de nombreux e-mails contiennent des dossiers mdicaux, des informations sur les documents d’identit, des listes du personnel des bases militaires, des photos de bases militaires, des rapports d’inspection navale, des listes d’quipage de navire, des dossiers fiscaux, etc.
Certains des e-mails mal dirigs ont t envoys par des membres du personnel militaire, des agents de voyage travaillant avec l’arme amricaine, les services de renseignement amricains, des entrepreneurs privs et d’autres, rapporte le Financial Times. Par exemple, un e-mail du dbut de cette anne aurait contenu l’itinraire de voyage du gnral James McConville, chef d’tat-major de l’arme amricaine, pour sa visite en Indonsie. L’e-mail comprenait une liste complte des numros de chambre , ainsi que des dtails sur la collecte de la cl de la chambre de McConville au Grand Hyatt Jakarta .
Il y a galement des erreurs d’un agent du FBI, jouant un rle dans la marine, qui a cherch transmettre six messages sa messagerie militaire et les a accidentellement envoys au Mali. L’un comprenait une lettre diplomatique turque urgente adresse au dpartement d’tat amricain concernant d’ventuelles oprations du parti militant des travailleurs du Kurdistan (PKK) contre les intrts turcs aux tats-Unis. La mme personne a galement transmis une srie de notes d’information sur le terrorisme intrieur amricain portant la mention Pour usage officiel uniquement et une valuation mondiale de la lutte contre le terrorisme intitule Non communicable au public ou aux gouvernements trangers .
Zuurbier affirme quil a agi par souci dthique et de responsabilit. Je ne suis pas un espion, je suis un citoyen concern , dit-il. Je veux juste que les tats-Unis corrigent cette erreur et protgent leurs soldats . Dans une lettre qu’il a envoye aux tats-Unis dbut juillet, Zuurbier a crit : Ce risque est rel et pourrait tre exploit par des adversaires des tats-Unis .
Ces informations pourraient tre utilises par des acteurs malveillants pour cibler ou compromettre le personnel militaire amricain ou leurs allis. Elles pourraient galement nuire la rputation et la crdibilit des tats-Unis sur la scne internationale.
Le ministre amricain de la Dfense ragit
Cependant, Zuurbier ne pourra pas intercepter ces e-mails plus longtemps. Une fois son contrat de 10 ans avec le Mali termin lundi, les autorits maliennes pourront accder aux e-mails. La Russie a tabli une prsence au Mali l’anne dernire par le biais du groupe Wagner, une organisation paramilitaire soutenue par l’tat russe qui a rcemment organis une rbellion contre le prsident Vladimir Poutine. En mai, le dpartement d’tat amricain a dclar que le groupe Wagner cherchait utiliser le Mali comme voie d’acheminement de fournitures de guerre vers l’Ukraine.
Le ministre de la Dfense (DoD) est conscient de ce problme et prend au srieux toutes les divulgations non autorises d’informations contrles sur la scurit nationale ou d’informations contrles non classifies , a dclar Tim Gorman, porte-parole du bureau du secrtaire la Dfense. Gorman ajoute que les e-mails envoys depuis un domaine .mil vers le Mali sont bloqus et que l’expditeur est inform qu’il doit valider les adresses e-mail des destinataires prvus .
Gorman reconnat que cela n’empche pas d’autres agences gouvernementales ou celles qui travaillent avec le gouvernement amricain d’envoyer par erreur des e-mails des adresses maliennes. Pourtant, il note que le Dpartement continue de fournir une orientation et une formation au personnel du DoD .
Une grande partie du trafic de courriels est du spam, et aucun nest marqu comme classifi
Une grande partie du trafic de courriels est du spam, et aucun nest marqu comme classifi. Pourtant, certains messages contiennent des donnes hautement sensibles sur le personnel militaire amricain en service, les entrepreneurs et leurs familles.
Les communications militaires amricaines portant la mention classifies et top secret sont transmises via des systmes informatiques distincts, ce qui rend peu probable qu’elles soient accidentellement compromises, selon des responsables amricains actuels et anciens.
Mais Steven Stransky, un avocat qui tait auparavant avocat principal de la Division du droit du renseignement du Dpartement de la scurit intrieure, a dclar que mme des informations apparemment inoffensives pourraient s’avrer utiles aux adversaires amricains, en particulier si elles comprenaient des dtails sur le personnel individuel.
Ce type de communications signifierait qu’un acteur tranger peut commencer constituer des dossiers sur notre propre personnel militaire, des fins d’espionnage, ou pourrait essayer de les amener divulguer des informations en change d’un avantage financier , a dclar Stransky. C’est certainement une information qu’un gouvernement tranger peut utiliser .
Lee McKnight, professeur d’tudes de l’information l’Universit de Syracuse, a dclar qu’il pensait que l’arme amricaine avait de la chance que le problme ait t port son attention et que les e-mails soient dirigs vers un domaine utilis par le gouvernement malien, plutt que vers des cybercriminels.
Il a ajout que le « typo-squatting » est courant. Ils esprent qu’une personne commettra une erreur et qu’elle pourra vous attirer et faire des choses stupides , a-t-il dclar. Le typo-squatting est l’action de dposer un nom de domaine dont la typographie est proche de celle d’un autre nom de domaine populaire. Cette mthode permet de rcuprer indument le trafic gnr par les internautes qui orthographient mal le nom de domaine original. Ceci gnre une perte de trafic et d’argent potentiel pour la socit dtentrice des droits sur le nom de domaine original. Cette mthode est illgale et donne lieu lgitimement des actions en justice.
McKnight et Stransky ont dclar que les erreurs humaines taient les principales proccupations des informaticiens travaillant au gouvernement et dans le secteur priv : l’erreur humaine est de loin le problme de scurit le plus important au quotidien », a dclar M. Stransky. « Nous ne pouvons tout simplement pas contrler chaque humain, chaque fois .
Mike Rogers, un amiral amricain la retraite qui dirigeait la National Security Agency et le Cyber Command de l’arme amricaine, a dclar: Si vous disposez de ce type d’accs continu, vous pouvez gnrer des renseignements mme partir d’informations non classifies . Ce n’est pas rare , a-t-il ajout. Il n’est pas inhabituel que les gens fassent des erreurs, mais la question est l’ampleur, la dure et la sensibilit de l’information .
Rogers a averti que le transfert de contrle au Mali posait un problme important. C’est une chose lorsque vous avez affaire un administrateur de domaine qui essaie, mme sans succs, d’exprimer son inquitude , a dclar Rogers. C’en est une autre quand c’est un gouvernement tranger qui… voit cela comme un avantage qu’il peut utiliser .
Source : Financial Times
Et vous ?
Que pensez-vous de lerreur de frappe qui a expos des millions de courriels confidentiels du personnel militaire amricain un oprateur web du Mali ?
Quelles sont les consquences potentielles de cette faille de scurit pour les tats-Unis et leurs allis ?
Comment les tats-Unis peuvent-ils rsoudre ce problme et viter quil ne se reproduise lavenir ?
Que feriez-vous si vous tiez la place de Johannes Zuurbier, lentrepreneur nerlandais qui a collect les courriels mal achemins ?
Que feriez-vous si vous tiez la place du gouvernement du Mali, qui va rcuprer le contrle du domaine .ML ?
Voir aussi :