Une erreur de frappe a exposé des millions de courriels confidentiels du personnel militaire américain à un opérateur web du Mali, un pays allié à la Russie. Les courriels mal acheminés contiennent des données hautement sensibles sur les opérations, les voyages, la santé et les finances des militaires américains. Par exemple, un courriel mal acheminé cette année comprenait les plans de voyage du général James McConville, chef d’état-major de l’armée américaine, et de sa délégation pour une visite alors à venir en Indonésie en mai. Le courriel comprenait une liste complète des numéros de chambre, l’itinéraire de McConville et 20 autres personnes, ainsi que les détails de la collecte de la clé de chambre de McConville au Grand Hyatt Jakarta. Selon le Financial Times, qui a rapporté l'histoire pour la première fois, l'entrepreneur Internet néerlandais Johannes Zuurbier a identifié le problème il y a plus de 10 ans. Depuis 2013, il a un contrat pour gérer le domaine national du Mali et, ces derniers mois, il aurait collecté des dizaines de milliers d'e-mails mal acheminés.
Le problème a été causé par une confusion entre le domaine .MIL, le suffixe de toutes les adresses électroniques militaires américaines, et le domaine .ML, l’identifiant du pays du Mali. Les deux domaines se ressemblent beaucoup, mais appartiennent à des entités différentes. Le domaine .MIL est géré par le Département de la défense des États-Unis, tandis que le domaine .ML est géré par le gouvernement du Mali.
Johannes Zuurbier, un entrepreneur néerlandais engagé pour gérer le domaine du Mali, a déclaré au Financial Times que cela se produisait depuis plus d'une décennie malgré ses tentatives répétées d'avertir le gouvernement américain. Lorsque Zuurbier a commencé à remarquer des demandes de domaines inexistants, comme army.ml et navy.ml, il a mis en place un système pour intercepter ces e-mails mal acheminés, qui, selon le Financial Times, « ont été rapidement submergés et ont cessé de collecter des messages ».
Zuurbier dit qu'après s'être rendu compte de ce qui se passait et avoir consulté un avocat, il a tenté à plusieurs reprises d'alerter les autorités américaines. Il a déclaré au Financial Times qu'il avait donné à sa femme une copie de l'avis juridique « juste au cas où les hélicoptères noirs atterriraient dans mon jardin ».
Ses efforts pour sonner l'alarme comprenaient sa participation à une mission commerciale des Pays-Bas en 2014 pour obtenir l'aide de diplomates néerlandais. En 2015, il a fait un nouvel effort pour alerter les autorités américaines, en vain. Zuurbier a recommencé cette année à collecter des e-mails mal adressés dans le but ultime d'alerter le Pentagone.
Rien que depuis janvier, Zuurbier aurait intercepté 117 000 e-mails mal acheminés (près de 1 000 sont arrivés mercredi de la semaine dernière), dont plusieurs contiennent des informations sensibles liées à l'armée américaine. Selon le Financial Times, de nombreux e-mails contiennent des dossiers médicaux, des informations sur les documents d'identité, des listes du personnel des bases militaires, des photos de bases militaires, des rapports d'inspection navale, des listes d'équipage de navire, des dossiers fiscaux, etc.
Certains des e-mails mal dirigés ont été envoyés par des membres du personnel militaire, des agents de voyage travaillant avec l'armée américaine, les services de renseignement américains, des entrepreneurs privés et d'autres, rapporte le Financial Times. Par exemple, un e-mail du début de cette année aurait contenu l'itinéraire de voyage du général James McConville, chef d'état-major de l'armée américaine, pour sa visite en Indonésie. L'e-mail comprenait une « liste complète des numéros de chambre », ainsi que « des détails sur la collecte de la clé de la chambre de McConville au Grand Hyatt Jakarta ».
Il y a également des erreurs d'un agent du FBI, jouant un rôle dans la marine, qui a cherché à transmettre six messages à sa messagerie militaire et les a accidentellement envoyés au Mali. L'un comprenait une lettre diplomatique turque urgente adressée au département d'État américain concernant d'éventuelles opérations du parti militant des travailleurs du Kurdistan (PKK) contre les intérêts turcs aux États-Unis. La même personne a également transmis une série de notes d'information sur le terrorisme intérieur américain portant la mention « Pour usage officiel uniquement » et une évaluation mondiale de la lutte contre le terrorisme intitulée « Non communicable au public ou aux gouvernements étrangers ».
Zuurbier affirme qu’il a agi par souci d’éthique et de responsabilité. « Je ne suis pas un espion, je suis un citoyen inquiet », dit-il. « Je veux juste que les États-Unis corrigent cette erreur et protègent leurs soldats ». Dans une lettre qu'il a envoyée aux États-Unis début juillet, Zuurbier a écrit : « Ce risque est réel et pourrait être exploité par des adversaires des États-Unis ».
Ces informations pourraient être utilisées par des acteurs malveillants pour cibler ou compromettre le personnel militaire américain ou leurs alliés. Elles pourraient également nuire à la réputation et à la crédibilité des États-Unis sur la scène internationale.
Le ministère américain de la Défense réagit
Cependant, Zuurbier ne pourra pas intercepter ces e-mails plus longtemps. Une fois son contrat de 10 ans avec le Mali terminé lundi, les autorités maliennes pourront accéder aux e-mails. La Russie a établi une présence au Mali l'année dernière par le biais du groupe Wagner, une organisation paramilitaire soutenue par l'État russe qui a récemment organisé une rébellion contre le président Vladimir Poutine. En mai, le département d'État américain a déclaré que le groupe Wagner cherchait à utiliser le Mali comme voie d'acheminement de fournitures de guerre vers l'Ukraine.
« Le ministère de la Défense (DoD) est conscient de ce problème et prend au sérieux toutes les divulgations non autorisées d'informations contrôlées sur la sécurité nationale ou d'informations contrôlées non classifiées », a déclaré Tim Gorman, porte-parole du bureau du secrétaire à la Défense. Gorman ajoute que les e-mails envoyés depuis un domaine .mil vers le Mali sont « bloqués » et que « l'expéditeur est informé qu'il doit valider les adresses e-mail des destinataires prévus ».
Gorman reconnaît que cela n'empêche pas d'autres agences gouvernementales ou celles qui travaillent avec le gouvernement américain d'envoyer par erreur des e-mails à des adresses maliennes. Pourtant, il note que « le Département continue de fournir une orientation et une formation au personnel du DoD ».
Une grande partie du trafic de courriels est du spam, et aucun n’est marqué comme classifié
Une grande partie du trafic de courriels est du spam, et aucun n’est marqué comme classifié. Pourtant, certains messages contiennent des données hautement sensibles sur le personnel militaire américain en service, les entrepreneurs et leurs familles.
Les communications militaires américaines portant la mention « classifiées » et « top secret » sont transmises via des systèmes informatiques distincts, ce qui rend peu probable qu'elles soient accidentellement compromises, selon des responsables américains actuels et anciens.
Mais Steven Stransky, un avocat qui était auparavant avocat principal de la Division du droit du renseignement du Département de la sécurité intérieure, a déclaré que même des informations apparemment inoffensives pourraient s'avérer utiles aux adversaires américains, en particulier si elles comprenaient des détails sur le personnel individuel.
« Ce type de communications signifierait qu'un acteur étranger peut commencer à constituer des dossiers sur notre propre personnel militaire, à des fins d'espionnage, ou pourrait essayer de les amener à divulguer des informations en échange d'un avantage financier », a déclaré Stransky. « C'est certainement une information qu'un gouvernement étranger peut utiliser ».
Lee McKnight, professeur d'études de l'information à l'Université de Syracuse, a déclaré qu'il pensait que l'armée américaine avait de la chance que le problème ait été porté à son attention et que les e-mails soient dirigés vers un domaine utilisé par le gouvernement malien, plutôt que vers des cybercriminels.
Il a ajouté que le "typo-squatting" est courant. « Ils espèrent qu'une personne commettra une erreur et qu'elle pourra vous attirer et faire des choses stupides », a-t-il déclaré. Le typo-squatting est l'action de déposer un nom de domaine dont la typographie est proche de celle d'un autre nom de domaine populaire. Cette méthode permet de récupérer indument le trafic généré par les internautes qui orthographient mal le nom de domaine original. Ceci génère une perte de trafic et d'argent potentiel pour la société détentrice des droits sur le nom de domaine original. Cette méthode est illégale et donne lieu légitimement à des actions en justice.
McKnight et Stransky ont déclaré que les erreurs humaines étaient les principales préoccupations des informaticiens travaillant au gouvernement et dans le secteur privé : « l'erreur humaine est de loin le problème de sécurité le plus important au quotidien", a déclaré M. Stransky. "Nous ne pouvons tout simplement pas contrôler chaque humain, à chaque fois ».
Mike Rogers, un amiral américain à la retraite qui dirigeait la National Security Agency et le Cyber ​​Command de l'armée américaine, a déclaré: « Si vous disposez de ce type d'accès continu, vous pouvez générer des renseignements même à partir d'informations non classifiées ». « Ce n'est pas rare », a-t-il ajouté. « Il n'est pas inhabituel que les gens fassent des erreurs, mais la question est l'ampleur, la durée et la sensibilité de l'information ».
Rogers a averti que le transfert de contrôle au Mali posait un problème important. « C'est une chose lorsque vous avez affaire à un administrateur de domaine qui essaie, même sans succès, d'exprimer son inquiétude », a déclaré Rogers. « C'en est une autre quand c'est un gouvernement étranger qui... ;voit cela comme un avantage qu'il peut utiliser ».
Source : Financial Times
Et vous ?
Que pensez-vous de l’erreur de frappe qui a exposé des millions de courriels confidentiels du personnel militaire américain à un opérateur web du Mali ? Quelles sont les conséquences potentielles de cette faille de sécurité pour les États-Unis et leurs alliés ? Comment les États-Unis peuvent-ils résoudre ce problème et éviter qu’il ne se reproduise à l’avenir ? Que feriez-vous si vous étiez à la place de Johannes Zuurbier, l’entrepreneur néerlandais qui a collecté les courriels mal acheminés ? Que feriez-vous si vous étiez à la place du gouvernement du Mali, qui va récupérer le contrôle du domaine .ML ?Voir aussi :
Confusion de dépendance : un chercheur a piraté Apple, Microsoft, Netflix et des dizaines d'autres entreprises, dans le cadre d'une nouvelle attaque qui ne nécessite aucune action de la victime 
