La nomination de Tulsi Gabbard à la tête du renseignement américain se retrouve éclaboussée par une révélation embarrassante : pendant plusieurs années, elle aurait réutilisé le même mot de passe faible sur de multiples comptes personnels. Cette négligence, désormais rendue publique par des fuites de données, interroge sévèrement sur la culture de cybersécurité chez les hauts responsables publics. Cette révélation, qui fait suite à sa participation à une discussion de groupe sur Signal au cours de laquelle des détails sensibles d'une opération militaire ont été involontairement communiqués à un journaliste, soulève de nouvelles questions sur les pratiques de sécurité du chef des services d'espionnage américains.Contexte
Selon un nouveau rapport, la directrice du renseignement national, Tulsi Gabbard, a utilisé pendant des années le même mot de passe pour des comptes en ligne distincts.
Avant de prendre la tête de la communauté du renseignement, Tulsi Gabbard utilisait le même mot de passe pour plusieurs adresses électroniques et comptes en ligne lorsqu'elle siégeait au Congrès, notamment au sein des commissions des services armés et de la sécurité intérieure de la Chambre des représentants, a rapporté Wired. Cette révélation suggère que Gabbard, qui supervise aujourd'hui 18 organisations de renseignement, n'a pas respecté les meilleures pratiques de sécurité en ligne pendant des années.
Ce rapport intervient quelques mois après qu'il a été révélé qu'elle était l'un des responsables de Trump impliqués dans la discussion de groupe dite « Signalgate », au cours de laquelle les frappes militaires américaines contre les rebelles houthis au Yémen ont été discutées. Signal n'est pas approuvé par le Pentagone pour la discussion d'informations sensibles.
Une faille humaine au sommet du renseignement
Dans l’univers de la cybersécurité, la répétition d’un mot de passe — surtout s’il est faible — est considérée comme l’un des péchés capitaux de l’hygiène numérique. Or, selon des archives divulguées récemment sur des forums spécialisés, Tulsi Gabbard, ex-députée et désormais directrice du renseignement national des États-Unis (ODNI), aurait utilisé pendant des années (de 2012 à 2018) le même mot de passe pour plusieurs de ses comptes personnels.
Les informations, extraites d’anciens fuites de données, semblent authentiques, bien que les services de renseignement n’aient pas officiellement confirmé leur véracité. Ce que ces révélations mettent en lumière, ce n’est pas simplement un mot de passe mal géré — c’est le potentiel d’une compromission plus vaste et la démonstration éclatante d’un manque de rigueur en matière de sécurité personnelle, à une époque où le cyberespionnage est omniprésent.
Les mots de passe de Gabbard ont été examiné par WIRED a l'aide des bases de données de documents divulgués en ligne créées par les entreprises de renseignement open-source District 4 Labs et Constella Intelligence. Gabbard a siégé au Congrès de 2013 à 2021, période durant laquelle elle a siégé à la commission des services armés, à son sous-comité sur le renseignement et les opérations spéciales, et à la commission des affaires étrangères, ce qui lui a permis d'avoir accès à des informations sensibles. Des documents provenant de brèches montrent que pendant une partie de cette période, elle a utilisé le même mot de passe pour plusieurs adresses électroniques et comptes en ligne, en violation des meilleures pratiques bien établies en matière de sécurité en ligne. Il faut préciser cependant que rien n'indique qu'elle ait utilisé ce mot de passe sur des comptes gouvernementaux.
Deux collections d'enregistrements violés publiées en 2017 (mais dont le vol remonte à une date antérieure inconnue), connues sous le nom de « combolistes », révèlent un mot de passe utilisé pour un compte de messagerie associé à son site web personnel ; ce même mot de passe, selon une « comboliste » publiée en 2019, a été utilisé avec son compte Gmail. Ce même mot de passe a été utilisé, selon des documents datant de 2012, pour les comptes Dropbox et LinkedIn associés à l'adresse électronique liée à son site web personnel. Selon des documents datant de 2018, elle l'a également utilisé pour un compte MyFitnessPal associé à une adresse électronique me.com et pour un compte HauteLook, un site de commerce électronique aujourd'hui disparu qui appartenait à l'époque à Nordstrom.
Les enregistrements de ces violations sont disponibles en ligne depuis des années
Les enregistrements de ces violations sont disponibles en ligne depuis des années et sont accessibles dans des bases de données commerciales.
Le mot de passe associé à tous les comptes en question comprend le mot « shraddha », qui semble avoir une signification personnelle pour Gabbard : Au début de l'année, le Wall Street Journal a rapporté qu'elle avait été initiée à la Science of Identity Foundation, une émanation du mouvement Hare Krishna dans lequel elle serait née et que d'anciens membres ont accusé d'être une secte. Plusieurs anciens membres ont déclaré au Journal qu'ils pensaient que Gabbard avait reçu le nom de « Shraddha Dasi » lorsqu'elle aurait été accueillie dans le groupe. La chef de cabinet adjointe de Gabbard, Alexa Henning, a répondu aux questions du Wall Street Journal début janvier en les affichant sur X et en accusant les médias de publier des « calomnies hindoues et d'autres mensonges ».
« Les violations de données auxquelles vous faites référence se sont produites il y a près de 10 ans, et les mots de passe ont été modifiés à plusieurs reprises depuis lors », a écrit Olivia Coleman, porte-parole de Gabbard, en réponse aux questions posées. « Comme notre chef de cabinet adjoint l'a déjà précisé à plusieurs reprises, le DNI n'a jamais eu et n'a pas d'affiliation avec cette organisation. Tenter de salir le DNI en l'accusant d'appartenir à une secte est un comportement sectaire », a-t-elle ajouté.
Le chef de cabinet de Gabbard est revenu sur le démenti de son association avec le groupe, en déclarant au journal : « Vos mensonges et vos calomnies fanatiques à l'encontre d'un membre du cabinet et votre histoire fomentant l'hindouphobie sont notés ».
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">The media has nothing new so they keep writing the same Hinduphobic smears and other lies about LTC Tulsi Gabbard. <br><br>Here’s a nice one from the <a href="https://twitter.com/WSJ?ref_src=twsrc%5Etfw">@WSJ</a> (whose declined every pro Tulsi oped pitched) asking me where her - a Lt. Colonel in the U.S. Army - loyalties lie. <a href="https://t.co/vJ1M73g1UI">pic.twitter.com/vJ1M73g1UI</a></p>— Alexa Henning (@alexahenning) <a href="https://twitter.com/alexahenning/status/1882878102059299138?ref_src=twsrc%5Etfw">January 24, 2025</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Des implications bien au-delà de la sphère privée
La cybersécurité, en particulier dans les milieux sensibles comme le renseignement, ne peut être compartimentée. Même si les comptes compromis ne sont pas liés directement à ses fonctions officielles, la réutilisation d’un mot de passe montre une méconnaissance ou un mépris des règles élémentaires de protection numérique.
Dans un contexte où les États-Unis sont confrontés à des menaces cyber persistantes (attaques de ransomwares, espionnage industriel, campagnes de désinformation pilotées par des États tiers), le comportement de hauts responsables se doit d’être exemplaire. Un acteur malveillant n’aurait pas besoin d’un accès direct à un réseau classifié si un point d’entrée peut être trouvé via un compte compromis sur un service tiers.
En l’absence de déclaration officielle de l’Office of the Director of National Intelligence (ODNI), le scandale s’est largement répandu sur les forums spécialisés, relancé par les journalistes de The Intercept et des chercheurs en cybersécurité indépendants. La compromission en elle-même n’a pas exposé de données gouvernementales, mais elle soulève une question essentielle : si la dirigeante du renseignement n’applique pas les consignes minimales de cybersécurité à ses propres comptes, comment peut-elle prétendre les faire respecter à l’échelle du pays ?
Quand la culture numérique des élites interroge
Ce n’est pas la première fois qu’un responsable politique ou un haut fonctionnaire se retrouve pris au piège de pratiques numériques douteuses. Hillary Clinton et son serveur privé de mails, Emmanuel Macron et ses comptes sociaux piratés en 2017, ou encore les multiples intrusions dans les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.