Oops : L’armée américaine est confrontée à un grave problème de messagerie électronique qui a entraîné la fuite de millions de messages de soldats et d’officiers supérieurs. Nombre de ces courriels contiennent des informations sensibles, notamment des documents diplomatiques, des déclarations d’impôts, des mots de passe et des informations sur les déplacements de hauts fonctionnaires. Pire encore, l’armée est au courant de la fuite depuis près de dix ans et n’a rien fait pour y remédier.
Le problème vient de la similitude entre le suffixe de l’adresse électronique des forces armées américaines (.mil) et l’identifiant du pays, le Mali (.ml). Le Mali est un pays d’Afrique de l’Ouest, situé juste au sud de l’Algérie. Les militaires et d’autres personnes aux États-Unis se trompent souvent en tapant .mil comme .ml, ce qui a pour effet de diriger les courriels vers le pays étranger au lieu de la version militaire à laquelle ils voulaient s’adresser.
Le Financial Times note que l’entrepreneur néerlandais Johannes Zuurbier avait un contrat de longue date avec le Mali pour gérer le trafic de courrier électronique du pays. Selon Zuurbier, il a informé les responsables militaires américains, il y a près de dix ans, que des courriels potentiellement dangereux étaient transmis au Mali. Cependant, personne ne semblait s’en préoccuper.
En janvier 2023, Zuurbier a commencé à rassembler tous les courriels mal adressés dans un ultime effort pour que les autorités américaines le prennent au sérieux, car son contrat avec le Mali s’achevait le 17 juillet. La semaine dernière, il avait rassemblé un cache de près de 117 000 messages, dont 1 000 arrivent chaque jour.
En juillet, Zuurbier a écrit une autre lettre aux autorités américaines dans laquelle il déclare : « Ce risque est réel et pourrait être exploité par des adversaires des États-Unis. »
Il a inclus des exemples d’informations sensibles, notamment l’itinéraire de voyage (ci-dessus en partie) du général James McConville, chef d’état-major de l’armée américaine. Le courriel contenait le nom de l’hôtel, la date d’arrivée, le numéro des chambres, ainsi que les noms complets et les grades de McConville et de sa délégation. M. Zuurbier espère que quelqu’un au sein du gouvernement américain en tiendra compte et remédiera à la situation. Si Zuurbier n’a pas hésité à vendre les courriels au plus offrant, les autorités maliennes ne sont pas assurées d’être aussi honnêtes, d’autant plus que le pays entretient des liens étroits avec la Russie.
Penser que des milliers de courriels militaires pourraient se retrouver entre les mains d’un allié russe est la définition militaire de SNAFU (situation normale : tout foiré). Toutefois, le problème est dû à l’armée elle-même, qui a ignoré les avertissements répétés de M. Zuurbier aux responsables de toute la chaîne de commandement, y compris à la Maison Blanche.
Bien qu’aucun de ces courriels n’ait été marqué comme étant « classifié », nombre d’entre eux contenaient des informations susceptibles de nuire à des individus ou à l’ensemble des services armés. Il s’agit par exemple de radiographies et de documents médicaux, d’informations d’identification personnelle, de listes d’équipage pour les navires nautique, de listes de personnel pour des bases spécifiques, de cartes et de photos d’installations, de plaintes et d’enquêtes criminelles, de dossiers fiscaux, d’enquêtes internes, d’itinéraires de voyage et de contrats.
Selon l’amiral à la retraite Mike Rogers, qui a dirigé l’Agence nationale de sécurité et le Commandement cybernétique de l’armée américaine, même ces données non classifiées profitent grandement à la collecte de renseignements par un adversaire.
« Si vous avez ce type d’accès durable, vous pouvez générer des renseignements à partir d’informations non classifiées », a déclaré M. Rogers au FT, ajoutant : « Ce n’est pas rare. Il n’est pas anormal que les personnes fassent des erreurs, mais la question est celle de l’échelle, de la durée et de la sensibilité de l’information. »
Un porte-parole du Pentagone a déclaré que le ministère de la défense prenait la situation au sérieux.
« [The DoD] est conscient de ce problème et prend au sérieux toutes les divulgations non autorisées d’informations contrôlées relatives à la sécurité nationale ou d’informations contrôlées non classifiées », a déclaré le capitaine de corvette Tim Gorman. « [Emails sent from .mil to .ml] sont bloqués avant qu’ils ne quittent le domaine .mil, et l’expéditeur est informé qu’il doit valider les adresses électroniques des destinataires. »
La déclaration de Gorman est discutable puisque Zuurbier recevait encore du courrier destiné à des domaines .mil mercredi dernier. Soit le DoD ne veut pas admettre qu’il a un problème pour sauver la face, soit il pense que cette reconnaissance ne fera qu’attirer davantage l’attention des mauvais acteurs, soit il a réglé la situation au cours de la semaine dernière.
Indépendamment de la position du DoD, Zuurbier affirme que d’autres courriels errants pourraient flotter dans des mains peu amicales. Il a raconté au FT que lorsqu’il a commencé à gérer le courrier électronique du Mali en 2013, il a remarqué de nombreuses demandes pour des domaines tels que army.ml, navy.ml, etc. Une telle activité pourrait indiquer que des pirates ou d’autres acteurs malveillants étaient au courant de l’erreur d’adressage potentielle et voulaient l’exploiter comme ils le font avec des noms de domaine bidons comme wellfargo.com.
Suivant les conseils de son avocat, M. Zuurbier a commencé à essayer d’informer quelqu’un d’officiel sur la question, ce qui était assez éprouvant pour les nerfs, étant donné qu’il s’occupait du courrier électronique de toute l’armée d’un pays sans autorisation. Il a même donné à sa femme une copie des documents de son avocat « au cas où les hélicoptères noirs atterriraient dans le pays ». [his] dans son jardin ».
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
