L’ANSSI, ou la fable de l’agence nationale de la sécurité des systèmes d’information

Des mots de passe des patrons de l’ANSSI en accès libre…

Après le refus catégorique et répété de communiquer avec Reflets, nous avons regardé de plus près qui dirigeait cette agence en charge de la cybersécurité de l’État. Et nous avons eu des surprises.

La souveraineté nationale en matière cyber est une vieille lune des politiques et autres experts du domaine. La question revient épisodiquement au centre des débats. Or, tout ceci tient de la fable pour qui a le moindre bagage technique en la matière. Car évidemment rien, ou si peu, n’est possible dans ce domaine tant les équipementiers, les fabricants, les éditeurs et tous ceux qui comptent sont américains, asiatiques ou israéliens. Alors que faire, chez nous, en France ? Pas grand-chose en fait. En tout cas ne pas alimenter le mensonge en faisant régulièrement croire à une possible souveraineté nationale numérique. Au moins pourrait-on espérer que les hauts fonctionnaires, les politiques et les membres de l'armée n'utilisent pas les plateformes américaines.

Curieusement les hauts dirigeants de l’ANSSI au coeur de la protection des réseaux essentiels français, n’hésitent pourtant pas à utiliser des adresses mail offertes « gratuitement » par des plateformes américaines dont tout le monde sait depuis les révélations liées aux documents Snowden, qu’elles sont tout sauf protégées contre la très grande curiosité de la National Security Agency.

Règle de base: quand on est un homme ou une femme politique, quand on est un fonctionnaire, un patron d’entreprise, et à fortiori un « Sachant » de l’ANSSI, les adresses mail de Gmail ou Yahoo sont à bannir. Chacun peut imaginer aisément que les services de renseignement étranger s'intéressent en particulier à toutes ces personnalités spécifiques. La notion de «Kompromat » ne peut leur être étranger. La NSA s'est intéressée de très près aux moyens de communication des chefs d'États, y compris amis des États-Unis.

Nous avons recherché en sources ouvertes quelles traces la direction de l'ANSSI avait bien pu laisser sur Internet. Un exercice que nous avions fait il y a quelques temps avec Paul Midy quand il se prononçait pour la levée du pseudonymat et l’interdiction d’un supposé anonymat sur Internet. Le pseudonymat peut être levé en un instant par les plateformes sur réquisition judiciaire (ce n'est donc pas un problème) et l'anonymat n'existe pas sur Internet.

Sur les traces numériques de…

Vincent Strubel : Directeur général

Le Big Boss bénéficie d’une adresse mail de l’ANSSI mais utilise aussi une adresse mail chez Gmail (Google – États-Unis). Des leaks combinant des adresses mail et des mots de passe, issus de piratages de sites variés et agglutinés dans des fichiers monumentaux sont régulièrement publiés sur Internet. On trouve ainsi deux mots de passes associés à l’adresse Gmail du patron de l’ANSSI.

Emmanuel Naëgelen : Directeur général adjoint

Général de l’armée de l’air, Emmanuel Naëgelen a géré le pôle Opérations du Commandement de cyberdéfense (COMCYBER) du ministère des Armées. Reflets a déjà croisé le COMCYBER et pu mesurer l’étendue de son efficacité et de ses compétences.

Mais Emmanuel Naëgelen a surtout suivi la session « souveraineté numérique et cybersécurité » de l’IHEDN, ce qui en fait un expert du sujet. Les données fournies à Linkedin (États-Unis) par ses utilisateurs ont été collectées plusieurs fois et publiées également sur Internet. On trouve ainsi lié au compte Linkedin du général, une adresse Gmail (États-Unis). S’il s’agit bien de son compte (protégé), c’est aussi cette adresse qui a servi à ouvrir un compte Twitter à son nom. Mais on trouve aussi un compte Runastic (Autriche). Et un autre chez Komoot (Allemagne). Ici aussi les listes de comptes mails liés à des mots de passe dévoilent un mot de passe du général. Et ce n’est pas brillant en termes de complexité. Ce mot de passe est également lié à une adresse mail chez Yahoo (États-Unis), probablement plus ancienne.

Jennyfer Chrétien : Directrice du Cabinet de l’ANSSI 

La Dir-cab de l’agence, nécessairement au fait des choses de la cybersécurité, a elle aussi ouvert un compte Linkedin (États-Unis) avec un compte Gmail (Etats-Unis).

Julie Chantreux : Cheffe de cabinet de l’ANSSI

Madame Chantreux qui avait consulté le profil Linkedin de notre rédacteur en chef après notre prise de contact avec le service de presse lors de l’article sur Amesys, a pour sa part un compte Facebook (États-Unis) en sommeil mais qui montre un voyage en Chine. Elle utilise par ailleurs Skype (États-Unis), comme les autres membres de l’ANSSI et Whatsapp (Etats-Unis). Tous les experts savent que la confidentialité des échanges y est compromise depuis le rachat par Meta, la maison-mère de Facebook.

Mathieu Feuillet : Sous-directeur des opérations

Il a pour sa part conservé son mail lié à ses études à Polytechnique. Lui aussi figure dans un de ces listings de comptes piratés et un mot de passe qui circule sur Internet. On trouve une adresse personnelle également, mais cette fois, issue du leak d'un piratage d’un site marchand.

La cybersécurité, c’est un métier. C’est du moins ce que les gens qui l’exercent essayent de faire croire. Car la sécurisation totale des données n’existe plus depuis que les réseaux informatiques sont déployés. On parle souvent d’Internet comme moment clef dans la dégradation de la protection des données personnelle et de l’explosion du piratage. C’est méconnaître l’histoire du hack, des réseaux X25 (longtemps utilisés par les banques) et des réseaux téléphoniques. Mais c'est une autre histoire…