Mots de passe ministériels dans la nature : ça continue

Une équipe gouvernementale pas très « Net » ?

Après le directeur de cabinet d'Attal, c'est au tour de son remplaçant de laisser traîner ses mots de passe sur internet. Et pas mieux du côté du remplaçant du remplaçant… La liste s'allonge et la question du rôle préventif de l'ANSSI se fait de plus en plus prégnante.

Plus ça va, moins ça va. Nous avions alerté sur les patrons de l'ANSSI, l'agence chargée de la sécurisation des réseaux informatiques gouvernementaux, sur les membres du gouvernement, sur Emmanuel Moulin, le directeur de cabinet de Gabriel Attal mais visiblement, c'est une cascade sans fin... Voilà qu'un mot de passe de Bertrand Dumont, remplaçant d'Emmanuel Moulin, circule aussi sur Internet. Mais ce n'est pas fini, un mot de passe de Jérôme Fournel, lui-même remplaçant de Bertrand Dumont, est disponible dans une « combo list » traînant sur le « Darknet ». Vous êtes perdus ? C'est normal.

On reprend dans l'ordre et tout doucement.

En octobre, nous avions publié un article dans lequel nous expliquions qu'en recherchant les traces numériques des patrons de l'ANSSI, nous avions découvert qu'ils avaient des habitudes sur Internet assez éloignées des canons de la cybersécurité. En utilisant de simples outils de renseignement en sources ouvertes (OSINT), nous avions trouvé leurs mails sur des plateformes américaines, des mots de passe ayant fuité après des piratages de sites marchands.

Forts de ce constat de non « hygiène informatique » (le terme à été inventé par l'ANSSI), nous avions regardé l'empreinte numérique des ministres. Les grandes déclarations sur la souveraineté numérique des uns et des autres, les annonces liées à l'utilisation d'Olvid comme système de messagerie instantanée, nous avaient poussés à vérifier si les annonces étaient en accord avec les usages. Raté. Patatras, tous les ministres font un usage immodéré de Whatsapp, Telegram, des plateformes américaines, des mails gratuits (mais dont ils sont le produit)...

Il y a quelques jours, nous vous parlions d'Emmanuel Moulin. Nommé directeur de cabinet du premier ministre Gabriel Attal, nous avions vérifié son empreinte numérique : un mot de passe lié à son adresse mail de l'Élysée lorsqu'il était conseiller économique de Nicolas Sarkozy circule sur Internet. Aux antipodes des consignes de l'ANSSI, ce mot de passe est composé de prénoms de membres de sa famille. Interrogé, le chef de cabinet semblait très ennuyé que ce mot de passe soit accessible en clair et promettait de le changer.

Un remplaçant chasse l'autre et les mots de passe pleuvent

Emmanuel Moulin était jusqu'ici directeur général du Trésor. Il est donc remplacé à ce poste par Bertrand Dumont, précédemment directeur de cabinet de Bruno Le Maire.

L'ex dircab' de Bruno Le Maire et désormais directeur général du Trésor ne fait pas beaucoup mieux qu'Emmanuel Moulin. Un mot de passe lié à son adresse mail bertrand.dumont@cabinets.finances.gouv.fr est présent dans une « combo list » circulant sur le « Darknet ». Cette fois, il ne s'agit pas des prénoms de membres de sa famille mais d'un mot latin en 7 lettres. Là encore, on est loin des canons de la sécurité informatique.

Le jeu des chaises musicales est un peu sans fin et Bertrand Dumont est remplacé au poste de directeur de cabinet de Bruno Le maire par Jérôme Fournel. C'est aussi un homme qui fait toute sa carrière à de hauts postes de l'administration. Lorsqu'il était directeur général des douanes, il était également au conseil d'administration de la société Aéroports de Paris (ADP). A ce titre il bénéficiait d'une adresse mail chez adp.fr. Ici aussi, un mot de passe en clair (qui ressemble à un code postal) circule sur le « Darknet ».

Il n'est pas question de jeter la pierre sur l'un ou l'autre. De nombreux commentaires désagréables ont suivi la publication de notre article sur Emmanuel Moulin. Par exemple, celui d'une membre du parti socialiste. Pourtant, un de ses mots de passe circule également en clair. C'est probablement aussi le cas de nombreux internautes anonymes, voire pourquoi pas de membres de la rédaction de Reflets (c'est le cas de l'auteur de ces lignes).

En revanche, il n'existe pas d'agence gouvernementale dont la mission est de sécuriser les réseaux informatiques de Reflets et de nous prodiguer des conseils d'« hygiène informatique ». L'ANSSI serait sans doute bien avisée de dresser une liste de choses à faire et à ne pas faire qui pourrait être distribuée à tous les utilisateurs d'adresses mails officielles gouvernementales. Visiblement, la Charte ministérielle d'utilisation des outils numériques signalée par un lecteur n'est pas suffisante.

Comme nous l'écrivions dans notre article sur les patrons de l'ANSII, la règle de base est sans la suivante : lorsque l'on est un homme ou une femme politique, un fonctionnaire, un patron d’entreprise, et à fortiori un « Sachant » de l’ANSSI, les adresses mail de Gmail ou Yahoo sont à bannir si elles sont reliées à des identités réelles. Chacun peut imaginer aisément que les services de renseignement étranger s'intéressent en particulier à toutes ces personnalités spécifiques. La notion de «Kompromat » ne peut leur être étrangère. La NSA s'est intéressée de très près aux moyens de communication des chefs d'États, y compris amis des États-Unis. Règle numéro deux : lorsque l'on dispose d'une adresse mail liée à l'État, on n'ouvre pas, avec ce mail, des comptes sur des plateformes privées qui ne manqueront pas d'être piratée un jour. Or, si le couple "adressemaillambda@machinchose.fr"/"mot de passe" n'attirera pas forcément l'attention, un couple "nom.prenom@ministere.gouv.fr"/"mot de passe", clignotera comme un néon la nuit dans la ville endormie. Ça se voit de loin.