C’est une erreur humaine et saugrenue qui gêne actuellement le bureau australien de l’Immigration : à cause d’une erreur dans l’envoi d’un simple email, des informations personnelles de plusieurs chefs d’État ont été envoyées aux organisateurs de la Coupe d'Asie des nations de football.
Une simple erreur dans la saisie d'une adresse email
Même si la fuite d’informations n’est pas réellement grave, elle représente bien la manière dont ce genre d’erreur peut survenir avec une grande facilité. Les données en question sont relatives à pas moins de 31 chefs d’État et étaient stockées dans le cadre de l’organisation des sommets du G20. Le bureau australien de l’immigration devait les envoyer à un certain destinataire, mais le fonctionnaire en charge de l’opération est tombé dans le piège d’une erreur particulièrement grossière.
Il devait en effet simplement transmettre les fichiers par un courrier électronique et s’est servi pour cela d’Outlook. Mais au moment d’entrer l’adresse email du destinataire, il a commencé à taper les premières lettres et s’est fié au premier résultat proposé par l’autocomplétion du logiciel. La suite est assez désopilante : il ne s’agissait évidemment pas de la bonne adresse et l’email est parti chez les organisateurs de l’Asia Cup, qui s’est tenue d’ailleurs en janvier en Australie.
Quand la sécurité tient à peu de choses
L’aspect un peu surprenant de cette histoire est qu’elle ne date pas d’hier, puisque la faute est survenue en novembre dernier. L’information est révélée par un fonctionnaire du bureau de l’immigration qui a vendu la mèche au journal anglais The Guardian. Il a ainsi indiqué que l’erreur avait été remontée par le directeur des services liés aux visas, comme brèche de sécurité, à une commissaire de la vie privée pour examen de la situation.
Selon cette dernière, les « informations personnelles qui ont fuité sont le nom, la date de naissance, le titre, la position nationale, le numéro de passeport, le numéro de visa et la sous-classe du visa » pour chacune des 31 personnes impliquées. Elle indiquait ensuite que le risque n’était pas énorme puisque, « normalement », les données étaient circonscrites aux seuls systèmes informatiques des organisateurs de l’Asia Cup. Précisons en outre que la question du chiffrement n'est pas abordée. Si l'email ne faisait l'objet d'aucune mesure spécifique de sécurité, son contenu et ses métadonnées étaient donc facilement lisibles en cas d'interception.
Le ministère de l'Immigration avait recommandé le silence
Plus étonnant cependant, le responsable du bureau de l’immigration a recommandé que personne ne soit prévenu de cette fuite, et en premier lieu les principaux concernés. Barack Obama, Vladimir Poutine, Angela Merkel, Xi Jinping (président chinois), Narendra Modi (Premier ministre de l’Inde), Shinzo Abe (Premier ministre japonais), Joko Widodo (président de l’Indonésie) ou encore David Cameron n’ont donc reçu aucune notification à ce sujet.
C’est cette absence de communication qui étonne et fait tache. Tanya Plibersek, chef de file de l’opposition au parlement australien, en a ainsi appelé au Premier ministre Tony Abbott afin qu’il fournisse une explication à cette curieuse décision : « Le Premier ministre et le ministre de l’Immigration doivent expliquer ce sérieux incident et la décision de ne pas informer ceux qui étaient impliqués ». D’autres, comme la sénatrice verte Sarah Hanson-Young, sont beaucoup plus virulents : « Ce n’est qu’une gaffe sérieuse de plus par un gouvernement incompétent ». Et il est clair que l’absence de vérification de l’adresse email du destinataire n’est guère reluisant. En outre, comme le rappelle The Guardian, le ministère de l’Immigration était déjà à l’origine, en février 2014, d’une fuite concernant presque 10 000 personnes en détention.
Même si les informations ne sont pas suffisantes pour porter atteinte aux chefs d’États, il faut tout de même rappeler que des lois spécifiques existent dans les pays pour gérer les fuites. L'Allemagne et le Royaume-Uni par exemple rendent obligatoire l’avertissement d’une victime de fuites d’informations personnelles, et les États-Unis ont déjà annoncé qu'ils allaient examiner la situation. La France ne présente pas de telle loi : tout juste les opérateurs ont-ils obligation de faire une déclaration à la CNIL, mais pas aux clients. Les autres entreprises sont libres de décider si elles avertissent ou pas d'une fuite, mais elles auront bien entendu des comptes à rendre en cas de plainte.
Commentaires (33)
Ah et personne ne s’inquiète du contenu du mail en lui même ?
M’enfin , cela prouve que les pays ne sont pas sérieux et aucune vérif n’est faite sur chaque envoie de mail important.
Eh ben, si les secrets des nations transitent simplement par email (non chiffrés j’imagine), on a bien du souci à se faire
" />
« ChuckNorrisLOL »
Manque plus qu’un bon vieux reply all des familles et c’est la fayte !
Et après les politiques affirment que le meilleur moyen d’être protégé est d’utiliser un pare-feu de type Open office…
Ce type d’article est l’illustration parfaite des boulets qui dirigent…
L’aspect un peu surprenant de cette histoire est qu’elle ne date pas d’hier, puisque la faute est survenue en novembre dernier. L’information est révélée par un fonctionnaire du bureau de l’immigration qui a vendu la mèche au journal anglais The Guardian.
“Ah mais nous aussi il nous en arrive des bonnes, bluuurp
Amha, ça a du se passer à peu prêt comme ça
ouais enfin, c’est pas les sous-fifres des ministères qui “dirigent” non plus, faut pas pousser.
Ah, ces stagiaires !!! …
Et il est clair que l’absence de vérification de l’adresse email du destinataire n’est guère reluisant
Soyons honnête, qui double-check les adresse e-mail pour CHAQUE e-mail qu’il envoie?
Les seul fois où je fais vraiment gaffe, c’est quand j’envoie un mail à l’homonyme du PDG
Il existe des plateformes de dématérialisation (parapheurs, tiers de télétransmission) pour envoyer des documents signés électroniquement de manière fiable et sécurisée. Je ne comprends pas que les institutions n’utilisent pas ce genre d’outils ….
Mais au moment d’entrer l’adresse email du destinataire, il a commencé à
taper les premières lettres et s’est fié au premier résultat proposé
par l’autocomplétion du logiciel.
Bon, même si ce n’était pas le même impact, je dois avouer que ça m’est arrivé dans un précédent job. C’est pour ça que j’adore la fonction undo de gmail
Après ça change pas grand chose l’email est envoyé non chiffré donc tous les intermédiaires ont accès au donné zéro sécurité.
Pas faux, mais faut pas oublier que la plupart des sous-fifres utilisent et se réfèrent à ce que les dirigeants promulguent, hein… La boucle est bouclée…
Pour avoir fait la boulette également, je peux dire que l’auto complétion est traitre, tout comme le CTRL+ENTER dans Outlook…
" />
Je ne lui jetterai donc pas la 1ère pierre, mais la 5ème
Bon, au vu des info qui ont filtré, je n’ai pas vraiment l’impression que ce soit des infos confidentielles. Nom, nationalité et date de naissance, pour un homme politique de cette importance, wikipédia est largement suffisant. Ensuite n° de passeport et de visa, je ne vois pas trop ce que l’on peut en faire vraiment, j’ai même un doute quant à sa confidentialité.
Fuite de donnée sur Poutine ? J’en connais un qui va découvrir le parapluie Bulgare d’ici peu.
" />
Précise ta pensée et sois plus poli, merci.
Un email ? Sécurisé ?
" />
" />
" />
Peu importe qu’il soit envoyé au mauvais destinataire, si l’email n’est pas chiffré, tout le monde peut le lire dans tous les cas.
L’identification au poste voir même à la messagerie est une sécurité nécessaire mais pas suffisante. Souvent on connecte tout via LDAP ou SSO, et on est pas à l’abris du vol de mdp, de la négligence, de la malveillance ou de la boite mail en partage (sur le smartphone, ou par exemple l’assistante du responsable qui a une vue dessus) et qui sont autant de moyen d’accéder à une messagerie.
Ce que j’essayais de dire c’est qu’il n’y a que les certificats électroniques qui garantissent de l’authenticité de la personne qui va lire ou répondre au message et que c’est pas demain que gmail proposera leur gestion ! :)
Le certificat, c’est justement la clé privée (oui, je simplifie)
“il a commencé à taper les premières lettres
" />
et s’est fié au premier résultat proposé par l’autocomplétion du logiciel.”
Comme une pêche à la ligne en sorte.
ce qui pour un 1er avril ne serait pas mal…
Pas vraiment non.
Le certificat, c’est ta clé publique qui permet aux autres de te parler.
Il contient aussi la chaîne de certification, émise par une ou plusieurs autorités de certification, qui prouve que c’est bien toi.
Ta clé secrète, donc pour déchiffrer tes messages, est planquée chez toi bien au chaud.
Oops, en fait ce que je voulais dire c’est que quand on parle de certificat , on parle bien d’algos à clé privées/publiques, mais j’ai pas assez réfléchi avant d’appuyer sur envoyer (parce qu’en plus je le savais
" />)
Oui, on se base sur des algorithmes asymétriques, comme RSA.