L’état-major des armées partage un mot de passe en clair
Fifty Men In The Middle
Le 09 juin 2021 à 08h21
9 min
Internet
Internet
Le compte officiel de l'état-major des armées françaises a partagé sur Twitter une photo révélant un mot de passe utilisé lors d'« exercices proches du réel » effectués par un « état-major interministériel ». Le tweet a prestement été effacé, mais plusieurs pages du site web du ministère des Armées continuent à l'afficher.
Le compte officiel de l'état-major des armées (EMA), qui partage sur Twitter « l'actualité des opérations militaires » de l'armée française auprès de quelques 166 000 abonnés, a publié hier une photo révélant un couple identifiant/mot de passe d'une « session Windows » scotchée, en clair et non flouté, sur une baie de brassage informatique.
Cette bourde est d'autant plus embarrassante que le tweet associé vantait précisément les « exercices proches du réel » auxquels s'adonnent les « acteurs de la sécurité » afin de « faire face aux risques naturels, technologiques ou sanitaires, ainsi qu'aux menaces qui peuvent peser sur la population ».
Alerté par @TomDAAVID, un étudiant en M1 à l'ENS de Lyon qui s'intéresse aux enjeux de santé publique des armes, munitions et substances en matière de maintien de l'ordre (ce pourquoi il avait vu passer le tweet), le compte Twitter de l'état-major a retiré le tweet, avant de le republier tel quel, puis de le réeffacer une seconde fois.
@MrPropagande, le compte Twitter qui s'était ironiquement demandé si « le mot de passe visible en haut à droite fait partie de l'exercice ? », nous a répondu que le tweet aurait été effacé en « moins d'une heure », mais qu'« il est bien resté une petite demi-heure » après qu'il l'ait remarqué, et retweeté.
L'intendance suivra... ou pas
Étrangement, si le tweet a donc prestement été effacé, l'article du ministère des Armées auquel il renvoyait n'a, lui, pas été modifié dans la foulée. Et ce, alors qu'on y retrouve pourtant la même photo, avec le mot de passe en clair, associée à une URL raccourcie intitulée « NOTREDEFENSE » (sic), l'article expliquant pourtant précisément comment « l’État doit préparer des réponses opérationnelles adaptées ».
Le ministère des Armées y indique ainsi qu'« au niveau zonal, cette planification est confiée à l’état-major préfectoral interministériel de zone de défense et de sécurité Ouest, en coordination avec les services de plusieurs ministères. Ce sont les Entraînements interministériels zonaux (EIZ), qui cette année, se sont déroulés de manière adaptée à la pandémie. »
En sécurité informatique, on a coutume de dire et répéter que « le problème est situé entre la chaise et le clavier » (pour « Problem Exists Between Chair And Keyboard », ou PEBCAK), et notre article ne vise bien évidemment pas à nuire à qui que ce soit, a fortiori parce que la responsabilité est certainement partagée, au vu du nombre de personnes impliquées, ce que cette bourde permet d'illustrer.
Ce n’est dans tous les cas pas la première bourde du genre – TV5 Monde en avait fait les frais il y a quelques années par exemple – ni la dernière malheureusement.
Plus de cinquante personnes impliquées
L'article, emblématique du syndrome « faites ce que je dis, pas ce que je fais », donne en outre la parole à un général de brigade aérienne qui explique que ces « moyens interministériels » reposent notamment sur « l'implication des armées », et que « nous mettons à disposition » des Écoles militaires, ainsi qu'une base aérienne.
Une préfète déléguée à la sécurité, ainsi qu'un sous-préfet, avaient à ce titre assisté au déroulé des différents exercices « depuis le Module d'appui à la gestion de crise (MAGeC) », du nom donné aux camions de la sécurité civile chargés de servir de PC de crise en cas d'évènement majeur, et à l'intérieur duquel la photographie a été prise :
« Ces entraînements permettent de travailler la gestion de la crise au niveau stratégique. Cela permet aux opérateurs, travaillant ensemble, d’apprendre à se connaître, à se comprendre, et à échanger sur leurs problématiques au niveau opératif. Dans cette ambiance interministérielle, le travail est fait sur la coordination des moyens. »
L'article précise au surplus que « l'objectif est de préparer certaines échéances, comme la coupe du monde de rugby et les JO 2024 », mais également que « cette année, le format était réduit à une cinquantaine de participants du Maine-et-Loire et de la Sarthe, venant des Agences régionales de santé, des services hospitaliers, des militaires, policiers et gendarmes, et militaires de la zone Ouest » :
« La concertation et la coordination interministérielles dans la lutte anti-terroriste et la prévention des risques Nucléaires, radiologiques, biologiques et chimiques ou explosifs (NRBC-E) sont au centre de ces entrainements. »
Où l'on découvre donc qu'aucun de la cinquantaine de participants à cet exercice interministériel « stratégique », pas plus que les communicants de l'état-major des Armées, ne s'était donc aperçu qu'un mot de passe figurait en clair sur la photographie censée l'illustrer et que ce n’était évidemment pas une bonne idée…
Impossible en l’état d’établir les responsabilités, mais qui dit « interministériel » dit responsabilité partagée. Plusieurs personnes auraient donc pu éviter la boulette, en premier lieu celles dans la salle, celle qui a pris la photo et celles qui l'ont mise en ligne et partagée sur Twitter et le site web du ministère des Armées.
« Faire travailler ensemble tous les intervenants »
L'article explique pourtant que son objectif était de « faire travailler ensemble tous les intervenants, sur tous les échelons de commandement, dans des simulations d'attentats pouvant avoir des conséquences NRBC-E » :
« L’exercice est construit autour d’un "serious game" dans un exercice de type "caisse à sable" à partir d'une photo satellite très détaillée de la zone d'incident et de modèles réduits des matériels et personnels, mis en place par le Centre national civil et militaire de formation et d'entraînement (CNCMFE) NRBC-E. »
Un lieutenant-colonel explique y avoir été impliqué, « au niveau tactique, avec un chef de groupe SENTINELLE et un représentant de la délégation militaire départementale pour jouer la coordination haute avec l'échelon préfectoral. Il faut que l'exercice soit joué avec la réalité de ce que serait l'engagement de nos militaires sur le terrain ».
Un sergent y précise que son rôle était de son côté de « renforcer les Forces de sécurité intérieures en sécurisant une zone en parallèle avec la gendarmerie, en relation avec mon chef de section et le délégué militaire départemental » (DMD).
Le rôle de ce DMD, explique le ministère des Armées, était d'« avoir le commandement tactique des militaires sur la zone, pour cet exercice, mais aussi dans la réalité » :
« Dans le MAGeC, les autorités sont rassemblées et peuvent suivre la situation et décider des actions à entreprendre. Mon rôle est de conseiller le préfet en ce qui concerne tous les services que peuvent offrir les armées. Nous avons des militaires en place qui remplissent une mission sous le commandement opérationnel de la gendarmerie. Ils me rendent compte de la situation. Cela me permet de dialoguer avec les autorités et de proposer les renforts possibles des armées en fonction de l'évolution de la situation. »
L'article vante en conclusion un « outil puissant pour l'entraînement interministériel », mais également que « les EIZ seront renouvelés à l'automne, avec un format "grandeur nature", soit 400 participants des départements de la zone Ouest, en fonction de l'évolution de la situation sanitaire. »
« Plus de 13 000 militaires sont engagés »
Il relève également en incise que « plus de 13 000 militaires sont engagés au quotidien dans la protection du territoire national » :
« Cette mission de protection du territoire est globale et interarmées. Elle comprend les militaires de l’opération Sentinelle et les postures permanentes de sûreté aériennes et de sauvegarde maritime, auxquelles s’ajoutent les missions ponctuelles de service public destinées à porter secours aux populations. »
Gageons que cette bourde servira de RETEX (pour « retour d’expérience », dans le vocable militaire) aux nombreux participants à venir à ces futurs exercices interministériels. Le Centre de doctrine et d'enseignement du commandement le qualifie en effet de « système qui contribue à l’amélioration de l’outil de défense en participant à son évaluation au contact des réalités et en proposant des solutions aux déficiences constatées » :
« Le RETEX a pour fonction de rechercher des informations émanant des opérations ou des exercices, de les exploiter pour les traduire en enseignements qui conduiront à des adaptations. »
Et ce, a fortiori parce ses finalités visent entre autres à signaler « les dysfonctionnements et les déficiences observés afin de pouvoir y remédier », de sorte de pouvoir améliorer « la contribution au rayonnement des armées françaises. »
On notera à ce titre qu'une recherche image inversée révèle en outre que la photo, et l'article associé, ont été publiés sur (au moins) 5 autres pages web du ministère des Armées...
De surcroit, la photo postée sur le site web du ministère des armées, qui est de bien meilleure résolution que celle qui avait été partagée sur Twitter, permet en outre d'identifier le numéro de téléphone du Module d'appui à la gestion de crise (MAGeC) impliqué.
La bourde n'aurait certes guère été relayée, mais d'aucuns ironisent également quant au fait que « le choix de MDP laissait à désirer », à mesure qu'il n'était constitué que de 3 majuscules suivies de 3 minuscules (choisies, au surplus, en fonction de leurs positions sur le clavier, de type AZErty), puis d'un banal « ?! ». Occasion de rappeler notre article sur le choix d’un bon mot de passe, mais donc aussi de préciser qu'il pourrait d'ailleurs être opportun de privilégier la notion de « phrase de passe »…
L’état-major des armées partage un mot de passe en clair
-
L'intendance suivra... ou pas
-
Plus de cinquante personnes impliquées
-
« Faire travailler ensemble tous les intervenants »
-
« Plus de 13 000 militaires sont engagés »
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/06/2021 à 08h38
Je ne sais pas ce qui me choque le plus entre le mot de passe au fond à droite et le Windows 7 à gauche.
Le 09/06/2021 à 10h17
Si tu parles de ce lien l’article date de 2016, bien avant la fin du support de W7.
Le 09/06/2021 à 10h59
les méta-données de la photo indique qu’elle a été prise la semaine dernière…
je n’avais pas fait gaffe, mais vous êtes sûr que c’est du Windows 7, ça pourrait pas être un faux ami ?
Le 09/06/2021 à 13h43
La barre du bas est celle qu’affiche Windows 7 par défaut. Ce n’est sans doute pas impossible (même si peu probable) que ce soit une version ultérieure de Windows avec la même apparence, mais à priori je dirais aussi que c’est Windows 7 (aussi = comme Eldeberen)
Le 10/06/2021 à 10h12
En reprennant la photo disponible sur le site du ministère (donc en meilleure qualité), ça donne ceci screenshot (le lien expire dans 30j).
Ça fait longtemps que je n’ai pas eu de Windows 7 sous la main, mais le style un peu glossy de la barre de tâche et les boutons de fenêtre absolument pas carrés me font dire que ce n’est certainement pas du Windows 10.
Le 10/06/2021 à 11h52
Je plussoie… Ça ne ressemble déjà plus à Vista et pas encore à Eight…
Si ce n’est pas du Seven, c’est un beau “camouflage” alors ^^
Le 11/06/2021 à 08h24
Oui, Windows 7 c’est certain
Le 09/06/2021 à 09h13
Il n’y a pas de problème:
Le papier utilisé étant cyber compliant …
D’ailleurs quelqu’un a t-il déposé le brevet sur les post-it sécurisé ?
Le 09/06/2021 à 09h40
OK, c’est une énorme bourde, mais le problème de fond n’est pas là.
Depuis le premier contrat openbar jusqu’au troisième l’actuel, on continue de vendre la souveraineté de notre armée aux USA, parce qu’article 42 du TUE : la défense européenne est placée de fait sous la coupe de l’OTAN, ce qui explique pourquoi le périmètre géographique de l’UE et de l’OTAN coïncident autant. Les américains utilisent l’UE pour placer de nouvelles bases toujours plus proche de l’ours russe, et nous emmener dans des guerres où ils défendent leur seul intérêt, comme on l’a vu en Irak avec ce brave Powell venu agiter sa fiole bidon devant les caméras du monde entier à l’ONU.
Maintenant peut-on encore parler de souveraineté dans le milieu de la défense nationale, en utilisant windows ou mac (quelle que soit la version - ce n’est pas le problème), quand tous les GAFAM sucent nos données à grand coup de “télémétrie” ? Il est passé où le logiciel libre censé garantir notre indépendance défensive face à tout attaquant ?
Que pèse un mot de passe “perdu” par accident , devant la haute trahison caractérisée de nos politiques, soumis à Bruxelles, Francfort et Washington, qui viennent pleurer pour du beurre devant les caméras quand la CIA et la NSA sont pris la main dans le sac en train de les espionner ?
J’ai l’impression qu’on s’émeut d’une piqûre de moustique sur un patient en train d’être opéré à cœur ouvert. C’est bien gentil, mais c’est ridicule.
Le 09/06/2021 à 10h19
Encore une fois cette bande de méchant ricain. Trump a voulu mettre la pression sur les européens en coupant les investissements dans l’OTAN, beaucoup de pays européens étaient bien content de ne pas investir le montant que les accords demandais. Ont profite aussi beaucoup des technologies ricaines, y’a que très recement où les européens ont ouvert les yeux. L’ours russe (même l’inde profite) ou le whinnie chinois ne chaume pas dans leur coin.
Le 09/06/2021 à 13h31
On ne vend pas notre défense, quand on paye pour cela.
Un terme existe-t-il pour cette situation ? Mis à part une connerie.
Le 09/06/2021 à 13h35
Vu dans la MARINE Windows sur un poste et un linux sur l’autre. Pas de Mac, Windows coûte assez cher comme cela.
Le 13/06/2021 à 22h24
Le 09/06/2021 à 09h58
Il faut dire que l’accumulation exponentielle de login/mdp dans la vie pro et privée n’est pas toujours simple à gérer.
Notamment sur des outils partagés. Ce type de bourde est quotidien partout où j’ai travaillé.
Après, les responsables de la communication sont quand même légers… Une photo ça se vérifie.
Le 09/06/2021 à 10h16
ça fait quand même un certain temps que des gestionnaires de mots de passe permettant de partager des passwords de manière sécurisée existent. Il n’y a plus aucune excuse pour écrire un MdP sur un post-it, encore moins sur une affiche !
Le 09/06/2021 à 10h00
Franchement, il y a quand même des claques qui se perdent.
Le 09/06/2021 à 12h05
Macron en a retrouvé une hier.
Les autres ne doivent pas être bien loin.
Le 09/06/2021 à 10h23
On parle d’entraînement des militaires à des situations de crise, et le jour J on ne fait pas appel à eux..
le 13 octobre 2015, on leur a demandé de gentiment rester en retrait et « laisser faire les pros ».
Ils ont toute une organisation bien rodée et maintenue régulièrement à niveau, pour vacciner en masse et rapidement la population, en cas d’attaque terroriste à la Variole.
Mais pour la vaccination covid, on a préféré une improvisation totale, avec des médecins de ville, puis des pharmaciens.. et au final toute une organisation civile à monter, de centres de vaccination.
Le 09/06/2021 à 13h19
Ils ne travaillent pas en mode Tart’up c’est tout : on tente, on se plante, on tente de nouveau , on se plante,….
Le 09/06/2021 à 10h57
« L’exercice est construit autour d’un “serious game” dans un exercice de type “caisse à sable” …
Et pourquoi pas caisse à chats seriously
Le 09/06/2021 à 11h27
08/06/21 13h26 : les photos sont toujours disponibles…
J’espère que le mot de passe n’est pas exploitable facilement…
Le 09/06/2021 à 13h20
C’est juste pour être cohérent avec le QR-Code et le 2D-DOC du pass sanitaire
Le 09/06/2021 à 14h16
Non mais vous avez pas compris. C’est des génies dans l’armée. Ils veulent se prévenir des cyberattaques en donnant de faux accès sur Internet pour observer le comportement de vrais pirates sur un réseau isolé. Ils sont tellement au dessus les gars !
Ou pas…
Le 09/06/2021 à 17h01
Ça me rappelle le Cash investigation sur ces fameux contrats “open-bar” avec Microsoft Irlande…
Le 09/06/2021 à 18h33
Ah non, ce qu’il a retrouvé, c’était une tarte. Parce qu’on n’y fait que des tartes, à Tain.
Le 09/06/2021 à 19h05
L’armée est connue pour être un endroit où les règles sur les mots de passe sont particulièrement connes (48 caractères dont 12 de chaque type changés tous les 8 jours). Pas très étonnant que ça finisse sur des post-its.
Mais bon il n’y a pas que l’armée, c’est commun à tous les endroits où il est plus important de couvrir son cul en se donnant les moyens de dire “ah je comprends pas, je leur avais bien dit de pas le faire” que d’obtenir des résultats concrets en se donnant des ambitions raisonnables et les moyens pour les atteindre.
Le 09/06/2021 à 20h38
Pour le coup il est loin de faire 48 caractères celui-ci…
Le 09/06/2021 à 19h15
Joli Patch ! Joli !
Le 10/06/2021 à 06h44
Toute DSI un minimum sérieuse impose le SSO sur tous les applicatifs (il suffit de mettre en prérequis quand tu fais un appel d’offre)
Le 11/06/2021 à 08h02
Ou alors, tout ça est minutieusement fait pour brouiller les pistes et se faire passer pour des nazes.