Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pourquoi l’État-major des Armées est autorisé à utiliser Gmail

Pourquoi l'État-major des Armées est autorisé à utiliser Gmail

Le 12 novembre 2020 à 08h46

En janvier dernier, le député François Cornut-Gentille interrogeait le ministère des Armées au sujet de Gmail : « le bureau relations médias de l'État-major des armées transmet des communiqués et dossiers de presse en mentionnant, pour courriel, "[email protected]". Le recours à une adresse mail à partir d'un service de messagerie électronique contrôlé par une société américaine ne manque pas de surprendre » et constituerait, à l'en croire, « une porte d'entrée dans les réseaux du ministère des armées et donc une faille majeure de sécurité ».

Il voulait dès lors comprendre « les raisons qui empêchent le bureau relations médias de l'État-major des armées de disposer d'une adresse de messagerie référencée sur un serveur gouvernemental sécurisé. »

En réponse, le ministère vient de lui répondre que cette utilisation de Gmail « est réalisée dans des conditions de sécurité maitrisées » à mesure qu'« aucune information classifiée ne transite par Gmail », que les communiqués et dossiers de presse « sont des documents librement accessibles » et que les documents échangés « ne comportent aucune information sensible ». 

De plus, « Gmail fonctionne de manière cloisonnée par rapport aux réseaux internes du ministère des armées », tout en étant « soumise au filtrage sécurisé qui s'applique à l'ensemble des sites visités depuis les navigateurs Internet autorisés (...) et non depuis un logiciel de messagerie ».

Le 12 novembre 2020 à 08h46

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Encore le résultat de la tristesse des services IT internes et notamment des services IT gouvernementaux où il faut 3 mois et 14 ramettes de paperasse contresignées 38 fois pour obtenir une boite mail…

votre avatar

Ou tout simplement parce que c’est peut-être utile d’avoir une adresse «banale» et jetable dans certains cas?



Je suppose qu’il est un peu plus simple d’avoir une adresse mail qu’un accès internet débridé sur ce type de SI ;)

votre avatar

Qu’ils aient fait le choix d’avoir une boite externe pour les communiqués public pourquoi pas (même si c’est très largement discutable), mais pourquoi avoir choisi l’un des moins recommandable fournisseur possible, c’est pas comme s’il n’y avait pas des fournisseur Fr. Ça sent la réponse d’un utilisateur du moindre effort qui mange au MacDo tous les midi.

votre avatar

inextenza a dit:


Ou tout simplement parce que c’est peut-être utile d’avoir une adresse «banale» et jetable dans certains cas?


Non, c’est impossible ça… surtout pour de la relation presse (donc de la comm’) quoi…
c’est comme si tu disais que ça peut être utile d’avoir un site web gouvernemental “banal” en xxx.wix.com



Surtout que les problèmes que je décris sont réels et bien connus…

votre avatar

Je trouve ça assez moyen quand même.

votre avatar

Et un serveur mail isolé du reste n’était pas possible ?

votre avatar

KP2 a dit:


Non, c’est impossible ça… surtout pour de la relation presse (donc de la comm’) quoi… c’est comme si tu disais que ça peut être utile d’avoir un site web gouvernemental “banal” en xxx.wix.com



Surtout que les problèmes que je décris sont réels et bien connus…


Ben sur des événements ponctuels (et en comm’ ça existe beaucoup) ça ne me choque pas, bien au contraire.

votre avatar

KP2 a dit:


Encore le résultat de la tristesse des services IT internes et notamment des services IT gouvernementaux où il faut 3 mois et 14 ramettes de paperasse contresignées 38 fois pour obtenir une boite mail…


possible que ça ai changé, mais à l’époque où j’y bossais, c’était trèèèèèèèèès loin d’être comme ça. 2 signatures sur un doc et dans la journée ton mail était créé.




the_frogkiller a dit:


Et un serveur mail isolé du reste n’était pas possible ?


rien n’ai jamais impossible, mais l’isolation des (trois) réseaux c’est un truc avec lequel ils ne rigolent pas. tu n’as même pas le droit d’avoir un même écran ou une même imprimante partagés entre les différents postes, même via switch mécanique (enfin c’était la règle à l’époque)

votre avatar

the_frogkiller a dit:


Et un serveur mail isolé du reste n’était pas possible ?


Qui l’installe?
Où?
Quoi? (Y compris redondance, sauvegardes, liens réseau, …)
Qui l’exploite?



Attention à ne pas confondre un serveur d’une chambre d’étudiant avec un vrai projet industriel.
Surtout quand (il y a eu des news ici encore récemment sur les difficultés de recrutement) la fonction publique n’a pas les moyens humains de tout faire.

votre avatar

Mimoza a dit:


Qu’ils aient fait le choix d’avoir une boite externe pour les communiqués public pourquoi pas (même si c’est très largement discutable), mais pourquoi avoir choisi l’un des moins recommandable fournisseur possible, c’est pas comme s’il n’y avait pas des fournisseur Fr. Ça sent la réponse d’un utilisateur du moindre effort qui mange au MacDo tous les midi.


Des communicants ne sont pas des informaticiens… ont-ils au moins conscience des risques? Je présume que non, et il ne me semble pas correct de les clouer au pilori pour ça.

votre avatar

inextenza a dit:


Des communicants ne sont pas des informaticiens… ont-ils au moins conscience des risques? Je présume que non, et il ne me semble pas correct de les clouer au pilori pour ça.


Seulement les communicants font partie de “Directions” très préoccupées de leur prérogatives et qui considèrent l’informatique uniquement comme un centre de coût qui ne doit pas entraver leurs programmes et décisions.



A ce titre, elles font ce qu’elles veulent, choisissent les prestataires qu’elles veulent et compte tenu du moyen de pression politique qu’est le financement du budget des DSIs, celles-ci sont obligées de plier dans la pluapart des cas.



-

votre avatar

Je me demande si ils n’ont pas aussi pris Gmail pour mieux passer les filtres anti-SPAM (les auohébegeurs galèrent même avec SPIF, DKIM & consors)

votre avatar

Franchement c’est très discutable. On en a des prestataires de mails en france et même des pas chers, pourquoi aller sur gmail ? Les caisses sont à sec à ce point ??

votre avatar

inextenza a dit:


Qui l’installe? Où? Quoi? (Y compris redondance, sauvegardes, liens réseau, …) Qui l’exploite?



Attention à ne pas confondre un serveur d’une chambre d’étudiant avec un vrai projet industriel. Surtout quand (il y a eu des news ici encore récemment sur les difficultés de recrutement) la fonction publique n’a pas les moyens humains de tout faire.


Hummm qu’est ce que vous racontez? Ce n’est pas mon métier je suis développeur mais je comprend les problématiques d’ajout d’une serveur dans un SI. Franchement si l’armée n’est pas capable de faire un serveur isolé…

votre avatar

C’est pas qu’elle est pas capable, c’est que le faire pour échanger des communications publiques qui seront visibles sur l’AFP 10min après, c’est de l’overkill.



Que l’armée utilise une boite mail gratuite d’un provider ultraconnu pour envoyer des éléments qui pourraient être sur un flux RSS, qu’est-ce qu’on en a à faire ? Et puis ça permet d’externaliser toutes les problématiques de SPIF et autres pour une random messagerie.

votre avatar

wpayen a dit:


C’est pas qu’elle est pas capable, c’est que le faire pour échanger des communications publiques qui seront visibles sur l’AFP 10min après, c’est de l’overkill.



Que l’armée utilise une boite mail gratuite d’un provider ultraconnu pour envoyer des éléments qui pourraient être sur un flux RSS, qu’est-ce qu’on en a à faire ? Et puis ça permet d’externaliser toutes les problématiques de SPIF et autres pour une random messagerie.


Et voilà, c’est comme ça que ça commence : La non maîtrise de ses infrastructures par pure fainéantise et incompétence technique des SI interne outre les pressions budgétaires.



-

votre avatar

une infra mail on premise on commence a environ 100 k€ pour de la haute dispo pour a peu pres 1000 utilisateurs, je te laisse faire le calcul…

votre avatar

occitanie2040 a dit:


une infra mail on premise on commence a environ 100 k€ pour de la haute dispo pour a peu pres 1000 utilisateurs, je te laisse faire le calcul…


Sauf que c’est dans le cas d’Azure, le coût de la BAL est le prix d’appel pour mettre le doigt dans le plan de licencing Azure MS qui finit par te bouffer le bras… et le reste.

votre avatar

« soumise au filtrage sécurisé qui s’applique à l’ensemble des sites visités depuis les navigateurs Internet autorisés (…) et non depuis un logiciel de messagerie ».


ça veut dire qu’il n’est pas possible de se connecter à cette boîte mail gmail depuis un PC n’étant pas géré par le ministère de la défense ? Ou bien c’est une barrière en plastique mou ?

votre avatar

Ah, moi aussi ce passage m’a fait tiquer !
« Ça passe par le navigateur et pas par un client mail donc c’est bon »
Mouais…
Que je sache, on ne peut pas déployer d’instance gmail protégée par je ne sais quoi, si y a une boîte gmail on peut y accèder de n’importe où, d’un Starbucks ou d’un wifi non sécurisé dans un hôtel en Chine…



À moins, peut-être, qu’ils aient déployé un firewall Open-office, c’est hyper puissant comme truc mais je maîtrise pas bien.

votre avatar

En matière de sécurité des accès Google est quand même assez paranoïaque …



Nous utilisons une boite gmail partagée pour le conseil syndical de ma copropriété, et certains n’arrivent quasi jamais à se connecter parce que Google bloque direct.

votre avatar

wpayen a dit:


C’est pas qu’elle est pas capable, c’est que le faire pour échanger des communications publiques qui seront visibles sur l’AFP 10min après, c’est de l’overkill.



Que l’armée utilise une boite mail gratuite d’un provider ultraconnu pour envoyer des éléments qui pourraient être sur un flux RSS, qu’est-ce qu’on en a à faire ? Et puis ça permet d’externaliser toutes les problématiques de SPIF et autres pour une random messagerie.


Bah j’aimerais bien savoir quelle autre administration fait ce genre de choses. Autant pour une PME je peu le comprendre mais pour l’armée j’ai un peu de mal a voir

votre avatar

L’armée communique avec l’extérieur, et heureusement! Tout ce qu’elle communique n’a pas forcément vocation à être protégé. D’une part ça n’a pas de sens de dépenser dans une protection plus d’argent que ce que tu perdrais si le risque dont tu protège se réalisait. D’autre part il n’est pas toujours possible d’imposer le niveau de sécurité de ton choix aux entités tierces avec lesquelles tu échanges.



A partir du moment où tu n’a besoin d’aucune protection, gmail n’est pas pire que n’importe quel autre, et au moins tu es à peu près sûr de ne pas te faire bloquer par erreur. C’est triste, mais c’est comme ça. Gmail s’amuse à bloquer des domaines d’émission de façon arbitraire avec parfois des conséquences désastreuses pour les personnes concernées, mais personne ne peut prendre le risque de bloquer gmail.com.

votre avatar

C’est pas de la technique, c’est de l’orga. (phrase que je dois répéter 40 fois par jour au boulot je pense)



C’est à cause des DSI mal organisées que le shadow-IT se répand. Et après ça devient difficile d’en sortir et c’est comme ça qu’on se retrouve avec des souscriptions AWS/Azure/GCP/whatever incontrôlées et ouvertes aux 4 vents.



C’est assez difficile à concevoir, mais quand on travaille de manière transverse dans la chaîne de valeur on s’en aperçoit très rapidement. Par contre sans volonté de la part du management, ça persiste. :craint:

votre avatar

J’ai fait une mission sur un projet au sein du ministère (mission non top secret, c’était de la compta :D .. ), les PC “de travail” ne sont pas sur le réseau Internet mais juste en réseau sur un intranet fermé.
Il y a juste quelques rares PC par-ci par-là (dans les salles de pause café notamment), qui eux ne sont pas connectés au réseau du ministère mais à Internet.



Qu’il y ait du gmail, j’y vois quand même 2 avantages:




  • à l’envoi c’est moins considéré comme du spam par les autre messageries,

  • en retour, si il y a un cheval de Troie envoyé à l’adresse gmail c’est forcément sur un PC non connecté au réseau du ministère qu’il sera exécuté.

votre avatar

Il peut arriver qu’un con crée une passerelle entre les 2 réseau pour ce faciliter la vie.

votre avatar

(reply:1836833:Ami-Kuns)


Le con (qui ne l’est pas tant que ça: je serais étonné que les utilisateurs soient également administrateurs) finirait alors en taule direct.

votre avatar

pour travailler dans la messagerie (exchange) une plateforme mail c’est pas donné et les entreprises semblent s’y retrouver mieux (economiquement) chez gmail que chez microsoft. Une certaine grande entreprise française à décider de s’y mettre et plus ça va plus c’est n’importe quoi, mais lobbysme oblige ils iront dedans quoi qu’il coute question d’honneur. Quelle bêtise…

votre avatar

(quote:1836833:Ami-Kuns)
Il peut arriver qu’un con crée une passerelle entre les 2 réseau pour ce faciliter la vie.


même au plus haut niveau de responsabilité, ils ne font pas ça, et pourtant dieu sait que ça peut etre casse couille.
on parle quand même de l’armée, on est un (petit) cran au dessus de la moyenne en ce qui concerne les prises de conscience des risques

votre avatar

occitanie2040 a dit:


….. Une certaine grande entreprise française à décider de s’y mettre et plus ça va plus c’est n’importe quoi, mais lobbysme oblige ils iront dedans quoi qu’il coute question d’honneur. Quelle bêtise…


Carrefour ? car eux ils sont en full Google

votre avatar

Plusieurs boîtes du groupe Mulliez sont chez Google Apps for Business ou Microsoft 365 aussi.

votre avatar

Une boite mail @qwant.fr ferait tout de suite plus sérieux

votre avatar

occitanie2040 a dit:


une infra mail on premise on commence a environ 100 k€ pour de la haute dispo pour a peu pres 1000 utilisateurs, je te laisse faire le calcul…


Faut comparer ce qui est comparable, là c’est une adresse email. Y’a pas 1000 utilisateurs, si le serveur tombe y’a pas mort d’homme les serveurs SMTP attendront que le serveur revienne pour lui renvoyer les emails en attente (si quelqu’un réponds a cette adresse). Bref ça doit pas coûter très cher a mettre en place.



Le vrai souci c’est que de nos jours si tu t’appelles pas gmail ou Microsoft, tes mails finissent en spam car ils en ont rien a battre de tes serveurs, même en mettant du spf et dkim. Mais c’est en utilisant leur service que justement on les conforte et on perds la possibilité d’être autonome sur les emails.

votre avatar

oui et non pour beaucoup d’entreprise le mail est critique et necessite une infrastructure redondante.




regis1 a dit:



Le vrai souci c’est que de nos jours si tu t’appelles pas gmail ou Microsoft, tes mails finissent en spam car ils en ont rien a battre de tes serveurs, même en mettant du spf et dkim. Mais c’est en utilisant leur service que justement on les conforte et on perds la possibilité d’être autonome sur les emails.


actuellement j’ai un serveur postfix avec tous les certificats et enregistrement dns de fait et il n’est considéré comme spam nulle part et il a meme une tres bonne note sur des sites de tests

votre avatar

Je parlai du cas de l’article bien evidemment, pas de linfra d’une societe…

votre avatar

the_frogkiller a dit:


Bah j’aimerais bien savoir quelle autre administration fait ce genre de choses. Autant pour une PME je peu le comprendre mais pour l’armée j’ai un peu de mal a voir


Un exemple malheureusement parmi tant d’autre : L’Elysee

votre avatar

ferreol a dit:


Un exemple malheureusement parmi tant d’autre : L’Elysee


Euh. .. c’est un compte twitter difficile de faire un hébergement interne. L’a on parle d’une boîte mail officielle

votre avatar

Tu as raison sur la forme : Un compte twitter != Une boîte mail officielle de relations médias
Et ok, il n’existe aucune alternative française ou européenne a Twitter.
Mais sur le fond : Média officiel d’une administration française relevant du droit US = Média officiel d’une administration française relevant du droit US

votre avatar

aurel_gogo a dit:


Carrefour ? car eux ils sont en full Google


Airbus.



Mais bon, avec Palantir déjà en place (le patron français est l’ancien patron français d’Airbus, ça aide), avoir Google en plus ne va pas changer grand chose…

Pourquoi l’État-major des Armées est autorisé à utiliser Gmail

Fermer