En janvier dernier, le député François Cornut-Gentille interrogeait le ministère des Armées au sujet de Gmail : « le bureau relations médias de l'État-major des armées transmet des communiqués et dossiers de presse en mentionnant, pour courriel, "[email protected]". Le recours à une adresse mail à partir d'un service de messagerie électronique contrôlé par une société américaine ne manque pas de surprendre » et constituerait, à l'en croire, « une porte d'entrée dans les réseaux du ministère des armées et donc une faille majeure de sécurité ».
Il voulait dès lors comprendre « les raisons qui empêchent le bureau relations médias de l'État-major des armées de disposer d'une adresse de messagerie référencée sur un serveur gouvernemental sécurisé. »
En réponse, le ministère vient de lui répondre que cette utilisation de Gmail « est réalisée dans des conditions de sécurité maitrisées » à mesure qu'« aucune information classifiée ne transite par Gmail », que les communiqués et dossiers de presse « sont des documents librement accessibles » et que les documents échangés « ne comportent aucune information sensible ».
De plus, « Gmail fonctionne de manière cloisonnée par rapport aux réseaux internes du ministère des armées », tout en étant « soumise au filtrage sécurisé qui s'applique à l'ensemble des sites visités depuis les navigateurs Internet autorisés (...) et non depuis un logiciel de messagerie ».
Commentaires (39)
#1
Encore le résultat de la tristesse des services IT internes et notamment des services IT gouvernementaux où il faut 3 mois et 14 ramettes de paperasse contresignées 38 fois pour obtenir une boite mail…
#1.1
Ou tout simplement parce que c’est peut-être utile d’avoir une adresse «banale» et jetable dans certains cas?
Je suppose qu’il est un peu plus simple d’avoir une adresse mail qu’un accès internet débridé sur ce type de SI ;)
#2
Qu’ils aient fait le choix d’avoir une boite externe pour les communiqués public pourquoi pas (même si c’est très largement discutable), mais pourquoi avoir choisi l’un des moins recommandable fournisseur possible, c’est pas comme s’il n’y avait pas des fournisseur Fr. Ça sent la réponse d’un utilisateur du moindre effort qui mange au MacDo tous les midi.
#3
Non, c’est impossible ça… surtout pour de la relation presse (donc de la comm’) quoi…
c’est comme si tu disais que ça peut être utile d’avoir un site web gouvernemental “banal” en xxx.wix.com
Surtout que les problèmes que je décris sont réels et bien connus…
#4
Je trouve ça assez moyen quand même.
#5
Et un serveur mail isolé du reste n’était pas possible ?
#6
Ben sur des événements ponctuels (et en comm’ ça existe beaucoup) ça ne me choque pas, bien au contraire.
#7
possible que ça ai changé, mais à l’époque où j’y bossais, c’était trèèèèèèèèès loin d’être comme ça. 2 signatures sur un doc et dans la journée ton mail était créé.
rien n’ai jamais impossible, mais l’isolation des (trois) réseaux c’est un truc avec lequel ils ne rigolent pas. tu n’as même pas le droit d’avoir un même écran ou une même imprimante partagés entre les différents postes, même via switch mécanique (enfin c’était la règle à l’époque)
#8
Qui l’installe?
Où?
Quoi? (Y compris redondance, sauvegardes, liens réseau, …)
Qui l’exploite?
Attention à ne pas confondre un serveur d’une chambre d’étudiant avec un vrai projet industriel.
Surtout quand (il y a eu des news ici encore récemment sur les difficultés de recrutement) la fonction publique n’a pas les moyens humains de tout faire.
#9
Des communicants ne sont pas des informaticiens… ont-ils au moins conscience des risques? Je présume que non, et il ne me semble pas correct de les clouer au pilori pour ça.
#9.1
Seulement les communicants font partie de “Directions” très préoccupées de leur prérogatives et qui considèrent l’informatique uniquement comme un centre de coût qui ne doit pas entraver leurs programmes et décisions.
A ce titre, elles font ce qu’elles veulent, choisissent les prestataires qu’elles veulent et compte tenu du moyen de pression politique qu’est le financement du budget des DSIs, celles-ci sont obligées de plier dans la pluapart des cas.
-
#10
Je me demande si ils n’ont pas aussi pris Gmail pour mieux passer les filtres anti-SPAM (les auohébegeurs galèrent même avec SPIF, DKIM & consors)
#11
Franchement c’est très discutable. On en a des prestataires de mails en france et même des pas chers, pourquoi aller sur gmail ? Les caisses sont à sec à ce point ??
#12
Hummm qu’est ce que vous racontez? Ce n’est pas mon métier je suis développeur mais je comprend les problématiques d’ajout d’une serveur dans un SI. Franchement si l’armée n’est pas capable de faire un serveur isolé…
#12.1
C’est pas qu’elle est pas capable, c’est que le faire pour échanger des communications publiques qui seront visibles sur l’AFP 10min après, c’est de l’overkill.
Que l’armée utilise une boite mail gratuite d’un provider ultraconnu pour envoyer des éléments qui pourraient être sur un flux RSS, qu’est-ce qu’on en a à faire ? Et puis ça permet d’externaliser toutes les problématiques de SPIF et autres pour une random messagerie.
#12.4
Et voilà, c’est comme ça que ça commence : La non maîtrise de ses infrastructures par pure fainéantise et incompétence technique des SI interne outre les pressions budgétaires.
-
#12.2
une infra mail on premise on commence a environ 100 k€ pour de la haute dispo pour a peu pres 1000 utilisateurs, je te laisse faire le calcul…
#12.3
Sauf que c’est dans le cas d’Azure, le coût de la BAL est le prix d’appel pour mettre le doigt dans le plan de licencing Azure MS qui finit par te bouffer le bras… et le reste.
#13
ça veut dire qu’il n’est pas possible de se connecter à cette boîte mail gmail depuis un PC n’étant pas géré par le ministère de la défense ? Ou bien c’est une barrière en plastique mou ?
#13.1
Ah, moi aussi ce passage m’a fait tiquer !
« Ça passe par le navigateur et pas par un client mail donc c’est bon »
Mouais…
Que je sache, on ne peut pas déployer d’instance gmail protégée par je ne sais quoi, si y a une boîte gmail on peut y accèder de n’importe où, d’un Starbucks ou d’un wifi non sécurisé dans un hôtel en Chine…
À moins, peut-être, qu’ils aient déployé un firewall Open-office, c’est hyper puissant comme truc mais je maîtrise pas bien.
#13.2
En matière de sécurité des accès Google est quand même assez paranoïaque …
Nous utilisons une boite gmail partagée pour le conseil syndical de ma copropriété, et certains n’arrivent quasi jamais à se connecter parce que Google bloque direct.
#14
Bah j’aimerais bien savoir quelle autre administration fait ce genre de choses. Autant pour une PME je peu le comprendre mais pour l’armée j’ai un peu de mal a voir
#14.1
L’armée communique avec l’extérieur, et heureusement! Tout ce qu’elle communique n’a pas forcément vocation à être protégé. D’une part ça n’a pas de sens de dépenser dans une protection plus d’argent que ce que tu perdrais si le risque dont tu protège se réalisait. D’autre part il n’est pas toujours possible d’imposer le niveau de sécurité de ton choix aux entités tierces avec lesquelles tu échanges.
A partir du moment où tu n’a besoin d’aucune protection, gmail n’est pas pire que n’importe quel autre, et au moins tu es à peu près sûr de ne pas te faire bloquer par erreur. C’est triste, mais c’est comme ça. Gmail s’amuse à bloquer des domaines d’émission de façon arbitraire avec parfois des conséquences désastreuses pour les personnes concernées, mais personne ne peut prendre le risque de bloquer gmail.com.
#14.2
C’est pas de la technique, c’est de l’orga. (phrase que je dois répéter 40 fois par jour au boulot je pense)
C’est à cause des DSI mal organisées que le shadow-IT se répand. Et après ça devient difficile d’en sortir et c’est comme ça qu’on se retrouve avec des souscriptions AWS/Azure/GCP/whatever incontrôlées et ouvertes aux 4 vents.
C’est assez difficile à concevoir, mais quand on travaille de manière transverse dans la chaîne de valeur on s’en aperçoit très rapidement. Par contre sans volonté de la part du management, ça persiste.
#15
J’ai fait une mission sur un projet au sein du ministère (mission non top secret, c’était de la compta
.. ), les PC “de travail” ne sont pas sur le réseau Internet mais juste en réseau sur un intranet fermé.
Il y a juste quelques rares PC par-ci par-là (dans les salles de pause café notamment), qui eux ne sont pas connectés au réseau du ministère mais à Internet.
Qu’il y ait du gmail, j’y vois quand même 2 avantages:
#15.1
Il peut arriver qu’un con crée une passerelle entre les 2 réseau pour ce faciliter la vie.
#16
Le con (qui ne l’est pas tant que ça: je serais étonné que les utilisateurs soient également administrateurs) finirait alors en taule direct.
#17
pour travailler dans la messagerie (exchange) une plateforme mail c’est pas donné et les entreprises semblent s’y retrouver mieux (economiquement) chez gmail que chez microsoft. Une certaine grande entreprise française à décider de s’y mettre et plus ça va plus c’est n’importe quoi, mais lobbysme oblige ils iront dedans quoi qu’il coute question d’honneur. Quelle bêtise…
#18
même au plus haut niveau de responsabilité, ils ne font pas ça, et pourtant dieu sait que ça peut etre casse couille.
on parle quand même de l’armée, on est un (petit) cran au dessus de la moyenne en ce qui concerne les prises de conscience des risques
#19
Carrefour ? car eux ils sont en full Google
#19.1
Plusieurs boîtes du groupe Mulliez sont chez Google Apps for Business ou Microsoft 365 aussi.
#20
Une boite mail @qwant.fr ferait tout de suite plus sérieux
#21
Faut comparer ce qui est comparable, là c’est une adresse email. Y’a pas 1000 utilisateurs, si le serveur tombe y’a pas mort d’homme les serveurs SMTP attendront que le serveur revienne pour lui renvoyer les emails en attente (si quelqu’un réponds a cette adresse). Bref ça doit pas coûter très cher a mettre en place.
Le vrai souci c’est que de nos jours si tu t’appelles pas gmail ou Microsoft, tes mails finissent en spam car ils en ont rien a battre de tes serveurs, même en mettant du spf et dkim. Mais c’est en utilisant leur service que justement on les conforte et on perds la possibilité d’être autonome sur les emails.
#21.1
oui et non pour beaucoup d’entreprise le mail est critique et necessite une infrastructure redondante.
actuellement j’ai un serveur postfix avec tous les certificats et enregistrement dns de fait et il n’est considéré comme spam nulle part et il a meme une tres bonne note sur des sites de tests
#21.2
Je parlai du cas de l’article bien evidemment, pas de linfra d’une societe…
#22
Un exemple malheureusement parmi tant d’autre : L’Elysee
#23
Euh. .. c’est un compte twitter difficile de faire un hébergement interne. L’a on parle d’une boîte mail officielle
#23.1
Tu as raison sur la forme : Un compte twitter != Une boîte mail
officiellede relations médiasEt ok, il n’existe aucune alternative française ou européenne a Twitter.
Mais sur le fond : Média officiel d’une administration française relevant du droit US = Média officiel d’une administration française relevant du droit US
#24
Airbus.
Mais bon, avec Palantir déjà en place (le patron français est l’ancien patron français d’Airbus, ça aide), avoir Google en plus ne va pas changer grand chose…