À moins de vivre dans une cave, coupé de toutes informations, il semble difficilement imaginable que vous soyez passé à côté de la « boulette » du gouvernement américain concernant l’opération militaire au Yémen... au cas où, petit retour sur les évènements : en temps normal, les membres du gouvernement américain doivent discuter des sujets sensibles par des canaux bien spécifiques, et gérés en partie par le Pentagone. Or, récemment, une petite équipe dirigée par le vice-président J.D. Vance a utilisé Signal, qui n'a rien d'autorisé pour ce genre de conversations. En plus de cette légèreté, une autre gaffe s'est cumulée : un rédacteur du journal The Atlantic a été ajouté dans le groupe de discussion par mégarde, se retrouvant ainsi malgré lui en plein milieu de la préparation d'une opération militaire au Yémen. En dehors des considérations politiques que nos confrères généralistes n’ont pas manqué de commenter, que tirer de cet épisode malheureux ?
Le fonctionnement « normal » des choses
De tout temps, les membres d’un gouvernement ont été dans la nécessité de communiquer entre eux : que ce soit pour de banales réunions, ou pour discuter de choses bien plus sensibles, il est indispensable de rester en contact.
Pour ça, plusieurs méthodes ont été utilisées au fil du temps, visant à chaque fois à rendre les conversations les plus discrètes et fermées possibles : il serait embêtant qu’un ennemi de la nation, ou un adversaire politique puisse avoir accès à des informations qui pourraient lui donner un avantage.
En France, les discussions les plus discrètes sont passées normalement (j’ai bien dit, « normalement »...) depuis 2011 par un système sécurisé sous la forme d’un téléphone portable à clapet (oui, le comble du futur), le Teorem de Thalès, puis ensuite par une solution logicielle développée par Ercom, filiale de Thalès (oui, encore eux). Ce qui permet entre autres les communications sur le réseau sécurisé Rimbaud (oui, on aime les rétro-acronymes dans l’Armée et l’administration en général) pour la voix. Pour les messages textes et autres pièces jointes, le réseau ISIS est utilisé (pour les ministères, l’Armée c’est encore une autre histoire).
Aux USA, le gouvernement utilise bien entendu des réseaux sécurisés similaires, à savoir comme le rappelle Bloomberg le SIPRnet (Secret Internet Protocol Router network) pour les documents classifiés secret ou le JWICS (Joint Worldwide Intelligence Communications System) pour les documents Top Secret. Ou, en tout cas, il est « normalement » (encore une fois...) tenu de le faire, comme le rappelle un mémo interne aux personnels du Pentagone récupéré par NPR.
Quand le quotidien dévie du standard
Malheureusement, comme chacun le sait, la théorie et la réalité sont deux choses différentes (comme dirait Desproges, « Si je pouvais, j’irais vivre en Théorie, parce qu’en Théorie, tout se passe bien ») : les réseaux militaires sécurisés sont souvent austères, peu pratiques, et perclus de lourdeurs d’usage... et que fait l’humain dans ce genre de situation ? Il finit tout simplement par utiliser une méthode plus simple, sans penser aux conséquences.
Si le cas révélé par The Atlantic ces derniers jours est emblématique de par le trou béant qu’il représente dans la sécurité des communications du gouvernement américain, c’est loin d’être le seul... bien plus près de nous, quelques membres du gouvernement français d’il y a quelques années ont bien souvent préféré passer par des messageries type BlackBerry, ou plus récemment Telegram, plutôt que d’utiliser l’austère Teorem.
Quand on est pris la main dans le pot de confiture...
Si dans le cas américain la personne invitée par erreur ne pouvait pas plus mal tomber, la communication de crise qui en a résulté n’est pas forcément plus éclairée que l’erreur initiale n’est inévitable : si Pete Hegseth et Tulsi Gabbard, pour ne citer qu’eux, tentent de minimiser la bourde en jurant à qui veut l’entendre qu’aucune information classifiée n’a été partagée, la défense est plutôt bancale, et risque rapidement de leur revenir dans la figure : n’étant pas Steve Jobs, ils n’ont pas de champ de distorsion de la réalité dans leurs compétences.
The Atlantic étant attaqué et sa réputation mise en doute par les allégations du gouvernement, ils en ont d’ailleurs rajouté une couche, partageant cette fois des bribes de conversation bien plus sensibles que dans l’article de départ.
Revenir aux principes de base
Que ce soit pour une équipe gouvernementale ou pour la communication interne d’une entreprise, ce cas d’école rappelle des principes de base, souvent oubliés, quasi systématiquement casse-pieds, mais pourtant importants voire vitaux : si les responsables informatiques conseillent d’utiliser un moyen de communication plutôt qu’un autre concernant les dossiers sensibles, ce n’est pas pour rien. La plupart du temps, utiliser un moyen de communication qui paraît plus pratique ne paraît pas risqué, et la chose passera inaperçue.
Mais il suffit d’une fois, juste une fois où une personne étrangère à la conversation y accède, où un mot de passe un peu trop léger aura été employé, où un lien aura été cliqué sans faire attention, où...
Généralement l’hygiène informatique est relativement simple, ou en tout cas les responsables IT font tout pour qu’elle le soit. Il est facile de se dire qu’elle est trop casse-pieds. Mais les conséquences pouvant être sévères, mieux vaut suivre ces précautions de base.
