L’état-major des armées partage un mot de passe en clair

Le compte officiel de l'état-major des armées françaises a partagé sur Twitter une photo révélant un mot de passe utilisé lors d'« exercices proches du réel » effectués par un « état-major interministériel ». Le tweet a prestement été effacé, mais plusieurs pages du site web du ministère des Armées continuent à l'afficher.

Le compte officiel de l'état-major des armées (EMA), qui partage sur Twitter « l'actualité des opérations militaires » de l'armée française auprès de quelques 166 000 abonnés, a publié hier une photo révélant un couple identifiant/mot de passe d'une « session Windows » scotchée, en clair et non flouté, sur une baie de brassage informatique.

Cette bourde est d'autant plus embarrassante que le tweet associé vantait précisément les « exercices proches du réel » auxquels s'adonnent les « acteurs de la sécurité » afin de « faire face aux risques naturels, technologiques ou sanitaires, ainsi qu'aux menaces qui peuvent peser sur la population ».

Alerté par @TomDAAVID, un étudiant en M1 à l'ENS de Lyon qui s'intéresse aux enjeux de santé publique des armes, munitions et substances en matière de maintien de l'ordre (ce pourquoi il avait vu passer le tweet), le compte Twitter de l'état-major a retiré le tweet, avant de le republier tel quel, puis de le réeffacer une seconde fois. 

@MrPropagande, le compte Twitter qui s'était ironiquement demandé si « le mot de passe visible en haut à droite fait partie de l'exercice ? », nous a répondu que le tweet aurait été effacé en « moins d'une heure », mais qu'« il est bien resté une petite demi-heure » après qu'il l'ait remarqué, et retweeté.

L'intendance suivra... ou pas

Étrangement, si le tweet a donc prestement été effacé, l'article du ministère des Armées auquel il renvoyait n'a, lui, pas été modifié dans la foulée. Et ce, alors qu'on y retrouve pourtant la même photo, avec le mot de passe en clair, associée à une URL raccourcie intitulée « NOTREDEFENSE » (sic), l'article expliquant pourtant précisément comment « l’État doit préparer des réponses opérationnelles adaptées ».

Le ministère des Armées y indique ainsi qu'« au niveau zonal, cette planification est confiée à l’état-major préfectoral interministériel de zone de défense et de sécurité Ouest, en coordination avec les services de plusieurs ministères. Ce sont les Entraînements interministériels zonaux (EIZ), qui cette année, se sont déroulés de manière adaptée à la pandémie. »

En sécurité informatique, on a coutume de dire et répéter que « le problème est situé entre la chaise et le clavier » (pour « Problem Exists Between Chair And Keyboard », ou PEBCAK), et notre article ne vise bien évidemment pas à nuire à qui que ce soit, a fortiori parce que la responsabilité est certainement partagée, au vu du nombre de personnes impliquées, ce que cette bourde permet d'illustrer.

Ce n’est dans tous les cas pas la première bourde du genre – TV5 Monde en avait fait les frais il y a quelques années par exemple – ni la dernière malheureusement. 

Plus de cinquante personnes impliquées

L'article, emblématique du syndrome « faites ce que je dis, pas ce que je fais », donne en outre la parole à un général de brigade aérienne qui explique que ces « moyens interministériels » reposent notamment sur « l'implication des armées », et que « nous mettons à disposition » des Écoles militaires, ainsi qu'une base aérienne.

Une préfète déléguée à la sécurité, ainsi qu'un sous-préfet, avaient à ce titre assisté au déroulé des différents exercices « depuis le Module d'appui à la gestion de crise (MAGeC) », du nom donné aux camions de la sécurité civile chargés de servir de PC de crise en cas d'évènement majeur, et à l'intérieur duquel la photographie a été prise :

« Ces entraînements permettent de travailler la gestion de la crise au niveau stratégique. Cela permet aux opérateurs, travaillant ensemble, d’apprendre à se connaître, à se comprendre, et à échanger sur leurs problématiques au niveau opératif. Dans cette ambiance interministérielle, le travail est fait sur la coordination des moyens. »

L'article précise au surplus que « l'objectif est de préparer certaines échéances, comme la coupe du monde de rugby et les JO 2024 », mais également que « cette année, le format était réduit à une cinquantaine de participants du Maine-et-Loire et de la Sarthe, venant des Agences régionales de santé, des services hospitaliers, des militaires, policiers et gendarmes, et militaires de la zone Ouest » :

« La concertation et la coordination interministérielles dans la lutte anti-terroriste et la prévention des risques Nucléaires, radiologiques, biologiques et chimiques ou explosifs (NRBC-E) sont au centre de ces entrainements. »

Où l'on découvre donc qu'aucun de la cinquantaine de participants à cet exercice interministériel « stratégique », pas plus que les communicants de l'état-major des Armées, ne s'était donc aperçu qu'un mot de passe figurait en clair sur la photographie censée l'illustrer et que ce n’était évidemment pas une bonne idée… 

Impossible en l’état d’établir les responsabilités, mais qui dit « interministériel » dit responsabilité partagée. Plusieurs personnes auraient donc pu éviter la boulette, en premier lieu celles dans la salle, celle qui a pris la photo et celles qui l'ont mise en ligne et partagée sur Twitter et le site web du ministère des Armées.

« Faire travailler ensemble tous les intervenants »

L'article explique pourtant que son objectif était de « faire travailler ensemble tous les intervenants, sur tous les échelons de commandement, dans des simulations d'attentats pouvant avoir des conséquences NRBC-E » :

« L’exercice est construit autour d’un "serious game" dans un exercice de type "caisse à sable" à partir d'une photo satellite très détaillée de la zone d'incident et de modèles réduits des matériels et personnels, mis en place par le Centre national civil et militaire de formation et d'entraînement (CNCMFE) NRBC-E. »

Un lieutenant-colonel explique y avoir été impliqué, « au niveau tactique, avec un chef de groupe SENTINELLE et un représentant de la délégation militaire départementale pour jouer la coordination haute avec l'échelon préfectoral. Il faut que l'exercice soit joué avec la réalité de ce que serait l'engagement de nos militaires sur le terrain ».

Un sergent y précise que son rôle était de son côté de « renforcer les Forces de sécurité intérieures en sécurisant une zone en parallèle avec la gendarmerie, en relation avec mon chef de section et le délégué militaire départemental » (DMD).

Le rôle de ce DMD, explique le ministère des Armées, était d'« avoir le commandement tactique des militaires sur la zone, pour cet exercice, mais aussi dans la réalité » :

« Dans le MAGeC, les autorités sont rassemblées et peuvent suivre la situation et décider des actions à entreprendre. Mon rôle est de conseiller le préfet en ce qui concerne tous les services que peuvent offrir les armées. Nous avons des militaires en place qui remplissent une mission sous le commandement opérationnel de la gendarmerie. Ils me rendent compte de la situation. Cela me permet de dialoguer avec les autorités et de proposer les renforts possibles des armées en fonction de l'évolution de la situation. »

L'article vante en conclusion un « outil puissant pour l'entraînement interministériel », mais également que « les EIZ seront renouvelés à l'automne, avec un format "grandeur nature", soit 400 participants des départements de la zone Ouest, en fonction de l'évolution de la situation sanitaire. »

« Plus de 13 000 militaires sont engagés »

Il relève également en incise que « plus de 13 000 militaires sont engagés au quotidien dans la protection du territoire national » :

« Cette mission de protection du territoire est globale et interarmées. Elle comprend les militaires de l’opération Sentinelle et les postures permanentes de sûreté aériennes et de sauvegarde maritime, auxquelles s’ajoutent les missions ponctuelles de service public destinées à porter secours aux populations. »

Gageons que cette bourde servira de RETEX (pour « retour d’expérience », dans le vocable militaire) aux nombreux participants à venir à ces futurs exercices interministériels. Le Centre de doctrine et d'enseignement du commandement le qualifie en effet de « système qui contribue à l’amélioration de l’outil de défense en participant à son évaluation au contact des réalités et en proposant des solutions aux déficiences constatées » :

« Le RETEX a pour fonction de rechercher des informations émanant des opérations ou des exercices, de les exploiter pour les traduire en enseignements qui conduiront à des adaptations. »

Et ce, a fortiori parce ses finalités visent entre autres à signaler « les dysfonctionnements et les déficiences observés afin de pouvoir y remédier », de sorte de pouvoir améliorer « la contribution au rayonnement des armées françaises. »

On notera à ce titre qu'une recherche image inversée révèle en outre que la photo, et l'article associé, ont été publiés sur (au moins) 5 autres pages web du ministère des Armées...

De surcroit, la photo postée sur le site web du ministère des armées, qui est de bien meilleure résolution que celle qui avait été partagée sur Twitter, permet en outre d'identifier le numéro de téléphone du Module d'appui à la gestion de crise (MAGeC) impliqué.

La bourde n'aurait certes guère été relayée, mais d'aucuns ironisent également quant au fait que « le choix de MDP laissait à désirer », à mesure qu'il n'était constitué que de 3 majuscules suivies de 3 minuscules (choisies, au surplus, en fonction de leurs positions sur le clavier, de type AZErty), puis d'un banal « ?! ». Occasion de rappeler notre article sur le choix d’un bon mot de passe, mais donc aussi de préciser qu'il pourrait d'ailleurs être opportun de privilégier la notion de « phrase de passe »…

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter