Zoom. Une dizaine d’officiers de l’armée suisse se sont inscrits sur le site coquin Ashley Madison avec leur e-mail du travail. Cette faute expose la Confédération.
François Pilet
L’armée suisse est-elle une réserve de techno-ploucs? La question se pose après la divulgation sur l’internet des données du site de rencontres Ashley Madison. Parmi les 35 millions d’adresses e-mail d’utilisateurs du site se trouvent plus de 20 fonctionnaires de l’administration fédérale. La moitié provient des rangs de l’armée suisse.
Ces fonctionnaires, parmi lesquels figurent plusieurs gradés de haut rang, ont commis une faute si évidente qu’elle est à peine compréhensible. L’utilisation d’une adresse gratuite de n’importe quel fournisseur comme bluewin.ch ou gmail.com (du genre RoboCop69@gmail.com) aurait suffi à protéger efficacement leur identité sur le site, et à séparer leur vie privée du travail. Mais en utilisant leur adresse professionnelle, ces fonctionnaires ont laissé apparaître leur identité et leur département en toutes lettres dans la base de données d’Ashley Madison. Et lorsque les pirates l’ont éventrée, ces informations très privées reliées à leur nom se sont répandues en quelques heures partout sur le web. Cette erreur de jugement pourrait avoir de lourdes conséquences.
C’est le cas du sergent-chef M. H.*, qui s’était inscrit sur Ashley Madison sous le pseudo Refectobil en 2010 et dont le nom s’étale aujourd’hui dans les données volées. Pour ne rien arranger, les préférences sexuelles et les descriptions de profils y apparaissent parfois. Le lieutenant-colonel F. B., par exemple, sillonnait Ashley Madison à la recherche de «tentations», sous le pseudo Leomax.
Une formidable imprudence
A en croire leurs profils, la plupart des militaires suisses piégés sur le site étaient âgés de plus de 50 ans. Mais pas tous, et c’est là que les choses deviennent particulièrement inquiétantes. H. Z., par exemple, était fraîchement émoulu de l’Académie militaire de l’EPFZ. Un an après son passage dans la prestigieuse académie, «centre de compétence pour la formation au commandement», le jeune major s’inscrivait sur Ashley Madison avec son adresse e-mail fédérale.
Ces fonctionnaires n’ont pas seulement commis une formidable imprudence. Ils ont aussi violé les règles imposées par leur employeur, qui interdit toute utilisation privée de l’e-mail au travail. «L’utilisation des adresses électroniques professionnelles – en lien avec l’affaire que vous mentionnez – n’est pas autorisée», confirme Karin Suini, porte-parole du Département fédéral de la défense (DDPS). Les fonctionnaires en question s’exposent à «des sanctions disciplinaires qui, en fonction de la gravité des faits, vont de l’avertissement à la cessation des relations de travail». Une «clarification interne est actuellement en cours en lien avec cette situation», indique encore le DDPS.
Car la bourde des officiers n’expose pas seulement leur vie privée. En laissant apparaître des informations sensibles dans le tréfonds du web, ils ont peut-être involontairement mis en danger la Confédération. Rien de moins.
Grave menace
Les fonctionnaires s’exposent en effet à des tentatives d’extorsion ou de profilage poussé par des individus mal intentionnés. Les recherches de L’Hebdo montrent qu’un des officiers utilisait le même pseudo sur Ashley Madison et sur plusieurs autres sites de rencontres, égrenant à chaque fois des informations supplémentaires sur ses activités privées et ses goûts sexuels.
Pire: les données pillées par les hackers comprennent notamment une version cryptée des mots de passe des utilisateurs. Si le sésame a été créé avec soin, composé d’au moins une dizaine de chiffres et de lettres en minuscule et en majuscule, les pirates ne pourront pas le décoder. Mais si le mot de passe choisi est faible – du type «passwort1234» – il leur suffira de quelques minutes pour le retrouver. Vu le profil de techno-ploucs des fonctionnaires pincés, l’avocat stagiaire François Charlet s’inquiète: «On sait bien que la plupart des gens ont des mots de passe trop faibles, et les réutilisent tout le temps. On peut imaginer que ces fonctionnaires ont pu enregistrer le même sur Ashley Madison et sur d’autres services professionnels, comme pour des accès au réseau.»
Pour François Charlet, la Confédération a «intérêt à agir rapidement» pour parer à cette menace, en obligeant par exemple tous les employés à changer leur mot de passe. A défaut, certains de ses services pourraient subir le même sort que le site Ashley Madison.
* Les initiales et les noms d’utilisateurs ont été changés.
