Dans la nuit de lundi à mardi, le compte Twitter du ministère de la culture a été détourné pendant plusieurs heures. Le coupable est un adolescent de 13 ans qui a profité des mauvaises pratiques des responsables du compte.

Si vous êtes du genre à vous coucher très tard ou faire des nuits blanches, peut-être avez-vous remarqué une étrange activité sur Twitter dans la nuit de lundi à mardi : en effet, le compte du ministère de la culture, dont le discours est d’ordinaire très policé, a publié pendant plusieurs heures des messages grossiers, parfois insultants, sur le réseau social.

La raison ? Quelqu’un est parvenu à récupérer les accès du compte du ministère de la culture entre une et cinq heures du matin. Si les traces du détournement ont depuis été effacées du site communautaire, les internautes ont été nombreux à immortaliser par des captures d’écran les échanges parfois surréalistes survenus entre celui qui a mis la main sur le Twitter du ministère et les autres utilisateurs :

screens-ministere
Quelques extraits.

Le plus ahurissant dans cette histoire reste quand même la franchise déconcertante — ou l’inconscience, direz-vous peut-être — de l’individu qui a pris possession du compte pendant quelques heures. En effet, il n’a pas vraiment caché qui il était : au fil des messages laissés cette nuit-là, son identité a pu être établie grâce aux indications qu’il a lui-même données.

On sait aujourd’hui que c’est un adolescent de 13 ans et qu’il est le fils de l’une des principales responsables du compte du ministère de la culture et de la communication, ce que nous a confirmé une source proche de la rédaction. Et ce n’est pas en piratant les accès de la Rue de Valois (par exemple dans le cadre d’une campagne de hameçonnage) ou même les bases de données du réseau social que le jeune homme a pu mettre la main sur les codes.

L’histoire est beaucoup plus simple : l’ado a profité de la négligence dont ont fait preuve les responsables du compte Twitter du ministère de la culture. Selon nos informations, l’adolescent a juste eu à ouvrir l’ordinateur de sa mère qui n’avait apparemment pas de verrouillage de session, sans avoir besoin de faire quoi que ce soit d’autre. Et tout ça, depuis chez lui, ce que nous a confirmé notre source.

Dans le cas du ministère de la culture et de la communication, plusieurs personnes gèrent le compte Twitter. Et comme bien souvent, les procédures imaginées au départ pour éviter ce genre de désagrément — comme ne pas noter un mot de passe sur un papier, ramener une clé USB au bureau ou un PC portable professionnel à la maison — ne sont en réalité jamais parfaitement appliquées.

Le problème est situé entre la chaise et le clavier

En clair, pour des raisons de commodité d’emploi, les règles rigides qui sont établies pour éviter tout incident et, le cas échéant, en limiter drastiquement l’étendue et la gravité sont souvent ignorées. Et cette légèreté avec laquelle les consignes ne sont pas appliquées n’est pas propre au ministère de la culture ni même à l’administration. Ce type d’attitude existe partout.

C’est un problème que l’on retrouve par exemple au niveau des mots de passe.

« Les identifiants et les mots de passe sont transmis en  clair et souvent notés sur papier. C’est le cas dans de nombreuses administrations et chez de nombreuses marques », nous explique Stéphanie Laporte, spécialiste en médias sociaux et stratégies numériques, qui a suivi les péripéties du compte Twitter toute la nuit. Une situation anormale mais néanmoins malheureusement courante, que ce soit dans les ministères ou dans le secteur privé.

Réévaluation des pratiques à venir

Avec cet incident, il est à parier que la gestion du compte Twitter du ministère de la culture va être réévaluée afin qu’il ne puisse plus jamais se produire. Plusieurs questions vont aussi devoir se poser sur la façon dont l’identifiant et le mot de passe sont tombés entre les mains de l’adolescent, celui-ci ayant eu accès à un ordinateur dans lequel ils étaient visiblement préenregistrés.

Celles-ci pourront en appeler d’autres : pourquoi l’ordinateur n’avait-il pas un verrouillage automatique de session (qu’il s’agisse du PC portable professionnel ramené à la maison ou du poste familial sur lequel cette responsable principale du compte a visiblement déjà publié des tweets officiels) ? Pourquoi l’authentification à deux facteurs (mot de passe et code envoyé sur un smartphone préalablement enregistré) n’était-elle pas active ?

Pas une nécessité d’intervenir, selon des policiers

Et surtout, comment se fait-il que le détournement ait duré aussi longtemps ? Personne à la Rue de Valois ne semble avoir été été au courant de l’incident avant ce matin. Stéphanie Laporte nous explique en effet qu’une de ses proches travaille pour le ministère en tant que prestataire externe spécialiste dans les réseaux sociaux. Des coups de fil ont été passés de 1h30 à 4h du matin, sans que cela n’aboutisse à quoi que ce soit.

Il a même été question de faire intervenir la police au domicile de cette responsable principale afin de la réveiller et l’informer que quelqu’un — en l’espèce, son fils — publie des sottises sur le compte officiel du ministère de la culture, mais les agents de permanence n’ont pas voulu intervenir, considérant que l’incident ne méritait pas d’envoyer un équipage chez elle.

Rue de Valois
Le ministère de la culture.
CC Mbzt

Il reste à savoir si l’affaire aura des répercussions sur l’adolescent (qui va sans doute avoir une « explication » avec sa mère). Mais si le jeune homme mérite peut-être une punition, bien que son action ait fait plus de peur que de mal, il ne faut pas perdre de vue que sa prise de contrôle du compte Twitter du ministère de la culture n’est que la conséquence d’erreurs commises par d’autres.

Si des mesures doivent être prises, c’est au niveau des responsables du compte, car ils ont la charge d’un compte officiel. Dans cette affaire, il est heureux que l’adolescent n’ait rien dit de vraiment grave. Mais si ça avait été le compte du ministère de la défense ? Ou celui des affaires étrangères ? Quelques tweets imitant de vrais messages auraient pu créer au mieux de la confusion, au pire un incident plus sérieux.

Partager sur les réseaux sociaux