Les données personnelles sensibles -- numéros de téléphone, adresse, permis de conduire... -- d'anciens militaires américains sont restées disponibles en ligne pendant plusieurs mois sur un serveur non sécurisé. L'entreprise concernée nie tout piratage et blâme la négligence d'un prestataire.

Pendant plusieurs mois, les informations personnelles de milliers de militaires américains, dont certains ont bénéficié d’un accès « top secret » — nécessaire pour travailler dans des agences comme la CIA — étaient disponibles en accès libre sur un serveur Amazon non sécurisé.

C’est ce qu’a découvert la société de cybersécurité Upguard en juillet. Plus de 9 000 documents contenant des informations personnelles — adresse postale et mail, numéro de téléphone, numéros de permis de conduire et de passeport, CV… — étaient ainsi accessibles à la simple condition de saisir l’URL concernée. Et ce jusqu’au 24 août, date à laquelle Amazon Web Services les a supprimés.

Ces documents contiennent aussi les informations personnelles de près d’une vingtaine d’Afghans ou d’Irakiens qui ont collaboré avec l’armée américaine, potentiellement menacés par la fuite de données aussi sensibles. Certains militaires américains travaillaient quant à eux sur des sujets sensibles : l’un d’entre eux était notamment chargé, selon son CV, de transporter les composants d’armes nucléaires et leurs codes d’activation tandis qu’un autre a officié à la prison secrète d’Abou Ghraib.

Le logo de TigerSwan, qui se vante de fournir des « solutions à l’incertitude »

TigerSwan blâme la négligence d’un prestataire

Si Upguard avait alerté dès la fin juillet l’entreprise de services de sécurité et de défense TigerSwan, celle-ci, sous contrat avec l’armée américaine — notamment pour gérer ces demandes d’embauche — n’a pris la menace au sérieux qu’un mois plus tard, après avoir été contactée par plusieurs journalistes au sujet de cette potentielle fuite de données sensibles.

Dans un communiqué publié le 2 septembre, l’entreprise fondée en 2008 par un ancien militaire précise que son serveur «  n’a jamais été victime d’un piratage ». Elle blâme en revanche TalentPen, un cabinet de recrutement prestataire de TigerSwan, chargé de gérer la base de données de ces CV.

TigerSwan explique avoir mis fin à son contrat avec TalentPen en février 2017. Une décision qui a entraîné l’envoi des CV gérés par le prestataire vers le serveur sécurisé de TigerSwan, sur un site de transfert accessible du 6 au 10 février. TalentPen aurait toutefois omis de supprimer les fichiers après leur téléchargement par TigerSwan, ce qui aurait ensuite permis d’accéder librement à ces fichiers grâce à la bonne URL, comme a pu le constater Upguard.

TigerSwan demande une « explication » à Amazon 

Depuis, Jim Reese, patron de TigerSwan, s’est excusé : « Nous prenons la sécurité des données très au sérieux, surtout dans cette affaire, parce qu’une majorité des CV provenait [de militaires]. […] Nous présentons nos excuses à nos collègues et à ces [militaires]. La situation a été corrigée et nous avons entamer la procédure nécessaire pour en informer les personnes concernées. »

L’entreprise appelle les personnes ayant mis leur CV en ligne sur le site de TigerSwan entre 2008 et 2017 à la contacter pour prendre d’éventuelles mesures appropriées. Et elle est visiblement remontée contre Amazon et TalentPen, dont elle exige une « explication » pour le manque de sécurisation des fichiers sensibles.

Partager sur les réseaux sociaux