Oups, des soldats U.S. ont détaillé la sécurité de leurs bases nucléaires à tout Internet
Par de simples requêtes sur un moteur de recherche, il était possible d'accéder à des centaines de fiches de révision créées par des soldats américains.
Les auteurs des fiches s'en servaient pour se tester sur les protocoles de sécurité extrêmement complexes de ces bases, qu'ils doivent connaître sur le bout des doigts. Mauvaise idée : ils ont révélé par inadvertance de nombreux détails sensibles sur les ogives nucléaires et leurs protections.
À l'origine de cette découverte, partagée le 28 mai 2021, se trouve Bellingcat, média spécialisé dans l'enquête en source ouverte, c'est-à-dire à partir des ressources et outils accessibles sur le web. Pour parvenir à ce résultat, les journalistes ont tout simplement recherché certains mots clés spécifiques au secteur de l'armement nucléaire comme « PAS » (des hangars de protection contre les frappes aériennes), « WS3 » (nom donné à l'ensemble du système de sécurité) ou « Vault » (pour abri antiatomique, où sont stockées notamment les ogives).
Ils ont ainsi accédé à des dizaines de fiches créées entre 2013 et avril 2021 pour les plus récentes. En parcourant ces documents, les enquêteurs ont appris de nouveaux acronymes et termes spécifiques aux bases, dont ils ont pu se servir pour lancer d'autres recherches et découvrir encore plus de fiches. Après que les journalistes aient contacté l'armée américaine et l'OTAN, tous les documents compromettants ont disparu d'Internet.
Toujours regarder l'accessibilité d'un document
L'erreur des soldats ? Avoir utilisé des logiciels de création de fiches de révision grand public comme Chegg, Quizlet ou Cram. C'est déjà la preuve d'un manque d'éducation au secret de l'information. En cas de fuite de données ou de piratage des entreprises citées -- qui ne répondent pas à des normes de sécurité particulières --, les détails confidentiels auraient de toute manière été compromis.
Mais l'erreur va bien plus loin : les soldats n'ont même pas fait attention à l'accessibilité de leurs fiches. Comme le détaille Bellingcat, certaines plateformes indiquent clairement que les documents seront visibles par n'importe qui, tandis que d'autres précisent simplement qu'il faut modifier certains paramètres pour que les fiches restent confidentielles.
Pêle-mêle, les pense-bêtes des soldats révèlent toute sorte de détails plus ou moins exhaustifs selon les bases :
L'emplacement des bases nucléaires, et le nombre d'abris antiatomiques de chacune d'entre elles.
Quels entrepôts « chauds » (terme utilisé dans les fiches) hébergeraient actuellement des armes nucléaires.
La position des caméras de sécurité sur la base.
La fréquence des patrouilles de sécurité.
Des identifiants : phrases secrètes d'accès, détails sur la construction de mots de passe spécifiques.
Les signaux d'alerte utilisés par les soldats.
Cet incident est une nouvelle preuve que l'éducation des individus aux problèmes de cybersécurité est souvent plus importante que les protocoles de sécurité eux-mêmes. Et c'est aussi un bon rappel qu'une fuite de données ne vient pas toujours d'une cyberattaque (bien au contraire).
Bellingcat rassure : le scénario où ces informations serviraient à une attaque terroriste est hautement improbable. En revanche, le contenu des fiches a une haute valeur stratégique pour les pays, alliés comme ennemis des États-Unis.