Pendant plusieurs mois, les informations personnelles de milliers de militaires américains, dont certains ont bénéficié d’un accès « top secret » — nécessaire pour travailler dans des agences comme la CIA — étaient disponibles en accès libre sur un serveur Amazon non sécurisé.
C’est ce qu’a découvert la société de cybersécurité Upguard en juillet. Plus de 9 000 documents contenant des informations personnelles — adresse postale et mail, numéro de téléphone, numéros de permis de conduire et de passeport, CV… — étaient ainsi accessibles à la simple condition de saisir l’URL concernée. Et ce jusqu’au 24 août, date à laquelle Amazon Web Services les a supprimés.
Ces documents contiennent aussi les informations personnelles de près d’une vingtaine d’Afghans ou d’Irakiens qui ont collaboré avec l’armée américaine, potentiellement menacés par la fuite de données aussi sensibles. Certains militaires américains travaillaient quant à eux sur des sujets sensibles : l’un d’entre eux était notamment chargé, selon son CV, de transporter les composants d’armes nucléaires et leurs codes d’activation tandis qu’un autre a officié à la prison secrète d’Abou Ghraib.
TigerSwan blâme la négligence d’un prestataire
Si Upguard avait alerté dès la fin juillet l’entreprise de services de sécurité et de défense TigerSwan, celle-ci, sous contrat avec l’armée américaine — notamment pour gérer ces demandes d’embauche — n’a pris la menace au sérieux qu’un mois plus tard, après avoir été contactée par plusieurs journalistes au sujet de cette potentielle fuite de données sensibles.
Dans un communiqué publié le 2 septembre, l’entreprise fondée en 2008 par un ancien militaire précise que son serveur « n’a jamais été victime d’un piratage ». Elle blâme en revanche TalentPen, un cabinet de recrutement prestataire de TigerSwan, chargé de gérer la base de données de ces CV.
TigerSwan explique avoir mis fin à son contrat avec TalentPen en février 2017. Une décision qui a entraîné l’envoi des CV gérés par le prestataire vers le serveur sécurisé de TigerSwan, sur un site de transfert accessible du 6 au 10 février. TalentPen aurait toutefois omis de supprimer les fichiers après leur téléchargement par TigerSwan, ce qui aurait ensuite permis d’accéder librement à ces fichiers grâce à la bonne URL, comme a pu le constater Upguard.
TigerSwan demande une « explication » à Amazon
Depuis, Jim Reese, patron de TigerSwan, s’est excusé : « Nous prenons la sécurité des données très au sérieux, surtout dans cette affaire, parce qu’une majorité des CV provenait [de militaires]. […] Nous présentons nos excuses à nos collègues et à ces [militaires]. La situation a été corrigée et nous avons entamer la procédure nécessaire pour en informer les personnes concernées. »
L’entreprise appelle les personnes ayant mis leur CV en ligne sur le site de TigerSwan entre 2008 et 2017 à la contacter pour prendre d’éventuelles mesures appropriées. Et elle est visiblement remontée contre Amazon et TalentPen, dont elle exige une « explication » pour le manque de sécurisation des fichiers sensibles.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !