La Police de l’État du Massachusetts (MSP) a accidentellement mis en ligne une partie de son OPSEC sur Twitter mardi soir, en uploadant une capture d’écran qui révélait des bookmarks au niveau de son navigateur, contenant des liens vers une série d’organisations de gauche de la ville de Boston, que cet Etat surveillait secrètement !
The Massachusetts State Police deleted a tweet featuring this image, highlighting the houses effected by a gas explosion on the map. Can you tell why it was deleted? The police were spying on Left-Wing groups which you can see on their favorited list. pic.twitter.com/EDUEk6zU0J
— Collin Fisher (@CollinFisher) 14 septembre 2018
La capture d’écran tweetée a montré que la MSP a bookmarqué des groupes d’activistes, y compris MAAPB (Mass Action Against Police Brutality), COMBAT (Coalition to Organize and Mobilize Boston Against Trump) et Resistance Calendar.
Mercredi, la MSP a publié une déclaration à propos de ces bookmarks, précisant que la police avait…
… comme responsabilité de connaître tous les grands rassemblements publics de tout type et de tout groupe, quel que soit leur but et leur orientation, pour des raisons de sécurité publique. Nous ne recueillons pas d’informations sur les croyances ou les opinions d’un groupe en particulier, et pour être franc de tels renseignements ne nous intéressent pas.
Dans ce cas précis, comme le montrent les réponses sur Twitter, cette fuite a passablement énervé les gens qui se méfient déjà de la surveillance policière et de sa soi-disant impartialité. Mais les bookmarks qui ont été divulgués sont embarrassants, peu importe ce qu’ils ont montré !
C’est embarrassant car il s’agit d’une importante négligence au niveau du traitement des données, qui a débouché au final sur la divulgation d’informations qui n’étaient manifestement pas destinées à être partagées publiquement.
Bien entendu, la MSP est loin d’être la seule organisation qui laisse échapper des données qui ne sont pas nécessairement destinées à être divulguées publiquement.
L’exemple le plus récent est apparu en janvier dernier, lorsque, au cours d’une fausse alerte concernant un missile balistique, une photo d’Associated Press, prise au siège de l’Hawaii Emergency Management Agency (HI-EMA), montrait un post-it jaune collé sur un écran d’ordinateur, sur lequel sans aucun doute figurait un mot de passe, à la vue de tous, y compris celle d’un photographe de presse qui s’est empressé de la diffuser dans le monde entier !
Ensuite, il y a eu le cas de Luiz Dorea, responsable de la sécurité lors de la Coupe du monde 2014. Une belle photo de Dorea, prise dans le centre de sécurité ultramoderne pour suivre les matches, devant son mur vidéo géant et son personnel en plein travail, et avec bien sûr le SSID Wi-Fi et le mot de passe bien en vue, au niveau du grand écran derrière lui… Juste sous l’adresse email interne secrète utilisée pour communiquer avec une agence gouvernementale brésilienne.
C’est le genre d’erreur que la famille royale peut vous aider à corriger. Plus précisément, le prince William. Il devrait s’en rappeler : en effet, il a une certaine expérience en matière d’identifiants affichés en arrière-plan. Cela s’est produit lorsqu’il était pilote d’hélicoptère de recherche et de sauvetage pour la Royal Air Force (RAF), et quand les journalistes ont passé une “journée à vivre sa vie” en 2012.
Si le prince est occupé, nous pourrions peut-être envoyer Owen Smith, le politicien du parti travailliste britannique. Il pourrait avoir de bons conseils à donner : en septembre 2016, des informations de connexion aux listes téléphoniques de sa campagne ont été tweetées à destination de milliers de personnes, accompagnée d’une photo disant “helloooooooo, qu’est-ce que l’on peut voir en arrière-plan ?”.
La leçon ici est très simple en ce qui concerne les mots de passe : ne pas inscrire les mots de passe dans les lieux publics. Ne les mettez pas sur des post-its. Ne les inscrivez pas sur des tableaux blancs.
Mais vous pouvez tout simplement étendre le terme “mot de passe” à “toute information affichée sur votre bureau que vous ne voulez pas divulguée à l’ensemble de la sphère Twitter”, et vous pouvez deviner quelle est le dernier conseil : recadrez votre capture d’écran avant de l’envoyée !
Billet inspiré de Police accidentally tweet bookmarks that reveal surveilled groups, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.