Logiciels

Sur Twitter, l’État-major des armées partage un mot de passe Windows par inadvertance

Le compte Twitter officiel de l’État-major des armées a diffusé une photo mettant en scène un exercice. Oubliant d’effacer une feuille affichée au mur, dévoilant un mot de passe.

En matière de cybersécurité, les professionnels de la Défense peuvent également commettre des erreurs. Comme le rapporte le site spécialisé Next INpact, un tweet mis en ligne sur le compte officiel de l’État-major des armées ce 8 juin évoquait un exercice organisé « pour faire face aux risques naturels, technologiques ou sanitaires ». Problème: ce dernier était accompagné d’une photo dévoilant un mot de passe.

Simple feuille blanche

Sur le cliché, huit personnes participent à l’exercice autour d’une table, dans un semi-remorque utilisé comme centre de gestion de crise de la sécurité civile. Au-dessus de la vitre d’une baie de serveurs, située en arrière-plan, figure une feuille blanche sur laquelle sont inscrits le nom d’une session Windows et le mot de passe associé (masqués par nos soins sur les images d’illustration ci-dessous).

Captures du compte Twitter officiel de l'État-major des armées
Captures du compte Twitter officiel de l’État-major des armées © BFMTV

Une fois l’erreur signalée par un internaute, le tweet a été supprimé. A cette heure, l’image est cependant toujours accessible sur plusieurs pages du ministère de la Défense. D’autres internautes l’ont ensuite partagée sur les réseaux sociaux.

De telles erreurs ont déjà été commises par le passé, notamment en 2015. Alors victime d’une cyberattaque d’ampleur, la chaîne TV5 Monde avait laissé apparaître par erreur plusieurs mots de passe affichés au mur lors de l’interview de l’un de ses journalistes au journal télévision de France 2.

Des institutions bien plus sensibles ont également été épinglées pour de mauvaises pratiques en matière de cybersécurité. En 2018, des agents de la direction générale de la Sécurité extérieure (DGSE) ont pu être localisés grâce à une application de course à pieds baptisée Strava. Ils avaient en effet lié le GPS de leur montre connectée à la plateforme, dont certaines données de localisation étaient librement accessibles en ligne.


Source link