Crédit Photo : BrianAJackson-Shutterstock
L’étude d’une start-up montre que les identifiants et les mots de passe appartenant à 47 agences gouvernementales sont disponibles sur le Net. Ce rapport intervient après le vol massif de données personnelles à l’OPM (Office Personnel Management). Au départ, ce vol était censé concerner 4 millions d’agents, mais ce chiffre a depuis été revu à la hausse pour atteindre 14 millions. Une enquête du Congrès est en cours. La Chine est fortement soupçonnée d’être l’instigatrice de ce vol de données.
Le rapport réalisé par Future Recorded (société fondée en partie par le fonds d’investissement de la CIA) et analysant entre novembre 2013 et novembre 201, 17 « sites pastes » (comme Pastbin), où les pirates partagent souvent les identifiants volés sur des sites tiers, ne risque guère d’atténuer les craintes de l’administration américaine. Cette analyse a identifié 705 combinaisons e-mails et mots de passe liées à des fonctionnaires. Les agences concernées ont été averties pour prendre les mesures nécessaires.
Le rapport souligne que « la présence de ces identifiants sur le web laisse la porte ouverte aux vulnérabilités et aux attaques par ingénierie sociale, par spearphishing, par force brute, contre leurs employés ». Dans son analyse, Future Recorded montre qu’une douzaine d’agences n’exigent pas d’authentification à double facteur, même pour leurs utilisateurs à privilèges.
Ces agences sont : General Services Administration, l’USAID, Département d’Etat, Anciens Combattants, Agriculture, Habitat et Développement Urbain, Transport, Trésor, Santé, Energie et Sécurité Intérieure. « Ces organismes sont à la traîne dans l’authentification à deux facteurs, mais par contre d’autres agences sont des bons élèves dans ce domaine », déclare Scott Donnelly, analyste senior chez Future Recorded.
Les vols de données ont atteint des records en 2014, mais il semble que la première partie de l’année 2015 fasse la part belle aux données qualifiées : informations de santé, numéro de sécurité sociale, identifiants de fonctionnaires.
A lire aussi :
Vol de données : la facture grimpe pour les entreprises françaises
Les RH de l’administration US piratées deux fois, le secret défense exposé ?
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…