CYBERSÉCURITÉ – Décidément, l’administration Trump et la technologie traversent une mauvaise passe. Quelques jours à peine après le piratage de la messagerie « sécurisée » utilisée par les ministres et leur équipe, la patronne du renseignement américain Tulsi Gabbard a fait l’objet de l’attention de journalistes spécialisés dans la cybersécurité. Et leurs révélations ne vont pas rassurer les angoissés de la cybersécurité.
La CNIL alerte sur les données de « dizaines de millions de personnes » volées en 2024, comment savoir si j’en fais partie ?
Des sites spécialisés en OSINT (recherche sur des sources publiques) et en renseignement, District4Labs et Constella Intelligence, ont rassemblé toutes les données disponibles en ligne sur la responsable américaine. Ces informations, dont beaucoup viennent de piratages de sites où était inscrite Gabbard, ont été épluchées par le magazine américain Wired. Les journalistes ont mis la main sur un fait dérangeant : non seulement une partie des mots de passe utilisés par la dirigeante ont été diffusés sur le web, mais il s’agit surtout, très souvent, du même mot.
Dans les données rassemblées, c’est (heureusement) pour des sites n’ayant pas de lien avec le gouvernement, mais plutôt des marchands en ligne, son adresse Gmail ou son compte LinkedIn, que le même mot est répété. Une variation autour du terme « shraddha », nous raconte sans plus de précision le magazine spécialisé dans les nouvelles technologies, un mot sanskrit lié à la culture hindouiste.
Ces mots de passe ont été récoltés par les hackers entre 2012 et 2017 : avant, donc, qu’elle ne soit nommée « director of national intelligence » en 2025, mais après qu’elle a commencé sa carrière en politique. Après, également, sa nomination à la commission des forces armées et la commission des Affaires étrangères de la Chambre des représentants américaine.
Apprenez des erreurs de Tulsi Gabbard
L’équipe de Tulsi Gabbard a réagi avec fureur aux interrogations du journal, allant jusqu’à le taxer d’ « hindouphobie », la responsable pratiquant une religion dérivée de l’hindouisme, ce qui lui a valu, et lui vaut toujours, des accusations pour ses liens avec le mouvement sectaire Hare Krishna. Mais sa négligence n’a rien de très original, et c’est l’occasion de faire mieux que la cheffe du renseignement américain. Doublement mieux.
Règle numéro un, ne pas posséder un même mot de passe pour plusieurs sites. Passons ensuite à la cryptographie en elle-même : si les autorités américaines recommandent aux officiels un mot de passe de 18 caractères, le site cybermalveillance.gouv.fr a lui l’amabilité de s’en tenir à la douzaine. Un mot de douze lettres minimum donc, comprenant majuscules, minuscules, chiffres et caractères spéciaux.
Mais ce n’est pas tout. Utiliser sa date de naissance, le prénom de sa grand-mère ou la marque de sa voiture est une pratique formellement déconseillée. C’est en en effet la porte ouverte au piratage dit par « ingénierie sociale » : en gros, plus l’on en sait sur vous, plus il est facile de trouver la clef virtuelle de tous vos secrets. C’est précisément ce que Tulsi Gabbard a fait en utilisant le mot « shraddha », qui selon Wired viendrait de son nom au sein du mouvement Hare Krishna, « Shraddha Dasi ».
Bien sûr, tout cela finit par être très fastidieux, c’est pourquoi beaucoup d’entre nous, connaissant pourtant les risques, finissent par utiliser le même mot de passe partout ou presque. Heureusement, les gestionnaires de mots de passe sont là. Pour cela l’administration française a une recommandation : KeePass, « seul gestionnaire français gratuit qui soit certifié par l’ANSSI [agence nationale de la sécurité des systèmes d’information] ». On fait passer le mot à Tulsi Gabbard.
À voir également sur Le HuffPost :
Pegasus : l’entreprise israélienne qui a espionné Macron va verser des millions en dédommagement à Meta
La France accuse le renseignement russe d’être derrière le piratage de la campagne de Macron en 2017
