Un audit du Bureau de l'inspecteur général du ministère de la Justice révèle des faiblesses majeures dans la gestion et la sécurisation des supports de stockage électroniques du FBI, qui contiennent des données sensibles et classifiées. L'agence dispose de 90 jours pour mettre en œuvre des mesures correctives.
Quand on pense au FBI, on imagine une forteresse imprenable, gardienne des secrets les plus sensibles des États-Unis. Eh bien, il semble que nos fantasmes soient loin de la réalité.
Un rapport d'audit vient de dévoiler les failles béantes dans la gestion des supports de stockage électroniques de l'agence. Des disques durs non étiquetés traînant sur des palettes accessibles à des centaines de personnes, des clés USB classifiées sans marquage adéquat…
On croirait presque à une mauvaise blague ou à un test grandeur nature de la fiabilité des personnels manipulant ces supports, si les enjeux n'étaient pas aussi critiques. En effet, ces supports contiennent potentiellement des informations ultra-sensibles à propos de la sécurité nationale. Le FBI se retrouve donc au pied du mur et se fait tirer les oreilles par le très sérieux OIG à l'origine dudit rapport.
Un audit qui frappe là où ça fait mal
L'audit mené par le Bureau de l'inspecteur général (OIG) du ministère de la Justice pointe du doigt des lacunes dans les procédures du FBI pour gérer ses supports de stockage électroniques en fin de vie.
Premier problème majeur : l'absence de suivi des disques durs et autres supports une fois extraits des appareils. Concrètement, des disques durs retirés d'ordinateurs classifiés « top secret » se retrouvent sans étiquette et sans traçabilité. Un véritable cauchemar en matière de sécurité.
Deuxième faille : le marquage inadéquat des supports. L'OIG a constaté que de nombreux dispositifs ne portaient pas les étiquettes indiquant leur niveau de classification (« secret », « top secret », etc.). Cette négligence ouvre grand la porte à des manipulations hasardeuses d'informations ultra-sensibles.
Enfin, l'audit soulève de sérieux problèmes de sécurité physique dans l'installation où sont stockés et détruits ces supports. Des palettes de disques durs non sécurisées, auxquelles des centaines de personnes peuvent avoir accès, des caméras de surveillance hors service… Le tableau dressé est pour le moins inquiétant quand on sait la nature des données en jeu.
Trois mois pour se mettre aux normes
L'OIG a émis trois recommandations clés que le FBI doit appliquer dans un délai de 90 jours. La priorité va être de revoir de fond en comble les procédures de suivi et de destruction des supports électroniques. L'agence doit s'assurer que chaque disque dur, chaque clé USB contenant des informations sensibles soit correctement inventorié, tracé et détruit en temps voulu.
Le FBI devra également mettre en place d'un système de marquage rigoureux. Chaque support devra porter une étiquette indiquant clairement son niveau de classification, conformément aux directives en vigueur. Fini les dispositifs « anonymes » qui peuvent tomber entre de mauvaises mains.
Enfin, le FBI doit urgemment renforcer la sécurité physique de ses installations de stockage. L'agence a déjà annoncé l'installation de « cages » sécurisées pour entreposer les supports en attente de destruction. Un système de vidéosurveillance fonctionnel viendra compléter ce dispositif.
L'agence fédérale a déjà annoncé travailler sur une nouvelle directive interne baptisée « Contrôle physique et destruction des appareils et matériels électroniques classifiés et sensibles ». Après avoir subi en 2021 un piratage en règle de sa messagerie, ce rapport rappelle que Le FBI n'est pas un château fort.
Source : Bleeping Computer