La boulette : comment des millions de mails de l'armée américaine ont été envoyés au Mali ?

Publié le 18 juillet 2023 à 14h15

Cette invraisemblable fuite de données confidentielles aurait cours depuis près de 10 ans.

Johannes Zuurbier est un chef d'entreprise néerlandais, qui a été chargé il y a maintenant plus de 10 ans de gérer les noms de domaines maliens. Il a rapidement remarqué que des milliers de mails de l'armée américaine arrivaient quotidiennement dans le pays, qui n'était pas du tout censé les recevoir. Peut-être plus grave encore, les militaires américains ne lui ont jamais prêté la moindre attention malgré ses tentatives répétées de les informer du problème.

La sécurité de l'armée américaine est-elle à ce point à la ramasse ?

Depuis le mois de janvier 2023, Johannes Zuurbier aurait intercepté pas moins de 117 000 mails adressés par erreur à des adresses maliennes, dont plusieurs contenaient des informations très sensibles sur l'armée américaine. Selon le Financial Times, qui a révélé l'affaire après avoir été contacté par Zuurbier, la plupart de ces mails contenaient ainsi des informations médicales, des documents d'identité, les listes de personnel militaire dans plusieurs bases, des photos de ces dernières, ou encore des rapports d'inspections navales. Un des messages interceptés par le Néerlandais détaillait par exemple l'itinéraire de la visite du chef d'état major américain en Indonésie, incluant des détails allant jusqu'au numéro de sa chambre d'hôtel.

La raison ? Si les noms de domaines maliens se terminent en .ml, ceux réservés à l'armée américaine s'achèvent de leur côté sur un .mil. Et ce l semble avoir été oublié à de très nombreuses reprises, et par de très nombreuses personnes : militaires, contractuels privés, agents chargés de la logistique, services de renseignements, tous semblent s'être adonnés à cette colossale fuite de données. Ce n'est pas la première fois que l'armée américaine met des années à mettre à jour sa sécurité.

Heureusement pour les militaires américains, dès que Zuurbier a commencé à remarquer des requêtes pour des noms de domaines inexistants, tels army.ml ou navy.nl, il a créé un système pour intercepter ces emails. Mais son contrat se termine lundi prochain, et le gouvernement et les services maliens seront sans aucun doute trop heureux d'exploiter cette fantastique source d'informations.

Des conséquences potentiellement catastrophiques

Il faut rappeler que l'État malien est actuellement dirigé par une junte en place depuis 2021 après plusieurs coups d'États successifs. Les militaires qui sont désormais à la tête du pays en ont chassé les forces armées françaises qui y étaient présentes depuis près de 10 ans, et se sont plus généralement distancés des pays occidentaux. Alors les aides militaire et économique sont venues d'un autre pays, la Russie, par l'intermédiaire notamment du sinistre groupe Wagner.

Plus encore que jamais, régler cette invraisemblable fuite d'informations devient donc un impératif pour les Américains, qui semblent enfin avoir pris des mesures pour régler le problème. Un des porte-paroles du ministère de la Défense a ainsi déclaré que « le ministère de la Défense est au courant de ce problème et [le] prend très au sérieux ». Les mails envoyés à un nom de domaine en .ml depuis des .mil sont désormais bloqués et les personnes qui en envoient en sont informées immédiatement.

Mais 10 ans pour réagir, c'est quand même long.

Sources : The Verge, Financial Times

Par Vincent Mannessier

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

norwy

Ce n’est pas très malien tout ça, finalement !

ayaredone

Cela voudrait dire que les adresses en .ml avait le même début (avant le @) que les adresses en .mil ? étrange coïncidence !
Sinon c’est « email non délivré » normalement.

jvachez

Et il n’a jamais refilé les infos aux Pays-Bas comme il est néerlandais ?

MattS32

Non, pas nécessairement. Il suffit que le domaine soit le même, à l’extension près.

Si tu envoies un mail à [email protected], le mail arrivera sur le serveur mail de toto.com, même si l’adresse [email protected] n’existe pas. Donc à ce stade, il est déjà potentiellement visible par un admin du serveur mail. Après, ce qu’il deviendra dépend de comment est configuré le serveur mail. Il sera le plus souvent rejeté, avec ou sans envoi d’une réponse automatique à l’expéditeur pour lui signaler. Mais parfois, il y a aussi une boîte mail « collecteur » qui récupère tous les mails envoyés à une adresse non existante.

Proutie66

Je pensais que c’était Julien de Air France qui a avait été recruté aux US.

Fathzer

Incroyable, le numéro de chambre d’hôtel du chef d’état major envoyé par mail non crypté ! Adresse correcte ou pas, c’est du délire…

carinae

Oui et non. Il faut faire un peu de DNS. Mais grosso modo sur adresse email la lecture se fait de la droite vers la gauche. Donc les routeurs lisent d’abord le domaine (a droite du @) puis ce qu’il y a a gauche du @. Dans ce cas les messages sont routés sur le domaine ml( au lieu de mil) puis sur ce qui est a gauche du . ( souvent le nom d’une société) puis enfin la partie gauche du @ qui elle est généralement une information personnelle

mcbenny

L’interception (réception plutôt d’ailleurs) se fait au niveau de l’extension du pays, pas au niveau du domaine je suppose.
Soit très exactement ce que les militaires américains auraient du prévoir (inversé pour leur côté) : tout mail au départ d’une adresse « militaire » dont le destinataire est un .ml devrait être stoppé.

MattS32

Non, c’est bien sur le domaine que le serveur mail est configuré au niveau DNS.

Quand tu envoies un mail vers toto.tld, ton serveur mail sortant va demander l’enregistrement MX du domaine toto.tld pour connaître l’adresse du serveur vers lequel il doit router ton mail. Si le domaine n’existe pas ou s’il n’a pas d’enregistrement MX, le mail ne sortira même pas de ton serveur de mail sortant.

Le tld n’intervient dans la chaîne que pour indiquer qui est le serveur DNS du domaine, en interrogeant le serveur DNS du tld. Mais en pratique avec les caches DNS il ne sera quasiment jamais interrogé.

Ce qu’à fait Zuurbier, c’est qu’au niveau du serveur DNS du tld ml, il a vu qu’il y avait beaucoup de demandes concernant army.ml, navy.ml et autres domaines du genre, qui n’existaient pas. À ce stade les mails ne quittaient en fait pas les serveurs mails de l’armée américaine (donc juste une petite fuite à ce stade, n’incluant pas le contenu des mails). Lui du coup, il a créé ces domaines et mis un MX dessus. Et comme ça il s’est mis à collecter les mails envoyés vers ces domaines. En quelque sorte, il a contribué à la fuite, qui n’existait pas vraiment avant. Mais dans le même temps, il a aussi un peu sécurisé la chose, en évitant que quelqu’un de plus malveillant fasse ce qu’il a fait pour récupérer les mails…

loloaml

Et tout le monde se fout de la trombine de l’armée russe….
Rigolons, l’armée française n’est sans doute pas mieux que ces deux là !