Le comité appelle à un examen plus complet de l’utilisation des applications de « communication fantôme » dans le DoD.
Le scandale Signalgate qui a touché le secrétaire américain à la Défense Pete Hegseth en mars semble être symptomatique d’une attitude plus laxiste à l’égard de l’utilisation d’applications de messagerie non approuvées par les fonctionnaires et les employés, a conclu une commission sénatoriale.
En mars, la commission sénatoriale américaine chargée des forces armées a entrepris d’examiner les questions soulevées par l’incident du Signalgate : la nécessité de clarifier les règles existantes sur l’utilisation d’applications « non contrôlées », et de vérifier si le secrétaire à la Défense Hegseth les a respectées dans son utilisation de Signal, et si ses actions étaient la preuve d’une culture plus large d’utilisation non sécurisée des applications au sein du ministère de la Défense (DoD).
Les doubles rapports de cette semaine sont revenus avec une évaluation mitigée sur ces points. D’une manière générale, ce dont Hegseth a été accusé – communiquer des informations sensibles à l’aide d’une application de messagerie tierce – semble se produire au DoD dans des contextes moins graves depuis au moins 2020.
Cela reflète des problèmes familiers aux entreprises : les applications de messagerie non autorisées ou non gérées, y compris celles vantant la sécurité du chiffrement de bout en bout (E2EE), deviennent rapidement un canal informatique secondaire qui peut saper de manière invisible les politiques de sécurité, de conformité et de conservation des données soigneusement élaborées.
Communications fantômes
Le premier rapport, une évaluation de l’utilisation par le secrétaire à la Défense de l’application Signal pour communiquer avec des collègues de haut rang avant une opération militaire contre le Yémen le 15 mars, est utilisé pour illustrer ce point. Cela confirme le fait largement rapporté selon lequel deux heures avant le raid, Hegseth a révélé les détails de l’opération à un groupe de Signal composé de 19 personnes, dont un journaliste qui y avait été ajouté par erreur.
Ce faisant, le rapport reconnaît qu’il a violé les politiques de sécurité en envoyant des informations sensibles depuis un appareil personnel et en utilisant l’application Signal non approuvée d’une manière qui a révélé des détails opérationnels importants avant l’attaque. Le rapport élude la question de savoir si ces informations étaient classifiées au moment où elles ont été envoyées, notant que Hegseth était suffisamment haut placé pour le déterminer lui-même.
Le deuxième rapport de fond a mis au jour des preuves d’une culture plus générale de communications fantômes au sein du DoD, notamment une utilisation généralisée des applications de vidéoconférence pendant la pandémie de Covid 19.
Les preuves recueillies sont rares et en partie expurgées, ce qui rend difficile l’évaluation de la gravité d’éventuelles violations. Étant donné que la portée de son mandat était limitée aux preuves issues d’audits précédents, l’une des recommandations du comité est d’entreprendre une évaluation plus complète de l’utilisation non autorisée des applications au sein du DoD. Il existe également un point d’interrogation quant à la manière dont d’anciens audits analysés par un comité sénatorial pourraient mesurer avec précision quelque chose qui, de par sa nature, est caché et enregistré uniquement sur des appareils personnels.
Néanmoins, le rapport affirme qu’il est certain que les actions de Hegseth n’étaient pas un exemple isolé, notant que le personnel avait « utilisé des systèmes de messagerie électronique non contrôlés par le DoD pour diverses raisons. Par exemple, certains membres du personnel les ont utilisés en raison de l’apparence perçue de sécurité des systèmes. En conséquence, le personnel du DoD a accru le risque d’exposer des informations sensibles du DoD à nos adversaires et n’a pas respecté l’obligation légale de conserver et de préserver les documents officiels. «
En bref, même s’il n’existe aucune preuve que l’utilisation non autorisée d’applications soit routinière ou normalisée, il est probable qu’un nombre suffisant de membres du personnel les utilisent pour rendre possible une violation grave à un moment donné. Le rapport conclut que l’une des raisons pour lesquelles le personnel a opté pour ces applications de messagerie est qu’elles manquent d’alternatives pratiques. Il recommande de développer des applications approuvées pour supprimer ce besoin, de mettre en œuvre un programme de formation pour garantir le respect des réglementations en matière de communication en vigueur et de limiter le pouvoir d’utiliser les applications de messagerie aux cadres supérieurs, dans des circonstances spécifiques.
Ce qui est surprenant, c’est qu’il a fallu une querelle politique majeure au niveau gouvernemental pour soulever un problème avec lequel les RSSI d’entreprise sont aux prises depuis des années : les effets du BYOD, du shadow IT (et maintenant du shadow AI) et des applications non autorisées qui s’infiltrent dans les organisations sans que personne ne s’en rende compte.
Au cours des deux dernières décennies, l’essor des appareils mobiles, du cloud et des applications a radicalement décentralisé l’informatique, d’une manière que les modèles de gestion descendants ont du mal à contrôler. Pendant ce temps, rien n’a changé ; L’application Signal, au centre de ce scandale, reste extrêmement populaire des deux côtés du clivage politique, malgré l’apparition de problèmes supplémentaires liés à la technologie.
