Cybersécurité : le maillon faible, c'est votre boîte mail personnelle

Ce point est crucial, car la vie des hauts responsables n'est pas cloisonnée. Leurs vies professionnelle et personnelle, leurs contacts, leurs agendas et leurs méthodes de récupération de comptes se chevauchent souvent. Cela crée des ouvertures pour les pirates. Une boîte de réception privée peut contenir des détails de voyage, des listes de contacts, des avis juridiques, des documents financiers ou des liens de réinitialisation de mot de passe. Même si aucun dossier classifié n'y est stocké, un pirate peut y trouver quelque chose de précieux : du contexte. Dans les cyberopérations, le contexte est une source de pouvoir. Il aide les criminels à monter des fraudes, les espions à cartographier des relations et les spécialistes de l'ingénierie sociale à créer des messages qui semblent assez réels pour tromper même les cibles les plus prudentes.

Les preuves plus larges sont difficiles à ignorer. Le centre de plaintes pour la cybercriminalité du FBI a indiqué que les Américains ont déclaré plus de 12,5 milliards de dollars de pertes liées à la cybercriminalité en 2023, un total record. Beaucoup de ces cas n'ont pas commencé avec des logiciels malveillants sophistiqués. Ils ont débuté par du phishing (hameçonnage), des piratages de comptes, des usurpations d'identité et des impersonnations. Le rapport de longue date de Verizon sur les enquêtes de violations de données a constaté à plusieurs reprises que le facteur humain joue un rôle dans la plupart des piratages, que ce soit par des identifiants volés, de l'ingénierie sociale ou une simple erreur. Google et Mandiant avertissent également depuis des années que les piratages de comptes commencent souvent par de faibles habitudes d'authentification, et non par des codes informatiques complexes.

Ce phénomène dépasse largement les frontières des États-Unis. Au Royaume-Uni, le Centre national de cybersécurité a exhorté à plusieurs reprises les fonctionnaires et les citoyens à sécuriser leurs comptes de messagerie personnels, car ils peuvent servir de tremplin pour accéder à des systèmes plus vastes. En Allemagne et en France, les agences de cybersécurité ont émis des conseils similaires après que des campagnes liées à des groupes étatiques ont utilisé des communications personnelles et des comptes cloud pour profiler leurs cibles. Même si l'objectif n'est pas une intrusion directe, les pirates peuvent recueillir suffisamment d'informations d'un compte personnel pour monter une campagne de pression, une tentative de chantage ou une opération d'usurpation d'identité convaincante.

Pourquoi les comptes personnels sont-ils si vulnérables ? Une partie de la réponse est psychologique. Les gens sont généralement plus prudents au travail, car ils savent qu'ils sont surveillés, formés et contrôlés. À la maison, ils sont moins vigilants. Ils cliquent depuis leur téléphone, utilisent de vieux mots de passe, ignorent les alertes de sécurité et considèrent les plateformes familières comme sûres. La même personne qui n'ouvrirait jamais un fichier suspect sur un ordinateur du gouvernement peut approuver une demande de connexion sans y penser en préparant le dîner. C'est précisément cette baisse d'attention que les pirates exploitent.

Une autre raison est structurelle. La vie numérique moderne est fondée sur l'interconnexion. Une adresse mail personnelle peut servir à la récupération des comptes bancaires, de messagerie, d'achat, de stockage cloud et de réseaux sociaux. Un numéro de téléphone peut déverrouiller des codes d'authentification à deux facteurs. Un calendrier familial peut révéler des projets de voyage. Une liste de contacts peut identifier des assistants, des parents, des médecins, des avocats et des collègues. Pour un haut fonctionnaire, ce réseau devient encore plus utile pour un pirate. Il peut révéler qui cibler ensuite et quelle histoire raconter.

Ce n'est pas une inquiétude purement théorique. La publication en 2016 d'e-mails volés à de hauts responsables politiques américains a montré comment des comptes personnels et de campagne pouvaient devenir des armes politiques et de sécurité nationale. Plus tard, des chercheurs et des agences de renseignement ont documenté des tentatives répétées de groupes étrangers pour cibler des responsables, des journalistes, des dissidents et des experts politiques via leurs plateformes personnelles plutôt que par les canaux officiels. Microsoft a décrit comment des acteurs soutenus par des États commencent souvent par des attaques par pulvérisation de mots de passe (*password spraying*), du vol de jetons d'authentification ou du phishing contre des utilisateurs individuels, car c'est moins cher et plus discret que d'attaquer de front un réseau bien défendu.

Les conséquences peuvent se propager rapidement. D'abord, il y a le préjudice direct pour la cible : messages volés, contacts exposés, détails personnels divulgués et fraude financière possible. Ensuite vient le préjudice institutionnel. Des collègues peuvent recevoir de faux messages qui semblent dignes de confiance. Les équipes de sécurité peuvent devoir vérifier si des systèmes internes ont été touchés indirectement. Les adversaires peuvent exploiter l'incident pour saper la confiance du public, suggérant une incompétence ou une compromission plus profonde, même si la brèche était limitée. Pour les responsables des forces de l'ordre et du renseignement, ces atteintes à la réputation comportent leurs propres risques. Elles peuvent affaiblir la confiance au niveau national et envoyer de mauvais signaux à l'étranger.

Il y a aussi un problème démocratique plus profond. On dit souvent aux citoyens que la cybersécurité nationale est principalement l'affaire d'agences d'élite, d'outils classifiés et de défenses à plusieurs milliards de dollars. Mais les incidents impliquant des comptes personnels montrent que la cybersécurité publique est liée à l'hygiène numérique de tous les jours. Si même de hauts responsables peuvent être exposés par les mêmes faiblesses qui affectent des millions de foyers, alors la cyber-résilience n'est pas seulement un enjeu technique. C'est un enjeu citoyen. Elle dépend des habitudes, des choix de conception et du fait que les plateformes fassent de la sécurité renforcée une option par défaut plutôt qu'un supplément optionnel.

La bonne nouvelle, c'est que beaucoup des meilleures défenses ne sont pas mystérieuses. Les experts en sécurité exhortent depuis longtemps les gens à utiliser des gestionnaires de mots de passe, des mots de passe uniques, une authentification multifacteur résistante au phishing et des adresses e-mail distinctes pour les fonctions importantes comme la récupération de compte. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a souligné l'utilité des clés de sécurité matérielles pour les personnes à haut risque, y compris les responsables publics, les journalistes et les militants. Apple, Google et Microsoft proposent maintenant des programmes de protection de compte renforcés, mais les utilisateurs doivent encore s'y inscrire et les utiliser de manière constante.

Les institutions doivent également cesser de traiter la sécurité des appareils et des comptes personnels comme un problème secondaire et embarrassant. Pour les hauts responsables, cela devrait faire partie intégrante de la gestion des risques. Cela implique des examens de sécurité réguliers de leurs comptes personnels, des conseils plus stricts pour les membres de leur famille, une séparation plus claire entre les fonctions publiques et les communications privées, et des règles de signalement rapide en cas de suspicion de compromission personnelle. Ces mesures peuvent paraître intrusives, mais l'alternative est pire. Les pirates ont déjà compris que la frontière du réseau, c'est la vie humaine qui y est connectée.

Il y a ici une leçon qui va au-delà d'un seul piratage ou d'un seul titre de journal. Les failles de cybersécurité n'arrivent pas toujours avec une force digne d'un film. Souvent, elles se glissent à travers une application familière, une connexion de routine ou un message privé qui semble trop banal pour qu'on s'en méfie. C'est pourquoi les comptes personnels sont si importants. Ils ne sont plus en dehors du périmètre de sécurité. Dans bien des cas, ils *sont* le périmètre. Et tant que les dirigeants, les institutions et le public ne l'accepteront pas, la prochaine faille ressemblera moins à une scène de guerre numérique qu'à une scène de la vie de tous les jours.