L'information tourne depuis longtemps sur les réseaux sociaux et quelques blogs, mais les choses ne semblent pas avoir changé pour autant. On pense souvent que mettre la main sur des documents confidentiels nécessite des semaines d'investigation, mais certains sont en réalité accessibles à tous: il suffit d'une requête sur un moteur de recherche.
Supposons par exemple que vous recherchiez des documents PDF mis en ligne sur les sites du gouvernement. En faisant une simple recherche avancée dans la barre de recherche de Google, vous serez surpris·e de découvrir une multitude de résultats menant à des rapports divers et variés... et mentionnant qu'ils sont confidentiels, donc normalement seulement visibles par les personnes auxquelles ils étaient destinés.
«C'est un phénomène très ancien en fait, que je vois depuis que Google existe», assure non sans malice Stéphane Bortzmeyer, informaticien spécialiste des réseaux informatiques. Dans un tweet de 2013, celui-ci s'amusait déjà de cette mise à disposition de données pour le moins étonnante. Il tient toutefois à préciser: «Souvent, ce ne sont pas des secrets d'État, mais plutôt des données sans un grand degré de gravité, que des personnes ont voulu classer confidentielles pour se donner de l'importance.»
Tout et n'importe quoi
Mais alors que trouve-t-on en réalisant cette requête? Des documents aussi différents qu'un rapport d'analyse environnementale pour une société d'ingénierie (avec tous les résultats des mesures de quantité de métaux réalisées), ou la présentation des comptes annuels du Comité des œuvres sociales du département du Pas-de-Calais pour l'année 2018.
On trouve aussi le mail de ce pauvre monsieur qui participe à une enquête publique dans le département de l'Eure et précise bien qu'il ne veut pas que ses coordonnées soient mentionnées. Patatras, tout y est: nom, prénom, adresse mail. Mention spéciale pour le procédé de fabrication complet de l'Ebly que l'on retrouve grâce au site du département de l'Eure-et-Loir. Ça valait la peine de chercher…
Simple négligence? Très probablement, admet Stéphane Bortzmeyer. «Dans la vie réelle, les barrières des espaces protégés ou non sont bien présentes, mais en ce qui concerne le virtuel, c'est plus flou.»
Pour du personnel manquant de formation et de temps à consacrer à la sécurisation des données, il n'est pas aisé de comprendre comment les protéger. «Beaucoup pensent que lorsqu'on ne peut pas y accéder depuis une page d'accueil, on ne peut pas y accéder du tout», déplore celui qui a créé un des premiers sites français mis en ligne.
Manque de chance, des moteurs de recherche comme Google retiennent tout lorsque les sites y sont indexés, et des documents confidentiels peuvent ainsi se retrouver aisément à la vue et au su de tous, sans que l'on ait eu à passer des heures sur le dark web.
Quels sont les risques?
Fort heureusement, la plupart du temps les documents retrouvés ne contiennent rien de particulièrement sensible. Ce qui explique sûrement que peu de personnes tentent de prévenir les organes territoriaux et gouvernementaux en question.
Une autre raison de cette faible réactivité réside sans doute dans les jurisprudences précédentes. En 2015 par exemple, Olivier Laurelli –connu sous le nom de Bluetouff– a récupéré et publié 7,7 gigas de données du site de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et de la santé (Anses), qui étaient disponibles librement et accessibles facilement.
«Mais c'est lui qui a été condamné», s'étonne Stéphane Bortzmeyer. Plus précisément, Olivier Laurelli a écopé de 3.000 euros d'amende pour maintien frauduleux dans un système de traitement automatisé de données (STAD), et pour vol de documents. Beaucoup avaient alors regretté un manque de connaissances techniques de la justice dans des affaires comme celles-ci.
Toujours est-il que cela refroidit les envies d'alerter les autorités. Malgré tout, Stéphane Bortzmeyer conseille à celles et ceux qui voudraient informer de la publication en libre accès de documents confidentiels, comme ceux mentionnés ci-dessus, de le signaler à l'Agence nationale de la sécurité des systèmes d'information (Anssi). Il rassure : «Normalement, vous n'encourrez pas trop de risques, et ils font leur travail correctement.»
