C’est une erreur humaine et saugrenue qui gêne actuellement le bureau australien de l’Immigration : à cause d’une erreur dans l’envoi d’un simple email, des informations personnelles de plusieurs chefs d’État ont été envoyées aux organisateurs de la Coupe d'Asie des nations de football.
Une simple erreur dans la saisie d'une adresse email
Même si la fuite d’informations n’est pas réellement grave, elle représente bien la manière dont ce genre d’erreur peut survenir avec une grande facilité. Les données en question sont relatives à pas moins de 31 chefs d’État et étaient stockées dans le cadre de l’organisation des sommets du G20. Le bureau australien de l’immigration devait les envoyer à un certain destinataire, mais le fonctionnaire en charge de l’opération est tombé dans le piège d’une erreur particulièrement grossière.
Il devait en effet simplement transmettre les fichiers par un courrier électronique et s’est servi pour cela d’Outlook. Mais au moment d’entrer l’adresse email du destinataire, il a commencé à taper les premières lettres et s’est fié au premier résultat proposé par l’autocomplétion du logiciel. La suite est assez désopilante : il ne s’agissait évidemment pas de la bonne adresse et l’email est parti chez les organisateurs de l’Asia Cup, qui s’est tenue d’ailleurs en janvier en Australie.
Quand la sécurité tient à peu de choses
L’aspect un peu surprenant de cette histoire est qu’elle ne date pas d’hier, puisque la faute est survenue en novembre dernier. L’information est révélée par un fonctionnaire du bureau de l’immigration qui a vendu la mèche au journal anglais The Guardian. Il a ainsi indiqué que l’erreur avait été remontée par le directeur des services liés aux visas, comme brèche de sécurité, à une commissaire de la vie privée pour examen de la situation.
Selon cette dernière, les « informations personnelles qui ont fuité sont le nom, la date de naissance, le titre, la position nationale, le numéro de passeport, le numéro de visa et la sous-classe du visa » pour chacune des 31 personnes impliquées. Elle indiquait ensuite que le risque n’était pas énorme puisque, « normalement », les données étaient circonscrites aux seuls systèmes informatiques des organisateurs de l’Asia Cup. Précisons en outre que la question du chiffrement n'est pas abordée. Si l'email ne faisait l'objet d'aucune mesure spécifique de sécurité, son contenu et ses métadonnées étaient donc facilement lisibles en cas d'interception.
Le ministère de l'Immigration avait recommandé le silence
Plus étonnant cependant, le responsable du bureau de l’immigration a recommandé que personne ne soit prévenu de cette fuite, et en premier lieu les principaux concernés. Barack Obama, Vladimir Poutine, Angela Merkel, Xi Jinping (président chinois), Narendra Modi (Premier ministre de l’Inde), Shinzo Abe (Premier ministre japonais), Joko Widodo (président de l’Indonésie) ou encore David Cameron n’ont donc reçu aucune notification à ce sujet.
C’est cette absence de communication qui étonne et fait tache. Tanya Plibersek, chef de file de l’opposition au parlement australien, en a ainsi appelé au Premier ministre Tony Abbott afin qu’il fournisse une explication à cette curieuse décision : « Le Premier ministre et le ministre de l’Immigration doivent expliquer ce sérieux incident et la décision de ne pas informer ceux qui étaient impliqués ». D’autres, comme la sénatrice verte Sarah Hanson-Young, sont beaucoup plus virulents : « Ce n’est qu’une gaffe sérieuse de plus par un gouvernement incompétent ». Et il est clair que l’absence de vérification de l’adresse email du destinataire n’est guère reluisant. En outre, comme le rappelle The Guardian, le ministère de l’Immigration était déjà à l’origine, en février 2014, d’une fuite concernant presque 10 000 personnes en détention.
Même si les informations ne sont pas suffisantes pour porter atteinte aux chefs d’États, il faut tout de même rappeler que des lois spécifiques existent dans les pays pour gérer les fuites. L'Allemagne et le Royaume-Uni par exemple rendent obligatoire l’avertissement d’une victime de fuites d’informations personnelles, et les États-Unis ont déjà annoncé qu'ils allaient examiner la situation. La France ne présente pas de telle loi : tout juste les opérateurs ont-ils obligation de faire une déclaration à la CNIL, mais pas aux clients. Les autres entreprises sont libres de décider si elles avertissent ou pas d'une fuite, mais elles auront bien entendu des comptes à rendre en cas de plainte.
