Un entrepreneur néerlandais, à qui a été confiée la gestion du domaine malien .ml en 2013, tente d'alerter les autorités états-uniennes qu'il reçoit des millions de mails envoyés à des adresses de type .ml au lieu du .mil de l'armée US. Et ce, alors que la gestion du .ml va être rétrocédée au Mali, dirigé par une junte militaire pro-russe.
Johannes « Joost » Zuurbier, le créateur et gestionnaire néerlandais de Freenom, « le premier et unique fournisseur de domaines gratuits », explique au Financial Times (FT) qu'il cherche, semble-t-il en vain, depuis dix ans, d'alerter les autorités militaires états-uniennes.
L'Agence des Technologies de l'Information et de la Communication (AGETIC), chargée d'améliorer l'utilisation de l'internet au Mali et la visibilité du Mali dans le monde, lui avait en effet confié la gestion du domaine de premier niveau national .ml en 2013.
Après avoir remarqué des requêtes pointant vers des noms de domaine inexistants de type army.ml ou navy.ml, il avait initialement « mis en place un système pour intercepter toute correspondance de ce type », mais qui fut rapidement submergé au point d'arrêter de collecter ces messages adressés à des militaires états-uniens.
Zuurbier explique avoir consulté un avocat, et tenté de contacter à plusieurs reprises des responsables américains, notamment par l'intermédiaire d'un attaché de défense au Mali, d'un conseiller principal du service national de cybersécurité américain et même de responsables de la Maison Blanche, mais sans que le problème ne semble avoir été pris en considération, note le FT :
« Ses efforts pour sonner l'alarme comprenaient sa participation à une mission commerciale des Pays-Bas en 2014 pour obtenir l'aide de diplomates néerlandais. En 2015, il a fait un nouvel effort pour alerter les autorités américaines, en vain. Zuurbier a recommencé cette année à collecter des e-mails mal adressés dans le but ultime d'alerter le Pentagone. »
Les détails d'un voyage du chef d'état-major de l'armée américaine
Rien que depuis janvier dernier, il aurait reçu près de 117 000 emails envoyés, à tort, à des adresses en .ml, y compris des documents diplomatiques, déclarations de revenus, mots de passe et détails de voyages d'officiers supérieurs.
Si la majeure partie des e-mails relèvent de la catégorie spam, Zuurbier n'en a pas moins et notamment reçu des radiographies et données médicales, dossiers fiscaux et financiers, informations sur des documents d'identité, listes des personnels déployées dans des bases, cartes et photos d'installations militaires, rapports d'inspection, contrats, plaintes pénales et enquêtes internes, itinéraires, réservations et autres détails de voyages officiels...
L'un de ces e-mails comprenait par exemple les plans de voyage du général James McConville, chef d'état-major de l'armée américaine, et de sa délégation pour une visite en Indonésie en mai dernier :
« L'e-mail comprenait une liste complète des numéros de chambre, l'itinéraire pour McConville et 20 autres, ainsi que des détails sur la remise de la clé de la chambre de McConville au Grand Hyatt Jakarta, où il a reçu un surclassement VIP dans une grande suite. »
Des mots de passe et documents du FBI « For Official Use Only »
Les agences de voyage et prestataires privés seraient semble-t-il particulièrement susceptibles de mal orthographier les noms de domaine en .mil, tout comme les militaires états-uniens quand ils écrivent depuis leurs adresses mail « civiles », explique le FT :
« Un agent du FBI jouant un rôle dans la marine a cherché à transmettre six messages à sa messagerie militaire, mais les a accidentellement envoyés au Mali. L'une comprenait une lettre diplomatique turque urgente adressée au département d'État américain concernant d'éventuelles opérations du parti militant des travailleurs du Kurdistan (PKK) contre les intérêts turcs aux États-Unis. »
Ce même agent du FBI avait aussi transmis une série de notes d'information sur le terrorisme intérieur américain portant la mention « For Official Use Only », une évaluation mondiale de la lutte contre le terrorisme intitulée « Non communicable au public ou aux gouvernements étrangers », ainsi qu'un briefing « sensible » sur les efforts déployés par le Corps des gardiens de la révolution islamique d'Iran pour utiliser des étudiants iraniens et l'application de messagerie Telegram pour mener des activités d'espionnage aux États-Unis.
Une douzaine de personnes avaient par ailleurs demandé par erreur que des mots de passe de récupération pour accéder à un système de la communauté du renseignement soit envoyé à des adresses .ml. D'autres avaient envoyé les mots de passe nécessaires pour accéder aux documents hébergés sur la plateforme sécurisée d'échange de fichiers du ministère de la Défense.
La gestion des .ml va être rétrocédée au Mali, un pays... pro-russe
Le lieutenant-commandant Tim Gorman, porte-parole du Pentagone, répond au FT que le ministère de la Défense « est conscient de ce problème et prend au sérieux toutes les divulgations non autorisées d'informations contrôlées sur la sécurité nationale ou d'informations non classifiées contrôlées ».
Il précise que les e-mails envoyés directement depuis le domaine .mil aux adresses maliennes « sont bloqués avant qu'ils ne quittent le domaine .mil et l'expéditeur est informé qu'il doit valider les adresses e-mail des destinataires prévus ».
Ce qui n'empêche pas, cela dit, les e-mails envoyés depuis d'autres domaines que ceux contrôlés par l'armée états-unienne de pouvoir être acheminés, à tort, vers des .ml. Techniquement parlant, l'armée US ne peut pas empêcher les utilisateurs de mails en .com, .net ou autre de faire ce genre d'erreurs de typo et de taper .ml au lieu de .mil...
Dans un courrier adressé aux autorités début juillet, Zuurbier les prévient que « le risque est réel et pourrait être exploité par des adversaires des États-Unis ». Or, déplore le FT, la gestion des .ml sera rétrocédée lundi prochain au Mali, un pays qui a connu deux coups d'État depuis 2020, dont la junte militaire au pouvoir s’est depuis tournée militairement et politiquement vers la Russie, au point de faire appel à la milice Wagner, et de pousser l'armée française à se retirer du pays.
Dans sa FAQ, point.ml, le registrar malien, précise que « les domaines gratuits doivent renvoyer vers une page ou un site web actif », que « les pages ou sites vides ne sont pas admis afin d'empêcher le squattage de domaine », mais également que « les domaines payants ne sont pas soumis à cette restriction ». On imagine facilement les dégâts que pourraient causer ce type de cybersquatt.
Deux sites au moins plagient l'identité de l'armée US : l'un redirige vers celui de la Defense Intelligence Agency (cf l'image de tête de cet article, sans que nous ayons réussi à identifier s'il était malintentionné), un autre propose aux soldats états-uniens de s'identifier afin de remplir un formulaire de demande de congés en se faisant passer pour le site web d'une unité qui, d'après un vétéran, n'existerait pas.
