Le Pentagone a conclu que des employés du ministère de la Défense (DoD) sont coupables d’avoir utilisé leur téléphones intelligents d’affaires de manière non autorisée, mettant en danger la sécurité nationale.

UN rapport (s’ouvre dans un nouvel onglet) de l’inspecteur général du ministère de la Défense (DoDIG), l’agence chargée de l’audit du DoD, a découvert l’utilisation à grande échelle d’applications et de services non autorisés sur les smartphones des travailleurs.

De plus, il y avait peu d’infrastructures ou de politiques en place qui permettaient au DoD de contrôler et de gérer l’utilisation de ces appareils, et les utilisateurs n’avaient pas reçu de formation adéquate sur leur fonctionnement acceptable et sûr.

Applications non autorisées

Les applications non gérées telles que celles liées au shopping, aux jeux, VPNs et – bizarrement – des « applications de concessionnaires de yachts de luxe » ont été installées sur les téléphones professionnels, et des applications de messagerie non approuvées ont été utilisées pour les communications officielles, ce qui enfreint les réglementations du DoD et pose des risques de cybersécurité.

Le principal problème concernant ces applications, souligne le rapport, est qu’elles ont souvent des autorisations permettant d’accéder aux autres informations stockées sur le téléphone, telles que les listes de contacts, les photos et les données GPS.

D’autres applications avaient également explicitement des fonctionnalités malveillantes qui étaient connues ou contenaient du contenu potentiellement inapproprié, tel que celui lié au streaming vidéo et aux jeux d’argent.

Le plus inquiétant était peut-être le manque de surveillance cité dans le rapport, commentant que le DoD ne gérait pas efficacement l’utilisation des appareils, et n’a pas non plus averti les employés des dangers potentiels d’une mauvaise utilisation des appareils de travail.

« Le personnel du DoD peut par inadvertance perdre ou supprimer intentionnellement des communications importantes du DoD sur des applications de messagerie non gérées. De plus, les applications mobiles qui sont mal utilisées par le personnel du DoD ou qui sont compromises par des acteurs malveillants peuvent exposer des informations du DoD ou introduire des logiciels malveillants dans les systèmes du DoD. »

Les recommandations du rapport à l’avenir étaient de transférer les messages d’applications de messagerie non autorisées vers des applications de messagerie sanctionnées et de les supprimer, et que l’accès aux magasins d’applications publics ne devrait pas être accordé « sans un besoin justifiable ».

Il a également conseillé de rédiger une liste d’applications approuvées pour les affaires officielles et de mettre à jour les politiques relatives à l’utilisation du téléphone et des applications, ainsi qu’une formation « sur l’utilisation responsable et efficace des appareils et applications mobiles ».

Ce n’est certainement pas la première fois que le DoD est réprimandé pour son attitude laxiste envers la cybersécurité. En 2021, l’ancien directeur de l’aile du service numérique de la défense du département avait sanctionné l’utilisation « d’une application mobile non gérée pour les affaires officielles du DoD, en violation des politiques de messagerie électronique et de conservation des enregistrements du DoD ».

Aussi, plus récemment, un autre auditcette fois du département américain de l’Intérieur, a constaté que les pratiques en matière de mots de passe étaient assez déplorables, nombre d’entre eux pouvant être piratés assez facilement avec des méthodes de piratage standard.