Ransomware : La menace a bien changé depuis Wannacry
Les ransomwares ont évolué depuis leur mise en lumière par la campagne Wannacry. Les cybercriminels se sont professionnalisés, les attaques se sont sophistiquées et les programmes sont désormais proposés en mode «as a Service». Face à cette menace mouvante, la défense statique ne suffit plus. Article paru dans L'Informaticien n°196 (mai 2021).
Le monde a bien changé depuis Wannacry, en 2017. Le choc et la stupeur provoqués par cette campagne d’une ampleur inédite ont laissé la place à l’accoutumance : il ne se passe plus une semaine sans que le nom d’une nouvelle victime de ransomware ne soit révélé. SK Hynix, Garmin, la MMA, Canon, MOM, Umanis… Ce ne sont que quelques-unes des sociétés victimes connues de rancongiciels en 2020. Une année marquée par l’intensification des attaques, à en croire l’Acyma. Selon le rapport d’activité 2020 de cybermalveillance.gouv, de sixième type menaces recensées en 2019, les attaques par rançongiciels sont devenues l’an passé « la principale menace à laquelle les professionnels ont été confrontés », en progression de 30 %, pour un total de 17 % des recherches d’assistance pour le secteur privé (entreprises et associations) et 19% pour le secteur public (collectivités et administrations). La crise sanitaire n’est sans doute pas étrangère à cette croissance. C’est un sujet que nous avons déjà traité à plusieurs reprises : avec la normalisation du travail à distance, la surface d’attaque s’est élargie pour la plus grande joie des cybercriminels.
Ces derniers aussi ont changé depuis 2017. Plus professionnels, ils se sont organisés d’une manière qui n’est pas sans rappeler leurs opposants du secteur de la cybersécurité, souligne Cyrille Badeau, VP Europe de Threat Quotient, avec « des fabricants de cœur de ransomware et des exploitants ». Et un modèle Ransomware « as a Service » où les premiers « proposent un service de location clé en main de l’outil » aux seconds, accompagné de « tout ce que l’on n’oserait pas imaginer en termes de services, tels que du support client en ligne ». Conséquence de cette professionnalisation, les attaques sont de plus en plus ciblées. « On est passé de la pêche au filet à la pêche au harpon », nous explique Julien Billochon, Solution Engineer Lead chez Cybereason. « On s’est rendu compte, surtout avec Emotet, que les attaquants ciblent beaucoup plus, en s’insérant par exemple de manière crédible dans un thread d’e-mails pour tromper la vigilance de l’utilisateur.» Les attaques classiques, auxquelles les PME sont les plus exposées, continuent de progresser, mais « la professionnalisation aujourd’hui est telle que cibler des grands groupes, c’est possible », abonde Cyrille Badeau. « Ce qui se traduit par une augmentation de la rançon exigée. Auparavant les attaquants visaient la quantité ; désormais ils ciblent en y mettant plus d’énergie et en demandant une rançon plus importante.»
Les pros de la rançon
Car le ransomware se professionnalisant, notamment à travers son modèle « as a Service » évitant aux opérateurs la gageure du développement d’un programme malveillant, l’arsenal à disposition des attaquants est toujours plus puissant. « Le mail reste le vecteur de prédilection, mais il a évolué », indique Cyrille Badeau. Si pour les attaques moins ciblées, les cybercriminels privilégient encore et toujours le phishing, ce qui se comprend par leur objectif de faire de la quantité, les attaques ciblées vont quant à elle faire l’objet de bien plus d’efforts de la part de leurs auteurs. « Je pense notamment à un cas où un mail contenant un document à signer avait été envoyé aux salariés du département Finances d’une entreprise la veille des résultats financiers », évoque le vice-président Europe de Threat Quotient. « C’est beaucoup d’énergie dépensée pour toucher très peu de gens, mais avec des résultats souvent extraordinaires. Et il est extrêmement compliqué pour les utilisateurs de ne pas se faire avoir.» Aux liens et pièces jointes malveillantes contenues dans les courriels s’ajoutent, dans le cadre de ces attaques ciblées, l’exploitation de vulnérabilités non patchées ou de VPN mal configurés pour obtenir une porte d’entrée dans le SI de l’entreprise. On pourra citer les failles Exchange, Zerologon ou encore sur certains produits Pulse Secure. « Et là, l’utilisateur ne peut pas y faire grand-chose », concède Julien Billochon. Une fois entrés, les attaquants ont là encore fait évoluer leur modus operandi. « Depuis 24 mois, on voit monter en puissance des ransomwares qui, outre de se répandre dans l’entreprise, sont capables de désactiver des capacités de backup. De telle sorte que lorsque le ransomware détonne, ce ne sont plus les activités des dernières 24 heures qui sont perdues, mais de plusieurs jours voire plusieurs semaines !» précise Cyrille Badeau. « Ce n’est pas fait pour attaquer la PME du coin !» La détonation du ransomware, l’action par laquelle il va chiffrer les fichiers et bloquer les machines, est l’ultime étape : elle va montrer à l’entité visée qu’une attaque a eu lieu et mener à la demande de rançon. Pour Julien Billochon, « C’est ici que nous avons également remarqué une évolution, notamment avec Ryuk. Avant, les ransomwares attaquaient quelques machines et bloquaient tout en latéralisant autant que possible. Avec Ryuk, on a vu des attaquants utiliser des techniques observées dans les APT pour s’introduire au plus profond du système d’information, sur la durée, avant de détonner de sorte à faire un maximum de dégât.»
De l’APT dans le ransomware
D’autant que, désormais, les attaquants ne se limitent plus au chiffrement des machines : ils en exfiltrent d’abord les données. Et contre ça, une politique de sauvegarde efficace capable de remettre l’infrastructure sur pied rapidement en cas de blocage est impuissante. « L’exfiltration fait peser sur la cible la menace d’une divulgation : l’objectif est qu’elle soit plus encline à payer la rançon » note le Solution Engineer Lead chez Cybereason. Autant de techniques, de procédés, que l’on observe depuis longtemps dans les Advanced Persistant Threat. Est-ce à dire que les mondes de la cybercriminalité et de l’espionnage «sponsorisé» par des États se rapprochent. Nos deux experts estiment que oui, du point de vue de la technique. « Un des risques futurs, c’est l’induction d’un défaut au sein d’une chaîne de production » Cyrille Badeau VP Europe de Threat Quotient mais que les finalités ne sont pas du tout les mêmes. « La capacité de blocage telle qu’elle est permise par les ransomwares modernes peut être utilisée par les deux mondes mais pas dans le même but », explique Cyrille Badeau. Et la situation pourrait empirer, avec des attaques d’une ampleur encore insoupçonnée. « Un des risques futurs, c’est l’introduction d’un défaut au sein d’une chaîne de production. Plutôt que de bloquer le fabricant pour l’empêcher de produire, j’induis un défaut dans la production et je la laisse tourner pour sortir l’info au bout de X temps. C’est un risque redouté chez les industriels et on sent que cette vague-là arrivera », prédit-on chez Threat Quotient. Du côté de Cybereason, on renchérit : « Ce type d’attaques pourra étendre l’impact sur les consommateurs finaux, les clients ».
Évidemment, il existe des moyens de se prémunir contre les ransomwares, mais ces derniers évoluant très vite, la défense doit pouvoir s’adapter au même rythme. « Une posture de défense entièrement réactive, presque statique, consiste à attendre les vagues d’attaques et à reboucher les trous. C’est une posture louable, un investissement en cybersécurité qui fait son office dans une période de stress léger et face à un risque extérieur peu important », signale Cyrille Badeau. Ici, la défense s’appuie sur la surveillance des alertes, laquelle va appeler une enquête qui va, le cas échéant, appeler une réponse… ce qui à l’énoncer semble peu efficace face à une attaque ciblée. « Mais en cas de stress élevé et de risque extérieur important, il est nécessaire de passer à autres chose.» Le ransomware aujourd’hui appelle une approche plus proactive avec, d’une part, une capacité d’apprentissage à des fins d’anticipation – soit améliorer la défense en amont de l’attaque – et d’autre part un bloc unifié alerte-réponse afin d’éviter le silotage des différentes solutions de détection et de réponse. Le tout se conjugue, on ne le répétera jamais assez, à la sensibilisation et à la formation des utilisateurs.
Arrestation de membres du groupe Cl0P
La police ukrainienne met la main sur six pirates présumés proches du groupe caché derriére le ransomware Cl0p.
Le groupe Cl0p décapité ? La police ukrainienne vient d’annoncer l’arrestation de six pirates informatiques présumés membres du groupe de ransomware éponyme.
150 000 dollars, en liquide, ont été découverts lors de cette opération policière impliquant l’Ukraine, les Etats-Unis d’Amérique et la Corée du sud. Le tout avec l’aide d’Interpol. A noter que les pirates derrière Cl0p n’hésitaient pas à téléphoner aux victimes pour « discuter du prix ».
Le matériel informatique des pirates a été saisi. Des milliers de dollars ont été retrouvés… dans des sacs plastiques de supermarché. Tesla, Mercedes et Ranger rover saisies. 21 perquisitions ont été lancées dans la région de Kiev.
Etonnamment, le blog diffuseur des données volées est toujours actif. Parmi les hommes arrêtés, des pères de familles !
Plusieurs centaines d’entreprises victimes
Parmi les victimes connues de Cl0p : MVTEC.COM, NFT.CO.UK, INRIX.COM, EXECUPHARM.COM, TWL.DE, PLANATOL.DE, INDIABULLS.COM, PROMINENT.COM, NETZSCH.COM, PRETTL.COM, SOFTWAREAG.COM, ALLSTATEPETERBILT.COM, NOVABIOMEDICAL.COM, PARKLAND.CA, ELANDRETAIL.COM, SYMRISE.COM, AMEY.CO.UK, THE7STARS.CO.UK, EAGLE.ORG, FUGRO.COM, SINGTEL.COM, DANAHER.COM, PENTAIR.COM, JONESDAY.COM, STERIS.COM, CGG.COM, TRANSPORT.NSW.GOV.AU, BOMBARDIER.COM, CSAGROUP.ORG, FLAGSTAR.COM, CSX.COM, NOWFOODS.COM, KINZE.COM, MMOSER.COM, QUALYS.COM, WRIGHT.COM, EDAG.COM, COLORADO.EDU, MIAMI.EDU, RACETRAC.COM, MARNELLCOMPANIES.COM, YU.EDU, UMD.EDU, UNIVERSITYOFCALIFORNIA.EDU, STANFORD.EDU, SHELL.COM, PNCPA.COM, NIPRO.COM, DURHAM.CA, TRAVELSTORE.COM, SIUMED.EDU, FOODLAND.COM, BOUTINEXPRESS.COM, RFF.ORG, SGS-LAW.COM, AUROBINDO.COM ou encore UTILITYTRAILER.COM. Parmi les 64 entreprises rançonnées (chiffrement et menace de diffusion de données), 4 entreprises françaises et une dizaine de canadiennes.
Des plaintes venues de Corée du Sud
En 2019, quatre entreprises coréennes sont attaquées par Clop, à la suite duquel 810 serveurs internes et ordinateurs personnels d’employés ont été bloqués. Une cyberattaque via des mails contenant un fichier malveillant. Après avoir ouvert le fichier infecté, le programme a téléchargé séquentiellement des programmes supplémentaires à partir du serveur de distribution et a complètement infecté les ordinateurs des victimes avec un programme géré à distance « Flawed Ammyy RAT ». À l’aide d’un accès à distance, les suspects ont activé le logiciel malveillant « Cobalt Strike », qui a fourni des informations sur les vulnérabilités des serveurs infectés. Les attaquants ont reçu une « rançon » en crypto-monnaie pour avoir déchiffré les informations. Le total des dégâts atteint 500 millions de dollars.
Les prévenus risquent jusqu’à huit ans de prison. Les actions d’enquête se poursuivent.
Windows 11 déjà piraté ?
Le prochain OS de Microsoft, Windows 11, diffusé par des pirates informatiques. Une version de Win11 qui pèse 5 Go.
Le 24 juin prochain, Microsoft doit annoncer une grosse nouveauté. Alors que Windows 10 devait être le dernier des OS du géant américain, il semble que Windows 11 sera bien présenté, fin juin 2021.
Si les premières fuites, en image, étaient apparues sur le portail communautaire Baidu, ZATAZ a repéré une version « pirates » du nouveau système d’exploitation de Microsoft. Elle est baptisée 21996 (le numéro de la réalisation) « CLIENT_CONSUMER_x64FRE_en-us« .
L’ISO est diffusé par un groupe de pirates informatiques Russe. L’OS pèse Plus de 4,7Go. Une copie datant du 30 mai.
Bien entendu, il est vivement déconseillé de télécharger la chose qui peut cacher, dans ses bits, cheval de Troie et autres codes malveillants.
Sortie d’iOS et iPadOS 12.5.4 pour les anciens iPhone et iPad
Pour maintenir la sécurité sur les appareils qui ne peuvent profiter d’iOS 14.
- Apple est en ce moment très actif sur les nouvelles versions de ses OS, iOS notamment, avec une première bêta pour développeurs parue il y a peu pour iOS 15, et une nouvelle bêta 3 sortie hier soir pour iOS 14.7.
Malheureusement, ces mises à jour ne concernent que les appareils récents, en tout cas, ceux qui supportent iOS 14. Notez que les mêmes iPhone et iPad supportent à la fois iOS 14 et iOS 15, et iPadOS 14 et iPadOS 15.
- Les listes des iPhone compatibles iOS 15 et iPad compatibles iPadOS 15
Mais à l’heure où il est facile de crier à l’obsolescence programmée avec les géants de la tech, la firme californienne continue de proposer des updates pour les plus anciens appareils iOS, ceux qui se sont arrêtés à la version 12.
12.5.4 pour iPadOS et iOS
Les deux OS mobiles d’Apple passent donc en version 12.5.4. Cela concernant les produits suivants :
- iPhone 5s, 6 et 6 Plus
- iPad mini 2, mini 3 et Air
- iPod touch 6e génération
Vous l’aurez devenez, la mise à jour n’apporte pas de nouvelles fonctionnalités. Mais elle vient tout de même avec des correctifs de bugs et de sécurité qu’il serait dommage de manquer. D’autant que selon la firme californienne, les failles résorbées au passage sont plutôt importantes. Alors si votre iPhone ou iPad peut en profiter, n’hésitez pas !
Une vilaine faille découverte dans Microsoft Teams
Elle n’est pas spécialement simple à exploiter, mais cette vulnérabilité peut avoir des conséquences désastreuses. Nichée dans l’outil collaboratif, elle permet via Power Apps d’accéder aux données entrées par un utilisateur dans Teams et, par ricochet, dans divers services tiers.
Avec 145 millions d’utilisateurs, Teams s’est définitivement imposé comme l’outil collaboratif de référence auprès de la majorité des organisations. Alors imaginez un peu si une faille de sécurité permettait de récupérer mails, discussions, SharePoint, OneDrive et autres données venues des API de services tiers… un véritable cauchemar en somme. Et c’est pourtant ce que permettait la vulnérabilité découverte par Evan Grant, chercheur chez Tenable.
Le problème ici, ce sont les onglets Power Apps. Lorsqu’un onglet est créé pour la première fois, il « exécute un processus de déploiement qui utilise les informations recueillies à partir du domaine make.powerapps.com pour installer l'application dans l’environnement de l'équipe ». Ce faisant, l’onglet ouvre un iframe sur une page d'un domaine spécifié comme approuvé dans le manifeste de cette application. Et c’est à partir de là que les choses deviennent intéressantes.
Une vérification incomplète
Le chercheur observe que l’iframe n’est chargé sur le makerPortalURL si et seulement si ce dernier commence par https://make.powerapps.com. Tout autre début d’URL dirigera vers une page vide. Mais la validation s’arrête à cette URL précise, sans vérifier l’ensemble du domaine. Ce qui permet au chercheur de créer une URL https://make.powerapps.com.fakecorp.ca/ qui va charger son propre contenu dans l’iframe.
Or la page make.powerapps.com communique avec Teams et l’iframe en utilisant Javascript PostMessage. Evan Grant, a l’aide d’une extension Chrome, était donc en mesure de lire ces PostMessage entre les deux services dès que l’onglet est installé et lancé. Avec ce message en particulier : « GET_ACCESS_TOKEN ». « L’iframe que nous avons substitué obtenait des token d'accès de sa fenêtre parente sans passer aucune sorte d'authentification » décrit le chercheur. Et à partir de là, c’est open bar sur le compte Teams de l’organisation ciblée.
Un impact considérable
Certes, cette attaque est particulièrement compliquée, Evan Grant lui-même le reconnaît. D’autant que la création d’onglets Power Tabs est limitée aux seuls utilisateurs authentifiés. Ce qui n’empêche en rien la compromission des informations d’authentification d’un utilisateur légitime, d’autant que la possibilité de créer des onglets est activée par défaut. Sans parler d’employés mécontents et d’autres menaces internes.
« L'impact potentiel d'une telle attaque pourrait être énorme, surtout si elle touche un administrateur de l'organisation » écrit le chercheur. « Qu'un si petit bogue initial (la validation incorrecte du domaine make.powerapps.com) puisse être utilisée jusqu'à ce qu'un attaquant exfiltre des e-mails, des messages Teams, des fichiers OneDrive et SharePoint est définitivement préoccupant ». Surtout, il permet la compromission de services tiers auxquels Teams est connecté.
Cette vulnérabilité a été découverte en mars dernier et a heureusement été corrigée par Microsoft depuis, un correctif qui a mené à la publication de cette recherche par Tenable.
L'état-major des armées partage un mot de passe en clair
Le compte officiel de l'état-major des armées françaises a partagé sur Twitter une photo révélant un mot de passe utilisé lors d'« exercices proches du réel » effectués par un « état-major interministériel ». Le tweet a prestement été effacé, mais plusieurs pages du site web du ministère des Armées continuent à l'afficher.
Le compte officiel de l'état-major des armées (EMA), qui partage sur Twitter « l'actualité des opérations militaires » de l'armée française auprès de quelques 166 000 abonnés, a publié hier une photo révélant un couple identifiant/mot de passe d'une « session Windows » scotchée, en clair et non flouté, sur une baie de brassage informatique.
Cette bourde est d'autant plus embarrassante que le tweet associé vantait précisément les « exercices proches du réel » auxquels s'adonnent les « acteurs de la sécurité » afin de « faire face aux risques naturels, technologiques ou sanitaires, ainsi qu'aux menaces qui peuvent peser sur la population ».
Alerté par @TomDAAVID, un étudiant en M1 à l'ENS de Lyon qui s'intéresse aux enjeux de santé publique des armes, munitions et substances en matière de maintien de l'ordre (ce pourquoi il avait vu passer le tweet), le compte Twitter de l'état-major a retiré le tweet, avant de le republier tel quel, puis de le réeffacer une seconde fois.
@MrPropagande, le compte Twitter qui s'était ironiquement demandé si « le mot de passe visible en haut à droite fait partie de l'exercice ? », nous a répondu que le tweet aurait été effacé en « moins d'une heure », mais qu'« il est bien resté une petite demi-heure » après qu'il l'ait remarqué, et retweeté.
L'intendance suivra... ou pas
Étrangement, si le tweet a donc prestement été effacé, l'article du ministère des Armées auquel il renvoyait n'a, lui, pas été modifié dans la foulée. Et ce, alors qu'on y retrouve pourtant la même photo, avec le mot de passe en clair, associée à une URL raccourcie intitulée « NOTREDEFENSE » (sic), l'article expliquant pourtant précisément comment «l’État doit préparer des réponses opérationnelles adaptées ».
Le ministère des Armées y indique ainsi qu'« au niveau zonal, cette planification est confiée à l’état-major préfectoral interministériel de zone de défense et de sécurité Ouest, en coordination avec les services de plusieurs ministères. Ce sont les Entraînements interministériels zonaux (EIZ), qui cette année, se sont déroulés de manière adaptée à la pandémie. »
En sécurité informatique, on a coutume de dire et répéter que « le problème est situé entre la chaise et le clavier » (pour « Problem Exists Between Chair And Keyboard », ou PEBCAK), et notre article ne vise bien évidemment pas à nuire à qui que ce soit, a fortiori parce que la responsabilité est certainement partagée, au vu du nombre de personnes impliquées, ce que cette bourde permet d'illustrer.
Ce n’est dans tous les cas pas la première bourde du genre – TV5 Monde en avait fait les frais il y a quelques années par exemple – ni la dernière malheureusement.
Plus de cinquante personnes impliquées
L'article, emblématique du syndrome « faites ce que je dis, pas ce que je fais », donne en outre la parole à un général de brigade aérienne qui explique que ces « moyens interministériels » reposent notamment sur « l'implication des armées », et que « nous mettons à disposition » des Écoles militaires, ainsi qu'une base aérienne.
Une préfète déléguée à la sécurité, ainsi qu'un sous-préfet, avaient à ce titre assisté au déroulé des différents exercices « depuis le Module d'appui à la gestion de crise (MAGeC) », du nom donné aux camions de la sécurité civilechargés de servir de PC de crise en cas d'évènement majeur, et à l'intérieur duquel la photographie a été prise :
« Ces entraînements permettent de travailler la gestion de la crise au niveau stratégique. Cela permet aux opérateurs, travaillant ensemble, d’apprendre à se connaître, à se comprendre, et à échanger sur leurs problématiques au niveau opératif. Dans cette ambiance interministérielle, le travail est fait sur la coordination des moyens. »
L'article précise au surplus que « l'objectif est de préparer certaines échéances, comme la coupe du monde de rugby et les JO 2024 », mais également que « cette année, le format était réduit à une cinquantaine de participants du Maine-et-Loire et de la Sarthe, venant des Agences régionales de santé, des services hospitaliers, des militaires, policiers et gendarmes, et militaires de la zone Ouest » :
« La concertation et la coordination interministérielles dans la lutte anti-terroriste et la prévention des risques Nucléaires, radiologiques, biologiques et chimiques ou explosifs (NRBC-E) sont au centre de ces entrainements. »
Où l'on découvre donc qu'aucun de la cinquantaine de participants à cet exercice interministériel « stratégique », pas plus que les communicants de l'état-major des Armées, ne s'était donc aperçu qu'un mot de passe figurait en clair sur la photographie censée l'illustrer et que ce n’était évidemment pas une bonne idée…
Impossible en l’état d’établir les responsabilités, mais qui dit « interministériel » dit responsabilité partagée. Plusieurs personnes auraient donc pu éviter la boulette, en premier lieu celles dans la salle, celle qui a pris la photo et celles qui l'ont mise en ligne et partagée sur Twitter et le site web du ministère des Armées.
« Faire travailler ensemble tous les intervenants »
L'article explique pourtant que son objectif était de « faire travailler ensemble tous les intervenants, sur tous les échelons de commandement, dans des simulations d'attentats pouvant avoir des conséquences NRBC-E » :
« L’exercice est construit autour d’un "serious game" dans un exercice de type "caisse à sable" à partir d'une photo satellite très détaillée de la zone d'incident et de modèles réduits des matériels et personnels, mis en place par le Centre national civil et militaire de formation et d'entraînement (CNCMFE) NRBC-E. »
Un lieutenant-colonel explique y avoir été impliqué, « au niveau tactique, avec un chef de groupe SENTINELLE et un représentant de la délégation militaire départementale pour jouer la coordination haute avec l'échelon préfectoral. Il faut que l'exercice soit joué avec la réalité de ce que serait l'engagement de nos militaires sur le terrain ».
Un sergent y précise que son rôle était de son côté de « renforcer les Forces de sécurité intérieures en sécurisant une zone en parallèle avec la gendarmerie, en relation avec mon chef de section et le délégué militaire départemental » (DMD).
Le rôle de ce DMD, explique le ministère des Armées, était d'« avoir le commandement tactique des militaires sur la zone, pour cet exercice, mais aussi dans la réalité » :
« Dans le MAGeC, les autorités sont rassemblées et peuvent suivre la situation et décider des actions à entreprendre. Mon rôle est de conseiller le préfet en ce qui concerne tous les services que peuvent offrir les armées. Nous avons des militaires en place qui remplissent une mission sous le commandement opérationnel de la gendarmerie. Ils me rendent compte de la situation. Cela me permet de dialoguer avec les autorités et de proposer les renforts possibles des armées en fonction de l'évolution de la situation. »
L'article vante en conclusion un « outil puissant pour l'entraînement interministériel », mais également que « les EIZ seront renouvelés à l'automne, avec un format "grandeur nature", soit 400 participants des départements de la zone Ouest, en fonction de l'évolution de la situation sanitaire. »
« Plus de 13 000 militaires sont engagés »
Il relève également en incise que « plus de 13 000 militaires sont engagés au quotidien dans la protection du territoire national » :
« Cette mission de protection du territoire est globale et interarmées. Elle comprend les militaires de l’opération Sentinelle et les postures permanentes de sûreté aériennes et de sauvegarde maritime, auxquelles s’ajoutent les missions ponctuelles de service public destinées à porter secours aux populations. »
Gageons que cette bourde servira de RETEX (pour « retour d’expérience », dans le vocable militaire) aux nombreux participants à venir à ces futurs exercices interministériels. Le Centre de doctrine et d'enseignement du commandement le qualifie en effet de « système qui contribue à l’amélioration de l’outil de défense en participant à son évaluation au contact des réalités et en proposant des solutions aux déficiences constatées » :
« Le RETEX a pour fonction de rechercher des informations émanant des opérations ou des exercices, de les exploiter pour les traduire en enseignements qui conduiront à des adaptations. »
Et ce, a fortiori parce ses finalités visent entre autres à signaler « les dysfonctionnements et les déficiences observés afin de pouvoir y remédier », de sorte de pouvoir améliorer « la contribution au rayonnement des armées françaises. »
On notera à ce titre qu'une recherche image inversée révèle en outre que la photo, et l'article associé, ont été publiés sur (au moins) 5 autres pages web du ministère des Armées...
De surcroit, la photo postée sur le site web du ministère des armées, qui est de bien meilleure résolution que celle qui avait été partagée sur Twitter, permet en outre d'identifier le numéro de téléphone du Module d'appui à la gestion de crise (MAGeC) impliqué.
La bourde n'aurait certes guère été relayée, mais d'aucuns ironisent également quant au fait que « le choix de MDP laissait à désirer », à mesure qu'il n'était constitué que de 3 majuscules suivies de 3 minuscules (choisies, au surplus, en fonction de leurs positions sur le clavier, de type AZErty), puis d'un banal « ?! ». Occasion de rappeler notre article sur le choix d’un bon mot de passe, mais donc aussi de préciser qu'il pourrait d'ailleurs être opportun de privilégier la notion de « phrase de passe »…