Violation de données de l'Office of Personnel Management

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

La violation de données de l'Office of Personnel Management est survenue en avril 2014, mais elle a seulement été dévoilée en juin 2015. À ce moment, l'Office of Personnel Management (OPM) indique un vol de données touchant 4 millions d'anciens employés et d'employés sous contrat avec le gouvernement fédéral des États-Unis[1],[2]. Plus tard, le directeur du FBI, James Comey, relève ce nombre à 18 millions[3]. Le 9 juillet 2015, l'OPM, agence fédérale américaine responsable de ces données, augmente le nombre d'employés touchés à 21,5 millions, dont du personnel soumis à la vérification des antécédents[4]. La violation de données, qui aurait commencé en mars 2014 ou plus tôt, serait la pire de l'histoire du gouvernement fédéral des États-Unis[2],[5]. Pour sa défense, la directrice de l'OPM, Katherine Archuleta (en), a indiqué que les systèmes informatiques sont si vieux qu'il est impossible de mettre en place des mesures de sécurité efficaces[6]. De plus, le gouvernement fédéral a réduit le budget informatique de l'OPM, ce qui a obligé l'agence à s'en remettre à la société USIS, jugée a posteriori inefficace[6].

Découverte[modifier | modifier le code]

En juillet 2014, The New York Times cite des hauts fonctionnaires américains qui avancent que des pirates informatiques chinois se sont introduits dans les systèmes informatiques de l'OPM. Ils expliquent que l'attaque vise plus particulièrement les données de salariés qui souhaitent occuper des postes exigeant une habilitation de sécurité. Les pirates auraient obtenu des autorisations d'accès, mais auraient été arrêtés avant de pouvoir copier des informations sur les habilitations. Lors d'une entrevue quelque temps plus tard, la directrice de l'OPM, Katherine Archuleta (en), affirme qu'aucune donnée personnelle n'a été compromise[7],[5],[8].

En juin 2015, le journal The New York Times rapporte que l'attaque a été découverte par le système de détection d'intrusion Einstein du US-CERT, même si ce dernier a été appliqué après l'intrusion[9]. Cependant, les périodiques The Wall Street Journal, Wired et Fortune, tout comme le site Ars Technica disent ignorer la méthode utilisée pour détecter l'intrusion. Ce serait peut-être le système CyFIR de la société CyTech Services qui aurait permis cette découverte[10],[11],[12],[13]. CyTech Services a confirmé l'information le 15 juin 2015[14] dans le but de corriger les contradictions du porte-parole de l'OPM en réplique à l'article du magazine Fortune[10].

Données exposées[modifier | modifier le code]

Le 11 juin 2015, ABC News indique que les informations recueillies par les Standard Forms (SF) 86 (Questionnaire for National Security Positions, « Questionnaire pour les postes à la sécurité nationale ») auraient pu être exposées à l'attaque. Les SF-86 comprennent des informations sur la famille, les collègues d'étude, les relations à l'étranger et des données de nature psychologique. L'OPM a répliqué que les noms des membres de la famille n'ont pas été exposés[15]. Cependant, le 13 juin 2015, un porte-parole de l'OPM a indiqué « qu'avec une certitude élevée, les systèmes de l'OPM qui contiennent des informations sur la vérification des antécédents d'employés anciens, actuels et éventuels du gouvernement fédéral, tout comme ceux qui ont subi une enquête sur leurs antécédents, pourraient avoir été exfiltrés[trad 1],[16]. » La Central Intelligence Agency (CIA) n'utilise pas le système de l'OPM ; elle pourrait ne pas être touchée[5].

En s'appuyant sur les informations transmises par l'OPM, le président de l'American Federation of Government Employees (en) (AFGE), J. David Cox, a rédigé une lettre à l'attention de la directrice de l'OPM, Katherine Archuleta : « Nous croyons que la cible était le Central Personnel Data File, et que les hackers détiennent présentement toutes les données personnelles de chaque employé fédéral, chaque retraité fédéral et jusqu'à un million d'anciens employés fédéraux[trad 2],[17]. » Selon Cox, l'AFGE pense que l'intrusion a compromis les données des vétérans et du personnel militaire en service[17].

Les informations recueillies lors du vol incluent des données personnelles comme le Social Security number[18], le nom, la date de naissance, le lieu de naissance et les adresses[19]. La violation s'est révélée plus sévère après une analyse plus approfondie, elle aurait en effet permis de recueillir de l'information sur les vérifications d'antécédents de personnes appliquant à des postes sensibles[15],[16],[20]. Les données volées comprennent 1,1 million d'empreintes digitales. Pour cette raison, les agents secrets du gouvernement fédéral ne seraient plus en sécurité puisqu'ils pourraient être identifiés par celles-ci, même s'ils changent d'identité[21]. À la fin septembre 2015, l'OPM révèle que les empreintes digitales de 5,6 millions de personnes ont été volées[22].

L'OPM a été avertie à plusieurs reprises sur la déficience de ses systèmes informatiques. Par exemple, un rapport de mars 2015 présenté devant le Congrès des États-Unis explique que les systèmes de gestion de l'OPM présentent des « insuffisances persistantes[trad 3] » en ce qui concerne la gestion des informations et les contrôles de sécurité[5],[23].

Responsables de la violation[modifier | modifier le code]

Selon The Wall Street Journal, des membres du gouvernement fédéral américain pensent que des pirates informatiques chinois ont réalisé cette violation[2]. The Washington Post rapporte que l'attaque provient de la Chine, mentionnant des sources gouvernementales anonymes[19]. La Chine a répliqué en mentionnat qu'elle aussi a été la cible de cyber-attaques[24]. Selon The New York Times, il est impossible de dire si l'attaque provient de la Chine et si le gouvernement chinois a ordonné une telle attaque[9]. Un cadre du Département de la Sécurité intérieure des États-Unis, Andy Ozment, a déclaré que les pirates ont obtenu des autorisations valides pour les systèmes qu'ils ont attaqués, probablement grâce à l'ingénierie sociale. Selon Ars Technica, au moins un hacker qui avait les privilèges nécessaires se trouvait en Chine. Une société sous contrat du gouvernement fédéral employait deux salariés qui détenaient un passeport émis par la Chine[6].

Les raisons de l'attaque sont peut-être de nature financières[9], mais elle pourrait avoir été accomplie dans le but de constituer une base de données sur les employés du gouvernement fédéral américain[24].

Suites[modifier | modifier le code]

En juillet 2015, des membres du Congrès des États-Unis exigent la démission d'Archuleta, indiquant qu'elle a fait des erreurs de gestion (car elle ne détient aucune formation ni expérience en gestion des ressources humaines) et qu'elle occupe ce poste à titre de faveur politique (car elle a fait campagne pour Barack Obama). Elle a répliqué qu'elle fait confiance au personnel de l'OPM[4]. Le 10 juillet, Archuleta démissionne[25],[26].

Une note interne du 22 juillet 2015 de l’Inspector General Patrick McFarland affirme que la directrice des systèmes d'information de l'OPM, Donna Seymour, ralentit son enquête, ce qui amène McFarland à demander si elle agit de bonne foi. Il ne cite aucun exemple, il explique que le bureau de la directrice crée de la méfiance en lui remettant des informations « incorrectes ou trompeuses[trad 4] »[27].

Notes et références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Office of Personnel Management data breach » (voir la liste des auteurs).

Citations originales[modifier | modifier le code]

  1. (en) « a high degree of confidence that OPM systems containing information related to the background investigations of current, former, and prospective federal government employees, and those for whom a federal background investigation was conducted, may have been exfiltrated. »
  2. (en) « We believe that the Central Personnel Data File was the targeted database, and that the hackers are now in possession of all personnel data for every federal employee, every federal retiree, and up to one million former federal employees. »
  3. (en) « persistent deficiencies »
  4. (en) « incorrect or misleading »

Références[modifier | modifier le code]

  1. (en) « Millions of US government workers hit by data breach », BBC News, (consulté le 5 juin 2015)
  2. a b et c (en) Devlin Barrett, « U.S. Suspects Hackers in China Breached About four (4) Million People's Records, Officials Say », Wall Street Journal, (consulté le 5 juin 2015)
  3. (en) Evan Perez et Shimon Prokupecz, « U.S. gov't hack may be four (4) times larger than first reported », CNN,‎ (lire en ligne)
  4. a et b (en) Patricia Zengerle et Megan Cassella, « Estimate of Americans hit by government personnel data hack skyrockets », Reuters, (consulté le 9 juillet 2015)
  5. a b c et d (en) David Auerbach, « The OPM Breach Is a Catastrophe », Slate,‎ (lire en ligne)
  6. a b et c (en) Sean Gallagher, « Encryption "would not have helped" at OPM, says DHS official », Ars Technica,
  7. (en) Michael S. Schmidt, David E. Sanger et Nicole Perlroth, « Chinese Hackers Pursue Key Data on U.S. Workers », The New York Times,‎ (lire en ligne)
  8. (en) George Jackson, « Archuleta on attempted breach and USIS », WJLA,‎ (lire en ligne)
  9. a b et c (en) Sanger, David E., « Hacking Linked to China Exposes Millions of U.S. Workers », New York Times, (consulté le 5 juin 2015)
  10. a et b (en) « A product demo revealed the 'biggest ever' government data breach - Fortune », Fortune (consulté le 10 juillet 2015)
  11. (en) Kim Zetter and Andy Greenberg, « Why The OPM Breach Is Such a Security and Privacy Debacle », Wired, (consulté le 10 juillet 2015)
  12. (en) « Report: Hack of government employee records discovered by product demo », Ars Technica (consulté le 10 juillet 2015)
  13. (en) Damian Paletta And Siobhan Hughes, « U.S. Spy Agencies Join Probe of Personnel-Records Theft », WSJ, (consulté le 10 juillet 2015)
  14. (en) « CyTech Services Confirms Assistance to OPM Breach Response », PRWeb, (consulté le 10 juillet 2015)
  15. a et b (en) Mike Levine, « OPM Hack Far Deeper Than Publicly Acknowledged, Went Undetected For More Than A Year, Sources Say », ABC News,‎ (lire en ligne)
  16. a et b (en) « Breach of Employee Data Wider Than Initial Report, U.S. Says », Bloomberg,‎ (lire en ligne)
  17. a et b (en) Ken Dilanian, « Union: Hackers have personnel data on every federal employee », Associated Press,‎ (lire en ligne)
  18. (en) Tom Risen, « China Suspected in Theft of Federal Employee Records », US News & World Report, (consulté le 5 juin 2015)
  19. a et b (en) Sam Sanders, « Massive Data Breach Puts 4 Million Federal Employees' Records At Risk », NPR,‎ (lire en ligne)
  20. (en) Kashmir Hill, « I am one of the millions of federal employees who just got hacked », Fusion,
  21. (en) Jose Paglieri, « OPM hack's unprecedented haul: 1.1 million fingerprints », CNN,‎ (lire en ligne)
  22. (en) Andrea Peterson, « OPM says 5.6 million fingerprints stolen in cyberattack, five times as many as previously thought », The Washington Post,‎ (lire en ligne)
  23. (en) Office of the Inspector General, Semiannual Report to Congress: October 1, 2014–March 31, 2015, Office of Personnel Management (lire en ligne [PDF])
  24. a et b (en) Kevin Liptak, « U.S. government hacked; feds think China is the culprit », CNN,‎ (lire en ligne)
  25. (en) Julie H. Davis, « Katherine Archuleta, Director of Office of Personnel Management, Resigns », The New York Times,‎ (lire en ligne)
  26. (en) « Too Much Information: A transcript of the weekend's program on FOX News Channel », The Wall Street Journal,‎ (lire en ligne)
  27. (en) « Watchdog accuses OPM of hindering hack investigation », FoxNews.com,‎ (lire en ligne)