Le ministère de la Défense dans une deuxième fuite de données de citoyens afghans

Le ministère britannique de la Défense est au centre de critiques croissantes après avoir potentiellement mis en danger la vie de citoyens afghans dans une violation de données par courrier électronique, le deuxième incident de ce type à émerger en l’espace d’une semaine.

Le dernier incident a vu les adresses e-mail et les noms de 55 personnes, dont au moins un ancien membre de l’Armée nationale afghane, copiés par erreur dans un e-mail avec leurs coordonnées visibles par tous les autres destinataires. Le courriel provenait de l’équipe de la Politique afghane de réinstallation et d’assistance (Arap).

Plus tôt cette semaine, Arap a exposé des données sur plus de 250 interprètes afghans qui, comme les destinataires de la dernière erreur de courrier électronique, attendaient d’être relocalisés au Royaume-Uni – leur sécurité personnelle étant menacée par les représailles des talibans s’ils restaient en Afghanistan.

Le secrétaire à la Défense, Ben Wallace, a annoncé mardi une enquête sur le premier incident aux Communes et, selon la BBC, il n’était soi-disant pas au courant de la deuxième violation à ce stade.

Le ministère de la Défense s’est excusé pour la deuxième fuite et a déclaré qu’un soutien supplémentaire était offert aux 55 nouvelles victimes. Dans un communiqué, un porte-parole du ministère a déclaré que des mesures avaient été prises « pour s’assurer que cela ne se produise pas à l’avenir ».

Computer Weekly a contacté le ministère de la Défense pour établir d’autres faits autour des incidents, mais n’avait pas reçu de réponse au moment de la rédaction du présent rapport. Cette histoire sera mise à jour si plus d’informations sont à venir.

Kingsley Hayes, responsable des violations de données au sein du cabinet d’avocats Keller Lenkner, a commenté: « Le ministère de la Défense a lancé une enquête sur les manquements à la confidentialité des données et aurait pris des mesures pour s’assurer que cela ne se produise pas à l’avenir. Mais avec deux violations de données graves qui se produisent en quelques jours, et une autre violation qui s’est produite il y a seulement quelques mois lorsqu’un membre du public a découvert des documents sensibles à un arrêt de bus, des questions sérieuses doivent être posées sur la façon dont de telles violations sont autorisées à se produire.

« En outre, alors que la priorité immédiate doit être d’assurer la sécurité des personnes mises en danger par les processus de courrier électronique aléatoires du ministère de la Défense, les responsables doivent en fin de compte être tenus responsables. Des vies ont été mises en danger et c’est tout simplement impardonnable. »

Andreas Theodorou de ProPrivacy a condamné un « schéma confirmé d’incompétence » et a déclaré que si l’erreur humaine était compréhensible, il y avait maintenant des preuves claires que les travailleurs clés du ministère de la Défense ne suivaient pas les meilleures pratiques de sécurité de base.

« Les gens en souffriront, et pas seulement les membres de haut niveau de l’armée afghane qui ont été délasés par les échecs d’un retrait précipité. Une fois de plus, le ministère de la Défense a donné aux talibans l’occasion de lancer des attaques physiques et numériques contre nous-mêmes et nos alliés, et tout cela par manque perçu de littératie numérique », a-t-il déclaré.

« Un système de vérifications est clairement nécessaire avant d’envoyer des communications de masse à des destinataires vulnérables dans des pays hostiles, où toutes les données divulguées peuvent être utilisées contre nos alliés et nous-mêmes. »

Wouter Klinkhamer, PDG de Zivver, une société néerlandaise spécialisée dans la sécurité des e-mails sortants, a décrit la dernière violation comme une démonstration frappante de ce qui pourrait mal tourner lorsque les communications par e-mail ne sont pas correctement protégées, et bien que le ministère de la Défense ait présenté un exemple extrême, il y a eu des leçons pour tous les types d’organisations.

« Tous les chefs d’entreprise doivent s’asseoir et examiner comment les informations sensibles sont partagées et quel soutien leur main-d’œuvre a pour communiquer en toute sécurité », a déclaré Klinkhamer. « Il est courant que des incidents comme celui-ci soient le résultat d’une erreur humaine. [verified by the UK’s ICO] – un employé sélectionnant par inadvertance « Cc » au lieu de « Cci » avant d’envoyer l’e-mail.

« Cependant, nous sommes tous humains, nous faisons tous des erreurs. Les organisations doivent se concentrer sur la façon dont elles peuvent donner à leurs individus les moyens de partager des informations en toute sécurité lorsqu’ils en ont besoin, en toute confiance et en toute simplicité, d’éviter une situation potentiellement dommageable. »