Skip to content
Retour aux chroniques
#état-nation#chine#fédéral

La brèche de l’OPM

L’Office of Personnel Management des États-Unis détenait les dossiers d’enquête de sécurité de chaque agent fédéral habilité du pays. La Chine semble avoir tout pris.

Cyber Chronicle2 min de lecture

L’Office of Personnel Management des États-Unis est, en surface, une agence administrative qui gère les ressources humaines fédérales. Il se trouve aussi qu’il détient l’une des bases de données les plus sensibles du gouvernement fédéral : les dossiers d’enquête de sécurité SF-86 de chaque Américain ayant jamais postulé pour une habilitation de sécurité.

Deux brèches, un même trésor

En juin 2015, l’OPM révèle deux intrusions liées. La première a pris les fichiers du personnel d’environ 4,2 millions d’agents fédéraux actuels et anciens. La seconde, plus lourde de conséquences, a pris les formulaires SF-86 eux-mêmes — biographies exhaustives sur plusieurs décennies, comportant les contacts à l’étranger, l’usage de drogues, l’historique de santé mentale, les pressions financières, les relations familiales, et les mêmes données pour les conjoints et cohabitants — pour environ 21,5 millions de personnes. L’agence avait aussi perdu environ 5,6 millions de jeux d’empreintes digitales.

Une exfiltration propre

Les enquêteurs concluent que les attaquants étaient présents dans le réseau de l’OPM depuis plus d’un an et avaient utilisé les identifiants d’un sous-traitant, une segmentation réseau faible, et un chiffrement dépassé pour se déplacer librement. La directrice de l’OPM, Katherine Archuleta, démissionne en quelques semaines. L’affaire est attribuée aux services de renseignement chinois et, comme pour Anthem, les données volées n’ont jamais refait surface à la vente.

Ce que la chronique retient

L’OPM est la brèche que les responsables américains décrivent en privé comme la perte de renseignement étranger la plus dommageable de l’ère moderne. Une enquête de sécurité pour habilitation est, par conception, le profil personnel le plus complet qu’un gouvernement détient sur ses employés de confiance. Livrer ce profil à un service hostile ne compromet pas seulement les employés. Elle compromet toutes les relations, toutes les affectations, et toutes les légendes de couverture pour lesquelles ils pourront jamais être envisagés.