Des milliers de mails destinés à l’armée américaine atterrissent au Mali

La faute de frappe aurait pu être lourde de conséquences. Comme l’a révélé le Financial Times dans un article publié lundi 17 juillet, des centaines de milliers de « mails militaires américains ont été détournés vers le Mali à la suite d’une “fuite de typographie” ». L’erreur est ici humaine : de nombreux employés et services du Pentagone utilisent des adresses mail se terminant en « . mil », il s’agit du suffixe, aussi appelé domaine de premier niveau, géré par l’armée américaine. Il suffit d’oublier de taper un « i » pour envoyer par mégarde un mail à « interlocuteur@army.ml ».

C’est ici qu’intervient le problème : le domaine de premier niveau « . ml », qui correspond au code pays du Mali, est géré techniquement depuis dix ans par la société privée néerlandaise Mali Dili, qui s’occupe d’attribuer toutes les adresses en « . ml ». Dans les colonnes du Financial Times, un responsable de Mali Dili explique avoir observé, dès 2013, un grand nombre de requêtes concernant des noms de domaine comme army.ml et navy.ml, qui n’existaient pourtant pas. En mettant en place un serveur mail associé à ces noms de domaine, il a ainsi découvert près de 117 000 messages, initialement destinés à des personnels de l’armée américaine, mais envoyés par erreurs à un email malien.

Quelle est l’ampleur de la fuite ? Selon le quotidien financier, aucun document classifié n’est concerné et une grande partie des mails déroutés correspond en réalité à du spam. Mais des informations sensibles ont tout de même été envoyées par mégarde à des adresses en « . ml », comme les déplacements à venir d’un général américain, des listes de personnels ou des documents médicaux et financiers relatifs à des employés de l’armée. Le journal affirme par ailleurs que les militaires américains ne sont pas les seuls concernés : des mails destinés à des officiels néerlandais (qui utilisent le domaine de premier niveau « . nl ») ont également été envoyés par inadvertance à des adresses maliennes.

Personnes externes à l’armée

Ces erreurs peuvent être une source d’inquiétude pour les autorités américaines. D’autant plus que Mali Dili n’est plus, depuis lundi, le gestionnaire technique des noms de domaine en. ml. Ce rôle a en effet été transféré à l’Agence des Technologies de l’information et de la communication (AGETIC), un organisme rattaché au gouvernement malien. Et ce alors que la Russie continue d’accroître son influence dans le pays, notamment par l’entremise du groupe paramilitaire privé russe Wagner présent au Mali depuis décembre 2021, et se pose en allié principal des militaires au pouvoir depuis leur coup d’Etat en août 2020.

Lire l’enquête : Article réservé à nos abonnés Au Mali, la Sécurité d’Etat soupçonnée de financer les mercenaires russes Wagner

A travers l’AGETIC, les autorités maliennes et leur allié russe pourront-ils désormais utiliser les courriels mal acheminés pour nuire aux intérêts de Washington ? Lundi 17 juillet, Sabrina Singh, une des porte-parole du Pentagone, a assuré lors d’une conférence de presse que les messageries du ministère étaient configurées pour empêcher tout envoi de courriel vers une adresse en « . ml », sans toutefois préciser depuis quand.

« Aucun des mails [qui ont] fuité qui ont été mentionnés [dans la presse] ne vient d’une adresse mail du département de la défense », a aussi promis M^me Singh. Le Pentagone assure que le problème vient notamment des membres du personnel de l’armée utilisant leur adresse personnelle (par exemple une adresse Gmail) pour envoyer des documents professionnels. La description des documents faite par le Financial Times laisse également supposer que certains emails envoyés par erreur à des adresses en « . ml » proviennent également de personnes externes à l’armée : employés d’autres branches du gouvernement, ou même entreprises privées.

Alertes à plusieurs reprises

Selon le quotidien britannique, « le problème a été identifié pour la première fois il y a près de dix ans par Johannes Zuurbier ». L’homme, présenté comme un « entrepreneur néerlandais de l’internet », aurait alerté à plusieurs reprises les plus hautes autorités américaines du risque que représente une telle fuite de données. Même non classifiées, ces dernières pourraient être « exploitées par des adversaires des Etats-Unis », aurait écrit l’entrepreneur dans une lettre envoyée à l’administration américaine début juillet.

Mais Johannes Zuurbier, aussi nommé Joost Zuurbier, n’est pas seulement un lanceur d’alerte. En mars 2022, plusieurs entreprises qu’il a dirigées, dont Mali Dili, ont fait l’objet d’une plainte pour « cybersquattage » – c’est-à-dire pour usurpation de nom de domaine, de la part d’Instagram, Whatsapp et Meta, la maison mère de Facebook. Selon le document judiciaire consulté par Le Monde, plusieurs entreprises que M. Zuurbier a dirigées, avec un certain Marcel Trik, ont « formé un réseau complexe de sociétés fictives » ayant « enregistré, trafiqué et utilisé plus de 5 000 noms de domaines identiques ou similaires aux marques déposées » par Meta.

Lire aussi : Article réservé à nos abonnés Les armées du Chili, du Mexique, du Salvador, du Pérou et de Colombie ont subi un gigantesque piratage informatique

Il est notamment reproché à Freenom, une société qui chapeaute plusieurs autres entreprises de gestion de noms de domaine, d’avoir fermé les yeux sur l’utilisation frauduleuse de nombreuses adresses qu’elles géraient et commercialisaient, et qui étaient principalement utilisées pour des opérations d’hameçonnage destinées à siphonner des données personnelles et pirater des comptes sur les réseaux sociaux.

Des noms de domaine contrefaits, tels que fb-instagram.cf, chat-whatsaap.gq ou faceb00k.ga sont ainsi cités dans la plainte. Enregistrés pour le compte de clients par M. Zuurbier par le biais de ses entreprises basées aux Pays-Bas et aux Etats-Unis, ils ont ainsi été utilisés pour « rediriger leurs visiteurs vers d’autres sites web commerciaux, à caractère pornographique ou vers des sites utilisés pour des activités malveillantes telle que le phishing ».

27 000 opérations d’hameçonnage

Citant une étude sur les abus du système de noms de domaine menée par la Commission européenne, la justice américaine a en effet souligné que « cinq des dix domaines de premier niveau les plus abusés sont exploités par Freenom ». Un autre rapport, publié en septembre 2021 par l’Interisle consulting group, un groupe d’experts en sécurité numérique, estime que celui du Mali, « . ml », a fait l’objet de plus de 27 000 opérations d’hameçonnage de mai 2020 à avril 2021.

Le Mali est loin d’être le seul pays concerné. Selon ce même rapport et sur la même période, les noms de domaine des Etats du Gabon (.ga), de la Centrafrique (.cf) et de la Guinée équatoriale (.gq), eux aussi « exploités par Freenom », la société créée par M. Zuurbier, ont également fait l’objet de plus de 57 000 opérations de phishing.

Morgane Le Cam et Florian Reynaud