Un fait-divers révélateur sur les vieilles pratiques de sécurité par obscurantisme qui frappe encore les officines bancaires Etats-uniennes, à la source deux papiers, l’un publié par Wired, l’autre par MediaPost.
Un employé de la Rocky Mountain Bank of Wyoming aurait, par erreur, expédié sur une adresse Gmail une liste de plus de 1300 noms de clients et données sensibles. Après s’être aperçu de sa malheureuse distraction, l’employé gaffeur a demandé à son correspondant de bien vouloir effacer le courriel en question « immédiatement et sans l’avoir lu au préalable » (sic). Ce qui implique donc que la Rocky Mountain Bank of Wyoming soit expédie ses courriels sous enveloppe légèrement transparente, soit possède un double service de correspondance client-établissement, l’un destiné à l’expédition du contenu, utilisant les voies parfois impénétrables du routage smtp, l’autre, purement psychique et très probablement télépathique, qui servira à indiquer aux destinataires les emails qui, au sein de leur boîte de réception, sont à lire ou à ignorer. Devant une telle technologie, même les plus perfectionnés des algorithmes Bayesiens peuvent aller se rhabiller.
Obéissant probablement à cette injonction par transmission de pensée, le propriétaire du compte n’a semble-t-il ouvert ni l’un ni l’autre (probablement assailli par un doute) et n’a donc pu répondre ni au premier, ni au second.
Devant un tel mutisme, le service juridique ou informatique bancaire tente donc de savoir si le compte Gmail est actif ou non. Ce à quoi les princes de la Recherche Web et empereurs de l’email cloudifié répondent que non, sans décision d’un juge, ce genre d’information ne serait pas divulgué. Un détail qui ne dérange guère les Beurriers du Wyoming, qui se font fort de dénicher un juge assez complaisant non seulement pour désactiver (temporairement est-il précisé) le compte en question, mais en plus pour adresser à Google une injonction visant à rendre publique l’identité du possesseur du compte.
Si nos confrères de Wired et de Mediapost s’émeuvent de cette décision, qui montre à quel point la justice Américaine est prompte à servir sans hésiter les intérêts des banques, personne, en revanche, ne s’étonne du fait que le contenu en question n’ai pas été chiffré à la source ou que les cotes d’alertes des outils de DLP –dont ne saurait se passer un organisme financier- n’ont pas une seule fois crié « au loup ». Un juge serait-il, de l’autre côté de l’Atlantique, moins cher qu’une remise à niveau des défenses périmétriques ?
En France, bien entendu, ce genre de mésaventure n’arrive jamais …