Les travailleurs fédéraux publient leurs habilitations de sécurité sur LinkedIn. Les agences disent que ce n'est pas pour rien qu'elles sont "top secret".

Les agences de défense mondiales ont dû demander à leur personnel de supprimer de leur profil professionnel les informations relatives à leur habilitation de sécurité, invoquant la menace croissante de l'espionnage chinois.

Les travailleurs fédéraux et le personnel militaire américains utilisent LinkedIn pour faire savoir qu'ils peuvent accéder à des informations gouvernementales top secrètes, un geste qui, selon les experts, peut "élever le risque de ciblage" des adversaires.

La semaine dernière, The Telegraph a rapporté que le ministère britannique de la Défense avait demandé à ses employés de supprimer de leur profil LinkedIn les informations relatives à leur habilitation de sécurité, invoquant la menace croissante de l'espionnage chinois.

"Si des individus utilisent des sites/applications de réseaux sociaux et font la publicité de leur habilitation de sécurité (par exemple, le niveau d'habilitation qu'ils détiennent), ils mettent en danger leur propre [sic], leurs collègues et la sécurité nationale", aurait déclaré le MoD dans un mémo interne. "Les individus doivent retirer ces détails de leurs profils de réseaux sociaux immédiatement".

Plusieurs personnes ayant une habilitation de sécurité de haut niveau du gouvernement britannique - leur donnant accès à des informations très sensibles - continuent de publier leur niveau d'habilitation de sécurité sur LinkedIn.

Mais le problème ne se limite pas au Royaume-Uni.

Fortune a trouvé de nombreux comptes LinkedIn appartenant à des Américains qui utilisaient la plateforme pour rendre public le fait qu'ils avaient accès à des informations top secrètes.

Faire connaître une habilitation "top secret

Dans les emplois du gouvernement fédéral américain - y compris ceux de l'armée - il existe trois niveaux d'habilitation de sécurité nationale : confidentiel, secret et top secret.

Un certain nombre de profils LinkedIn trouvés par Fortune annonçaient une habilitation Top Secret/Sensitive Compartmented Information (TS/SCI), et les personnes qui affichaient leur statut d'habilitation de sécurité travaillaient dans un mélange d'emplois du secteur privé et du gouvernement.

Un porte-parole du National Counterintelligence and Security Center (NCSC) du Bureau du directeur du renseignement national a déclaré à Fortune que les personnes travaillant pour le gouvernement américain étaient encouragées à prendre une série de mesures "au minimum" en ce qui concerne les médias sociaux.

Il s'agit notamment de faire attention à ce qui est publié sur les médias sociaux concernant leur travail - y compris les autorisations de sécurité - "car cela pourrait attirer l'attention de criminels ou d'adversaires".

Parmi les autres mesures conseillées aux fonctionnaires fédéraux, citons le fait de ne jamais accepter d'invitations en ligne à se connecter de la part de personnes qu'ils ne connaissent pas - même s'il s'agit de l'ami d'un ami - et de valider les demandes de connexion par d'autres moyens avant de les accepter.

Le personnel a également été encouragé à revoir ses paramètres de médias sociaux afin de contrôler la quantité d'informations qu'il présente au public, a ajouté le porte-parole du NCSC.

Fortune a envoyé des demandes de mise en relation à une poignée d'utilisateurs aléatoires de LinkedIn qui annonçaient publiquement leur statut actif TS/SCI sur leurs profils. Presque tous ont accepté, bien que la demande provienne d'un parfait inconnu.

Aucune des personnes ayant accepté une demande n'a répondu aux questions de Fortune sur les raisons pour lesquelles elles publiaient leur statut d'habilitation de sécurité nationale.

Informations sensibles

Le site d'emploi Indeed décrit l'habilitation TS/SCI comme "l'un des plus hauts niveaux d'habilitation de sécurité", ce qui signifie que toute personne ayant ce niveau d'habilitation a accès à des informations très sensibles.

"L'habilitation TS/SCI vous permet d'accéder à des informations sensibles qui ne sont pas accessibles au public", a déclaré l'équipe d'Indeed dans un billet de blog en juin.

"Parfois, cela peut signifier l'accès à des données, des informations ou même des technologies qui ne sont disponibles que pour ceux qui ont le niveau d'habilitation approprié. Souvent, le type de données auxquelles une personne ayant une habilitation TS/SCI peut avoir accès concerne la sécurité nationale."

Lorsqu'un emploi ou un projet nécessite l'accès à des informations classifiées relatives à la sécurité nationale, le niveau d'habilitation de sécurité approprié peut être accordé par l'une des nombreuses agences gouvernementales, notamment le ministère de la défense, le département d'État et la CIA.

L'habilitation de sécurité est accordée après une vérification des antécédents, qui est effectuée par le service de sécurité diplomatique, certaines agences exigeant que les candidats se soumettent à un test polygraphique. Plus de 38 000 vérifications des antécédents du personnel sont effectuées chaque année pour les agences fédérales.

Un risque important

Stuart McKenzie, vice-président senior des opérations EMEA de la société d'analyse de défense et de sécurité Mandiant Consulting, a déclaré à Fortune que si le risque d'annoncer des habilitations de sécurité sur LinkedIn et d'autres sites de médias sociaux n'est peut-être pas la menace la plus élevée, il pourrait tout de même représenter un risque significatif.

"Comprendre qui détient quel niveau d'habilitation et a été exposé à quelles données par le biais d'une expérience professionnelle antérieure élèvera le risque de ciblage", a-t-il expliqué. "Le [ministère britannique de la Défense] a raison d'affirmer que vous pouvez mettre les autres en danger de cette manière. Exposer le fait que vous avez récemment travaillé sur des projets sensibles exposera vos ex-collègues et augmentera également leur risque."

M. McKenzie ajoute qu'il n'est pas nécessaire que les individus fassent la publicité de leur niveau d'habilitation de sécurité sur les médias sociaux.

"Cela ne fera qu'accroître la menace pour l'individu et ses employeurs", a-t-il déclaré à Fortune.