Nous sommes généralement invités à utiliser des mots de passe forts, difficiles à deviner et à l’abri des regards indiscrets. Il semble cependant que certaines institutions publiques soient les premières à ne pas respecter cet avis. Si récemment nous étions surpris par l'actualité du système de sécurité du musée du Louvre, c'est désormais la DGT qui en est le protagoniste.
Et la Direction Générale du Trafic a été impliquée dans une polémique à ce sujet après que Informativos Telecinco a accidentellement montré, aux heures de grande écoute, un post-it collé sur un écran avec un nom d'utilisateur et un mot de passe écrits dessus. Et le pire de tout, c’est que ce dernier était d’une facilité insultante.
La scène dure à peine un instant dans le reportage diffusé par le réseau, mais cela signifie peu au moment des captures d'écran, elle a donc suffi à indigner de nombreux utilisateurs conscients de la problématique de la cybersécurité, qui n'ont pas tardé à propager l'erreur sur les réseaux.
Et la clé révélée est si simple que beaucoup auront du mal à croire qu’elle fait partie d’un système informatique gouvernemental.
Et le mot de passe exposé n'était autre que « 54321 », une séquence présente dans tous les « dictionnaires de mots de passe » utilisés par les pirates pour accélérer leurs cyberattaques, et considérée comme l'un des exemples les plus flagrants de faute numérique.
Un oubli enregistré en haute définition
L'incident a été révélé grâce à des professionnels du secteur, comme Carlos Cantero, spécialiste de la Cyber Intelligence et OSINT. En arrêtant l'une des images du rapport, il a observé qu'au bas d'un moniteur de la DGT se trouvait un autocollant avec un nom d'utilisateur et un mot de passe clairement visibles.
C'est ainsi que Cantero l'a dénoncé dans sa publication LinkedIn :
« Le fait que la DGT ait le nom d'utilisateur et le mot de passe non sécurisé attachés au moniteur lui-même donne matière à réflexion, surtout sachant l'enfer qu'est l'Espagne en termes de protection des données. »
Certains téléspectateurs ont également réussi à distinguer qu'en plus des identifiants, le domaine privé du service interne utilisé pour gérer les incidents était affiché. Bien que ce domaine puisse être protégé par un VPN ou un filtrage IP, la simple exposition présente un risque potentiel supplémentaire.
Il pleut sous la pluie
Il faut tenir compte du fait que la DGT a un historique récent d'incidents liés à la sécurité informatique. Il n'y a pas si longtemps, l'organisation a subi une attaque qui a permis de voler les données de 34 millions de conducteurs, mises ensuite en vente sur le Web profond pour seulement 3 000 euros, donnant lieu à l'une des plus grandes campagnes d'usurpation d'identité jamais connues en Espagne. Au cours de ces mois, des milliers de citoyens ont reçu de faux e-mails simulant des amendes urgentes, des messages permettant aux attaquants d'accéder à des comptes bancaires privés.
Dans ce contexte, le nouveau dérapage est particulièrement grave. Et placer le nom d'utilisateur et le mot de passe sur une feuille de papier visible est l'une des pratiques les plus dangereuses possibles dans un environnement professionnel, et encore plus lorsqu'il s'agit des bureaux d'une institution publique qui protège les informations critiques de millions de citoyens.
Leçons non apprises
Ces types d’erreurs ne sont pas des pannes isolées, mais des symptômes structurels d’un problème plus profond : le manque de culture de sécurité numérique au sein de certaines organisations publiques. Ces violations ne sont généralement pas dues à des attaques externes majeures, mais plutôt à de petites négligences internes, accumulées au fil des années et normalisées dans le travail administratif quotidien. Les experts recommandent :
- éviter tout mot de passe visible dans les espaces communs,
- utiliser des gestionnaires de mots de passe,
- et surtout établir des mots de passe complexes et uniques pour chaque service.
