Ce qu’il ne faut pas écrire dans un dossier d’habilitation de sécurité (1988)

 (milk.com)
1 points par GN⁺ 2026-02-22 | 1 commentaires | Partager sur WhatsApp
  • Récit d’un épisode où un code secret créé à 12 ans après la lecture d’un livre sur la cryptographie a été pris par erreur pour une affaire d’espionnage du FBI
  • La clé de chiffrement rangée dans un étui à lunettes perdu a été prise à tort pour la preuve d’un espion japonais, déclenchant plusieurs semaines d’enquête du FBI
  • Après investigation, le FBI a rendu les lunettes mais a conservé la clé de chiffrement à des fins d’archives, concluant qu’il s’agissait d’une enfantillade
  • Des années plus tard, après avoir indiqué dans un dossier d’habilitation « déjà fait l’objet d’une enquête du FBI », le responsable de la sécurité a déchiré le formulaire et ordonné de le réécrire
  • Cette expérience montre sur un ton satirique qu’il ne faut pas inscrire de faits inutiles dans les documents d’habilitation de sécurité

L’espion e-t-a-o-n-r-i et le FBI

  • Dans son enfance, l’auteur lit Secret and Urgent de Fletcher Pratt et expérimente un système de chiffrement fondé sur l’analyse de fréquence
    • Avec un ami, il crée une clé de chiffrement et imagine une méthode de communication que seuls eux peuvent déchiffrer
    • La clé de chiffrement tient sur une page dactylographiée, dont chacun possède un exemplaire
  • L’auteur cache sa clé de chiffrement dans un étui à lunettes, mais perd l’étui en revenant de la plage
    • À l’époque, ses lunettes avaient coûté 8 dollars, une somme importante pour lui
  • La personne qui ramasse l’étui le prend pour un message codé d’un espion japonais et le signale au FBI
    • Nous sommes en 1943, peu après l’internement forcé des Américains d’origine japonaise
  • Après plusieurs semaines d’enquête, le FBI rend visite à la mère de l’auteur et confirme qu’un garçon de 12 ans est le suspect
    • Les agents expliquent avoir remonté jusqu’à lui grâce au dossier de correction de ses lunettes
    • L’agent exprime sa colère en déclarant que « le gouvernement a dépensé des milliers de dollars pour cette affaire »
  • Les lunettes sont rendues, mais la clé de chiffrement est saisie pour les archives du FBI, et l’affaire est close

L’incident du dossier d’habilitation de sécurité

  • À l’université, pour travailler dans un laboratoire de recherche électronique de la marine, l’auteur remplit un dossier d’habilitation de sécurité
    • À la question « Avez-vous déjà fait l’objet d’une enquête du FBI ? », il répond « oui » et ajoute « soupçonné d’être un espion japonais »
  • En voyant cela, le responsable de la sécurité entre dans une colère noire, déchire le formulaire et exige qu’il soit refait
    • Il le prévient que « s’il écrit cela, il n’obtiendra jamais l’habilitation »
  • Après avoir rempli un nouveau formulaire selon ces instructions, l’habilitation est rapidement accordée
  • Par la suite, l’auteur ne mentionne plus jamais cet épisode dans des documents d’habilitation

Anecdote en guise de conclusion

  • Plus tard, il apprend par hasard qu’inscrire certaines informations particulièrement accrocheuses peut aussi accélérer la procédure d’habilitation
  • Mais il laisse l’exemple concret pour « une autre histoire »
  • L’ensemble prend la forme d’un récit rétrospectif qui tourne en dérision l’irrationalité des procédures administratives et l’excès de culture sécuritaire

À lire aussi

1 commentaires

 
GN⁺ 2026-02-22
Réactions sur Hacker News

  • Lorsqu’il a remis le dossier à l’agent de sécurité, celui-ci l’a parcouru rapidement, a pointé la question liée au FBI et a demandé : « C’est quoi, ça ? »
    Après qu’il a expliqué la situation, l’agent s’est emporté, a déchiré le dossier et lui a dit : « Réécris-moi ça, et ne mentionne pas ça. Sinon, tu n’obtiendras jamais d’habilitation de sécurité. »
    Face à l’administration, il est important de « voir les choses du point de vue du gouvernement » — comme dans le jeu de mots de Seeing like a Bank, l’État range tout dans des « catégories (bins) »
    Le problème, c’est que même lorsque l’État ne détaille pas assez ces catégories, il tient ensuite l’individu responsable d’avoir choisi la mauvaise case

    • « Seeing like a Bank » est lui-même en réalité un jeu de mots sur le livre bien connu « Seeing like a State ». On se retrouve presque avec une référence circulaire complète
    • Le vrai problème, c’est toujours de comprendre quelle est la bonne « case ». L’État n’a peut-être pas de case pour « a fait l’objet d’une enquête du FBI à cause d’une bêtise d’enfance », mais si l’on ment, on finit dans la case « fausse déclaration »
    • Ce qui est dangereux, ce n’est pas seulement le risque, c’est de devenir un cas « anormal (anomalous) »

  • Même pour les habilitations de sécurité du plus haut niveau (selon les standards de l’OTAN), beaucoup de gens passent en mentant
    C’est particulièrement vrai pour les rubriques alcool, drogues, finances, partenaires étrangers
    Il y a dans l’armée beaucoup de personnes fonctionnelles en apparence mais en réalité alcooliques. Tant qu’elles ne se font pas prendre, leur habilitation continue d’être renouvelée
    En revanche, le cannabis déclenche une enquête approfondie au moindre soupçon. En pratique, bien plus de gens perdent leur habilitation à cause du cannabis qu’à cause de l’alcool

    • Un ami qui essayait d’obtenir une habilitation Top Secret au Canada a indiqué sa consommation hebdomadaire d’alcool lors d’un entretien avec détecteur de mensonge, et on lui a dit qu’une consommation typique d’étudiant était considérée comme relevant de « l’alcoolisme »
    • Au fond, tout repose sur la différence entre ce qui est objectivement vérifiable et ce qui est culturellement toléré dans l’organisation
    • Le problème est tel qu’on en arrive à dire que l’armée américaine est actuellement dirigée par des condamnés pour conduite en état d’ivresse pourtant inéligibles
    • On dit souvent qu’il vaut mieux offrir à un ami minimaliste des cadeaux consommables ou des expériences. Or cette méthode est aussi utile pour dissimuler un pot-de-vin — l’alcool bu ne laisse pas de preuve
    • Les politiques antidrogue strictes actuelles viennent des problèmes de drogue à l’époque de la guerre du Vietnam

  • Il existe un cas intéressant sur la manière d’obtenir rapidement une habilitation de sécurité — article connexe

    • C’est une approche astucieuse, mais en pratique cela pourrait aussi se retourner contre lui
    • En tout cas, cela a rendu l’histoire beaucoup plus intéressante
    • Cela fait penser à une anecdote de Feynman. C’était peut-être lié à l’esprit de l’époque
    • Ça a répondu à ma curiosité

  • Il est choquant que l’agent de sécurité lui ait conseillé de mentir. Cela relève presque certainement du crime grave

    • Ce qu’on oublie souvent quand on veut remplacer les humains par des machines, c’est que les humains servent aussi de correcteurs improvisés des erreurs du système
    • Lors de son engagement dans l’Air Force, à la question sur l’usage du cannabis, on lui a dit : « Répondez honnêtement, on sait tout », puis on lui a conseillé de répondre « sauf que c’était moins de 5 fois et que je n’aimais pas vraiment ça »
    • Vu le contexte de l’époque, cet agent de sécurité lui a peut-être en réalité rendu un grand service. S’il avait répondu « oui », il aurait perdu à la fois son habilitation et son job d’été
    • Il aurait été pratiquement impossible de retrouver des archives des années 1940, donc l’agent a probablement pris une décision pragmatique
      Aujourd’hui, avec les archives numériques, ce genre de chose est presque impossible. Au contraire, cacher l’information devient un problème bien plus grave
      Les enquêteurs sont généralement raisonnables, et s’il ne s’agit pas d’une dissimulation intentionnelle mais d’un simple oubli de mémoire, ils le comprennent
    • En général, on peut obtenir l’habilitation tant qu’on ne ment pas. Au final, la dissimulation est un péché plus grave que la faute d’origine

  • Il gérait un BBS en accès RTC à la fin des années 1990, et un été, des utilisateurs réguliers ont soudainement disparu
    Environ un an plus tard, il a appris que l’un d’eux avait été arrêté pour piratage d’aéroport
    Ils composaient au hasard des numéros de modem jusqu’à tomber sur un système sans mot de passe, qui s’est avéré être celui d’un aéroport
    Article connexe

    • Mais en réalité, l’affaire était plus grave, au point qu’ils avaient aussi exfiltré des données clients d’une pharmacie. Ce n’était pas juste un simple accès à « un système inconnu »

  • Il s’agit d’une histoire de 1988, qui présente le récit rétrospectif du vétéran de l’informatique Les Earnest à propos d’une bêtise faite à l’âge de 12 ans
    Wiki de Les Earnest

  • J’ai été surpris d’apprendre qu’il possédait le domaine milk.com

    • Sur la page milk.com/value, l’en-tête du serveur est « lactoserv »
    • Il y avait aussi une page où il racontait avoir refusé une offre de plusieurs millions de dollars
    • C’est presque aussi stylé que de posséder ai.com
    • Par hasard, un podcast de NPR écouté hier parlait aussi de la valeur de milk.com

  • Cette histoire avait déjà été évoquée ailleurs auparavant, et l’auteur aurait aussi plus tard raconté comment il avait introduit une norme de port du casque dans les courses cyclistes

  • Le système d’habilitation de sécurité est un cas d’école de la loi de Goodhart
    Son but initial est d’évaluer le risque de chantage, mais la forme finit par l’emporter sur le fond
    Les gens se mettent donc à cacher même des choses mineures comme une consommation de cannabis, ce qui devient précisément une prise possible pour le chantage
    À mon sens, il vaudrait mieux tout déclarer franchement. Si le gouvernement le sait déjà, un gouvernement étranger ne peut pas s’en servir comme faiblesse
    Au final, la bureaucratie fabrique son propre piège

    • Dire honnêtement qu’on a fumé du cannabis à l’université ne conduit pas forcément à un refus d’habilitation. Et même en cas de refus, il existe une procédure d’appel
      Le vrai problème, ce sont les petits mensonges par lesquels les gens essaient de cacher un « usage récent »
    • En disant la vérité, on risque de ne pas obtenir l’habilitation, mais le vrai problème est que l’incitation économique à mentir pour l’obtenir est forte
    • En pratique, on peut mettre à peu près n’importe quoi sur le formulaire SF86. C’est précisément l’objectif du système
    • Moi aussi, j’ai mis sur le SF86 toutes les stupidités que j’avais faites par le passé, et l’enquêteur a seulement voulu vérifier : « Vous ne referiez plus ça aujourd’hui ? »
      Si cela ne remonte pas aux 3 à 5 dernières années, c’est généralement pardonné. Les enquêteurs accordent davantage d’importance au fait de ne rien cacher
    • L’État devrait chercher à soigner les problèmes d’addiction de ses employés plutôt qu’à les étouffer
      Mais dans la réalité, on cache la vérité pour pouvoir déclarer qu’« il n’y a pas de problème »
      Il est aussi absurde que la case pour lister ses amis étrangers soit si petite qu’on en arrive à écrire « personne ne le saura »
      Au final, l’État continue de filtrer les gens avec une morale des années 1950, ce qui augmente au contraire le risque de chantage