Trois ans de prison, et 375 000 euros d’amende. C’est ce que risqueront ceux qui porteront atteinte au “secret des affaires“, sorte de “confidentiel défense” appliqué aux entreprises, si la proposition de loi de Bernard Carayon, discutée ce soir et demain à l’Assemblée, est adoptée en l’état.

MaJ 24/01/2012 : la loi a été votée, cette nuit, par les députés. Elle devra ensuite passer au Sénat

L’objectif affiché est de lutter contre l’espionnage industriel. Dans les faits, le texte pourrait également servir à faire condamner tout employé qui se serait permis de faire “fuiter“, auprès de journalistes, d’ONG, a fortiori des initiatives type WikiLeaks, tout document interne protégé par ce nouveau “secret des affaires” et dont la divulgation serait “de nature à compromettre gravement les intérêts (de leur employeur, NDLR), en portant atteinte à son potentiel scientifique ou technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle“.

Député UMP spécialiste des questions de défense et d’intelligence économique, ardent défenseur de la notion de “patriotisme économique“, Bernard Carayon explique que “la plupart des autres États industrialisés, qui se sont dotés de législations protectrices dans ce domaine, l’ont bien compris, que ce soit aux États-Unis ou chez nos partenaires européens” :

L’enjeu est de se doter des moyens de lutter à armes égales dans la concurrence internationale. Un débat s’est ouvert. Un tabou est levé, qui interdisait de parler de guerre économique. La sécurité économique des entreprises ne peut être laissée au seul ressort contractuel : elle exige l’intervention des pouvoirs publics, d’où la nécessité de recourir à la loi, en particulier, à l’arme pénale.

Le texte fixe ainsi une définition “précise et circonscrite” du secret des affaires, premier volet qualifié de “« pédagogique » et préventif” par Bernard Carayon :

Constituent des informations protégées relevant du secret des affaires d’une entreprise, quel que soit leur support, les procédés, objets, documents, données ou fichiers, de nature commerciale, industrielle, financière, scientifique, technique ou stratégique, ne présentant pas un caractère public, dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle, et qui ont, en conséquence, fait l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci.

Un second article, le “volet dissuasif et répressif“, porte création du délit de “violation du secret des affaires“, passible de trois ans d’emprisonnement, et de 375 000 euros d’amende. Mais pas seulement : comme le précise le rapport de Bernard Carayon, “l’entreprise victime sera toujours en mesure de réclamer, parallèlement, des dommages et intérêts dans le cadre d’une action civile“.

Le secret des affaires ne pourra pas être opposé, cela dit, “aux instances représentatives du personnel dans l’exercice de leur droit d’accès aux documents de l’entreprise prévu par les lois et règlements“, non plus qu’à la justice, à la police ou aux autorités administratives indépendantes dans l’exercice de leurs missions de surveillance, de contrôle ou de sanction.

A la demande du syndicat de la presse quotidienne nationale (SPQN), Bernard Carayon a modifié sa proposition de loi pour étendre au secret des affaires la solution retenue par la loi relative à la protection des sources des journalistes. Cette disposition leur permettra de produire un document couvert par le “secret des affaires“, sans courir le risque d’être condamné pour recel de violation. De même, ceux qui dénonceront des faits susceptibles de constituer des infractions seront eux aussi déliés du secret des affaires.

La proposition de loi précise ainsi que le “violation du secret des affaires” n’est pas applicable “à celui qui informe ou signale aux autorités compétentes des faits susceptibles de constituer des infractions ou des manquements aux lois et règlements en vigueur dont il a eu connaissance“.

Or, nombreux sont les “lanceurs d’alerte” qui contactent des journalistes, ou des ONG, pour les alerter sur des dysfonctionnements pas forcément répréhensibles en l’état, mais qui pourraient être couverts par la proposition de loi.

Pour ne prendre que quelques exemples, les révélations de la vente par la société française Amesys de matériel de surveillance de l’internet à Kadhafi, de la dangerosité du réacteur nucléaire EPR, voire même le scandale des implants mammaires PIP, reposent en bonne partie sur le fait que des lanceurs d’alerte ont transmis à des journalistes ou ONG des documents qui pourraient relever de la notion de “secret des affaires“. Pour autant, ils ne pourraient pas être utilisés pour dénoncer une infraction.

A contrario, rien ne protège aujourd’hui les lanceurs d’alerte, et nombreux sont ceux qui ont été menacés, harcelés ou même sanctionnés pour avoir osé dénoncer tel ou tel scandale. Les (ex) salariés de la société Amesys ont ainsi reçu un courrier de leur employeur les enjoignant au silence. Nul doute que si le “secret des affaires” avait existé, Amesys aurait eu beau jeu de les menacer de trois ans d’emprisonnement et de 375 000 euros d’amende… Effet WikiLeaks aidant, elles seront probablement nombreuses à faire ainsi pression sur leurs employés pour éviter toute fuite d’information.

Interrogé par OWNI pour savoir ce qu’il comptait faire pour que sa proposition de loi ne se traduise pas par une pression supplémentaire sur les lanceurs d’alerte, Bernard Carayon a eu cette réponse laconique :

Pas de craintes. Relisez attentivement ce que la loi prévoit ; elle protège précisément ceux qui révèleraient des infractions à la loi.

Et c’est bien le problème : les lanceurs d’alerte seront certes protégés s’ils dénoncent aux autorités des “faits susceptibles de constituer des infractions“, pas s’ils transmettent à des journalistes ou ONG des documents “protégés” qui, bien que portant sur des pratiques non répréhensibles, seraient néanmoins “de nature à compromettre gravement les intérêts” de leurs employeurs, s’ils venaient à être divulgués.

Furieux, les Chinois –en visite pour acheter des Airbus- quittent l’hôtel, sans porter plainte. La PJ intervient et trouve dans la chambre visitée un kit spécial « rat d’hôtel » pour crocheter une serrure et aspirer toutes les données d’un ordinateur. L’enquête n’a pas permis d’identifier les rôdeurs. Révélée par la Dépêche du Midi, l’affaire a été soigneusement étouffée, jusqu’à ce que Charlie Hebdo ne lève le voile sur l’identité des mystérieux visiteurs du soir : une équipe de la DGSE, héritiers du fameux Service 7, spécialisé dans l’interception de courriers et autre ouverture de valises diplomatiques.

Officiellement démentie, l’opération a (provisoirement) gelé les activités du « service opérations » (SO). Elle montre aussi le dynamisme des services secrets français en matière d’espionnage économique, promu au rang d’activité stratégique de premier rang.

Espionnage économique : quand les “services” surveillent les Français

S’il est formellement interdit, a priori, aux services de renseignement américains d’espionner des citoyens états-uniens. A contrario, les services de renseignement français ont non seulement le droit, mais aussi l’obligation, de s’intéresser de très près à certains de leurs concitoyens. Et pas seulement en matière d’anti-terrorisme.

En 2005, la DST et les RG avaient ainsi été invités à le faire au moment des “émeutes de banlieue”, en surveillant les échanges téléphoniques, les SMS, blogs et sites internet au motif que les jeunes émeutiers s’en servaient pour communiquer, et s’organiser. Mais le contre-espionnage ne s’intéresse pas qu’aux seuls fauteurs de trouble à l’ordre public.

En 2006, suite à la labellisation de 67 pôles de compétitivité, la DST et les RG ont été invités à s’intéresser de plus près à l’intelligence économique. Tout comme la DPSD, le moins connu des services de renseignement français.

On connaît plus ou moins bien les Renseignements Généraux (RG), ainsi que la Direction de la surveillance du territoire (DST), fusionnés en 2008 au sein de la Direction centrale du renseignement intérieur (DCRI), qualifiée de “FBI à la française en matière de renseignement” par le ministère de l’Intérieur.

On sait moins que les RG “ont créé, en 1999, un observatoire de l’intelligence économique, instance de réunion et d’échange, qui, en mai 2000, a publié un référentiel, une sorte de bréviaire de l’IE (et qu’ils) ont fait de l’intelligence économique un sujet d’étude au même titre que l’actualité sociale ou les banlieues“. De même, la DST “a subi dès la fin des années 70, une importante évolution liée (au) glissement des activités d’espionnage du seul secteur militaire vers les domaines économique, scientifique et technique“.

De fait, les missions vont de la lutte contre l’espionnage et le terrorisme à la protection du patrimoine économique, et donc la surveillance des individus et mouvements susceptibles de “porter atteinte à la sécurité nationale“. Le décret portant création de la DCRI précise ainsi qu’”elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l’Etat“.

Du côté du militaire, la DGSE est chargée du renseignement à l’étranger (et tant en matière d’antiterrorisme que d’intelligence économique), la DRM du renseignement militaire (ils collaborent au programme “Frenchelon” d’espionnage des télécommunications), et la Direction de la Protection et de la Sécurité de la défense (DPSD) des habilitations secret défense, du contre-espionnage, du contre-terrorisme et de la “contre-subversion intéressant la défense nationale“.

Espionnage économique et contre-espionnage militaire

Dans le cadre de la montée en puissance de l’intelligence économique, un rapport parlementaire révéla, en 2006, que “l’organisation des postes de la DPSD en métropole a été intelligemment calquée sur la cartographie des « pôles de compétitivités » définis par le Gouvernement“.

Lors d’une présentation de son service à l’Ecole supérieure de guerre, le général Antoine Creux précisait ainsi ce jeudi 20 janvier, que la “protection du patrimoine économique” est la deuxième priorité de la DPSD. La seule industrie de défense représente aujourd’hui 2000 entreprises pour un chiffre d’affaires de 10 milliards d’euros par an.

Autrement dit, il s’agit de se déployer aux côtés de ces sociétés et laboratoires de recherche et développement que le gouvernement considère comme les plus prometteurs, afin de les protéger. Et donc d’en surveiller les actifs, et les salariés. Et ce d’autant que “le ministère de la Défense s’est fortement impliqué dans l’action interministérielle d’analyse des candidatures et qu’il “dispose de leviers d’action très variés pour soutenir et travailler” avec la vingtaine de pôles de compétitivité dans lesquels il est impliqué.

Fin 2005, le Figaro expliquait ainsi, dans un article intitulé L’espionnage économique menace les PME, la façon qu’avaient les services de renseignement de s’intéresser de près à certains Français :

A l’instar de la DST, chargée de détecter toute menace visant de grosses entreprises considérées comme sensibles et pouvant porter atteinte à la sûreté de l’État, les “grandes oreilles” des RG, grâce à leur maillage régional, se penchent au chevet des petites et moyennes entreprises innovantes, susceptibles de faire l’objet d’actions hostiles. «Une centaine de fonctionnaires ont déjà été formés pour vérifier systématiquement, lorsqu’une entreprise de pointe est en difficulté, si elle a fait l’objet d’une attaque d’un concurrent», explique un haut fonctionnaire.

En l’occurrence, le “bilan confidentiel” (sic) des RG avançait que, sur 934 entreprises surveillées “dans le cadre d’éventuelles «débauches de cadres détenant un savoir-faire», de «piratages ou de vols d’ordinateurs», «d’actions de lobbying offensif», de «rumeurs d’appartenance sectaire pour exclure un concurrent d’un appel d’offre» ou encore «d’infiltrations par le biais de stagiaires étrangers»“, 158 présentaient des “signes de vulnérabilité“, et que 87 d’entre elles avaient fait l’objet “d’actions hostiles signalées“.

“Il faut dire les choses, rappelait le général Creux, on a des ennuis avec les stagiaires chinois, très nombreux, qui comme par hasard veulent faire leur thèse dans des domaines sensibles.” Et le directeur de la DPSD de souligner qu’”on est au tout début de la guerre de l’information, les gens ne se rendent pas compte de la vulnérabilité des systèmes d’information… “.

« Evaluer l’efficacité socio-économique » du contre-espionnage militaire français

En 2006, la DPSD avait ainsi pour objectif d’”améliorer le niveau de sécurité des forces et du patrimoine industriel et économique lié à la défense” :

La DPSD est chargée d’une mission de contre ingérence économique afin de protéger les industries de défense qui maîtrisent des techniques de pointe ou des technologies duales les rendant très sensibles aux actions d’ingérence étrangère.

Ce risque d’ingérence peut être lié aux activités de services de renseignement, d’organisations ou d’agents se livrant à l’espionnage, au sabotage, à la subversion, au terrorisme ou au crime organisé.

Le rapporteur s’inquiétait par ailleurs “du fait que près d’un tiers des inspections ne soit pas effectué dans les délais impartis“, notamment du fait que “la DPSD ne dispose pas d’assez de personnel pour assurer ces inspections.

RGPP aidant, ses effectifs sont de fait passés de 1618 en 1997 à 1224 en 2010, une décroissance qui va s’accélérant : “globalement, la DPSD est engagée dans une diminution des effectifs qui sera supérieure à 15 % sur six ans“. Le général Antoine Creux avance pour sa part le chiffre de 350 inspecteurs de sécurité répartis en 60 sites sur tout le territoire.

En 2008, au moment de la création de la DCRI, on dénombrait 3450 policiers aux RG, et 2000 à la DST. Depuis leur fusion, les effectifs ont fondu. La DCRI, qui dénombrait 4 000 fonctionnaires dont 3 000 policiers à sa création, n’en comptait plus que 3306 début 2009, lorsqu’elle s’est vu notifier, au titre de la RGPP, “une déflation quadriennale de 400 personnels, soit 12 % de ses effectifs, de manière à atteindre 2 922 équivalents temps plein travaillé au 31 décembre 2011“.

En 2008, quelque 1 200 policiers et 440 personnels administratifs issus des RG étaient en effet affectés à une nouvelle sous-direction de l’information générale (SDIG), chargée des missions, autrefois révolues aux RG, mais ne relevant pas du “renseignement” (information générale sur l’activité politique, économique et sociale, surveillance des violences urbaines).

Comment surveiller le secteur privé ? En l’infiltrant…

On ne peut pas dire, pour autant, que le travail de surveillance et de renseignement ait forcément pâti à la hauteur de cette baisse d’effectif. Car, et dans le même temps, on assiste aussi à une privatisation rampante du métier de contre-espion, les sociétés d’intelligence économique et de sécurité privée recrutant allègrement nombre d’anciens agents des services de renseignement.

En prenant conscience de la montée des pratiques d’espionnage économique dans les années 90, les “services” ont ainsi mis au point plusieurs parades. La première a consisté à placer sous surveillance le milieu des officines privées.

L’arrivée de l’agence Kroll (3800 salariés en 2007, soit le premier cabinet de renseignement financier dans le monde) à Paris et le débauchage en 1992 de l’inspecteur principal Yves Baumelin, responsable à la DST des relations avec les services étrangers, sonna comme un coup de semonce. Pour ne pas se laisser déborder, la DST institua un contrôle systématique des Sociétés de renseignement privées (SRP).

Dans son livre témoignage, l’ex gendarme Patrick Baptendier raconte comment chaque semaine un officier traitant du contre-espionnage visite la société Géos pour s’informer des dossiers en cours. Idem pour le vivier de sous-traitants (souvent de très petites PME) qui peuplent ce milieu de l’intelligence économique.

Géos fait d’ailleurs figure de tête de pont. Fondée par un ancien caporal-chef du service action de la DGSE, elle voit arriver dès 1998 l’ex-patron de la Direction du renseignement militaire (DRM), le général Jean Heinrich… suivi par une brochette de pontes des services. Pourquoi une telle alliance ? Sinon pour constituer un pendant aux services proposés par les grands cabinets anglo-saxons.

L’autre phénomène observé cette dernière décennie est la lente mais certaine privatisation de la fonction renseignement des groupes mondialisés. Renault, comme toutes les entreprises positionnées sur un secteur concurrentiel, a développé un véritable service de renseignement.

Dirigé par Rémi Pagnie, ex de la DGSE et ancien chef de poste à Tokyo, il peut compter sur d’anciens de la police judiciaire. Tous reconvertis dans le juteux business de la sécurité privée. Ce qui peut finir par créer des tensions, lorsque les intérêts d’une multinationale ne convergent plus avec ceux de l’Etat… Au milieu des années 2000, conscients de ces risques, la DST avait rédigé un décret interdisant à ses agents de pantoufler dans le privé avant une période probatoire de trois ans, de façon à rendre obsolète leur carnet d’adresses. Aucun gouvernement n’a pris le risque de mécontenter les futurs jeunes retraités des services…

—

Illustration de Une : Loguy

Article de Une : Le droit à l’information mis à mal par le secret des affaires / Espionnage chez Renault: un cas de bleuïte ou une vraie fuite ?

Illustration CC Spy by bhrome. Merci à David Servenay pour sa relecture, et ses propositions.

Les Etats-Unis et plusieurs de ses alliés travaillent à la construction d’un nouvel avion de chasse de cinquième génération, le F-35 Lightning II, un bijou de technologie. Il y a de bonnes raisons de croire qu’un gouvernement étranger, probablement la Chine, a piraté les serveurs de l’entreprise qui le fabrique pour télécharger l’intégralité des plans. Ainsi, un ennemi potentiel connaît donc les forces et les faiblesses d’un appareil qui n’a pas encore volé.

Mais venons-en au chapitre le plus effrayant: s’ils se sont introduits dans le système, croyez-vous qu’ils ont seulement copié des informations? Ou pensez-vous qu’ils aient pu implémenter un virus dans le programme? Imaginez un futur dans lequel un F-35 américain est opérationnel au combat, dans lequel une autre nation met en service un chasseur beaucoup moins efficace, mais qui pourrait envoyer un signal révélant une faille dans le programme du F-35 et causant son crash. Les avions d’aujourd’hui, qu’il s’agisse du F-35 ou du Boeing 787, reposent sur l’informatique. L’appareil n’est qu’un gros ordinateur dont la plupart des actions sont commandées par l’électronique.

Ce qui est intéressant ici, c’est l’admission qu’il est possible pour des groupes de cyberguerre de s’insérer dans les projets militaires les plus secrets et les plus sensibles. L’une des raisons structurelles de cet état de fait tient entre autre en ce que les composants électroniques de toutes sortes de matériels sont développés dans une vingtaine de pays. Et les logiciels correspondants à ces composants sont développés par des programmeurs répartis dans le monde entier. A l’évidence, il est impossible d’assurer une sécurité numérique dans ce type d’environnement. Selon Clarke, “il est tellement facile d’intégrer une trappe dans 50 millions de lignes de code. Il est tellement facile d’avoir un élément microscopique sur une carte mère qui permette à quelqu’un de rentrer sans autorisation”.

Société du contrôle numérique

Partant de ce constat simple et de bon sens, je cherche seulement à en tirer quelques possibles implications, non pas seulement pour telle ou telle industrie sensible, mais surtout pour l’ensemble de la société. Ma prédiction est que les prolégomènes de la cyberguerre révèlent une extrême fragilité intrinsèque de l’ensemble de l’info-structure, fragilité dont Stuxnet ou l’attaque du début 2010 sur les comptes gmail de Google n’est qu’un simple avertissement.

Je prévois que la cyberguerre, qui a déjà commencé ses premières escarmouches sous des formes relativement modérées, ou bien alors visant des types d’adversaires très ciblés, va en fait essaimer sous des formes incontrôlables, avec sans doute deux conséquences principales:

- Un durcissement impitoyable des politiques de sécurisation de la Toile, par le biais législatif, technique et policier, affectant l’ensemble de la population (“transparence” accrue, info-totalitarisme).
- Une diffusion générale des techniques de cyberguerre dans de très nombreux pays, mais aussi dans les mafias et, sans doute, dans certaines entreprises très “motivées”.

Autrement dit, des lois comme Hadopi, Loppsi, ou des accords comme ACTA, ne sont que des préfigurations d’une société du contrôle numérique poussé jusqu’au moindre bit. Ces lois et accords sont d’ailleurs déjà complètement dépassés par la dangerosité intrinsèque des formes de cyberguerre qui se déploient sous nos yeux. Il faudra donc bientôt passer à des modèles législatifs beaucoup plus inquisiteurs, et beaucoup plus destructeurs des libertés. Officiellement, il s’agira de lutter contre le cyber-terrorisme, avec sans doute comme élément déclencheur un futur virus de type Stuxnet provoquant une catastrophe impactant l’opinion publique et la réduisant au silence des agneaux.

Face à un tel pronostic, que faire?

D’abord le travail de longue haleine: éducation approfondie de tous, sensibilisation permanente aux dangers non seulement personnels mais structurels de l’info-sphère. Ensuite, il faut renforcer le développement prioritaire du “libre et de l’ouvert”, avec auto-contrôle accru par les pairs. Adapter le droit de la propriété intellectuelle pour permettre l’examen par des autorités indépendantes (Une organisation mondiale du numérique?) des designs de tous les composants de la chaine numérique. Il faudra se résoudre à arbitrer entre la notion de secret industriel et celle de protection de la sécurité numérique globale.

Enfin, il y a le volet politique et démocratique. In fine, c’est là que réside le nœud du problème.
Il y a du pain sur la planche, et du bois à scier dans la grange.

Ce billet a initialement été publié sur Metaxu, le blog de Philippe Quéau

__

Crédits photo: Flickr CC laverrue, fotdmike

Nombreux sont les médias à s’être penchés sur la question, de façon souvent quelque peu sensationnaliste. Aucun n’a dans le même temps cherché à expliquer comment l’on pouvait s’en protéger.

Le fait est que, et aussi paradoxal que cela puisse être, la CNIL explique bien, par exemple, comment nous sommes tracés sur le Net… mais sans jamais nous expliquer comment s’en protéger. Et si ces techniques d’espionnage existent depuis des années, force est de constater que jamais les autorités n’avaient cherché, jusque-là, à expliquer aux gens comment s’en protéger (voir, à ce titre, “Internet : quand l’Etat ne nous protège pas“).

Or, il se trouve que deux agences, liées aux services de renseignement français, viennent précisément de publier coup sur coup deux guides destinés à nous aider à sécuriser nos ordinateurs et téléphones portables, et garantir la confidentialité de nos télécommunications.

Initialement destinés à tous ceux qui, patrons, chercheurs, cadres supérieurs, négociateurs, peuvent, du fait de l’espionnage industriel, voir leurs communications surveillées, leur lecture s’avère également très instructive pour tous ceux qui chercheraient à se protéger de l’espionnite aïgue de leurs parents, conjoints, employeurs ou collègues.

Une lecture que goûteront également probablement ceux qui, inquiets des projets de surveillance de l’internet prévus par l’Hadopi, la Loppsi, l’ACTA, ou encore par les pouvoirs accrus confiés aux forces de police et services de renseignement, sont aujourd’hui soucieux de protéger leur vie privée, et leurs libertés.

Alors que Reporters Sans Frontières célébrait récemment la journée mondiale contre la cyber-censure (près de cent vingt blogueurs, internautes et cyber-dissidents sont en prison, en Chine, au Viêt-nam ou en Iran notamment), il n’est en effet pas anodin de noter que les démocraties aussi, surveillent, et censurent l’internet…

A lire en complément du mode d’emploi que m’avait commandé, l’an passé, une revue du CNRS : Comment contourner la cybersurveillance…

Vous êtes en état d’interception : toutes vos télécommunications pourront être retenues contre vous

En août 2008, le département de la sécurité intérieure (DHS) américain annonçait que les ordinateurs portables de toute personne passant par les Etats-Unis pourraient désormais être saisis :

La police des frontières américaines pourra désormais saisir le matériel électronique des voyageurs pour “examiner et analyser l’information transportée par un individu qui tente d’entrer, de réentrer, de partir, de passer en transit ou qui réside aux Etats-Unis“, même si aucun soupçon ne pèse sur l’individu ou les informations qu’il transporte.

Les fédéraux américains peuvent ainsi “détenir les documents et les équipements électroniques, pour une période raisonnable afin de pouvoir faire une recherche approfondie” sur place ou en envoyant l’ordinateur à des spécialistes.

Critiqué de toutes parts, le DHS expliqua que cela lui permettait de lutter contre le terrorisme, la pédo-pornographie, mais aussi le vol de propriété intellectuelle, et précisa que la pratique n’avait rien de nouveau, que ses agents le faisaient depuis bien longtemps :

“Depuis la fondation de la République, nous avons eu la capacité de faire des recherches aux frontières afin d’éviter l’entrée dans le pays d’individus et de produits dangereux. Au 21ème siècle, la plus dangereuse des contrebandes est souvent contenue dans les médias électroniques et pas sur du papier. L’ère des dossiers de papiers et des microfiches est révolu.”

Les autorités françaises, elles, y voient quand même un léger petit problème. Sans pointer explicitement du doigt les USA (d’autant que ce genre de fouille approfondie n’est pas l’apanage des Etats-Unis), les deux modes d’emploi, publiés en décembre et janvier 2010, expliquent comment, précisément, réduire les risques, et protéger ses données, dès lors que l’on voyage ou part en mission avec un téléphone mobile, un assistant personnel ou un ordinateur portable.

De fait, la guerre économique, et l’espionnage industriel, sont une réalité souvent mal perçue par ceux qui, pourtant, peuvent en faire les frais. En 2005, les Renseignements Généraux estimaient ainsi qu’”une société sur quatre est ou a été touchée par l’espionnage industriel“.

En 2009, une “note blanche” de la Direction centrale du renseignement intérieur (DCRI) révélait que “près de 3000 firmes françaises ont été victimes de très nombreuses “actions d’ingérences économiques”, destinées à leur voler leurs secrets de fabrication, à déstabiliser leur direction ou à gêner le lancement de nouveaux produits” entre 2006 et 2008.

Evitez, SVP, d’utiliser un ordinateur…

“Seul un ordinateur éteint, enfermé dans un coffre-fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé, et encore.“
– Bruce Schneier, expert mondialement réputé pour ce qui est des questions de sécurité informatique.

Dans un Guide pratique de la sécurité publié en décembre 2009, le Haut fonctionnaire de défense et de sécurité (HFDS) du ministère de l’économie, qui “conseille et assiste les ministres pour toutes les questions relatives aux mesures de défense et de sécurité, tout particulièrement dans le domaine de la défense économique“, a une solution toute trouvée : “le PC portable doit être évité dans la mesure du possible“.

Privilégiez les solutions suivantes :

- Emportez vos fichiers sur un, voire deux, à titre de sauvegarde, support amovible que vous gardez avec vous (les médias de sauvegarde sont régulièrement mis à jour et rangés dans deux bagages distincts).
- Préférez la mise à disposition d’un PC de l’entreprise sur place, dans un environnement de confiance. Dans ce cas, emportez vos fichiers sur unsupport amovible, si possible chiffré en fonction de la législation locale relative aux transmissions chiffrées et gardez ce support en permanence avec vous.

Si le PC portable est indispensable :

- Contrôle d’accès au démarrage avec un mot de passe fort et/ou biométrie.
- Données dans la partition chiffrée du disque dur ou sur un support amovible chiffré et sous surveillance permanente.
- Banalisez le transport de l’ordinateur portable (pas de sacoche portant la marque du fabriquant…).
- Ne relâchez jamais la surveillance de votre PC (il voyage en cabine avec vous).
- Rappelez-vous que toutes les liaisons hertziennes (wifi, bluetooth, carte 3G…) à partir d’un PC, PDA ou téléphone portable peuvent être interceptées.

…à défaut, restez vierges

Sous-titré “Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable“, le Passeport de conseils aux voyageurs, co-signé Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, rattachée au Secrétaire général de la défense nationale), et Régis Poincelet, vice président du Club des directeurs de sécurité des entreprises (CDSE), rappelle lui aussi que “les cybercafés, les hôtels, les lieux publics et parfois même les bureaux de passage n’offrent pas de garantie de confidentialité. Dans de nombreux pays étrangers, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains, les chambres d’hôtel peuvent être fouillées“.

Le guide commence par rappeler qu’au premier chef, les appareils “ne doivent contenir aucune information autre que celles dont vous avez besoin pour la mission” et que doivent en particulier être proscrites les “photos, vidéos, ou œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation ou des mœurs du pays visité“.

Règle n°1 : ne jamais partir en voyage avec son ordinateur personnel, ni de travail, mais de ne voyager qu’avec un disque dur vierge de toute donnée.
Règle n°2 : prenez connaissance de la législation locale.
Règle n°3 : sauvegardez les données que vous emportez, “vous récupérerez ainsi vos informations à votre retour en cas de perte, de vol ou de saisie de vos équipements“.
Règle n°4 : évitez de partir avec vos données sensibles. “Privilégiez, si possible, la récupération de fichiers chiffrés sur votre lieu de mission en accédant :
- au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN mis en place par votre service informatique.
- sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture“.
Règle n°5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Règle n°6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), “cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse“.

A noter, en complément de la règle n°4, un petit truc, inspiré de la technique bien connue de la boîte aux lettres morte et qui aurait été utilisé par des terroristes pour échapper à la surveillance étatique : partager une boîte aux lettres électroniques, en n’y écrivant qu’en mode brouillon : les emails ne sont dès lors pas échangés, ils ne circulent pas sur les réseaux, et ne peuvent donc être consultés que par ceux qui se sont connectés (de façon sécurisée, via https) à la boîte aux lettres en question.

Chiffrez l’intégralité de vos données

D’un point de vue plus technique, le passeport recommande de “configurer les appareils de manière défensive“, et donc d’installer sur vos appareils numériques de quoi “résister aux attaques informatiques et éviter le vol de données” :

- Désactivez les liaisons inutilisées (Bluetooth, infrarouge, wifi, …) et les services inutiles ;
- Paramétrez le pare-feu et le navigateur de manière restrictive;
- Utilisez un compte sans droits administrateur;
- Mettez à jour les logiciels (système d’exploitation, navigateur, anti-virus, pare-feu personnel, etc…);
- Désactivez l’exécution automatique des supports amovibles (CDROM, Clés USB);
- Désactivez les services de partage de fichiers et d’imprimantes.

Afin de garantir la confidentialité des données, il convient également d’installer “un logiciel qui assure le chiffrement de l’environnement complet de travail (disque dur, fichiers temporaires, fichier d’échange, mémoire)” pour ce qui est des ordinateurs portables, d’”un logiciel assurant le chiffrement de l’intégralité du répertoire de contacts, de l’agenda et des messages” pour les PDA et les Smartphone (”à défaut, activez la protection d’accès par code PIN“).

On peut également se reporter au manuel de sécurisation des iPhone publié par la National Security Agency américaine (chargée d’espionner les télécommunications du monde entier, mais également de sécuriser celles des Américains), publié en décembre 2009, et dont la plupart des conseils peuvent également s’appliquer aux autres modèles de téléphones portables.

La NSA y rappelle au premier chef de ne jamais se séparer physiquement de son mobile, dès lors qu’il existe des logiciels et outils qui, une fois installés sur les appareils, permettent de les écouter à distance.

De même, et à l’instar des bonnes pratiques recommandées pour ce qui est des ordinateurs, il est vivement conseillé de protéger l’accès aux données par un mot de passe (la plupart des téléphones permettent de paramétrer un écran de veille qui ne peut être désactivé que par un mot de passe), voire de le configurer de sorte que le téléphone efface toutes les données après X tentatives infructueuses d’y accéder.

Dans la mesure du possible, évitez d’utiliser le Wifi (sauf s’il est vraiment sécurisé, de préférence en WPA2), et désactivez bien évidemment le BlueTooth, ainsi que la géolocalisation.

Le n°24 de la revue ActuSécu, paru en janvier 2010, revient en détail sur les problèmes de sécurité des iPhone. Tout comme la NSA, elle déconseille fortement de “jailbreaker” son téléphone.

Cette opération, consistant à passer outre les restrictions imposées par Apple afin d’y installer un autre système d’exploitation, installe en effet par défaut un “serveur” sur le téléphone, serveur qui, ouvert, offre la possibilité à des individus mal intentionnés de s’y connecter, et d’y récupérer l’intégralité des données…

Ceux qui, malgré tout, voudraient jailbreaker leur iPhone prendront le soin de modifier les mots de passe des comptes root et mobile. Par défaut, ces deux comptes ont le même mot de passe : alpine…

Bon voyage

Une fois ces règles bien comprises, et vos appareils et systèmes de communication paramètres de sorte d’être correctement sécurisées, “vous disposez maintenant des bons bagages pour partir en toute sécurité…“, ou presque, comme le rappellent les auteurs du rapport, au chapitre “Pendant la mission” :

1) Gardez vos appareils, support et fichiers avec vous !
Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre).
2) Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie.
3) Utilisez un logiciel de chiffrement pendant le voyage.
Ne communiquez pas d’information confidentielle en clair sur votre téléphone mobile ou tout autre moyen de transmission de la voix.
4) Pensez à effacer lʼhistorique de vos appels et de vos navigations (données en mémoire cache, cookies, mot de passe dʼaccès aux sites web et fichiers temporaires).
5) En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
Fournissez les mots de passe et clés de chiffrement, si vous y êtes contraint par les autorités locales.
6) En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
7) N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
8) Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et effacez les fichiers, de préférence avec un logiciel d’effacement sécurisé.

La sécurité est un process, pas un produit

Dans un autre accès de clairvoyance, Bruce Schneier avait également déclaré que “Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie“.

Dit autrement, la sécurité est un processus, pas un produit, et rien n’est pire qu’un faux sentiment de sécurité engendré par une accumulation de “trucs” ou parce qu’on a acheté tel ou tel “produit” ou logiciel de sécurité.

Les auteurs du rapport rappellent ainsi qu’”avant votre retour de mission“, un certain nombre d’autres mesures de protection s’avèrent, sinon indispensables, tout du moins fortement conseillées :

1) Transférez vos données

- sur le réseau de votre organisme à l’aide de votre connexion sécurisée ;
- sinon sur une boite de messagerie en ligne dédiée à recevoir vos fichiers chiffrés (qui seront supprimés dès votre retour). Puis effacez les ensuite de votre machine, si possible de façon sécurisée, avec un logiciel prévu à cet effet.

2) Effacez votre historique de vos appels et de vos navigations

Après la mission, tout particulièrement si votre équipement a échappé à votre surveillance :

1) Changez les mots de passe que vous avez utilisés pendant votre voyage.
2) Analysez ou faites analyser vos équipements.
“Ne connectez pas les appareils à votre réseau avant d’avoir fait au minimum un test anti-virus et anti-espiogiciels“.

Ayez une bonne hygiène… du mot de passe

De façon plus générale, il est de toute façon recommandé d’avoir une bonne hygiène du mot de passe, et donc de ne jamais les écrire sur des bouts de papier, de toujours mêler lettres minuscules, majuscules, chiffres et caractères spéciaux, d’en changer régulièrement, et de ne surtout pas utiliser un seul et même mot de passe pour les comptes les plus importants…

L’une des techniques préférées des pirates informatiques, et des espions, est d’installer un “cheval de Troie” sur l’ordinateur de leurs victimes, afin d’en prendre le contrôle ou, via un “keylogger” (enregistreur de touches de clavier) de capturer leurs mots de passe, et donc d’être maître de leurs ordinateurs.

Une technique fort utilisée en matière d’espionnage industriel lorsque la personne à espionner n’a pas d’ordinateur, et que c’est l’espion qui le lui fournit… et que le gouvernement français s’apprête, lui aussi, à autoriser. La Loppsi prévoit en effet de donner la possibilité aux forces de l’ordre d’installer de tels mouchards ou logiciels espions sur les ordinateurs des personnes suspectées de crimes en “bande organisée“, notion fourre-tout melant terrorisme, vols, trafic de drogue, proxénétisme mais également l’aide à l’immigration clandestine, il n’est pas inutile de savoir comment saisir un mot de passe sans risque de le voir intercepté.

A la manière des antivirus, il existe des anti-keyloggers, mais ils sont payants, et ne détectent généralement que les keyloggers connus existants sur le marché. Deux techniques, relativement simples, permettent a priori de se prémunir contre ce genre de mouchards : la première, et plus connue, consiste à utiliser le clavier virtuel de son ordinateur (certaines banques en ligne en propose aussi), et donc de, non pas taper le mot de passe sur le clavier, mais de le cliquer, avec la souris.

L’autre technique, exposée par le blogueur Korben, consiste à taper un grand nombre de caractères, de manière aléatoire, en parallèle à la saisie du mot de passe. Ainsi, et au lieu d’entrer, par exemple, m0T2p4$s3, l’utilisateur averti saisira dans le formulaire m0 puis, à côté, dans le vide, une suite de caractère aléatoire, puis T2, etc. De la sorte, ce qui aura été capté par le keylogger ou le cheval de Troie se présentera sous la forme : m0ezrf45T2sdfv84p4zrtg54$s3zerg48, rendant bien plus difficile la fuite du mot de passe.

La sécurité, ça se mérite, et ça s’apprend

Une chose est d’apprendre à sécuriser son mot de passe, et de chiffrer l’intégralité de son disque dur, et donc les données qui y sont inscrites, une autre est d’éviter qu’elles ne fuitent. Les auteurs du passeport conseillent ainsi d’installer “un logiciel d’effacement sécurisé des fichiers afin de pouvoir éventuellement supprimer toutes les données sensibles lors du déplacement“, mais également de “configurer le serveur et le client de messagerie pour que les transferts de messages soient chiffrés par les protocoles SSL et TLS“.

Tout ceci vous paraît cryptique ? Allons… De même que c’est en pédalant que l’on apprend à faire du vélo, c’est en contre-espionnant que l’on apprend à se protéger. Avec un peu d’entraînement, vous apprendrez à maîtriser les techniques et outils qui correspondent à vos besoins. Avec un peu de pratique, elles deviendront des réflexes. La sécurité, ça se mérite, et ça s’apprend.

Pour certains, la paranoïa est un métier, en tout cas une tournure d’esprit les invitant, en constance, à la prudence. Mais pour la majeure partie des gens, la question est moins de se protéger, en tout temps, que de savoir comment protéger telles ou telles données, de savoir comment ne pas laisser de traces, ou comment les effacer.

L’important est de bien mesurer les risques encourus, les menaces auxquels vous avez à faire face, et d’y répondre par la ou les techniques appropriées, au moment opportun. Comme je le rappelais par ailleurs dans “Comment contourner la cybersurveillance“, aucune solution n’est fiable à 100% et rien ne sert, par exemple, d’installer une porte blindée si on laisse la fenêtre ouverte. Il convient d’autre part de ne jamais oublier qu’en matière informatique en générale, et sur l’internet en particulier, l’anonymat n’existe pas. Il arrive fatalement un moment où l’on se trahit, où l’on commet une erreur, ou, plus simplement, où l’on tombe sur quelqu’un de plus fort que soi.

La sécurité informatique est un métier, elle ne s’improvise pas. Par contre, elle s’apprend. Pour en savoir plus sur les outils et technologies à utiliser, voici quelques liens, sites web et ressources susceptibles, a priori, de répondre à toutes vos questions :

. “Comment contourner la cybersurveillance“, l’article que j’avais rédigé pour le CNRS, et basé sur un article rédigé par l’ancien directeur des communications électroniques de la Défense britannique et de l’OTAN,

. “Security in a box“, mode d’emploi (en français) bien plus pratique et détaillé, réalisé par deux ONG de défense des droits humains à l’ère de l’information,

. le Wiki de l’internet libre de Korben.info, qui regorge d’informations pratiques sur la sécurité informatique,

. le Guide d’autodéfense numérique qui explique, pas à pas, comment configurer son ordinateur (hors connexions internet) de façon sécurisée en fonction des risques encourus,

. les 10 commandements de la sécurité informatique, sur securite-informatique.gouv.fr, et ses modules d’autoformation, notamment ceux consacrés aux Principes essentiels de la sécurité informatique, à la Sécurité du poste de travail et aux mots de passe.

. Ordinateur & Sécurité Internet, Vie Privée, Anonymat et cætera, qui fut un temps considéré comme une menace par le FBI parce qu’expliquant aux internautes comment apprendre à rester anonyme.

. Guide pratique du chef d’entreprise face aux risques numériques (.pdf) rendu public à l’occasion du Forum International sur la Cybercriminalité et rédigé par des gendarmes, policiers, juristes et professionnels de la sécurité informatique,

. les 12 conseils pour protéger votre vie privée en ligne de l’Electronic Frontier Foundation et son manuel d’auto-défense numérique (en anglais), rédigé pour aider les internautes confrontés à des régimes autoritaires, ainsi que, et toujours en anglais :

. Hints and Tips for Whistleblowers

. BlogSafer: Speak Freely and Stay Free

. Digital Security and Privacy for Human Rights Defenders

__

Retrouvez les deux autres articles de ce second volet de notre série sur le Contre-espionnage informatique : Nokia, histoire d’un fail corporate et Comment contourner la cybersurveillance ?

Retrouvez également le premier et dernier volet de cette série sur le contre-espionnage.