Les Crises Les Crises
23.décembre.201223.12.2012 // Les Crises

[Reprise] Se protéger sur Internet : j’ai pris un cours avec la DCRI

Merci 48
J'envoie

Allez, aujourd’hui, on change un peu d’horizon avec cet excellent article du Rue89…

Internet, c’est le mal : à Sciences-Po, un agent du contre-espionnage m’a expliqué pourquoi Facebook ou Copains d’avant étaient les meilleurs amis des espions.

Q (Ben Whishaw), geek des services de renseignement britanniques dans le dernier James Bond, « Skyfall » (Francois Duhamel/Danjaq, LLC, United Artists Corporation, Columbia Pictures Industries, Inc.)

En mai, l’Elysée a été piraté et les ordinateurs de plusieurs conseillers haut placés infiltrés, révèle L’Express de ce mercredi.

Hasard du calendrier : le jour de la sortie de l’hebdomadaire, j’ai assisté à un séminaire de formation en sécurité informatique dispensé par un policier de la Direction centrale du renseignement intérieur (DCRI, le service de contre-espionnage français, issu en 2008 de la fusion entre RG et DST).

Ce séminaire, qui se déroulait dans les locaux de Sciences-Po à Paris, n’était ouvert qu’à certains étudiants de l’école, pas aux journalistes (mais voilà, je suis l’un et l’autre).

Le but : sensibiliser les futurs fonctionnaires (ou cadres) aux enjeux de la protection de leurs données et celles de leur employeur. Comment ? En nourrissant la paranoïa vis-à-vis d’Internet, en faisant bien comprendre que le Web, c’est sale et plein de dangers.

« Je connais déjà certains d’entre vous »

Il commence, se présente :

« C’est la dernière fois que je vous dis mon nom. »

On se contentera donc du petit panonceau qu’il y a devant son bureau : « DCRI » (plus tard dans la matinée, son nom réapparaîtra dans un logiciel utilisé pour une démonstration). Monsieur DCRI est « spécialiste des réseaux sociaux » et, logiquement :

« Hier soir, j’ai fait vos réseaux sociaux. On verra plus tard ce que j’ai trouvé. Je connais déjà certains d’entre vous visuellement. »

Un léger froid s’installe parmi la trentaine de participants et je me crispe un peu à l’idée d’un espion fouinant sur ma page Facebook.

La DCRI aime Facebook (et Copains d’avant)

On le savait plus ou moins, mais là, ça se confirme : les services secrets adorent les réseaux sociaux.

« Avant les réseaux sociaux, on devait faire des planques. Avec Facebook, on gagne du temps et on n’a plus besoin de sortir. Sur vos pages Facebook et sur Twitter, vous donnez vos goûts et vos opinions. C’est grâce à ça qu’on se fait une idée de la psychologie de la personne. »

Situation professionnelle, goûts, désirs, habitudes : tout est bon dans les réseaux pour établir le profil d’un suspect ou d’une personne à approcher.

Parmi les réseaux sociaux, la DCRI a un petit faible : Copains d’avant, « le Facebook du vieux ».

LE BON CONSEIL DE LA DCRI POUR VOTRE PAGE FACEBOOK
Entre « les naturistes du numérique », qui affichent toute leur vie sur Internet, et les phobiques du numérique, il faut adopter « une position intermédiaire » pour maîtriser ce que l’on dit de vous. Cela nous semble également une bonne idée.

Il faut dire que certains en ont une utilisation particulièrement légère : ils détaillent leurs compétences et leurs responsabilités dans leurs entreprises de manière bien trop précise, par exemple.

Mention spéciale à ce technicien qui a posté sur Copains d’avant une photo de lui… et de matériels spatiaux classés « confidentiel défense », son badge et ses autorisations de sécurité bien en évidence. La DCRI n’a pas trop aimé.

« C’est comme dans les films ! »

Le policier est là pour marquer les esprits, alors il se vante un peu :

« On a des pros qui peuvent ouvrir toutes les portes : c’est vraiment comme dans les films. »

On le savait depuis la parution de « L’Espion du Président » (le fameux livre sur la DCRI), mais cela fait son petit effet.

Et d’enchaîner sur les petites techniques des services, grandement facilitées par les réseaux sociaux et toutes les informations qu’on y trouve :

« Quelqu’un renverse son café sur vous. Très gentil, il vous rembourse les frais de teinturier. Quelques semaines plus tard, vous le croisez, par hasard évidemment, sur un tapis de course dans votre salle de sport. Il vous propose de vous offrir un verre. Etrangement, vous vous découvrez des tas de points communs, vous venez de la même région, vous êtes allés dans la même école. Vous vous dites : “C’est incroyable, le monde est petit !” »

Ces opérations, destinées à obtenir des informations en se rapprochant d’une cible, sont courantes. La plus longue a duré quinze ans : « Quinze ans de mise en place d’une amitié. Quinze ans de repas de couples ! »

« Un système développé pour nous coincer »

Paradoxalement, notre policier, s’il utilise beaucoup les réseaux sociaux, n’aime pas trop les géants américains du Web, quitte à verser dans un brin de paranoïa :

« Ce genre de jouet [les smartphones, ndlr] ont des applications de traduction. Gratuites. Pourquoi ? Pour généraliser l’installation de l’application. Pour récolter de grandes masses de données. Quand on utilise Google Traduction pour traduire une documentation technique, ça envoie les données sur un serveur américain. »

Et de voir la main de la CIA un peu partout :

« Gmail, Google traduction, Twitter, Facebook, LinkedIn : c’est vraiment un système qui a été développé pour nous coincer. Ces entreprises américaines ont toutes In-Q-Tel [le fonds d’investissement de la CIA, ndlr] dans leur capital. »

Et il a raison. De là à voir la CIA partout…

Les smartphones, c’est la plaie

Comme les réseaux sociaux, il veut nous convaincre des dangers des smartphones en termes de sécurité (là non plus, il n’a pas tort) :

« J’ai besoin de 30 secondes pour piéger votre téléphone Android. Le temps moyen pour casser le code de déverouillage à quatre chiffres d’un iPhone ? Trois minutes trente ! [Il nous a fait la démonstration en direct grâce à un petit logiciel, ndlr] Dupliquer l’intégralité du contenu de votre téléphone ? Vingt minutes maximum ! »

La petite astuce, avec la généralisation des smartphones et leur connexion 3G (qui permet d’accéder à l’Internet mobile) ? Très simple :

« On brouille la 3G pour que les téléphones descendent sur le réseau inférieur, le réseau Edge, qui est mal chiffré. »

Plus facile ensuite d’intercepter certaines informations : contrairement aux lignes fixes, il est possible d’écouter un téléphone mobile sans se brancher directement sur la ligne, lorsqu’on est à proximité.

Bercy piraté par un entretien d’embauche ?

Au fil de sa présentation, notre policier nous aide à mieux comprendre les quelques attaques informatiques qui ont touché la France :

« Il faut cibler l’ego [pour obtenir des informations, ndlr]. En organisant de faux entretiens d’embauche par exemple, où on pousse la personne à étaler ses compétences et ses infos. C’est arrivé à un responsable informatique d’un ministère. Quelques semaines plus tard, le ministère a été piraté. »

Ce genre de techniques permet de rassembler de précieuses informations : quel est le système de défense mis en place ? Quelles sont les marques et les logiciels utilisés ? On avait presque oublié cette histoire de ministère, quand soudain :

« Bercy, on sait que c’était la Chine [Ah bon ? Je pensais naïvement qu’on enétait resté au stade des suspicions, ndlr], peut-être à travers un faux entretien d’embauche. »

Travailler dans les transports, c’est risqué

Le long de ce que la DCRI appelle « les lignes professionnelles », là où circulent de nombreux patrons (Paris-Toulouse pour l’aéronautique, mais aussi dans le Thalys ou l’Eurostar), il y a beaucoup de regards baladeurs. Et de caméras et appareils photo pour les seconder.

Notre agent explique ainsi qu’un patron a perdu un grand marché d’éoliennes off-shore, simplement parce qu’il avait potassé sa réponse commerciale dans les transports.

Selon le fonctionnaire de police, il y a encore du boulot à faire dans l’hygiène numérique de certains patrons. Et de nous raconter l’histoire de cet industriel, dans le train :

« Au bout de 30 minutes de trajet, il est parti pendant 40 minutes, en laissant tout ouvert : son ordinateur, sa messagerie, son téléphone. »

A son retour à sa place, il a eu droit à une gentille « sensibilisation » de la part de notre conférencier. Certains n’ont pas eu cette chance :

« Un jour, avec un collègue, on a dû “sensibiliser” des industriels de l’électronique de défense dans un avion. Ils manipulaient des “tampons rouges” [des documents classifiés, ndlr]. On les a “accueillis” chez nous. Et chez nous, c’est pas une sensibilisation. C’est une garde à vue, et il n’y a pas de café ou de jus de fruits. »

La France, un peu en retard

Ces deux larrons ne sont pas les seuls à faire n’importe quoi :

« Pendant longtemps, on n’a pas vendu notre fameux avion [probablement le Rafale, ndlr], car on ne savait pas sécuriser l’information. »

Autre exemple :

« Le pire, ce sont les hôtels à l’étranger. Une grande entreprise négociait en Asie pour une centrale nucléaire, ils ont attendu que tous les membres de l’équipe soient arrivés pour louer une salle dans un grand hôtel. Des services étatiques les ont écoutés, et bam ! Le contrat de centrale nucléaire a été perdu. »

Il nous parle aussi du micro placé dans les taxis chinois au moment des Jeux olympiques :

« Beaucoup d’industriels ont la fâcheuse habitude de faire une dernière réunion dans le taxi ou le soir à l’hôtel. »

« Le numérique, c’est quelque chose de dangereux »

En conclusion, le policier en rajoute une couche :

« On n’est pas dans un monde de Bisounours. En face, il y a de vrais méchants. Le numérique, c’est vraiment quelque chose de dangereux et c’est pour ça que les Etats se démènent et on rame. c’est une course à l’armement. »

Le patriotisme doit aussi être numérique :

« A l’étranger, si vous n’êtes pas prudents, vous dégradez le drapeau bleu-blanc-rouge et ça, vous avez tendance à l’oublier. C’est votre comportement qui va décider de notre sort économique. »

Ce que j’ai appris

  • Ne pas trop donner d’informations personnelles et professionnelles sur lesréseaux sociaux ;
  • ne jamais (JAMAIS) se connecter sur un réseau WiFi public, ouvert et sans mot de passe, surtout dans les aéroports ;
  • paramétrer la sécurité de son réseau wifi en « WPA AES », car des choses très embêtantes peuvent vous arriver si votre réseau est piraté (comme se faire squatter par un pédophile, dixit notre policier) ;
  • lors d’un déplacement à l’étranger, ne rien stocker sur son ordinateur, préférer une clé USB chiffrée, plus discrète ;
  • si vous vous faites approcher par un service étranger (chantage, par exemple), il faut aller en parler avec la DCRI (« Nous sommes vos alliés ») ;
  • dans les transports, il faut toujours conserver son ordinateur sur soi ;
  • protéger ce dernier avec un mot de passe long et unique.
  • on peut être un agent de la DCRI spécialiste des réseaux sociaux, et ne pas se rendre compte qu’un journaliste assiste à sa conférence.

Nous vous proposons cet article afin d'élargir votre champ de réflexion. Cela ne signifie pas forcément que nous approuvions la vision développée ici. Dans tous les cas, notre responsabilité s'arrête aux propos que nous reportons ici. [Lire plus]Nous ne sommes nullement engagés par les propos que l'auteur aurait pu tenir par ailleurs - et encore moins par ceux qu'il pourrait tenir dans le futur. Merci cependant de nous signaler par le formulaire de contact toute information concernant l'auteur qui pourrait nuire à sa réputation. 

21 réactions et commentaires

  • Marcus // 23.12.2012 à 07h09

    Bon, c’est décidé, j’arrête internet LOL

    D’ailleurs je n’y ai jamais vraiment rien compris …

    Bon dimanche !

    Marc

      +0

    Alerter
  • Vénus-Etoile du Berger // 23.12.2012 à 07h14

    Bonjour,

    Il devrait se remettre à une formation basique en informatique.

    Au sujet de l’informatique mais pas du numérique,

    Cet article me fait penser à deux histoires vécues et pourtant pas liées aux réseaux sociaux.

    Comment épater une fille pour lui en mettre plein la vue?

    raconter son travail.

    première histoire
    si bien que tout le long de la conversation, on m’a expliqué l’invention d’un progiciel unique sur le marché de sa conception à sa fabrication, on voulait même me montrer comment il fonctionne.
    Très bien en moins de deux,pas besoin d’un ordinateur ni d’une clé usb, j’ai tout enregistré dans la mémoire de mon cerveau, j’étais capable de coder et recréer le progiciel de cet inventeur, patron d’une start up.

    deuxième histoire
    un très haut spécialiste rare dans son domaine spécialisé dans la sécurité informatique bancaire des entreprises(moyen de paiement etc.) m’a parlé de son job, tellement passionné qu’il m’a tout décortiqué, pas besoin d’un ordinateur ni d’une clé usb, j’ai tout enregistré dans la mémoire de mon cerveau, j’étais capable d’aller bosser dans sa boîte, cool.

    Il ne travaille plus là-dedans, il a changé complètement de vie, je vous rassure, pas à cause de moi!

    Morale de l’histoire, éviter de prendre les gens pour des imbéciles lorsque vous parlez à quelqu’un que vous ne connaissez pas.

    Arrêtez aussi la psychanalyse d’urgence!, cela vous évitera d’avoir des idées reçues.

    Cordialement.

      +0

    Alerter
    • Optima // 23.12.2012 à 18h46

      Votre première histoire me rappelle celle de W.A Mozart capable de retranscrire le miserere d’Allegri après une seule écoute (enfreignant de fait l’interdiction du Vatican).
      Notez toutefois que les 9 voix ne représentaient que quelques dizaines de lignes de code.

        +0

      Alerter
  • manu // 23.12.2012 à 10h23

    J’ai connu la même réunion d’info chez Thales.

    ça concerne surtout l’espionnage industriel.

      +0

    Alerter
  • Helios // 23.12.2012 à 11h38

    Cet espionnage incessant doit pouvoir aussi être utilisé. Pour diffuser de fausses informations, multiples et contradictoires, ce qui sème le trouble. ça peut servir aussi à tracer les fuites.

      +0

    Alerter
  • JD // 23.12.2012 à 12h05

    J’ai eu droit à la même conférence dans mon école, et au vu de ce que tu dis Olivier, c’était les même types ^^

      +0

    Alerter
  • gastu // 23.12.2012 à 14h23

    Faut bien leur refiler les primes qui ont de toute façon étaient budgétées et qui doivent être donc dépensées…

      +0

    Alerter
  • whistleblower // 23.12.2012 à 14h29

    Idem, avec le topo sur les disques durs (jamais totalement effacéés, même après formatage) et les clés usb aspireuses.

      +0

    Alerter
    • Deres // 04.01.2013 à 17h34

      Les ordinateurs fixes sont assez vulnérables de ce point de vue là. Le personnel de ménage ou autre peut très bien mettre une clé USB derrière une tour sous un bureau sans que personne ne s’en rende compte. Personne ne vérifie jamais, surtout si on a Hub déporté sur le bureau …

        +0

      Alerter
  • step // 23.12.2012 à 17h38

    vu qu’une partie de mon métier c’est RSSI (ie sécurité informatique), j’ai eu droit à cet échange assez ubuesque avec un potentiel employeur (privé (société de service info)).
    RH: ‘vous n’êtes pas très WEB 2.0, on a souvent les CV et les profils des candidats sur internet maintenant. Vu votre métier, c’est surprenant. vous n’êtes pas à l’aise avec ces outils ? ».
    Moi: »effectivement je n’y suis pas présent, mais ce n’est pas une question de technique. »
    RH:’ c’est dommage, nous prenons souvent contact et commençons l’échange par ce biais ».
    Moi: » je peux comprendre que c’est frustrant »
    RH,: »de ? »
    Moi: »d’avoir un dossier tout fin en entrant en entretien ».
    RH: »sourire gêné »
    Moi: »après je peux détailler mes activités et mes goûts sur internet, mais je ne suis pas sur que cela améliore la sécurité de votre système informatique si vous m’embauchiez ».
    RH: »ah euh, bon ben on va remplir les trous a l’ancienne alors. »
    Moi: »eh oui… »
    Le pire est que la société cible était sous-traitante d’une société habilité secret défense…

      +0

    Alerter
    • JoeChip // 24.12.2012 à 11h40

      Héhé dans le genre, un soi-disant pro du web m’a dit que le grand public n’était pas prêt pour Python en CGI …

        +0

      Alerter
  • alertetrading.com // 23.12.2012 à 17h56

    Leçon numéro 1 : avant chaque séminaire la DCRI devrait se rendre sur internet pour étudier le profil des participants 😉

      +0

    Alerter
  • christophe // 23.12.2012 à 19h23

    C’est toujours utile de rappeler ces vérités, même si le côté un peu james bond de telles conférences peut faire sourire.

    Avec la multiplication incroyable des protocoles, des applications, des appareils, tous interconnectés… les gens sont à poil. Ni plus ni moins. Ca en devient même vertigineux.

    Il est devenu impossible de maîtriser la chaîne de risques.

    Un outil qui me semble être une bonne base de départ :
    -le cryptage du disque dur de votre ordinateur (bureau ou portable ou même simple clé USB), en temps réel.
    Une application comme TrueCrypt (open source) le fait très bien.
    http://www.truecrypt.org
    Donc même si on vous vole votre équipement (premier et plus gros risque), vos données seront protégées.

    -ensuite, le second gros risque ce sont bien sûr les réseaux… Et là c’est beaucoup plus complexe. A part compartimenter son usage, sur différentes machines, dont certaines seraient carrément coupées du Réseau…

    -le Réseau a créé un troisième risque (en soi), absolument redoutable : le cheval de Troie… Même si votre disque dur est crypté… si vous avez installé, consciemment ou non, un petit utilitaire sympa mais qui est un cheval de Troie… là les carottes sont cuites. Il faut soit se couper du réseau, soit maitriser le firewall pour le trafic sortant (et encore pas simple, puisqu’un cheval de Troie peut utiliser le canal standard type web).

      +0

    Alerter
  • meyer // 23.12.2012 à 20h40

    pour les anglophones qui veulent se rendre compte de l’ampleur des dangers http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/1

      +0

    Alerter
  • Franck // 24.12.2012 à 03h07

    Si vous êtes super-stressés à la lecture de cet article, il existe une méthode d’organisation très répandue qui vous aidera à tout faire sans Smartphone, si vous le souhaitez. 😉

    (cela peut aussi aider – dans un second temps – à avoir un regard critique sur les appli. de base des Smartphones, c’est une sorte de manuel de l’utilisateur)

    http://livre.fnac.com/a2200619/David-Allen-S-organiser-pour-reussir

    @ Venus : je n’ai pas tout compris dans ton clin d’oeil aux psychothérapies d’urgence. Kesako ?

      +0

    Alerter
  • Patrick Luder // 24.12.2012 à 05h30

    Question simple. On peut juste se dire que ceux qui n’ont rien à se reprocher ne risquent rien …

    Question plus profonde. Le système et ses multiples accessoires poussent à un contrôle permanent. Le danger vient d’une acceptation insidieuse de l’informatique sur l’humain => à quand une contrôle complet de personnes par des robots tous puissants (ou de ceux qui les dirigent). Ainsi l’être humain évolué (dépendant de l’informatique) est entièrement à la merci de cette grande main invisible qu’est devenue le contrôle de tous les actes de la population.

    Bienvenue dans le 3e millénaire et joyeux Noël !

      +0

    Alerter
  • Vincent // 24.12.2012 à 07h53

    Cet intervenant n’aurait pas de responsabilités à la DCRI beaucoup diraient qu’ils exagère, voire plus…

    En réalité, ce n’est selon moi qu’un début de sensibilisation.
    Car en plus de leur méconnaissance des grandes possibilités techniques, les individus croient généralement que le monde est à leur image donc loyal, même lorsque de grands intérêts économiques sont en jeu.
    Leur niveau de prudence est moyen et n’augmente pas selon la taille des enjeux.

    Tout ce qui est numérique est potentiellement accessible aux services officiels mais aussi aux officines privées. En France, comme cela est dit, ce doit être copains d’avants, facebook, quelques intrusions et interceptions.

    Cela ressemble à du bidouillage en comparaison des moyens US, car non seulement les US interceptent le maximum + ils stockent presque tout + ils ont open bar, de par la loi sur presque tout les sites qui hebergent des données.
    Avec le stockage des données sur le clood c’est encore mieux (la fin programmée du disque dur)
    Les soi-disant requêtes mail pour confondre Petraeus ne sont probablement que le versant légal des données auxquelles ils avaient déjà un accès illimité.

    Cela donne aux USA un avantage (potentiel) epoustoufflant sur les entreprises non américaines.

    Je vous invite à voir cette vidéo (en anglais) d’un ancien de la NSA : l’agence est sur la voie de tout stocker, même aux US. Estimation 90% des echanges numériques (y compris la voix) alors que la Stasi ne faisait que 10%.

    http://www.youtube.com/watch?v=TuET0kpHoyM

    En fait l’enjeu est double : économique d’une part (l’objet de cet article) et la vie privée d’autre part. Sur le second point, si on a rien à se reprocher rien à craindre de cette transparence. Par contre si une démocratie évolue vers la dictature (police de la pensée…1984) c’est plus problématique. par ailleurs, c’est le moyen, même en démocratie, d’intimider des personnes influentes.

      +0

    Alerter
    • step // 24.12.2012 à 11h57

      tout à fait, j’allais dire qu’en particulier les entreprises françaises qui se trouvent malignes d’aller héberger sur un service de clooding aux states leurs données pour 5 sous, sont juste en train d’informer leurs concurrents américains de leurs activités pour le même montant. J’en ai connu une qui avait hébergé son application financière sur ce genre de support. Montant des marchés à venir, perspectives budgétaires, commerciaux et contrats, clients et prospects, intervenants sur chaque marchés…. Evidemment rien qui ne puisse intéresser un concurrent potentiel…
      La naïveté dans ce domaine atteint parfois des sommets.

        +0

      Alerter
  • gisse // 24.12.2012 à 14h13

    la connerie tient elle sur une clé USB ?

      +0

    Alerter
  • Michel // 24.12.2012 à 15h28

    J’ai — il y a longtemps, du temps ou je gérais l’informatique dans un service d’état — assisté, non à une conférence, mais à une semaine de formation sur la sécurité des systèmes d’information à la SCSSI.
    Bon, c’est vrai que c’est à la limite de la parano, mais quand on manipule des informations sensibles, il faut l’être…

    Ensuite, il faut voir ce qui coûte le plus cher : ce n’est pas la peine de dépenser des cents et des mille pour un coffre-fort, si on n’a que des bijoux de pacotille à mettre dedans !

    Sinon, sur un portable : Linux, disque crypté, mot de passe costaud et on est à peu près tranquille, même si rien n’est parfait : http://www.lesnumeriques.com/casser-cryptage-un-disque-dur-n4473.html 🙂

      +0

    Alerter
  • Afficher tous les commentaires

Les commentaires sont fermés.

Et recevez nos publications