Furieux, les Chinois –en visite pour acheter des Airbus- quittent l’hôtel, sans porter plainte. La PJ intervient et trouve dans la chambre visitée un kit spécial « rat d’hôtel » pour crocheter une serrure et aspirer toutes les données d’un ordinateur. L’enquête n’a pas permis d’identifier les rôdeurs. Révélée par la Dépêche du Midi, l’affaire a été soigneusement étouffée, jusqu’à ce que Charlie Hebdo ne lève le voile sur l’identité des mystérieux visiteurs du soir : une équipe de la DGSE, héritiers du fameux Service 7, spécialisé dans l’interception de courriers et autre ouverture de valises diplomatiques.

Officiellement démentie, l’opération a (provisoirement) gelé les activités du « service opérations » (SO). Elle montre aussi le dynamisme des services secrets français en matière d’espionnage économique, promu au rang d’activité stratégique de premier rang.

Espionnage économique : quand les “services” surveillent les Français

S’il est formellement interdit, a priori, aux services de renseignement américains d’espionner des citoyens états-uniens. A contrario, les services de renseignement français ont non seulement le droit, mais aussi l’obligation, de s’intéresser de très près à certains de leurs concitoyens. Et pas seulement en matière d’anti-terrorisme.

En 2005, la DST et les RG avaient ainsi été invités à le faire au moment des “émeutes de banlieue”, en surveillant les échanges téléphoniques, les SMS, blogs et sites internet au motif que les jeunes émeutiers s’en servaient pour communiquer, et s’organiser. Mais le contre-espionnage ne s’intéresse pas qu’aux seuls fauteurs de trouble à l’ordre public.

En 2006, suite à la labellisation de 67 pôles de compétitivité, la DST et les RG ont été invités à s’intéresser de plus près à l’intelligence économique. Tout comme la DPSD, le moins connu des services de renseignement français.

On connaît plus ou moins bien les Renseignements Généraux (RG), ainsi que la Direction de la surveillance du territoire (DST), fusionnés en 2008 au sein de la Direction centrale du renseignement intérieur (DCRI), qualifiée de “FBI à la française en matière de renseignement” par le ministère de l’Intérieur.

On sait moins que les RG “ont créé, en 1999, un observatoire de l’intelligence économique, instance de réunion et d’échange, qui, en mai 2000, a publié un référentiel, une sorte de bréviaire de l’IE (et qu’ils) ont fait de l’intelligence économique un sujet d’étude au même titre que l’actualité sociale ou les banlieues“. De même, la DST “a subi dès la fin des années 70, une importante évolution liée (au) glissement des activités d’espionnage du seul secteur militaire vers les domaines économique, scientifique et technique“.

De fait, les missions vont de la lutte contre l’espionnage et le terrorisme à la protection du patrimoine économique, et donc la surveillance des individus et mouvements susceptibles de “porter atteinte à la sécurité nationale“. Le décret portant création de la DCRI précise ainsi qu’”elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l’Etat“.

Du côté du militaire, la DGSE est chargée du renseignement à l’étranger (et tant en matière d’antiterrorisme que d’intelligence économique), la DRM du renseignement militaire (ils collaborent au programme “Frenchelon” d’espionnage des télécommunications), et la Direction de la Protection et de la Sécurité de la défense (DPSD) des habilitations secret défense, du contre-espionnage, du contre-terrorisme et de la “contre-subversion intéressant la défense nationale“.

Espionnage économique et contre-espionnage militaire

Dans le cadre de la montée en puissance de l’intelligence économique, un rapport parlementaire révéla, en 2006, que “l’organisation des postes de la DPSD en métropole a été intelligemment calquée sur la cartographie des « pôles de compétitivités » définis par le Gouvernement“.

Lors d’une présentation de son service à l’Ecole supérieure de guerre, le général Antoine Creux précisait ainsi ce jeudi 20 janvier, que la “protection du patrimoine économique” est la deuxième priorité de la DPSD. La seule industrie de défense représente aujourd’hui 2000 entreprises pour un chiffre d’affaires de 10 milliards d’euros par an.

Autrement dit, il s’agit de se déployer aux côtés de ces sociétés et laboratoires de recherche et développement que le gouvernement considère comme les plus prometteurs, afin de les protéger. Et donc d’en surveiller les actifs, et les salariés. Et ce d’autant que “le ministère de la Défense s’est fortement impliqué dans l’action interministérielle d’analyse des candidatures et qu’il “dispose de leviers d’action très variés pour soutenir et travailler” avec la vingtaine de pôles de compétitivité dans lesquels il est impliqué.

Fin 2005, le Figaro expliquait ainsi, dans un article intitulé L’espionnage économique menace les PME, la façon qu’avaient les services de renseignement de s’intéresser de près à certains Français :

A l’instar de la DST, chargée de détecter toute menace visant de grosses entreprises considérées comme sensibles et pouvant porter atteinte à la sûreté de l’État, les “grandes oreilles” des RG, grâce à leur maillage régional, se penchent au chevet des petites et moyennes entreprises innovantes, susceptibles de faire l’objet d’actions hostiles. «Une centaine de fonctionnaires ont déjà été formés pour vérifier systématiquement, lorsqu’une entreprise de pointe est en difficulté, si elle a fait l’objet d’une attaque d’un concurrent», explique un haut fonctionnaire.

En l’occurrence, le “bilan confidentiel” (sic) des RG avançait que, sur 934 entreprises surveillées “dans le cadre d’éventuelles «débauches de cadres détenant un savoir-faire», de «piratages ou de vols d’ordinateurs», «d’actions de lobbying offensif», de «rumeurs d’appartenance sectaire pour exclure un concurrent d’un appel d’offre» ou encore «d’infiltrations par le biais de stagiaires étrangers»“, 158 présentaient des “signes de vulnérabilité“, et que 87 d’entre elles avaient fait l’objet “d’actions hostiles signalées“.

“Il faut dire les choses, rappelait le général Creux, on a des ennuis avec les stagiaires chinois, très nombreux, qui comme par hasard veulent faire leur thèse dans des domaines sensibles.” Et le directeur de la DPSD de souligner qu’”on est au tout début de la guerre de l’information, les gens ne se rendent pas compte de la vulnérabilité des systèmes d’information… “.

« Evaluer l’efficacité socio-économique » du contre-espionnage militaire français

En 2006, la DPSD avait ainsi pour objectif d’”améliorer le niveau de sécurité des forces et du patrimoine industriel et économique lié à la défense” :

La DPSD est chargée d’une mission de contre ingérence économique afin de protéger les industries de défense qui maîtrisent des techniques de pointe ou des technologies duales les rendant très sensibles aux actions d’ingérence étrangère.

Ce risque d’ingérence peut être lié aux activités de services de renseignement, d’organisations ou d’agents se livrant à l’espionnage, au sabotage, à la subversion, au terrorisme ou au crime organisé.

Le rapporteur s’inquiétait par ailleurs “du fait que près d’un tiers des inspections ne soit pas effectué dans les délais impartis“, notamment du fait que “la DPSD ne dispose pas d’assez de personnel pour assurer ces inspections.

RGPP aidant, ses effectifs sont de fait passés de 1618 en 1997 à 1224 en 2010, une décroissance qui va s’accélérant : “globalement, la DPSD est engagée dans une diminution des effectifs qui sera supérieure à 15 % sur six ans“. Le général Antoine Creux avance pour sa part le chiffre de 350 inspecteurs de sécurité répartis en 60 sites sur tout le territoire.

En 2008, au moment de la création de la DCRI, on dénombrait 3450 policiers aux RG, et 2000 à la DST. Depuis leur fusion, les effectifs ont fondu. La DCRI, qui dénombrait 4 000 fonctionnaires dont 3 000 policiers à sa création, n’en comptait plus que 3306 début 2009, lorsqu’elle s’est vu notifier, au titre de la RGPP, “une déflation quadriennale de 400 personnels, soit 12 % de ses effectifs, de manière à atteindre 2 922 équivalents temps plein travaillé au 31 décembre 2011“.

En 2008, quelque 1 200 policiers et 440 personnels administratifs issus des RG étaient en effet affectés à une nouvelle sous-direction de l’information générale (SDIG), chargée des missions, autrefois révolues aux RG, mais ne relevant pas du “renseignement” (information générale sur l’activité politique, économique et sociale, surveillance des violences urbaines).

Comment surveiller le secteur privé ? En l’infiltrant…

On ne peut pas dire, pour autant, que le travail de surveillance et de renseignement ait forcément pâti à la hauteur de cette baisse d’effectif. Car, et dans le même temps, on assiste aussi à une privatisation rampante du métier de contre-espion, les sociétés d’intelligence économique et de sécurité privée recrutant allègrement nombre d’anciens agents des services de renseignement.

En prenant conscience de la montée des pratiques d’espionnage économique dans les années 90, les “services” ont ainsi mis au point plusieurs parades. La première a consisté à placer sous surveillance le milieu des officines privées.

L’arrivée de l’agence Kroll (3800 salariés en 2007, soit le premier cabinet de renseignement financier dans le monde) à Paris et le débauchage en 1992 de l’inspecteur principal Yves Baumelin, responsable à la DST des relations avec les services étrangers, sonna comme un coup de semonce. Pour ne pas se laisser déborder, la DST institua un contrôle systématique des Sociétés de renseignement privées (SRP).

Dans son livre témoignage, l’ex gendarme Patrick Baptendier raconte comment chaque semaine un officier traitant du contre-espionnage visite la société Géos pour s’informer des dossiers en cours. Idem pour le vivier de sous-traitants (souvent de très petites PME) qui peuplent ce milieu de l’intelligence économique.

Géos fait d’ailleurs figure de tête de pont. Fondée par un ancien caporal-chef du service action de la DGSE, elle voit arriver dès 1998 l’ex-patron de la Direction du renseignement militaire (DRM), le général Jean Heinrich… suivi par une brochette de pontes des services. Pourquoi une telle alliance ? Sinon pour constituer un pendant aux services proposés par les grands cabinets anglo-saxons.

L’autre phénomène observé cette dernière décennie est la lente mais certaine privatisation de la fonction renseignement des groupes mondialisés. Renault, comme toutes les entreprises positionnées sur un secteur concurrentiel, a développé un véritable service de renseignement.

Dirigé par Rémi Pagnie, ex de la DGSE et ancien chef de poste à Tokyo, il peut compter sur d’anciens de la police judiciaire. Tous reconvertis dans le juteux business de la sécurité privée. Ce qui peut finir par créer des tensions, lorsque les intérêts d’une multinationale ne convergent plus avec ceux de l’Etat… Au milieu des années 2000, conscients de ces risques, la DST avait rédigé un décret interdisant à ses agents de pantoufler dans le privé avant une période probatoire de trois ans, de façon à rendre obsolète leur carnet d’adresses. Aucun gouvernement n’a pris le risque de mécontenter les futurs jeunes retraités des services…

—

Illustration de Une : Loguy

Article de Une : Le droit à l’information mis à mal par le secret des affaires / Espionnage chez Renault: un cas de bleuïte ou une vraie fuite ?

Illustration CC Spy by bhrome. Merci à David Servenay pour sa relecture, et ses propositions.

MaJ : article traduit en italien : Gola profonda: come assicurare la copertura delle fonti nell’ era della sorveglianza totale

Le Watergate n’aurait jamais eu lieu et entraîné la démission du président des États-Unis ni contribué à sacraliser de la sorte le journalisme d’investigation si une “gorge profonde“ -du nom du film X qui, au même moment révolutionna les mentalités- n’avait révélé, en toute confidentialité, à deux journalistes du Washington Post les dessous de cette affaire d’espionnage politique mêlant obstructions à la justice, faux témoignages, écoutes clandestines, détournements de fonds, etc.

Les méthodes de communication utilisées par Bob Woodward et Carl Bernstein, les deux journalistes, avec leur “gorge profonde” et les façons de garantir son anonymat font encore débat.

Il a fallu attendre 2005 pour que William Mark Felt, qui était à l’époque du Watergate le n°2 du FBI, révèle qu’il fut la “gorge profonde” du Watergate. Quel qu’il soit, leur mode opératoire a donc marché : nul n’a su qui, à l’époque, les avait contacté, ni comment ils avaient procédé… sinon qu’ils avaient probablement pour cela utilisé des méthodes dignes de polars, ou d’histoires d’espionnage.

Dans les années 70, tout comme aujourd’hui, les téléphones étaient écoutables. Le problème, aujourd’hui, c’est que l’Internet en particulier, et l’ensemble de nos télécommunications en général, sont systématiquement conservées, voire surveillées. L’informatique laisse des traces (qui communique avec qui, quand, pendant combien de temps), conservées par principe par les opérateurs de télécommunications (afin de se prémunir de tout litige).

Les autorités obligent parfois ces mêmes opérateurs à conserver lesdites traces “au cas où” (y compris en France par exemple, et sans parler des systèmes de surveillance mis en place, souvent par des entreprises occidentales, dans les pays autoritaires).

Rajoutons-y un brin d’Echelon (le système global d’espionnage des télécommunications mis en place par les pays anglo-saxons), de Frenchelon (son “petit” équivalent français) et de leurs avatars exotiques, sans oublier, bien sûr, les systèmes et logiciels espions utilisés tant par les services de renseignement que par les officines d’intelligence économique (montés, ou truffés, d’anciens espions), les mouchards utilisés par les détectives privés, les employeurs qui veulent ainsi surveiller leurs employés, et de plus en plus de particuliers afin d’espionner leurs femmes, maris, nounous et enfants…

Le tableau n’est donc guère réjouissant, et l’on pourrait croire qu’il serait donc de plus en plus difficile, pour un journaliste ou n’importe quel autre professionnel censé garantir la confidentialité de ses sources, de pouvoir travailler correctement, dans la mesure où la surveillance, non contente de se banaliser de la sorte, deviendrait la règle, et non plus l’exception, comme c’était encore le cas du temps du Watergate.

De fait, le meilleur moyen de garantir la confidentialité de ses sources est encore… de ne pas passer par le Net, mais par le courrier papier : contrairement aux télécommunications (mail, tel, fax, SMS, etc.), les enveloppes papier sont fermées, rarement surveillées et encore plus rarement ouvertes, alors que nos courriels sont, eux, d’autant moins confidentiels qu’ils ne sont jamais que des cartes postales, dont le contenu est lisible en clair par l’ensemble des serveurs (souvent plus d’une dizaine) par lesquels ils transitent.

De fait, aucune rédaction, aucun journaliste, n’explique aux gens comment les contacter de façon simple, sécurisée, et en toute confidentialité. Les seuls à le proposer sont un architecte fervent défenseur de la liberté d’expression, John Young, qui diffuse sur son site, cryptome, depuis des années, des documents confidentiels qui lui sont envoyés par email (chiffrés ou non) et Wikileaks, créé tout spécialement pour faciliter ce genre de “fuites” de documents confidentiels.

Il existe pourtant plusieurs possibilités, habilement mises en place par des hackers, ces “bidouilleurs de la société de l’information” sans qui l’informatique en général, et l’Internet en particulier, n’auraient pas été possibles.

Les développeurs et utilisateurs de logiciels libres utilisent ainsi, et depuis des années, un logiciel de cryptographie permettant de garantir, non seulement la confidentialité de leurs télécommunications, mais également leur authenticité, et leur intégrité, afin de s’assurer que les informations échangées proviennent bien, ou ne pourront être lues, que par tel ou tel individu dûment identifié, et non par quelqu’un qui chercherait à usurper son identité, ou bien à l’espionner : GPG (Gnu Privacy Guard, mode d’emploi).

Problème (bis) : bien moins nombreux sont nos lecteurs, internautes, informateurs, à savoir que GPG existe, et donc à s’en servir pour nous contacter. Or, et a priori, seuls les utilisateurs de GPG (ou de PGP, son précurseur) peuvent “chiffrer” leurs messages de sorte qu’ils ne puissent être consultables, “en clair” que par leurs seuls destinataires : la sécurité de la cryptographie à clef publique repose en effet sur le fait que les personnes qui veulent ainsi s’échanger des données, en toute confidentialité, utilisent GPG (ou PGP).

A défaut, on peut utiliser une adresse e-mail jetable, ce que propose par exemple anonbox, créé par les hackers du Chaos Computer Club allemand afin d’envoyer ou recevoir des documents anonymement. Problème : elle n’est valable qu’un jour durant.

Lancé par la Privacy Foundation allemande, une ONG de défense de la vie privée et de la liberté d’expression, privacybox.de fait encore mieux, dans la mesure où elle permet à tous ceux qui ne peuvent ou ne veulent pas utiliser GPG ou PGP d’écrire de façon confidentielle, anonyme et sécurisée, à tout journaliste, blogueur ou internaute qui, utilisateur de GPG ou de PGP, s’y est inscrit (et c’est gratuit, forcément, et puis facile, aussi).

Mieux : plusieurs lecteurs ont bien voulu mettre la main à la pâte et traduire son interface en français (qu’ils en soient remerciés), mais il reste encore quelques pages à traduire :
https://privacybox.de/howto.en.html
https://privacybox.de/howto-apple-mail.en.html
https://privacybox.de/nutzen.en.html
https://privacybox.de/eval.en.html

Les bonnes âmes peuvent me contacter par mail à privacybox[AT]rewriting.net, ou bien encore via le formulaire de privacybox.

Je ne sais combien de blogueurs, journalistes, rédactions ou ONG utiliseront ce service. Mais si ça peut aider, et notamment les journalistes d’investigation, et les lanceurs d’alerte…

Les hackers ne sont pas une partie du problème : ils nous donnent des solutions. Faites tourner !

—

> Illustration CC Flickr Anonymous9000

Retrouvez les deux articles de ce troisième volet du manuel de contre-espionnage informatique : Votre historique mis à nu et Retour sur 10 ans de Big Brother Awards.

Retrouvez également le premier et le second volet de notre série sur le contre-espionnage informatique.