Espionnage économique

 

Le Clusif fait le point sur les dangers de l'espionnage industriel

D'emblée le ton est donné. Pour organiser sa réunion d'information sur la cybercriminalité, le Club de la Sécurité des Systèmes d'Information (Clusif) a retenu un bâtiment appartenant à la grande muette : le cercle des armées. Les convives invités ne tranchaient guère avec l'atmosphère de secret qui règne dans ce lieu : c'étaient des responsable de la sécurité informatique (RSSI) de très grosses enteprises, généralement tout aussi muets que l'armée lorsqu'on essaie de leur faire évoquer leur métier.

Tous étaient venus entendre le Clusif dresser un panorama non exhaustif de l'espionnage et des actes de malveillance informatiques, brossé avec pondération. Et quelques journalistes s'étaient glissés dans la salle. La pandémie des vols d'identité

A-t-on enfin appris des choses concrètes sur l'espionnage informatisé ? Le Clusif a choisi de dévoiler des exemples précis, des cas de vols d'identités personnelles. A commencer par celui-ci : celui d'un homme qui a dérobé les coordonnées banquaires de 30 000 citoyens américains.

Le 25 novembre 2002, le pot-aux roses est découvert. Le coupable : l'employé d'une SSII qui travaillait pour trois sociétés de crédit. Cet employé - qui possédait les codes d'accès des bases sensibles - a dupliqué ces informations avant de les revendre 30 à 60 dollars pièce. Deux années durant, il a transféré ces fichiers à des spécialistes de la fraude, qui se sont livrés au pillage en règle des comptes banquaires des victimes.

Autre exemple : celui d'un employé de la DEA - l'équivalent des "stups" aux USA - qui revendait les fichiers du FBI et de la DEA à une société privée d'investigation. Plusieurs compagnies d'assurance ont pu avoir accès aux fichiers d'une centaine de clients, qui étaient justement demandeurs d'indemnités de dédommagement chez eux.

A n'en pas douter : les vols de données causent de très grands préjudices aux particuliers. Ils sont régulièrement à l'origine de véritables tragédies individuelles. On estime à 750 000 le nombre de vols d'identité chaque année aux USA, un chiffre qui laisse pantois. L'usurpation d'identité est devenue la première cause de plainte des consommateurs outre Atlantique.

La responsabilité du RSSI ?

Mais comme le soulignait un RSSI à la conférence du Clusif : "un responsable sécurité n'agit que si - après un calcul de risque - il estime qu'il est plus opportun en terme financier d'investir dans une politique de sécurisation que de s'en absternir". Justement : quel risque encourt une enteprise qui se fait dérober des informations ?

Là dessus, le Clusif n'a pas été en mesure d'apporter une réponse convainquante. Les RSSI sont repartis avec des doutes plutôt que des certitudes : pas de quoi convaincre leur direction générale de renforcer la protection des bases de données.

Seul élément tangible : "en cas de procès, la loi française spécifie qu'un RSSI est coupable s'il n'a pas pris toutes les précautions utiles - commentait Pascal Lointier, le président du Clusif. En dernier ressort, c'est le juge qui appréciera en fonction du degré de sensibilité des informations, et des efforts du RSSI". L'employé malveillant n'est donc pas la seule personne qui risque une amende et une peine de prison : le RSSI partage ce risque avec lui.

Mais faute d'un exemple concret en France, on repartira avec un gros doute. Idem pour la question du chantage. On aprend ainsi que Fujitsu a connu une bien triste mésaventure : un employé travaillant pour un sous traitant de Fujitsu a recueilli des informations stratégiques sur la défense nationale de la Corée du Sud.

Cet employé menace Fujitsu de communiquer ces informations à la Corée du Nord si l'enteprise ne lui verse pas une forte somme. Fujitsu ne cède pas et fait arrêter le pirate : la firme est depuis lors écartée de tous les contrats de défense en Corée. Un exemple très parlant, qui n'aidera pourtant pas les RSSI à se constituer une vision claire des menaces de chantage qu'ils encourent : s'agit-il d'un cas isolé ou d'un problème récurrent ? Existe-t-il des statistiques fiables qui permettraient d'y voir plus clair ? Une nouvelle fois, le métier du RSSI est compliqué par le manque de transparence de la profession. Si chaque entreprise garde jalousement son expérience pour elle, qui pourra rassembler les données et brosser un portrait fidèle de l'espionnage industriel ?

Source: JDNet Solutions (20/01/2003)

 

Cyril Autant (Thales Secure Solutions) : ""La France n'est pas assez protégée contre l'espionnage industriel"

Cyril Autant a présidé mardi dernier un séminaire sur les problématiques de sécurité intérieure devant une brochette de DSI - et autres RSSI. Ce cadre de la filiale de services en sécurité informatique du grand groupe de défense Thalès maîtrise bien les problématiques d'espionnage et de destruction de données. Le danger vient de l'intérieur, mais il existe des remèdes.

Faut-il prendre l'espionnage industriel au sérieux ?

Cyril Autant. Assurément : c'est une réalité à laquelle toutes les grandes entreprises sont confrontées d'une manière ou d'une autre. Je peux vous donner un exemple édifiant : il y a quelques années, le contre-espionnage avait accès à des informations très précises sur l'activité des services étrangers d'espionnage industriel, pays par pays et secteur par secteur. J'ai été en contact avec une entreprise pharmaceutique française employant plusieurs milliers de personnes : les responsables de la sécurité avaient eu accès à ces données, et ils s'étaient livrés à une petite extrapolation sur la base des budgets des différents pays. Ils avaient ainsi pu estimer le nombre d'espions russes dans leurs murs à une dizaine : je peux vous dire que cette firme prenait l'espionnage industriel très au sérieux. Autre exemple, plus concret : j'ai moi même travaillé dans un service de recherche qui a reçu un post-doctorant russe - une fois de plus - pour un stage. Nous nous sommes rendu compte que son soi-disant doctorat n'était en réalité que la copie d'un travail de recherches fort connu. Une fois démasqué, l'individu en question n'est pas réapparu. Je pourrais encore vous citer bien d'autres exemples, plus récents et plus parlants, mais je suis tenu par le secret professionnel.

Les "espions" agissent-ils en interne ou en externe ?

Le plus souvent, le danger vient de l'intérieur. C'est d'autant plus gênant que les enteprises sont très bien protégées contre les virus et contre les "hackers", mais qu'elles négligent souvent d'accorder toute leur attention aux pirates qui opèrent de l'intérieur.

Quels sont les principaux dangers qu'il faut craindre ?

La destruction de données et le vol d'informations confidentielles. Prenons deux exemples : comment vais-je réagir si l'on efface toutes les données relatives aux recherches de mon service R&D ? Quelles seront les conséquences pour moi si mon fichier client atterrit sur le bureau de mon principal concurrent, agrémenté de quelques informations sur les appels d'offres en cours ? Il existe une foule d'entreprises qui ont des données stratégiques et qui les protègent mal. Le fichier client est l'exemple type du document que l'on laisse traîner partout sur un système d'informations alors qu'il faudrait le protéger avec beaucoup de soin.

Comment reconnaître un espion ?

C'est impossible : il n'y a pas de portrait type. D'ailleurs, il y a des espions qui sont entrés dans l'enteprise dans un but précis, mais aussi des espions plus tardifs qui se sont laissé soudoyer par un concurrent après des années de bons et loyaux services. Je dirai même qu'il existe des espions malgré eux, qui divulguent des informations stratégiques sans le savoir à des oreilles indiscrètes, en parlant tout haut dans les transports en commun ou dans un club de sport par exemple. Je ne compte plus les exemples de clients qui ont glané çà et là des informations stratégiques malgré eux, en laissant seulement traîner une oreille au bon moment. Quant aux collaborateurs de l'entreprise - ou aux employés - qui détruisent des informations stratégiques sur le système d'information, ils ne le font pas toujours intentionellement. Le vol et la destruction d'information peuvent être intentionnels ou pas : un copier coller accidentel peut suffire à semer le trouble dans un SI. Il faut donc pouvoir parer aux dangers qui émanent en permanence de tous les employés et les collaborateurs d'une entreprise.

Les entreprises prennent-elles la sécurité suffisamment au sérieux ?

Il y a une forte culture de la protection contre les agressions extérieures, c'est incontestable. Mais je vois encore trop souvent des enteprises de taille respectable dépourvues des protections les plus élémentaires. Ces problématiques sont négligées la moitié du temps. Comment se protéger contre la perte et le vol d'informations stratégiques si l'on ne dispose pas d'un contrôle d'accès minutieux, et que l'on ne sensibilise pas ses effectifs aux règles élémentaires de la sécurité ?

Comment construire un bon contrôle d'accès ?

Tout comence par la définition des documents que l'on souhaite protéger, et du niveau de protection dont ils doivent bénéficier. Ensuite, il faut absolument en passer par un long et complexe travail de catégorisation des utilisateurs, afin de savoir dans le détail quelle famille d'employés peut avoir accès à quelle famille de documents. C'est la seule solution pour limiter la fuite d'informations : chaque utilisateur doit avoir accès aux données dont il a besoin, et à rien d'autre. Tout doit être abondamment cloisonné. Car lorsqu'un utilisateur dispose d'une information stratégique, plus rien ne l'empêche de le faire sortir de l'enteprise. Puis il faut mettre en place des solutions techniques qui permettent de contrôler efficacement chaque accès. Il existe sur le marché beaucoup de produits, qui répondent à tous les usages.

Pourquoi ne pas tracer les actions des utilisateurs ?

C'est une solution très efficace lorsque l'on a besoin d'un haut niveau de protection. Les produits de traçage sont bien au point, et ils permettent de savoir avec précision qui a agi sur les silos d'information les plus sensibles. Si une information est détruite, on peut demander des comptes au responsable. Si un utilisateur tente d'outrepasser ses droits pour accéder à une information normalement hors de portée, on peut aussi le détecter gràce à des outils assez proches des IDS. Ce qui permet de mener une enquête sur un utilisateur X ou Y qui est parvenu à accéder à un serveur sensible en mode administrateur alors qu'il opérait depuis un banal poste client.

Comment mieux sensibiliser les effectifs ?

C'est la deuxième règle d'or de la protection des données. La solution est fort simple : il faut former chaque utilisateur et le faire signer une charte lui interdisant de divulguer des informations. J'ai remarqué qu'il y avait une méthode très efficace, qui consiste simplement à citer des exemples d'espionnage industriel. Il faut que chaque employé intègre bien le fait que ces informations sont une richesse, et que comme toute richesse il faut la protéger.

Une dernière clé pour le succès ?

La pérennité ! Il faut absolument suivre le système de sécurité au jour le jour, le mettre à jour, former les nouveaux arrivants à la sécurité, etc ... Car sans ça la sécurité se dégrade automatiquement chaque jour un peu plus.

Source: JDNet Solution (07/10/2002)

 

Les entreprises ciblent l'espionnage informatique

« Nous avons eu des cas de piratage industriel parmi nos clients à Toulouse, bien entendu. Après trente ans d'information complètement fermée, l'ouverture de la communication aux partenaires, aux clients, aux filiales crée les conditions idéales pour l'espionnage et les nuisances », souligne Stéphane Geyres, directeur du département Audit et Sécurité des systèmes d'information chez Ernst & Young Toulouse.

« Peu d'entreprises avouent un piratage, car cela leur donnerait une image de défaillance. Au-delà du phénomène récent du hacker, qui disparaîtra en grande partie au fur et à mesure que l'internet se sécurisera, c'est la question plus générale de la sécurité de l'information qui est posée. Même si elle a toujours existé, cette question est maintenant transposée dans le monde informatique. »

Le pirate informatique pénètre dans un système d'information pour deux raisons: « Par opportunité, donc un peu par hasard, ou par motivation. Seul ce second cas nous intéresse. Il lui faut du temps, et des moyens importants. La logique de la concurrence organise le tout: le hacker peut dérober des informations, ou tenter de nuire à un concurrent, par la destruction ou la détérioration de ses fichiers. »

Certains avouent, en off, l'existence d'un pôle « espionnage industriel » au sein même de leur staff d'informaticiens: « Nous employons trois personnes à temps plein, avec pour mission officielle de la veille technologique. En fait, au beau milieu de nos bureaux, ce sont des pirates informatiques, chargés de s'attaquer aux systèmes d'information de nos concurrents, afin d'en exploiter les failles et de recueillir un maximum d'informations confidentielles - en laissant le moins de traces possibles, évidemment », confit Fabrice, cadre d'un grand goupe toulousain.

Si une telle activité concerne principalement les grandes enseignes de l'industrie ou du business, un patron de PME précise que cette situation est très difficile à gérer: « Les attaques sont constantes, et sournoises. Mon concurrent principal, par exemple, a utilisé une technique très simple et très prisée des cyber- terroristes: il a créé une page web fantôme, avec des informations classiques susceptibles de nous intéresser, tout en y insérant un petit programme qui, une fois téléchargé secrètement avec les pages HTML, a parcouru notre réseau d'ordinateurs, compilé un ensemble précis d'informations, et l'a envoyé à son destinateur - d'une manière parfaitement indétectable sur le moment. »

L'Onera avoue d'ailleurs subir pratiquement une attaque par semaine. « Mais il est difficile d'en découvrir l'origine, car les pirates utilisent des ordinateurs relais, souvent eux- mêmes piratés... Nous-mêmes avons, récemment, servis à attaquer des centaines d'autres sites - sans même le savoir!», ajoute Pierre Malecki, responsable réseau & informatique de l'Onera.

Pour faire face à ce risque grandissant, Stéphane Geyres préconise d'intégrer la réflexion sécuritaire dès la conception de tout réseau informatique. « La première sécurité est interne: verrouiller au plus près les chemins intérieurs permettant à tout poste informatique de consulter les données présentes dans d'autres postes. »

1,2 milliard d'euros de pertes en France

lLe Clusif (Club de la sécurité des systèmes d'information français) a, en 1996, publié un montant estimé des pertes subies par les entreprises françaises, et liées à des malveillances informatiques: 1,2 milliard d'euros (8 milliards de F). Mais, depuis, le Clusif avoue la difficulté grandissante de fixer ce genre de chiffres, de par le silence que s'imposent les entreprises victimes. Selon une autre étude du Clusif, 50 % de ces malveillances seraient dues à des concurrents, et 80 % d'entre elles seraient commises en interne ou à l'aide de complices en place dans l'entreprise.

En 2000, les seules infections par virus auraient coûté près de 20 millions d'euros (130 MF).

Source: La Dépêche du Midi (09/10/2001)

 

Alerte! Les espions sont parmi nous

L'espionnage industriel coûte au moins 10 milliards de francs chaque année aux entreprises françaises insouciantes. Un constat suffisamment grave pour que la DST s'en mêle.

Ils étaient venus à Washington au début du mois de mai pour enquêter sur les « grandes oreilles » américaines, un système très sophistiqué d'interception des communications, baptisé Echelon et capable de traiter 3 milliards d'écoutes par jour. Ils soupçonnaient les Etats-Unis d'utiliser Echelon pour espionner les entreprises françaises et européennes. Mais ces députés européens trop curieux ont dû plier bagage, humiliés par la CIA (Central Intelligence Agency) et la NSA (National Security Agency), qui les ont sèchement éconduits, prétextant « des rendez-vous non confirmés ». Cet incident diplomatique n'a fait que conforter les fortes présomptions des eurodéputés détaillées dans un rapport à paraître ce mois-ci.

Presque quatre ans après l'enquête du journaliste écossais Duncan Campbell révélant l'existence d'Echelon, un an et demi après le rapport du député français Arthur Paecht sur le même sujet, les eurodéputés valident à leur tour la thèse d'une surveillance planétaire menée depuis les Etats-Unis à des fins économiques. Dans leur rapport, les parlementaires européens établissent notamment un tableau édifiant relatant une trentaine de cas concrets, comme la perte d'un marché de 6 milliards de dollars pour Airbus au profit de ses concurrents américains Boeing et McDonnell Douglas, ou la disqualification de Thomson Alcatel à l'issue d'appels d'offres brésiliens, finalement décrochés par l'américain Raytheon.

« Pour les grandes sociétés françaises , le préjudice général de l'espionnage économique s'élève à 10 milliards de francs par an, une évaluation minimale », révèle Isabelle Rolland, commissaire à la Direction de la surveillance du territoire. La DST n'a pas attendu le verdict des députés européens pour tirer la sonnette d'alarme : elle juge déplorable le niveau de sécurité de certains grands laboratoires de recherche et des entreprises françaises, les PME en particulier. Si, hier, seules les entreprises d'armement étaient concernées par l'espionnage, aujourd'hui la gamme des secteurs « sensibles » très surveillés s'est largement étendue : des cartes à puce (tels Gemplus et Schlumberger) aux multiples labos du CNRS en passant par les constructeurs automobiles (Renault et PSA) ou les nombreuses PME spécialisées dans les biotechnologies, par exemple, l'histoire de l'espionnage industriel se mêle de fait avec celle des réussites françaises. Les agents du service de sécurité économique active de la DST sortent donc de l'ombre pour former chaque année 32 000 personnes, dans le cadre de quelque 800 conférences sur l'espionnage industriel.

Ce matin-là du mois d'avril, dans le centre de recherche d'un gros industriel français, une cinquantaine de salariés écoutent attentivement un agent de la DST. Ce truculent quinquagénaire est chargé de sensibiliser un groupe de cadres, d'ingénieurs et de chercheurs aux principales manoeuvres de concurrents soucieux de subtiliser le savoir-faire et les technologies maison. Devant un auditoire attentif, le conférencier introduit son discours : « Un agent de renseignements est un soldat qui fonctionne selon deux principes : primo, tous les moyens sont bons ; secundo, ne pas se faire prendre. »

Les armes de cette guerre économique sont aussi variées qu'inattendues, illustrées à foison par les agents de la DST lors de ces conférences. Il y a ce chercheur français travaillant dans un secteur de pointe qui reçoit un questionnaire pour figurer dans le Who's Who. Flatté, l'homme s'empresse de répondre aux questions très fouillées sur ses centres d'intérêt, les écoles qu'il a fréquentées, son appartenance à des réseaux d'anciens élèves, etc. Surpris par la quantité de détails à fournir, il tique définitivement quand il s'aperçoit que le document est à renvoyer au... Venezuela. Il y a aussi le chantage dont est victime un ingénieur aéronautique qui a trouvé un matin sur son bureau une liasse de photos compromettantes illustrant la nature non équivoque de ses escapades nocturnes. Ou encore ce commercial qui, à son retour d'Asie, voit son PC portable brûler sous ses yeux : le disque dur avait été copié en son absence... et mal remonté ! Cette guerre souterraine est d'autant plus dévastatrice que les entreprises ignorent souvent son existence même, et qu'elle reste classée « secret défense » dans les états-majors des sièges sociaux. « Pour des questions d'image, 90 % des entreprises touchées par des actes d'espionnage n'osent pas porter plainte », déplore Isabelle Rolland.

Première étape, révéler aux entreprises la réalité de l'espionnage économique. « Lorsque nous arrivons dans une entreprise, raconte un agent de la DST, nous sommes le plus souvent atterrés par la légèreté des mesures de protection. » La direction informatique d'un constructeur aéronautique français s'est ainsi récemment « amusée » à passer tous les mots de passe de ses ordinateurs à la moulinette d'un logiciel de craquage : en quelques minutes, 70 % des codes ont été déjoués : des prénoms, des dates d'anniversaire, sans parler des « toto » et autres « titi ». Selon les services de sécurité, la vulnérabilité d'une entreprise repose à 20 % sur des failles techniques... et à 80 % sur des failles humaines. C'est précisément ce manque de vigilance que stigmatisent la DST et son équivalent militaire pour l'étranger, la Direction générale de la sécurité extérieure (DGSE). Une lente prise de conscience s'amorce parmi les cadres dirigeants des entreprises : « Ces conférences ont pour nous une valeur stratégique cruciale, commente le directeur de la protection du groupe industriel visité en avril. Notre personnel n'a pas encore assez mesuré le nombre des tentatives d'espionnage dont nous sommes la cible. Pendant le week-end de Pâques, par exemple, l'un de nos contrôleurs de gestion s'est fait voler son ordinateur portable, dont le disque dur contenait une foule de données confidentielles. Pour nous, les conséquences de ce vol peuvent se révéler désastreuses. »

Seconde étape du travail de fond des services de renseignements français, insuffler une culture de protection. « Il est aussi difficile de faire taire un Français que de faire parler un Japonais ! Faites attention à ce que vous dites, et faites plutôt parler votre interlocuteur », avertit le conférencier, qui précise que 80 à 90 % des renseignements obtenus par des concurrents le sont par des moyens ouverts : un coup de fil, une recherche sur Internet, la lecture de la presse, une simple conversation. « Ne laissez jamais des visiteurs et des stagiaires circuler seuls dans vos locaux, méfiez--vous des consultants extérieurs, dites--leur ce qu'ils doivent savoir sur l'entreprise, et non pas ce qu'ils veulent savoir. Le gardiennage et le nettoyage sont les deux mamelles du renseignement, ne jetez aucun document sensible à la corbeille, détruisez--le. La sécurité absolue n'existe pas, conclut--il, mais votre rôle est de multiplier les obstacles qui empêchent d'atteindre l'information cruciale. » Chaque année, au sein de cette entreprise - et à la demande de sa direction -, 1 000 salariés sont ainsi formés par les services de protection de l'Etat, au rythme d'une session par mois.

Une réponse au cas par cas dans les entreprises ne saurait pourtant apaiser les eurodéputés. A Bruxelles et à Strasbourg, ces derniers insistent pour que les pays membres de l'Union apportent une réponse plus globale. « Le problème, c'est qu'aucun pays européen - la France en particulier - n'a de véritable stratégie de puissance au niveau international », tempête Christian Harbulot, le directeur de l'Ecole de guerre économique. Cet homme, dont le troisième cycle forme à l'intelligence économique une vingtaine de jeunes gens par an, juge sévèrement les dirigeants européens, et au premier chef les Français. « En France, tranche-t--il, il n'y a aucune volonté politique claire, aucune stratégie internationale, aucune vision du monde du renseignement qui permettrait d'aller dans ce sens. » A Strasbourg, à Bruxelles, à Paris, il se murmure ainsi que les Américains sont décidément les plus forts, et que leur alliance avec la Grande-Bretagne et l'Allemagne pour la mise en oeuvre d'Echelon invalide toute volonté politique forte et crédible de la part des Européens. La sécurité des savoir-faire français n'est plus l'affaire des seuls chefs d'entreprise, elle s'invite désormais sur la scène politique.

Source: L'Expansion (21/06/2001)

 

Quand le « Net-espionnage » menace les entreprises

Gare au « Net-espionnage »... Dernier avatar du bon vieil espionnage industriel, la collecte illégale de données économiques pouvant intéresser Etats et grandes entreprises est entrée dans l'ère de l'automatisation avec Internet. Revers de la médaille : en ouvrant largement leur informatique sur le monde extérieur, « e-business » oblige, les entreprises mettent du même coup en danger leurs données les plus confidentielles. Espions et pilleurs fourmillent sur le réseau, du simple « hacker » aux responsables du renseignement des grands pays industrialisés, Etats-Unis en tête.

Première puissance économique mondiale, berceau des plus grandes sociétés informatiques, les Etats-Unis font, dans cette affaire, figure d'accusé numéro un. Grâce, notamment, au travail du Parlement européen, on connaît mieux aujourd'hui le réseau espion Echelon. Ce « Comint » (réseau de communication intelligente) est géré par la NSA (National Security Agency), il est capable d'intercepter partout dans le monde jusqu'à 3 millions de communications téléphoniques, fax et e-mails à la seconde ! Echelon a traité, indexé, archivé et transmis des informations « utiles » aux entreprises américaines pendant près de cinquante ans.

Secrets mal gardés

Lisons ce qu'en dit un ingénieur belge, qui s'exprime anonymement sur un site Web consacré à Echelon. « Je travaille pour une compagnie belge de téléphone. En 1988, nous avons installé dans toute l'Europe 40 noeuds d'interconnexion DACS [Ndlr : Digital Access Cross-Connect System] de chez AT&T [devenu Lucent Technologies], des machines qui servent à interconnecter des lignes téléphoniques spécialisées des grandes entreprises. Ces noeuds comportaient, pour des "raisons de supervision technique", une connexion directe avec les Etats-Unis. Nous n'avons à ce sujet aucun moyen de contrôler ce que le constructeur américain a fait avec ces connexions. »

Plus insidieux encore que les « Comint » (qui ne sont d'ailleurs pas une exclusivité américaine), la pose de mouchards électroniques dans les logiciels commerciaux les plus courants, édités dans leur quasi-totalité par le géant du software Microsoft. Les systèmes d'exploitation, les logiciels applicatifs, les logiciels embarqués dans des matériels (« firewalls » et routeurs) sont livrés en « boîtes noires » : il est impossible d'y repérer la présence de mouchards électroniques qui vont pré-traiter l'information « utile » à l'insu de son utilisateur.

Et n'allez pas demander à la Direction centrale de la sécurité des systèmes informatiques (DCSSI) en France s'il y a des mouchards dans Windows 95/98/NT/2000, dans Office ou dans Lotus Notes : on vous raccrochera au nez. Sauf que l'espionnage, lui, est bien réel et préoccupe de plus en plus les entreprises françaises. « Dans cette histoire, on paie trois fois. Pour avoir des logiciels, pour sécuriser notre système, et, finalement, pour se faire espionner ! », grogne un patron tricolore. Sorti des Etats-Unis, la réaction des clients pourrait bien peser sur les ventes des logiciels et équipements électroniques « made in USA » et, peut-être même, sur le cours de Bourse des sociétés concernées.

Source: La Tribune (29/11/2000)

 

Espions d'entreprise

L'espionnage économique, c'est le vol de données appartenant à une entreprise. L'intelligence économique, c'est l'analyse d'informations obtenues légalement pour connaître les projets d'une entreprise. Depuis la fin de la guerre froide et la reconversion de nombreux espions dans le secteur privé, la frontière entre les deux est devenue floue.

Sans intelligence économique, point de salut ! Trois grandes entreprises françaises sur quatre sont aujourd'hui dotées de cellules de veille et d'intelligence économique. Selon une enquête du Centre d'Etude et de Prospective Stratégique, ces cellules sont le plus souvent utilisées pour identifier les initiatives de la concurrence, accroître la compétitivité de l'entreprise, décider de son développement et anticiper les évolutions du marché.

Pour "identifier les initiatives de la concurrence", les entreprises ont également la possibilité de faire appel à des agences privées de renseignement. Celles-ci se voient confier toutes sortes de mission, des plus classiques (dresser le portrait d'un patron d'entreprise) aux moins avouables (se livrer à des écoutes téléphoniques). Certaines de ses agences, qui ont embauché des espions à la retraite, en ont visiblement adopté les méthodes.

Les ex-membres des agences gouvernementales de renseignement, arrivés en nombre dans le secteur privé après la chute du Mur de Berlin, sont également recrutés directement par les entreprises. Aux Etats-Unis, d'anciens responsables de la CIA ou de la NSA occupent désormais des postes stratégiques dans des multinationales. Par ailleurs, quelques-unes des plus grandes entreprises du pays, comme Motorola ou ATT, reconnaissent aujourd'hui qu'elles disposent de leur propre service de renseignement. Cela n'a pas échappé à ce groupe de retraités du KGB qui, en 1997, passait une annonce dans le Wall Street Journal pour vanter ses mérites et trouver un nouvel employeur!

Ces nouveaux venus dans le monde de l'entreprise sont le symbole du durcissement de la compétition économique internationale. Un durcissement qui doit inciter cadres et dirigeants à la prudence : "il ne faut plus laisser ses affaires dans les bureaux, met en garde Robert Guillaumot, un ancien du renseignement militaire aujourd'hui président du groupe d'intelligence économique Inforama International. Il faut s'assurer que les documents que vous laissez trainer malencontreusement ne puissent pas être photocopiés. Il faut faire attention aux communications téléphoniques dans les hotels. Il faut aussi éviter d'aller dans des restaurants où les tables sont trop rapprochées, pour que vos conversations ne soient pas espionnées." Les patrons se doivent aujourd'hui d'appliquer les mesures de précaution autrefois réservées aux diplomates.

Intelligence économique, définitions

Henri Martre, ancien patron de l'Aérospatiale, auteur d'un rapport du Commissariat Général au Plan sur l'intelligence économique : "Le terme d'intelligence économique recouvre deux notions : le recueil de l'information et la compréhension de l'information. Et cette information doit être traitée et intégrée, de façon à avoir une image de la réalité dans la conduite de vos affaires. L'intelligence économique consiste à savoir quel est le décor dans lequel vous agissez et l'environnement dans lequel se situe votre entreprise."

Robert Guillaumot, président du groupe de conseil en intelligence économique "Inforama International" : "L'intelligence économique est la fédération d'un certain nombre de techniques anciennes et de techniques nouvelles qui permet d'avoir à sa disposition une information pertinente sur un sujet donné au moment où vous le voulez. L'intelligence économique, c'est l'information juste, juste à temps."

Bruno Martinet, vice-président "veille business" du Groupe Ciments Français : "Pour nous, la majeure partie des activités d'intelligence économique tourne autour de trois pôles : la veille technologique, surveiller les nouveaux produits et les nouveaux procédés dans nos métiers… la veille business, chercher des opportunités de développement dans le monde entier et surveiller ce que font nos concurrents.. et enfin, au jour le jour, la veille commerciale, à savoir surveiller ce que pensent nos clients de nos produits et de ceux de la concurrence."

Christian Harbulot, directeur de l'Ecole de Guerre Economique, à Paris : "Faire de l'intelligence économique, c'est orchestrer l'approche d'un marché, avec les bons partenaires et les bonnes méthodes. On ne peut pas conquérir un marché en y allant au nom de sa petite entreprise avec son bon produit dont on est très fier. Non, il faut s'organiser, avec d'autres, par le biais de réseaux d'acteurs économiques où s'entremêlent des consultants, des fonctionnaires, des universités... Et puis il ne faut pas arriver comme un éléphant dans un magasin de porcelaine. Il faut avoir le profil le plus bas possible, être un peu discret pour ne pas avoir l'air trop conquérant."

Maurice Botbol, directeur de publication de la lettre confidentielle 'Le Monde du Renseignement' et du site Intelligence Online: "Il ne faut pas confondre intelligence économique et espionnage. L'intelligence économique se fait avec des moyens légaux en structurant sa recherche d'informations. L'espionnage économique se fait de manière totalement illégale. En fait, il y a une confusion entre les deux termes, parce que -c'est vrai- les techniques du renseignement sont en train de se diffuser au niveau des entreprises. Les techniques et les hommes, il y a beaucoup de personnes des services de renseignement, notamment aux Etats-Unis, qui ont été licenciées après la fin de la guerre froide et qui se sont retrouvés dans le domaine économique."

Les agences de renseignement privées, sur le fil de la légalité

Cabinets d'intelligence économique, sociétés de conseil en sécurité intelligente, consultants spécialisés dans le renseignement concurrentiel : les agences de renseignement privées travaillant sous le label " intelco " (contraction d'intelligence économique) fleurissent, dans les pays industrialisés. Leurs clients sont généralement de grandes entreprises (une PME a rarement les moyens de s'offrir les services d'agents de renseignements payés de 10 à 15000 francs la journée). Leurs missions sont de courte durée.

Bruno Martinet

"Ces sociétés répondent à des besoins très spécifiques, explique Bruno Martinet, responsable de la veille du Groupe Ciments Français. On fait appel à eux pour retrouver des mauvais payeurs qui sont partis sans laisser d'adresse. Ou souvent pour faire un profil des patrons d'entreprise que l'on ne connaît pas et avec lesquels on veut faire affaire. Faire un profil, cela veut dire répondre à des questions précises du type : ce patron-là, quelles ont été ses activités, ces dernières années ? Avec qui fait-il généralement des affaires ? Est-ce qu'il a déjà eu des ennuis judiciaires ? Ce genre de choses…"

Ces "profils", les plus grosses agences privées de renseignement les réalisent aussi pour le compte de gouvernements. En 1991, la firme américaine Kroll Associates, l'un des plus gros employeurs de retraités de la CIA aux Etats-Unis, est ainsi parvenu à déterminer le montant de la fortune de Saddam Hussein, après avoir retrouvé la trace de ses différentes participations dans des sociétés occidentales. La commande du "profil" avait été passée par l'Etat koweitien.

Jean-Claude Chalumeau

Au même titre que les services spécialisés gouvernementaux, les cabinets de renseignement économique naviguent parfois en eaux troubles. Jean-Claude Chalumeau , président de l'Agence Intelynx à Paris , reconnaît par exemple que certains de ses clients lui ont déjà demandé d'identifier les destinataires de pots de vin, pour conquérir de nouveaux marchés à l'étranger. "Il est inutile de nier l'existence de commissions sur un certain nombre de marchés. Le tout, c'est de donner la commission à la bonne personne."

La ligne jaune de la légalité est-elle régulièrement franchie ? Ces dernières années, de nombreuses affaires -impliquant des agences privées de renseignement ou leurs sous-traitants- ont éclaté. En particulier aux Etats-Unis. Dans son enquête "Guerres dans le cyberespace", Jean Guisnel cite l'exemple de la firme Wackenhut Corporation, dont les méthodes douteuses ont été repérées par une de ses victimes : la société Westinghouse, spécialisée dans la fourniture de réacteurs nucléaires. Wackenhut Co y avait fait installer des systèmes d'écoute téléphonique capables d'intercepter simultanément deux cents conversations.

La deuxième vie des espions américains

RFI : Dans le domaine de l'intelligence économique, quel a été l'impact de la restructuration des agences de renseignement américaines après la fin de la guerre froide ?

Jean-Marie Bonthous : Il y a un grand afflux de cadres de la CIA, du FBI et de la NSA dans le secteur économique américain. Ces 5 dernières années, la Society of Competitive intelligence professionals (NDR : l'organisation qui rassemble aux USA les praticiens de l'intelligence économique) est passée de 600 à 5000 membres. Beaucoup de personnes, qui étaient auparavant des membres de la communauté gouvernementale du renseignement, prennent leur retraite ou sont licenciés, et se retrouvent à des postes importants dans de grandes sociétés américaines comme 3M, Kodak, ATT ou McDonell Douglas. Il est tout à fait significatif de noter qu'aux Etats-Unis les plus grands services d'intelligence économique dans les entreprise ont été montés par des transfuges de la CIA. C'est le cas chez Motorola, où le patron est l'ancien responsable de l'intelligence technologique de la CIA .

RFI : Est-ce à dire que les entreprises ont intégré les méthodes des services de renseignement, notamment en matière d'espionnage ?

Jean-Marie Bonthous : Les méthodes ont changé. L'ancienne génération des professionnels de l'intelligence économique venait du milieu des documentalistes. Aujourd'hui, les anciens des services apportent leur professionnalisme. Notamment dans leur manière de travailler en réseau. Quant à l'espionnage, officiellement, il ne se pratique pas. Officieusement, il se pratique. La méthode est généralement la suivante : on embauche un consultant, qui lui-même est un ancien des services gouvernementaux et à qui on demande formellement et par contrat de respecter toutes les lois. Maintenant, ce que fait effectivement le consultant, c'est autre chose.

RFI : Des exemples ?

Jean-Marie Bonthous : Il y a eu deux ou trois cas précis récemment, où des consultants se sont fait prendre. De l'espionnage assez classique : des écoutes téléphoniques, des copies de documents. Il y a eu une affaire chez Kodak par exemple. Une personne qui connaissait les procédés de fabrication des films et qui venait de prendre sa retraite a été recrutée par un de ces consultants. Elle a été prise la main dans le sac, alors qu'elle transmettait des documents confidentiels à la concurrence. Des affaires dans ce genre, il y en a quelques-unes !

Le renseignement informatisé au service des entreprises

Les entreprises intègrent progressivement les outils des services secrets. Parmi eux, les systèmes de traitement automatisé et d'analyse de l'information.

Le tout premier moteur de recherche français, baptisé Taïga (Traitement automatique de l'information géopolitique d'actualité) est conçu dans les années 80 par l'informaticien -et linguiste- Christian Krumeich, pour le compte de la DGSE. A la même époque, aux Etats-Unis, la CIA met au point un système comparable : Topic. A l'origine, Taïga et Topic répondent aux mêmes besoins : automatiser la collecte, le tri et l'analyse des informations disponibles dans les bases de données (bandes magnétiques, CD-Roms, réseaux informatiques…) consacrées à l'Union Soviétique.

Les deux systèmes fonctionnent à l'aide de mots-clefs, exactement comme les moteurs de recherche de l'Internet aujourd'hui, mais peuvent aller beaucoup plus loin. Taïga et Topic sont capables de se livrer à des analyses sémantiques ou linguistiques, et autorisent donc des recherches par concept. Il devient possible de repérer par exemple tous les rapprochements intervenus dans l'industrie automobile entre des entreprises japonaises et américaines au cours des six dernières années, sans avoir pour autant entré préalablement dans le système toutes les marques de voitures nipponnes et américaines.

Cette précieuse technologie est aujourd'hui couramment utilisée dans les services de veille ou de documentation des grandes entreprises. Taïga et Topic sont tombés dans le domaine commercial et de nombreux systèmes semblables ont été lancés sur le marché. Les moteurs de recherche de la prochaine génération sont actuellement testés dans certains laboratoires américains. Ces moteurs permettent de lancer des recherches sur des documents vidéo, grâce à des techniques de reconnaissance de texture. Selon toute vraisemblance, les services secrets US, dont les ingénieurs gardent une longueur d'avance dans ce domaine, utilisent déjà ces moteurs. Encore quelques mois, et les entreprises pourront se les procurer.

Quand les services roulent pour l'entreprise

Les gouvernements n'hésitent plus à mettre les moyens dont ils disposent au service des entreprises. Notamment leurs agences de renseignement.

C'est au Japon, dans les années 60, qu'est appliquée la première politique gouvernementale d'aide aux entreprises, en matière de renseignement. Avec l'appui du tout-puissant MITI -le ministère de l'Industrie- les grandes sociétés japonaises décident d'attaquer en force les marchés étrangers, en ayant recours à l'espionnage industriel à très grande échelle. Le modèle japonais, longtemps décrié par les Américains, sera suivi par eux à la fin de la guerre froide. L'ennemi soviétique disparu, la CIA voit ses priorités changer. Dès 1990, son directeur, William Webster, affirme que l'Agence va "se consacrer aux regroupements de renseignements sur les nations rivales. La CIA, poursuit-il alors, cherchera à repérer les tendances, à contrôler les négociations commerciales, à suivre les technologies qui voient le jour et à se tenir au courant de ce que fait la concurrence, afin d'assurer aux Etats-Unis le maintien de leur leadership économique et technologique". Quelques années plus tard, en novembre 1994, le patron de la CIA se vantait d'avoir aidé son pays à remporter pour 50 milliards de dollars de contrats au cours de l'année écoulée. Une tendance qui ne s'est pas démentie depuis. Bien au contraire.

Les autorités françaises, elles, se montrent beaucoup plus discrètes sur la question. Ce qui ne signifie pas que les services français restent inactifs. En 1996, un rapport de la CIA présenté au Congrès condamnait les nombreuses opérations clandestines dirigées par le gouvernement français pour s'emparer de secrets économiques américains. Une affaire parmi d'autres (rendue célèbre par le FBI) : en 1991, des "fonctionnaires" du Consulat de France au Texas étaient surpris en train de récupérer le contenu des poubelles de plusieurs résidences de riches industriels et de hauts fonctionnaires américains, dans la banlieue de Houston. Pierre Marion (patron de la DGSE entre 1981 et 1982) reconnaissait lui-même, quelques temps plus tard, que lors de son passage à la tête de la Sécurité Extérieure, il avait mis sur pied une section chargée d'espionner les entreprises américaines.

Aujourd'hui, tous les grands pays industrialisés espionnent de la sorte leurs partenaires. Avec plus ou moins de moyens. D'après l'Américain John J. Fialka, auteur de War by Other Means (la guerre par d'autres moyens), le pays le plus actif dans ce domaine est à présent la Chine. Selon lui, les Chinois comptent aujourd'hui davantage d'agents aux Etats-Unis que le KGB à sa grande époque

Reconstruction en Bosnie : les Français ratent le coche

Les Etats aussi font de l'intelligence économique. Exemple type : la préparation des contrats liés à la reconstruction d'un pays à l'issue d'un conflit. Xavier Guilhou, membre de la direction du groupe Schneider, a participé à l'opération civilo-militaire engagée par la France en Bosnie en 1994 en vue de préparer la reconstruction du pays. Une opération qui s'est soldée par de maigres résultats pour les entreprises françaises.

RFI : Comment êtes- vous arrivé en Bosnie?

X.G. : A l'époque, j'étais directeur marketing à la direction générale du groupe Spie Batignolles, une filiale du groupe Schneider. On est venu me chercher, parce que j'avais un statut d'officier de réserve, pour assister le pilotage de cette opération des affaires civilo-militaires au côté de l'armée française qui était très présente sur place et au côté de la diplomatie française. Cette opération prenait place dans un contexte complètement nouveau avec la résolution 900 de l'ONU qui instaurait un mandat de reconstruction en Bosnie.

RFI : Quel a été votre rôle en Bosnie?

X.G. : Mon rôle a été de favoriser une action commune entre civils, militaires et diplomates. On n'était pas parvenu à mettre en oeuvre ce type d'approche pendant la guerre du Golfe au Koweit et au Moyen-Orient, et là tout le monde était désireux de mettre en place une méthodologie performante, d'autant plus que les entreprises françaises étaient très présentes en ex-Yougoslavie avant le conflit. Il s'agissait aussi d'accompagner la gestion de l'influence de la France. Beaucoup de gens pensent qu'il suffit d'envoyer des hommes d'affaires pour récupérer des marchés. Travaillant dans le monde industriel, je sais que les bons comptes font les bons amis, mais il faut un minimum de bons amis pour avoir un minimum de comptes.

RFI : Concrètement, qu'avez vous fait?

X.G. : Quand je suis parti en mars 1994, on m'a demandé de faire un audit de la situation en Bosnie, de voir ce que les Français pouvaient faire dans cet imbroglio bosniaque et notamment à Sarajevo. Très rapidement, nous avons déployé une "task force" d'une vingtaine de personnes qui représentaient tous les talents de la maîtrise d'oeuvre publique et privée française. Il y avait des spécialistes du BTP (bâtiment, travaux publics), des aéroports, des voies ferrées, des télécommunications, de l'education, de la justice, etc. Très rapidement, cette "task force" a été mise à disposition du Haut Commissaire à la reconstruction, l'Américain Eagleton. Nous avons travaillé sur près de la moitié des dossiers de reconstruction. Nous avons fait l'état des lieux et proposé un schéma de reconstruction avec des projets identifiés et chiffrés en l'espace d'un mois et demi. Même les Américains et les Anglais ont été admiratifs de cette compétence française en matière d'ingénierie. Reste qu'ensuite, l'administration française aurait dû reprendre ce travail à son compte pour figer dans les grandes réunions internationales les positions que la France allait occuper sur moyen terme dans le domaine de la reconstruction.

RFI : Quel a été l'utilisation des résultats de ce travail effectué dans le cadre du mandat des Nations Unies?

Xavier Guilhou : Au mois de mai 1994, une grande réunion a eu lieu à Vienne où tous les grands pays donateurs se sont réunis. Le Haut commissaire, M. Eagleton, est venu avec cette équipe de Français faire la présentation de l'état des lieux et des projets. Tous les pays avaient réféléchi à la question. Les seuls qui n'étaient pas préparés étaient les Français. On s'est retrouvé dans une situation paradoxale où un Américain s'est appuyé sur le travail d'équipes françaises et autour de la table il y avait des représentants de l'administration française qui n'avaient aucune idée de ce qu'il fallait mettre en oeuvre aussi bien en terme de mandat qu'en terme de moyens financiers pour positionner la France dans ces grands enjeux de la reconstruction. Il n'y a pas eu de coordination au niveau des ministères et il n'y avait pas d'intérêt au niveau politique, l'exécutif ne se sentait pas concerné.

RFI : Comment expliquez-vous ce paradoxe?

X.G.: La France a déployé des moyens humains considérables en Bosnie pendant la guerre. Nous l'avons payé très cher. Plus de 70 soldats sont morts et il y a eu des centaines de blessés. Et finalement nous nous sommes retrouvés dans une situation aberrante. L'armée française avait une connaissance parfaite du terrain, ce qui nous a permis de mener notre travail d'audit très rapidement et efficacement. Mais par la suite, nous n'avons pas été au rendez-vous d'un certain nombre de grands projets où tout le monde nous attendait. Tout ça, parce que nous ne sommes pas dans la même configuration que les pays anglo-saxons. Nous n'avions pas de conviction au niveau politique, ni de coordination au niveau administratif. Quand on regarde les Anglais et les Américains, qui ont été beaucoup moins présents que nous sur le terrain pendant la guerre, ils sont parfaitement organisés: ils savent ce qu'ils veulent ou ce qu'ils ne veulent pas faire. Il savent organiser les mandats qui permettent aux diplomates de soutenir les opérations. Moi, ça m'a un peu révolté. Déployer autant de talents sur le terrain et ne pas avoir cet accompagnement politique et administratif, à mon avis c'était un peu du gachis.

La diplomatie économique en échec

Extraits de "Les pires amis du monde: les relations franco-américaines à la fin du XXe siècle" de Jean Guisnel, éditions Stock, 1999.

Le terrain de manoeuvre était donc la Bosnie. Un pays à genoux, qu'il a fallu dans un premier temps aider à redémarrer succintement après les années de guerre, et qu'il convient de reconstruire. Budget estimé de la remise en état des infrastructures détruites par la guerre : 5 milliards de dollars, qui seront versés par diverses instances internationales entre 1996 et 2000. Dès le mois d'avril 1993, dans le cadre de la mission du représentant de l'Onu chargé de la reconstruction, William Eagleton, les armées françaises envoient en Bosnie une vingtaine d'officiers de réserve "zingués", c'est-à-dire nantis d'un grade fictif - à savoir celui de lieutenant-colonel -, et appartenant à des entreprises de bâtiment et de travaux publics, de la distribution d'eau, du grand et du petit commerce, des télécommunications. L'objectif est nettement affiché par Claude Coppin, président de Spie-Batignolles et vice-président du syndicat des entrepreneurs français internationaux : "Pour être présent à l'heure de la paix, il faut être sur place lorsque la guerre bat son plein; c'est une évidence qui se vérifie dans tous les conflits modernes". Les choses ne se dérouleront pas comme prévu: le contact entre les réservistes et les officiers d'active ne sera pas parfait. L'initiative du ministère de la Défense sera combattue par d'autres ministères, notamment celui des finances, pour des raisons bureaucratiques.

(...)

Dans la reconstruction bosniaque, les Italiens se sont révélés les meilleurs. Avec 7% de l'aide internationale versée par leurs soins, ils avaient dès 1996 récupéré 20% des marchés. A côté, les Français ne peuvent se targuer que de peu de succès: la remise en état des tramways de Sarajevo par les militaires français s'est terminée curieusement, chaque tram étant affublé d'un drapeau de l'Oda (Overseas Development Administration), organisation britannique bien connue. EDF, pour 25 millions de francs, a contribué à la remise en service de l'électricité de Sarajevo. La reconstruction de l'aéroport de la ville, rouvert par les Français, géré par leur armée de l'air, n'a pas bénéficié de subventions françaises significatives. Résultat: des entreprises hollandaises financées par leur gouvernement ont remporté le marché, et acheté des équipements américains. Sous le regard éberlué des soldats français qui ont tant bien que mal fait tourner l'aéroport à leurs risques et périls durant toute la guerre. C'est le secrétaire d'Etat américain Warren Christopher qui est venu procéder à l'inauguration, le 15 août 1996! Aucun ministre français n'avait accepté de faire le déplacement, en pleines vacances...

Thomson avait fourni pour 10 millions de francs d'équipements, payés par le Trésor français, et Aéroports de Paris offert un camion aux pompiers. Lorsque Jacques Chirac a effectué, dans l'indifférence générale de la population qui avait acclamé dans la rue le président Bill Clinton quatre mois plus tôt, sa première visite à Sarajevo, en avril 1998, il a conseillé aux habitants de la capitale de prendre exemple sur les Français et les Allemands qui ont su tirer un trait sur des siècles de guerres pour construire ensemble l'Europe. Mais il n'a guère célébré les petits contrats en cours de finalisation: l'impression de billets de banque par la firme Oberthur, et la construction de boulangeries industrielles. Quant au déminage, il permet surtout aux entreprises françaises de "consacrer l'essentiel de leurs efforts à s'affronter pour le partage des quelques crédits octroyés par la France". On est très loin de la "diplomatie économique" prônée par Hubert Védrine, le ministre français des Affaires étrangères souhaitant voir grand, et associer dans un même effort, rendu nécessaire par l'ampleur de la menace américaine, l'appareil diplomatique et les entreprises exportatrices.

Source: RFI (17/02/1999)

 

Comment proteger ses secrets informatiques

Pour éviter les vols et destructions de données informatiques, le cryptage est la seule parade efficace. Mais jusqu'ici les pressions des industriels ont été vaines: l'Etat entend garder la haute main sur un système de protection stratégique.

Le 15 février à Raleigh, en Caroline du Nord, prenait fin la carrière de Kivin Mitnick, 31 ans, alias el Condor, la terreur du réseau des réseaux. Fort de son impunité, l'ennemi1 d'Internet s'était introduit, voilà deux ans, dans l'ordinateur personnel de Tsutomu Shimomura, 30 ans, pour y piller les secrets du meilleur expert américain en sécurité informatique et les livrer au public, via Internet. Piqué au vif, celui-ci mettait aussitôt ses talents au service du FBI. Quant au virtuose du casse cybernétique, inspirateur du film War Game, il risque trente ans de prison. Le cas Mitnick, bien qu'exceptionnel, fait des émules. Les serveurs de réseaux informatiques sont devenus la cible privilégiée des pirates. Mots de passe ou prologiciels, des barrières dérisoires contre le piratage Le terrorisme informatique (modification ou destruction de données) et l'espionnage assisté par ordinateur font désormais partie des armes de la compétition économique et aucun secteur n'est aujourd'hui à l'abri, affirme Jean-Marc Alou«t, secrétaire général du Club de la sécurité informatique français (le Clusif). De fait, 58 % des sinistres informatiques sont liés à la malveillance: atteintes à la disponibilité des données (2,7 milliards de francs de pertes), à leur intégrité (2,4 milliards), à leur confidentialité (1,4 milliard). Au total, le cybercrime a occasionné 6,5 milliards de francs de pertes, hors secteur gouvernemental (non recensé), en France, et devrait atteindre 14 milliards de francs en 2005.

Internet est en effet victime de sa convivialité. Rien n'y est plus tentant que d'intercepter un message qui s'achemine sans protection.

De nombreuses PME et PMI choisissent Internet comme alternative aux réseaux privés, jugés trop chers, explique Yves Devillers, d'Eunet-France, premier opérateur français d'Internet. Sans défense, elles s'exposent au pillage de leurs informations. L'essor des EDI (échanges de données informatisés) ne devrait rien arranger. Ce langage universel, d'ordinateur à ordinateur, se banalise dans les entreprises et les administrations. Selon une étude du cabinet Ernst & Young, on devrait compter 30 000 utilisateurs cette année, soit quatre fois plus qu'en 1990. La protection des EDI devra s'imposer sur les futures structures de communication transnationales, estime Andréa Brignone, PDG de Protexarms, spécialisé dans la sécurité.

Les entreprises disposent d'une large batterie de systèmes, à commencer par les mots de passe. Plus sophistiqués, les prologiciels, ces cybercerbères (Sentinel, Alert, Secure, Guardian, Top Secret, RACF...), gèrent les droits d'accès des programmes, fichiers, bases de données, et définissent le niveau des opérations autorisées. Mais, pour préserver le stockage et les transmissions de données, la seule arme absolue est la cryptologie.

Et c'est là que le bât blesse.

Jusqu'en octobre 1993, la loi en interdisait le développement et la diffusion dans le domaine civil (1). Classée matériel de guerre, cette méthode était assimilée à une arme de seconde catégorie, ce qui, dans la nomenclature militaire, en fait une espèce aussi protégée qu'un porte-avions! Pour y avoir accès, les entreprises devaient demander une sorte de permis de port d'arme, selon une procédure très contraignante. Aujourd'hui, la réglementation fait une subtile distinction entre les techniques qui permettent de vérifier l'identité de l'émetteur et l'exactitude du message (authentification-intégrité), utilisables sur simple déclaration préalable, et celles qui garantissent la confidentialité des échanges (cryptage ou chiffrement), dont l'emploi est soumis à autorisation.

Obstacle supplémentaire à la diffusion du cryptage, le SCSSI (Service central de la sécurité des systèmes de l'information), placé sous l'autorité du Premier ministre, qui délivre les autorisations, n'a jamais rendu publics ses critères d'attribution, ni la liste des logiciels permis ou non. Il décide seul des besoins de sécurité des entreprises, qu'il s'agisse de grands comptes ou de PME. Les uns et les autres doivent justifier leur demande, et surtout fournir la preuve que leur système de protection est franchissable par une autorité légale. Une démarche longue, compliquée et décourageante.

Sans compter, précise Yves Devillers, qu'à raison de 200 000 francs le logiciel (en moyenne) le coût moyen de cette sécurité est prohibitif pour les PME.

Assouplir et harmoniser les règles de la cryptologie En France comme aux Etats-Unis, le refus de l'Etat de se dessaisir de ces moyens de contrôle est motivé par la sécurité intérieure, laquelle se heurte au besoin vital des entreprises de protéger leur information commerciale. Le rapport de Gérard Théry (2), commandé par le Premier ministre à l'occasion de la réunion du G 7 de février dernier consacrée aux autoroutes de l'information, s'est contenté de souhaiter avec optimisme des réseaux ouverts mais sûrs, sans fixer les moyens d'y parvenir. Mais le lobby informatico-industriel est en marche. Lors de cette fameuse réunion, une cinquantaine d'industriels (3) ont réclamé, dans un document d'une dizaine de pages, un assouplissement et une harmonisation des règlements sur la cryptologie: Le commerce électronique sans cryptage représente des dangers lourds de conséquences, explique leur porte-parole, Yves Leroux, expert en sécurité informatique chez DEC-France. Pour préserver les intérêts de l'Etat comme ceux des industriels, il faudrait créer, par exemple, des agences indépendantes dépositaires de clés de décryptage que la police pourrait requérir sous le contrôle d'un juge, à l'instar des écoutes téléphoniques. De source officielle, France Télécom se pencherait, sans grand résultat pour le moment, sur des procédés qui respecteraient les contraintes légales.

A ne pas aborder de front le problème, les nations industrielles risquent pourtant de voir, comme aux Etats-Unis, proliférer des cryptographes indépendants et rebelles, forts de leur devise: Si la vie privée est hors la loi, seuls les hors--la-loi auront une vie privée. Phil Zimmermann, célèbre crypto-anarchiste américain, l'a prouvé en trois lettres: PGP pour Pretty Good Privacy (Plutôt bonne intimité). Pour avoir distribué gratuitement ce logiciel de cryptage via le réseau Internet, la justice américaine le menace de quatre ans de prison et d'une amende de plusieurs milliers de dollars. Le délit? Exportation illégale de munitions. L'Etat lui oppose Clipper, une puce électronique de codage-décodage mise au point par la NSA (National Security Agency), l'organisme chargé des écoutes fédérales. Mais un double de la clé de déchiffrement de ce système, le seul autorisé sur le territoire américain, est dans les mains d'agences assermentées, à la disposition de la police sur requête judiciaire. Argument classique du gouvernement: la prolifération des moyens cryptographiques servirait le crime et le terrorisme en limitant sa capacité d' écouter organisations et individus malfaisants.

La France vit dans la même hantise. La Mafia et le grand banditisme peuvent investir l'argent de la drogue dans du matériel cryptologique comme dans les armes, justifie Vincent Carrefour, directeur de la Délégation interministérielle pour la sécurité des systèmes d'information (DISSI). Philosophie discutable, rétorque Christian Huitema, directeur de recherche à l'INRIA, le sanctuaire informatique français, et président de l'IAB (Internet Architecture Board).

L'INRIA remplit des contrats industriels et de défense. Nous n'avons aucune envie d'être espionnés et que nos résultats de recherche soient divulgués avant leur publication. Il y a quelques mois en effet, des pirates se sont introduits, via Internet, sur un serveur des laboratoires. L'INRIA n'a pas eu à déplorer de dommages mais a renforcé, depuis, sa sécurité.

Il faudrait mettre en place une réglementation de la cryptologie si l'on veut que les réseaux prennent de l'ampleur en France, explique Christian Huitema. Une opinion partagée par Stéphane Bortzmeyer, responsable des réseaux informatiques au CNAM, qui s'est vu refuser l'accès à Pretty Good Privacy: Il serait souhaitable de modifier la loi, car la procédure est trop pénible. En pratique, les autorisations ne sont quasiment jamais accordées, sauf pour une cryptographie enfantine ou des cas très sensibles. Or, les discussions entre chercheurs sur des contrats industriels ou les recherches pouvant donner lieu à des brevets n'ont pas vocation à être lues par n'importe qui.

Plus gênant encore pour l'avenir, l'accès à des réseaux mal protégés obère le développement de services électroniques marchands sur Internet. Qui est prêt à prendre le risque de passer en clair sur un réseau son code de carte bleue pour commander une pizza? La cryptographie, insiste Jean-Marc Lamère, président du comité de communication du Clusif, est l'unique garantie de la sécurité des services marchands. Seul leur développement pourra, à terme, absorber les investissements sur les inforoutes.

La sécurité des réseaux sera-t--elle pour autant à l'ordre du jour du sommet consacré aux autoroutes de l'information prévu pour le 15 juin à Halifax (Canada)? Rien n'est moins sûr. La recherche d'un compromis entre sécurité intérieure et liberté du citoyen et du commerce est un sujet tabou et qui ne date pas d'hier. Les écritures cryptées furent utilisées par l'Eglise primitive, persécutée par l'ordre romain, pour protéger ses transactions financières, et par les Templiers, mal aimés, pour transmettre leurs lettres de crédit...

(1) Décret d'application de la loi du 29 décembre 1990.

(2) Paru en octobre 1994.

(3) Regroupés en trois associations: Eurobit (européenne), ITI (américaine), Jeida (japonaise).

Les victimes du "cybercrime"

Tous les fichiers, les programmes et les sauvegardes d'une mutuelle ont été détruits.

Coût: 250 millions de francs (reconstitution des données et des programmes, pertes d'exploitation et de clientèles)

Bourse: un serveur boursier a été brouillé par l'introduction frauduleuse de fausses données dans la messagerie (préjudice pour les porteurs des actions concernées).

Coût: 22 millions de francs Industrie

A la suite d'une copie de la nomenclature de tarification, une société a perdu un contrat important, au profit d'un concurrent.

Coût: 15 millions de francs

La base de données clients, conditions clients, etc., d'une entreprise a été piratée.

Coût: entre 50 et 100 millions de francs

Etat : des informations confidentielles ont été copiées, des fichiers ont été détruits.

Coût: 6 millions de francs

Les parades autorisées contre le pillage informatique

Le MAC (Message Authentification Code) Empreinte condensée du message transmis, identifiant l'émetteur, elle s'appose comme un sceau sur le message mais sans le brouiller. Un pirate ne peut ni falsifier ni élaborer un faux bon de commande en se faisant passer pour un client.

Déclaration préalable

La signature électronique Elle permet l'identification de l'émetteur, l'empêche de nier avoir transmis le message et, symétriquement, le destinataire de l'avoir reçu. C'est l'équivalent électronique de l'accusé de réception.

Elle est couramment utilisée dans le milieu bancaire.

Déclaration préalable

Algorithmes à clé unique La base de la cryptographie. La clé pour chiffrer et déchiffrer les messages est la même. Inconvénient: il faut accorder sa confiance à l'interlocuteur, qui partage le secret. DES, élaboré par la NSA et utilisé depuis quinze ans, sert de standard universel. L'Idea, plus récent, est, lui, toujours inviolé.

Soumis à autorisation

Les algorithmes à deux clés La clé de chiffrement est connue de plusieurs utilisateurs, et la clé de déchiffrement d'un seul. Il est impossible de trouver celle-ci à partir de la première. Un seul de ces algorithmes permet de chiffrer et de signer: le RSA, du nom de ses inventeurs, Rivest, Shamir, Adleman.

Comment se protéger à moindre coût

Chiffrer sans autorisation

Selon certains experts, il est possible de dissimuler un message de 20 caractères dans une signature électronique. Ce canal subliminal n'autorise pas de longs discours, mais l'envoi d'une vingtaine de signatures, soit 400 caractères, peut suffire pour un message. Une combine astucieuse pour chiffrer sans autorisation.

Le Fire-Wall pour sécuriser l'accès à Internet

Une batterie d'ordinateurs filtre les échanges, bloquant les virus dissimulés dans les messages électroniques. Son coût élevé, 100 000 francs environ, ôte souvent l'attrait d'Internet. Il est moins ruineux de déconnecter le poste raccordé à Internet des ordinateurs de l'entreprise.

Source: L'Expansion (14/04/1995)