Rarement, la Défense n’a eu autant tremblé d’être réduite à “une armée de confetti” en attendant son budget de l’année. Il est finalement stable, avec une dotation de 31,4 milliards d’euros. Un budget de continuité, en attendant les conclusion du Livre blanc sur la Défense dont le rendu est attendu pour le mois de janvier. Le grand rendez-vous sera 2014, avec l’adoption du projet quinquennal de la loi de programmation militaire.

Dans cette atmosphère grise, il y a bien un secteur qui arbore des couleurs flamboyantes : la cyberdéfense. Tous les corps sont concernés, civil et militaire, services de renseignement et forces conventionnelles.

Des effectifs triplés

Rattachée directement au Premier ministre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est en charge de la cybersécurité en France depuis sa création en 2008. Elle recrutera 75 postes en 2013 a annoncé Kader Arif, ministre délégué auprès du ministre de la Défense.

Son directeur, Patrick Pailloux s’en félicitait lors d’une intervention à l’École militaire fin octobre :

L’Anssi est la seule administration à recruter, y compris depuis le nouveau gouvernement.

Les chiffres parlent d’eux-mêmes : l’agence comptait 120 agents en 2009, leur nombre devrait tripler pour atteindre 360 agents en 2013. L’effort budgétaire a suivi, passant de 45 millions d’euros en 2009 à 75 millions en 2012 selon le rapport Bockel sur la cyberdéfense.

Le Calid (Centre d’analyse en lutte informatique défensive) occupe des fonctions complémentaires à celles de l’Anssi. C’est à sa tête que se trouve l’officier général à la cyberdéfense, le contre-amiral Arnaud Coustillière. Lui aussi peut avoir le sourire. Ses effectifs vont doubler. Il compte aujourd’hui 20 personnes qui atteindront 40 l’année prochaine “afin d’être opérationnel vingt-quatre heures sur vingt-quatre et sept jours sur sept” selon le ministère de la Défense. Un souhait émis par le sénateur Bockel dans son rapport.

Autre structure du ministère, les équipes de la Direction générale de l’armement (DGA) devraient être largement renforcées. Lors d’un déplacement début septembre sur l’un des principaux sites de la cyberdéfense, à Bruz (Ille-et-Vilaine), le ministre Jean-Yves Le Drian, a annoncé la création de 200 emplois pour la cyberdéfense d’ici à 2015.

Les peurs des cyberdéfenseurs

Les responsables français de la cyberdéfense ont parfois des sueurs froides. Le contre-amiral Coustillière et le directeur ...

La DGSE, grand gagnante

Les services de renseignement ne sont pas en reste. La DPSD (Direction de la protection et de la sécurité de la défense) le service maison de l’hôtel de Brienne, va recevoir des moyens pour assurer son mandat élargi.

Il comprend des missions de contre-ingérence et de contrôle ainsi que d’assistance dans le champ de la cybersécurité, a expliqué le contre-amiral Arnaud Coustillière, invité par le groupe Défense & Stratégie, proche des milieux de la Défense. En cas d’attaque informatique, les rôles sont répartis selon l’intensité : ministère de la Défense seul (DPSD et Calid) pour les attaques de moyenne intensité, Anssi et Calid pour les attaques plus solides, a détaillé le cyberofficier. Malgré un budget globalement en baisse, la DPSD poursuit les investissements dans “[les] activités de cyberdéfense.”

Les services extérieurs, la Direction générale de la sécurité extérieure (DGSE), bénéficient pleinement du nouvel élan. Les services du boulevard Mortier disposaient déjà de moyens en augmentation, du fait “de la priorité donnée à la fonction ‘connaissance et anticipation’”, note le rapport sur la Défense de la commission des finances. Avec la cyberdéfense apparaît “une nouvelle priorité, compte tenu de l’évolution des menaces en la matière”. Sur les 95 emplois, 18 seront dédiés à la cyberdéfense.

Pour rester attractif, et offrir mieux “[qu'] un traitement de fonctionnaire ordinaire”, la DGSE utilise un tour de passe-passe administratif, décrit par La Tribune. Le patron des services peut “procéder à la fusion de plusieurs ETPT (équivalent temps plein annuel travaillé)” selon un représentant du ministère de la Défense auditionné à la commission de la défense de l’Assemblée. En clair, proposer l’enveloppe de plusieurs salaires sur un seul poste.

Le tabou offensif

Offrir des salaires attractifs a partiellement pallié les difficultés de recrutement. Devant les députés, le chef d’État-major des armées, l’amiral Guillaud, avait expliqué qu’en matière de sécurité des systèmes d’information, “[la DGSE] ne pouvait recruter davantage, tant le vivier – où puisent Thales, Areva ou d’autres administrations – est réduit’”, rappelle La Tribune.

Le cyberbluff a commencé

Le sénateur Jean-Marie Bockel a rendu public le 19 juillet un rapport sur la cyberdéfense. Le volet offensif y occupe une ...

Autre solution en voie d’expérimentation : une réserve cyber-citoyenne. Arnaud Coustillière a évoqué 50 volontaires en voie de recrutement lors de son intervention devant Défense & Stratégie. Sans aller dans l’opérationnel, ces volontaires auront pour fonction de faire de la sensibilisation, “[d']améliorer la résilience de la société” selon les termes de l’amiral.

Ces recrutements confirment l’importance accordée à la cyberdéfense. Et aux capacités offensives ? Dans son rapport, le sénateur Bockel invitait l’exécutif à clarifier sa doctrine. L’épisode Stuxnet, et celui plus récent d’Aramco – la compagnie pétrolière saoudienne victime d’une grave cyberattaque cet été – ont ravivé les craintes autant qu’elles ont aiguisé les envies. Les responsables de la cyberdéfense se murent dans le silence dès qu’il s’agit de capacités offensives. Le contre-amiral Coustillière renvoie vers le livre blanc, quant à Patrick Pailloux, de l’Anssi, il répondait à l’École de guerre “ne rien penser” à ce sujet.

Interrogé sur RTL sur le point de savoir si on aurait pu identifier le terroriste au scooter plus tôt, et donc empêcher la tuerie dans l’école juive de ce lundi – quatre victimes, dont trois enfants -, Gérard Longuet, ministre de la défense, a répondu “je ne pense pas, sauf à transformer la France en Etat policier“. Et d’ajouter :

“C’est la question de l’Etat de droit. Nous pouvons en effet considérer chaque Français comme suspect. Ce n’est pas notre culture. Un Français n’est pas, à première vue , “coupable”.

À une personne qui demandait si les croisements de données qui ont permis l’identification de Mohamed Merah n’auraient pas pu être effectués plus avant, rapporte Le Point, un haut fonctionnaire a déclaré : “Oui, mais nous serions dans un État totalement surveillé“.

Interrogé par LesInrocks.com, Didier Hassoux, co-auteur de “L’espion du président“, sur les dérives de la DCRI, s’interroge de son côté : “pourquoi a-t-il fallu attendre neuf jours ? Je ne vois pas pourquoi on ne lui a pas collé une balise au cul durant les deux ou trois jours ayant suivi le premier meurtre“.

La réponse est simple : il a fallu attendre deux jours pour localiser physiquement Mohamed Merah, mais aussi et surtout six jours pour identifier quels ordinateurs, et donc potentiellement quels internautes, avaient consulté la petite annonce postée par la première victime du terroriste. Reste à savoir pourquoi. Retour sur une enquête qui aura duré dix jours.

La petite annonce, priorité des enquêteurs

Lundi 12 mars. Un motard abattu d’une balle dans la tempe à Toulouse. C’est ainsi que La Dépêche évoque, à 3h49, un faits divers ayant eu lieu la veille, sans préciser que la victime est un militaire. Le 13, le journal se demande s’il s’agit d’un vol ou d’une affaire de coeur, mais précise cette fois qu’il s’agissait d’un officier parachutiste considéré comme “un excellent élément“.

Plus important : La Dépêche évoque le fait que la victime avait posté une petite annonce sur LeBonCoin.fr fin février afin de vendre sa moto, et qu’il aurait reçu, quelques minutes avant d’être abattu, “un coup de fil” à ce sujet :

Ce rendez-vous était-il un piège ? Le ou les faux acheteurs ont-ils paniqué ? Le bike-jacking a-t-il mal tourné ? L’hypothèse fait partie des « priorités » des enquêteurs.

L’article, publié le 13 à 7h46, laisse entendre que la police avait fait de cette petite annonce l’une de ses “priorités” dès le lundi 12, au lendemain du meurtre.

La DCRI l’identifie jeudi

Jeudi 15 mars. Suite au meurtre des deux autres militaires, la Direction centrale du renseignement intérieur (DCRI) dresse, dans la journée, rapporte Libé, la liste d’une dizaine d’individus suspectés de sympathie avec les groupes islamistes en Afghanistan et au Pakistan, dont Mohamed Merah.

Une information confirmée par Le Monde, qui précise que Mohamed Merah avait effectué “plusieurs séjours en Afghanistan et au Pakistan, dans des camps d’entraînement d’Al-Qaida“, et qu’il faisait partie des “profils que nous surveillons, a indiqué au Monde une source du renseignement intérieur. Nous l’avions dans le collimateur“.

Claude Guéant aurait ainsi précisé, rapporte Le Parisien, qu’il “était suivi depuis plusieurs années par la DCRI et ses agents toulousains, mais jamais aucun élément de nature à (faire) penser qu’il préparait une action criminelle n’était apparu“.

Ce même jeudi soir, les services de Police judiciaire font le lien entre l’arme utilisée à Toulouse et celle qui avait frappé à Montauban : “à cet instant, s’est déclenché un énorme effort de mobilisation“, a expliqué Gérard Longuet, avec près de 200 enquêteurs lancés sur la piste du tueur au scooter.

Six jours pour identifier des adresses IP

Contacté par OWNI, LeBonCoin.fr a déclaré ne pas être “autorisé” à nous dire quand les services de police judiciaire lui avaient demandé la liste des ordinateurs ayant consulté la petite annonce en question, ni quand le site les leur avait transmis.

D’ordinaire, nous confirme une source policière, ce genre d’opérations ne prend que quelques minutes. Un autre source, proche de ceux qui répondent à ce type de réquisitions judiciaires, indique de son côté qu’elles sont traitées “en 48h maximum“.

Or, selon nos informations, ce n’est que le vendredi 16 mars, soit cinq jours après le premier meurtre, et trois jours après que la piste, considérée comme l’une des “priorités” des enquêteurs, ait été évoquée dans la presse, que la liste des 576 adresses IP a été transmise aux fournisseurs d’accès à l’internet (FAI). Ces adresses IP identifient les ordinateurs sur les réseaux, permettant donc de remonter jusqu’aux utilisateurs.

Ensuite, les FAI semblent eux avoir œuvré prestement : François Molins, procureur de la République de Paris, a expliqué que les résultats des vérifications, et donc la liste des abonnés à qui avaient été attribuées ces adresses IP, ont été connues le samedi 17 mars.

Une multitude de pistes

Cette liste, qui va s’avérer décisive, n’était que l’une des pistes suivies par les enquêteurs, qui ont également vérifié, toujours selon François Molins, 7 millions de données téléphoniques, et procédé à plus de 200 auditions, entraînant la rédaction de plus de 1000 PV.

La Dépêche précise que parallèlement, près de 20 000 dossiers militaires sont examinés par la Direction de la protection et de la sécurité de la défense (DPSD) “puis, pour certains, croisés avec les connexions internet. Chou blanc.“.

Dans la liste des internautes ayant consulté la petite annonce, un nom attire l’attention des enquêteurs, écrit Rue89 : Mme Aziri, mère de deux garçons connus des services de police :

Abdelkader Merah, impliqué dans une filière de transferts de djihadistes en Irak.
Mohamed Merah, condamné à 15 reprises par le tribunal pour enfants de Toulouse et apparu selon un « profil d’autoradicalisation salafiste atypique ».

Lundi après-midi, les enquêteurs identifient, selon la journaliste Audrey Goutard (à 1h35 de la vidéo) le n° de téléphone portable de Mohamed dans la liste de ceux présents autour de l’école juive où a eu lieu la tuerie.

Le lundi soir, huit lignes téléphoniques de Mme Aziri et de sa famille sont mises sur écoute, a expliqué François Molins : “Problème, on n’avait pas d’élément permettant de les rattacher aux trois affaires.

Mardi, les enquêteurs recueillent le “témoignage décisif” d’un concessionnaire Yamaha, qui révèle avoir reçu la visite d’un des frères Merah lui demandant comment désactiver le traqueur GPS du modèle de scooter utilisé par le tueur.

Mohamed est localisé mardi en début d’après-midi, son frère Abdelkader en fin d’après-midi. La décision de les arrêter dans la nuit est prise à 23h30, ce mardi.

La vidéo de Gérard Longuet, interrogé sur RTL :

Gérard Longuet, ministre de la Défense : "20… par rtl-fr

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Furieux, les Chinois –en visite pour acheter des Airbus- quittent l’hôtel, sans porter plainte. La PJ intervient et trouve dans la chambre visitée un kit spécial « rat d’hôtel » pour crocheter une serrure et aspirer toutes les données d’un ordinateur. L’enquête n’a pas permis d’identifier les rôdeurs. Révélée par la Dépêche du Midi, l’affaire a été soigneusement étouffée, jusqu’à ce que Charlie Hebdo ne lève le voile sur l’identité des mystérieux visiteurs du soir : une équipe de la DGSE, héritiers du fameux Service 7, spécialisé dans l’interception de courriers et autre ouverture de valises diplomatiques.

Officiellement démentie, l’opération a (provisoirement) gelé les activités du « service opérations » (SO). Elle montre aussi le dynamisme des services secrets français en matière d’espionnage économique, promu au rang d’activité stratégique de premier rang.

Espionnage économique : quand les “services” surveillent les Français

S’il est formellement interdit, a priori, aux services de renseignement américains d’espionner des citoyens états-uniens. A contrario, les services de renseignement français ont non seulement le droit, mais aussi l’obligation, de s’intéresser de très près à certains de leurs concitoyens. Et pas seulement en matière d’anti-terrorisme.

En 2005, la DST et les RG avaient ainsi été invités à le faire au moment des “émeutes de banlieue”, en surveillant les échanges téléphoniques, les SMS, blogs et sites internet au motif que les jeunes émeutiers s’en servaient pour communiquer, et s’organiser. Mais le contre-espionnage ne s’intéresse pas qu’aux seuls fauteurs de trouble à l’ordre public.

En 2006, suite à la labellisation de 67 pôles de compétitivité, la DST et les RG ont été invités à s’intéresser de plus près à l’intelligence économique. Tout comme la DPSD, le moins connu des services de renseignement français.

On connaît plus ou moins bien les Renseignements Généraux (RG), ainsi que la Direction de la surveillance du territoire (DST), fusionnés en 2008 au sein de la Direction centrale du renseignement intérieur (DCRI), qualifiée de “FBI à la française en matière de renseignement” par le ministère de l’Intérieur.

On sait moins que les RG “ont créé, en 1999, un observatoire de l’intelligence économique, instance de réunion et d’échange, qui, en mai 2000, a publié un référentiel, une sorte de bréviaire de l’IE (et qu’ils) ont fait de l’intelligence économique un sujet d’étude au même titre que l’actualité sociale ou les banlieues“. De même, la DST “a subi dès la fin des années 70, une importante évolution liée (au) glissement des activités d’espionnage du seul secteur militaire vers les domaines économique, scientifique et technique“.

De fait, les missions vont de la lutte contre l’espionnage et le terrorisme à la protection du patrimoine économique, et donc la surveillance des individus et mouvements susceptibles de “porter atteinte à la sécurité nationale“. Le décret portant création de la DCRI précise ainsi qu’”elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l’Etat“.

Du côté du militaire, la DGSE est chargée du renseignement à l’étranger (et tant en matière d’antiterrorisme que d’intelligence économique), la DRM du renseignement militaire (ils collaborent au programme “Frenchelon” d’espionnage des télécommunications), et la Direction de la Protection et de la Sécurité de la défense (DPSD) des habilitations secret défense, du contre-espionnage, du contre-terrorisme et de la “contre-subversion intéressant la défense nationale“.

Espionnage économique et contre-espionnage militaire

Dans le cadre de la montée en puissance de l’intelligence économique, un rapport parlementaire révéla, en 2006, que “l’organisation des postes de la DPSD en métropole a été intelligemment calquée sur la cartographie des « pôles de compétitivités » définis par le Gouvernement“.

Lors d’une présentation de son service à l’Ecole supérieure de guerre, le général Antoine Creux précisait ainsi ce jeudi 20 janvier, que la “protection du patrimoine économique” est la deuxième priorité de la DPSD. La seule industrie de défense représente aujourd’hui 2000 entreprises pour un chiffre d’affaires de 10 milliards d’euros par an.

Autrement dit, il s’agit de se déployer aux côtés de ces sociétés et laboratoires de recherche et développement que le gouvernement considère comme les plus prometteurs, afin de les protéger. Et donc d’en surveiller les actifs, et les salariés. Et ce d’autant que “le ministère de la Défense s’est fortement impliqué dans l’action interministérielle d’analyse des candidatures et qu’il “dispose de leviers d’action très variés pour soutenir et travailler” avec la vingtaine de pôles de compétitivité dans lesquels il est impliqué.

Fin 2005, le Figaro expliquait ainsi, dans un article intitulé L’espionnage économique menace les PME, la façon qu’avaient les services de renseignement de s’intéresser de près à certains Français :

A l’instar de la DST, chargée de détecter toute menace visant de grosses entreprises considérées comme sensibles et pouvant porter atteinte à la sûreté de l’État, les “grandes oreilles” des RG, grâce à leur maillage régional, se penchent au chevet des petites et moyennes entreprises innovantes, susceptibles de faire l’objet d’actions hostiles. «Une centaine de fonctionnaires ont déjà été formés pour vérifier systématiquement, lorsqu’une entreprise de pointe est en difficulté, si elle a fait l’objet d’une attaque d’un concurrent», explique un haut fonctionnaire.

En l’occurrence, le “bilan confidentiel” (sic) des RG avançait que, sur 934 entreprises surveillées “dans le cadre d’éventuelles «débauches de cadres détenant un savoir-faire», de «piratages ou de vols d’ordinateurs», «d’actions de lobbying offensif», de «rumeurs d’appartenance sectaire pour exclure un concurrent d’un appel d’offre» ou encore «d’infiltrations par le biais de stagiaires étrangers»“, 158 présentaient des “signes de vulnérabilité“, et que 87 d’entre elles avaient fait l’objet “d’actions hostiles signalées“.

“Il faut dire les choses, rappelait le général Creux, on a des ennuis avec les stagiaires chinois, très nombreux, qui comme par hasard veulent faire leur thèse dans des domaines sensibles.” Et le directeur de la DPSD de souligner qu’”on est au tout début de la guerre de l’information, les gens ne se rendent pas compte de la vulnérabilité des systèmes d’information… “.

« Evaluer l’efficacité socio-économique » du contre-espionnage militaire français

En 2006, la DPSD avait ainsi pour objectif d’”améliorer le niveau de sécurité des forces et du patrimoine industriel et économique lié à la défense” :

La DPSD est chargée d’une mission de contre ingérence économique afin de protéger les industries de défense qui maîtrisent des techniques de pointe ou des technologies duales les rendant très sensibles aux actions d’ingérence étrangère.

Ce risque d’ingérence peut être lié aux activités de services de renseignement, d’organisations ou d’agents se livrant à l’espionnage, au sabotage, à la subversion, au terrorisme ou au crime organisé.

Le rapporteur s’inquiétait par ailleurs “du fait que près d’un tiers des inspections ne soit pas effectué dans les délais impartis“, notamment du fait que “la DPSD ne dispose pas d’assez de personnel pour assurer ces inspections.

RGPP aidant, ses effectifs sont de fait passés de 1618 en 1997 à 1224 en 2010, une décroissance qui va s’accélérant : “globalement, la DPSD est engagée dans une diminution des effectifs qui sera supérieure à 15 % sur six ans“. Le général Antoine Creux avance pour sa part le chiffre de 350 inspecteurs de sécurité répartis en 60 sites sur tout le territoire.

En 2008, au moment de la création de la DCRI, on dénombrait 3450 policiers aux RG, et 2000 à la DST. Depuis leur fusion, les effectifs ont fondu. La DCRI, qui dénombrait 4 000 fonctionnaires dont 3 000 policiers à sa création, n’en comptait plus que 3306 début 2009, lorsqu’elle s’est vu notifier, au titre de la RGPP, “une déflation quadriennale de 400 personnels, soit 12 % de ses effectifs, de manière à atteindre 2 922 équivalents temps plein travaillé au 31 décembre 2011“.

En 2008, quelque 1 200 policiers et 440 personnels administratifs issus des RG étaient en effet affectés à une nouvelle sous-direction de l’information générale (SDIG), chargée des missions, autrefois révolues aux RG, mais ne relevant pas du “renseignement” (information générale sur l’activité politique, économique et sociale, surveillance des violences urbaines).

Comment surveiller le secteur privé ? En l’infiltrant…

On ne peut pas dire, pour autant, que le travail de surveillance et de renseignement ait forcément pâti à la hauteur de cette baisse d’effectif. Car, et dans le même temps, on assiste aussi à une privatisation rampante du métier de contre-espion, les sociétés d’intelligence économique et de sécurité privée recrutant allègrement nombre d’anciens agents des services de renseignement.

En prenant conscience de la montée des pratiques d’espionnage économique dans les années 90, les “services” ont ainsi mis au point plusieurs parades. La première a consisté à placer sous surveillance le milieu des officines privées.

L’arrivée de l’agence Kroll (3800 salariés en 2007, soit le premier cabinet de renseignement financier dans le monde) à Paris et le débauchage en 1992 de l’inspecteur principal Yves Baumelin, responsable à la DST des relations avec les services étrangers, sonna comme un coup de semonce. Pour ne pas se laisser déborder, la DST institua un contrôle systématique des Sociétés de renseignement privées (SRP).

Dans son livre témoignage, l’ex gendarme Patrick Baptendier raconte comment chaque semaine un officier traitant du contre-espionnage visite la société Géos pour s’informer des dossiers en cours. Idem pour le vivier de sous-traitants (souvent de très petites PME) qui peuplent ce milieu de l’intelligence économique.

Géos fait d’ailleurs figure de tête de pont. Fondée par un ancien caporal-chef du service action de la DGSE, elle voit arriver dès 1998 l’ex-patron de la Direction du renseignement militaire (DRM), le général Jean Heinrich… suivi par une brochette de pontes des services. Pourquoi une telle alliance ? Sinon pour constituer un pendant aux services proposés par les grands cabinets anglo-saxons.

L’autre phénomène observé cette dernière décennie est la lente mais certaine privatisation de la fonction renseignement des groupes mondialisés. Renault, comme toutes les entreprises positionnées sur un secteur concurrentiel, a développé un véritable service de renseignement.

Dirigé par Rémi Pagnie, ex de la DGSE et ancien chef de poste à Tokyo, il peut compter sur d’anciens de la police judiciaire. Tous reconvertis dans le juteux business de la sécurité privée. Ce qui peut finir par créer des tensions, lorsque les intérêts d’une multinationale ne convergent plus avec ceux de l’Etat… Au milieu des années 2000, conscients de ces risques, la DST avait rédigé un décret interdisant à ses agents de pantoufler dans le privé avant une période probatoire de trois ans, de façon à rendre obsolète leur carnet d’adresses. Aucun gouvernement n’a pris le risque de mécontenter les futurs jeunes retraités des services…

—

Illustration de Une : Loguy

Article de Une : Le droit à l’information mis à mal par le secret des affaires / Espionnage chez Renault: un cas de bleuïte ou une vraie fuite ?

Illustration CC Spy by bhrome. Merci à David Servenay pour sa relecture, et ses propositions.