Rions (jaune) avec la sécurité militaire

Au printemps dernier, la DRSD lançait par ailleurs un appel d'offres de « Livraison de la presse quotidienne et périodique par coursier au profit d’un organisme du ministère des Armées ». On peut s'étonner de l'incongruité de payer pour se faire livrer par coursier, alors qu'il lui en coûterait moins de s'abonner aux titres convoités, voire d'envoyer quelqu'un les acheter au kiosque du coin, à 500 mètres de son QG, au Fort de Vanves.

En l'espèce, le code de la commande publique oblige les autorités centrales gouvernementales à publiciser les marchés compris entre 40 000 et 89 999,99€, la DRSD ayant à ce titre estimé que « le montant maximum sur la durée totale de l’accord-cadre [4 ans, ndlr] est de quatre-vingt-cinq mille (85 000) euros ».

D'autres seront plus surpris de découvrir que la DRSD a passé commande de 3 exemplaires du Figaro par jour, ainsi que de 3 n° de... Valeurs Actuelles par semaine, mais de seulement 2 du Monde et du Parisien, et un de Libération, des Échos, de La Croix, The Economist et du Point. 

Si la DRSD se réserve le droit de commander, à l'occasion, le Canard Enchaîné, L'Express, Jeune Afrique, L'Humanité, Marianne, Challenges, L'Opinion et Ouest France, le fait que le contre-espionnage militaire ait un biais droitier ne saurait guère étonner.

On notera cela dit une certaine droitisation : en 2014, un précédent appel d'offres passé par la DPSD, l'ancêtre de la DRSD, avait en effet passé commande de 12 exemplaires du Figaro, 8 du Monde, 7 du Parisien, 6 du Canard Enchaîné, 4 du Point, 3 de Libé et de Marianne, mais également 1 exemplaire de Charlie, de l'Humanité, de Présent et de Minute.

Or, le 21 avril dernier, jour du soixantième anniversaire du Putsch des généraux d'Alger, Valeurs Actuelles republiait une tribune de militaires signée par une vingtaine de généraux à la retraite, adeptes des théories complotistes d'extrême droite ou proches du Rassemblement national, évoquant un « délitement » de la France et une future guerre civile pour défendre la civilisation contre « la horde des banlieues ».

La polémique fait rage et la DRSD était chargée de vérifier les identités de l'ensemble des commanditaires du manifeste activement promu par Valeurs Actuelles. Cette potentielle porosité vis-à-vis de l'extrême droite était ravivée, en mars dernier, par Mediapart, qui avait révélé une cinquantaine de nouveaux cas de militaires néonazis. Ce, un an après en avoir identifié une dizaine d'autres et pointant du doigt, dans les deux cas, le fait que leurs profils radicalisés avaient échappé au criblage de la DRSD.

Secret défense VS code source

La DRSD, dont le cœur de métier est de cribler l'identité des soldats, fonctionnaires et contractuels « ayant besoin d'en connaître » (pour reprendre l'expression consacrée), s'est considérablement modernisée ces dernières années, afin d'informatiser des opérations jusque-là manuelles et fastidieuses.

En 2020, elle a ainsi réalisé plus de 360 000 enquêtes administratives de sécurité, un chiffre en progression de « +150% de demandes en 4 ans », précise le général Éric Bucquet, qui a pris la tête de la DRSD en 2018 : « à cette fin, nous avons ouvert des chantiers d’automatisation, développé de nouveaux outils et repris tous nos processus un par un » :

« Par exemple, dans le domaine des habilitations, nous rendons aujourd’hui un avis "sans objet" en une semaine, après avoir interrogé les autres services du premier cercle (DGSE, DRM, DGSI, DNRED et Tracfin), au lieu de 4 mois en 2018… »

Ex-directeur des opérations au sein de la direction générale pour la sécurité extérieure (DGSE), Bucquet qualifie la DRSD de « "Futuroscope" où le travail sur les habilitations est un pôle d’excellence dont s’inspirent les services enquêteurs, qu’ils appartiennent à la police ou aux autres services de renseignement », et dont le « travail d’investigation nécessite des technologies de pointe, comme des algorithmes de tri complexes ». 

Ce qui ne l'empêche pas de prendre certaines libertés avec le « code ». Le 2 juillet dernier, le Conseil d'État, saisi par des archivistes et historiens, annulait la procédure de déclassification des archives « secret défense ».

Or, ce même 2 juillet, le ministère des Armées venait de publier un communiqué expliquant qu'« à partir du 1er juillet, la réglementation relative à la protection du secret de la défense nationale évolue », et que la DRSD venait à cet effet de lancer un outil de formation en ligne (MOOC : Massive Open Online Course) « permettant de se l’approprier facilement ».

Le ministère effaçait prestement son communiqué (que nous avions alors archivé), qui précisait que l'objectif du MOOC est de « garantir la protection des données sensibles contre tout risque de divulgation (compromission) pour empêcher la diffusion de secrets militaires, industriels ou technologiques » :

« Pour renforcer la chaîne de protection du secret et ainsi garantir une meilleure sécurité des informations classifiées (ISC), la DRSD participe pleinement, dans le cadre de ses prérogatives en la matière, à l’assimilation de ces nouvelles règles de protection du secret de la défense nationale, concernant les militaires comme les civils, déjà habilités ou en passe de l’être, y compris en dehors du ministère des Armées.

Ces modules de formation en ligne ont été également conçus pour le personnel des entreprises de la "sphère de défense élargie" (Base industrielle et technologique de la Défense, PME, ETI, laboratoires de recherche en lien avec la Défense…). »

En l'espèce, le MOOC de la DRSD se conclut par deux quizz de 10 questions, destinées à évaluer ses connaissances, et obtenir un « certificat de formation » dès lors que l'on a obtenu « un minimum de 8 bonnes réponses ».

Le site de la DRSD précise en outre que « si vous avez réussi les évaluations des deux modules et obtenus les codes correspondants, vous pouvez éditer votre certificat de formation » en fournissant les codes obtenus à l'issue des deux questionnaires, ainsi que ses nom, prénom et date de naissance.

L'objectif étant de « garantir la protection des données sensibles contre tout risque de divulgation » – a fortiori des informations classées « secret défense » –, on aurait pu s'attendre à ce qu'elle prenne des mesures de (cyber)sécurité protégeant son questionnaire (et certificat) de tout risque de compromission.

Raté : il suffit d'aller regarder le code source des quizz pour y trouver, en clair, aussi bien les bonnes réponses que les codes permettant d'obtenir le « certificat de formation », sans même avoir besoin de répondre aux questions...

Bravo, voici le code qui vous sera demand\\u00e9 pour obtenir votre attestation: ARFPON

La DRSD (et/ou son prestataire) a donc opté pour (et validé) un quiz dont les réponses, mais aussi et surtout les deux codes uniques permettant d'obtenir le « certificat de formation », figurent en clair dans leurs codes source.

Quand la DRSD s'inspirait de 4chan

Ce n'est pas la première fois que l'auteur de ces lignes découvre que le service de « contre-ingérence » militaire français, si « discret » soit-il, peut aussi s'illustrer par quelques bourdes.

En 2017, la lettre d'information de sa direction de la Sécurité Économique à Paris (DSEZP) – chargée de conseiller les industriels de la défense en matière de « protection physique ou informatique » – avait en effet décidé de préciser ce qu'est « le cyberespace, terme polymorphe qui mérite (...) un éclaircissement pour mieux permettre d’en cerner les enjeux ».

Non content de qualifier Reddit, les services d'adresses emails temporaires, ou encore « les hébergements de web [sic], les bases de données MYSQL etc. », de constituer des « sites internet "sombres" », la DRSD invitait également à « ne pas cliquer sur des liens proposés par d'autres sites Web »...

De plus, la description alors donnée du « web profond ou deepweb, [qui] désigne la toile accessible en ligne, mais non-indexée par les moteurs de recherche classiques », était un vulgaire copié/collé, daté et non sourcé, d'une « désinfographie » mensongère, sensationnaliste et anxiogène (voir Le renseignement militaire et les « petits pédés » de 4chan).

Popularisée sur 4chan – ce « repaire de trolls « et « poubelle du web » dont le forum s'est depuis illustré par son soutien à Donald Trump, QAnon et autres mèmes complotistes –, elle avait depuis été reprise au premier degré par de nombreux sites web.

OSINT rulez

La DRSD n'est pas, loin de là, le seul service à gaffer de la sorte. Si son adresse email publique a longtemps été Serviraladpsd@laposte.net, la Direction du renseignement militaire (DRM) a elle aussi utilisé, pendant des années, des adresses @laposte.net et même @yahoo.fr.

Cette incongruité nous avait amusés en 2005, quand nous l'avions découverte. Un peu moins lorsqu'en 2010 nous avions dénombré des milliers d'autres adresses emails gouvernementales qui, plutôt que d'être de type @*.gouv.fr, utilisaient des webmails grand public, et notoirement peu sécurisés : 

« On imagine mal la NSA, ou la CIA, proposer aux internautes de les contacter grâce à une adresse email de type @laposte.net ou @wanadoo.com. C’est pourtant ce que proposent la Direction du renseignement militaire (DRM), qui utilise deux adresses @yahoo.fr, et la Direction de la Protection et de la Sécurité de la Défense (DPSD), qui utilise une adresse @laposte.net et une autre @wanadoo.fr. »

En 2014, nous avions également découvert que la DGSE avait rendu publique une liste de ses « centres radioélectriques » d'écoute et d'interception, ainsi que leurs numéros de téléphone. Ces « champs d'antennes » sont en effet constitués, par nature, d'antennes (pour écouter), mais aussi d'un champ qu'il... faut tondre et désherber. Elle avait donc publié des appels d'offres, en recherche de jardiniers, dressant la liste de ses installations pourtant classifiées.

Cette découverte nous avait tout autant amusés, au point d'y consacrer un quiz intitulé « rions un peu avec la DGSE ». Nous avions aussi découvert que certaines de ces installations ne semblaient protégées que par des clôtures en bois, voire en plastique.

Nous avions dans la foulée géolocalisé la liste des stations d'écoute qu'elle cogère avec la DRM, à l'étranger et/ou dans les territoires ultra-marins, et bidouillé une carte interactive à ce sujet. Ancien pays colonial, la France y a en effet déployé plusieurs détachements avancés (ou autonomes) de transmission (DAT) – du nom donné aux unités militaires en charge de ces stations d'écoutes sises en-dehors de la métropole – de sorte de pouvoir surveiller les satellites quasiment 24h/24.

• 
• 
• 

Or, qui dit militaire dit insigne, que l'on retrouve sur eBay et autres sites où des collectionneurs, fétichistes, les échangent, tout en documentant leurs villes ou territoires de rattachement. Ne restait plus qu'à aller sur Wikimapia et vérifier les points identifiés à la catégorie « militaire » pour les géolocaliser.

Si certains de ces petits ratés peuvent prêter à sourire, d'autres laissent dubitatifs, voire inquiètent, face aux lourdeurs, absurdités et incapacités administratives qu'elles révèlent.

« J'suis caché ! »

Nous avions ainsi également découvert que les petites annonces des véhicules d'occasion de la DGSE vendus aux enchères étaient aisément reconnaissables.

Elles affichaient en effet des photographies où les plaques d'immatriculation avaient été soigneusement anonymisées, tout en indiquant noir sur blanc ledit numéro d'immatriculation dans la partie texte de l'annonce.

 

Contactée, la DGSE nous avait alors rétorqué que c'était la procédure et que cela avait toujours été ainsi, depuis des années. À quoi nous leur avions répondu que ça n'en restait pas moins absurde et ridicule. L'information, rendue publique par le Canard Enchaîné, entraîna une modification de ladite procédure, et les plaques des véhicules d'occasion de la DGSE ne sont plus, depuis, anonymisées.

Plus récemment, nous avions identifié plus d'une vingtaine d'agents du renseignement (essentiellement de la DGSE, mais également de la DGSI) ayant géolocalisé leurs footings sur Strava, le réseau social des sportifs.

Plutôt que d'activer (ou de désactiver) leur GPS à quelques centaines de mètres des « zones protégées » (parce qu'« abritant des informations et supports classifiés au niveau Secret », précise l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale), ils l'avaient fait à l'intérieur des QG ou annexes des services de renseignement.

Non content de s'être géolocalisés à l'intérieur des locaux pourtant classifiés où ils étaient employés, lors de leurs pauses déjeuner, au moins deux d'entre eux l'avaient également fait en mission, à l'étranger, et plus de la moitié à leurs domiciles, le soir ou les week-ends, ou encore dans leurs résidences secondaires, aux domiciles de leurs parents le soir de Noël ou du réveillon...

Quand j'ai trouvé un joggeur se géolocalisant au QG de la DGSE, j'ai demandé à un ancien ce qu'il risquait: "cher, sauf s'ils sont plusieurs: dur d'en sanctionner un et pas les autres".
Au final, j'en ai trouvé plus de 25 (à la DGSI aussi)... dont le n°2 :https://t.co/SuPMgjlaNF

— jean marc manach (@manhack) March 30, 2018

Lorsque nous avions prévenu la DGSE, notre interlocuteur nous avait répondu que les terroristes ne seraient pas suffisamment stupides pour attaquer des joggeurs à l'entrée de la caserne Mortier, truffée de caméras de vidéosurveillance et d'agents de surveillance dûment armés.

À quoi nous lui avions répondu que le problème résidait surtout dans les footings dominicaux de ces agents, bien plus compromettant pour au moins deux raisons :

• leurs logements privés ne sont pas aussi surveillés que la caserne Mortier, les exposant en outre, au-delà de la seule menace terroriste (on pense notamment au double assassinat d'un couple de policiers à Magnanville), à des risques de tentatives de compromissions émanant de services étrangers ;
• le fait de connaître leurs résidences permettait, pour nombre d'entre eux, de confirmer leurs profils Facebook et ceux de leurs conjoint(e)s, familles, amis et relations, voire de leurs enfants, donc les photographies de leurs visages, entre autres données personnelles pouvant aller jusqu'aux écoles de leurs enfants (via les groupes auxquels, en tant que parents, ils étaient également abonnés).

« Y'a pas de faille »

Cela révélait en outre que les services de contre-espionnage français (notamment ceux chargés de protéger les agents du renseignement) n'avaient pas pris la peine de vérifier si l'on pouvait en identifier sur Strava, alors que l'affaire faisait la « Une » des médias. Ce qui était encore plus inquiétant.

La quasi-totalité des agents de la DGSE effacèrent prestement leurs profils, ou les passèrent en mode privé, après que l'info eut fait la « Une » du Canard Enchaîné. Mais pas ceux de la DGSI : le Canard n'avait en effet mis en avant que les seuls agents de la DGSE, omettant de préciser que sur la vingtaine d'agents identifiés, huit travaillaient pour le service de contre-espionnage intérieur, certains allant jusqu'à continuer de se géolocaliser sur Strava, en mode « Not In My BackYard » (Nimby, ou « pas chez moi »).

Plus étonnant : le patron de la direction du renseignement de la DGSE, considérée comme le cœur de la DGSE et « chargée de rechercher et d'exploiter les renseignements intéressant la sécurité de la France », fit partie des rares agents de la DGSE à ne pas effacer son profil.

Sa désactivation n'intervint qu'un mois après la « Une » du Canard, mais également 15 jours après que l'information fut rendue publique dans la presse spécialisée, sans que l'on comprenne les raisons d'un tel retard.

Contactée, la DRSD nous remercie de lui avoir notifié les coquilles, mais ne souhaite pas réagir à nos questions.