Espionnage : les ministères priés d’exclure les smartphones grand public

Suite aux nombreuses affaires d'espionnage électronique, le premier ministre français Jean-Marc Ayrault a demandé aux cabinets de la plupart de ses ministres d'abandonner immédiatement leurs smartphones non agréés par l'agence nationale de la sécurité (ANSSI), y compris pour l'échange d'information non classifiée. Plus globalement, selon un document révélé par notre confrère L'Express, c'est l'usage général de l'informatique qui sera désormais plus resserré et contrôlé à la tête du gouvernement et de l'État.

Le Teorem de Thales

Depuis de nombreuses années, les ministères sensibles, tels que ceux de la Défense, de l'Intérieur, des Finances ou encore de la Justice, disposent d'outils spécifiques pour échanger des informations et des communications, ceci jusqu'au niveau secret-défense. Les téléphones Teorem (de Thales) sont ainsi disponibles depuis près de deux ans, et selon la Direction générale de l'armement, ils permettent « à ses utilisateurs de passer des communications claires et sécurisées jusqu’au niveau « secret défense », en France comme à l’étranger. Doté des dernières technologies, Teorem cumule les fonctions de téléphone mobile, téléphone fixe, et de modem chiffrant en le connectant à un ordinateur. Il fonctionne sur les réseaux de tous les opérateurs mobiles et sur les réseaux fixes, civils, interministériels et militaires. »

Ce téléphone nous avait été présenté l'an passé aux Assises de la Sécurité à Monaco, par Patrick Pailloux, numéro un de l’ANSSI. « Dans le domaine du secret défense, quand on veut protéger des informations essentielles à la survie de la nation, on s’adresse à des industriels pour exiger que la totalité du matériel soit sous contrôle national. Typiquement, on a un nouveau téléphone ‘secret défense’. Il s’appelle Teorem et a été conçu par Thales - je passe sur le jeu de mot. Il a été fabriqué 100% en France. Un tel téléphone ne coûte pas le même prix que celui que vous avez à la maison et est évidemment d’un degré de convivialité moindre… »

Suite aux dernières révélations qu'il est inutile de résumer, le gouvernement a souhaité passer la vitesse supérieure. Une note, datée du 19 août dernier et adressée aux directeurs de cabinet de tous les ministères français, rappelle ainsi que les informations classifiées (jusqu'à secret défense) ne doivent être transmises que via Teorem pour la téléphonie, ou encore par l’Intranet Sécurisé Interministériel pour la Synergie gouvernementale (ISIS) pour les ordinateurs.

Outre ces informations ultra-confidentielles, les données dites sensibles, sans pour autant être classées secret défense, sont aussi concernées par cette note. Il est ainsi demandé d'utiliser absolument du chiffrage en cas d'échange sur des réseaux non sécurisés ou encore sur des supports qui peuvent être aisément volés ou perdus (clés USB, etc.). Il est surtout imposé de ne plus utiliser de « smartphones du commerce sans dispositif de sécurité agréé par l'ANSSI » pour toute communication d'informations sensibles.

Toujours pour ce type d'informations, « l'usage d'équipement informatiques personnels est à proscrire » insiste le document. Cela concerne en particulier les messageries personnelles, les SMS, etc. La note indique même qu'en toute circonstance, mieux vaut privilégier l'utilisation d'une ligne fixe qu'une ligne mobile.

Des règles élémentaires rappelées

Enfin, diverses règles de bases sont rappelées aux cabinets ministériels, à savoir « de ne jamais laisser sans surveillance des documents sensibles, des ordinateurs et des téléphones portables », en particulier à l'étranger. Une règle de bon sens qui n'est pas la seule. Il est ainsi mentionné qu'il faut utiliser des mots de passe longs, de douze caractères minimum, et pas exclusivement avec des lettres. Des mots de passe qu'il faut changer au moins tous les six mois et qui ne doivent pas être les mêmes entre les outils professionnels et les équipements personnels.

Bien évidemment, il est interdit d'installer un logiciel sur un appareil professionnel sans autorisation du service informatique, ou encore de connecter un disque dur ou une clé USB à un ordinateur sans que la sécurité de ces produits n'ait été vérifiée au préalable. Et le B.A.-BA pour finir, il est demandé de se méfier des messages inhabituels, et en particulier de leurs liens et pièces jointes, et surtout de ne pas cliquer sur ces derniers sans vérification.

Selon notre confrère, le gouvernement français, qui avait misé il y a quelques années sur des appareils sous Windows, travaille désormais sur SecDroid, une version modifiée d'Android par la France. Des appareils de plusieurs marques, eux aussi modifiés, sont utilisés. Le problème, selon L'Express, est que si les ministères sensibles sont généralement bien équipés, de nombreux responsables d'autres ministères sont bien moins rigoureux et exploitent des appareils, des systèmes d'exploitation et des services loin d'être sécurisés. Certains font même suivre leurs correspondances professionnelles sur leur Gmail ou Yahoo! Mail personnel. Un transfert désormais prohibé. Mais la note sera-t-elle suivie de fait ? Rien n'est moins sûr.

On se rappellera qu'il y a quelques années, de nombreux pays ont boycotté ou demandé des informations confidentielles à RIM (BlackBerry), alors l'un des acteurs majeurs du monde des smartphones. En 2010, l'Autorité de Régulation des Télécoms (TRA) des Émirats Arabes Unis a par exemple décidé d'interdire de messagerie instantanée, d'emails et de navigation web les BlackBerry, ceci dans tout le pays, et non au sein des ministères. La même année, l'Inde menaçait à son tour de bloquer certains services de BlackBerry si RIM ne lui fournissait pas certaines informations confidentielles sur son système. Plus récemment, en Corée du Sud, le ministère de la Défense a décidé de bloquer l'accès à internet des smartphones de tous ses employés. Et bien d'autres exemples similaires ont émaillé l'actualité ces dernières années.