WikiLeaks met à jour la correspondance d’une des plus importantes entreprises de renseignement privé au monde, Stratfor, en partenariat, notamment, avec Rolling Stones aux États-Unis, la chaîne ARD en Allemagne, la Republica et l’Espresso en Italie, Publico en Espagne et OWNI en France.

À travers cette opération, WikiLeaks met en place une base de données de cinq millions d’emails, rédigés entre juillet 2004 et décembre 2011, et décrivant les petits secrets de cette société très particulière, basée à Austin au Texas, et fondée en 1996. Autour d’elle gravitent d’anciens agents secrets, d’ex-diplomates, des militaires en retraite, ou des fonctionnaires en poste soucieux de préparer leurs vieux jours.

Au mois de décembre dernier, des Anonymous avaient expliqué qu’ils avaient pénétré sur les serveurs de cette entreprise chef de file du secteur aux États-Unis, et qu’ils avaient pu copier quantité de fichiers permettant de mieux connaître ses activités.

Fabrication du renseignement privé

À terme, l’exploitation de la base de données constituée par WikiLeaks devrait mettre à jour les procédés de fabrication du renseignement privé, facturé par Stratfor aux plus offrants dans des proportions industrielles (à des entreprises comme à des administrations, dans le monde entier), entretenant des liens pour le moins ambigu avec les services étatiques.

Dans un premier temps, nous avons voulu comprendre les supports et la matière première des notes et des rapports vendus par l’entreprise. Car elle apporte un soin tout particulier à son marketing, volontairement construit dans un registre proche de celui de l’espionnage.

Ainsi, dans cet échange d’emails du 1er octobre 2009 entre plusieurs hauts responsables de l’entreprise, il est question de diffuser des informations brutes en direction des clients. Après quelques réflexions, la réponse des dirigeants résume le décalage entre l’image d’une telle société – teintée de mystère – et la réalité de son fonctionnement :

Du point de vue de la marque, fondée sur la Qualité, le Statut et l’Aura mystique, je pense que montrer trop de notre travail interne dévaluerait notre aura mystique. Personne ne sait comment nous collectons nos informations. C’est l’un des aspects les plus cools et mystérieux de Stratfor. Rendre public de l’information brute serait cool pour quelques semaines, mais rendrait notre travail plus attendu et nous perdrions un peu de notre aura mystique sur la collecte d’informations.

Officiellement, Stratfor se targue de diffuser des informations confidentielles, mais les messages internes montrent qu’une gradation existe. La note A sanctionne une information qu’on “ne peut trouver nulle part ailleurs” et la note B une information disponible uniquement “dans des cercles limités”. Les autres notes renvoient à des informations accessibles dans des sources ouvertes avec une analyse pertinente qui fait leur valeur ajoutée (note C), dont le contenu est resté néanmoins peu connu (note D), ou qui est accessible à de nombreux endroits différents (note F).

Dans les correspondances internes, les analystes ajoutent plusieurs champs quand ils rapportent leurs échanges avec des sources : son code, l’attribution (comment citer le source), une description de la source pour un usage interne, la possibilité de publier l’information ou non, des précautions particulières et le nom de la personne chargée du suivi.

Ministres et sources ouvertes

Dans la réalité de ses échanges au quotidien cependant, peu de sources de Stratfor justifient un tel mystère. D’abord, dans la majorité des cas, il s’agit simplement d’articles lus sur des sites. Quand ce n’est pas le cas, les fonctions et qualités des sources apparaissent au fil de la lecture. Il s’agit de journalistes, d’hommes d’affaires, parfois de membres de la communauté du renseignement ou de l’armée, plus rarement de diplomates ou d’hommes politiques.

Ainsi, le 2 septembre 2011, un analyste raconte son entretien avec le Premier conseiller et l’attaché de défense de l’ambassade tchèque à Washington. Le Premier conseiller devait devenir secrétaire d’Etat aux affaires étrangères. Un entretien en off sur le rôle de l’Otan qui sera attribué à des sources de Stratfor à Prague et à Washington.

Le directeur de Stratfor, Georges Friedman, a accès à des sources plus haut placées, mais qui partagent davantage des analyses que des informations précises. Dans un email daté du 20 février 2010, il raconte une réunion avec Henry Kissinger, l’ancien secrétaire d’État de Reagan, Paul Volcker, ancien directeur de la réserve fédérale américaine et ancien conseiller d’Obama, ainsi que Nicholas Brady, secrétaire d’Etat au trésor sous Reagan et Bush. En juillet 2011, il mentionne un entretien avec le ministre des affaires étrangères du Kazakhstan à propos de la situation régionale.

Néanmoins, la plupart des échanges se fonde sur des informations obtenues en sources ouvertes. Les discussions tentent ensuite de faire émerger une analyse pertinente et inédite de la situation, en mêlant des informations difficiles à étayer.

Dans un email du 13 septembre 2010, un analyste, Sean Noonan, envoie un article de The New York Observer sur la construction d’un centre islamique à proximité de Ground Zero. Un autre, Fred Burton, lui répond que l’imam responsable du projet est un informateur du FBI, une affirmation difficilement vérifiable, mais qui modifie le sens de l’article.

Sources ouvertes

De manière bien plus ordinaire donc, ce sont des sources ouvertes qui servent à rédiger des fiches synthétiques pour des clients prêts à dépenser beaucoup d’argent pour se sentir informés. En septembre 2009 par exemple, Stratfor rédige deux rapports sur les offres formulées au Brésil par trois fabricants d’avions de chasse.

Mais ces documents de 7 et 17 pages reprennent en réalité des articles de presse récents consacrés aux propositions commerciales du Suédois Saab et du Français Dassault, ainsi que des extraits de leur site Internet.

En février 2008, des recherches sur le secteur de l’industrie chimique sont commandées. Le client, dont le nom n’est pas précisé, veut des informations sur “les risques actuels ou futurs” que pourraient courir des entreprises du secteur. En particulier, l’attention est portée sur le prix du pétrole, le risque de nationalisation dans certains pays et la législation en vigueur sur les produits chimiques. Des informations disponibles en source ouverte.

Startfor se nourrit aussi de documents obtenus avant publication. Un analyste de la section Eurasie envoie ainsi un rapport de l’agence de notation Moody’s sur la crise de la dette irlandaise avant sa sortie officielle.

Meilleure note

Le classement des quelques sources fermées, laissant supposer des liens ambigus avec des personnes en poste dans des services de renseignement étatique, obéit à d’autres règles. Sont pris en compte la vitesse de réaction à une demande (“Source Timeliness”), le degré de proximité avec le sujet traité (“Source accessibility”), et la disponibilité (“Source availability”). De même pour la qualité des informations transmises.

La crédibilité et l’exclusivité (“Uniqueness”) sont aussi mesurés. Chaque catégorie est ensuite notée sur une échelle de A (la meilleure note) à F (la plus mauvaise), sans utiliser le E. Une source répondant dans les 24 heures sera créditée d’un A, tandis qu’une source dont on a de “la chance de recevoir une réponse tout court” hérite de la plus mauvaise note.

Le degré de proximité commence à “la connaissance intime” d’un sujet (note A). Vient ensuite la connaissance proche (“demander à quelqu’un de l’industrie pétrolière son avis sur le gaz naturel”). Le classement le plus bas renvoie à “quelqu’un qui n’a aucune connaissance du tout d’une industrie en particulier”.  L’information que l’on peut “déposer à la banque” a la meilleure note de crédibilité. La plus mauvaise sanctionne celle qui “s’apparente à de la désinformation”.

Rumeurs

Le champ d’expertise de Stratfor se veut large. Il va de l’intelligence économique à la géopolitique. Mais l’agence de renseignement privé traite aussi de politique intérieure, en diffusant des messages dans lesquels les interlocuteurs ne semblent pas discerner entre la rumeur et l’information vérifiée. Ainsi, au lendemain de l’élection présidentielle américaine de 2008, un responsable rapporte que John McCain, candidat républicain malheureux, a décidé de ne pas entamer de poursuites pour des cas de fraudes en Ohio et en Pennsylvanie car ce “serait au détriment [du] pays”.

Deux jours plus tard, un autre message revient sur les conditions du scrutin. Fred Burton, un haut responsable de Stratfor, affirme que des “Démocrates noirs ont été surpris en train de bourrer les urnes à Philly [Philadelphie, NDLR] et dans l’Ohio” mais il assure que McCain aurait choisi de ne pas se battre, ce qui ne ferait pas consensus au sein de son parti.

Une hypothèse qui, ainsi formulée, tient quasiment de la conspiration. Au-delà de l’aura de mystère, de tels messages laissent planer sur la production de ce marchand d’études des risques et d’analyses géopolitiques comme une aura d’esbroufe.

Ce billet de Franck Bulinge est la synthèse de deux posts publiés sur son blog en commentaire de l’affaire Renault.

Trois innocents bannis sur la place publique par une direction convaincue de leur culpabilité, sur la base d’une dénonciation et de faux documents. Un cadre retraité de la DPSD (ex-sécurité militaire), cueilli à l’aéroport comme un vulgaire escroc en fuite… Au final, des excuses publiques du patron de Renault qui se dit lui-même victime d’une tromperie. Voire…

La direction de Renault aurait-elle été victime d’un phénomène bien connu en sociologie des organisations et que l’on appelle «pensée de groupe», «effet Janis», ou «pensée moutonnière»? Ce phénomène se déclenche dans certaines conditions d’information et de prise de décision: leadership très directif, cohésion élevée du groupe, isolement (syndrome de la bulle), absence de procédures de validation, situation globale anxiogène. Il en découle un sentiment partagé d’invulnérabilité, la conviction d’être dans son bon droit, le rejet des informations contradictoires, l’autocensure et les pressions internes, et la diabolisation des éventuels opposants. Les effets observés sont la pauvreté de l’information recherchée, des biais cognitifs, une définition erronée des objectifs, l’absence de prise en compte des risques potentiels liés à la décision, enfin l’absence d’alternatives logiques et cohérentes.

Dans le cas de Renault et si l’on suit cette hypothèse, l’ensemble des ingrédients étaient réunis pour conduire au désastre. Il semble toutefois qu’en décembre, la direction de la sécurité de Renault ait été divisée quant aux conclusions de l’enquête, au point de demander un complément d’information. On peut supposer, mais cela reste à vérifier, que deux des trois responsables de la sécurité pourraient avoir eu des doutes sur les documents que fournissait leur collègue, lequel ne dévoilait pas ses sources. Ceci n’est évidemment qu’une hypothèse, une autre étant que ce complément d’enquête pourrait tout simplement avoir été motivé par l’appât du gain. A ce stade de l’analyse, seule un audit interne tenant compte des différents jeux d’acteurs pourrait nous éclairer.

Au final, à défaut d’une vraie affaire d’espionnage ou d’une opération de déstabilisation façon guerre économique, on devra probablement se contenter d’une escroquerie au renseignement. Comme je l’annonçais dans mon précédent billet, les grands perdants seront l’entreprise elle-même mais également l’intelligence économique dont l’image est une fois de plus écornée par des pratiques dignes des Tontons flingueurs.

La guerre économique, un paradigme à la française

Issue principalement du transfert des méthodes de renseignement vers les entreprises, l’intelligence économique est depuis ses débuts dominée par un courant de pensée, celui de la guerre économique. La guerre économique, qui fut d’abord une métaphore chez François Mitterrand, est devenue une sorte de paradigme à la française sur lequel repose la plupart des discours et des pratiques. Enonçant la guerre comme un prolongement de la politique des états, les tenants de la guerre économique associent systématiquement les intérêts nationaux et la concurrence exacerbée que se livrent les entreprises. Il y aurait ainsi une collusion entre les états et les entreprises qui défendraient ensemble l’intérêt national. On le pressent aisément, cette théorie ne tient pas la route à l’heure de la mondialisation.

Or, cette convergence entre géopolitique et stratégie d’entreprises, bien que non formellement établie dans les faits, n’est pas sans conséquences. Elle creuse le lit de pratiques non conventionnelles, pour ne pas dire illégales, qui seraient justifiées par un état de légitime défense nourrie de patriotisme économique.

Cette vision de la guerre économique renvoie de fait à une dialectique de l’attaque et de la défense, de l’agresseur et de l’agressé, de la légitimité et de la trahison, de la fin et des moyens. Si vis pacem parabellum. Dès lors tous les coups sont permis, et la meilleure défense étant l’attaque, ces pratiques essentiellement offensives font de la France l’un des pays les plus agressifs en matière d’intelligence économique et d’espionnage industriel. Dès lors la Chine peut être soupçonnée d’espionnage au moment même où des agents secrets français se font prendre dans la chambre d’hôtel d’un patron chinois… Dès lors, des agents de recherche privés, pour la plupart issus des services secrets, se livrent, à la demande de responsables d’entreprises, à des pratiques habituellement réservées aux services secrets. L’intelligence économique devient un monde interlope où certains acteurs, influencés par la rhétorique guerrière qui gagne jusqu’à nos ministres, semblent ne plus distinguer ce qui relève des intérêts privés et de la raison d’État.

Or, le principal risque de ce courant de pensée, c’est d’avoir une vision biaisée de la réalité entraînant des décisions aux conséquences difficilement mesurables. Les relations internationales et commerciales sont ainsi analysées sous l’angle polémologique reposant sur une logique d’intention malveillante. La guerre économique est de fait une théorie du complot qui se nourrit des événements pour lesquelles elle trouve des explications simples et séduisantes. Par contrecoups, elle répond aux attentes des médias en quête de messages clairs et concis touchant un large public.

Dénonciation et suspicion justifient-elles les pratiques inquisitoriales ?

L’affaire Renault résume à elle seule les risques de dérives qu’entraîne cette idéologie. Ainsi, quelle que soit la réalité de cette affaire, on ne peut que s’inquiéter de la manière dont Renault l’a traitée en s’affranchissant des contraintes éthiques et réglementaires. Que penser de ces pratiques « de temps de guerre » qui s’affranchissent du droit du travail ? La guerre économique, officiellement déclarée par un ministre et un député de la majorité, ouvrira-t-elle un droit de la guerre, où les employés pourraient par exemple passer au détecteur de mensonges ? La dénonciation et la suspicion, pratique française de triste mémoire, justifieront-elles des pratiques inquisitoriales ? Suffira-t-il de jeter les employés en pâture à la propagande pour en faire des coupables ?

Que dire encore de cette vague d’espionnite qui envahit les entreprises françaises depuis cette affaire ? On voit d’ici à quel point les pratiques d’intelligence économique reposant sur un  paradigme dénué de tout fondement scientifique et légal, peuvent conduire les entreprises qui s’y risquent à des situations dramatiques, voire périlleuses pour elles-mêmes. Car si ses trois cadres sont effectivement innocents, comme ils le clament avec force, Renault risque de payer un lourd tribut à une guerre bien hypothétique : décapitation d’un centre de recherche stratégique, perte de crédibilité de la direction, difficultés prévisibles sur le marché automobile chinois… Il est encore trop tôt pour mesurer l’ampleur des dégâts.

Force est de constater qu’à défaut d’une définition établie scientifiquement ou reconnue par le droit international, la guerre économique reste une théorie hasardeuse avec laquelle il vaut mieux ne pas jouer. De fait, l’intelligence économique, à l’image du développement durable, doit être envisagée au niveau des entreprises selon une logique de compétition économique et dans un cadre éthique parfaitement défini. Car à trop parler de guerre économique, on finit par échauffer les esprits tout en créant les conditions de la guerre elle-même. Pour paraphraser Giraudoux, la guerre économique n’aura pas lieu, mais lorsqu’elle surviendra vraiment au détour d’un pipeline de pétrole, d’une mine d’uranium ou de terres rares, elle n’opposera pas des entreprises mais des armées, et nous serons alors bien loin des tribulations de l’affaire Renault.

Il reste que  les universitaires ne peuvent indéfiniment tourner le dos à ce concept qui s’impose comme un paradigme hors du champ académique, au risque d’être accusés de ne pas vouloir l’affronter. Au-delà des querelles sémantiques et idéologiques, la « guerre économique » si elle était avérée, serait pourtant une affaire trop sérieuse pour la laisser aux mains d’apprentis sorciers. De fait, bien qu’il m’ait toujours paru indispensable d’ouvrir un dialogue avec les tenants de la guerre économique, je n’ai pu que déplorer l’agressivité, la défiance et l’exclusion de ceux qui déplorent haut et fort le désintérêt des (vrais) chercheurs.

—

Photo CC xilantro d’une Peugeot 404 et Stéfan

Je trouve anormal qu’une immense entreprise comme celle-ci ait basculé dans un amateurisme et une affaire de bibi-fricotin et de barbouze de troisième division.

François Baroin a donné le ton. Mardi sur LCI, le porte-parole du gouvernement a promis que l’affaire Renault ne resterait pas « sans suite ». Le ministre du Budget avait sans doute en mémoire le virage à 180 degrés effectué lundi soir par le PDG du groupe automobile. En quelques minutes, Carlos Ghosn reconnaissait que :

• les trois cadres licenciés début janvier n’avaient jamais eu le moindre compte bancaire à l’étranger comme il l’avait péremptoirement avancé sur le même plateau
• le groupe s’excusait et était prêt à indemniser les trois ex-salariés
• Renault aurait donc été victime d’une escroquerie, conduite par l’un des cadres de son service de sécurité, aujourd’hui placé en détention
• il avait refusé la démission de son DG opérationnel Patrick Pelata
• les deux hommes avaient décidé de renoncer à leur bonus annuel 2010 (soit 1,6 million d’euros pour le seul PDG, dont la rémunération annuelle s’élève au total à 8 millions)

Conclusion : l’espionnage est un vrai métier. L’intelligence économique aussi. A force de confondre les deux, Renault et ses anciens des services de renseignement (DGSE, DPSD) ont manié l’intox comme un débutant apprend le nunchaku (aïe, les doigts). A leur décharge, ils ne sont pas les premiers dans l’univers des grands groupes à s’infliger ce genre de supplice.

Une procédure normée et éthique ?

Répétons-le : l’espionnage et l’intelligence économique n’ont rien à voir. Pour une raison simple : si l’Etat se fait prendre les doigts dans le pot de confiture de l’illégalité, il aura toujours les moyens de réparer ou compenser sa perte de crédibilité. Au nom de la notion de souveraineté. Une entreprise aura beaucoup plus de mal à justifier une entorse au droit et aux bonnes moeurs, surtout si elle se pare des vertus de « l’éthique des affaires ».

C’est d’ailleurs ce qui rend la position de Renault indéfendable dans ce dossier. Dans tous les médias, Christian Husson, le directeur juridique du groupe, avait imprudemment avancé l’argument de la morale dans le processus d’enquête conduit pour confondre les cadres supposés corrompus :

Il s’agit d’une procédure parfaitement normée, très rigoureuse et [qui] garantit le respect des principes éthiques édictés par Renault.

Quelle éthique ? Quelles normes ? Quelle rigueur ? On aimerait avoir l’éclairage du « comité de déontologie » de Renault qui a traité l’affaire. L’attitude prudente voire mutique des instances patronales sur cette affaire est assez éclairante. Parlant ce mardi d’une « affaire regrettable », Laurence Parisot s’est contentée de saluer « les excuses à la japonaise » de Carlos Ghosn. La présidente du Medef a pourtant une certaine expérience en matière de barbouzerie d’entreprise, même si elle semble l’avoir oublié lorsqu’elle affirme :

Dans ces cas similaires, on a vu beaucoup de responsables se cacher.

Quand Laurence Parisot faisait espionner ses employés

En novembre 2005, la PDG d’Optimum SA (fabricant de portes de placard basé à Agen, une PME héritée de son père Michel Parisot) mandate l’agence privée de renseignements Kroll. Objectif : confondre les auteurs de vols de matériel qu’elle soupçonne au sein de son entreprise. Comme souvent dans ce genre de mission, Kroll sous-traite à un gendarme reconverti en enquêteur privé, Patrick Baptendier :

Une de ses collaboratrices (de Laurence Parisot) a pris contact avec Kroll, qui me charge d’établir les antécédents police de plusieurs salariés, d’effectuer une surveillance non-stop de l’entreprise (entrées et sorties du personnel et des véhicules et certains mouvements aux abords de l’entrepôt) du 10 novembre 2005 à 20 heures au 14 novembre à 7h45. A cette occasion, nous devons identifier les immatriculations. Le tout bien sûr dans la plus grande discrétion. Personne au sein de l’entreprise ne doit être informé de notre dispositif.

L’enquête ne démontre rien, mais un délégué CFDT va quand même être licencié sous l’accusation de vol. Décision validée par l’inspection du travail, puis cassée par un jugement. Dégoûté par de telles pratiques, l’homme ne voudra pas réintégrer l’entreprise. En mars 2006, Laurence Parisot a revendu la PME à un fonds luxembourgeois.

Quand Valeo utilise une « affaire » contre son ancien PDG

En 2009, la chronique des barbouzeries d’entreprise s’est enrichie d’un nouvel épisode, mettant en cause cette fois-ci le propre conseil d’administration d’une société. L’histoire met au prise Thierry Morin, PDG de l’équipementier automobile Valeo, débarqué en mars 2009 par ses actionnaires pour cause de « divergences stratégiques ».

A l’époque, le scandale éclate car Morin bénéficie d’une clause de sortie de 3,2 millions d’euros. Une somme qualifiée d’astronomique par… Laurence Parisot, alors que l’entreprise vient de supprimer 1600 emplois et affiche une perte de 159 millions sur un trimestre. Emoi dans le landerneau des affaires. Quelques semaines plus tard, Valeo réclame le remboursement du parachute doré et porte plainte contre X pour :

• vol
• abus de confiance
• abus de biens sociaux
• abus de pouvoir
• atteinte à l’intimité de la vie privée

Thierry Morin est soupçonné d’avoir fait écouter clandestinement son propre conseil d’administration, au moment où ce dernier discutait précisément des conditions de sa rémunération. Un an après, en février 2010, l’enquête débouche sur un « classement sans suite », « l’infraction n’étant pas suffisamment caractérisée ». Son avocat, Me Olivier Metzner, précise que les micros « visibles de tous » servaient uniquement à établir les procès-verbaux des réunions, histoire d’éviter toute contestation ultérieure. Fin de l’histoire. Une procédure aux Prud’hommes oppose encore les deux parties, Thierry Morin réclamant deux millions d’euros supplémentaires d’indemnités à son ex-employeur.

Ces deux courtes histoires de la saga des grands patrons montrent à quel point les opérations de déstabilisation sont devenues communes dans la vie des affaires. Une situation qui inspire ce commentaire laconique à Me Metzner (habitué des dossiers financiers) :

Je déteste ce milieu où l’on manque surtout d’intelligence, mais pas d’intérêts financiers.

Illustration : photo CC Dunechaser

Furieux, les Chinois –en visite pour acheter des Airbus- quittent l’hôtel, sans porter plainte. La PJ intervient et trouve dans la chambre visitée un kit spécial « rat d’hôtel » pour crocheter une serrure et aspirer toutes les données d’un ordinateur. L’enquête n’a pas permis d’identifier les rôdeurs. Révélée par la Dépêche du Midi, l’affaire a été soigneusement étouffée, jusqu’à ce que Charlie Hebdo ne lève le voile sur l’identité des mystérieux visiteurs du soir : une équipe de la DGSE, héritiers du fameux Service 7, spécialisé dans l’interception de courriers et autre ouverture de valises diplomatiques.

Officiellement démentie, l’opération a (provisoirement) gelé les activités du « service opérations » (SO). Elle montre aussi le dynamisme des services secrets français en matière d’espionnage économique, promu au rang d’activité stratégique de premier rang.

Espionnage économique : quand les “services” surveillent les Français

S’il est formellement interdit, a priori, aux services de renseignement américains d’espionner des citoyens états-uniens. A contrario, les services de renseignement français ont non seulement le droit, mais aussi l’obligation, de s’intéresser de très près à certains de leurs concitoyens. Et pas seulement en matière d’anti-terrorisme.

En 2005, la DST et les RG avaient ainsi été invités à le faire au moment des “émeutes de banlieue”, en surveillant les échanges téléphoniques, les SMS, blogs et sites internet au motif que les jeunes émeutiers s’en servaient pour communiquer, et s’organiser. Mais le contre-espionnage ne s’intéresse pas qu’aux seuls fauteurs de trouble à l’ordre public.

En 2006, suite à la labellisation de 67 pôles de compétitivité, la DST et les RG ont été invités à s’intéresser de plus près à l’intelligence économique. Tout comme la DPSD, le moins connu des services de renseignement français.

On connaît plus ou moins bien les Renseignements Généraux (RG), ainsi que la Direction de la surveillance du territoire (DST), fusionnés en 2008 au sein de la Direction centrale du renseignement intérieur (DCRI), qualifiée de “FBI à la française en matière de renseignement” par le ministère de l’Intérieur.

On sait moins que les RG “ont créé, en 1999, un observatoire de l’intelligence économique, instance de réunion et d’échange, qui, en mai 2000, a publié un référentiel, une sorte de bréviaire de l’IE (et qu’ils) ont fait de l’intelligence économique un sujet d’étude au même titre que l’actualité sociale ou les banlieues“. De même, la DST “a subi dès la fin des années 70, une importante évolution liée (au) glissement des activités d’espionnage du seul secteur militaire vers les domaines économique, scientifique et technique“.

De fait, les missions vont de la lutte contre l’espionnage et le terrorisme à la protection du patrimoine économique, et donc la surveillance des individus et mouvements susceptibles de “porter atteinte à la sécurité nationale“. Le décret portant création de la DCRI précise ainsi qu’”elle contribue à la surveillance des communications électroniques et radioélectriques susceptibles de porter atteinte à la sûreté de l’Etat“.

Du côté du militaire, la DGSE est chargée du renseignement à l’étranger (et tant en matière d’antiterrorisme que d’intelligence économique), la DRM du renseignement militaire (ils collaborent au programme “Frenchelon” d’espionnage des télécommunications), et la Direction de la Protection et de la Sécurité de la défense (DPSD) des habilitations secret défense, du contre-espionnage, du contre-terrorisme et de la “contre-subversion intéressant la défense nationale“.

Espionnage économique et contre-espionnage militaire

Dans le cadre de la montée en puissance de l’intelligence économique, un rapport parlementaire révéla, en 2006, que “l’organisation des postes de la DPSD en métropole a été intelligemment calquée sur la cartographie des « pôles de compétitivités » définis par le Gouvernement“.

Lors d’une présentation de son service à l’Ecole supérieure de guerre, le général Antoine Creux précisait ainsi ce jeudi 20 janvier, que la “protection du patrimoine économique” est la deuxième priorité de la DPSD. La seule industrie de défense représente aujourd’hui 2000 entreprises pour un chiffre d’affaires de 10 milliards d’euros par an.

Autrement dit, il s’agit de se déployer aux côtés de ces sociétés et laboratoires de recherche et développement que le gouvernement considère comme les plus prometteurs, afin de les protéger. Et donc d’en surveiller les actifs, et les salariés. Et ce d’autant que “le ministère de la Défense s’est fortement impliqué dans l’action interministérielle d’analyse des candidatures et qu’il “dispose de leviers d’action très variés pour soutenir et travailler” avec la vingtaine de pôles de compétitivité dans lesquels il est impliqué.

Fin 2005, le Figaro expliquait ainsi, dans un article intitulé L’espionnage économique menace les PME, la façon qu’avaient les services de renseignement de s’intéresser de près à certains Français :

A l’instar de la DST, chargée de détecter toute menace visant de grosses entreprises considérées comme sensibles et pouvant porter atteinte à la sûreté de l’État, les “grandes oreilles” des RG, grâce à leur maillage régional, se penchent au chevet des petites et moyennes entreprises innovantes, susceptibles de faire l’objet d’actions hostiles. «Une centaine de fonctionnaires ont déjà été formés pour vérifier systématiquement, lorsqu’une entreprise de pointe est en difficulté, si elle a fait l’objet d’une attaque d’un concurrent», explique un haut fonctionnaire.

En l’occurrence, le “bilan confidentiel” (sic) des RG avançait que, sur 934 entreprises surveillées “dans le cadre d’éventuelles «débauches de cadres détenant un savoir-faire», de «piratages ou de vols d’ordinateurs», «d’actions de lobbying offensif», de «rumeurs d’appartenance sectaire pour exclure un concurrent d’un appel d’offre» ou encore «d’infiltrations par le biais de stagiaires étrangers»“, 158 présentaient des “signes de vulnérabilité“, et que 87 d’entre elles avaient fait l’objet “d’actions hostiles signalées“.

“Il faut dire les choses, rappelait le général Creux, on a des ennuis avec les stagiaires chinois, très nombreux, qui comme par hasard veulent faire leur thèse dans des domaines sensibles.” Et le directeur de la DPSD de souligner qu’”on est au tout début de la guerre de l’information, les gens ne se rendent pas compte de la vulnérabilité des systèmes d’information… “.

« Evaluer l’efficacité socio-économique » du contre-espionnage militaire français

En 2006, la DPSD avait ainsi pour objectif d’”améliorer le niveau de sécurité des forces et du patrimoine industriel et économique lié à la défense” :

La DPSD est chargée d’une mission de contre ingérence économique afin de protéger les industries de défense qui maîtrisent des techniques de pointe ou des technologies duales les rendant très sensibles aux actions d’ingérence étrangère.

Ce risque d’ingérence peut être lié aux activités de services de renseignement, d’organisations ou d’agents se livrant à l’espionnage, au sabotage, à la subversion, au terrorisme ou au crime organisé.

Le rapporteur s’inquiétait par ailleurs “du fait que près d’un tiers des inspections ne soit pas effectué dans les délais impartis“, notamment du fait que “la DPSD ne dispose pas d’assez de personnel pour assurer ces inspections.

RGPP aidant, ses effectifs sont de fait passés de 1618 en 1997 à 1224 en 2010, une décroissance qui va s’accélérant : “globalement, la DPSD est engagée dans une diminution des effectifs qui sera supérieure à 15 % sur six ans“. Le général Antoine Creux avance pour sa part le chiffre de 350 inspecteurs de sécurité répartis en 60 sites sur tout le territoire.

En 2008, au moment de la création de la DCRI, on dénombrait 3450 policiers aux RG, et 2000 à la DST. Depuis leur fusion, les effectifs ont fondu. La DCRI, qui dénombrait 4 000 fonctionnaires dont 3 000 policiers à sa création, n’en comptait plus que 3306 début 2009, lorsqu’elle s’est vu notifier, au titre de la RGPP, “une déflation quadriennale de 400 personnels, soit 12 % de ses effectifs, de manière à atteindre 2 922 équivalents temps plein travaillé au 31 décembre 2011“.

En 2008, quelque 1 200 policiers et 440 personnels administratifs issus des RG étaient en effet affectés à une nouvelle sous-direction de l’information générale (SDIG), chargée des missions, autrefois révolues aux RG, mais ne relevant pas du “renseignement” (information générale sur l’activité politique, économique et sociale, surveillance des violences urbaines).

Comment surveiller le secteur privé ? En l’infiltrant…

On ne peut pas dire, pour autant, que le travail de surveillance et de renseignement ait forcément pâti à la hauteur de cette baisse d’effectif. Car, et dans le même temps, on assiste aussi à une privatisation rampante du métier de contre-espion, les sociétés d’intelligence économique et de sécurité privée recrutant allègrement nombre d’anciens agents des services de renseignement.

En prenant conscience de la montée des pratiques d’espionnage économique dans les années 90, les “services” ont ainsi mis au point plusieurs parades. La première a consisté à placer sous surveillance le milieu des officines privées.

L’arrivée de l’agence Kroll (3800 salariés en 2007, soit le premier cabinet de renseignement financier dans le monde) à Paris et le débauchage en 1992 de l’inspecteur principal Yves Baumelin, responsable à la DST des relations avec les services étrangers, sonna comme un coup de semonce. Pour ne pas se laisser déborder, la DST institua un contrôle systématique des Sociétés de renseignement privées (SRP).

Dans son livre témoignage, l’ex gendarme Patrick Baptendier raconte comment chaque semaine un officier traitant du contre-espionnage visite la société Géos pour s’informer des dossiers en cours. Idem pour le vivier de sous-traitants (souvent de très petites PME) qui peuplent ce milieu de l’intelligence économique.

Géos fait d’ailleurs figure de tête de pont. Fondée par un ancien caporal-chef du service action de la DGSE, elle voit arriver dès 1998 l’ex-patron de la Direction du renseignement militaire (DRM), le général Jean Heinrich… suivi par une brochette de pontes des services. Pourquoi une telle alliance ? Sinon pour constituer un pendant aux services proposés par les grands cabinets anglo-saxons.

L’autre phénomène observé cette dernière décennie est la lente mais certaine privatisation de la fonction renseignement des groupes mondialisés. Renault, comme toutes les entreprises positionnées sur un secteur concurrentiel, a développé un véritable service de renseignement.

Dirigé par Rémi Pagnie, ex de la DGSE et ancien chef de poste à Tokyo, il peut compter sur d’anciens de la police judiciaire. Tous reconvertis dans le juteux business de la sécurité privée. Ce qui peut finir par créer des tensions, lorsque les intérêts d’une multinationale ne convergent plus avec ceux de l’Etat… Au milieu des années 2000, conscients de ces risques, la DST avait rédigé un décret interdisant à ses agents de pantoufler dans le privé avant une période probatoire de trois ans, de façon à rendre obsolète leur carnet d’adresses. Aucun gouvernement n’a pris le risque de mécontenter les futurs jeunes retraités des services…

—

Illustration de Une : Loguy

Article de Une : Le droit à l’information mis à mal par le secret des affaires / Espionnage chez Renault: un cas de bleuïte ou une vraie fuite ?

Illustration CC Spy by bhrome. Merci à David Servenay pour sa relecture, et ses propositions.

La DPSD et la DRM sont loin d’êtres les seules entités de l’armée dans ce cas. Citons, ainsi, l’Ecole militaire, le Commandement Air des Systèmes de Surveillance, d’Information et de Communication, le service de santé des armées, le responsable de la communication de l’armée de terre sur le quart sud-est de la France, la direction des ressources humaines de l’armée de l’air et la direction du personnel militaire de l’armée de l’air, un administrateur civil de la Délégation aux affaires stratégiques, placée sous l’autorité directe du ministre de la Défense et chargée du conseil géopolitique, stratégique et prospectif…

Les mails de Sarah Palin et de députés piratées

Non content de déléguer la gestion de leurs boîtes aux lettres électroniques à des sociétés privées dont certaines sont contrôlées par des entreprises américaines, ces militaires prennent aussi le risque, tout bête, de se voir pirater leurs adresses e-mails.

Car le problème, avec ces webmails, c’est qu’il suffit de cliquer sur le lien “J’ai oublié mon mot de passe” pour se voir proposer de répondre à une ou deux questions du type “Où avez-vous rencontré votre conjoint ?” pour réinitialiser le mot de passe, et donc prendre le contrôle de la boîte aux lettres. Ce qui est arrivé, l’an passé, à Sarah Palin, leader du parti républicain aux Etats-Unis. Sa question supposée secrète était “où avez-vous rencontré votre mari?” La réponse était sur le web. Deux députés français se sont également récemment fait ouvrir leurs boîte aux lettres virtuelles de cette manière.

L’attaque contre Twitter, menée par le désormais célèbre Hacker Croll, se fondait également sur une faille de sécurité des webmails. En l’espèce, un employé de Twitter utilisait Gmail, qui proposait d’envoyer le mot de passe oublié à une adresse e-mail secondaire. Cette dernière, hébergée chez Hotmail, était désactivée. Croll n’a eu qu’à la réactiver pour récupérer le mot de passe…

Une étude a montré que 20% des internautes pouvaient deviner les réponses aux questions de sécurité de leurs amis. Au Texas, des chercheurs se sont aperçus que 30% des noms de jeune fille des internautes pouvaient être obtenus en consultant des archives publiques.

Une équipe britannique a établi qu’un cracker avait à peu près 1 chance sur 80 de trouver la réponse aux questions de sécurité de type “Quel est le nom de jeune fille de votre mère ?” en se basant uniquement sur les noms les plus courants. En Corée par exemple, où la concentration des noms est la plus forte, vous avez 40% de chances que le nom en question soit Kim, Park ou Lee.

Des centaines de milliers d’e-mails vulnérables

Pour mieux mesurer l’ampleur du problème, j’ai proposé à Nicolas Kayser-Bril, “datajournaliste” à Owni.fr, de développer une petite application, que nous avons intitulé mail.icio.us, afin de voir combien d’adresses e-mails vulnérables sont disponibles sur les sites des principales administrations. Et force est de constater qu’elles sont légions.

On dénombre ainsi près de 55 000 mentions d’adresses utilisant des webmails piratables sur l’ensemble des sites en .gouv.fr, plus d’une dizaines de milliers d’associations et de contacts sur celui du Journal Officiel, des centaines de mairies sur service-public.fr, mais également, et c’est plus gênant, des centaines de contacts dans les ambassades et d’adresses d’expatriés sur le site du ministère des Affaires étrangères, de militaires ou prestataires sur celui de la défense nationale, des dizaines d’experts automobiles sur celui de la sécurité routière, de professionnels de l’éducation nationale, une trentaine de députés…

Aux États-Unis, on trouve ainsi plus de 750 000 mentions d’adresses utilisant des webmails sur l’ensemble des sites en .gov, dont plus de 25 000 sur les serveurs de l’armée américaine, un millier sur ceux de la NASA, la National Science Foundation ou la Chambre des représentants, et près de 100 sur le site du FBI…

La situation est encore plus critique dans les pays où les fonctionnaires n’ont pas d’autre choix que d’utiliser des webmails, par manque d’infrastructure locale. En Afrique, la plupart des ministres utilisent des boîtes mail hébergées par Yahoo. Et sur les 40 contacts de l’Agence Internationale à l’Energie Atomique en Afrique, par exemple, pas moins de 21 utilisent Yahoo.

Ces données ont été récupérées à partir de listes des administrations aux Etats-Unis, en France et en Allemagne.

Nous avons ensuite utilisé l’API de Google Search pour obtenir une estimation du nombre de pages contenant une adresse webmail @hotmail.fr (et .com), @yahoo.fr (et .com), @laposte.net ou @voila.fr, les plus “simples” à pirater. Cette estimation n’est pas extrêmement fiable, ce qui explique les différences de résultats entre nos données et celles que vous pourrez trouver en faisant une recherche vous-même. Par ailleurs, le chiffre compte des pages, qui peuvent contenir plusieurs adresses e-mail (voir l’appli mail.icio.us).

Alors que le Pentagone se prépare sérieusement à la “cyber-guerre“, tout comme la gendarmerie française, il est frappant de constater des failles béantes dans la sécurité des administrations nationales. Le gouvernement dépense des dizaines de millier d’euros pour assurer la sécurité de ses communications privées (voir chez Thales, par exemple). L’utilité de ces défenses est sérieusement diminuée si un assaillant peut avoir accès à de nombreuses boîtes e-mails au sein de l’administration.

Une fois à l’intérieur d’une boîte mail, un cracker peut facilement gagner la confiance des collègues ou des supérieurs en se faisant passer pour sa victime. Il est alors plus facile de leur envoyer des logiciels malveillants en pièces jointes. Une bonne partie de l’opération Aurora, lors de laquelle Google a été attaqué en Chine, s’appuyait sur ce type de stratégie (voir cette présentation).

Les solutions sont très faciles à implémenter. Il suffit d’utiliser des webmails plus sécurisée ou d’utiliser les solutions mises à disposition par l’administration (les adresses de type prenom.nom@ministere.gouv.fr). Rajoutez à ça un bon mot de passe et vos communications en ligne deviennent beaucoup, beaucoup plus sûres. Ca n’empêchera pas un assaillant déterminé d’avoir accès à vos données. Mais ça lui compliquera la tâche.

Contactées, la DRM et la DPSD n’ont pas voulu répondre à nos questions. A suivre, une interview d’Eric Filiol, directeur d’un laboratoire de virologie et de cryptologie qu’il avait créé du temps où il était lieutenant-colonel de l’armée française, et un manuel de contre-espionnage informatique, pour apprendre à se protéger.

__

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Blinde ton mot de passe et Enquête : 70 centimes les 1000 captchas.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.