Le directeur technique de la DGSE, le service de renseignement militaire extérieur français, a récemment expliqué, devant des publics composé de professionnels de la sécurité informatique, l’état de son métier. Le terrain traditionnel des services français étant l’Afrique, ou le renseignement était essentiellement humain, et non technique, il a fallu attendre 1983 pour que la DGSE décide de se doter d’une “direction technique”. La France avait alors près de 40 ans de retard sur les anglo-saxons, mais elle fait aujourd’hui partie du “Top 5″ (avec les Etats-Unis, la Grande-Bretagne, Israël et la Chine) en terme de renseignement technique. Elle n’a plus du retard qu’en ce qui est de la lutte informatique offensive (LIO), mais la DGSE (qui emploie 4100 militaires et civils) prévoit de recruter 100 ingénieurs par an pendant 3 ans. Sa puissance de calcul lui permet de gérer des dizaines de pétaoctets dans ses bases de données (des dizaines de millions de gigaoctets), sa limitation, c’est… la consommation énergétique: la chaleur dégagée par ses super-calculateurs permet de chauffer la DGSE !

En 1989, l’objectif, était le téléphone : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (le service pouvait traiter aisément un million de communications simultanées), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte. Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale : on prévoit 4 milliards d’objets connectés en 2013, et les téléphones mobiles sont dotés de centaines de fonctions, applications, et donc d’autant d’identifiants, et l’on peut y faire tout ce que l’on fait sur le Net. Le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Avec le développement de l’anti-terrorisme (90% de l’activité de la DGSE), le problème n’est plus le chiffrement gouvernemental ou militaire mais plutôt la cryptographie grand public, sur les réseaux grand public. Autre différence, de taille : le contenant devient plus intéressant que le contenu. Avant, il fallait en effet décrypter les messages chiffrés, parce que l’information était dans le contenu. Or, aujourd’hui, ce type d’information moins important que les informations contenues (en clair) dans les méta-données, surtout en matière d’internet. Car même si les messages sont chiffrés, les logs, eux, ne le sont pas, et permettent, par corrélation et data mining, de savoir qui communiquent avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée. Toutes ces méta-données sont stockées, sur des années et des années. Quand la DGSE s’intéresse à une adresse IP ou à un n° de tel, elle va chercher dans sa bases de données, et retrouve la liste de ses correspondants, pendant des années, et arrive à reconstituer tout son réseau.

Du côté de la cryptographie aussi, le monde a bien changé. Les internautes sont de plus en plus nombreux à en faire sans toujours le savoir, sans parler de ceux, de plus en plus nombreux, qui le font sciemment par obligation professionnelle ou par convenance personnelle, pour se protéger de l’espionnage industriel ou encore de la cybersurveillance que des entreprises comme TMG effectue au profit de l’Hadopi. Les services de renseignement américains ont d’ailleurs “engueulé” leurs homologues français au sujet de l’Hadopi qui pousse les internautes au cryptage. Les services de renseignement britanniques avaient d’ailleurs déconseillés à leur gouvernement un tel mécanisme.

Si la cryptographie a atteint un très bon niveau et si elle est de plus en plus normalisée, elle ne l’est pas forcément correctement, notamment pour ce qui est de son implémentation. Or, la DGSE est à la tête de la plus forte équipe de crypto-mathématiciens de France, qui passe allègrement de la cryptanalyse à l’intrusion informatique, et qui développe une activité très forte de rétro-ingénierie et de hacking lui permettant de pénétrer dans les ordinateurs dotés de systèmes d’exploitation et logiciels non mis à jour, pas sécurisés ou qui comportent des failles de sécurité non corrigées. Si la cible utilise un tunnel VPN (Réseau privé virtuel permettant de sécuriser les communications) chiffré en 256 bits, elle est bien protégée; mais s’il utilise Windows avec plein de failles, la DGSE s’y introduit, et change son VPN en 40 bits, bien plus facile à casser. Les utilisateurs utilisant souvent les mêmes mots de passe, la DGSE stocke ceux-ci pour établir des corrélations: elle a des dictionnaires de millions de mots de passe.

La police de Malines s’est dotée de nouveaux véhicules de patrouille équipés d’une caméra fixée sur le toit de la voiture de police, pour scanner les numéros de plaques d’immatriculation de tous les véhicules qui passent à côté d’elle. Lorsque la caméra détecte une plaque d’immatriculation d’un véhicule volé ou non-assuré, les policiers en sont directement avertis.

A l’automne, toutes les voies d’accès à la E19 seront également équipées de caméras qui enregistreront les numéros de plaques d’immatriculation. Tous les numéros enregistrés seront conservés pendant trente jours. La police pourra ainsi savoir où et quand un numéro de plaque déterminé a été remarqué. Le coût total de ce dispositif – 820.000 euros – est le plus important investissement en caméras effectué par la ville de Malines.

Une vidéo, où des policiers sont filmés dans un commissariat administrant des décharges de Taser à un Aborigène, a été dévoilée, lundi 4 octobre, déchaînant une vague d’indignation en Australie. L’incident, qui a eu lieu dans la ville de Perth en 2008, a été rendu public dans le cadre d’un rapport de la commission criminelle de l’Etat d’Australie-Occidentale présenté au Parlement sur l’usage des Taser par la police.

Ce cas a été cité comme exemple de la mauvaise utilisation des pistolets à impulsion électrique par la police et a relancé le débat en Australie. La veille, un homme était mort à Sydney après avoir reçu une décharge de Taser dans la poitrine. Sur la vidéo rendue publique, un homme aborigène non armé se voit administrer huit décharges de Taser dans un commissariat, après avoir refusé de se soumettre à une fouille au corps. On le voit à l’agonie après les décharges. Selon le rapport, l’homme, dont les actes précédant l’incident semblaient traduire un désordre mental ou un abus de drogue, a été soumis à cinq décharges supplémentaires hors caméra. Après enquête interne, deux agents ont été condamnés à payer des amendes de 1 200 et 750 dollars australiens (environ 840 et 525 euros) pour utilisation excessive de la force.

En Belgique, l’utilisation du Taser est interdite par la loi du 9 juin 2006 en tant qu’arme à électrochocs. C’est un pistolet électrique qui délivre une décharge de 50.000 volts et paralyse sa cible, et dont on voit régulièrement les effets destructeurs dans les pays où son usage est permis. Selon un rapport d’Amnesty International, le Taser a provoqué la mort de 251 personnes entre 2001 et 2008 de par le monde.

En 2009, le ministre de la justice belge avait du reconnaître que les forces spéciales de police disposaient de Taser, et ce en dépit de la législation. Et aujourd’hui, le porte-parole de la zone de police de Molenbeek a ouvertement demandé qu’en Belgique aussi, le Taser soit autorisé. Il affirme entre autre que les policiers ne se sentent plus en sécurité avec leur équipement classique et que de toute façon, l’utilisation d’une arme non-léthale reste préférable à celle d’une arme à feu.

Pistolet Taser deuxième génération

Une nouvelle manoeuvre des autorités russes pour réprimer l’opposition consiste à utiliser le prétexte de la chasse aux copies pirates de logiciels pour organiser des perquisitions et accéder aux données qu’ils contiennent. Plus d’une douzaine d’organisations et de journaux militants aient déjà été leur cible. Les services de sécurité agissent en prétendant avoir reçu une plainte selon laquelle l’organisme utiliserait des logiciels piratés. Ils saisissent alors tout le matériel et utilisent les données stockées dans les disques durs pour identifier les partisans de l’association et procéder à des interrogatoires. Microsoft, principal fournisseur de logiciel et qui ne souhaite pas voir son nom mêlé à ces techniques gouvernementales, a annoncé que dorénavant, les organisations russes bénéficieront d’une nouvelle licence gratuite pour les logiciels, même ceux déjà installés. Cette manoeuvre empêchera donc aux autorités russes de prétexter le piratage pour justifier leurs actions.

La société Global Rainmakers Inc. (GRI) a annoncé il y a quelques jours qu’elle est actuellement en train d’introduire sa technologie de scanographie de l’iris pour créer ce qu’elle appelle ‘la ville la plus sûre du monde’. L’éventail d’engins disponibles va du scanner à grande échelle (pouvant capturer l’iris de plus de cinquante personnes en mouvement par minute) au plus petit (qui scanne entre quinze et trente yeux par minute).

Scanners d’iris

Dans le cadre d’un partenariat avec la ville de Leon au Mexique, GRI va la remplir de scanners oculaires, dans ce qui n’est qu’un premier pas. L’entreprise envisage que dans dix ans maximum, chaque personne, chose et lieu soit relié à ce système d’iris. Pour l’implémenter, la ville est en train de créer une base de données d’iris. Lorsque les habitants prendront le bus, ou retirerons de l’argent à la banque, ils scanneront leur iris. Les officiers de police contrôleront ces scanners, et pourront suivre à la trace les mouvements des individus surveillés. Un journaliste américain a eu l’occasion de tester un des ces appareils la semaine dernière. Il affirme qu’il a fallu moins d’une seconde pour que son oeil soit scanné et enregistré dans la base de données. Après cela, à chaque fois qu’il est passé à travers un scanner (même en courant), ses yeux ont été identifiés correctement. Les appareils sont pour l’instant acheminé vers Leon et seront d’abord installé dans les commissariats, les zones de détentions et aux postes de contrôle de sécurité, avant de se répandre dans toute la ville. La première phase actuellement en cours a déjà coûté plus de cinq millions de dollars à Leon.

RIM, la société fabriquant entre autre le téléphone BlackBerry a toujours affirmé n’offrir aucune possibilité aux pays qui le souhaitaient, d’accéder aux données cryptées de ses utilisateurs. Or, les documents et le compte-rendu d’une réunion tenue entre des représentants de RIM et des membres du gouvernement indien ont été dévoilés ce week-end par la presse américaine. Selon ces sources, la société aurait offert à l’Inde des renseignements et des outils pour l’aider à effectuer une surveillance des services de courrier électronique et de messagerie instantanée. Toujours selon elles, le compte-rendu de ce rendez-vous révèle que des représentants de RIM ont affirmé qu’ils avaient des procédures pour aider les administrations chargées de la sécurité à traquer les messages qui les intéressent.

Depuis novembre 2008, les Etats-Unis dispose d’un type de drone dénommé A160T Hummingbird, qu’ils s’attèlent depuis lors à améliorer, car tel quel, il ne pouvait notamment pas voir à travers les forêts. Depuis plusieurs jours, l’armée teste la nouvelle mouture de l’appareil au Belize, à la frontière avec le Guatemala. Le nouveau radar qui l’équipe s’appelle Forester et est capable de traverser les couches de branches et de feuillages pour détecter les mouvements humains et de véhicules même dans les forêts les plus denses. Il permet une imagerie de très haute définition grâce à l’utilisation du mouvement de l’hélicoptère pour créer une ouverture artificiellement grande. Le Hummingbird peut en outre voler 2500 milles nautiques en 24 heures à plus de 30000 pieds. Il représente également une toute nouvelle approche de la conception de ces drones, avec un rotor spécial dont on peut adapter la vitesse, ce qui permet à l’engin d’être quasi silencieux. Le prototype testé n’est actuellement pas armé, mais l’armée américaine envisage déjà de l’envoyer dans certaines zones forestières et montagneuses en mission de surveillance et de repérage.

Boeing A160T Hummingbird

Un nouveau système de surveillance, surnommé Sigard, a été installé dans plusieurs villes hollandaises, et récemment également anglaises. Sigard est un dispositif qui permet d’enregistrer les conversations en public. Selon son fabriquant, Sound Intelligence, il fonctionne en détectant les hausses de ton dans les schémas de conversation. Aux Pays-Bas, des micros ont ainsi été placés dans les centres villes, dans des bureaux du gouvernement, dans des prisons, des gares,… Ce système donne donc la capacité à la police d’écouter les conversations privées tenues dans les lieux publics. Sound Intelligence affirme que les agressions physiques sont régulièrement précédées de violences verbales, et que donc la détection de ces mouvements d’humeur par Sigard permet une intervention policière plus rapide où il pourrait y avoir un problème. Et par la même occasion, permettre une surveillance encore plus intrusive…

Des gestionnaires de la police et des experts en recherche sur l’application de la loi se sont réunis au quartier général d’Interpol à Lyon afin de trouver les façons par lesquelles les études académiques et techniques pourraient renforcer les initiatives policières sur le terrain. Seize représentants de dix pays de chaque région d’Interpol, d’Europol et du CEPOL ont tenu le premier groupe de travail ces 29 et 30 juin pour échanger des idées sur les meilleures pratiques dans l’éventail des domaines de la police. Les discussions ont porté sur la recherche dans les champs de la science policière internationale et de la technologie pour l’application de la loi, y compris le développement et l’évaluation d’outils tels qu’un logiciel pour l’analyse et la recherche de renseignements et l’adaptation de nouvelles technologies à des fins policières. Un agenda stratégique et la potentielle augmentation de l’implication d’Interpol dans la recherche policière, par exemple grâce à la création d’un réseau virtuel de chercheurs de la police pour assister à l’échange de renseignements, étaient également à l’ordre du jour.