Rarement, la Défense n’a eu autant tremblé d’être réduite à “une armée de confetti” en attendant son budget de l’année. Il est finalement stable, avec une dotation de 31,4 milliards d’euros. Un budget de continuité, en attendant les conclusion du Livre blanc sur la Défense dont le rendu est attendu pour le mois de janvier. Le grand rendez-vous sera 2014, avec l’adoption du projet quinquennal de la loi de programmation militaire.

Dans cette atmosphère grise, il y a bien un secteur qui arbore des couleurs flamboyantes : la cyberdéfense. Tous les corps sont concernés, civil et militaire, services de renseignement et forces conventionnelles.

Des effectifs triplés

Rattachée directement au Premier ministre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est en charge de la cybersécurité en France depuis sa création en 2008. Elle recrutera 75 postes en 2013 a annoncé Kader Arif, ministre délégué auprès du ministre de la Défense.

Son directeur, Patrick Pailloux s’en félicitait lors d’une intervention à l’École militaire fin octobre :

L’Anssi est la seule administration à recruter, y compris depuis le nouveau gouvernement.

Les chiffres parlent d’eux-mêmes : l’agence comptait 120 agents en 2009, leur nombre devrait tripler pour atteindre 360 agents en 2013. L’effort budgétaire a suivi, passant de 45 millions d’euros en 2009 à 75 millions en 2012 selon le rapport Bockel sur la cyberdéfense.

Le Calid (Centre d’analyse en lutte informatique défensive) occupe des fonctions complémentaires à celles de l’Anssi. C’est à sa tête que se trouve l’officier général à la cyberdéfense, le contre-amiral Arnaud Coustillière. Lui aussi peut avoir le sourire. Ses effectifs vont doubler. Il compte aujourd’hui 20 personnes qui atteindront 40 l’année prochaine “afin d’être opérationnel vingt-quatre heures sur vingt-quatre et sept jours sur sept” selon le ministère de la Défense. Un souhait émis par le sénateur Bockel dans son rapport.

Autre structure du ministère, les équipes de la Direction générale de l’armement (DGA) devraient être largement renforcées. Lors d’un déplacement début septembre sur l’un des principaux sites de la cyberdéfense, à Bruz (Ille-et-Vilaine), le ministre Jean-Yves Le Drian, a annoncé la création de 200 emplois pour la cyberdéfense d’ici à 2015.

Les peurs des cyberdéfenseurs

Les responsables français de la cyberdéfense ont parfois des sueurs froides. Le contre-amiral Coustillière et le directeur ...

La DGSE, grand gagnante

Les services de renseignement ne sont pas en reste. La DPSD (Direction de la protection et de la sécurité de la défense) le service maison de l’hôtel de Brienne, va recevoir des moyens pour assurer son mandat élargi.

Il comprend des missions de contre-ingérence et de contrôle ainsi que d’assistance dans le champ de la cybersécurité, a expliqué le contre-amiral Arnaud Coustillière, invité par le groupe Défense & Stratégie, proche des milieux de la Défense. En cas d’attaque informatique, les rôles sont répartis selon l’intensité : ministère de la Défense seul (DPSD et Calid) pour les attaques de moyenne intensité, Anssi et Calid pour les attaques plus solides, a détaillé le cyberofficier. Malgré un budget globalement en baisse, la DPSD poursuit les investissements dans “[les] activités de cyberdéfense.”

Les services extérieurs, la Direction générale de la sécurité extérieure (DGSE), bénéficient pleinement du nouvel élan. Les services du boulevard Mortier disposaient déjà de moyens en augmentation, du fait “de la priorité donnée à la fonction ‘connaissance et anticipation’”, note le rapport sur la Défense de la commission des finances. Avec la cyberdéfense apparaît “une nouvelle priorité, compte tenu de l’évolution des menaces en la matière”. Sur les 95 emplois, 18 seront dédiés à la cyberdéfense.

Pour rester attractif, et offrir mieux “[qu'] un traitement de fonctionnaire ordinaire”, la DGSE utilise un tour de passe-passe administratif, décrit par La Tribune. Le patron des services peut “procéder à la fusion de plusieurs ETPT (équivalent temps plein annuel travaillé)” selon un représentant du ministère de la Défense auditionné à la commission de la défense de l’Assemblée. En clair, proposer l’enveloppe de plusieurs salaires sur un seul poste.

Le tabou offensif

Offrir des salaires attractifs a partiellement pallié les difficultés de recrutement. Devant les députés, le chef d’État-major des armées, l’amiral Guillaud, avait expliqué qu’en matière de sécurité des systèmes d’information, “[la DGSE] ne pouvait recruter davantage, tant le vivier – où puisent Thales, Areva ou d’autres administrations – est réduit’”, rappelle La Tribune.

Le cyberbluff a commencé

Le sénateur Jean-Marie Bockel a rendu public le 19 juillet un rapport sur la cyberdéfense. Le volet offensif y occupe une ...

Autre solution en voie d’expérimentation : une réserve cyber-citoyenne. Arnaud Coustillière a évoqué 50 volontaires en voie de recrutement lors de son intervention devant Défense & Stratégie. Sans aller dans l’opérationnel, ces volontaires auront pour fonction de faire de la sensibilisation, “[d']améliorer la résilience de la société” selon les termes de l’amiral.

Ces recrutements confirment l’importance accordée à la cyberdéfense. Et aux capacités offensives ? Dans son rapport, le sénateur Bockel invitait l’exécutif à clarifier sa doctrine. L’épisode Stuxnet, et celui plus récent d’Aramco – la compagnie pétrolière saoudienne victime d’une grave cyberattaque cet été – ont ravivé les craintes autant qu’elles ont aiguisé les envies. Les responsables de la cyberdéfense se murent dans le silence dès qu’il s’agit de capacités offensives. Le contre-amiral Coustillière renvoie vers le livre blanc, quant à Patrick Pailloux, de l’Anssi, il répondait à l’École de guerre “ne rien penser” à ce sujet.

Un “Pearl harbor numérique” ? À intervalles réguliers, l’expression revient dans le bouche de responsables de la cyberdéfense, surtout américains. Le sécretaire de la Défense, Léon Panetta, a exprimé ses craintes d’une telle cybercatastrophe lors d’un discours à New York le 11 octobre dernier.

En France, l’expression n’est pas employée en l’état, mais les craintes existent. Elles ont été exprimées publiquement la semaine dernière par les deux principaux responsables de la cyberdéfense. Le contre-amiral Coustillière a été nommé officier général à la cyberdéfense le 1er juillet 2011. Il est entre autres à la tête du centre d’analyse en lutte informatique défensive, le Calid.

“Un espace de confrontation”

Dans son intervention organisée par le cercle Défense et Stratégie mercredi, il a décrit son cauchemar. Un plan simple, en plusieurs temps, qui pourrait aboutir à des dommages irréversibles. Et de rappeler qu’un “changement de dimension” s’est produit depuis quelques années, faisant du cyberespace “un espace de confrontation, quelque soit le nom qu’on lui donne”. Une précaution oratoire pour éviter le terme contesté de cyberguerre…

Le contre-amiral Coustillière a évoqué un plan en trois temps, trois phases distinctes qui ne peuvent être menées que par “une structure” importante, avec un niveau élevé de renseignement. Comprendre, plutôt par un État que par un petit groupe de pirates informatiques.

La première phase vise à désorganiser la cible (là encore un État) : fausses rumeurs et mouvements de protestations sur les réseaux sociaux, attaques par dénis de service (DDoS) sur les sites institutionnels (les sites de députés par exemple), puis attaques de réseaux locaux peu protégés. La seconde phase vise à “désorganiser la société”. Les services de sécurités sont monopolisés, leurs moyens saturés.

En cause : des attaques sur installations vitales, en cherchant “le maillon faible” sur ces systèmes déjà bien protégés, ainsi que de nouvelles attaques par dénis de service ciblant des banques. Le climat est alors propice pour lancer des actions offensives plus complexes, avec des répercussions potentiellement mortelles. Sur les infrastructures de transport par exemple.

L’âge du cyberespionnage

Ainsi dépeint, le tableau ressemble à une dystopie cyberpunk. Un scénario catastrophe plus lointain que l’espionnage via Internet, grande préoccupation du moment :

Des gigas [octets] de données s’échappent de nos industries.

Bercy, le piratage qui tombe à pic

Faut-il avoir peur du piratage de 150 ordinateurs au ministère de l'Economie et des Finances? C'est surtout l'occasion pour ...

Préoccupation largement partagée par Patrick Pailloux, le directeur de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), second bras armé de la cyberdéfense. Quatre sujets l’empêchent, plus ou moins, de dormir, a-t-il expliqué à l’institut des hautes études de la défense nationale : la cybercriminalité, les tentatives de déstabilisation, le sabotage et le cyberespionnage donc.

“À côté de ce qui se passe aujourd’hui, c’était de la gnognote la guerre froide” attaque-t-il. Un modus operandi basique par exemple, disponible au patron un peu dégourdi qui traîne “sur des forums underground”, parle anglais et dispose de quelques centaines d’euros. Usurper l’identité d’un proche de la cible (au hasard, un concurrent), envoyer un email depuis cette fausse identité à la cible.

Au mail est attaché une pièce jointe, un cheval de Troie, acheté sur Internet. “Des usines à fabriquer des virus” permettent de changer les signatures chiffrées des logiciels malveillants. En somme, d’empêcher les antivirus de les identifier et donc de les rendre inopérants. Un peu de débrouillardise, quelques poignées d’euros et un zeste de renseignements suffisent pour obtenir des informations confidentielles sur ses concurrents. Des pratiques interdites, mais courantes.

Conclusions communes des deux hauts responsables : améliorer l’hygiène informatique et préparer la résilience des citoyens. A cette fin, une réserve citoyenne pour la cyberdéfense est en cours de création et les cyberdéfenseurs se chargent de faire passer le message.

En 2009, elles plafonnaient à 8,1 milliards d’euros. Comme le montre notre visualisation, plusieurs importantes commandes ont été enregistrées en 2010, notamment avec l’Inde, la Malaisie, l’Arabie Saoudite et le Kazakhstan. Ils se concentrent dans les domaines aérien et supra-aérien, maritime, balistique, d’interception et brouillage des communications. (Cliquez sur l’image pour voir afficher l’ensemble des pays et des commandes).

Légende : les points beige correspondent aux commandes entre 1 et 50 millions, les points rouge aux commandes supérieures

Sur le globe, la région du Proche et Moyen-Orient réunit la majorité des commandes, pour un montant de 1,2 milliards en 2010, loin devant l’Asie du Sud (802 millions) et l’Union européenne (541 millions).

Un Moyen-Orient en pleine ébullition révolutionnaire depuis le début de l’année 2011. Le général Pontiès du ministère de la Défense et Bernard Valéro, porte-parole du Quai d’Orsay, ont assuré que les autorisations d’exportation pour les pays où la répression faisait rage, Syrie et Yémen en tête, étaient gelées, sans toutefois être en mesure de le confirmer pour Bahreïn.

Depuis 2006, la France a livré du matériel militaire pour une valeur de plus de 6,2 milliards d’euros aux pays de la région, principalement à l’Arabie Saoudite et aux Emirats arabes unis. En 2010, le montant des livraisons (en gris clair sur le graphique ci-dessous) s’élevait à 1,6 milliards d’euros.

Plusieurs indices permettent de mesurer les exportations de matériel militaire. Seules les prises de commande font l’objet d’un traitement détaillé dans le rapport du ministère. La catégorie de l’armement exporté est donnée, sans préciser ni le nombre de contrats, ni le matériel précis concerné.

La loi relative au contrôle des exportations de matériels de guerre du 22 juin 2011 transforme le circuit des autorisations. Une fois ce dispositif à l’œuvre, deux grandes modifications interviendront : les exportations au sein de l’UE ne seront plus soumises aux procédures de contrôle en vigueur, ces procédures seront simplifiées quels que soient les destinataires.

La Direction générale de l’armement (DGA) nous a répondu par écrit que “la réforme n’aura[it] aucun impact sur la qualité du contrôle” et qu’elle permettrait “[d’]alléger la charge administrative qui pèse sur les sociétés”. Des arguments que ne partage pas Patrice Bouveret, de l’Observatoire des armements. Lors du passage en première lecture au Sénat, il avait vivement réagi :

Sous prétexte de transposer deux directives européennes, le gouvernement répond à la demande des industriels d’alléger les procédures de contrôle des exportations.

Fusion des licences

Avant la réforme adoptée en juin dernier, l’exécutif intervenait à trois reprises dans la procédure codifiée d’exportation de matériel militaire. D’abord au moment de l’appel d’offre. “Les industriels demandent l’autorisation pour y répondre. La CIEEMG (Commission interministérielle pour l’étude des exportations de matériels de guerre, NDLR) se prononce et délivre un agrément préalable” rappelle Patrice Bouveret. La CIEEMG regroupe des représentants du Quai d’Orsay, de la Défense et de Bercy, chapeauté par le Secrétariat général de la défense et sécurité nationale (SGDSN) relié au Premier ministre.

“La CIEEMG accorde ensuite une Autorisation d’exporter le matériel de guerre (AEMG)” poursuit Patrice Bouveret. Chaque composante de la CIEEMG apporte ses compétences : le ministère des Affaires étrangères se prononce sur l’état des relations avec le pays, la Défense sur les risques potentiels liés à l’exportation du matériel concerné, l’Economie sur la santé économique de l’acheteur. En cas de désaccord, le sommet de l’exécutif tranche, le Premier ministre voire le Président de la République selon la sensibilité du contrat.

Ces deux autorisations seront désormais fusionnées dans une seule et même licence, une “licence ‘unique’” selon la DGA. Un ultime contrôle a lieu avant la livraison du matériel, pour réagir en cas de changements importants dans le pays acheteur. “L’exécutif garde un contrôle tout au long du processus, jusqu’à la livraison” résume Patrice Beuvelet.

Licences globales

Au sein de l’Union européenne, des “licences globales” sont mises en place avec la réforme, ironise Patrice Bouveret. “Les industriels doivent tenir à jour des listings sur les ventes et envoyer des rapports détaillés tous les six mois”. Le contrôle systématique, a priori, n’est plus appliqué. Jusqu’à la réforme, les rapports au Parlement sur les exportations d’armement mesuraient les ventes par trois indices : les commandes prises, les AEMG et les livraisons. Un effort de transparence qui ne convainc guère l’Observatoire des armements :

Les données financières ne permettent pas d’analyse fine des exportations, on ne peut pas suivre l’évolution des contrats : les prises de commande ne donnent pas toujours lieu à des AEMG qui elles-même ne sont pas toujours converties en livraison. La CIEEMG ne publie pas ses refus.

Dans ces rapports produits par le ministère de la Défense, seules sont détaillées par catégorie officielle (Military List) les prises de commande. Contrairement à la Grande-Bretagne, la France ne publie pas la liste des matériels exportés. Le Journal Officiel de l’UE publie quant à lui la liste des refus d’attribution de licence, sans préciser le matériel visé, ni les motifs.

Les grandes oreilles du renseignement français made in Amesys

En juillet 2007, Amesys décrochait en France un marché de 100 000 euros à la terminologie un peu technique. Il s’agissait de démodulateurs et logiciels de traitement de l’information dans le cadre de l’”acquisition d’une chaine d’interception DVB“, pour Digital Video Broadcasting, la norme de diffusion vidéo numérique, qui sert aussi à la transmission des données par satellite.

La Direction du renseignement militaire (DRM) était l’acquéreur. Avec la DGSE, la DRM opère le système Frenchelon d’interception massive des télécommunications. Le nom de ce service de renseignement n’apparaît pas en toutes lettres. Mais marc_badre@yahoo.fr, l’adresse e-mail générique utilisée pour l’appel d’offres remporté par Amesys, est bien celle de la DRM.

Plus tard, en novembre 2008, Elexo, l’une des filiales d’Amesys, emporte un marché de 897 000 euros au profit, là aussi, de la DRM, qui voulait se doter de “démodulateurs routeurs IP satellite et analyseurs” dans le cadre d’une “acquisition de matériels pour plate forme de réception satellite TV“. Dans ce même marché, la DRM a aussi investi 837 200 euros dans des “antennes de réception DVB et matériels connexes“.

D’aucuns objecteront que 837 200 d’euros, ça fait un peu cher l’antenne satellite pour recevoir la télévision. Le lieu de livraison, la base militaire de Creil, est cela dit connue pour accueillir le Centre de Formation et d’Emploi relatif aux Émissions Électromagnétiques (CFEEE) et le Centre de Formation et d’Interprétation Interarmées de l’Imagerie (CFIII), les “grandes oreilles” et les “gros yeux” de la DRM, dont le travail repose sur l’interception et l’analyse des télécommunications et images émanant des satellites.

Un hacker, fin connaisseur des satellites, a bien ri en découvrant ces appels d’offres, dans la mesure où ce sont typiquement des systèmes d’espionnage des flux de données (TV, téléphonie, Internet) transitant, en clair, par les satellites. Sans compter que d’autres hackers ont récemment démontré que pirater un satellite était simple comme bonjour. Mieux: on pourrait faire pareil, mais en beaucoup moins cher… à savoir “une cinquantaine d’euros, neuf, dans n’importe quelle grande surface de bricolage, au rayon antennes et TV satellite“.

Le ministère de l’Intérieur, aussi

Les services de renseignement militaire ne sont pas les seuls clients d’Amesys : en juin 2009, la société emportait un appel d’offres de 430 560 euros, initié par le ministère de l’Intérieur, qui cherchait des enregistreurs numériques large bande. Amesys en vend deux : l’ENRLB 48, qui permet “l’acquisition ou le rejeu en temps réel de plusieurs types de signaux” et qui est commercialisé en tant que système de SIGINT (pour Signal Intelligence, renseignement d’origine électromagnétique, ou ROEM, en français), et l’ELAN-500, qui permet de faire de l’”analyse tactique d’environnement ELINT” (Electronic Intelligence).

Tous deux, comme le précise Amesys dans sa fiche de présentation, sont soumis à une “autorisation R226“, doux euphémisme pour qualifier les systèmes d’écoute et d’interception : les articles R226 du Code pénal, intitulés “De l’atteinte à la vie privée“, portent en effet sur “la fabrication, l’importation, l’exposition, l’offre, la location ou la vente de tout appareil susceptible de porter atteinte à l’intimité de la vie privée et au secret des correspondances“.

La vente de ce système au ministère de l’Intérieur a donc été soumise à une autorisation délivrée par le Premier ministre, après avis d’une commission consultative “relative à la commercialisation et à l’acquisition ou détention des matériels permettant de porter atteinte à l’intimité de la vie privée ou au secret des correspondances“.

Aucune information ne permet de savoir à quoi ils servent ou ont servi. Contactée, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont le directeur général préside la commission consultative chargée d’émettre des autorisations sur ce type de technologies, répond que la vente de ces systèmes a “forcément” été validée par la commission consultative, mais refuse d’en dire plus.

Contactés pour savoir à quoi pouvaient bien servir ces systèmes, et s’ils avaient bien été autorisés, les ministères de la Défense et de l’Intérieur n’ont pas souhaité répondre à nos questions. Les seules données publiquement accessibles sont ces appels d’offres, les technologies utilisées, et leurs donneurs d’ordre. Impossible de savoir s’ils permettent d’espionner des Français, si ces écoutes sont contrôlées, et si oui par qui…

Matignon, à qui nous avons demandé si le Premier ministre avait bien, comme le veut la loi, dûment autorisé ces contrats, n’a, lui aussi, pas daigné répondre à nos questions. Les termes employés dans les appels d’offres montrent bien, pourtant, qu’il s’agit de matériel de surveillance et d’interception massive des télécommunications.

Aintercom, Ramius, Proxima, Ecofer, Marko…

Amesys a vendu plusieurs autres systèmes à l’armée française. En décembre 2006, I2E, qui deviendra Amesys lors de sa fusion avec la société de conseil en haute technologies Artware, emporte ainsi, en tant que mandataire d’EADS Defence & Security et Bertin Technologies, un marché de 20 millions d’euros portant sur la démonstration d’architecture modulaire d’interception de communications (Aintercom).

Le client : le service des programmes navals de la Direction Générale de l’Armement (DGA), chargée, au sein de la Marine, de la “lutte au-dessus de la surface” et donc, en matière de guerre électronique, des “grandes oreilles” chargées des interceptions radio et radar.

Dans le cadre du contrat Aintercom, Amesys et la DGA ont financé plusieurs travaux de recherche universitaire, et organisé un séminaire, afin d’identifier des moyens d’être mieux à même de déchiffrer les communications interceptées.

Ce même mois de décembre 2006, I2E remporte un autre marché, portant sur un système d’écoute de signaux radar et télécommunication appelé “Ramius”, à destination du Centre d’électronique de l’armement (CELAR).

Renommé DGA Maîtrise de l’information fin 2009, le CELAR est le laboratoire de recherche et développement de la Direction Générale de l’Armement (DGA), spécialiste de la guerre électronique et des systèmes d’information chargé, notamment, de l’évaluation des systèmes de renseignement.

Un appel d’offres initial évoquait “un ensemble d’enregistrement de signaux de type impulsionnel et continu avec une bande de fréquence de 0,1 à 20 GHz“, et un autre appel d’offres, relativement similaire, portant sur un autre système (Proxima), précise que ce type de matériel “sera utilisé à des fins d’expérimentation de récepteur d’Elint (électronique intelligence) et de maquettes de récepteurs Elint“, du nom donné à ces renseignements que l’on obtient à partir des émissions électromagnétiques d’appareillages électroniques (voir la fiche sur le renseignement d’origine électromagnétique sur Wikipedia).

En décembre 2007, la société française emportait un marché de 471 750 euros, portant cette fois sur un “système d’interception de faisceaux hertziens numériques ECOFER“, et porté par la Direction interarmées des réseaux d’infrastructure et des systèmes d’information (DIRISI) au profit de l’état-major des armées.

En décembre 2009, Amesys emportait un autre marché pour le compte du CELAR, portant sur 620 482euros d’outils d’analyse et récepteurs, sous l’intitulé “Projet Marko : Enregistrement de signaux électromagnétiques” qui, d’après cette offre de stage, serait le nom de code donné à un système d’analyse de signaux radar.

Aintercom, Ramius, Proxima, Ecofer, Marko… cette liste n’est probablement pas exhaustive : il faudrait aussi y rajouter les appels d’offres classifiés, portant sur des systèmes probablement plus intrusifs. Pionnière de la guerre électronique, la France est aussi l’une des rares puissances à disposer d’un système global d’espionnage des télécommunications, surnommé Frenchelon en “hommage” à son modèle anglo-saxon Echelon, et dont les stations d’écoute profitent largement de ses anciennes colonies (voir la carte des stations Frenchelon et, plus bas, un diaporama Google Maps).

Bernard Barbier, le “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE), expliquait ainsi en décembre 2010 que s’il avait fallu attendre l’arrivée d’un jeune ingénieur télécom, Henri Serres, en 1983, pour que la DGSE décide de se doter d’une “direction technique“, et que la France avait donc près de 40 ans de retard sur les anglo-saxons, “aujourd’hui, on est en première division“.