Espionnage : salons & expositions

par Desmaretz Gérard
jeudi 14 novembre 2024

« En 2022 et en 2023, une cinquantaine d'entreprises a subi, en plus d'offensives cyber, des intrusions, cambriolages, tentatives d’approches. (...) Il s'agit d'opérations beaucoup plus structurées et documentées de gens qui, au gré d’une visite, au gré d’un cambriolage qui paraît quelconque tentent une intrusion. (...) Il nous est clairement apparu que ça n’avait rien de domestique, que c’était bel et bien commandité par un acteur étranger . (...) Ces attaques ont très majoritairement visé leurs sous-traitants. (...) Quand on donne une habilitation 'secret défense', il faut que ces entreprises prennent les dispositions qu'il convient à cette habilitation ». Sébastien Lecornu aux sénateurs de la commission d'enquête sur les ingérences étrangères le 25 Juin 2024.

Plus d'une centaine de salons professionnels se déroulent chaque année en France, chaque exposant a pour objectif d'y : trouver des prospects, faire reconnaître son savoir-faire, conclure des contrats, soutenir les emplois, rayonner à l'international, fidéliser une clientèle, promouvoir sa marque, se démarquer de la concurrence, etc. A côté des délégations étrangères officielles arpentant les salons, il y en a d'officieuses, ainsi qu'une topologie bigarrée : concurrents – partenaires – fournisseurs – presse – visiteurs - services techniques et d'entretien - vigiles - professionnels - amateurs - curieux - opportunistes - journalistes - « thésards » en recherche de stage, etc. Revers de la médaille : espionnage « industriel » - vol de données - contrefaçon - compromission du secret des affaires - usurpation d'identité, d'identifiant - « pot de miel » - débauchage, etc., ce qui a pour effet d'impacter la R&D, les investissements, les emplois et la perte d'image. Certaines entreprises taisent d'avoir été la victime.

Si la plupart des visiteurs indélicats se contentent de prendre des photographies, d'emporter de la documentation, de faire parler les employés d'autres sont plus audacieux. Eurosatory 2006, un visiteur a prélevé un échantillon sur un pneu d'un véhicule dédié au déminage ! Il ignorait probablement que le matériel sensible relevant de la DGA est modifié avant d'être exposé. Les pneus classés secret-défense avaient été remplacés. Milipol 2010, un Chinois s'était baladé dans les allées du salon avec un IMSI (International mobile subscriber identity catchers), un appareil qui permet d'« aspirer » le contenu des Smartphones. Ce matériel destiné à être exposé se doit de faire l'objet d'une déclaration, ce qui n'était pas le cas. L'appareil a été saisi par les douanes au prétexte d'importation illégale... La leçon n'a manifestement pas été retenue.

Lors de certains Salons sensibles se déroulant sur un site sensible, les noms des employés et des visiteurs sont transmis à la DRSP pour vérifications et délivrance du badge. Les matériels exposés sont placés dans un environnement contrôlé par des vigiles et surveillés des agents de l'Etat, DRSP, DGSI, DGA, ASI, etc. Les exposants n'ont aucun contrôle sur le recrutement des personnels chargés de l'installation, l'entretien, le nettoyage, la sécurité privée, les intervenants extérieurs. Les entrées sont filtrées par des agents de sécurité et portiers électroniques, mais les issues de secours... Ajoutez que la plupart des salons sont « désertés » pendant plus de 50 % du temps (repas, fermeture). Les pertes dolosives se produisent pendant la période d'installation et celle de désinstallation. La direction du salon ne répond pas des pertes ou des vols, il est de la responsabilité des exposants d’assurer toutes les marchandises qui y sont présentées aussi bien en ce qui concerne leur transport et leur manipulation.

La solidité d’une chaîne de sécurité est égale à celle de son maillon le plus faible, maillon qu’un intrus avertis saura repérer. La sécurité d’une « halle » n’est pas le problème numéro un des architectes, sauf pour ceux qui œuvrent dans les maisons d'arrêt. Les plans, projets d'installations, devront être dans un coffre et les documents devenus inutiles (plans, dessin, avant projet) seront détruits par déchiquetage. La technologie, seule, ne peut stopper une pénétration clandestine. Son rôle est de détecter une présence dans une zone sous surveillance, d'alerter, voire diffuser un nuage fumigène. Certes, il existe les protections physiques (barreaudage) et mécaniques (serrures et mécanismes de blocage) mais ces dernières sont contraignantes à gérer individuellement. Il faut verrouiller chaque : porte, fenêtre, soupirail, vasistas, volet, baies vitrée, etc. Même parfaitement barricadé l'intrus pourra soudoyer un membre du personnel ou s'introduire dans les lieux pendant les heures d'ouvertures et s'y laisser enfermer avant d'accomplir sa tâche. Les compteurs totalisant les entrées et les sorties ne sauraient suffire.

Eurosatory 2016, deux fusils de sniper qui avaient disparu dans la nuit du 17 au 18 juin alors que le salon était en cours de démontage, ont été retrouvés dans des « gaines techniques, situées entre les halles d’exposition et l’extérieur ». Le voleur a été interpellé lors de la récupération de son larcin. Il s'agissait d'un ressortissant Russe « sans domicile fixe », âgé d’une cinquantaine d’années. « Nous ne savons pas encore s’il est auteur du vol initial ou s’il a seulement été mandaté pour récupérer les armes », Comment a-t-il pu se faire délivrer un badge d'accès à moins qu'il ne s'agisse d'un faux... Le même individu s’était fait surprendre dans des circonstances similaires lors de l’édition 2014 d’Eurosatory. Les armes volées ayant été retirées de leur cachette par les policiers, le délit n’avait pu être constaté et l'individu laissé libre de circuler sur le territoire à sa guise...

Les méthodes utilisées sont souvent déterminées par la disposition du stand, des sorties, zones laissées sans surveillance, routines du personnel ou de l’organisation. La marchandise peut être emportée immédiatement ou dissimulée momentanément en attentant d'être récupérée plus tard avec ou sans l’éventuelle collusion d’un(e) employé(e), collègue ou remise à un tiers (échange furtif), voire par un drone ! Le matériel « sensible » exposé se doit à être protégé (vitrine fermant à clef, tag, puce RFID, marquage) - la réception de matériel sur le stand doit être contrôlée, vérifiée, et le bordereau signé par un(e) collègue. Lors de l'installation et du démontage du stand, s’assurer que toutes les marchandises sont accompagnées par un représentant de l'entreprise. L’idéal étant qu’une personne reste avec la marchandise tant quelle n’a pas quitté le salon, ou placée dans la zone de stockage de sécurité contrôlée et surveillée. Il faut fermer le stand plutôt que de laisser seul un collaborateur. Un collègue volubile laissé seul pendant le déjeuner est une cible parfaite.

« Un spécialiste du domaine des drones navals a été invité par une fondation russe à un événement dans un restaurant luxueux de Paris. (...) Craignant pour ses effets professionnels, il décide de ranger son ordinateur, son téléphone portable et son badge professionnel dans le coffre de la chambre d’hôtel. Le lendemain matin, se préparant à se rendre au salon, il rouvre le coffre de sa chambre d’hôtel et constate la disparition de son ordinateur et de son téléphone professionnel, ainsi que de son badge lui permettant d’accéder au site industriel de son employeur ».

Il est important de définir les rôles de chacun des collaborateurs. Qui sera chargé de tenir le stand (jamais occuper le même créneau journalier ou horaire) ? mise en garde contre les faux débauchages et offres alléchantes. Qui sera délégué à la recherche d'informations sur les stands des concurrents (reporting). Tout événement non ordinaire doit être consigné (rapport d'étonnement). Certains concurrents n'hésitent pas à envoyer des personnes pour occuper vos commerciaux sur votre stand. Les vrais clients, lassés d'attendre ou du manque d'attention vont sur le stand de votre concurrent.

Les moyens et procédures pouvant et devant être mis en place in situ ne manque pas : éviter les zones aveugles ou trop encombrées - disposer d’un éclairage suffisant - placer des miroirs et caméras de surveillance bien visibles et d'autres discrètes (pin-holes - ne pas placer de pancarte à hauteur d’homme - accès au stand portier sonore - éviter le désordre et les poubelles qui traînent - sélectionner les personnels pour tenir le stand - attention au nombre de clés en circulation (changer le cylindre et code à chaque exposition) - briefer les collaborateurs - étudier la disposition des stands alentours - se regrouper par pavillons - inventaires surprises - interdire l’emprunt d’objet même pour quelques minutes - espace stand et réception clients séparés - ne jamais laisser le stand sans surveillance - tout l'espace du stand doit rester net pour prévenir toute dissimulation - interdire aux collaborateurs de garder un sac en entrepôt - les containers vides seront scellés comme les pleins - le matériel peut recevoir un marquage invisible - toujours deux collaborateurs sur le stand - ne jamais accepter de « cadeau » (cheval de Troie) à moins que ce soit pour les remettre au service de sécurité en vue de leur analyse...

Que penser d'un collaborateur qui accepte une clef USB et l'introduit dans le réseau ! La DRSD recommande d’utiliser un matériel dédié « ordinateur de salon » disposant de droits restreints, doté d’un VPN privilégiant la connexion Internet par le réseau de l’opérateur, de l’entreprise, de télécharger les applications et les mises à jour uniquement sur des plateformes officielles et sécurisées, note destinée aux exposants Euronaval novembre 2024. Une faille de sécurité qui permettait de suivre les utilisateurs de l'application sportive Strava découverte par un Australien en janvier 2018, a permis de découvrir et localiser plusieurs centaines agents de renseignement et militaires. La faille n'a été corrigée qu'en juillet 2022.

Euronaval 2022, l’ordinateur d’un dirigeant d’une entreprise spécialisée dans les soudures navales a été piraté à partir du réseau Wi-Fi de l’hôtel. « À son arrivée, le réceptionniste lui a attribué la carte d’accès à sa chambre et le code Wi-Fi sécurisé par une clé WPA2-PSK changée tous les mois. Le dirigeant a utilisé son ordinateur professionnel pour consulter la presse en se connectant au réseau Wi-Fi de l’hôtel. Peu après sa consultation d’articles de presse, son ordinateur a été victime d’une cyberattaque ».

Un objet connecté a la capacité de se connecter à un réseau : NFC - RFID - Bluetooth - VLAN - WIFI - IoT (4 & 5G) - Wi-Fi - Lifi - CPL pour transmettre, recevoir, stocker, servir de relai à un autre objet connecté ou serveur. Vous n'avez pas à faire à des béotiens même si certains s'en donne l'air. Ils testent les mesures de sécurité, les issues de secours, bloquent le pêne de serrures, simulent un faux malaise, mettent à profit la confusion créée par un incident pour accomplir leur méfait, jusqu'à consulter les prévisions météorologiques ! Les mesures de sécurité ne commencent pas à l'entrée du Salon mais dès le départ du siège de l'entreprise, pendant les déplacements, séjours à l'hôtel, passages au restaurant, consultation de l'ordinateur dans un lieu public, transport en commun, stationnement sur le parking, « tags » (Bluetooth ou Internet) dissimulés qui permettent le suivi de la marchandise ou d'une personne.

Il est difficile, voire impossible de connaître la réalité des pertes liées à la pénétration de nos entreprises. La société victime préfère se faire très discrète craignant de voir ses actions chuter, de faire des émules, révéler état d'avancement de ses travaux ou recherches en cours. On peut estimer cependant cets pertes à plusieurs dizaines de milliards de dollars par an ! Une correction, une précision, une remarque, un retour d'expérience ?

°°°°°°°°°°°°°°°°°°°°°°°°°°°°


Lire l'article complet, et les commentaires