« Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme« . C’est Bernard Barbier, le Directeur Technique de la DGSE, qui le dit. Il était l’invité de l’ARCSI à l’occasion de l’excellent colloque de l’association de réservistes.

Comment les grandes oreilles de la DGSE abordent-elles alors Internet et son chiffrement grand public facile, souvent gratuit et surtout très efficace ? Pas bille en tête en tout cas. Car la DGSE a beau être dotée d’une conséquente puissance de calcul à faire pâlir le CEA (« nous nous chauffons grâce à notre super-calculateur« , s’amuse Bernard Barbier), ce n’est pas toujours suffisant. « Je pense qu’avec AES 256 nous sommes arrivés à la fin de l’histoire. Nous ne savons pas le casser par une recherche exhaustive des clés« , avoue le Directeur Technique.

La partie est terminée, alors ? Pas vraiment. Car il y a tout un monde entre la qualité intrinsèque de l’algorithme (très bonne) et celle de ses mises en oeuvre, notamment au sein de produits grand public (très variable). « L’implémentation d’un algorithme de chiffrement est délicate et donc souvent ratée : la génération de l’aléa est mal gérée ou bien il existe des canaux auxiliaires, par exemple » précise Bernard Barbier.

Et même si, par hasard, l’implémentation est du genre solide, la DGSE n’est pas à court de moyens pour autant : « les mots de passe sont le plus souvent stockés et utilisés sur des systèmes d’exploitation qui ne manquent pas de failles eux non plus« , reconnaît le Directeur Technique. L’approche est donc très pragmatique et certainement efficace : la DGSE récupère les mots de passe directement sur les systèmes ciblés, et elle se constitue au passage un stock de tables de hachage de mots de passe certainement bien alimentées (les fameuses tables arc-en-ciel que l’on trouve aussi dans le commerce, d’ailleurs, mais probablement moins copieusement garnies).

On pourrait facilement imaginer la DGSE tel un collecteur de mots de passe particulièrement vorace, essayant frénétiquement des millions de hashes à longueur de journée grâce a un super-calcultateur sous amphétamines.

Mais en réalité les espions n’ont finalement pas franchement besoin de chercher les mots de passe. Voire ils se moquent de savoir ce que contient le message intercepté !

« Aujourd’hui le contenant est devenu plus important que le contenu. Il y a de plus en plus d’information dans les méta-données des messages, notamment avec le protocole TCP/IP« , explique Bernard Barbier. Ce que raconte la cible est finalement moins important que de savoir à qui elle le raconte. « Nous stockons des années de méta-données : adresses IP, numéros de téléphones, qui appelle qui, à quelles heures… Et puis nous corrélons« , révèle le Directeur Technique. La DGSE est ainsi finalement un expert du data mining. Et avec à sa disposition le second calculateur le plus puissant d’Europe les perspectives de corrélation sont probablement sans limite.

D’autant plus que l’interception de ces méta-données est facilitée par la forte capillarité des réseaux : « le routage des communications est totalement mondialisé. Les fibres entre New-York et Miami sont par exemple tellement saturées qu’il revient moins cher à certains opérateurs américains de faire transiter leur trafic entre ces deux villes par l’Europe !« , observe Bernard Barbier.

Ce travail de corrélation permanent ne concerne toutefois pas que les méta-données des messages IP ou téléphoniques. Vous vous souvenez de ces mots de passe capturés, qui finissent dans une table arc-en-ciel dans l’espoir de retomber un jour sur le même hachage ? Et bien la DGSE leur a trouvé une autre utilité : elle les corrèle aussi afin de rapprocher des identités a priori différentes. « Quelqu’un qui aurait une double vie aura souvent des mots de passe construits selon le même modèle dans chacune de ses deux vies. Nous faisons tous ça, car la mémoire humaine n’est pas infinie !« , explique Bernard Barbier. Mais si la technique est bien pratique, elle donne aussi l’opportunité à la DGSE de rapprocher deux identités qui, parce qu’elles partagent la même manière de créer leurs mots de passe, peuvent peut-être être la même personne. De quoi faire rêver tous les responsables e-marketing de la planète !

Le renseignement technique a ainsi pris une importance considérable ces dernières années, jusqu’à représenter désormais 80 à 90% de l’activité des services d’après Bernard Barbier, et la France aurait dans le domaine rattrapé son retard au point de « jouer en première division« . Certes, en tant que Directeur Technique, l’homme prêche pour sa paroisse, et il serait un peu rapide de balayer le renseignement opérationnel ou humain. Mais effectivement, comme il l’explique, « il est impossible de se promener dans certaines zones tribales du Pakistan ou d’infiltrer certaines cellules« . Le renseignement technique devient donc central et de ce fait les progrès réalisés en matière de calcul et surtout de corrélation sont probablement significatifs : « notre limitation aujourd’hui c’est la puissance électrique« , observe sans rire Bernard Barbier.

Ceux parmi vous qui tentent de vendre à leur Direction de coûteux projets de SIEM et de corrélation apprécieront : la pratique a de l’avenir !