Des stages très, très qualifiés, à choisir parmi 153 offres: la DGSE ne s'intéresse pas qu'aux jeux vidéo, mais à tous les domaines de l'espionnage numérique et du hacking.
La Direction générale de la sécurité extérieure (DGSE) ne se contente pas, comme l’a récemment relevé le Monde, reprenant une info dénichée par la lettre spécialisée Intelligence Online, de recruter un stagiaire pour dénicher d’éventuelles failles informatiques contenues dans les jeux vidéos multijoueur à succès comme Fortnite, PUBG, World of Warcraft, League of Legends ou Counter Strike.
Elle cherche encore moins à espionner celles et ceux qui y jouent sans arrière-pensée, mais bel et bien à se donner les moyens propres à débusquer les wanabees terroristes, espionnes ou espions qui, d’aventure, pourraient un jour chercher à s’en servir. Le Bureau des Légendes avait déjà montré des espions de la DGSE communiquant via des messageries de sites lambda, a priori plus furtifs que les messageries sécurisées type Telegram, WhatsApp ou Signal.
Le «Domain Fronting», surfez masqués
Son catalogue de stages techniques, réservés aux titulaires de diplômes supérieurs (de quatre à six années d'études après le bac) dénombre ainsi pas moins de 153 offres de stage, véritable inventaire à la Prévert des (boîtes à) outils dont elle souhaite doter ses ingénieures, ingénieurs et hackers. La comparaison avec le catalogue de l’an passé témoigne par ailleurs de la montée en gamme de sa direction technique (DT).
Les fans de «jamesbonderie» risquent cela dit d'être quelque peu déçus: un seul de ces stages vise explicitement à doter les agents de la DGSE d’un gadget espion, le stagiaire devant «étudier les différentes possibilités pouvant amener à donner l’illusion qu’un smartphone est éteint (arrêt de l’écran, leds, vibrations, haut-parleur, connectivité, etc.)», tout en étant capable d’activer «certaines fonctionnalités et capteurs (réseau, caméra, GPS, etc.) si besoin».
La DGSE est désormais sur YouTube, où elle promeut ses embauches. Notamment ses embauches de stagiaires hautement qualifiés.
Les autres stages sont très (très) techniques –et généralement truffés de termes scientifiques imbitables pour le grand public–, mais ce n'est pas une raison pour s'empêcher de les vulgariser. La DGSE s’intéresse ainsi au Domain Fronting, «une technique permettant de masquer l’identité réelle d’un communiquant, utilisée avec succès par plusieurs applications comme TOR, Signal ou Telegram pour contourner la censure sur internet, ainsi que par certaines familles de malwares [logiciels malveillants]». Pour ce faire, les applications passent par les infrastructures de cloud de Google ou d’Amazon, par exemple, afin de noyer les requêtes qui pourraient potentiellement être censurées dans l’énorme masse du trafic que ces prestataires de mégadonnées génèrent, au point qu’aucun pays ne saurait se permettre de censurer l’intégralité du trafic transitant par Google, Apple, Facebook, Amazon et Microsoft (les GAFAM).
Le DGSE sur le «darknet»
Mieux: la DGSE veut également pouvoir créer des sites web et serveurs de messagerie sur un darknet, ces réseaux superposés à internet et qui sont conçus pour essayer de garantir l’anonymat des internautes comme des développeurs et développeuses. Un stage vise en effet à «concevoir et développer une infrastructure complète permettant de déployer à la volée des services cachés sécurisés» (du nom donné aux serveurs relais anonymisant utilisés par le réseau TOR notamment, le plus connu des darknets), mais également «réaliser l’interconnexion avec les infrastructures internes existantes».
On sait en effet qu’au-delà de sa caricature sensationnaliste consistant à les présenter comme un «internet clandestin» utilisé par des escrocs, pédophiles et dealers ainsi que par leurs clientes et clients, les darknets sont également utilisés par des médias, journalistes et ONG pour communiquer de façon sécurisée avec des lanceurs d’alerte –à ce titre, si vous voulez communiquer de façon sécurisée voire anonyme avec moi, c’est par là. Ces réseaux de l'ombre sont aussi soupçonnés de constituer des canaux clandestins pour les conceptrices et développeurs de logiciels malveillants, de sorte que l’on puisse remonter jusqu’à eux. Or, la DGSE développe et exploite elle aussi, à l’instar de la National Security Agency (NSA) et des principaux autres services de renseignement techniques, ses propres malwares et logiciels espions.
Du fait de leurs succès croissant, la direction technique cherche également à «évaluer et tester la solidité des cryptomonnaies et leur résistance à diverses attaques, qu’elles concernent l’anonymat, le traçage de devises volées, le vol de bitcoins ou de portefeuilles», ainsi qu’à étudier les «faiblesses cryptographiques dans les blockchains» afin, dans un deuxième temps, de «fournir une implémentation de ces attaques». L’intitulé du stage ne précise pas s’il s’agit de se prémunir de ces failles ou, a contrario, d'apprendre à les exploiter. Mais on sait que la DGSE est, depuis des années, passée à ce qu’elle qualifie de «lutte informatique active» (LIA) –un euphémisme désignant les (cyber) opérations «offensives» de la DT.
Et l'IA? L'IA aussi
De nombreux autres stages portent à ce titre sur le développement ou l’amélioration d’outils d’«analyse dynamique de recherche de failles web» (et donc côté serveur), ou bien «facilitant l’exploitation de vulnérabilités dans un navigateur web» (côte client), voire ciblant des applications Android, iOS ou Windows Phone. Un autre propose d'aller encore plus loin, en aval, afin d’identifier les vulnérabilités d’un «bootloader, le premier élément sur lequel démarre un téléphone portable». Il est ainsi expliqué que «compromettre le bootloader casse le premier maillon de la chaîne de démarrage et permet de compromettre en cascade l’ensemble du système», de sorte que même un antivirus ou antimalware ne puisse l’en protéger.
«C'est basique, mais il faut quand même savoir le faire»: cet extrait du Bureau des Légendes, série de Canal+ consacrée à la DGSE, donne (peut-être) une bonne idée de ce qui est attendu des candidats.
À défaut de pouvoir s’attaquer directement aux terminaux, la DT cherche aussi à étudier «la plus-value des méthodes d’apprentissage automatique appliquées à la reconnaissance automatique des échanges chiffrés», et notamment des «traces identifiables et exploitables laissées dans les applications associées pour la protection des données de l’utilisateur» –en particulier dans les «conteneurs chiffrés» servant de coffre-fort électroniques.
«De nombreux exemples existent, précise l’offre de stage, parmi lesquels certains cookies utilisés lors de la navigation sur internet, certains gestionnaires de mots de passe, certaines bases de données employées par le système d'exploitation, etc. Combinées, ces informations permettent d'accéder à des secrets protégés par le système d'exploitation et à tout ou partie de l'historique des actions réalisées par l'utilisateur.» L’internet des objets (IOT) ayant le vent en poupe, un autre stagiaire devra de son côté effectuer un «état de l’art concernant le fonctionnement des systèmes IOT les plus présents en insistant particulièrement sur leur sécurité et les méthodes de chiffrement employées pour les systèmes sécurisant leurs communications».
En matière d’intelligence artificielle, un stage vise par ailleurs à «construire une plateforme d’annotation de données permettant de produire de manière collaborative des données d’entraînement fondées sur des techniques de Machine Learning afin de pouvoir reconnaître un visage, une langue, une thématique, une voix». Un autre cherche encore à développer des «traitements d’analyse d’images (détection de visage et d’objets, alimentation de tags dans les métadonnées...)» et un troisième à étudier les bases de données orientées permettant de «mettre en relation différentes entités et objets (type réseaux sociaux)».
Planquez vos m0ts d3 p4sse
Sans que l’on sache, là non plus, s’il s’agit d’un prototype de LIA («lutte informatique active») ou bien de LID (pour «lutte informatique défensive», le qualificatif militaire appliqué à la cyberdéfense), d’autres stages visent à «recenser les différents outils d’attaque de mots de passe, tel que Hashcat ou JohnTheRipper» (les deux logiciels de cassage de mots de passe les plus connus), mais également à «développer un outil automatique de recouvrement» desdits mots de passe.
À cet effet, un stage cherche à étudier le «recours aux l33ts», du nom donné par une élite de hackers et de geeks des années 1990 au fait de remplacer la lettre e par un 3, le a par un 4, le 5 par un $, etc., depuis surtout utilisés pour complexifier les mots de passe, à mesure qu’ils requièrent le recours à des lettres, chiffres et caractères spéciaux.
L’intérêt de la DGSE pour les mots de passe ne date pas d’hier: en 2010, Bernard Barbier, alors directeur technique de la DGSE, avait ainsi expliqué que «la mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe», ce qui permet d’identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms et sur les réseaux sociaux. «Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.»
En l’espèce, les stagiaires devront vérifier «la robustesse des mots de passe “l33ts” face aux attaques connues» et estimer si «ces mécanismes de remplacement de lettres et de groupes de lettres par des chiffres et caractères spéciaux rendent nos mots de passe plus robustes», «constituer un état de l’art quant à leur utilisation et leur potentiel supposé afin d’identifier les mots de passe faibles», «mesurer la menace qu’ils représentent pour la sécurité des systèmes», «permettre d’extraire facilement les mots de passe aux normes, mais ne résistant pas aux attaques» et «constituer une base de mots de passe conformes aux politiques de sécurité». Ce qui n’est pas forcément gagné, vu le nombre de clichés et approximations véhiculés en la matière et entraînant un faux sentiment de sécurité, au détriment d’une sécurité opérationnelle véritablement efficace.
Six mille abonnés sur LinkedIn
J’avais déjà eu l'occasion de parler de l’opération de séduction lancée par la DGSE en général, et sa DT en particulier, ces dernières années. Cette opération de charme l’a depuis conduit à se créer des profils sur YouTube et LinkedIn, explicitement dédiés au recrutement, et même à distribuer des goodies lors du salon VivaTechnology, vitrine internationale de l’écosystème start-up français.
Dans la dernière vidéo de sa chaîne YouTube, mise en ligne à l’occasion du lancement de sa campagne de stages techniques le mois dernier, la DGSE avançait le chiffre de «70% d’embauche», mais aussi que «c’est la plus grande porte pour y entrer». Signe que ses besoins sont pressants, sur LinkedIn, où elle vient de dépasser les 6000 abonnées et abonnés, la DGSE a déployé rien moins que neuf «chargé(e)s de recrutement», dont huit arborent, accolés à même leurs identité de légende, la formule «la DGSE recrute».
Jean-Marc Manach