Analyse

Les risques d’espionnage pour les voyageurs : une menace pour la sécurité de la mission

Le 17 juin 2020 par Benjamin ROMAN

Selon une étude menée par la société Traveldoo, le marché des voyages d’affaires atteignait 28,9 milliards d’euros en France en 2018. Ce chiffre montre la volonté des entreprises de se développer à l’international et de pénétrer de nouveaux marchés. Fort de ce constat et face à la multiplication des risques sécuritaires, il convient de s'intéresser aux risques liés au renseignement que cela comporte.

Entreprises et métiers, des secteurs plus ou moins ciblés

La nature stratégique des entreprises influe sur leurs vulnérabilités quant aux risques de renseignement. La précédente loi de programmation militaire élevait à plus de 200 le nombre d’Opérateurs d’Importance Vitale (OIV). Dans un contexte d’hyper compétition, ces entreprises subissent des manœuvres d’intelligence économique pour capter des marchés ou pour intercepter des informations stratégiques. Pour autant, les secteurs qui apparaissent à priori moins stratégiques peuvent présenter un intérêt particulier aux yeux des services étatiques ou de la concurrence. Outre le secteur d’activité, facteur prépondérant dans le choix des entreprises ciblées, les risques encourus dépendront en grande partie du profil des collaborateurs ciblés.

 

En déplacement, les ingénieurs peuvent voyager et être porteurs de secrets de fabrication. Les commerciaux sont également en possession de documents à hautes valeurs ajoutés, tels que les contrats par exemple. Ces éléments peuvent relever du Patrimoine Scientifique de la Nation ; où la captation du savoir-faire pourrait porter atteinte aux intérêts souverains de la Nation. Dès lors, pour contrôler les risques de vol de données et garantir la sécurité de la mission, il convient de prendre des mesures afin de garantir la sécurité de l’information (Disponibilité, Intégrité, Confidentialité).

 

Après avoir analysé les risques inhérents à son secteur d’activité et au profil de ses collaborateurs, il convient de surveiller l’actualité en la matière. En parallèle, il peut être intéressant de se rapprocher des services de renseignements pour appréhender plus en profondeur le niveau de la menace.

 

Dispositif technique et mode opératoire utilisés à des fins de renseignement

A l’ère de la mondialisation où l’on observe une hypercompétitivité du marché, tous les moyens sont bons pour acquérir des informations critiques permettant l’obtention d’un contrat, d’avoir un temps d’avance sur ses concurrents ou encore économiser des moyens financiers en matière de recherche et développement. C’est pourquoi, les entreprises et les services de renseignement recourent à un croisement de plusieurs techniques (OSINT, HUMINT...) pour acquérir de l’information stratégique.

 

Le renseignement en source ouverte(OSINT) est un moyen simple et efficace d’acquérir de l’information. La recherche par opérateur booléen permet de cibler la requête et de se constituer un sourcing pertinent. Les plateformes comme Twitter et LinkedIn regorgent d’informations qu’il est aisé de collecter. Le site web Pipl est une source de données importantes lorsque l’on s’intéresse à des personnes physiques. L’OSINT présente l’avantage de permettre l’accès à bon nombres d’informations pertinentes à un faible coût.

 

Le renseignement humain (HUMINT) permet de collecter des informations auprès de sources humaines. Les leviers utilisés tels que l’argent, l’idéologie, la coercition, l’égo (popularisé par l’acronyme MICE -Money, Ideology, Coercion and Ego) mais aussi le sexe sont multiples et dépendront du profil du collaborateur ciblé.

Dans le cadre des voyages professionnels, les modes opératoires différent un peu. Une entreprise peut recourir à un consultant externe pour l’assister dans sa mission. Sans enquête préalable, le recrutement d’un consultant peut constituer un risque, notamment si ce dernier travaille sur des domaines technico-stratégiques.

En déplacement, le collaborateur peut se voir proposer des entretiens rémunérés. Sans formation et sensibilisation en amont, ces derniers peuvent être un véritable vecteur de captation de l’information.

Par ailleurs, certains pays comme les États-Unis ou la Chine (loi sur la cybersécurité du 1er juin 2017) disposent de lois permettant de consulter les informations contenues dans les appareils informatiques. Sans formation et sensibilisation, le collaborateur n’adoptera pas les bons réflexes, laissant les services étrangers accéder au contenu de la machine.

 

Le renseignement technique est un moyen de collecter du renseignement grâce à des outils spécifiques. Un IMSI Catcher peut par exemple intercepter des communications téléphoniques. Un hotel master kit permet d’ouvrir la chambre d’hôtel pour y installer un dispositif de surveillance (audio/vidéo) et d’ouvrir le coffre-fort de la chambre par exemple. Un keylogger permet d’enregistrer le travail d’un collaborateur sur sa machine. Même si l’utilisation de ces dispositifs est réservée aux services spécialisés, il est possible d’imaginer que dans un contexte de guerre économique, certaines entreprises étrangères recourent à ces modes opératoires pour asseoir leur compétitivité.

Certains pays proposent une application aux voyageurs leur permettant de passer les contrôles de sécurité plus rapidement. Il faut rester néanmoins vigilant. L’application, une fois le passeport scanné, accède à de nombreuses fonctionnalités du smartphone (micro, caméra, vibreur...). Ces accès peuvent être utilisés à des fins de renseignement pour saboter un appel d’offre par exemple.

Il faut également faire preuve de vigilance dans le choix de l’hôtel. Ces établissements sont particulièrement visés en raison des données clients qu’ils hébergent.

 

Des groupes criminels comme APT28 ou Fallout Team (Dark hotel) ciblent spécifiquement les hôtels et les voyageurs. Fin mars 2020, le groupe Mariott a annoncé une perte de plus de 5 millions de données clients. Les données suivantes ont notamment été compromises :

  • coordonnées clients (noms, adresse mail...) ;
  • détails personnels (société...) ;
  • compagnies aériennes utilisées ;
  • préférences des séjours, des chambres...

 

Les entreprises peuvent s’acculturer de ces menaces cyber en suivant les alertes publiées par le CERT de l’ANSSI. Cela permet de se tenir au courant des dernières campagnes et malwares présents sur le marché.

 

Analyse des risques d’espionnage pour les voyageurs d’affaire

Après avoir analysé la vulnérabilité des entreprises et les modes opératoires utilisés à des fins de renseignement, nous allons nous intéresser aux risques spécifiques aux déplacements par la construction d’un scénario de menaces.

 

Un collaborateur d’une PME doit se rendre en Asie dans le cadre d’un important appel d’offre dans le secteur des nouvelles technologies. La durée du déplacement est d’un mois. Avant le voyage, le collaborateur est succinctement sensibilisé sur les risques liés au déplacement, mais il ne reçoit pas de consignes de sécurité spécifiques. Il renseigne les informations demandées pour l’obtention de son visa. Parmi celles-ci figurent la durée du séjour, le nom de l’entreprise, l’objet du voyage, le nom de l’hôtel et la compagnie aérienne utilisée.

Les services de renseignement locaux sont alertés en raison de l’objet du voyage et du secteur d’activité de l’entreprise. Une première recherche en OSINT est réalisée. Le profil LinkedIn du collaborateur est analysé. Les enjeux de son poste sont déterminés et une première cartographie de ses contacts est effectuée.

 

Le collaborateur arrive à l’aéroport de destination. Ses bagages ont été fouillés et il lui est demandé par la police d’allumer ses appareils informatiques. Comme il n’a pas été sensibilisé aux risques, le collaborateur n’assiste pas à la procédure. Les services installent alors divers malwares sur la machine. Une fois la procédure terminée, le collaborateur récupère ses affaires.

Avant qu’il n’arrive à son hôtel, sa chambre a été inspectée. Le WIFI et les prises de courants ont été piratés de sorte à compromettre la sécurité de son système d’informations (exemple de « juice-jacking » pour les accès USB sur les téléviseurs). Un système de surveillance audio et vidéo a également été installé.

 

Un dispositif de filature est déployé par les services locaux. Le secteur a été au préalable quadrillé pour anticiper les risques. Plusieurs véhicules et agents de renseignement se déplaçant à pieds se relayent pour pouvoir suivre le collaborateur. La filature a permis d’identifier des contacts et des lieux de rendez-vous absents de son agenda électronique. Les services ont par la suite monté une opération de renseignement, en créant des faux entretiens. Ces derniers avaient pour objectif d’attirer et de manipuler le collaborateur pour qu’il puisse divulguer des informations sur la stratégie employée dans le cadre de l’appel d’offre.

 

La mise sur écoute des contacts et la surveillance du collaborateur ont permis d’acquérir l’ensemble des informations de l’appel d’offre mais également sur le mode fonctionnement de l’entreprise. Les renseignements obtenus ont été communiqués à une entreprise asiatique, qui grâce à ces derniers, a remporté l’appel d’offre.

L’entreprise a donc perdu le contrat mais également une quantité significative d’informations sur son fonctionnement. Le concurrent asiatique aura donc un avantage certain lors d’un prochain appel d’offre.

 

Quelques conseils pour se prémunir des risques de renseignement

Les risques présentés ci-dessus montrent à quel point les informations stratégiques peuvent être vulnérables. Afin d’asseoir sa compétitivité, il est nécessaire pour l’entreprise de préparer ses voyageurs d’affaire aux risques de renseignement. Cela peut se traduire par l’explication des différents modes opératoires utilisés et de leur donner des mesures pratiques et techniques de prévention et de protection.

Pour plus de précision, l’ANSSI délivre des recommandations spécifiques pour les voyageurs d’affaires en matière de cybersécurité. Le CDSE propose également des recommandations de sécurité pour les voyageurs professionnels.

 

Avant le voyage :

  • Etre formé et sensibilisé sur les risques et sur les procédures à suivre en cas de crise ;
  • Préparer un ordinateur vierge ou tout du moins contenant uniquement les informations nécessaires à la mission ;
  • Chiffrer les moyens de communications et les supports. La solution ZED est qualifiée par l’ANSSI ;
  • Utiliser un VPN ;
  • S’équiper de filtre de confidentialité, clé USB, disque dur... ;
  • Vérifier que ses équipements informatiques sont bien à jour ;
  • Ne pas montrer de signe d’appartenance à son organisation.

 

Pendant la mission :

  • S’annoncer à l’ambassade locale ;
  • Changer d’itinéraire régulièrement pour éviter d’attirer l’attention ; éviter les rencontres fortuites ;
  • Maitriser l’information à diffuser dans un salon, une conférence. Se méfier des potentiels clients ; désactiver les fonctions WIFI et Bluetooth ;
  • Faire attention à ne pas divulguer d’informations sensibles lors des conversations en lieux publics ou dans la chambre d’hôtel ;
  • Supprimer régulièrement l’historique, les cookies, la mémoire cache et l’historique de navigation ;
  • Les coffres forts ne constituent pas un endroit sûr pour stocker des informations sensibles ;
  • Ne pas recharger ses appareils informatiques portatifs sur des bornes libres services ;
  • Garder en permanence avec soi ses ordinateurs, tablettes, téléphones portables ...

 

Après le déplacement :

  • Changer tous les mots de passe ;
  • Ne pas connecter ses appareils au réseau de l’entreprise ;
  • Ne pas connecter les supports amovibles utilisés sur son ordinateur de bureau ;
  • Faire effectuer un test de sécurité par sa DSI ;
  • Rédiger un rapport d’étonnement sur les faits inhabituels.

 

Comme le disait Alain Juillet, ancien directeur du renseignement de la Direction Générale de la Sécurité Extérieure, « Si les entreprises françaises veulent réussir à l’international sans connaître de crises majeures, il devient urgent que les dirigeants d’entreprise, quel que soit la taille de la structure de leur organisation, disposent d’une politique de gestion des risques à la hauteur des défis internationaux actuels. »

 

Benjamin ROMAN