1885 1878 27 5046

En août 2012, des plans de masse de l'Elysée, du ministère de l'intérieur, de la préfecture de police de Paris et de 9000 bâtiments publics et privés étaient dérobés dans une voiture, gare de Lyon. Les documents étaient stockés sur une clef USB et des disques durs non chiffrés placés dans la sacoche d'un entrepreneur impliqué dans le déploiement du plan de vidéosurveillance de Paris. L'affaire avait alors fait grand bruit, et entraîné l'ouverture d'une instruction judiciaire.

Le Canard Enchaîné révèle aujourd'hui qu'au même moment, et depuis des mois, tout un chacun pouvait télécharger, sur le site web de la Plate-forme des Achats de l'Etat, plusieurs plans détaillés de l'un des bâtiments de la caserne des Tourelles, boulevard Mortier, siège de la DGSE, et notamment de son système "anti-intrusion". Sur certains d'entre eux, on pouvait même trouver la localisation exacte des digicodes, contacts magnétiques, détecteurs "bi volumetrique" de mouvement et détecteurs à infra-rouge.

On y trouvait également un "plan de cheminement des réseaux" de télécommunications et du système anti-intrusion, de chauffage, de climatisation et d'eau, le câblage VDI (pour voix, données, images) du réseau de communication (téléphone, TV et Internet) utilisées par les "grandes oreilles" de la "grande muette".

Dans le cadre d'un appel d'offres portant sur l'assemblage et montage de structures préfabriquées destinées à abriter, dans le bâtiment M11 de la caserne Mortier, des bureaux, des photocopieuses et une déchiqueteuse, la DGSE avait en effet mis en ligne le cahier des charges détaillé des travaux à effectuer, et les plans associés, allant jusqu'à y préciser que, "dans le cadre de l’harmonisation des matériels installés et d’un souci de maintenance plus facile, les marques des produits seront demandées".

On apprenait ainsi que "le raccordement des contacts de chaque porte d'accès se fera par l’intermédiaire d’une boîte auto protégée (...) de marque BECUVE et de type IM1640 PAG ou équivalente", que le contact magnétique d’ouverture des portes standard "sera de marque BECUVE et de type IM9700 ou équivalente", que les détecteurs infra rouge linéaire seront "de marque ARITEC modèle EV475AM ou équivalente" ou, s'ils sont à "bi-technologie linéaire, à miroirs et hyperfréquences, avec fonction d’anti masquage, de la marque ARITECH modèle DD478AMC-F"...

Le portable Windows "anti-intrusion"

Un autre marché public, émanant lui aussi de la DGSE et portant sur l'"Acquisition de matériels anti – intrusion et quincaillerie associée", dresse quant à lui la liste de près de 250 composants utilisés pour "maintenir en état opérationnel les installations dédiées à la surveillance sur les sites de l’administration".

Dans cet inventaire à la Prévert, on trouve tout aussi bien des caméras dômes "anti vandale" (modèles Panasonic WV-CW500S/G, WV-CW504SE & WV-CW504SE) qu'une Centrale d'alarme GD-520 d'Honeywell, et même un ordinateur portable de 17" sous Windows 7 "doté d'un lecteur/graveur CD/DVD", un disque dur et une clef USB "ccompatible windows" (sic)... dont on se demande bien s'ils relèvent des "matériels anti-intrusion", ou bien de sa "quincaillerie associée" (nonobstant le caractère quelque peu incongru d'opter pour un portable Windows afin de gérer un dispositif "anti-intrusion" de la DGSE).

Alertée par Zone d'intérêt, un blogueur spécialisé dans le renseignement, qui avait déjà écrit sur les contrats passés par les services de renseignement, et qui s'étonnait de découvrir que toutes ces informations étaient téléchargeables par tout un chacun, la DCRI n'a pas particulièrement moufté, et les informations sont restées en ligne. En 2013, ledit blogueur parvenait enfin à alerter un responsable de la DGSE... sans réponse.

Depuis, sur son compte Twitter, @zonedinteret s'amuse à publier des photos satellites non floutées des sites de la DGSE qui ont été floutés sur Google Map ou Bing :

Transparence et sécurité

Le premier marché ayant été attribué, en juillet 2011 (à SFC, une entreprise spécialisée dans la "construction modulaire de bâtiments publics, d'écoles, de bureaux, de bibliothèques, d'hôpitaux, de dortoirs et de salles de spectacle à Pontault-Combault"), les plans détaillés de la caserne Mortier ne sont plus disponibles.

L'inventaire à la Prévert, n'ayant pas encore été attribué, est quant à lui toujours consultable. La DGSE, qu'on a connu plus parano, n'aurait-elle donc "rien à cacher" en la matière ?

Le principe de Kerckhoffs, bien connu des experts en chiffrement, postule de fait que la sécurité d'un système ne doit reposer que sur le secret de la clef, partant du principe que l'adversaire connaît (ou peut connaître) le système, et que tous les autres paramètres doivent donc être supposés publiquement connus.

A contrario, la sécurité par l'obscurité, qui repose sur la non-divulgation des informations, ne permet pas d'évaluer la sécurité d'un système. Ce pour quoi l'on conseille généralement d'utiliser des logiciels libres, dont le code source est ouvert, aux logiciels propriétaires et privateurs, qui empêchent de vérifier la présence de bugs, voire de portes dérobées.

La DGSE ne verra donc probablement aucun inconvénient à ce que je remette en ligne une capture d'écran de son "plan de cheminement des réseaux" :

Mise à jour, 23/08 : comme indiqué par 1RT, en commentaire, le plan correspond à la caserne Mortier, pas à la caserne des Tourelles (située de l'autre côté du boulevard Mortier), "qui a vu défiler des générations de bidasses avant d’être récupérée par la DGSE à l’étroit dans ses murs".

jean.marc.manach (sur Facebook & Google+) @manhack (sur Twitter) Et pour me contacter, de façon anonyme & sécurisée (#oupas /-), c'est par là.