Ecole de Guerre Economique : le campus au coeur de Paris
La protection de l'entreprise est un enjeu stratégique. Fondée en 1997, l'école de Guerre économique (EGE) c'est plusieurs années d'expertise des menaces immatérielles et informationnelles auxquelles sont confrontées les organisations, l'approche de l'école de guerre économique du management de la cybersécurité répond aux besoins de la transformation numérique de l'économie.
Ce campus au cœur de Paris dans le 7ème arrondissement de Paris propose d'étudier l'intelligence économique, la cybersécurité et l'intelligence juridique. L'EGE répond aux besoins de plusieurs domaines, la stratégie d’influence, la diplomatie économique, l’analyse de marché et la protection des données et gestion de crise. Le corps professoral de l'école de Guerre est composé de professionnels reconnus dans leurs disciplines.
Cartographie des métiers de l'intelligence économique.
Les formations certifiantes de l'école de guerre économique ; Risques et Sûreté, Executive Online Intelligence Economique, De la carte heuristique à la prise de décision, Data science et transformation digitale, Protection des données et gestion de crise, Acquisition des données de sources humaines (HUMINT) et internet (OSINT), Stratégie d'influence et diplomatie économique, Analyse de marché et intelligence économique et Collecte d'informations, veille et due diligence.
En tant que partenaire nous intervenons auprès des élèves de l'école de guerre économique et de professionnels pour présenter notre métier, la contre-mesures de surveillance technique et sensibiliser les professionnels.
Cyber : L'attaque de l'homme du milieu
Une attaque dite "Man-in-the-Middle", littéralement en français « l'homme du milieu », consiste pour l'attaquant d'intercepter et usurper des messages entre deux parties qui pensent communiquer entre elles.
Une méthode courante est l'empoisonnement du protocole d'adresse (ARP), généralement sur un réseau sans fil. Lorsqu'il se trouve sur le réseau, le pirate envoie un message au terminal d'un utilisateur ciblé pour lui demander d'utiliser l'appareil de l'attaquant comme passerelle.
Le pirate envoie un message d'empoisonnement ARP à la passerelle par défaut indiquant que l'adresse IP de l'utilisateur ciblé doit être associée a l'ordinateur de l'attaquant plutôt qu'à celui de l'utilisateur ciblé. Le terminal de l'attaquant se trouve au “milieu” de la communication entre l'utilisateur ciblé et la passerelle (routeur dans la plus part du temps), ce qui permet au pirate d'intercepter l'ensemble des données. Les principales catégories d'attaques MitM sont les suivantes ; le détournement d'e-mails, le détournement de session, l'usurpation d'adresse IP, l'usurpation de DNS et interception des paquets de communications Wi-Fi. Ainsi vos emails, mots de passe, appels par VOIP, navigations web sont interceptés.
Nous analysons et recherchons pour vous les failles de vos systèmes.
Pièges : Les câbles USB peuvent cacher une menace de charge utile
Il existe des câbles USB qui peuvent être contrôlés à distance via sans fil/bluetooth pour injecter une charge utile avec une ligne de commande/des frappes sur un ordinateur. L'ordinateur peut être contrôlé à distance, accéder aux réseaux, aux fichiers, aux paramètres de contrôle, aux autorisations ou à une information critique. Il pourrait également être utilisé pour injecter un virus.
Lorsqu'il est en veille, le piège est un câble USB ordinaire, capable de transférer des données et de charger des appareils. De l'extérieur, il n'y a aucune raison de soupçonner qu'il s'agit d'autre chose qu'un câble USB standard. Mais un PCB Bluetooth est magistralement dissimulé à l'intérieur du boîtier.
Lorsqu'il reçoit une commande d'un smartphone avec l'application du fabricant ou de la télécommande Bluetooth personnalisée, il passe d'un contrôleur passif à un contrôleur actif, émulant une souris et/ou un clavier USB pour fournir la charge utile à l'hôte. La norme de programmation open source, Arduino IDE, offre une capacité de développement de charge utile entièrement personnalisable. LE piège USB fournira des exemples de charge utile qui injectent des frappes au clavier et se déplacent et cliquent sur la souris.
La programmation est possible via une interface Web ou une application pour smartphone. L'appareil est 'Déployé' lorsqu'il est connecté à la machine cible. Il fonctionnera comme un câble USB standard, permettant le transfert de données et le transfert d'alimentation. Il est capable de rester dans cet état indéfiniment jusqu'à ce qu'il soit déclenché. L'appareil se déclenche sans fil via Wifi. Il peut être déclenché par smartphone, ou par télécommande dédiée.
Nous pouvons détecter ce genre de dispositif malveillant.
Pièges : Qu'est-ce qu'un bug GSM ?
Les pièges GSM peuvent être dissimulés dans des produits de consommation courants, des appareils électroménagers, des accessoires électroniques, des lampes, des cables, des multiprises, des chargeurs, de préférence des articles ayant accès à une alimentation illimitée, mais peuvent également être alimentés par une batterie.
GSM signifie (Global System for Mobile communication) un réseau cellulaire numérique standard utilisé en Europe et dans une grande partie du monde. Les téléphones GSM utilisent des cartes SIM amovibles (Subscriber Identity Module) contenant les configurations d'accès au réseau. Un bug / piège GSM est un dispositif d'écoute sans fil équipé d'une carte SIM utilisant le réseau GSM, accessible et contrôlable de n'importe où par un appel téléphonique.
La plupart des pièges / bug GSM ont des paramètres qui peuvent être modifiés à distance en envoyant un simple SMS : activation vocale, niveau de sensibilité du microphone, fonction anti-détection, etc. Ils peuvent souvent être configurés pour appeler ou envoyer un SMS à l'espion lorsqu'une voix ou un mouvement est détecté, ou stocker les enregistrements directement sur une carte mémoire pour un téléchargement ultérieur.
Raisons pour lesquelles ils sont communs :
- Conception simple, conçue pour être dissimulée. Ce sont généralement de très petits appareils avec microphone, émetteur-récepteur GSM et batterie (s'ils ne sont pas alimentés par le boîtier). Allumez-le et un numéro est attribué au piège et au réseau activé. Il est activé en appelant le numéro de téléphone attribué.
- Portée du microphone, beaucoup peuvent entendre jusqu'à 10-15 mètres.
- Portée d'écoute, illimitée, car utilisant le réseau mobile, vous pouvez être à l'autre bout de la planète, si vous avez un forfait adapté, vous écouterez le dispositif via votre téléphone.
- Peu coûteux et facile à acquérir, facilement acheté sur Internet avec une grande variété de déguisements pour moins de 40 € .
Nous pouvons détecter ce genre de dispositif.
Milipol Paris : Le salon de la sécurité intérieure
Milipol est un événement mondial de la sécurité intérieure des Etats est réalisé sous l’égide du Ministère français de l’Intérieur. Organisé tous les deux ans, devenu le lieu de convergence de tous les acteurs internationaux de la sécurité intérieure. Avec plus de mille exposants et plus de trente mille visiteurs, des rencontres d’affaires, des conférences et des démonstrations, Milipol Paris est l’événement du secteur et le lieu où toutes les innovations sont concentrées.
Lors des évènements Milipol, l'équipe International ICS est présente, à la rencontre de nos clients et de nos fournisseurs. C’est le lieu où se traduisent les tendances actuelles d’un secteur en plein évolution, et où les tendances futures de la protection de données et cybersécurité sont débattues, afin de relever, tous ensemble, le défi d’un monde plus sûr !
Mobile : le logiciel d'espionnage Pegasus
Le logiciel espion en question est connu sous le nom très suggestif de Pegasus. Il est uniquement vendu à des États ou des agences gouvernementales, avec l’approbation du gouvernement israélien, par une entreprise appelée NSO, qui compte 750 employés à Herzliya, dans la banlieue de Tel Aviv, ainsi qu’à Chypre et en Bulgarie. Officiellement, son objectif est d’aider les services de renseignement à combattre la criminalité.
Sur son site web, NSO indique qu’elle “développe des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité, afin de sauver des milliers de vies à travers le monde”.
Pour ce faire, Pegasus s’infiltre dans les smartphones, qu’ils soient équipés du système d’exploitation d’Apple, iOS ou de celui de Google, Android. Il a alors accès à tout : contacts, photos, mots de passe. Le logiciel Pegasus peut lire les courriels, suivre les conversations, même sur les messageries dites "cryptées", géolocaliser le smartphone et activer les micros et les caméras pour transformer le smartphone en véritable espion dans la poche.
“Nous nous engageons à vérifier l’utilisation appropriée de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits”, assure NSO sur son site. Il est vrai que la société a mis en place une adresse email dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’utilisation de son logiciel.
Des spécialistes ont traqué le logiciel espion Pegasus pendant un certain temps et avaient quelques pistes à son sujet. Ils ont récemment trouvé ce logiciel sur le téléphone portable d’un opposant. Lorsque ce dernier effectuait une recherche en ligne, une URL de redirection était automatiquement générée. Cette URL était associée à une signature liée à l’entreprise NSO Group. On peut alors se demander comment le logiciel a pu être installé sur le smartphone. Dans ce cas précis, il s’agit d’une attaque par injection de SMS silencieux sur le réseau, soit via un intercepteur IMSI, une station de base BTS compromise, ou directement par l’intermédiaire d’un opérateur mobile. Il est important de noter que ces URL de redirection ne se limitaient pas à surveiller l’activité en ligne, mais également l’activité sur d’autres applications comme Twitter à travers les liens partagés.
En approfondissant leurs recherches, les spécialistes ont mis au jour dans l’une des deux bases de données SQLite (plus précisément DataUsage.sqlite) présentes dans le système d’exploitation iOS, l’existence d’un processus étrange appelé « bh ». En mettant en parallèle leurs découvertes avec celles réalisées par Lookout, ils supposent que « bh » est une référence à BridgeHead, qui est le nom d’un module de Pegasus au sein du NSO Group. Ce composant a pour rôle de préparer le terrain en vue de l’installation de Pegasus.
En plus de l’injection réseau effectuée par les clients du NSO Group, l’entreprise israélienne propose d’exploiter des failles critiques dans les systèmes d’exploitation mobiles (iOS ou Android) ou certaines applications en mode zéro clic, c’est-à-dire sans aucune action de l’utilisateur. Cela a été le cas en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, utilisées pour installer Pegasus sur des appareils. Le service Apple Music est également soupçonné d’être un moyen de compromission.
L'expert a également examiné l’infrastructure informatique derrière Pegasus et les nombreux domaines recueillis au cours de ses enquêtes. Ces dernières ont révélé que le NSO Group utilise récemment l’offre AWS CloudFront (CDN) pour lancer ses premières attaques. Suite à cette découverte, le fournisseur de cloud a rapidement réagi en annonçant dans un communiqué “la fermeture de toutes les infrastructures et les comptes concernés” (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). De plus, l’étude montre que l’entreprise israélienne héberge ses serveurs dans plusieurs centres de données en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). En France, elle disposerait de 35 serveurs chez l’hébergeur roubaisien. Amnesty International note que le NSO Group utilise principalement les centres de données européens gérés par des opérateurs américains pour gérer une grande partie de l’infrastructure d’attaque de ses clients.
La détection du système d'interception des données "Pegasus" peut s’avérer particulièrement difficile a détecter. Mais la société INTERNATIONAL ICS sait aujourd'hui analyser un smartphone et alerter son utilisateur en cas d'infection.
Guerre froide : équipements d'espionnage de la CIA
À la CIA, lors de la guerre froide, les outils du commerce d'espionnage vont des caméras vestimentaires aux drones pigeons.
Lorsque les agents américains ont besoin de prendre des photos à la volée ou de transmettre un code secret, le Bureau de recherche et développement de la Central Intelligence Agency travaille sur les angles techniques. Le musée Langley de l'agence, qui n'est pas ouvert au public (mais qui peut être exploré via un compte Flickr), présente principalement des exemples plus étranges d'espionnage de l'époque de la guerre froide, probablement parce que l'équipement super cool de type Bond est toujours utilisé. Ci-dessous, quelques outils classiques du métier et quelques-uns aussi.
À une époque où les appareils photo étaient pour la plupart encombrants et lourds, le Bureau de recherche et développement de la CIA en a créé un assez petit et assez léger pour être attaché à la poitrine d'un pigeon. L'appareil photo peut être réglé pour commencer à prendre des photos après le relâchement ou après un délai prédéfini. L'appareil photo a pris une série d'images fixes à un intervalle défini. Un petit moteur alimenté par batterie faisait avancer le film et armait l'obturateur. Les détails des missions colombophiles sont encore classifiés.
Lire l'article : https://www.history.com/news/pigeon-cameras-and-other-cia-cold-war-spy-gear
https://www.youtube.com/watch?v=wJvEzjk7I_A