#Espionnage: rien de nouveau sous le soleil! Alors pourquoi avoir l’air surpris? La faille c’est l’humain! #nihilnovi

« Une note des services de renseignements met en garde contre un programme d’espionnage chinois visant la France. Des milliers de cadres de la fonction publique et collaborateurs d’entreprises stratégiques ont été approchés via les réseaux sociaux professionnels. »

« Espionnage : la technique chinoise pour recruter des Français »

Depuis 2 jours cette « nouvelle » affaire se répands dans les médias: des cadres du privé et public auraient été approchés par des Chinois(es) pour livrer d’abord des notes dites banales, contre rémunération, et enfin un voyage vers la Chine avec soirées et nuits « occupées ». 4000 auraient été approchés et apparemment « les services de renseignements français ont estimé que plusieurs centaines de personnes étaient « entrées dans un processus de compromission assez abouti ».

J’ai failli en tomber de ma chaise tellement l’affaire est nouvelle … non je plaisante. Non seulement cela n’a rien de nouveau mais en plus les méthodes utilisées sont toujours les mêmes depuis qu’elles ont été théorisées et depuis que l’humain est au monde: l’argent, l’idéologie, la coercition et … l’ego: « Une cadre sous contrat travaillant dans une direction du ministère de l’Économie a, par exemple, passé quatre jours à faire de la plongée sous-marine et à visiter de petites îles perdues après deux petites heures de réunion, raconte le journal. Des photos « compromettantes » sont prises et la trace des paiements est conservée pour contraindre la victime à collaborer. »

Des photos compromettantes … bigre. Mais alors en quoi c’est nouveau? Le « média » … LinkedIn. Ah ben forcément le « point d’eau » idéal: le réseau professionnel où pour mieux se vendre on avance toutes ses qualités, ses fonctions et ses projets (je sais je l’utilise ainsi). Mais attention hein, sur LinkedIn on n’expose pas la vie privée (encore que). Pas de chance il existe « 6 services pour trouver les réseaux sociaux d’une personne à partir de son pseudo » (merci @crid): comme la plupart des gens sont suffisamment fainéants pour ne pas changer de pseudos/emails d’un réseau à l’autre (je sais c’est pénible), ça devient du gâteau donc à partir de votre LinkedIn on trouve vos photos de vacances.

Pour peu que vous soyez un fana de TripAdvisor, en prime on sait où vous êtes allez, et que vous soyez assez « confiant » dans les réseaux sociaux pour poster la photo de votre billet d’avion, on sait où vous allez. Quand à placer une jolie voisine correspondants à vos goûts, ou l’inverse (peu importe), car vous utilisez Meetic (pour les plus vieux) ou Tinder, dans votre avion/train, le « tamponnage » peut se faire en direct. On a appris au détour d’un livre sur Michèle « Mimi » Marchand qu’elle (pas que elle mais bon …) a pu avoir accès aux systèmes de réservation Amadeus, Sabre, Galileo des compagnies aériennes. Pour le train (tout du moins le TGV en France), les grandes lignes Province <-> Paris et Paris <-> Bruxelles / Londres, il suffit de le prendre régulièrement pour apprendre tout un tas de choses …

En résumé du profilage psycho-professionnel, permettant de déterminer quel levier marchera le mieux, et aux premiers contacts, entre le virtuel et le physique, fini les méthodes de Papy Bond (lui aussi naïf vu qu’il se présente et que tout le monde le connaît) des filatures, écoutes et autres tâches de fond: VOUS faites TOUT le boulot! Les outils ont changé, permettant d’accélérer le processus mais pas les méthodes: « Money Ideology Coercition Ego » (MICE) date de la Guerre Froide a minima (ok c’est le millénaire dernier). A minima toujours ça fait 25 ans que j’en entends parler et que régulièrement de braves gens tombent dans le panneau (partout sur terre même si dans certains pays c’est plus compliqué de jouer à ça).

De braves gens (pour rester poli)? Oui et non! Oui car ils le sont quand même: sans remettre en cause notre charme personnel, le coup de la jeune personne accorte venant vous aborder spontanément au bar de votre hôtel à la veille d’une réunion stratégique à l’autre bout du monde est quand même peu probable. Quand à vous recrutez très officiellement pour répondre à des questions car vous êtes l’Expert(e) du secteur, certains s’y sont essayé à échelle tellement industrielle qu’ils en ont fait un business (c’était des Américains mais chuuuut ça il ne faut pas le dire). Les Japonais en leur savaient aussi y faire sans parler des Russes qui comme les Américains (chuuuuuut) n’ont jamais vraiment laisser tomber les bonnes vieilles méthodes.

Et non car ils auraient dû sensibilisés: c’est pas compliqué pourtant mais il faut y penser avant de perdre tous ses contrats face à un concurrent au courant de votre offre (et je ne parle de moyens électroniques). Il y a des formations pour cela, des associations et surtout des services spécialisés qui se font un plaisir d’intervenir, c’est leur métier. Mais nooooon, cela n’arrive qu’aux autres (un peu comme les cyber-attaques): personne n’avait remarqué que « Jean Michel » (prénom choisi au hasard) avait pu se payer une nouvelle voiture/piscine, maison/bateau juste avant de partir en retraite … étrange. Ne rigolez pas on avait trouvé une taupe comme ça: au prix de sa voiture (je sais il y a d’autres explications).

Le management, comme dans d’autres problématiques (l’anti corruption ce qui mène à un autre cas bien connu désormais), doit être impliqué mais surtout responsabilisé et là désolé mais au final seul le bâton marche: vous avez laissé partir votre adjoint(e) aller 4 fois en Chine (ou ailleurs c’est pareil) seul(e) en pleine négociation avec en prime voyage dans les îles du coin, sans sensibilisation, formation et moyens de se protéger (mais des fois c’est interdit)? Sanction. Vous obligez vos cadres à travailler dans le TGV, manque flagrant d’organisation, au vu et au su de tous (surtout de ceux qui essayent de dormir/lire)? Sanction. L’entreprise a perdu l’appel d’offres alors qu’elle avait la meilleure offre? Quelqu’un vous a « écouté » …

Il faut répéter, rabâcher, et recommencer … le coup est toujours le même: l’ingénieur(e) en charge du projet X, confidentiel (au sens propre), est parti(e) déjeuner et a laissé son ordinateur dans sa mallette dans sa voiture … la seule fracturée du parking.

La technique n’est ni particulièrement Chinoise, arrêtons de toujours les voire comme des « innovateurs » ni particulièrement applicable aux Français …