Dans le monde du cyber, Eric Filiol est une pointure. Ses spécialités : le déchiffrage de messages codés, les techniques d’espionnage et autres assauts 2.0. Interview 007.

C’est rare qu’un agent des services secrets accepte une interview…
J’ai effectivement été dans les services, mais je n’y suis plus…

Militaire de carrière, hacker confi rmé, expert en techniques de cyberguerre et de cyberespionnage, ça fait beaucoup d’atouts pour un ex- espion, non ?
Militaire un jour, militaire toujours… Il y a quatre ans, ma hiérarchie a jugé que j’étais plus utile à l’extérieur de la Défense. Aujourd’hui, je dirige un laboratoire de cryptologie et de virologie, je forme les futurs ingénieurs informatiques du ministère français de la Défense. Je ne me suis jamais considéré comme un espion, plutôt comme un serviteur de l’Etat.

Un pirate au service de l’Etat ?
Un corsaire, un vieux hacker, certainement pas un pirate. Le corsaire a une éthique. J’ai travaillé 22 ans pour l’armée, je ne vais pas devenir subitement un mercenaire.

Vous expliquez souvent que les hackers ne sont pas ceux que l’on croit…
Oui, un hacker n’est pas un pirate. C’est quelqu’un qui analyse un système et qui cherche à le comprendre. Les hackers sont des lanceurs d’alertes. Les Etats devraient s’appuyer sur leurs talents au lieu de les diaboliser.

Depuis l’affaire Wikileaks, les hackers deviennent des hacktivistes ...
Effectivement, on commence à voir émerger une culture politique . Le projet « Chaos » est une illustration de ce nouveau militantisme. Plusieurs groupes d’ hacktivistes ont annoncé que le 20 décembre prochain, ils publieraient des données bancaires ultra- sensibles pour dénoncer la corruption du monde. Je pense qu’ils en ont les moyens.

Sinon, le corsaire, il fait quoi à Maurice ?
Je suis venu à l’invitation de l’association Progrès du Management. L’AMP regroupe 5600 chefs d’entreprise dans le monde répartis en 300 clubs, dont trois à Maurice. Ses membres se réunissent une fois par mois autour d’un expert qui les aide à se perfectionner. Je suis intervenu sur les techniques d’espionnage. Je suis toujours effrayé de voir à quel point les entreprises se mettent en danger. Les premiers endroits où fouiller sont Facebook et les poubelles. Vous n’imaginez pas ce qu’on y trouve…

Votre domaine de prédilection est la cryptologie. Ça fait quoi de ses journées, un cryptologue ?
Essentiellement des mathématiques. La cryptologie est la science des codes secrets. Une bonne partie des messages qui transitent sur les réseaux sont codés par des cryptographes. Le cryptanalyste, lui, analyse, teste ou brise ces codes. Historiquement, la cryptologie était réservée aux militaires et à la diplomatie. Les armées, les ambassades et les gouvernements chiffrent les messages qu’ils envoient et déchiffrent ceux qu’ils reçoivent. Avec Internet, les usages civils ont été décuplés, ces codes sont partout. Aujourd’hui, les entreprises utilisent plus d’algorithmes de chiffrement que les militaires.

Les Etats considèrent ces algorithmes comme des armes de guerre.
Pourquoi ?
Parce qu’un algorithme peut être un virus informatique. Un algorithme peut tuer ou détruire des centrifugeuses iraniennes ( il fait référence à l’affaire Stuxnet, du nom d’un virus créé en 2009 par les Etats- Unis et Israël, NdlR). Je ne souhaite pas entrer dans les détails… 

Dans un livre- enquête sur les mafi as du Net, vous expliquez comment, pendant 50 ans, les Etats- Unis lisaient l’ensemble des messages codés diplomatiques de 130 pays. Un Wikileaks à l’envers !
Effectivement, ils avaient infi ltré les deux sociétés suisses leaders dans ce domaine et ils s’étaient arrangés pour que tous les algorithmes diplomatiques soient « plombés » . Il se trouve que dans les 130 pays, il n’y avait pas la France. Pourquoi ? Parce que nos systèmes de chiffrement sont faits par des Français. Cette indépendance est cruciale.

Le système de chiffrement de Maurice est fait par qui ?
Je ne sais pas. Probablement par une société suisse ou américaine. Le risque, quand un système est acheté à l’extérieur, c’est qu’il ne soit pas totalement sécurisé. En clair, que celui à qui vous l’achetez se réserve la possibilité de vous espionner.

Ces codes font appel à des mathématiques épouvantablement trapues. Ce serait quoi, un algorithme vulgarisable ?
Un algorithme tout simple est celui de Jules César, qui codait les messages qu’il envoyait à Rome selon une méthode simple : il décalait toutes les lettres de trois crans dans l’alphabet ( la clé). CESAR devenait donc FHVDU. Ça, c’est un algorithme cryptographique. Sauf que depuis Jules César, les algorithmes sont devenus hautement plus complexes. En casser un, même avec de supercalculateurs capables d’effectuer mille milliards d’opérations à la seconde, peut prendre deux ans d’analyses mathématiques. Pour d’autres, on parle en siècles.

C’est là que le cryptanalyste part faire la sieste…
Eh non ! Car son but ultime n’est pas d’avoir la clé, mais d’entrer dans la pièce. Si la clé est introuvable, il cherche à forcer la porte. Pour cela, il observe. Jusqu’à ce qu’il découvre, par exemple, que la porte blindée est posée sur un mur en carton. Et là, il perce le mur.

Vous- même avez percé un mur américain classé secret- défense…
Ça m’a coûté cher… J’ai réussi à prendre le contrôle de TOR, un réseau créé par la marine américaine censée fournir une confi dentialité absolue des données. J’ai démontré que ce n’était pas le cas et je l’ai fait savoir. Mais surtout, j’ai découvert que des administrateurs de TOR étaient proches de la NSA ( l’agence de sécurité militaire américaine chargée de surveiller les communications, NdlR) . Cela veut dire qu’un opposant syrien ou un dissident chinois qui communiquent sur ce réseau en pensant être protégés, en réalité, sont en danger. TOR, pour moi, est un outil de surveillance de la planète par les Américains.

Briser des codes informatiques, en créer, c’est utile à qui ?
A l’Etat français. Et l’Etat, ce sont les citoyens, les entreprises. Je conçois mon travail comme une activité de patriote. Je ne publierai plus rien sur TOR, mais je continue mes recherches pour le compte du ministère de la Défense. Ce réseau est utilisé par tous ceux qui ont des choses à cacher -– opposants politiques, mafi as, pédophiles –, ses faiblesses intéressent toutes les polices. Casser des codes sert aussi aux entreprises. Quand elles savent comment leur cryptage tombe, elles essaient d’en inventer de meilleurs.

Les technologies d’espionnage par virus, ça aide aussi les entreprises françaises ?
On sait faire aussi…

Quelles sont vos limites ?
La loi et l’éthique. L’éthique est supérieure au droit. Exemple, mon laboratoire a mis au point un procédé pour déjouer les radars routiers et la vidéosurveillance. Je ne publierai pas la partie sur les radars parce que je suis convaincu qu’il en faut. Par contre, je publierai celle sur la vidéosurveillance parce que je pense que c’est une mauvaise évolution des sociétés démocratiques. Sous couvert de protéger les citoyens, on les espionne. Autre exemple, nous savons comment rendre invisibles certaines communications, c’est ce que l’on appelle la « stéganographie » . Si je publiais ces travaux, je les mettrai à la disposition de terroristes.

Donc, ils dorment dans un coffre ?
Non, ils sont avec le Premier ministre.

Autre axe de vos recherches, les techniques de cyberguerre. Cette guerre a- t- elle réellement commencé ?
On est en plein dedans ! Les entreprises les plus vulnérables sont celles qui ne réalisent pas qu’elles évoluent dans une chaîne fonctionnelle. Les attaquants ne la visent jamais directement, mais par rebond. Je m’explique : admettons que je veuille empêcher un bateau militaire de partir.
Problème, le bateau est protégé. La parade consiste à viser un fournisseur, l’usine qui fournit l’huile par exemple. Si je provoque une grève dans cette usine, le bateau n’est pas livré, il ne part pas. Cette attaque va se faire informatiquement, en visant les ordinateurs des décideurs et des leaders syndicaux pour les faire monter en pression. Les techniques sont nombreuses, il suffi t d’un peu de créativité…

Et de beaucoup de manipulation…
Cela s’appelle le monde des affaires. Moi aussi je suis consterné, mais l’attitude des entreprises qui pensent vivre chez les Bisounours me sidère davantage. Nous ne sommes pas dans un monde de gentils. L’erreur, c’est de croire que les cibles sont les infrastructures alors qu’en réalité, ce sont les hommes qui les animent. Pour attaquer une centrale nucléaire ou un réseau informatique, le point d’entrée, c’est l’humain.

Exemple…
En 2011, en France, des pirates ont infi ltré des ordinateurs du ministère des Finances. Ils ont utilisé un virus via un document PDF piégé. Techniquement, c’est basique, mes étudiants savent faire.
Mais la technique est une chose, si la personne n’ouvre pas le document piégé, votre attaque échoue. Qu’ont fait les pirates ? De la collecte d’informations.
Ils sont allés dans les cocktails pour récupérer des adresses mail sur des cartes de visite. Puis ils se sont débrouillés pour suivre des conversations entre deux personnes. Ensuite, ils ont usurpé l’identité de l’un pour contacter l’autre par mail, en évoquant leur conversation pour crédibiliser le message. Le collègue ne se méfi e pas, il clique sur la pièce- jointe, l’attaque aboutit.
L’important n’est pas le virus mais le bâti opérationnel, le scénario d’approche pour piéger la cible.

Hypothèse : demain, une compagnie mauricienne répond à un appel d’offres en vue d’obtenir un marché aux Etats- Unis. Elle est en concurrence avec un autre soumissionnaire et fait appel à vos services.
Que lui proposez- vous ?
Une attaque informatique classique : l’atteinte à l’image du dirigeant de l’entreprise concurrente. L’objectif sera de faire croire qu’il a eu une liaison extra- conjugale avec une mineure, en manipulant des journalistes et certains milieux bien- pensants. Techniquement, ce n’est pas diffi cile. Il suffi t de déposer des données sur l’ordinateur de la personne à incriminer et de disséminer de fausses preuves à droite à gauche.

Vous faites ce genre de chose ?
Non, parce que je n’ai pas de mandat opérationnel.

Mais vous savez faire ?
Bien sûr.

Quelles sont les armes du futur ?
A l’avenir, les attaques vont se situer de plus en plus au niveau des circuits électroniques. Récemment, dans une conférence de hackers, un Allemand a démontré comment, en passant par le courant électrique, il pouvait ouvrir toutes les portes des prisons fédérales...

Maurice, en termes de cybercriminalité, ça pèse quoi ?
Pas grand- chose pour l’instant. Mais plus vous serez connecté, plus vous serez une cible potentielle. En plus, Maurice occupe une position stratégique au coeur de l’océan Indien. Elle intéressera de plus en plus les pirates, c’est évident. Demain, une cyberattaque contre la base de Diego Garcia ne m’étonnerait pas. Des « hacktivistes » anti- américains ou prochinois pourraient reprocher à Maurice d’avoir permis à cette base de s’installer – même si c’est une méconnaissance partielle de l’Histoire. Ils trouveront alors des moyens de pressions pour que Maurice chasse les Américains. Certes, votre gouvernement le fait déjà, mais on peut l’aider. Si j’étais un agent chinois, c’est un scénario sur lequel je travaillerais.

Mais vous êtes un exagent français et votre mot de passe à Plaisance est…
Un mot de passe ne se donne pas, c’est comme une brosse à dent !