À l’étranger, attention aux pièges : les petits conseils de la DGSI aux chercheurs et dirigeants d’entreprises

C’est une note de quelques pages. Produite par la DGSI (direction générale de la Sécurité intérieure), elle détaille trois histoires bien réelles pour bien se faire comprendre de ses destinataires, à savoir les scientifiques et les cadres d’entreprises qui voyagent à l’étranger. Le premier récit, concerne ce chercheur français, particulièrement reconnu dans son domaine et sollicité par l’un de ses anciens doctorants étrangers rentré dans son pays d’origine (celui-ci n’est pas cité) afin de réaliser une mission d’une semaine dans son université locale.

« Ayant l’habitude de collaborer avec ce pays et cette université, le chercheur français a accepté cette offre, raconte la DGSI. Cependant, durant ce séjour, plusieurs réunions non programmées lui ont été imposées avec cinq experts étrangers dont le chercheur français n’a pu recueillir ni les identités, ni les fonctions. Lors de ces réunions, il a été interrogé de manière détaillée sur ses travaux de recherche et s’est vu proposer avec insistance une collaboration dans son domaine d’excellence, qu’il a déclinée avec fermeté. »

La note raconte ensuite comment le chercheur français s’est vu proposer une somme de plusieurs milliers d’euros en espèces pour le convaincre d’accepter, sans succès. Enfin, simple coïncidence ou non, le chercheur a enfin découvert que son ordinateur avait été piraté.

Tentative de corruption et étrange rencontre

Seconde histoire, celle de ce chercheur français soumis à un contrôle douanier intrusif lors de son passage au point de contrôle des visas.

« Le chercheur s’est vu confisquer son passeport et a été conduit dans une pièce annexe où il a été longuement interrogé, raconte la note de la DGSI. Avant de commencer l’entretien, il a dû laisser son téléphone portable déverrouillé à l’extérieur de la pièce. À sa sortie, le chercheur a constaté que plusieurs actions avaient été effectuées sur son téléphone, comme la désactivation de la procédure de double authentification et la connexion d’appareils inconnus en Bluetooth. De plus, un téléphone inconnu s’est connecté à l’un de ses comptes de messagerie instantanée. Face à ce constat, le chercheur a réinitialisé son téléphone sur les paramètres d’usine et changé ses mots de passe. Les autorités fonctionnelles de son université ont été averties de l’incident. »

Dernier cas relayé par la DGSI, celui du dirigeant d’une start-up française, lauréate d’un concours organisé à l’étranger, invité à un voyage d’affaires dans le pays d’origine du concours afin d’y rencontrer des entreprises sur place et éventuellement signer des partenariats.

« Le séjour a néanmoins été entaché de plusieurs incidents et notamment des tentatives de captations d’informations, raconte la DGSI. Ainsi, outre les contrôles d’identité répétés, les valises et la chambre d’hôtel du dirigeant ont fait l’objet de fouilles sans que l’intéressé ne constate la disparition d’effets personnels. Il a également déploré le fait d’avoir été constamment filmé et photographié sans son consentement. Enfin, à l’occasion d’une soirée, un individu se présentant comme le directeur d’une société de conseil l’a approché et a brièvement manipulé le téléphone du dirigeant sans son consentement. »

Un voyage aux allures de traquenard. À une nuance près : le chef d’entreprise avait été briefé avant son départ par les services de renseignement français et avait donc anticipé ces tentatives. Parmi les conseils que lui avaient donnés les cadres de la DGSI : n’emporter aucun document sensible en lien avec sa société et de ne prendre avec lui qu’un téléphone vierge de toute donnée.

Batterie de conseils

Alerter et sensibiliser les chercheurs et les cadres de PME qui voyagent à l’étranger, c’est l’une des missions des services français. Les grandes entreprises ont souvent déjà de tels réflexes et consacrent des moyens importants à ces problématiques grâce à leurs directions informatiques. Les start-up qui travaillent sur des sujets très sensibles sont elles aussi bien souvent en lien avec les services français (l’autorisation de missions dans certains pays comme la Chine ou Israël pouvant donner lieu au préalable à un « avis sécurité défense » dans certains cas).

Mais dans beaucoup d’entreprises de taille moyenne, le voyage à l’étranger n’est pas considéré comme un risque. La note de la DGSI recense ainsi une batterie de conseils et de réflexe assez simples à prendre. Elle vient en appui de documents publics déjà largement diffusés – et depuis longtemps – par l’Agence nationale de sécurité des systèmes d’information (Anssi), qui a produit un « passeport de conseils aux voyageurs ».

Premier réflexe : faire preuve de vigilance dans les lieux publics, tels que les aéroports, les gares, les hôtels, bars ou restaurants, « des lieux privilégiés par les acteurs étrangers dans le cadre de leurs approches ». Se méfier des contrôles aéroportuaires, justifiés par des motifs d’ordre sécuritaire. Ils peuvent « être détournés et exploités à des fins de captation de données ou de piégeage informatique. De plus, les supports numériques (ordinateurs, tablettes, téléphones portables), susceptibles de contenir des données sensibles ou confidentielles (listes de contacts, informations financières et commerciales, travaux de recherche, etc.) doivent faire l’objet d’une vigilance renforcée et continue lors des déplacements ».

Faire attention aux « rencontres »

« Les approches humaines constituent également un mode opératoire privilégié par des acteurs étrangers pour obtenir, par exemple, des informations stratégiques à moindre coût, insiste la DGSI. À ce titre, il convient de maintenir une posture de vigilance lors des échanges avec des interlocuteurs étrangers, même dans le cadre d’une relation de confiance établie de longue date avec un collaborateur. »

La DGSI donne plusieurs conseils avant un départ à l’étranger. Parmi ceux-ci : privilégier l’utilisation de matériels informatiques (téléphones, ordinateurs) dédiés exclusivement à la mission et limiter le stockage d’informations et de documents sensibles aux seuls besoins du déplacement. Elle déconseille aussi de se déplacer avec l’intégralité de ses documents commerciaux ou travaux de recherche et conseille d’effectuer une sauvegarde de données avant le départ.

« Il est également conseillé de diversifier ses mots de passe et d’en créer un différent pour chaque appareil et application », explique la note. Autre conseil : « Concernant les dispositifs de chiffrement, vérifier que l’utilisation de ces moyens ne nécessite pas une autorisation préalable à leur introduction sur le territoire étranger dont le défaut constituerait le motif à un contrôle renforcé. Certaines pratiques sont en effet légales en France mais interdites à l’étranger. »

Ne pas mentir… sauf par omission

Enfin, face aux policiers en charge de l’entrée dans un pays étranger, il faut « répondre le plus sincèrement possible aux questionnaires destinés à établir un visa d’entrée dans un pays, tout en évitant d’entrer dans les détails. Il est conseillé d’éviter de chercher à dissimuler certains déplacements antérieurs (qui ne figureraient pas dans un nouveau passeport par exemple). En effet, une fausse déclaration ou une omission peuvent être lourdes de conséquences, compte tenu des capacités très importantes de recoupement et de croisement de données de certaines administrations étrangères ».

En cas de contrôle, poursuit la note « ne pas chercher à s’y opposer mais à l’accompagner. Dans la mesure du possible, demander à son interlocuteur de préciser son identité ou de justifier sa fonction avant de répondre à des questions jugées intrusives. Essayer de garder son matériel électronique avec soi ou demander à être présent lors du contrôle des appareils. À l’issue du contrôle, être attentif au comportement de ses appareils (icônes déplacées, consommation excessive ou rechargement injustifié de batterie) ».

La DGSI alerte aussi sur l’utilisation des réseaux sociaux. « À la recherche de profils spécifiques, des acteurs malveillants mettent en place des veilles actives et régulières, notamment sur les réseaux sociaux professionnels, mais aussi sur des plateformes d’échanges de biens ou de services. Plus un individu dévoile d’informations personnelles et professionnelles, plus il sera facile à identifier et à approcher dans un déplacement, notamment privé, en s’appuyant sur des éléments trouvés en ligne. »

Au total, la DGSI donne plus d’une vingtaine de conseils très concrets. Et recommande, en cas de doutes sérieux au retour d’informer ses services grâce à un mail figurant dans la note.