Quiz: rions un peu avec la DGSE

1. @laposte.net pour la DPSD, 2. @yahoo.fr pour la DRM, 3. @mgn.fr pour la DGSE

On imagine mal la NSA imposer à ses employés –habilités «secret défense»– d'utiliser des adresses mèl @wanadoo.fr. C'est pourtant ce que fait la DRM qui, dans ses appels d'offres, utilise des e-mails @yahoo.fr, quand la DPSD, elle, utilise des courriels @laposte.net & @wanadoo.fr.

Contrairement à ce qu'indique le portail de l'armement –pour qui le mèl de la DGSE serait courriel@courriel.fr (nom de domaine qui appartient en fait à une webagency d'Aurillac)–, la DGSE utilise en fait des adresses @mgn.fr, dont elle se sert dans ses appels d'offres. 

Dans les années 90, l'armée française avait en effet décidé de confier au groupe Matra Grolier Network (MGN), alors filiale d'EADS, le fait pouvoir se connecter à l'Internet. Rachetée depuis par Prosodie, elle-même rachetée en 2011 par le groupe Capgemini. Prosodie est également, aujourd'hui, l'hébergeur du site du ministère de la Défense (et de Salut les copains, des Magasins U, de GayLife.eu, etc : Prosodie héberge 12.000 serveurs, dans 8 data-centers). 

Étrangement, on trouve très facilement trace de plusieurs interfaces de consultation des courriels @mgn.fr en mode webmail (pushv2.mgn.fr, pushv31.mgn.fr, pushmail.mgn.fr, pushv3.mgn.fr)... truffées de failles de sécurité (Prosodie a été prévenu... mais n'a pas répondu). La DGSE étant (quasiment) la seule à encore utiliser des adresses @mgn.fr, on n'ose imaginer que ses employés se servaient ou se servent encore de ces webmails pour lire leurs courriels... 

La DGSE ayant été jusqu'à donner comme identifiant de ces adresses mail le type d'appels d'offres dont il s'agit, on imagine par contre tout à fait ce que la NSA pourrait en faire:

soutien.marches@mgn.fr achats.techniques@mgn.fr marches.techniques@mgn.fr achats.electroniques@mgn.fr livraisons.techniques@mgn.fr achats.informatiques@mgn.fr

Ces adresses @mgn.fr permettent notamment de pouvoir retrouver la trace de centaines d'appels d'offres de la DGSE, via Google, sans parler de tous ceux que l'on peut consulter sur le Bulletin officiel des annonces de marchés public (BOAMP) ou TED (pour Tenders Electronic Daily), la version en ligne du Supplément au Journal officiel de l'Union européenne, consacré aux marchés publics européens. 

On peut aussi utiliser l'acronyme utilisé par la DGSE qui, cachottière, ne se présente bien évidemment pas comme telle dans ses appels d'offres, mais en tant que BCAC-CG n°195, dérivé du Bureau du courrier de l'administration centrale et des cabinets du ministère de la Défense, en charge des valises diplomatiques, mais également du contrôle aux rayons X de tous les courriers qui transitent par le bureau, entre autres mesures de sécurité (par contre, je ne sais pas ce que signifie CG n°195M, si quelqu'un a une idée...).

2. du Syndicat National du Contrôle Technique Automobile (SNCTA)

Si Prosodie fait partie des membres de la FFTélécoms, la DGSE a quant à elle adhéré au SNCTA. (l'adresse est celle du Fort de Noisy, le numéro de téléphone celui associé aux appels d'offres estampillés BCAC-CG n°195M, et l'adresse email @mgn.fr), qui «a pour objet l'étude et la défense des droits et des intérêts matériels et moraux des organismes exerçant une activité de contrôle technique automobile, à titre principal» (c'est moi qui souligne). 

Je ne sais ce qui a présidé à cette adhésion, sinon que la DGSE a par ailleurs prévu de dépenser plus de 3 millions d'euros en 2012 dans la construction d'un garage automobile d'environ 2.400 mètres carrés, ce qui entraîne de gros travaux: en décembre 2012, le ministère de la défense mettait aux enchères «environ 35 tonnes de ferrailles diverses à retirer tout au long de l'année 2013» au Fort de Noisy.

3. protégé parce que son biotope accueille une espèce rare de crapauds

Ancienne fortification de Paris, le Fort de Noisy est préservé de l’urbanisation qui l'entoure grâce à «un ilot de verdure comprenant des mares abritant une très forte population d’amphibiens protégés appelés Crapauds calamites (Bufo calamita), et des prairies paturées par des chevaux et des chèvres», ainsi que par des lapins. On y trouve aussi deux espèces rares de coléoptères, qui vivent au dépend des crottes de lapin, ce pour quoi cet ilôt de verdure est l'un des quatre biotopes protégés de Seine Saint Denis. 

La preuve, il suffit de faire un tour sur Google Street View pour tomber sur un troupeau de chèvres, derrière le grillage entourant le fort de Noisy:

Agrandir le plan

2. Loue un autocar (avec chauffeur)

En banlieue parisienne, la DGSE a décidé de faire des économies. Ou presque. Jusqu'en 2012, elle assurait une liaison quotidienne, matin et soir, afin de transporter «entre 10 et 15 personnes» entre la gare de Poissy et le centre radioélectrique des Alluets-Le-Roi, en louant un bus (avec chauffeur) à une entreprise de Poissy. 

Le marché a depuis été réattribué à une SARL unipersonnelle située... à plus de 60 km de là, au terme d'un appel d'offres («Location de véhicules de transport de personnes avec chauffeur») dont le critère d'attribution était le «prix le plus bas». Montant de la facture: 385 200 euros (TVA comprise, mais hors CO2); 10 fois plus cher qu'un minibus 15 places. 

NB: la ligne 4 du Mobilien, qui part de la gare de Poissy, passe à moins de 500 mètres d'un autre site de la DGSE, situé à Feucherolles, Route Royale, à 4 kilomètres de celui d'Alluets-le Roi, lui aussi sur cette même Route Royale... et tous deux dotés de grands parkings où il eut été tout à fait possible de garer un minibus, à côté des grandes antennes. Allez comprendre. 

PS: les paparazzis et/ou agents de la CIA qui voudraient identifier les employés de la DGSE découvriront avec plaisir dans les marchés publics que «la liaison quotidienne, matin et soir, sera assurée par autocar du lundi au vendredi (sauf jours fériés)», qu'il est affrété par la société Auréole Transport, qu'il arrive à la gare de Poissy avant 8h20, qu'il en repart à 8h30, et qu'il quitte la station des Alluets-le-Roi à 17h30.

1, 2 et 3.

La DGSE a investi dans une installation de production d'eau glacée pour sa station de Domme en 2007. Les stations de Poucharramet, Saint Laurent de la Salanque, Saint Christol et Bonifacio en sont également dotées, comme l'atteste cet appel d'offres. 

Il ne s'agit pas de pouvoir proposer de l'eau glacée aux employés de la DGSE, mais de contribuer, via la climatisation, à rafraîchir l'atmosphère, notamment dans les salles machines, où se trouvent les ordinateurs chargés de traiter les données interceptées. 

En 2011, la DGSE a par ailleurs créé un atelier pour y accueillir une imprimerie au rez-de-chaussée de son siège, boulevard Mortier, et lancé un appel d'offres pour acquérir une imprimante 3D de production prototypage rapide, organiser une «formation spécifique des personnels de l'administration», la «maintenance préventive et curative du matériel», et l'«acquisition des produits consommables associés»... L'avis d'attribution du marché n'a pas encore été publié, avis aux amateurs professionnels de la question.

La DGSE étant quand même d'abord et avant tout un service de renseignement, elle achète aussi des parachutes, jets ski, tracteurs sous-marins & gilets pare-balles...

 

Question électronique, on trouve notamment des broyeurs de disques durs et de cartes électroniques, des antennes passives et actives, ou bien de type cornet, des analyseurs portables de ligne téléphoniques et de «localisation de pièges électroniques» et autres moyens spécifiques de «détection des dispositifs de piégeage électroniques (audio et vidéo)».

1, 2 et 3

En 2006, la DGSE avait prévu de poser une nouvelle clôture en bois à Feucherolles, avant d'investir plus de 100.000€ pour remplacer les clôtures en bois par des clôtures métalliques. 

Mais les images disponibles sur Google Street View des sites de la DGSE montre qu'ils sont souvent cernés par des clôtures en bois... quand il y en a. En effet, certaines de ses installations n'en ont pas, comme la station radiogoniométrique de Kerdraziou, en Bretagne, où l'on peut voir, sur la photo prise par Google Street View en 2008, un panneau «Terrain militaire - défense d'entrée» devant un champ où paissent des vaches, et les antennes derrière, protégées par... une simple ficelle. 

NB : le site de Kerdraziou, qui avait fait l'objet de deux marchés de la DGSE, en 2005 (un relevé de géomètres, puis des travaux d'aménagement), est aujourd'hui contrôlé par la Direction Interarmées des Réseaux d'infrastructure et des Systèmes d'information de la Défense (Dirisi).

La station radiogoniométrique de Bonifacio, protégée par un muret de pierres, des clôtures en plastique et en bois, est en revanche truffée de caméras de vidéosurveillance.

Google Street View montre cela dit que le chemin d'accès au centre radioélectrique de Poucharramet, dans les Pyrénées, n'était en février 2011 protégé que par trois poteaux, et deux ficelles... 

En mars 2013, la DGSE a publié un appel d'offres portant sur la «vérification périodique des dispositifs de fermeture automatiques et de sécurité anti-véhicules (portes et des rideaux automatiques, barrières levantes, plots et herses anti-pénétration) sur plusieurs sites d'île de France», dont celui d'Ablis, où se trouve une station radiogoniométrique: en 2009, Google Street View avait pris en photo le portail d'entrée de la route menant à la station, barrières ouvertes. 

Une autre photo, prise par la Google Car depuis une autre route, montre un panneau «terrain militaire - défense d'entrer», et les antennes, en plein champ, encerclées par une simple barrière, mais pas plus protégées que le stade de foot de n'importe quel petit village.

Un nouvel appel d'offres portant lui aussi sur la «vérification périodique des dispositifs de fermetures automatiques et de sécurité anti-véhicules sur les sites d'Île-de-France» de la DGSE révèle par ailleurs, dans son «cahier de clauses techniques particulières», téléchargeable jusqu'au 26 novembre dernier, la liste de l'ensemble des «portes coulissantes, rideaux & barrières» (marques comprises) protégeant l'accès du QG de la DGSE, de celui de son service action à Romainville, de la station des Alluets-le-Roi, et de celle des Ablis. 

On y apprend notamment que les locaux poubelles des bâtiment 2 & D du QG de la DGSE sont sécurisés par des «portes coulissantes métalliques» de marque PORTALP, installées en 2007, qu'un rideau électrique de marque CLEVER a été installé en 1993 dans le bâtiment C, et que l'entrée principale de la station d'Ablis serait en fait protégée par une «porte métallique coulissante» de marque GAME, à l'instar des trois entrées principales de la station des Alluets-le-Roi, installées en 1995.

3. passe des appels d'offres indiquant ou confirmant l'emplacement de ses stations d'écoute et d'interception des télécommunications.

L'inconvénient, avec les stations d'interception des télécommunications, c'est qu'un champ d'antennes, c'est grand, et qu'il faut donc aussi des jardiniers pour débroussailler, désherber et entretenir les pelouses, biner les massifs, tailler les rosiers et, accessoirement, acheter des plantes ornementales pour les bacs à fleurs. 

En 2009, la DGSE passait un marché public portant sur l'entretien des espaces verts, de plantes ornementales et achat de végétaux pour les sites d'ile-de-france et portant, tout à trac, sur la tonte de 4.746 m2 de pelouse au siège de la DGSE dans le 20e arrondissement à Paris, le fauchage de 68.603 m2 et le débroussaillage de 15.277 m2 au Fort de Noisy (comme quoi les chèvres ne suffisent pas), le nettoyage et désherbage de 25.100 m2 au pied des antennes du centre radioélectrique d'Alluets Le Roi, le binage, désherbage et entretien de l'ensemble des massifs à Feucherolles, ainsi que pour l'entretien et l'achat de plantes ornementales pour les 211 bacs à fleurs de la caserne Mortier, et les 33 pots du Fort de Noisy. 

L'appel d'offres initial stipulait que le marché de l'entretien de ses espaces verts devait se situer dans une fourchette comprise entre 11 et 25.000 € (T.T.C.) par années civiles. Etrangement, la liste des marchés conclus révèle que ce lot indique qu'il a été emporté deux fois, le même jour, pour une durée de 48 mois, par la même entreprise, GFS, basée à Genevilliers, pour des montants compris entre 50 et 90.000 € (HT) d'une part, entre 206 et 999.999,99 € (HT) d'autre part.

Le lot visant l'entretien et l'achat de plantes ornementales, qui devait, lui, se situer dans une fourchette annuelle comprise entre 15 et 30.000 € (T.T.C.), a été emporté par l'entreprise Jard'Intérieur, pour un montant compris entre 90 et 132.999,99 € (HT, et pour 48 mois). 

En tout état de cause, ces appels d'offres d'entretien des espaces verts des champs d'antenne permettent aussi de recouper les informations que certains journalistes avaient précédemment rendues publiques au sujet des stations d'écoute et d'interception des télécommunications françaises, et confirment que ces «centres radioélectriques» sont bel et bien des installations de la DGSE.

1, 2 et 3.

La NSA, les services de renseignement ou de police judiciaire ne s'intéressent plus tant au contenu de nos télécommunications qu'à leur contenant, ces fameuses méta-données (qui communique avec qui, d'où, quand, pendant combien de temps, etc.) dont on a beaucoup entendu parler avec les révélations d'Edward Snowden notamment. 

De fait, le contenu de l'appel d'offres en question ne comporte rien de croustillant. En revanche, en annexe, figurent en clair les numéros de téléphone utilisés pour "construire" l'accès à Internet au sein de 7 sites de la DGSE: son siège parisien, et 6 de ses stations d'interception des télécommunications (3 en métropole, 3 outre-mer).

Le document révèle également que la DGSE voulait alors disposer de 11 accès à l'Internet dans son Centre radioélectrique de Domme –connu pour ses grandes antennes satellites–, et de 14 abonnements –dont 4 avec «accès à 50 Mbits/ symétrique»– dans son plus petit centre radioélectrique Lous Clots de Saint Laurent de la Salanque, bien plus discret, moins exposé mais néanmoins protégé par des barbelés –contrairement à la station de Domme. 

La caserne Mortier, elle, réclamait à l'époque 30 accès au Net type «grand public», plus deux accès symétrique à 50Mbits/s, et deux autres à 100 MBits/s. Dit autrement : ces stations peuvent certes communiquer, via le Net, mais pas sniffer l'intégralité du Net, comme certains ont pu le penser.

Les propriétés du document, quant à elle, révèlent que son auteur avait donc appelé son ordinateur... «MAGIQUE». 

 

Ce document, mis en ligne il y a 3 ans, est toujours accessible sur le web, et référencé par Google; prévenue, la DGSE n'a pas répondu.

2. Windows

Un marché passé par le MINDEF/BCAC - CG no350/T –probablement lié au service technique d'appui de la DGSE, Fort de Noisy– révèle qu'en 2007, la DGSE voulait acheter des Tablets PC durcis «intégrant un OS Microsoft Windows XP Tablet Edition». 

Or, donc, les espions français, censés défendre les intérêts de la France lors de leurs missions (top) secrètes, utilisent des ordinateurs blindés capables de résister au froid, à la pluie, au sable, aux chocs (etc.), mais qui utilisent un système Microsoft Windows XP Tablet Edition... 

Cette même année 2007, la DGSE réclamait cela dit une «présentation de linux embarqué», et tout plein de formations: à la «programmation noyau Linux», aux «techniques de lutte contre la cybercriminalité» (afin de «développer les compétences dans les dernières techniques d'investigation d'un système informatique basé sur Windows»), ainsi qu'au piratage éthique et contre-mesures. 

La liste détaillée des droits d'usage de licences logicielles acquises en 2007 révèle par ailleurs que MathWorks est, de loin l'éditeur de logiciels qui a coûté le plus cher cette année-là à la DGSE (658.150 € HT), loin devant Adobe (83.675,87 €), Corel (63.133 €), Macromedia (19 557 €), Microsoft (11 538 €), Symantec (1452 €), Apple (989 €) ou l'éditeur d'antivirus ZoneLabs (75 €).

En 2008, le marché de «concession de droit d'usage de produits logiciels de l'éditeur MICROSOFT» était déclaré infructueux. Depuis, la DGSE ne publie plus la liste de ses logiciels. 

On retrouve certes la trace des marchés conclus entre 2004 et 2010 sur le portail d'achats du ministère de la Défense, mais plus rien depuis que, en 2011, les listes des marchés conclus doivent être mises en ligne sur la Plate-forme des achats de l’état. 

L'article 133 du Code des marchés publics, qui s'applique aux marchés de défense ou de sécurité, est pourtant explicite :

Le pouvoir adjudicateur publie au cours du premier trimestre de chaque année une liste des marchés conclus l'année précédente ainsi que le nom des attributaires.

Contacté, Bercy n'a pas été en mesure de me dire ce qu'elle comptait faire pour que la DGSE respecte la loi.