L’exploitation des failles des jeux en ligne dans le viseur de la DGSE
L'espion sur l'échiquier technologique
Le ministère des Armées a fait diffuser son catalogue d’offres de stage pour 2019. Dans le lot, une annonce pour le moins inhabituelle : les services du renseignement recherchent une personne sachant exploiter les failles de sécurité sur les jeux connectés les plus populaires. D’autres offres à relever témoignent des points d’intérêt de ses espions.
Cette annonce s’intercale dans une grande campagne de recrutements d’espions, comme le relevait cet article du Figaro en 2017, épinglé par la DGSE. Objectif ? 600 emplois supplémentaires pour atteindre le seuil des 7 000 postes d’ici la fin 2019.
Dans ce lot des offres de stages, la DGSE, service du renseignement du ministère des Armées, craint spécialement que des informations sensibles puissent être échangées sur les jeux vidéo connectés.
Que ce soit sur PlayerUnknown's Battlegrounds (PUBG), Fortnite, Counter Strike, WoW ou encore League of Legends, « de plus en plus de personnes utilisent les jeux vidéo connectés afin d’en détourner leur utilisation première », écrit-elle.
D’après les connaissances de ces services, « les moyens de communication mis à disposition dans ces jeux sont utilisés de manière furtive afin d’échanger de l’information spécifique ». Le ministère entend donc plonger ses limiers dans ces technologies et les protocoles associés, comme le relève un article de la lettre Intelligence Online, repris par Le Monde.
Une cartographie des jeux les plus populaires, avant rétro-conception
Pour ce stage de six mois, techniquement, le candidat devra dès lors être doté d’un bac+5 avec des compétences en assembleur x86/x64, C/C++ et Python. Autonome, persévérant et autodidacte, il aura des connaissances en protections logicielles et saura exploiter les vulnérabilités publiques.
Trois thèmes sont mis en avant dans l’annonce : d’abord, l’heureux élu devra « effectuer une cartographie des jeux vidéo connectés largement répandus (part de marché, estimation du nombre de joueurs, CVE [failles connues]…) ». Notons que ces jeux en ligne sont mis à jour automatiquement par leurs éditeurs. Exploiter des failles connues peut donc être compliqué.
Dans ce panel de vulnérabilités, le stagiaire sélectionnera « un ou deux bons candidats et en effectuer une rétro-conception afin d’en extraire des signatures réseau ». Une manière, comme le signale justement Le Monde, d’identifier les données relatives à ces flux dans la masse chalutée par les services. Enfin, il saura rechercher et exploiter de nouvelles failles de sécurité.
Un droit de décompilation encadré, des pouvoirs de renseignements étendus
En France, le droit de décompilation est très encadré. L’article 122-6-1 du Code de la propriété intellectuelle permet néanmoins à une personne ayant le droit d'utiliser un logiciel d’« observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer ».
Les agents du renseignement constituent néanmoins une population à part. Depuis la loi Renseignement et surtout celle sur la surveillance des communications internationales, les pouvoirs des services ont été remis au goût du jour.
À l’étranger, ils disposent déjà d'outils aiguisés, notamment s’agissant des traitements automatisés qui peuvent être mis en œuvre pour l’ensemble des finalités intéressant les « intérêts fondamentaux de la Nation », et donc pas seulement la lutte contre le terrorisme à l'instar des fameuses boîtes noires.
La loi Renseignement a intégré en outre un article 323 - 8 dans le Code pénal autorisant les services à commettre des actes qualifiés normalement de piratage informatique, dès lors que ceux-ci sont destinés là encore à « assurer hors du territoire national la protection des intérêts fondamentaux de la Nation ».
Ajoutons que la loi de programmation militaire pour 2019 - 2025 a ajusté l’article L.4123 - 12 du Code de la défense pour rendre irresponsable pénalement le militaire qui, à l’étranger, mène des « actions numériques (…) lorsque cela est nécessaire à l'exercice de sa mission ».
Un bestiaire des points d’intérêt du ministère
Le long catalogue de stages est très précieux, en ce qu'il constitue un vrai bestiaire des points d’investigations ou d’inquiétudes du service (voir à ce titre cet article de notre confrère Jean-Marc Manach, datant de janvier 2018).
Dans une autre annonce, le ministère cherche ainsi un stagiaire pour plancher sur le développement d'un algorithme d'évaluation de liens télécoms, « dans le cadre de l'optimisation de ses capacités de recueil technique ».
Il est également en quête d’un stagiaire pour aiguiser ses analyses de graphes relationnels, où « la recherche de méthodes mathématiques et algorithmiques pour la mise en évidence automatique de nœuds et autres structures d'intérêt (…) s'avère un enjeu important ».
Sur le terrain du traitement automatique des données massives, le Ministère des armées a les yeux également rivés sur les analyses du passé, la prédiction de comportements futurs et la détection d'événements anormaux, à coup d’algorithmes.
Keylogging, illusion d’un téléphone éteint, failles sur les apps
Dans l’annonce STG-219-SSI-617, il avoue « s'intéresse[r] fortement aux produits développés par Google et Apple, notamment en termes de plateformes mobiles ».
Ainsi, il veut se doter d'une application Web permettant la gestion et l’analyse des ROMs Android et Apple, au motif qu’elles « contiennent beaucoup d'informations techniques intéressantes et les différents constructeurs de téléphones les modifient afin d'y ajouter leurs propres applications ».
Dans une autre annonce, le ministère souhaite étudier les tréfonds d’Android « et leurs éventuels usages détournés ». Il est en quête du développement d'un rootkit spécifique, avec différentes fonctionnalités, comme l'enregistrement de frappes clavier (keylogging), l’installation et désinstallation discrète d'applications, le masquage d'applications ou la modification du comportement du système.
Dans une offre, il veut « simuler un smartphone éteint ». Cette « illusion » devra être parfaite, exige-t-il, à tous les niveaux : arrêt de l'écran, LED, vibrations, haut-parleur, connectivité, etc. Toutefois, « certaines fonctionnalités et capteurs du smartphone (réseau, caméra, GPS, etc.) pourront alors être utilisées si besoin ».
Les applications sont également au cœur de ses attentions. « Aujourd'hui, l’avènement des smartphones induit une utilisation massive d'applications de tous types (messagerie, stockages de photos/vidéos, streaming de musique, etc.) ».
Dans cet écosystème, « ces applications communiquent avec leurs serveurs ou bien entre elles via plusieurs protocoles standards ou propriétaires ». Néanmoins, des protocoles présentent des failles, rendues publiques ou non. L'objectif du stage sera dès lors « d'étudier les protocoles d'une application afin d'identifier les canaux de communications (transfert de médias, publicités, etc.) et les éventuelles failles ».
Commentaires (48)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/01/2019 à 18h48
Notons que ces jeux en ligne sont mis à jour automatiquement par leurs éditeurs. Exploiter des failles connues peut donc être compliqué.
Les mises-à-jour sont faites automatiquement sur les jeux récents et dont le serveur est centralisé par l’éditeur. Toutefois, ce n’est pas le cas de tous les jeux vidéo.
Outre les Counter Strike et consorts qui peuvent être auto-hébergés, il y a aussi d’autres jeux très populaires, dont Minecraft, pour lequel il existe un très large marché de location de serveurs pré-configurés qui ne sont probablement pas infaillibles. Moi-même, j’ai installé un serveur pour le jeu Factorio, qu’il faut mettre à jour manuellement.
En complément, il existe aussi des jeux pirates, aux failles plus difficiles à combler de par le principe même de l’obtention illicite de l’exécutable de la partie serveur. Je pense en particulier aux serveurs “privés” de WoW.
Le 07/01/2019 à 20h48
Le stage c’est de l’esclavage 2.0 c’est ça?
" />
Le 07/01/2019 à 20h54
Tu peux récupérer un CDI en fin d’étude oui, mais tu ira surement faire de la gestion firewall ou proxy dans une grande boite avant d’avoir une mission aussi intéressante.
L’ajout d’avoir bossé là bas te fait gagner au moins 300 à 400 € sur le salaire mensuel aussi.
Le 07/01/2019 à 20h55
un mec qui sort de bac +5 n’est pas du tout “embauchable” il manque toute la partie professionnel, c’est la faiblesse du system éducatif francais
Le 07/01/2019 à 21h10
Le 07/01/2019 à 21h29
Le 08/01/2019 à 00h11
Surtout en sécu sinon c’est moyennement vrai.
L’expert cyber est recherché, le dev java beaucoup moins, en tout cas pas au même salaire.
Le 08/01/2019 à 05h44
Le 08/01/2019 à 06h39
Ça ne choque personne qu’on cherche spécifiquement des stagiaires pour ce genre de boulots… 😅
Le 08/01/2019 à 07h41
Le 08/01/2019 à 07h50
La plupart des diplôme ingé requièrent un stage de fin d’étude obligatoire qui est loin d’être de l’esclavage comme tu dis…
Chez nous, on recrute chaque année 2-3 stagiaires en dernière année, pour des projets ou des développements précis.
Et crois moi, ils sont loin d’être des esclaves, ils sont bien payés et ont tous les avantages de la société :)
Faut arrêter avec le stéréotype du stagiaire qui sert à faire le café et les photocopies hein :)
Le 08/01/2019 à 07h59
Non pas du tout car ce sont des propositions de stages et non pas des boulots
Le 08/01/2019 à 08h31
Non, au contraire. C’est cool que la DGSE se préoccupe un peu de la formation des jeunes et propose des sujets de stage intéressants.
Le 08/01/2019 à 08h35
Et ils ont quoi à dire les éditeurs étrangers quand il se rendront compte qu’on hacke leur jeu en exploitant des failles connues (pas très grave) ou alors en en cherchant des nouvelles (plus grave si derrière il n’y a pas communication aux équipes de dev’) ?
Ok pour la finalité, on est encore sur de la lutte contre le terrorisme et tout le bazar, mais cette pilule on nous l’a quand même fait bouffer beaucoup de fois en 20 ans pour faire passer tout et n’importe quoi.
Le 08/01/2019 à 09h53
Ca doit etre passionant comme stage, ils doivent avoir un paquet de candidature. Par contre il doit falloir sacrement etre bon pour un stagiaire pour etre selectionné…
Le 08/01/2019 à 10h49
exact cela doit être passionnant
" />
Je connais une école d’informatique ou un de projets chaque année est pour les 3 ème années d’attaquer les systèmes des 4ème années.
Bien sûr les plus jeunes ne rèvent que de hacker les plus anciens et les plus anciens ne peuvent imaginer se faire avoir par des plus jeunes.
Le projet passionne tout le monde , et est bénéfique pour tous
Je suppose que de vouloir montrer son talent à la DGSE doit être très valorisant
Le 12/01/2019 à 21h06
fred42 > en effet, ayant déjà eu à participer à la rédaction d’annonces de stage dans la fonction publique, un « stage pour Bac+5 » voulait toujours dire « Bac+5 à la validation du stage » et non « Bac+5 avant le stage ». Je n’ai jamais vu le moindre stage cibler une personne ayant fini ses études, à vrai dire.
Le 07/01/2019 à 16h06
comme dans Occupied
" /> (et aussi dit dans l’article du Monde)
Le 07/01/2019 à 16h14
Un stagiaire qui ressemble fortement a un poste déguisé….
Le 07/01/2019 à 16h30
Suis-je le seul à penser qu’une personne correspondant au profil (bac +5, dev et hacker) peut facilement tourner le dos à un simple stage ?
Le 07/01/2019 à 16h35
J’ai un autre type de question. Qu’apporte le dit stage au stagiaire ? Est-ce un moyen d’évaluer la personne avant de lui proposer autre chose ? Il me semble que le niveau d’accréditation de ce genre de poste est très élevé, en plus des compétences demandées.
Le 07/01/2019 à 16h36
Le 07/01/2019 à 16h48
En quoi ça pose un problème que ce soit un stage ? Si le candidat fait l’affaire et qu’il y a du travail il sera sans doute embauché, ça fait une bonne période d’essai, tout le monde est gagnant.
Merci pour l’article, l’espionnage est un jeu du chat et de la souris, mettez bien à jour vos équipements et logiciels.
Le 07/01/2019 à 16h58
Je pense que dans un CV , ça facilite et oriente bien le dialogue dans un RDV d’embauche.
Le 07/01/2019 à 17h01
Parce que c’est tellement facile de récupérer un CDI en sortir d’étude qu’à moins que le stage soit exceptionnellement élevé ou qu’il conduise pas trop longtemps après à une embauche à un salaire exceptionnellement élevé, ça vaut juste pas le coup.
Le 07/01/2019 à 17h12
C’est peut-être des stages parce que ça sert de filtre pour sélectionner les personnes les plus malléables ?
Mais il faut aussi considérer que cet article, par définition, ne parle pas des offres qui ne sont pas des stages…
Le 07/01/2019 à 17h16
Le 07/01/2019 à 17h20
Le stage “ingénieur”de 6 mois est souvent(toujours?) une condition du diplôme d’ingénieur.
Le 07/01/2019 à 17h56
Pourquoi un stage? Bah, peut-être simplement parce que la DGSE doit compter son fric comme tous les organismes publics et qu’ils espèrent que l’attrait du “jeu vidéo” suffira à attirer du monde?
Le 07/01/2019 à 18h31
> Dans une offre, il veut « simuler un smartphone éteint ». Cette « illusion » devra être parfaite, exige-t-il, à tous les niveaux : arrêt de l’écran, LED, vibrations, haut-parleur, connectivité, etc. Toutefois, « certaines fonctionnalités et capteurs du smartphone (réseau, caméra, GPS, etc.) pourront alors être utilisées si besoin ».
Y’a que moi que ça choque ? oO
Le 07/01/2019 à 18h37
Le 07/01/2019 à 18h42
Nan mais. La connectivité c’est n’importe quel moyen de connexion avec d’autres périphériques. Le réseau en fait partie.
De la même manière, simuler un téléphone éteint nécessite de couper toute émission d’ondes radios, sinon c’est détectable. Et dans ce cas on a plus de réseau, de Wifi, de Bluetooth, et de connectivité plus globalement.
C’est comme demander à un carré d’être rond en même temps. C’est pas possible.
Le 08/01/2019 à 13h40
ils n’ont rien à dire, à part “on paie grassement notre équipe d’infosec, on fait du pentest”, bref, “on se donne les moyens de protégrer les données de nos clients”.
concernant la communication aux équipes de l’éditeur, par quel incroyable détournement de sa finalité la DGSE irait-elle tuyauter un éditeur sur les failles d’un soft qu’elle utilise pour faire du renseignement?
La pilule du terrorisme est effectivement bien pratique et permet de sensibiliser le grand public qui est directement concerné, et crois bien que la DGSE ne fait pas que de l’anti-terro, loin de là. Seulement c’est effectivement plus facile d’obtenir des sous quand on fait jouer la corde sensible de l’anti-terrorisme plutôt que celle du renseignement “classique”.
Le 08/01/2019 à 14h39
Le 08/01/2019 à 15h33
Le “je” est important, toi != tout le monde
Le 08/01/2019 à 15h46
Faut un peu se calmer avec le stéréotype des mecs qui trouvent pas de boulot
3 jeunes bac + 5 ( domaine informatique mais différentes écoles et branches) dans ma famille ils ont tous trouvé des boulots très sympa et très bien rémunérés.
Le 08/01/2019 à 16h01
Le 08/01/2019 à 16h03
Le 08/01/2019 à 16h28
Oui bien sûr
" /> … subtilité
" />)
Mais la discussion sur cette news et une autre ( je sais plus laquelle) , parlait d’informatique et de stage à la DGSE en informatique alors dire que un stage c’est de la m… c’est esclavage 2.0 ça sert à pas grand chose, etc …ça me surprend beaucoup
Moi j’ai pris des gens en stage et ils étaient heureux et bien payés, ces gens ont tous trouvé des débouchés et sont d’ailleurs revenus nous faire des coucous une fois en pleine embauche ( ce qui est très sympa
j’en ai 1 qui est maintenant CCIE et l’autre VCDX , et dans la famille c’est pareil
Le verre est plus qu’à moitié plein de mon point de vue.
Le 09/01/2019 à 09h53
Dans l’informatique c’est spéciale car en France ont manque de candidats
Demande a n’importe quel étudiant bac +5 tu verras que sans passer par une période stage, c’est impossible de trouver un CDI/CDD longue durée
Le 09/01/2019 à 10h09
On parle là d’informatique justement. Et le sujet initial, c’est qu’un stage pour une personne dotée d’un bac + 5, a moins qu’il soit très bien rémunéré ou amène a un poste très bien rémunéré, c’est moins intéressant que juste changer son profil LinkedIn en “recherche un emploi” et signer un CDI le soir même.
Et ça c’est l’état actuel du marché informatique en France, pour n’importe quelle personne avec le mot clé ‘développeur’ dans son CV.
Le 09/01/2019 à 12h42
En effet - si je ne me trompe pas, “développeur” était l’emploi le plus demandé en 2017 !
P.S.: Ça veut dire quoi aussi “passer par une période stage” ?
Ça me semble un peu tautologique, j’ai du mal à croire qu’il existe encore des Masters sans stage obligatoire ?
Le 09/01/2019 à 12h45
Justement, je m’attendrais à ce que les stages en informatique soient bien mieux rémunérés que la moyenne…
Le 09/01/2019 à 12h49
Parce que plus tu es jeune, plus tu es malléable.
Important pour une entreprise dont l’exercice du métier par les employés risque de leur poser pas mal de questions étiques !
(Et quelqu’un avec des années de métier a moins de chances de vouloir postuler pour un stage.)
Le 09/01/2019 à 14h53
Dans mon entreprise, un stage de M1 c’est 1200€ par mois, 1400€ pour les M2. Mais une fois diplômé, on prends pas en stage, simplement parce que la demande n’existe pas.
Pourquoi faire un stage une fois diplômé alors qu’on pourrait juste prendre un CDI ?
C’est juste ce qui me trigger sur cette annonce : un stage (pourquoi pas) mais besoin d’une personne diplômée (WTF)
Le 10/01/2019 à 18h00
Oui, alors que le minimum légal pour un stage rémunéré c’est plutôt dans les 400€/mois…
Tu es sûr que c’est forcement pour quelqu’un de déjà diplômé?
Moi j’ai compris cette annonce comme cherchant quelqu’un ayant déjà un Master ou étant encore en M2…
Le 10/01/2019 à 18h46
“Pour ce stage de six mois, techniquement, le candidat devra dès lors être doté d’un bac+5 avec des compétences en assembleur x86/x64, C/C++ et Python”
Moi je le comprends comme devant avoir un Bac +5, pas en cours d’acquisition.
Le minimum pour un stage d”une durée supérieure ou égale a 3 mois, c’est 550€ en moyenne (taux horaire, donc février et les mois à 30 jours rapportent moins).
Le 10/01/2019 à 19h34
J’ai lu quelques offres de stages en lien et il est indiqué niveau bac + 5. Je pense plutôt à un raccourci de Marc qui n’est pas habitué à cette différence.
Edit : pour être plus clair, niveau bac + 5 veut dire que l’on n’a pas encore le diplôme.