Comment la Suisse traque les pirates informatiques

La division informatique du SRC s’occupe de la défense contre les cyberattaques: «Nous détectons plusieurs cyberattaques par mois» Image: Getty

C’est lui qui repousse les cyberattaques pour le Service de renseignement de la Confédération (SRC). Et qui, depuis que la Suisse a voté oui à la nouvelle loi sur le renseignement, peut aussi contre-attaquer. Nous rencontrons le chef de la division informatique du SRC au siège du Service de renseignement, dans la banlieue de Berne. C’est la première fois qu’il accorde une interview – sous couvert de l’anonymat complet.

Après avoir déposé carte d’identité et téléphone portable à l’entrée, l’interview peut commencer. Notre interlocuteur est un homme avenant d’à peine plus de 40 ans, qui ne correspond ni au cliché de l’agent ni à celui du génie de l’informatique. Auparavant dans le secteur privé, l’homme travaille «depuis longtemps» pour le SRC selon ses propres dires. Sous l’œil vigilant de la responsable de la communication, le chef de la division informatique répond sans ambages – mais s’arrête immédiatement lorsqu’il est question de détails opérationnels.

La nouvelle loi sur le renseignement a été clairement acceptée. Qu’est-ce que cela signifie pour votre division?

Jusqu’à présent, nous nous heurtions à des limites lorsque nous avions affaire à une cyberattaque. Prenez l’incident survenu au cours des pourparlers sur le programme nucléaire iranien en 2015 à Genève. Nous avons enregistré une attaque menée avec un virus informatique contre des systèmes informatiques d’hôtels de luxe. Ainsi, il est, par exemple, possible d’écouter des appels téléphoniques. Nous avons pu détecter l’attaque et identifier le logiciel malveillant. Mais, à l’époque, il nous manquait la base légale pour obtenir davantage d’informations sur les auteurs de l’attaque. Nous n’avions pas l’autorisation de pénétrer dans le réseau informatique ennemi pour y recueillir des informations et, si nécessaire, prendre des contre-mesures. Allez-vous désormais rattraper cela?

La nouvelle loi n’entrera en vigueur que le 1er septembre 2017. Quant aux questions opérationnelles, nous ne donnons aucune information. Lorsqu’un Etat étranger se cache derrière une cyberattaque, une contre-attaque de notre division peut rapidement dégénérer. C’est pourquoi ces opérations sont strictement réglementées. De toute façon, il faudrait d’abord examiner toutes les solutions possibles avant de demander la permission d’entrer dans un système ou un réseau informatique à l’étranger afin d’y perturber, prévenir ou ralentir l’accès à des informations, comme le prévoit la loi. L’approbation du Conseil fédéral serait nécessaire. Le ministre des Affaires étrangères, qui est responsable des bonnes relations avec l’étranger, devrait également donner son consentement avant que nous puissions commencer.

Avez-vous le droit d’engager des contre-attaques contre des ordinateurs situés en Suisse?

Non. En Suisse, nous pouvons uniquement pénétrer dans des ordinateurs lorsqu’une menace grave et concrète existe et lorsque les investigations des services de renseignement ont jusque-là été infructueuses. Et il nous faut également l’approbation du Tribunal administratif fédéral et du ministre de la Défense. Les contre-mesures ne sont toutefois pas autorisées quand il s’agit de collecter des informations.

L’existence d’attaques ou de menaces est-elle impérative? Ou pouvez-vous pénétrer de votre propre initiative dans des ordinateurs?

Comme je l’ai indiqué, cela est autorisé à l’intérieur du pays uniquement en cas de grave menace. A l’étranger, cette exigence n’est pas obligatoire. Cependant, nous collectons uniquement des informations dans les domaines de l’espionnage, de la prolifération et du terrorisme. Les obstacles sont majeurs: pour une telle opération à l’étranger, la Cour administrative fédérale, les ministres de la Défense et des Affaires étrangères ainsi que la ministre de la Justice doivent donner leur consentement.

Combien d’opérations par an – que ce soit de collectes d’informations ou de contre-attaques – menez-vous environ?

Ces opérations sont rares. Au SRC, nous prévoyons un total de dix à douze cas par an où des mesures de collecte spéciales sont employées. Dans le même temps, nous détectons tous les mois plusieurs cas de cyberattaques informatiques dans les domaines de l’espionnage, de la prolifération et du terrorisme.

Qui est la cible de ces attaques?

On a appris l’attaque contre la société d’armement RUAG, que nous avons découverte en janvier. Mais la Genève internationale, la place bancaire ou encore de plus petites entreprises qui offrent des technologies intéressantes constituent également des cibles.

Aidez-vous des particuliers à se défendre contre une cyberattaque?

Dans le cadre d’un programme de prévention, le SRC est en contact avec diverses entreprises. Il s’agit également de protéger ces entreprises contre les cyberattaques. Lorsque nous détectons des attaques, nous abordons les sociétés. En principe, le SRC est compétent lorsque des autorités publiques de l’étranger sont soupçonnées d’attaquer les intérêts suisses. Il peut ainsi s’agir d’attaques contre des infrastructures essentielles, d’attaques contre des grandes banques ou des individus s’ils présentent un intérêt particulier pour un Etat étranger.

Comment procédez-vous lorsque vous apprenez une telle attaque?

En règle générale, nous obtenons une première information. Nous l’examinons et nous nous appuyons sur diverses sources. Nous essayons ensuite d’identifier les réseaux informatiques des assaillants. D’où l’attaque a-t-elle été lancée? Où se trouvent les serveurs? Comment l’attaque s’est-elle exactement déroulée? A-t-elle laissé des traces? Nous analysons l’identité de la victime – y a-t-il ici un modèle, une victimologie? Cela peut permettre de tirer des conclusions sur les motivations de l’assaillant et donc sur l’assaillant en lui-même.

Et quand vous avez identifié l’assaillant?

Si ce sont des autorités publiques, le Conseil fédéral doit décider de la façon de réagir. Le spectre s’étend de la diplomatie à la possibilité mentionnée précédemment d’une cyber-contre-attaque.

Pour vos opérations, vous avez également besoin de logiciels malveillants. Où achète-t-on ces chevaux de Troie d’Etat?

Il y a des fournisseurs sur le marché. Nous disposons en outre des ressources nécessaires pour développer nous-mêmes ces logiciels. Cela dépend de la nature de nos besoins dans un cas concret.

Les possibilités accrues offertes par la nouvelle loi sur le renseignement impliquent aussi un plus grand besoin de personnel. Comment votre division va-t-elle se développer?

Le Conseil fédéral a spécifié dans son message relatif à la nouvelle loi que le SRC créerait au total 15,5 nouveaux emplois. Nous ne détaillons pas davantage ce chiffre dans la mesure où cela permettrait de tirer des conclusions au sujet de la taille de notre division. Je peux toutefois affirmer que, chez nous comme dans d’autres divisions du SRC, des agents de collecte d’informations et des analystes exploitent ces informations. Les analystes techniques dont nous avons besoin dans le domaine informatique, comme par exemple pour l’analyse de logiciels malveillants ennemis, constituent une des particularités de notre service.

Où trouvez-vous vos collaborateurs? Vous avez besoin de génies de l’informatique qui maîtrisent le piratage, mais qui sont aussi tenus au plus grand secret.

Nous annonçons régulièrement les postes à pourvoir. Avant que nous n’embauchions un candidat, celui-ci doit passer le test de sécurité le plus élevé qui existe pour les employés fédéraux. Ce test est effectué par la Division de la protection des informations et des objets (DPIO) du Département de la défense. La vie privée du candidat est également passée au crible, pour voir s’il est, par exemple, vulnérable au chantage. Nous sommes en mesure de choisir parmi un grand nombre de candidatures qualifiées.

Des services secrets étrangers recrutent des collaborateurs lors de championnats de hackers. Le faites-vous également?

Non, nous ne faisons pas cela. L’idée que nous sommes à la recherche du jeune génie de l’informatique au visage blafard qui passe la journée dans sa cave et pirate des ordinateurs est fausse. La cybersécurité est un domaine hautement professionnel avec des spécialistes bien formés et expérimentés. Ce sont des gens qui travaillent par exemple dans la cyberdéfense pour une institution financière ou qui effectuent des recherches dans une université.

Et ces personnes passent tout d’un coup dans le service secret?

Toute personne qui travaille chez nous contribue à la sécurité du pays et se dévoue à la défense contre des dangers réels. C’est un défi que de nombreux spécialistes aiment relever.

En 2012, un collaborateur du SRC a volé une grande quantité de données secrètes qu’il voulait vendre. Il a été démasqué par hasard. Comment éviter de tels incidents?

Nous ne donnons aucune information sur les mesures de sécurité internes – à l’exception du fait que les collaborateurs doivent passer périodiquement le contrôle de sécurité, même après une embauche. Vous pouvez cependant vous assurer que les leçons ont été tirées de cet incident.

Ne craignez-vous pas que l’un de vos collaborateurs ne devienne un jour un Edward Snowden suisse et ne dévoile les rouages internes?

J’ai entièrement confiance en mes collaborateurs.

Vos collaborateurs peuvent-ils dire à leur entourage qu’ils travaillent au Service de renseignement?

Dans le monde extérieur, ils disent généralement qu’ils sont employés par le Département de la défense, ce qui est également vrai. Nos collaborateurs doivent signer un accord stipulant qu’ils restent tenus au secret après avoir quitté le service et qu’ils n’ont pas le droit de transmettre des informations classifiées. Auquel cas ils sont passibles d’une peine. Ils peuvent en outre devenir des cibles pour les services de renseignement étrangers si le nom de l’employeur pour lequel ils ont travaillé est divulgué publiquement.

Vous menez donc la vie classique d’un agent qui ne peut dire à personne ce qu’il fait toute la journée?

Ce serait exagéré, nous ne menons pas une double vie. Ma femme sait, par exemple, où je travaille et ce que je fais. Mais, en règle générale, je discute avec elle d’autres sujets que mon travail. (Rires.)

*Nom connu de la rédaction. (Tages-Anzeiger) (TDG)

Créé: 09.11.2016, 11h06