La nouvelle avait fait les gros titres: pendant des années, des cyberspécialistes du Service de renseignement de la Confédération (SRC) ont traqué illégalement des pirates informatiques. Ceux-ci ont été espionnés de 2015 à 2020 – sans les autorisations nécessaires. Telle était la conclusion d'une enquête administrative externe menée par l'ancien juge fédéral Niklaus Oberholzer, mais dont le Département de la défense (DDPS) n'a présenté que des extraits fin 2022.
Jusqu'à présent, le Conseil fédéral ne voulait en aucun cas publier le rapport complet. Le document de 90 pages était classé secret. Le gouvernement a également rejeté en bloc les demandes du Parlement.
Plusieurs raisons avaient été avancées pour justifier cette décision. Le rapport ne s'appuie pas uniquement sur des sources secrètes. Il décrit entre autres les méthodes concrètes de collecte d'informations. Tout cela ne devait en aucun cas être rendu public, avait estimé le Conseil fédéral au Conseil national.
«Développement croissant de méthodes propres»
Mais le rapport sur la cyberaffaire est désormais disponible, même si certains passages décisifs ont été caviardés. Blick a pu le consulter. Les services secrets ne veulent pas s'épancher sur le sujet, notamment parce que Niklaus Oberholzer ne leur donne pas une bonne image. L'ancien juge fédéral dresse un tableau sévère: les gardes-chiourme suisses ont agi de manière peu professionnelle.
Ainsi, le nouveau département cyber s'est procuré illégalement des données auprès de fournisseurs privés et les a transmises à des entreprises de sécurité informatique privées. Des fonds auraient également été versés. Le tout sans autorisation, selon son propre bon vouloir. Le SRC a ainsi réussi à repousser les cyberattaques contre la Suisse, admet Niklaus Oberholzer.
Seulement, ce succès repose sur de graves violations de la loi. Elles n'ont pas été entièrement examinées à ce jour. Les processus n'ont pas été suffisamment saisis, documentés et contrôlés, «de sorte qu'une reconstitution ultérieure des processus dans le détail s'avère impossible», critique Niklaus Oberholzer.
Le mal aurait commencé très tôt. Le département de cyber-sécurité aurait été mis en place en 2014 sous une forte pression. «Lors de l'introduction de Cyber SRC, le chef nouvellement nommé à l'époque a pris soin de prendre les dispositions qu'il jugeait appropriées et nécessaires pour pouvoir répondre aux attentes placées dans le département», commente Niklaus Oberholzer. Ce faisant, le nouveau département est parti d'une position particulière, «et a développé de plus en plus ses propres méthodes de collecte et de traitement des données».
«Sources de critiques muselées»
Et toute cette situation était connue de la direction. «Les supérieurs et la direction se sont essentiellement contentés d'être rassurés par l'ancien chef que tout était en ordre», peut-on lire dans le rapport. «Les conclusions mènent à une absence d'une direction et d'une surveillance efficaces.»
Néanmoins, Niklaus Oberholzer ne veut pas accuser les espions suisses de mauvaise foi. Ils n'ont pas délibérément enfreint la loi, mais «méconnu la situation juridique». En d'autres termes, les cyberspécialistes n'avaient pas conscience d'avoir fait quelque chose d'illégal. Il y avait toutefois des signes que la direction n'a pas voulu reconnaître. Elle n'est intervenue que lorsque les problèmes au sein du département cyber n'ont plus pu être dissimulés.
Les questions ou critiques naissantes des collaborateurs n'ont pas été prises au sérieux. Le directeur du SRC de l'époque, Jean-Philippe Gaudin, aurait même tenté de minimiser une première enquête interne. «Certaines personnes au sein du service n'avaient pas pour objectif de clarifier les faits, mais de faire taire les sources de critiques», peut-on lire dans le rapport d'enquête.
Tentative de créer un bouc émissaire?
En effet, le rapport constate qu'il n'est pas possible d'exclure un comportement punissable lors de la collecte illégale de données. Mais cela ne suffit pas pour ouvrir une procédure pénale concrète. Certes, l'ignorance du droit ne protège normalement pas contre une peine. Mais dans le cas présent, il s'agit de délits intentionnels, ce qui signifie que les personnes concernées auraient dû agir de manière coupable en connaissance de cause. Comme les responsables prétendent avoir enfreint la loi sans le savoir, ils ne peuvent pas être tenus responsables.
Parallèlement, la cyberaffaire a manifestement été jugée si grave que des têtes sont tombées. Le service de renseignement s'est ainsi séparé du chef de secteur responsable – sans en informer le public. A tort, selon ce dernier. «Il a l'impression que ... (note de la rédaction: texte caviardé) a tenté de créer un bouc émissaire et de lui faire porter toute la responsabilité», peut-on lire dans le rapport de Niklaus Oberholzer.
Peu de temps après, le chef du SRC Jean-Philippe Gaudin, tombé en disgrâce auprès de la ministre de la Défense Viola Amherd, a dû lui aussi prendre son chapeau. Mais pour le reste, le service de renseignement s'en est sorti indemne jusqu'à présent.
Reste à savoir si cela restera ainsi. Les parlementaires ne sont pas les seuls à être mécontents, l'autorité indépendante de surveillance du service de renseignement l'est également. Elle veut plus d'informations sur les incohérences et a lancé une nouvelle enquête. Il n'est pas certain que les services secrets puissent et veuillent cette fois-ci fournir davantage d'informations.