Le «double jeu» des espions informatiques
Le Parlement suisse doit décider s’il autorise ou non le recours à des programmes informatiques d’Etat pour infecter les ordinateurs des criminels. Mais la résistance est vive: ces chevaux de Troie pourraient se retourner contre le citoyen lambda, avertissent plusieurs experts.
«Il y a dix ans, je n’aurais jamais imaginé que les gouvernements de pays démocratiques développeraient des virus informatiques pour les utiliser contre d’autres pays démocratiques, voire même contre leurs citoyens. C’est pourtant exactement ce qui est en train de se passer aujourd’hui». Pour Mikko Hyppönen, l’un des experts en sécurité informatique les plus réputés de la planète, le web s’est transformé «en une énorme machine de surveillance», comme il l’a déclaré à l’occasion de l’édition 2014 d’Insomni’hack, une conférence sur la sécurité informatique qui se tient chaque année à Genève.
Selon des documents révélés par l’ancien collaborateur de la CIA Edward Snowden et publiés mi-mars dans la presse, l’Agence de sécurité nationale américaine (NSA) avait prévu d’infecter des millions d’ordinateurs avec des codes malveillants (malware). Les Etats-Unis ne sont toutefois pas les seuls à utiliser ces logiciels gouvernementaux ou GovWare, prévient Mikko Hyppönen, directeur de la société F-Secure. L’informaticien finlandais pointe du doigt la Chine, l’Allemagne, la Russie et la Suède.
Et la Suisse dans tout cela? Les services secrets n’ont jamais fait usage de chevaux de Troie d’Etat, a assuré à la télévision suisse Jürg Bühler, vice-directeur du Service de renseignement de la Confédération. La police fédérale, au contraire, les a employés à plus d’une reprise. Ce qui n’a pas manqué de soulever la controverse, l’utilisation de ces espions informatiques n’étant pas encore réglementée par un cadre juridique clair.
Ordinateurs et téléphones portables visés
Le gouvernement entend colmater cette brèche avec une nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Le texte, sur lequel est appelé à s’exprimer la Chambre basse du Parlement (la Chambre haute l’a déjà accepté), prévoit le recours aux GovWare pour infecter – sous certaines conditions –ordinateurs, smartphones et autres appareils mobiles.
Le développement technologique de ces dernières années, en particulier sur Internet, a rendu de plus en plus difficile la surveillance du trafic des télécommunications dans le cadre de la poursuite de crimes graves, relève le gouvernement. Les opérations d’espionnage classique, telles que les interceptions téléphoniques, sont impuissantes face à des systèmes de communication cryptés tels que Skype.
D’où la nécessité de se doter de moyens adaptés à notre époque. Le potentiel de ces programmes informatiques est énorme, explique l’expert en nouvelles technologiques Paolo Attivissimo: «Ils sont capables de recueillir tout type d’information».
Plus
Les astuces du cheval de Troie
Le dilemme des antivirus
Depuis qu’elle a été mise en consultation en 2010, la nouvelle loi a subi le feu des critiques. «Nous critiquons le programme de surveillance américain Prism, mais la Confédération s’apprête à faire la même chose», a déclaré au quotidien Le Temps le député écologiste Balthasar Glättli. Pour le président du Parti Pirate Suisse, Alexis Roussel, ces programmes espions «constituent clairement une intrusion dans la sphère privée».
La violation de la sphère privée représente cependant un moindre mal. Selon Paolo Attivissimo, l’idée de propager des virus d’Etat est «préjudiciable à la sécurité de l’Internet dans son ensemble». L’expert soulève une question à ce sujet: «Face à un GovWare, comment doit se comporter une entreprise qui conçoit des antivirus? Doit-elle l’ignorer pour ne pas interférer dans l’enquête ou le bloquer pour ainsi protéger tous les utilisateurs? C’est un dilemme cornélien».
La société F-Secure de Mikko Hyppönen est à cet égard catégorique. «Les malware gouvernementaux, indépendamment de qui les a créés, seront combattus», peut-on lire sur le site du fabricant d’antivirus, qui prétend avoir identifié R2D2, un GovWare utilisé par plusieurs Länder allemands par le passé.
En Suisse, l’utilisation de softwares gouvernementaux (GovWare) pour des motifs de surveillance n’est pas réglementée par une base légale claire.
La nouvelle Loi fédérale sur la surveillance du trafic postal et des télécommunications autorise, entre autres choses, l’introduction de programmes espions dans les ordinateurs ou les appareils mobiles.
Ces logiciels permettent de récupérer le contenu de communications cryptées (e-mails, téléphonie sur Internet) et de recueillir des informations sur l’expéditeur et le destinataire. La loi exclut en revanche les perquisitions en ligne de l’ordinateur et la surveillance d’un local par une webcam ou un microphone.
Sur la base de ce texte, la police peut recourir aux GovWare uniquement pour faire la lumière sur des actes particulièrement graves (meurtres, trafic d’êtres humains, financement du terrorisme…) ou pour retrouver des personnes disparues ou en fuite.
En mars 2014, la révision a été acceptée à une large majorité par la Chambre haute du Parlement (Conseil des Etats). L’autre chambre, le Conseil national, se penchera sur la question ultérieurement. (Sa commission des affaires juridiques entamera l’examen de ce dossier les 26-27 juin.)
La loi soulève de nombreuses oppositions. Plusieurs associations spécialisées dans les questions numériques, les Verts et le Parti Pirate Suisse, ont déjà annoncé le lancement d’un référendum si le Parlement donnait son aval à cette loi.
Si un tel software venait à être signalé par le logiciel antivirus, n’importe qui pourrait commencer à l’étudier et à en faire une version qui servirait à des fins criminelles, observe Paolo Attivissimo. «A ma connaissance, il n’existe aucun cas documenté de ce genre. Mais c’est un scénario prévisible et il se réalisera tôt ou tard».
Demander au fabricant de l’antivirus d’ignorer le code malveillant signifie au contraire ouvrir une faille dans tous les systèmes informatiques des pays qui se protègent avec ce programme, soutient l’expert. «Un hacker pourrait utiliser le même produit en sachant qu’il ne sera pas intercepté. Au lieu d’accroître la sécurité du pays, l’introduction d’un virus d’Etat risque ainsi de rendre de nombreux ordinateurs vulnérables».
Contacté par swissinfo.ch, l’Office fédéral de la police (fedpol) affirme que GovWare n’a pas l’intention de causer des dommages au système ou de modifier les mécanismes de sécurité. Tout en reconnaissant qu’un spécialiste pourrait identifier et analyser ce type de logiciel, fedpol estime que les craintes d’un détournement sont infondées: sur Internet, on peut obtenir des logiciels malveillants bon marché dont la fonctionnalité dépasse amplement celle d’un GovWare.
Pas les compétences en Suisse
Spécialiste du renseignement économique, Stéphane Koch relève d’autres aspects problématiques: «Nous ne sommes pas à l’abri d’un comportement humain malintentionné: un policier ou un employé de la société qui développe le logiciel pourrait l’utiliser à des desseins personnels».
De par leur nature même, les technologies impliquent d’externaliser des données et des compétences qui ne devraient pas l’être, poursuit Stéphane Koch, qui est membre d’Internet Society, une organisation internationale pour la promotion de l’accès au réseau. «Plus le nombre de personnes travaillant sur le projet est important, plus le risque d’abus augmente». Les opérations illégales, poursuit l’expert, peuvent intervenir au niveau des manipulations du cheval de Troie, mais également lors de la transmission des données recueillies ou de leur stockage dans des serveurs et centres de données, souvent localisés à l’étranger.
En Suisse, aucune entreprise ne possède les compétences nécessaires pour développer son propre software à partir de zéro, estime Ruben Unteregger, l’informaticien qui a participé à la programmation de R2D2. «Elles ont besoin de s’appuyer sur les plus grandes sociétés internationales, qui fournissent des produits dans le monde entier», explique-t-il dans une interview publiée sur le site d’information Watson.ch.
Que faire alors? Se doter d’une arme à double tranchant ou renoncer à un outil dont le potentiel est énorme? Selon Stéphane Koch, quelques astuces suffiraient à garder le contrôle sur le cheval de Troie. «L’activation pourrait n’être rendue possible que grâce à des ‘clés’ que seules quelques personnes connaissent, les juges par exemple. Il serait ainsi possible de voir quand et par qui les virus ont été activés».
La Suisse a eu recours à des logiciels de surveillance pour espionner les ordinateurs de personnes suspectes dans au moins quatre cas, a confirmé le Département fédéral de justice et police en octobre 2011. Les opérations, ordonnées par le Ministère public de la Confédération et autorisées par le Tribunal pénal fédéral, visaient à lutter contre le terrorisme.
De janvier à avril 2008, les autorités fédérales ont intercepté les e-mails et les conversations téléphoniques de l’activiste de gauche zurichoise Andrea Stauffacher, selon la Neue Zürcher Zeitung. Le programme informatique a été vendu par l’entreprise allemande Digitask pour 26’000 euros (environ 31’000 francs), selon le quotidien zurichois.
Les chevaux de Troie ont également été utilisés au niveau cantonal. En 2007, les forces de police du canton de Zurich en ont fait usage dans le cadre d’une opération antidrogue. En 2011, le Ministère public du canton de Vaud a mandaté une société suisse pour concevoir un tel logiciel, qui a permis l’arrestation d’un homme suspecté de pédophilie.
(Traduction de l’italien: Samuel Jaberg)
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.