Par
Publié mercredi 4 décembre 2013 à 20:02

Avant même d’être passée devant le parlement, la nouvelle loi sur le renseignement est en train d’être discrètement réécrite pour en gommer l’un des aspects les plus controversés: la possibilité pour les services secrets suisses de lancer, de leur propre initiative, une cyberguerre contre un Etat étranger.

Dans sa version originelle, la loi autorise le Service de renseignement de la Confédération (SRC) à «s’introduire dans des systèmes et des réseaux informatiques» pour recueillir des données secrètes. Mais aussi à «perturber, empêcher ou ralentir l’accès à des informations» – c’est-à-dire à causer le crash d’un système –, à condition que les réseaux informatiques visés soient «utilisés dans des attaques visant des infrastructures critiques» de la Suisse.

L’article 32 du projet de loi précise que, pour mener de telles attaques, le SRC n’a pas besoin d’autorisation du Tribunal administratif fédéral et de la délégation de sécurité du Conseil fédéral, pour autant que ces réseaux se trouvent à l’étranger.

Cette disposition suscitait déjà, au printemps dernier, l’inquiétude de quelques initiés à Berne. «Cette loi donne au SRC la compétence de déclencher une cyberguerre contre n’importe quel pays, s’alarmait l’un d’eux. Normalement, en Suisse, on élit d’abord un général!» Selon nos informations, le Département fédéral des affaires étrangères a aussi fait part de ses réticences envers cette disposition.

Lors de la consultation qui s’est achevée cet automne, des acteurs de la scène numérique se sont émus du risque de guerre cybernétique. L’article 32, alinéa 2 du projet de loi représente une «profession de foi du SRC en faveur d’une guerre cybernétique et d’un «piratage» (hacking) pratiqué sans autorisation par notre Etat», réagissait ainsi le Chaos Computer Club de Zurich.

Interrogé par Le Temps, le SRC précise qu’il n’est «pas question de déclencher une cyberguerre» et que la chose ne serait «pas possible légalement». Sa porte-parole, Isabelle Graber, indique cependant que les deux articles incriminés du projet de loi – l’article 32 al. 2 et l’article 22 al. 1 – sont en train d’être «réexaminés et ajustés en fonction des remarques faites lors de la consultation». L’un des points actuellement en discussion est de savoir à quelle instance la décision de riposter à une cyberattaque devrait être soumise. Car, insiste le SRC, il n’est pas question pour la Suisse et son service de renseignement de lancer une offensive informatique contre qui que ce soit, seulement de répliquer à une agression.

Ce scénario n’a rien de théorique. En 2012, le Département fédéral des affaires étrangères avait été la cible d’une attaque informatique massive. Sous le couvert de l’anonymat, un diplomate l’attribue à «un ex-empire communiste d’Europe de l’Est, dont les services avaient une longue expérience d’espionnage dans notre pays» – en clair la Russie, dont les hackers sont réputés particulièrement habiles.

Parallèlement à cet épisode, Berne a défini une stratégie contre les cyberattaques, qui concerne l’ensemble de l’administration. «Tous les offices fédéraux sont en train de la mettre en œuvre, et pour cela il faut prévoir des moyens humains», précise Mauro Vignati, de la centrale Melani, qui recense les attaques informatiques contre les particuliers et les entreprises helvétiques.

Mais pas question pour les autorités d’en dire plus, indique, dans un courriel, Pascal Lamia, de Melani: «Nous ne nous prononçons pas sur les ressources à disposition contre les cyberattaques, afin d’empêcher un agresseur éventuel de se faire une image précise de nos capacités et de nos moyens de défense.»

Il s’agirait d’un «piratage pratiqué sans autorisation par notre Etat», selon le Chaos Computer Club