Les services secrets suisses entretenaient des contacts avec des entreprises russes, ce qui présentait également des avantages.

Ce que Kaspersky a publié il y a dix ans avait un potentiel explosif. L'entreprise russe de sécurité informatique avait publié des informations sur un malware extrêmement sophistiqué, le rendant ainsi inutilisable. Une agence de renseignement occidentale avait utilisé ce malware pour ses activités d'espionnage. Parmi les cibles figuraient les négociations nucléaires avec l'Iran et l'entreprise russe Kaspersky elle-même. Et la Suisse se trouvait au cœur de l'affaire.

Au printemps 2015, des négociations de haut niveau sur un accord nucléaire avec l'Iran auront lieu à Lausanne et à Genève. Y participeront les États-Unis, la Russie, la Chine et l'Allemagne. Les sujets abordés par les diplomates dans les salles de conférence des luxueux hôtels suisses intéressent vivement un pays absent des négociations : Israël.

Le pays a alors lancé une campagne d'espionnage. Des attaquants ont pénétré les systèmes informatiques des hôtels à l'aide du malware Duqu 2.0, un logiciel sophistiqué que peu de pays étaient capables de développer.

Le Service fédéral de renseignement (NDB) a récemment mis sur pied une équipe cybernétique au printemps 2015. Elle a commencé à enquêter sur l'opération d'espionnage. Selon une source, le NDB collabore avec Kaspersky Lab, qui avait précédemment découvert Duqu 2.0 sur ses systèmes. Le NDB parvient à sécuriser de nombreux ordinateurs infectés sur trois sites. Le Ministère public de la Confédération ouvre une procédure, qui est ensuite abandonnée . La Suisse serait toutefois intervenue auprès d'Israël par voie diplomatique.

Cet incident aurait marqué le début d'une collaboration entre le FIS et l'entreprise de sécurité informatique Kaspersky, qui a duré plusieurs années. Le responsable de l'équipe cyber du FIS et un contact de confiance chez Kaspersky aurait notamment eu plusieurs contacts. Ce contact aurait été le responsable de longue date du département de recherche et d'analyse de Kaspersky, un spécialiste respecté de la sécurité informatique ayant travaillé chez Kaspersky jusqu'en 2023 – et, fait notable, originaire de Roumanie, et non de Russie.

Aujourd'hui, dix ans plus tard, cette coopération avec Kaspersky est critiquée. SRF a eu accès à un rapport d'enquête confidentiel du Service fédéral de renseignement (NDB) concernant les activités de l'équipe cyber. L' enquête de SRF donne l'impression que l'équipe cyber, et plus particulièrement son chef, étaient proches de la Russie et auraient même coopéré avec les services de renseignement russes.

Mais ce point de vue n'est pas convaincant. Plusieurs experts en sécurité informatique, interrogés par la NZZ, ont remis en question l'interprétation de SRF. Ils ne considèrent pas la collaboration avec Kaspersky comme fondamentalement problématique. Les faits désormais rendus publics par SRF laissent également de nombreuses questions sans réponse. Les sources des allégations, reprises par SRF, ne sont pas impartiales.

Dans l'ensemble, une affirmation tout à fait différente semble plausible : la collaboration avec Kaspersky a peut-être été très bénéfique pour la Suisse. C'est ce que montre l'analyse des points controversés.

Les entreprises de sécurité informatique sont des partenaires attractifs pour les services de renseignement. Les entreprises privées identifient souvent les cyberopérations menées par des États ou des criminels plus tôt que la plupart des services de renseignement. Elles disposent également d'informations qui peuvent être combinées à d'autres données pour obtenir une vue d'ensemble. L'échange d'informations est donc intéressant pour les deux parties.

Kaspersky, fondée à Moscou en 1997, est rapidement devenue l'une des plus importantes entreprises de sécurité informatique et l'un des principaux fournisseurs de logiciels antivirus. Elle jouissait d'une solide réputation technique. Pendant longtemps, ses publications se sont également concentrées sur les cyberopérations des services de renseignement russes. Kaspersky a publié de nombreux articles sur le groupe Turla, rattaché au Service fédéral de sécurité (FSB), ainsi que sur APT 28, une unité cybernétique du GRU, l'agence de renseignement militaire.

Il est donc compréhensible que la FDB ait commencé à collaborer dans le secteur du cyberespace non seulement avec des entreprises occidentales, mais aussi avec Kaspersky, dès 2015. Bien que la Russie ait annexé la péninsule ukrainienne de Crimée l'année précédente, l'Occident n'a imposé que quelques sanctions. Aucun conflit ouvert entre Moscou et l'Occident n'avait encore éclaté.

Parallèlement, il était déjà clair dès 2015 que Kaspersky pourrait entretenir certains contacts avec l'État russe, sans pour autant être une société écran pour les services de renseignement russes. Certains employés pourraient, officiellement ou officieusement, transmettre des informations et servir de sources aux services russes.

De tels liens n'existent pas seulement en Russie ou dans d'autres États autoritaires. Des entreprises américaines de cybersécurité comme Crowdstrike et Microsoft sont également susceptibles d'entretenir des contacts, au moins isolés, avec les services de renseignement américains. Par exemple, il est frappant de constater que les entreprises de sécurité américaines ne publient pratiquement jamais de détails techniques sur les cyberopérations américaines ou occidentales. Il est peu probable que cela soit dû au fait qu'elles n'observent pas de telles activités.

Lorsqu'on travaille avec des entreprises de sécurité informatique privées, il est crucial de prendre en compte les risques. Obtenir des informations sur les cyberopérations et les groupes d'attaque auprès de ces prestataires ne pose aucun problème, et le partage d'informations ne présente généralement pas non plus de risque pour la sécurité.

La plus grande menace provient des logiciels proposés par ces entreprises de sécurité pour se défendre contre les attaques. Le client doit installer ces logiciels sur ses systèmes et leur accorder des autorisations étendues. Cela permet à un attaquant de les utiliser comme porte dérobée pour accéder aux systèmes concernés. Cependant, dans le cas de la NDB, ces logiciels de sécurité n'étaient pas impliqués, car le gouvernement fédéral ne les avait pas installés.

Selon SRF, la NDB était également en contact avec deux autres sociétés liées à la Russie. SRF considère cette coopération comme une preuve supplémentaire de l'implication de la NDB dans une affaire russe. Cependant, les connexions avec les deux fournisseurs de services serveurs, telles que décrites par SRF, semblent n'avoir posé aucun problème.

La NDB recevait régulièrement des données provenant des serveurs d'une entreprise cofondée par deux Russes. Selon un rapport interne de la NDB, cette dernière était « la source d'information la plus importante » pour l'équipe cyber. Cela pourrait s'expliquer par le fait que, selon SRF, des « pirates russes » utilisaient fréquemment les serveurs de l'entreprise. Des fonds transitaient également de la NDB vers cette dernière via Kaspersky.

Cependant, ces faits n'indiquent aucune proximité entre l'équipe cybernétique et la Russie. Bien au contraire. La NDB semble avoir obtenu des informations sur des acteurs russes par l'intermédiaire de ces entreprises, ce qui pourrait avoir été important pour son travail. L'implication financière corrobore cette interprétation. Il est courant pour les agences de renseignement de rémunérer leurs sources pour obtenir leurs informations. La NDB y est même explicitement autorisée par la loi .

L'aspect le plus intriguant de l'enquête de la SRF est peut-être l'avertissement envoyé à la NDB par un service ami. En septembre 2018, un service partenaire occidental anonyme a informé la NDB que le GRU, l'agence de renseignement militaire russe, détenait des « informations classifiées » qu'un employé de la NDB aurait transmises via la société Kaspersky.

Les informations confidentielles concerneraient des agents russes présents à La Haye en mars 2018. Les circonstances exactes du transfert de données sont aussi floues que la nature des informations. Il est donc difficile d'en tirer des conclusions. Cependant, des explications plausibles existent pour cet incident, sans qu'il soit nécessaire de témoigner d'un comportement douteux de la part du Service fédéral de renseignement.

En septembre 2016, le GRU a mené une cyberattaque contre des responsables de l'Agence mondiale antidopage (AMA) dans un hôtel de Lausanne. La FIS, grâce à ses cyberexperts, a pu identifier les deux agents qui s'étaient rendus en Suisse pour cette opération d'espionnage. Ces informations ont permis aux Pays-Bas de démasquer quatre agents du GRU en avril 2018, qui avaient planifié une attaque contre l'Organisation pour l'interdiction des armes chimiques (OIAC) à La Haye. Deux d'entre eux étaient des agents de Lausanne.

Les informations transmises par la Suisse au GRU semblent liées à cette affaire. Il paraît donc hautement improbable qu'un employé du SRC, voire le chef de l'équipe cybernétique, ait espionné pour le compte de la Russie et transmis ces informations au GRU. Après tout, l'équipe cybernétique elle-même avait auparavant joué un rôle clé dans la dénonciation des agents du GRU. De plus, les données ne constituaient manifestement pas un avertissement pour le GRU. Sinon, celui-ci n'aurait pas envoyé ses agents à La Haye au printemps 2018.

Il existe une autre explication au fait que des informations du FIS aient été transmises au GRU via Kaspersky. Grâce à sa coopération avec Kaspersky, le FIS aurait pu partager avec l'entreprise de sécurité informatique des indicateurs techniques de l'attaque de Lausanne, tels que des adresses IP, des adresses e-mail ou des éléments du logiciel malveillant. Kaspersky a également mené des recherches sur le groupe APT 28 du GRU.

Partager de telles informations comporte un certain risque. Dans le cas de Kaspersky, la FIS doit partir du principe que ces informations pourraient être transmises aux autorités russes. Parallèlement, en tant qu'entreprise russe, Kaspersky pourrait détenir des informations intéressantes qui pourraient aider la FIS à identifier les agents impliqués dans l'attaque contre l'AMA.

Une autre question est de savoir si l'information était déjà considérée comme sensible au moment de sa communication. Ce n'était pas nécessairement le cas pour les indicateurs techniques. Il est possible que ce ne soit que plus tard, en raison du contexte du GRU, que l'information ait acquis une explosivité telle qu'elle ait incité le service partenaire du FIS à émettre un avertissement.

Certains services partenaires occidentaux considéraient l'équipe cyber de la FDB comme problématique. Ce constat ressort des recherches de la SRF. De 2018 à l'automne 2020, deux services de renseignement alliés sont intervenus à plusieurs reprises, dénonçant des allégations de « partage illégal de données » et de comportement compromettant de la part du chef de l'équipe cyber. Leur signification exacte reste floue.

Les deux agences seraient allées jusqu'à menacer le Service fédéral de renseignement de mettre fin à leur coopération si le chef de l'équipe cybernétique était maintenu en poste. Au printemps 2021, l'employé en question a été licencié et muté à un autre poste au sein du gouvernement fédéral .

La raison invoquée à l'époque pour justifier le départ était que le FIS avait reçu et traité des informations informatiques pendant des années sans fondement juridique. Il semble aujourd'hui probable que les interventions de services partenaires étrangers aient au moins contribué au licenciement de l'employé.

La question cruciale est de savoir ce qui a motivé les menaces étrangères. Le fait que la collaboration du NDB avec Kaspersky ait été une source d'irritation pour les services partenaires ne constitue pas une preuve d'irrégularité. Des raisons politiques ou un mécontentement face à un échange de données généralement plus ouvert avec les entreprises privées pourraient également avoir été déterminants.

On ignore quels sont les deux pays qui sont intervenus à Berne. Cependant, il est plausible que les États-Unis ou un autre pays membre de l'alliance de renseignement Five Eyes soient impliqués. Les relations entre les États-Unis et Kaspersky se sont fortement détériorées à partir de 2017. À cette époque, les États-Unis ont décidé d'interdire l'utilisation du logiciel antivirus par les agences gouvernementales en raison d' une fuite présumée de données provenant de l'ordinateur privé d'un employé .

Au printemps 2018, Kaspersky a publié les détails techniques d'une cyberopération baptisée « Slingshot ». Cette opération était menée par l'armée américaine , qui l'utilisait depuis des années pour collecter des informations sur des terroristes sur des milliers d'appareils au Moyen-Orient et en Afrique. Avec cette publication, Kaspersky a révélé l'opération, possiblement en réponse délibérée à l'interdiction. Les États-Unis n'étaient guère ravis.

Dans ce contexte, l'hypothèse selon laquelle les États-Unis ou d'autres États occidentaux comme Israël souhaiteraient empêcher la NDB de coopérer avec Kaspersky ne paraît pas farfelue. Peut-être par crainte d'une éventuelle fuite de données vers la Russie, mais peut-être aussi pour des considérations fondamentalement politiques.

Ce qui est clair en tout cas, c'est que les allégations des services de renseignement étrangers ne constituent pas une preuve indépendante que les employés de la FDB ont effectivement agi avec négligence ou même à l'encontre des intérêts de la Suisse.

Sur la base des faits disponibles, il est impossible de tirer une évaluation concluante du travail de la NDB. Il est connu depuis longtemps que l'équipe cybernétique de la NDB a manqué de fondement juridique adéquat pendant des années. Cependant, il s'agit avant tout d' un manque de leadership .

Les fragments du rapport confidentiel du NDB, que la SRF rend désormais publics, apportent certes des éclairages intéressants. Cependant, ils ne permettent pas une évaluation claire des événements. Inventer une « affaire russe » à partir des informations disponibles, comme la SRF le fait avec véhémence, paraît risqué.

Il est donc beaucoup plus probable que les événements, dont on ne connaît que quelques détails, puissent être expliqués par les procédures normales de renseignement dans le domaine cybernétique.