La réputation de la Suisse en tant que pays neutre, sûr et respectant l’état de droit a gravement souffert de l’affaire d’espionnage entourant l’entreprise Crypto SA, avant même les résultats des investigations juridiques et politiques. Siège de nombreuses organisations internationales, pays des bons offices et site phare de l’économie numérique, la Suisse ne doit pas uniquement faire toute la lumière sur cette affaire, mais elle doit aussi prouver rapidement à la communauté internationale qu’elle a pris résolument une direction nouvelle et crédible.

1. Avec quelles mesures le Conseil fédéral entend-il regagner la confiance des autres Etats dans la politique de neutralité de la Suisse après l’affaire Cryptoleaks ?

2. Le Conseil fédéral convient-il que l’espionnage actif par la Suisse ou l’assistance de la Suisse à des activités d’espionnage menées par des tiers ne sont pas compatibles avec un positionnement crédible en tant que pays neutre abritant de nombreuses organisations internationales, en tant que pays offrant ses bons offices et en tant que site économique phare comptant notamment des fournisseurs de logiciels dignes de confiance dans le domaine de la sécurité, du chiffrement et de la cybersécurité ?

3. Des autorités (telles que les autorités de poursuite pénale et le SRC) participent à des fins de surveillance à l’échange et au commerce de connaissances sur les failles de sécurité informatiques (par ex. exploitation d’une vulnérabilité inconnue à ce jour, zero-day exploit) voire participent au financement de l’exploitation de failles de sécurité en achetant des produits de surveillance (tels que des chevaux de Troie) au lieu de combler ces failles. Quels risques supplémentaires en découlent, selon le Conseil fédéral, pour la population et l’économie ? Quelles modifications législatives le Conseil fédéral entend-il introduire pour réduire ces risques?

4. Faut-il créer une nouvelle structure auprès de laquelle les failles de sécurité connues devraient être annoncées, qui chercherait activement des failles de sécurité numériques et qui informerait de manière transparente les fabricants de logiciels puis le public des failles de sécurité ou cette tâche peut-elle être confiée à un service ou une autorité existant ? Comment le Conseil fédéral entend-il garantir sur le plan législatif que les autorités (par ex. le SRC) qui disposent d’informations sur des failles de sécurité les annoncent, afin d’assurer la sécurité de l’information, au lieu de les garder jalousement ?

5. Toute crise recèle des opportunités. Quelles sont celles que le Conseil fédéral identifie dans l’affaire Cryptoleaks ?

Remarques générales

Le 21 février 2020, la Délégation des Commissions de gestion (DélCdG) a informé le Conseil fédéral qu’elle révoquait le mandat confié à l’ancien juge fédéral Niklaus Oberholzer et reprenait la conduite de l’enquête sur l’affaire Crypto AG. Cette décision a été publiée le 26 février 2020.

Le Conseil fédéral attend le rapport de la DélCdG. Il ne prendra aucune décision qui pourrait entraver l’enquête, infirmer les conclusions de la haute surveillance parlementaire ou porter préjudice à ses éventuelles recommandations.

Réponses aux questions :

1. La politique étrangère de la Suisse fonde de longue date sa crédibilité sur la constance et la fiabilité. Le Conseil fédéral n’a aucune raison de croire que la confiance accordée à la politique de neutralité de la Suisse par les autres Etats serait entamée. Le nombre de réactions officielles d’Etats tiers reste également à ce jour très faible. Aucune mesure ne s’impose à l’heure actuelle, d’autant que le Conseil fédéral attend les résultats de l’enquête de la DélCdG.

2. Comme tous les Etats, la Suisse dispose d’un service de renseignement, instrument dont elle a besoin pour détecter de manière précoce et analyser les risques et menaces pour la sécurité du pays. La loi fédérale du 25 septembre 2015 sur le renseignement (LRens ; RS 121) définit les tâches, les moyens, les limites et le contrôle des activités de renseignement. Conformément à l’art. 36, al. 3, LRens, il convient de veiller à ce que les risques pris lors de la recherche d’informations à l’étranger ne soient pas disproportionnés par rapport au but. Il s’agit donc, à chaque fois, d’évaluer l’utilité de la démarche à l’aune des considérations politiques. Le Conseil fédéral considère que le cadre légal et politique de l’acquisition de renseignement à l’étranger est ainsi suffisamment défini.

3. Il est de la responsabilité des Etats d’assurer la sécurité. Afin de protéger la société, l’économie et les infrastructures critiques, cela signifie notamment qu’ils ont un rôle important à jouer dans l’annonce des vulnérabilités informatiques, et qu’ils doivent assumer leur responsabilité dans ce domaine. Les Etats doivent cependant aussi faire en sorte que les organes de sécurité essentiels, comme les autorités de poursuite pénale ou les services de renseignement, soient en mesure d’assumer leurs tâches légales, également dans un environnement numérique. En comparaison internationale, la Suisse dispose de bases légales claires et restrictives qui permettent d’exploiter sous conditions les failles informatiques à des fins de sûreté intérieure ou dans le cadre de poursuites pénales. Là encore, il s’agit de procéder à une évaluation consciencieuse des risques liés à de telles possibilités en regard de leur utilité. Les bases légales en vigueur et la procédure d’autorisation qui en découle permettent de garantir que l’indispensable pesée des intérêts soit effectuée dans la pratique.

4. L’annonce au fabricant des failles de sécurité constatées est une pratique courante. Si le fabricant ne traite pas le problème, celui qui a découvert la faille la publie généralement. C’est pourquoi il n’est pas jugé nécessaire, en l’état des choses, de prendre des mesures supplémentaires.

5. Le Conseil fédéral renvoie à l’enquête de la DélCdG en cours, dont les résultats permettront l’appréciation factuelle et politique des événements.