Le 25 septembre 2015, le Conseil national et le Conseil des États ont approuvé le projet de loi sur le renseignement (« Lrens »). Suite à la publication de ce projet dans la feuille officielle du 6 octobre 2015, un référendum a été lancé pour y faire opposition et de ce fait, doit rassembler 50’000 signatures avant le 14 janvier 2016, afin de déclencher une votation populaire.
Qu’en est-il exactement de cette loi et de son impact à l’égard de la sécurité informatique sur nous tous? Donne-t-elle au Service de renseignement de la Confédération (« SRC »), les mêmes pouvoirs abusifs que la NSA (Service de renseignements américain) ? Bref, ZENData se penche sur la question à savoir, si cette loi met en danger notre sécurité informatique et la protection de nos données sensibles et personnelles.
Il est important de noter que ZENData ne désire pas prendre position sur ce projet de loi, mais souhaite souligner un angle important à considérer pour être en mesure de bien évaluer la portée légale des mesures.
Le projet LRens a pour objectif de déceler et prévenir des menaces, tel que le terrorisme, l’espionnage et les armes de destruction massive, aux niveaux national et international. Dès lors, le SRC a le pouvoir de collecter des données personnelles à l’insu des personnes concernées (individuelles et morales) et de les partager avec des services de renseignements internationaux, dans les situations visées par la loi.
Il est opportun de noter que selon la loi, la surveillance ne peut que se faire qu’avec l’aval du chef du Département fédéral de la défense, de la protection de la population et des sports (« DDPS ») et l’autorisation du Tribunal administratif fédéral (sauf, le cas échéant, d’extrême urgence et ce, pour une période de courte durée).
ZENData souligne que l’article 25 (d) de la loi, autorise le SRC à s’introduire dans des systèmes et des réseaux informatiques pour y rechercher les informations jugées nécessaires de leur part, ou bien pour perturber ceux-ci. Ce privilège peut s’avérer inquiétant, car il autorise le gouvernement suisse à utiliser des techniques de piratage, des « malwares » ou des chevaux de Troie pour recourir à ses fins. De ce fait, la SRC pourrait diminuer la protection globale informatique des citoyens et citoyennes, par exemple en gardant des vulnérabilités dans nos systèmes informatiques secrètes, plutôt que de les partager avec les personnes concernées, ou bien en demandant à des fournisseurs d’antivirus de ne pas détecter des « malwares » installés par la Confédération, ou finalement en faisant recours à des entreprises avec des réputations discutables pour acquérir des logiciels de surveillance, tel que la police genevoise lorsqu’elle a fait recours au « The Hacking team ».
En effet, les solutions technologiques actuelles ne peuvent asserter si des mesures sont morales ou légales. Si le gouvernement suisse utilise une « backdoor » pour espionner ses citoyens et citoyennes, les criminels peuvent en faire autant.
Pire encore, la technologie informatique moderne est accessible à tout le monde possédant un ordinateur. Les techniques secrètes utilisées de nos jours par la NSA ou le SRC, deviendront par la suite des projets d’études académiques et puis, dans un futur proche, des outils de piratage pour les criminels; et ce, aussi longtemps que nous utilisons tous les mêmes ordinateurs, téléphones, plateformes de réseaux sociaux et réseaux internet. Une vulnérabilité dans un système qui nous permet d’espionner, permet aussi que l’on soit espionné.
Le but principal de la SRC est de protéger les citoyens et citoyennes suisses et dans cet objectif et il se doit de toujours choisir l’option favorisant la sécurité des systèmes informatiques, plutôt qu’une facilité d’espionnage et de surveillance, aux risques d’être moins performant.
Suivant, entre autres, les terribles attaques de Paris et d’autres attaques internationales, sommes-nous prêts à donner tous les pouvoirs aux services de renseignement, aux risques de perdre notre autonomie et sphère privée, dans le but de contrer ces menaces ? Faut-il accepter de diminuer notre sécurité informatique, afin que les services de renseignement puissent « mieux » faire leur travail ?