Le 2 novembre, le rapport de la délégation des commissaires aux comptes du Conseil fédéral (GPDel) sur le «cas Crypto AG» est sorti. La GPDel s’est notamment engagée à «enquêter sur les points de contact entre les services fédéraux et les services de renseignements étrangers concernés par cette affaire et à préciser si et dans quelle mesure le Conseil fédéral a été informé des faits concernant la société Crypto AG».

Opération Rubikon

La CIA a décrit l’«Opération Rubikon» comme «la plus grande opération d’espionnage du siècle». Pour rappel: Crypto AG, basée à Steinhausen (Zoug), était une entreprise internationale active dans le domaine de la sécurité de l’information. Le service allemand de renseignement extérieur (BND) et la CIA américaine ont secrètement racheté la société en 1970. Ils ont fait en sorte de fournir des machines avec un cryptage déficient, qui pouvaient être facilement piratées par le BND et la CIA. Plus de 130 gouvernements étaient clients de Crypto AG. Ils ont fait confiance à la société zougoise en raison de la prétendue neutralité de la Suisse, mais ont été systématiquement mis sur écoute par les deux services de renseignements. L’«Opération Rubikon», comme l’appelaient ces deux services, a été découverte à la mi-février 2020 lorsque des parties importantes du rapport Minerva rédigé par la CIA sont parvenues à la presse.

Le rapport de la GPDel arrive à la conclusion suivante: le gouvernement suisse ne savait rien, il n’a pas été informé pendant des décennies. Difficile à croire… En 1977, l’ancien directeur de la recherche et du développement de Crypto AG, Peter Frutiger, s’est tourné vers la police fédérale (BuPo) par l’intermédiaire de membres de la direction de l’armée qu’il connaissait à travers son service militaire. Il les a informés que la société zougoise appartenait aux «organisations de collecte de renseignement allemandes et américaines et, sur leurs ordres, avait délibérément intégré des points faibles dans les équipements destinés aux pays étrangers». Les enquêtes ont traîné en longueur et ont été abandonnées en 1983. La raison: il n’a pas été possible de prouver clairement que les déclarations étaient vraies.

L’affaire Bühler

Quelques années plus tard éclate l’«affaire Bühler». Elle aurait dû mettre la puce à l’oreille du gouvernement suisse, l’affaire ayant fait grand bruit dans le monde entier. Après neuf mois d’emprisonnement en Iran, l’ingénieur commercial de Crypto, Hans Bühler, est rentré en Suisse en janvier 1993. Le même mois, il a été interrogé par la BuPo, en particulier sur les accusations d’espionnage que l’Iran lui avait adressées. Dans le cadre de ses enquêtes policières, la BuPo a interrogé Hans Bühler une seconde fois entre mars et novembre 1994… Dans son rapport final du 3 mai 1995, la BuPo déclare pourtant que «les véritables propriétaires de Crypto AG» ne pouvaient pas être identifiés.

De toute évidence, Armin Walpen, alors secrétaire général du ministère de la Justice (DFJP), a remarqué que la question de la propriété de Crypto AG était d’une importance majeure. Les questions posées à deux autres conseils consultatifs de l’entreprise n’ayant pas donné de réponses satisfaisantes, Walpen a demandé le 5 mai 1994 au conseiller national PLR de Zoug, Georg Stucky, «d’user de son influence avec insistance en faveur d’une clarification de la structure de propriété». Pourquoi Stucky en particulier? Celui-ci était membre du conseil d’administration de Crypto AG depuis 1992. Mais Stucky avait des intérêts bien différents à défendre. A la demande de Crypto AG, il avait déjà fait pression avec succès sur son collègue de parti et conseiller fédéral Jean-Pascal Delamuraz en 1993 pour obtenir la libération des exportations bloquées de Crypto AG…

Coopération avec la CIA

Le Service de renseignement stratégique (SRS) a été très tôt bien informé des machinations de Crypto AG. La spécification suivante est importante à cet égard: «L’obtention d’informations sur Crypto AG était un secret bien gardé au sein du SRS. Seuls le chef du service (Fred Schreier), les directeurs ultérieurs (Hans Wegmüller, Paul Zinniker) et, selon l’époque, un ou deux autres membres du SRS étaient au courant», indique le rapport de la GPDel. Donc seulement quelques personnes sélectionnées. Ce seul fait soulève une autre question importante: Qui a décidé et pour quelle raison désigner ces quelques élus?
Dès l’automne 1993, le SRS a réussi à obtenir des informations fiables sur Crypto AG. Il a ainsi appris que la société était détenue par les services de renseignements américains et allemands. Il savait aussi dès lors que Crypto AG fabriquait et exportait des appareils «faibles» dont le cryptage pouvait être craqué. Le SRS s’est fixé pour objectif de décrypter systématiquement le cryptage des appareils «faibles» lui-même. A cette fin, elle s’est procuré des informations techniques sur les procédures de cryptage. Cette connaissance pouvant être utilisée pour détecter tout «dispositif faible» achetés par la Suisse. «Cela n’a finalement été possible que parce que les services de renseignement américains ont convenu que la Suisse recevait les informations souhaitées dans une mesure pertinente», écrit la GPDel, déclarant ainsi sans équivoque qu’une coopération directe entre le SRS et la CIA existait au plus tard à partir de l’automne 1993.

Les dénis du SRS

Il était également clair pour le SRS que les soi-disant «dispositifs faibles» servaient aux services américains pour obtenir des informations sur d’autres Etats. Selon la GPDel, le SRS aurait dû mettre ces informations «à la disposition de la défense ou des forces de l’ordre, surtout après que la BuPo a entamé une enquête sur l’affaire. Ce n’est pas ce qui s’est passé». «En fait, le SRS a déclaré à la police fédérale (BuPo) qu’il n’avait aucune preuve que des agences de renseignement étrangères étaient derrière Crypto AG. Le SRS a donc pondéré son intérêt pour la collecte de renseignements et les relations non perturbées avec les services de renseignements américains plus que les intérêts des forces de l’ordre. Du point de vue du GPDel, il n’était «pas autorisé» à le faire et la «pesée des intérêts aurait dû être clairement effectuée au niveau politique».
Le SRS a longtemps nié sa coopération active avec les services de renseignement américains. Le rapport de la GPDel poursuit en affirmant que cette position adoptée par les responsables est «incompréhensible et juridiquement incorrecte». Et d’ajouter: «Du point de vue de la GPDel, le fait que le SRS et les services américains aient agi de commun accord implique également que les autorités suisses sont conjointement responsables des activités de Crypto AG».

Le silence de Markus Seiler

Le Service fédéral de renseignement (SRC) est né en 2010 de la fusion du Service de renseignement stratégique (SRS) et du Service d’analyse et de prévention (SAP). Mais cela n’a rien changé en termes de secret. Son premier patron a été Markus Seiler. Il est prouvé qu’il a été informé de l’existence de dispositifs «faibles» de Crypto AG lors de son entrée en fonction et qu’il a été «au moins partiellement» informé des relations entre la société zougoise et les services secrets américains. Qu’a fait Seiler? Il n’a rien fait. Il est resté silencieux…

Du point de vue de la GPDel, Seiler s’est ainsi soustrait à sa responsabilité. Par son comportement, il a notamment empêché «la direction politique du ministère de traiter les questions pertinentes». L’évaluation suivante du rapport est passionnante: «Rétrospectivement, l’échec du premier directeur du SRC semble d’autant plus grave qu’à l’époque, ce service aurait pu préparer les décisions de gestion nécessaires sans contrainte de temps et les mettre en oeuvre en coordination avec la direction du département et, le cas échéant, avec le Conseil fédéral». En d’autres termes: Seiler n’a pas agi dans l’intérêt de la Suisse.

Culte du secret

Paul Zinniker… est un personnage clé dans l’affaire Crypto AG. Avant de devenir adjoint de Seiler en 2010, il était directeur du SRS. Il était l’un des rares à être bien informé sur les activités et la propriété de la société basée à Zoug. Zinniker a également gardé le silence face à son supérieur Seiler à la SRC. Après le départ de Seiler, Zinniker a dirigé le SRC par intérim de décembre 2017 à juillet 2018, et selon le rapport, il n’a pas non plus parlé à son nouveau patron de son secret bien gardé: «Crypto AG n’était pas un problème lors de la passation de pouvoir à l’actuel directeur de la SRC Jean-Philippe Gaudin». Du point de vue de la GPDel, cependant, le nouveau directeur de la SRC «aurait dû être pleinement renseigné par son adjoint lorsque l’intérêt des médias pour l’affaire Crypto AG est apparu à l’été 2019.
Le secret de Zinniker a eu des conséquences. Le fait de ne pas avoir informé son nouveau supérieur a entraîné une évaluation incomplète et insuffisante de la situation. Ainsi, à partir de l’automne 2019, le travail du SRC et du DDPS s’est concentré sur «l’anticipation des questions et des reportages des médias et le développement d’une stratégie de communication adaptée à cet effet».
Et c’est ce qui s’est passé. Au lieu de «faire le point sur la nature des relations du service de renseignement suisse avec Crypto AG et les services américains», le nouveau directeur du SRC, Jean-Philipp Gaudin, s’est contenté de minimiser son importance et de retirer ce service de sa responsabilité. «L’intention de protéger son propre service et le chef du département a marqué l’évaluation inadéquate de la situation qui s’en est suivie»…

Sous le tapis

Quelle est la prochaine étape? Le rapport de la GPDel se termine par douze recommandations au Conseil fédéral. L’une d’entre elles stipule: «Le chef du DDPS et son secrétariat général doivent se doter des instruments nécessaires pour, en cas d’affaire avec les services de renseignement, d’une part obtenir immédiatement et de manière indépendante une base d’information suffisante et, d’autre part, assurer une direction politique vis-à-vis du SRC et une capacité d’action au niveau du Conseil fédéral. Il est significatif qu’il n’y ait aucune recommandation visant à mettre complètement au clair la «plus grande opération d’espionnage du siècle». Et ce malgré le fait que le rapport soulève un certain nombre de questions, dont chacune mérite une commission d’enquête parlementaire. Le Conseil fédéral a maintenant jusqu’au 1er juin 2021 pour se prononcer sur le rapport et les recommandations. Vous pouvez parier que tout sera fait pour balayer l’affaire Crypto AG sous le tapis. Le scandale des fiches vous salue bien.

Le scandale des destructions de documents

Un problème important dans le travail de la GPDel avait trait AUS dossiers manquants. Le rapport final indique: «En raison de la pratique d’archivage des services de renseignement, il n’est toutefois pas garanti que tous les documents importants soient encore disponibles. Il est ajouté: «La destruction de ces documents était en partie autorisée par la loi et la réglementation, mais en partie elle a été effectuée en contradiction avec les règlements applicables. Par exemple, entre 2011 et 2014, le Service fédéral de renseignement (SRC) a encore détruit des documents provenant de ses relations avec des services partenaires étrangers au lieu de les stocker en interne comme cela était nécessaire».

Il est alarmant que la pratique de la destruction de fichiers ait été – et soit toujours – tributaire de la bénédiction du sommet. Le rapport indique: «Il faut également noter que depuis des décennies, le Conseil fédéral laisse aux services de renseignement la possibilité de retirer des dossiers importants de l’archivage à grande échelle». En mai 2020 encore, le DDPS était prêt à justifier la destruction manifestement illégale de dossiers du SRC dans un passé récent et «ce faisant, à se référer à une expertise de l’Office fédéral de la justice (OFJ) d’une manière contraire aux faits». Pour la GPDel, cette procédure était «incompréhensible». Nous appelons cela un scandale, l’un des nombreux dans l’affaire Crypto AG.STn