Le suspense aura duré plusieurs mois. Mardi, la Délégation des Commissions de gestion du parlement (DélCdG) a livré ses conclusions. Elles portent sur la rocambolesque affaire Crypto AG, du nom de cette spécialiste suisse du codage et du décodage des communications depuis le début de la guerre froide. Le 12 février 2020, SRF Rundschau, la télévision allemande ZDF, et le Washington Post révélaient, sur la base de 250 pages de documents classifiés de la CIA (Minerva), l’alliance secrète entre le renseignement allemand (BND) et la CIA permettant l’espionnage d’une centaine d’Etats dans le monde entre 1970 et 1993. Afin de mettre en œuvre cette opération baptisée «Rubicon», le BND et la CIA ont utilisé les technologies de Crypto AG.
 

Très attendu, le rapport de la DélCdG montre que le renseignement suisse savait depuis 1993 que des services étrangers se cachaient derrière la société Crypto AG. Cette collaboration était en principe conforme à la loi, mais elle avait aussi une portée politique. Le Conseil fédéral n’en a pourtant été informé qu’en 2019, regrette la délégation. La dissimulation de ces faits montre des lacunes dans la gestion et la surveillance exercées par le gouvernement, explique le rapport. En revanche, ce dernier n’apporte pas de précisions sur les responsabilités et les implications de personnalités politiques, pourtant citées dans le document.

Infoguard, la société sœur

Le rapport n’examine pas non plus sur le cas d’Infoguard, la société sœur de Crypto AG, toujours en activité. Dans les années 1990, on soupçonnait déjà que «l’affaire Crypto» n’était que la pointe émergée de l’iceberg. Nos recherches attestent aujourd’hui que dans ses jeunes années, l’entreprise de Baar (ZG) était également dans le viseur de la CIA du BND. En effet, les deux sociétés fonctionnent main dans la main durant plusieurs années. Fondée en 1988, Infoguard est le fruit d’une joint-venture entre Crypto AG et l’entreprise suisse de télécommunication Ascom AG.

La naissance de cette nouvelle entité intervient dans un contexte stratégique pour Crypto AG. A travers elle, la firme zougoise sécurise ses parts de marché et lui donne accès aux clients non gouvernementaux. En effet, Infoguard comptait parmi ses clients des banques cantonales, des compagnies d’assurances et des PME. Ce premier élément est à l’origine des rumeurs persistantes sur une supposée proximité d’Infoguard avec la CIA. Pourquoi? A la fin de la guerre froide, le renseignement américain craint la recrudescence du chiffrement des communications vocales et des données du secteur privé par des algorithmes standard ouverts. Il veut mettre un terme à cette tendance par tous les moyens. Infoguard en est une porte d’entrée pour y arriver.

Vente de radios cryptées

Jusqu’en janvier 2018, date à laquelle Crypto AG scinde ses activités nationales et internationales en deux entités, Infoguard et Crypto AG partagent un même propriétaire: la Crypto Holding. Les sociétés sœurs entretiennent des relations commerciales. En effet, dès sa fondation et dans les années qui suivent, Infoguard ne jouit pas de son propre département de développement. Elle fonctionne comme l’extension du service des ventes de Crypto AG: un ancien cadre des ventes d’Infoguard nous explique que son «entreprise a fait preuve d’opportunisme en commercialisant des produits Crypto» à ses propres clients. Ce matériel avait-il les mêmes failles que celles qu’a révélées l’affaire Crypto? Des éléments de réponse sur le site Cryptomuseum.com – le «Wikipédia de la cryptographie» – étaye ces allégations.

Dans les documents disponibles, on y lit que «le marché commercial n’est pas considéré comme une cible de renseignement». Mais dans ses efforts pour lutter contre le terrorisme international, «la CIA a fait savoir qu’il pourrait en devenir un». L’agence américaine «a donc décidé qu’Infoguard vendrait des radios cryptées fabriquées par Radiocom, la filiale d’Ascom, et équipées de la puce cryptée HC-3400 (lisible) de Crypto AG». Le site poursuit: «La CIA et le BND ont décidé qu’Infoguard vendrait du matériel lisible à tous les clients, à l’exception de la Suisse, de l’Allemagne, de la Suède et des banques commerciales.» Du matériel lisible? C’est-à-dire que les services secrets sont à l’écoute.

 
Dans les documents disponibles, on y lit que «le marché commercial n’est pas considéré comme une cible de renseignement». Mais dans ses efforts pour lutter contre le terrorisme international, «la CIA a fait savoir qu’il pourrait en devenir un». L’agence américaine «a donc décidé qu’Infoguard vendrait des radios cryptées fabriquées par Radiocom, la filiale d’Ascom, et équipées de la puce cryptée HC-3400 (lisible) de Crypto AG». Le site poursuit: «La CIA et le BND ont décidé qu’Infoguard vendrait du matériel lisible à tous les clients, à l’exception de la Suisse, de l’Allemagne, de la Suède et des banques commerciales.» Du matériel lisible? C’est-à-dire que les services secrets sont à l’écoute.

Entre la CIA et le BND allemand, une relation en dents de scie

Sur quelles sources se basent les rédacteurs de Cryptomuseum.com? Des archives d’entreprises, des sources privées, les documents «Minerva» de la CIA ainsi que ceux du BND auxquels seuls une poignée de journalistes et de médias ont eu accès jusqu’à présent. Nous avons contacté les rédacteurs en chef du site. Pour des raisons de protection des données, ils ne peuvent fournir d’informations plus détaillées. Grâce à Operation Crypto, le dernier livre du journaliste Res Strehle paru cet été, nous savons désormais que la relation entre la CIA et le BND n’était pas toujours harmonieuse.

En effet, les deux services de renseignement ont des désaccords constants sur qui devait être mis sur écoute, quand et comment, mais aussi à qui ils pouvaient faire confiance. Une note de bas de page sur Cryptomuseum.com souligne que le BND a opté pour que certains pays comme la France et les Pays-Bas soient épargnés par l’opération de surveillance. Alors que les Américains voulaient que toute l’Europe soit sur écoute. Les Etats-Unis l’ont emporté. La note conclut: «Dans la pratique, aucune exception n’a été faite, et Infoguard a même vendu du matériel lisible aux trois pays exceptés.»

«Oui, le matériel était probablement lisible»

Infoguard a-t-elle donc livré des dispositifs «lisibles» à des clients du secteur privé en Allemagne, en Suède et même en Suisse? Affirmatif, selon plusieurs sources indépendantes citant le document «Minerva» correspondant: «Infoguard a vendu des «dispositifs lisibles» non seulement à de petites entreprises suisses, à des pays tiers, mais aussi à des entreprises, des services de police, des agences de renseignement et des pays amis.» Selon nos sources, les produits vendus par Infoguard étaient les modèles de radios SE-160 et SE 660 produites par Ascom. Elles contiennent la puce cryptographique HC-3400, produite elle par Crypto AG, et lisible par la CIA.

De 1988 à 1990, Jürg Spörndli est à la tête du département développement d’Infoguard, avant d’intégrer Crypto AG: «A l’époque où j’y travaillais, Infoguard était clean», nous dit-il. L’expert aujourd’hui retraité précise que la production de la puce HC-3400 a démarré après son départ de l’entreprise en 1990. Il confirme également que les modèles de radios équipés de cette puce faisaient partie de la gamme de produits d’Infoguard. Il avait lui-même participé au développement du HC-340, le prédécesseur du HC-3400, utilisant également un algorithme de cryptage faible.

 
Que savait Jürg Spörndli des puces HC-3400? «Les puces intégrées dans le matériel de cryptage des données et des télécopieurs n’étaient pas retouchées. Je ne peux pas l’assurer en ce qui concerne les outils de cryptage de la voix.» Neuf mois après les révélations de «l’affaire Crypto», l’ex-ingénieur ajoute: «Oui, ce matériel a probablement été retouché. C’est possible, après ce que l’on a appris ces derniers mois.» A l’époque où Jürg Spörndli travaille chez Infoguard, il doit en référer à Kjell-Ove Widman pour tout ce qui concerne les produits et les composants cryptographiques.

Deux niveaux de sécurité

Le Suédois est le cryptologue en chef de Crypto AG de 1980 à 1994. Selon Wikipédia, il a été recruté pour sa loyauté envers les Etats-Unis. Il a également vendu les appareils de communication à l’Argentine pendant la guerre des Malouines en 1982. Nous l’avons contacté. Il n’a pas voulu nous parler. Mais un autre fait soutient la thèse des puces HC-3400 retouchées. Au mois d’octobre dernier, l’émission de radio néerlandaise Argos révèle que Crypto AG et Ascom AG auraient vendu au moins 600 de ces puces aux services secrets néerlandais au début et à la fin des années 1990. Rappelons que les Pays-Bas figurent sur la liste des «pays amis» des Etats-Unis et de l’Allemagne. Ces puces HC-3400 étaient produites par la collaboration entre Infoguard, Ascom et Crypto AG.

Jaspers Huub travaille comme journaliste d’investigation pour le magazine Argos de la radio publique au Pays-Bas. Nous le contactons via une ligne téléphonique sécurisée. Jaspers Huub rend compte de ses recherches sur l’opération Rubicon. Il explique qu’«Ascom a fourni le matériel, Crypto AG a fourni les algorithmes et Infoguard a assemblé le système. Infoguard vendait également des radios chiffrées par un algorithme fort, mais aussi des produits dont la sécurité de l’algorithme de chiffrement était secrètement affaiblie. La version sécurisée équipait les banques, les banques commerciales et les agences gouvernementales de Suisse, d’Allemagne et de Suède. Tous les autres clients, par exemple la police néerlandaise, ont reçu une version affaiblie, bien sûr sans être informés.»
 

En Suisse, quels ont été les acteurs privés équipés des puces retouchées? Et jusqu’à quand? Tous les détails et les informations obtenus dans le cadre de notre enquête font référence aux activités passées d’Infoguard. En effet, l’entreprise zougoise a radicalement changé au fil du temps. On distingue même deux ères différentes, voire deux entreprises distinctes selon l’époque. Contactée, la direction actuelle «n’est donc pas en mesure de commenter» les faits passés, écrit un porte-parole. Malgré ce changement de structure, Infoguard a partagé des liens avec Crypto AG jusqu’à sa liquidation en juillet. Et cela notamment au niveau de la direction.

Tirer un trait sur le passé

Georg Stucky, ancien conseiller national PLR zougois, mentionné nommément dans le document «Minerva», a siégé au conseil d’administration de Crypto AG de 1992 à 2016. Il fut également président du conseil d’administration d’Infoguard. Il en va de même pour Rolf Schweiger, ancien conseiller aux Etats PLR et membre du conseil d’administration de Crypto AG de 2014 à 2018, et d’Infoguard jusqu’en 2019. Giuliano Otth, le PDG de longue date de Crypto AG, était également membre du conseil d’administration d’Infoguard. Cette proximité se retrouve dans le management. «Toute l’équipe de direction d’Infoguard est composée d’enfants de Crypto AG», explique un ancien employé du marketing. En 2018, la Crypto Holding qui hébergeait Infoguard et Crypto AG a été dissoute. Infoguard est donc désormais entièrement indépendante.

Mais à Baar, où l’entreprise a son siège et emploie 150 personnes, on craint que cette scission soit intervenue trop tard. Pour des raisons de réputation, on insiste sur l’absence de lien entre la structure actuelle et le renseignement étranger. Thomas Meier, le directeur général de l’entreprise, voulait se débarrasser de cet héritage du passé. Depuis plusieurs années, il a repositionné l’entreprise dans la cybersécurité. Mais des questions sur le passé d’Infoguard restent ouvertes. Qui étaient les clients de l’entreprise au début des années 1990? Quelles entreprises suisses et étrangères ont été la cible du matériel retouché? Quelles en ont été les conséquences? A l’issue de nos recherches, il est certain que la cryptographie est un enjeu de politique internationale. C’est aussi une affaire suisse.