crédit : Craig Sunter – Thanx 3 Million ;-))
Paradis fiscal,havre de paix pour les entreprises-boîte-à-lettres, thébaïde dans laquelle personne ne sourcille lorsqu’un homme politique reçoit des jetons de présence d’un conseil d’administration, le canton de Zug est également la terre natale de la célèbre société Crypto AG. Cette Allgemeine Gesellschaft, spécialisée dans les solutions de chiffrement légèrement poreux, avait déjà défrayé la chronique en 1991 lorsque des documents « chiffrés crypto AG » et émis par le gouvernement Iranien s’étaient retrouvés sur la place publique, prouvant certaines implications dans l’assassinat de l’ex-Premier Ministre Chapour Bakhtiar. Déjà, à l’époque, le fait que la NSA ait possédé une sorte de « clef de séquestre » capable d’ouvrir des fichiers protégés par des outils Helvétiques avait soulevé quelques remarques.
En 2010, le quotidien Suisse Le Temps, sous la plume de François Pilet, révèle qu’en fait, tous les clients de Crypto AG étaient potentiellement surveillés par la NSA et le BND (Bundesnacrichtendienst), les services de renseignement Allemands depuis 1956. Il faut dire que le pot aux roses dévoilé par le magazine Der Spiegel avait quasiment failli coûter la vie à l’entreprise. Mais quelques communiqués plus tard, la société se redressait, jurant ses grands dieux qu’on ne l’y prendrait plus. Pourtant, les articles de presse se succèdent, montrant à quel point Crypto AG est impliquée dans plusieurs affaires d’espionnage et comment s’est formée une sorte « d’amicale des industriels du barbouze-business » avec des membres tels que Siemens ou Gretag Data Systems AG (donc également le repreneur de Gretag, IRE, Information Resources Engineering, entreprise US). A l’aube des années 2000, une enquête très fouillée de Wayne Madsen explique comment la société Zougoise est peu à peu devenue le cheval de Troie officiel des « 8 yeux ».
Mais voilà que la BBC reprend l’affaire, en pleine période de « Wassenaarisation » des professionnels de la SSI, et publie des documents jusque-là inconnus du public, repris par Cryptome et notamment des lettres laissant clairement entendre que le patron de Crypto AG avait conclu un accord avec les services Britanniques et Américains aux termes duquel « certains clients » se verraient proposer « certains modèles de machines de chiffrement » générant un code plus facile à casser. Et bien entendu s’engageait également de ne pas commercialiser dans ces « certains pays » des modèles plus évolués. Tout cela gratuitement, sans la moindre contrepartie financière, par pur idéalisme… ou par pure compréhension de la notion d’alliance objective.
Les conséquences de ces séries de scandales liés au marché noir des produits de sécurité et à l’implication directe de beaucoup de vendeurs dans des affaires d’espionnage risque fort de provoquer des conséquences plus importantes qu’une simple inscription sur une « liste Wassenaar » dont en fait personne n’a cure. Et à commencer par une défiance « by design » de tout ce qui n’est pas d’origine locale. « La question n’est pas de savoir « Si » nous sommes espionnés, « si » les outils de protection périmétrique ou de chiffrement sont vulnérables… ils le sont, cela ne fait presque aucun doute. Reste à choisir par « qui » l’on risque d’être surveillé. L’achat d’une solution de chiffrement ou d’analyse réseau est donc en partie liée à la question : quel service de renseignement dois-je préférer » expliquait en substance un RSSI Toulousain peu de temps après les premières révélations Snowden. Il risque donc de se développer un marché des outils « certifiés sans espion étranger » (c’est ce que promettent plus ou moins les labels de l’Anssi), des outils « interdits à l’exportation à destination d’Etats-Nation inscrits sur une liste noire » si un cyber-Wassenaar parvient à être établi, et un espace de contrebande SSI dans lequel ne séviront que les quelques entreprises ayant perdu la confiance de leurs clients traditionnels à l’export et qui n’espèrent plus le moindre débouché au sein de leurs propres frontières. La survie dans l’illégalité ou la mort ? L’épuration du « security business » ne dépend plus désormais que d’une série d’articles dans Wikileaks ou la communication de fichiers au Spiegel, au Monde ou au Guardian.
