Publié

ExclusifLe voleur de données s'était plaint de mobbing

Maladie, absences injustifiées, règles internes brisées, l'informaticien qui a failli mettre à terre le Service de renseignement était identifié comme un employé à problèmes. Mais il a conservé son poste clé, ainsi que tous ses mots de passe. Récit.

par
Martin Stoll
Daniel Glaus
Titus Plattner
Le chef du Service de renseignement de la Confédération, Markus Seiler, garde la confiance absolue de son chef Ueli Maurer,même après le pire incident qu'a connu le renseignement helvétique

Le chef du Service de renseignement de la Confédération, Markus Seiler, garde la confiance absolue de son chef Ueli Maurer,même après le pire incident qu'a connu le renseignement helvétique

Peter Schneider, Keystone

Le voleur de données vit à peine à 15 minutes du siège du Service de renseignement. Nous sommes le 25 mai 2012, le vendredi de Pentecôte, 22 h 30. L'homme de 43 ans est déjà au lit, au premier étage de sa maison mitoyenne de la banlieue de Berne. Tout à coup, la police judiciaire fédérale sonne à sa porte. Pas de doute possible: son nom de famille est inscrit bien en évidence en lettres de bois colorées. Aucune réponse. Alors ils frappent. Et quand l'homme guigne enfin par l'entrebâillement, ils foncent tous à l'intérieur. Une douzaine de policiers se répartissent dans les chambres. Ils cherchent les disques durs portables, sur lesquels l'employé du Service de renseignement de la Confédération a enregistré plusieurs terabytes de données secrètes. Vers deux heures du matin, la colonne de police quitte le quartier d'habitude plutôt calme. Le voleur de données est arrêté. Il sera libéré six semaines plus tard.

L'informaticien discret et retenu, dont «Le Matin Dimanche» connaît le nom et le cadre de vie, a gravement porté atteinte au Service de renseignement de la Confédération (SRC). La panne qu'il a causée met en question la gestion de la sécurité et le management du service – et obligera son chef Markus Seiler à s'en expliquer.

A son poste de spécialiste en bases de données, l'employé du SRC avait accès à presque toutes les informations du service de renseignement. Il était responsable des serveurs sur lesquels ses collègues stockaient des analyses détaillées sur les menaces contre la Suisse. Ces rapports confidentiels ou secrets sont notamment rédigés à l'attention des autorités politiques et militaires du pays. Il avait aussi accès au réseau hautement sécurisé via lequel les services étrangers comme la CIA américaine, la DGSE française ou le BND allemand partagent certaines de leurs informations avec la Suisse.

Un nouveau chef

Comment un fidèle employé du service informatique devient-il un voleur de données? L'homme entre au renseignement stratégique (SRS) en 2007, où il donne entière satisfaction sans se faire remarquer. Mais tout bascule après la fusion avec le Service analyse et prévention (SAP), pour former la nouvelle entité, le SRC. L'équipe de l'informaticien voit arriver un nouveau chef. Les deux hommes se prennent en grippe. Plusieurs sources à la tête du SRC rapportent que dès l'été 2011, l'informaticien «n'était plus un employé très constructif». Il se porte malade régulièrement, par exemple pour éviter les entretiens personnels demandés par ses supérieurs. Et dans des mails à certains collègues, il explique avoir «une maladie auto-immune». Il est aussi question de problèmes de dos, dont l'origine ne se laisserait pas diagnostiquer avec précision.

A l'automne 2011, l'homme se tourne vers Jean-Claude Brossard, le chef de l'Unité d'aide à la conduite et à l'engagement du SRC. Dans un e-mail, l'informaticien explique être victime de mobbing de la part de son chef et d'une partie de son team. Jean-Claude Brossard actionne les ressources humaines et des entretiens sont menés pour clarifier ces reproches. Peu après, l'informaticien déclare que le rapport de confiance avec son chef est rétabli.

La direction du SRC considère que le cas est réglé. Seulement voilà, des indices clairs montraient déjà que les problèmes étaient bien plus sérieux. Ils s'exprime par des absences répétées. Et l'informaticien dénonce régulièrement des failles de sécurité et les manquements soi-disant causés par ses collègues ou son chef. Il est notoirement mécontent. Malgré cela, il garde un accès complet aux bases de données du SRC.

Au printemps 2012, l'informaticien est annoncé pour un nouveau contrôle de sécurité sur sa situation personnelle et sur celle de son entourage – la fameuse PSP, pour Personensicherheitsprüfung. Mais avant que les experts n'aient le temps d'agender un premier entretien, la situation s'envenime. L'homme lance de nouvelles accusations de mobbing, ses absences deviennent de plus en plus fréquentes et il sèche les réunions de son team sans s'excuser.

Puis survient un événement qui aurait dû alerter tout de suite ses supérieurs: l'informaticien, spécialiste en bases de données, manipule une série de serveurs de façon à être le seul à y avoir accès. Durant ses absences, personne d'autre ne devait «marcher sur ses plates-bandes», rapporte-t-on au sein du SRC. C'est une infraction claire aux directives internes. Mais même après cet incident, l'homme conserve toujours l'accès à son bureau, ainsi que tous ses mots de passe et droits d'administrateur.

L'entier du serveur mail

Début avril, l'informaticien part quinze jours en vacances. A son retour, entre mi-avril et début mai, il n'est à son poste que de façon sporadique. Les certificats médicaux d'incapacité de travail qu'on lui a délivré oscillent entre 50 et 100% sur des périodes de quelques jours. C'est à ce moment précis que commence le vol de données: depuis son bureau au troisième étage de la Papiermühlestrasse 20, l'informaticien copie d'abord l'entier du serveur mail du SRC au sein du réseau interne sécurisé «SiLAN». Pendant l'opération, il a aussi mis la main sur des mails du Renseignement militaire et du Centre des opérations électroniques de l'armée. Cette dernière exploite le système de surveillance satellitaire Onyx, au moyen duquel des numéros de téléphone, de fax et des communications Internet sont surveillés à l'étranger.

Et avec ces mails, il télécharge d'innombrables documents attachés: des rapports confidentiels adressés au Conseil fédéral, des rapports secrets de services de police ou de renseignement étrangers sur des terroristes, des trafiquants d'armes ou sur des opérations de renseignement en cours. Et comme SiLAN n'est pas relié à l'extérieur, son contenu n'est pas crypté. En se procurant le trafic e-mail au sein du SRC et avec ses services affiliés, il ne met pas seulement la main sur une montagne de données brutes – mais aussi sur le résultat de plusieurs années de travail des services de renseignement helvétiques.

Des alarmes déjouées

En plus des courriels, l'employé hors de tout contrôle copie également la totalité des dossiers, les accès et les mots de passe de sa division, afin de pouvoir examiner depuis chez lui les données qu'il vient d'emporter. Apparemment, personne ne remarque que plusieurs terabytes sont ainsi dupliqués sans autorisation. L'opération nécessite pourtant plusieurs dizaines d'heures de copie à plein régime et représente un volume de données contenu dans une pile de feuilles A4 aussi haute que trois fois l'Everest. Le système aurait dû déclencher une alarme avec un transfert aussi énorme. Mais l'informaticien connaît les critères de sécurité et sait comment les contourner. Dans un cas au moins, il a modifié un script pour brouiller les traces derrière lui.

Et à plusieurs reprises, l'employé passe tranquillement le portique de sécurité du SRC avec des disques durs glissés dans son sac à dos. Ici, on appelle ce bâtiment en croix le «Pentagone» suisse. A l'étranger, il est presque partout impensable de sortir avec un support de données du bâtiment des services de renseignement. Certains contrôlent leurs employés de façon encore plus stricte qu'à l'aéroport. Difficile de dire quelles étaient les motivations du voleur de données. Son avocat n'a pas souhaité s'exprimer. Mais il semble que l'informaticien a tenté plus tard de justifier son acte par la nécessité de sécuriser les données prouvant qu'il avait été victime de mobbing.

Un compte à numéro chez UBS

Etait-ce le déclencheur? Une chose est sûre, l'homme sent très vite qu'il y a de l'argent à se faire. Vendredi 18 mai, le jour de sa dernière expédition au SRC, il veut ouvrir un compte à numéro. Il se rend dans une filiale d'UBS dans la région de Berne. Et face au conseiller de la banque, il s'annonce comme «employé du DDPS». Le banquier pose des questions critiques. Pourquoi au juste a-t-il besoin d'un compte à numéro? L'informaticien ne l'aura jamais. Et l'excuse de la belle-mère pour laquelle il a dit se renseigner n'a pas convaincu.

L'employé de banque suspicieux signale en interne cette étrange demande, comme plusieurs sources ayant connaissance du dossier nous l'ont confirmé. Et visiblement, la surveillance interne d'UBS est alertée. Via des canaux établis, l'information est ensuite relayée directement à la tête du SRC. Lorsque, plus tard, le ministre de la Défense Ueli Maurer chantera les louanges du «réseau de sécurité» qui a permis de stopper le voleur de données, il fait semble-t-il référence à ces canaux. Seulement, le simple conseiller en clientèle, dont la vigilance a permis d'éviter la catastrophe, n'appartient certainement pas à ce «réseau».

Sitôt informée, la direction du SRC lance des informaticiens de confiance sur les traces de leur collègue à l'attitude suspecte. Alors qu'ils sont en train de vérifier si ce dernier n'a pas de nouveau bloqué les mots de passe de ses collègues, ils découvrent le vol de données et l'annoncent au chef du Service de renseignement, Markus Seiler: «On a un problème.»

Markus Seiler s'annonce sur-le-champ auprès du ministre de la Défense Ueli Maurer et fonce lui dire personnellement la mauvaise nouvelle. Le 24 mai, personne ne sait si l'informaticien a déjà transmis les données volées. Il aurait eu bien assez de temps, car les premières copies datent d'il y a une dizaine de jours. Carlo Bulletti, le procureur fédéral en charge de la protection de l'Etat et des délits spéciaux, rameute autant de policiers fédéraux qu'il peut. Quelques-uns se rendent au siège du SRC. Mais ils ne trouvent pas les disques durs externes dans le bureau 3.275 où travaillait le spécialiste en bases de données. L'opération se focalise donc sur le domicile du suspect.

Une liste avec des prix

Là, la perquisition fait mouche. En plus des disques durs, ils mettent la main sur une lettre qui accable l'informaticien. Dans un anglais approximatif, sur plusieurs pages, est formulée une offre très concrète: les données volées sont réparties en plusieurs catégories de prix. Une pour les e-mails, une pour les documents confidentiels ou secrets, et une autre pour les accès au Service de renseignement de la Confédération. Le courrier est semble-t-il adressé à un service de renseignement étranger.

Ce n'est que grâce à beaucoup de chance que la Suisse a évité la catastrophe. La majorité des employés du SRC et ceux des services affiliés – dont les données ont pourtant été touchées – n'ont été informés du vol qu'après la décision d'Ueli Maurer de rendre l'affaire publique, après des mois de silence total. Les services de renseignement amis, eux aussi, n'ont été prévenus que cette fin de semaine. Il s'en est fallu d'un cheveu pour que certains de leurs secrets soient vendus au plus offrant.

Les parlementaires exigent des mesures

L'avis de l'expert

Ton opinion