Un service de divulgation au lieu d’un service de renseignement

Nous avons besoin d’un service de divulgation, pas d’un service de renseignement. D’une autorité qui recherche activement les failles de sécurité, qui informe la population et les milieux économiques sur les risques et qui aide à combler les failles de sécurité informatique. D’une autorité qui montre que nous tenons vraiment à la neutralité.

Les cryptoleaks me rendent furieux. La crédibilité de la Suisse en tant que pays neutre rendant de bons services et siège de nombreuses organisations internationales importantes a massivement souffert des cryptoleaks. Un capital d’une valeur inestimable a été dilapidé. De même pour la place économique suisse : Ces gros titres sont toxiques !

Les activités de notre service de renseignement sont d’ailleurs surtout connues pour des couacs embarrassants. Des dommages avérés ont été causés. Son utilité ne peut par contre guère être déterminée. De plus, promouvoir la neutralité tout en s’adonnant soi-même à l’espionnage et en aidant d’autres à le faire n’est pas un vecteur de crédibilité. L’argument selon lequel l’on doit faire de l’espionnage parce que d’autres le font n’est pas tenable d’un point de vue logique. Au contraire : c’est le meilleur argument pour une stratégie anti-espionnage. Parce que nous voulons prouver de manière crédible que nous prenons la neutralité à cœur.

Seul un changement de direction audacieux nous permettra de reconstruire ce qui fait, respectivement faisait, notre fierté. Même si notre neutralité n’a pas toujours été irréprochable, nous étions tout de même longtemps dans un contexte global une instance reconnue en tant que lieu neutre où pouvaient avoir lieu des discussions et des négociations géopolitiques importantes. Le crypto-scandale devrait être une incitation à repenser la neutralité.

Le marché des logiciels montre comment un tel service de divulgation pourrait aborder la thématique : à l’aide de programmes de type Bug bounty, offrant une prime pour l’identification de failles de sécurité. Ce type de programmes est déjà largement mis en place dans des entreprises privées et des communautés open source, pour favoriser le partage de savoir au sein de la communauté et pour créer des systèmes les plus sûrs possible.

La neutralité bien pratiquée, voilà ce à quoi nous devrions nous consacrer !

À voir aussi ma prise de position au 19h30 de la RTS, 12.2.2020 et dans le Tagesanzeiger, 3.5.2020