La ministre fédérale de l’Intérieur, Nancy Faeser (SPD), souhaiterait révoquer le président de l’Office fédéral de la sécurité des technologies de l’information (BSI), Arne Schönbohm, selon les médias. C’est ce que rapportent Image et le Journal du commerce en citant des sources gouvernementales. Interrogé par la dpa, un porte-parole du ministère fédéral de l’Intérieur n’a pas souhaité commenter ces informations. Des sources ministérielles ont indiqué que la présentation du rapport de situation du BSI, initialement prévue jeudi, serait reportée.
Schönbohm fait l’objet de critiques en raison de ses éventuels contacts avec les milieux du renseignement russe par le biais de l’association controversée « Cyber-Sicherheitsrat Deutschland e.V. ». Les liens de Schönbohm avaient été évoqués auparavant par Jan Böhmermann dans l’émission « ZDF Magazin Royale », que l’on peut également trouver sous le hashtag #cyberclown sur Twitter. Un porte-parole a déclaré que le ministère de l’Intérieur suivait les faits et les examinait attentivement. « Toutes les options sont examinées et la manière dont la situation actuelle doit être gérée ». En raison des dispositions du droit de la fonction publique, le chef de l’autorité ne peut pas être simplement licencié.
Le site Image a rapporté qu’après la révocation, une nouvelle affectation serait recherchée le plus rapidement possible pour Schönbohm et un successeur pour le BSI. Le BSI n’a pas répondu à une demande de la dpa. L’association « Cyber-Sicherheitsrat Deutschland » est notamment critiquée en raison de l’adhésion de la société de cybersécurité berlinoise Protelion. Jusqu’à fin mars, l’entreprise opérait sous le nom d’Infotecs GmbH. Il s’agit d’une filiale de l’entreprise de cybersécurité russe O.A.O.Infotecs qui, selon les informations du réseau de recherche Policy Network Analytics, a été fondée par un ancien collaborateur des services de renseignement russes KGB.
Depuis longtemps déjà, le ministère de l’Intérieur serait mécontent du rôle de Schönbohm au sein du Conseil de cybersécurité et de ses relations avec celui-ci. Les nouvelles accusations et la visite de Schönbohm à l’occasion de l’anniversaire de l’association ont sans doute fait déborder le vase. Anke Domscheit-Berg, porte-parole pour la politique numérique du groupe de gauche au Bundestag allemand, a déclaré samedi sur Twitter qu’elle avait demandé que la commission numérique se penche sur le sujet mercredi prochain. Ce que Jan Böhmermann a rendu public en termes de liens entre les services de renseignement russes, « une association de cybersécurité douteuse, ses membres ainsi que le BSI » est inconcevable.
Schönbohm est l’un des cofondateurs du « Cyber-Sicherheitsrat Deutschland e.V. », qui fait notamment l’objet de critiques parce qu’il s’est présenté à certaines occasions comme une institution prétendument étatique. En 2019, le président de l’association Hans-Wilhelm Dünn avait en outre déclaré au magazine ARD Kontraste et l’hebdomadaire Le temps a reconnu des contacts avec les services secrets russes. Selon les informations de la dpa, Schönbohm a été prié à plusieurs reprises de prendre ses distances avec l’association. Début septembre, le chef des autorités s’est toutefois présenté à l’association pour la féliciter publiquement de ses dix ans d’existence.
Schönbohm déjà vivement critiqué auparavant
Tous les reproches faits à Schönbohm ne sont pas tout à fait nouveaux. Sa nomination fin 2015 avait déjà fait l’objet de vives critiques. Konstantin von Notz, porte-parole des Verts pour la politique des réseaux, qui étaient encore dans l’opposition à l’époque, a critiqué dans le SZ le fait que Schönbohm soit un lobbyiste, en outre un économiste et non un cryptologue – donc pas un de ces experts en cryptage dont on a vraiment besoin pour la cybersécurité. Le « Conseil de cybersécurité » est une « association de cartes de visite ».
Suite aux rapports sur la révocation de Schönbohm, von Notz a déclaré : « Les accusations très larges qui sont actuellement dans l’air doivent être élucidées de manière très déterminée, indépendamment de la personnalité de Schönbohm, et les conséquences correspondantes doivent être tirées. Dans la situation actuelle, qui n’est pas simple, il y a aussi une chance : car après des années de négligences flagrantes, les feux de la rampe ont convenu dans l’accord de coalition d’un véritable revirement dans le domaine de la sécurité informatique, notamment en vue d’une protection efficace des infrastructures critiques ».
En 2015, Constanze Kurz du Chaos Computer Club a reproché à Schönbohm « le phénomène connu dans les milieux de la sécurité informatique sous le nom de ‘cyber-bullshitting' », car Schönbohm, en tant qu’entrepreneur informatique, lance probablement des slogans marketing. « La qualification primaire du membre du parti FDP était la vente de solutions coûteuses mais souvent superflues aux gouvernements ». Le fait qu’il soit le fils de l’ancien ministre CDU du Land, Jörg Schönbohm, a été considéré par ses détracteurs comme une preuve supplémentaire que sa nomination n’avait pas grand-chose à voir avec ses qualifications.
Pourtant, Schönbohm a dirigé le BSI pendant plusieurs années, et l’office a traité pendant cette période des cas spectaculaires comme l’intrusion numérique dans le réseau des autorités fédérales IVBB. Le fait que ce soient justement les entreprises censées garantir la sécurité des réseaux et systèmes les plus importants qui soient soupçonnées d’être infiltrées par les services secrets est d’une part ironique, mais d’autre part tout à fait logique.
Car celui qui doit protéger des systèmes obtient généralement un accès privilégié à ceux-ci – une porte d’entrée idéale pour les espions. Ce sont surtout les entreprises russes qui ont attiré l’attention des autorités de sécurité occidentales. Ainsi, le BSI lui-même s’exprimait ainsi dans son communiqué de mars dernier, dans lequel il mettait en garde contre l’utilisation des scanners antivirus de l’entreprise russe Kaspersky : « Un fabricant informatique russe peut lui-même mener des opérations offensives, être contraint contre sa volonté d’attaquer des systèmes cibles, ou être lui-même victime d’une cyber-opération à son insu, espionné ou utilisé comme outil pour des attaques contre ses propres clients ».
Kaspersky, l’un des leaders du marché, est déjà sanctionné par les États-Unis et le Royaume-Uni depuis 2017. Les agences gouvernementales de ces deux pays ont l’interdiction d’utiliser les logiciels Kaspersky. L’entreprise clame son innocence.