Atlantico, c'est qui? c'est quoi ?
Vendredi 24 Novembre 2017 | Créer un compte | Connexion
Extra

L’État traque les hackers...
mais qui contrôle l’État
quand il se fait lui-même pirate ?

La police allemande aurait utilisé un "cheval de Troie" pour enregistrer les communications et contrôler à distance des ordinateurs. Un dispositif que les enquêteurs français ont déjà mis sur pied dans un cadre légal plutôt flou.

Espionnage numérique

Publié le - Mis à jour le 3 Novembre 2011
L’État traque les hackers... 
mais qui contrôle l’État 
quand il se fait lui-même pirate ?

La police allemande aurait utilisé un "cheval de Troie" pour enregistrer les communications et contrôler à distance des ordinateurs.  Crédit Reuters

La LOPPSI 2 (loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure) a introduit le 14 mars 2011 la possibilité pour les services d'enquête judiciaire d'opérer la captation des données électroniques "à la source", c'est-à-dire directement sur l’ordinateur d’un utilisateur.

L'utilisation légale d'un « cheval de Troie »

Ce dispositif hybride, qui peut s’apparenter à de l’écoute en temps réel, couplée à une perquisition numérique à distance, consiste en l'installation d'un programme espion à l'insu de la personne visée (ou "cheval de Troie", d'après l'imagerie homérique).

Une fois installé, le logiciel troyen permet d'effectuer à distance toute une gamme d'opérations sur la machine infectée. Lorsqu’elles sont commises par l’État, ces opérations sont légalement limitées à l'accès, l'enregistrement, la conservation et la transmission des données présentes sur l’ordinateur infecté, ainsi qu’à l'envoi à l’enquêteur numérique, de toutes données saisies au clavier par l’internaute (fonctionnalité dite de "keylogger")

Article 706-102-1 du Code de procédure pénale : "Lorsque les nécessités de l'information concernant un crime ou un délit entrant dans le champ d'application de l'article 706-73 l'exigent, le juge d'instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l'autorité et le contrôle du juge d'instruction."

En Allemagne et en Suisse, un dispositif "taillé" pour outrepasser le cadre légal

Si cette loi n'a pas encore célébré son premier anniversaire, les versions germaniques et helvétiques d’un tel dispositif viennent d'être mises sous le feu des projecteurs par les communautés informatiques alternatives de Suisse et d'Allemagne.

Ainsi, coup sur coup, le 8 octobre dernier, le Chaos Computer Club (CCC), association historique de hackers (au sens premier du terme, "bidouilleur informatique") européens fondée en Allemagne, annonçait avoir trouvé de nombreuses failles dans le logiciel espion fédéral allemand, après en avoir étudié le fonctionnement par ingénierie inverse.

L'utilisation de tels procédés d’intrusion informatique placés sous le contrôle de l'autorité judiciaire, avait été strictement encadrée par les magistrats allemands. Au nombre des découvertes faites par le CCC, le logiciel allemand permettrait la manipulation complète du terminal infecté, à distance et à l'insu de l'utilisateur. Avec pour conséquence la possibilité d'installer (ou de détruire) des fichiers et de déclencher à distance les fonctionnalités audio et vidéo de l'ordinateur. En outre, le CCC déplore que les flux de données entre l'ordinateur cible et les services de police ne soient pas mieux sécurisés au travers d'un chiffrement satisfaisant des données captées. Conséquence de toutes ces anomalies relevées, le CCC a été capable de développer sa propre interface pour accéder aux terminaux placés sous contrôle de la police allemande, avec l'intégralité des fonctions détaillées ci-dessus.

Six jours plus tard, c'est le Parti Pirate Suisse qui dénonçait le système d’intrusion helvétique, non pas sur la réalité avérée de failles informatiques du procédé helvétique d’intrusion, mais sur le fait qu'aucun texte de loi suisse ne prévoyait le recours à un tel dispositif. Hors de tout cadre légal, la latitude pour de potentiels abus est donc importante.

Qu'en est-il en France ?

Dans un premier temps, il est important de garder à l'esprit que la LOPPSI 2 encadre le recours à ces logiciels espions par les services d’enquête français, et le cas suisse ne lui est donc pas transposable. Néanmoins, les abus qui pourraient être commis par des tiers (failles internes du logiciel) ou par les services en charge de l'enquête, demeurent possibles.

La LOPPSI 2 prévoit un contrôle des opérations de police par le juge. En outre, les dispositifs de captation de données informatiques détaillées par la LOPPSI 2 doivent figurer sur une liste dressée dans des conditions fixées par décret en Conseil d'État (Article 226-3 du Code pénal inséré par l'ordonnance n°2011-1012 du 24 août 2011 - article 44). Ce décret n’a pas encore été publié à ce jour.

Cependant, qu'il s'agisse des cas allemand ou suisse, les constatations des hackers sont nées des inquiétudes vis-à-vis de technologies non publiées, légitimées par un pouvoir législatif et sous le contrôle d'un corps judiciaire, tous deux souvent trop peu au faîte des problématiques techniques et des dérives humaines qui peuvent avoir pour conséquence autant la condamnation d'innocents que l'acquittement de coupables.

Au lendemain de l'affaire Michel Neyret, il est fort probable que le facteur humain occupera le devant de la scène dans l'œil du public… Le facteur technique ne devrait cependant pas être négligé car, en l’absence de décret, l’État français n’a pas encore précisé, ni limité les fonctionnalités d’intrusion et de captation de données qu’il souhaite voir utiliser. Sans ces précisions, le contrôle du juge restera inopérant. Pour combien de temps encore ?

 

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Ann O'nymous - 31/10/2011 - 13:56 - Signaler un abus Bien vu

    Bien vu

  • Par cappucino - 31/10/2011 - 16:09 - Signaler un abus Une question me taraude...

    Quand on déclare ses impôts sur internet, Bercy nous balance des tas de petits morceaux de programmes résidents sur les ordinateurs. Est ce que ceux ci sont bien propres et pas malveillants? Je commence à me poser des questions après votre article.

  • Par DEL - 31/10/2011 - 23:39 - Signaler un abus C'est pas près de finir...

    Le but de tout politique est de transformer le monde selon sa vision, forcément "bonne". Il aura donc tendance à vouloir tout "contrôler", ne serait-ce que pour assurer sa propre réélection, faute de quoi il ne pourra pas appliquer son bon programme. Il s'arrangera donc pour espionner tout et tout le monde, même illégalement. Et les exemples ne manquent pas en ce moment!

  • Par Aie - 01/11/2011 - 02:10 - Signaler un abus Les juges font quoi

    avec le dossier GUÉRINI ?

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Claude-Etienne Armingaud et Etienne Drouard

Claude-Etienne Armingaud et Etienne Drouard sont avocats spécialisés en droit de l'informatique et des réseaux de communication électronique.

Voir la bio en entier

Je m'abonne
à partir de 4,90€