L’Etat traque les hackers… mais qui controle l’Etat quand il se fait lui-meme pirate ?

novembre 3rd, 2011 | Posted by Claude-Etienne Armingaud in France

L

a police allemande aurait utilisé un « cheval de Troie » pour enregistrer les communications et contrôler à distance des ordinateurs. Un dispositif que les enquêteurs français ont déjà mis sur pied dans un cadre légal plutôt flou.

La LOPPSI 2 (loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure) a introduit le 14 mars 2011 la possibilité pour les services d’enquête judiciaire d’opérer la captation des données électroniques « à la source »1)Article 706-102-1 du Code de procédure pénale : « Lorsque les nécessités de l’information concernant un crime ou un délit entrant dans … Continue reading, c’est-à-dire directement sur l’ordinateur d’un utilisateur.

L’utilisation légale d’un « cheval de Troie »

Ce dispositif hybride, qui peut s’apparenter à de l’écoute en temps réel, couplée à une perquisition numérique à distance, consiste en l’installation d’un programme espion à l’insu de la personne visée (ou « cheval de Troie« , d’après l’imagerie homérique).

Une fois installé, le logiciel troyen permet d’effectuer à distance toute une gamme d’opérations sur la machine infectée. Lorsqu’elles sont commises par l’État, ces opérations sont légalement limitées à l’accès, l’enregistrement, la conservation et la transmission des données présentes sur l’ordinateur infectéainsi qu’à l’envoi à l’enquêteur numérique, de toutes données saisies au clavier par l’internaute (fonctionnalité dite de « keylogger« )

En Allemagne et en Suisse, un dispositif « taillé » pour outrepasser le cadre légal

Si cette loi n’a pas encore célébré son premier anniversaire, les versions germaniques et helvétiques d’un tel dispositif viennent d’être mises sous le feu des projecteurs par les communautés informatiques alternatives de Suisse et d’Allemagne.

Ainsi, coup sur coup, le 8 octobre dernier, le Chaos Computer Club (CCC), association historique de hackers (au sens premier du terme, « bidouilleur informatique« ) européens fondée en Allemagne, annonçait avoir trouvé de nombreuses failles dans le logiciel espion fédéral allemand, après en avoir étudié le fonctionnement par ingénierie inverse.

L’utilisation de tels procédés d’intrusion informatique placés sous le contrôle de l’autorité judiciaire, avait été strictement encadrée par les magistrats allemands. Au nombre des découvertes faites par le CCC, le logiciel allemand permettrait la manipulation complète du terminal infecté, à distance et à l’insu de l’utilisateur. Avec pour conséquence la possibilité d’installer (ou de détruire) des fichiers et de déclencher à distance les fonctionnalités audio et vidéo de l’ordinateur. En outre, le CCC déplore que les flux de données entre l’ordinateur cible et les services de police ne soient pas mieux sécurisés au travers d’un chiffrement satisfaisant des données captées. Conséquence de toutes ces anomalies relevées, le CCC a été capable de développer sa propre interface pour accéder aux terminaux placés sous contrôle de la police allemande, avec l’intégralité des fonctions détaillées ci-dessus.

Six jours plus tard, c’est le Parti Pirate Suisse qui dénonçait le système d’intrusion helvétique, non pas sur la réalité avérée de failles informatiques du procédé helvétique d’intrusion, mais sur le fait qu’aucun texte de loi suisse ne prévoyait le recours à un tel dispositif. Hors de tout cadre légal, la latitude pour de potentiels abus est donc importante.

Qu’en est-il en France ?

Dans un premier temps, il est important de garder à l’esprit que la LOPPSI 2 encadre le recours à ces logiciels espions par les services d’enquête français, et le cas suisse ne lui est donc pas transposable. Néanmoins, les abus qui pourraient être commis par des tiers (failles internes du logiciel) ou par les services en charge de l’enquête, demeurent possibles.

La LOPPSI 2 prévoit un contrôle des opérations de police par le juge. En outre, les dispositifs de captation de données informatiques détaillées par la LOPPSI 2 doivent figurer sur une liste dressée dans des conditions fixées par décret en Conseil d’État2)Article 226-3 du Code pénal inséré par l’http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5FD9728DFC4D24A075877EF26FDD0ADE.tpdjo08v_3?cidTexte=JORFTEXT000024502658&idArticle=LEGIARTI000024503237&dateTexte=20111024&categorieLien=id#LEGIARTI000024503237" href="http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5FD9728DFC4D24A075877EF26FDD0ADE.tpdjo08v_3?cidTexte=JORFTEXT000024502658&idArticle=LEGIARTI000024503237&dateTexte=20111024&categorieLien=id#LEGIARTI000024503237">ordonnance n°2011-1012 du 24 août 2011 – article 44. Ce décret n’a pas encore été publié à ce jour.

Cependant, qu’il s’agisse des cas allemand ou suisse, les constatations des hackers sont nées des inquiétudes vis-à-vis de technologies non publiées, légitimées par un pouvoir législatif et sous le contrôle d’un corps judiciaire, tous deux souvent trop peu au faîte des problématiques techniques et des dérives humaines qui peuvent avoir pour conséquence autant la condamnation d’innocents que l’acquittement de coupables.

Au lendemain de l’affaire Michel Neyret, il est fort probable que le facteur humain occupera le devant de la scène dans l’œil du public… Le facteur technique ne devrait cependant pas être négligé car, en l’absence de décret, l’État français n’a pas encore précisé, ni limité les fonctionnalités d’intrusion et de captation de données qu’il souhaite voir utiliser. Sans ces précisions, le contrôle du juge restera inopérant. Pour combien de temps encore ?

En collaboration avec Etienne Drouard.

Première publication sur Atlantico.fr

References

References
1 Article 706-102-1 du Code de procédure pénale : « Lorsque les nécessités de l’information concernant un crime ou un délit entrant dans le champ d’application de l’article 706-73 l’exigent, le juge d’instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l’autorité et le contrôle du juge d’instruction.« 
2 Article 226-3 du Code pénal inséré par l’http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5FD9728DFC4D24A075877EF26FDD0ADE.tpdjo08v_3?cidTexte=JORFTEXT000024502658&idArticle=LEGIARTI000024503237&dateTexte=20111024&categorieLien=id#LEGIARTI000024503237" href="http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=5FD9728DFC4D24A075877EF26FDD0ADE.tpdjo08v_3?cidTexte=JORFTEXT000024502658&idArticle=LEGIARTI000024503237&dateTexte=20111024&categorieLien=id#LEGIARTI000024503237">ordonnance n°2011-1012 du 24 août 2011 – article 44

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *