Au Journal officiel, l’encadrement des mouchards de Skype (et assimilés)

Au Journal officiel, un arrêté vient encadrer, sous l’œil de l’ANSSI, la définition des mouchards que les juges peuvent désormais utiliser pour faire espionner non seulement les données saisies au clavier ou affichées sur l’écran, mais également celles « reçues et émises par des périphériques audiovisuels ».

En 2011, la loi d'orientation et de programmation pour la sécurité intérieure (LOPPSI) avait permis à la police, sur autorisation d’un juge, la mise en place de mouchard, même à distance. L’enjeu ? Enregistrer les frappes au clavier (keylogger) ou les images affichées sur un écran afin d’espérer glaner quelques preuves, dans le cadre d’enquête pour des infractions sérieuses (criminalité organisée, terrorisme).

Seulement, il y avait un trou dans la raquette. En visant les données affichées « sur un écran » ou celles introduites « par saisie de caractères », le texte initial excluait mécaniquement la captation de parole. Une lacune très contrariante pour qui veut épier une conversation sur Skype par exemple.

La loi contre le terrorisme et Skype

La loi contre le terrorisme de novembre 2014 a comblé la faille. Depuis, non seulement les données saisies au clavier peuvent être espionnées judiciairement, mais également celles « reçues et émises par des périphériques audiovisuels ». La rustine se trouve à l’article 706-102-1 du Code de procédure pénale.

Toutefois encore, une dernière étape manquait pour parfaire ce système. Un autre article, le 226-3 du Code pénal, soumet ces armes de surveillance intrusive à un arrêté du Premier ministre, épaulé par le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Son objet ? Dresser la liste de ces outils sensibles dont est autorisée la fabrication, l’importation, la détention, l‘exposition, l’offre, la location ou la vente. Sans ce feu vert, ces mêmes opérations, susceptibles de générer des atteintes à la vie privée ou au secret des correspondances, sont en effet sanctionnées de cinq ans d'emprisonnement et de 300 000 euros d'amende.

Cet arrêté du 4 juillet 2012 « fixant la liste d'appareils et de dispositifs techniques prévue par l'article 226-3 du code pénal » n’avait pas non plus été mis à jour depuis la loi contre le terrorisme. Cet oubli empêchait donc la commercialisation sous contrôle de mouchards de nouvelle génération.

Ce nouveau manque a été corrigé aujourd’hui au Journal officiel. Le Premier ministre a en effet complété le texte de 2012 en y remplaçant l’expression « ou telles qu'il les y introduit par saisie de caractères » par les mots « telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques audiovisuels ». Sous l’œil de l’ANSSI, certains espiogiciels capables de surveiller Skype (et assimilés) peuvent donc maintenant être introduits en France et utilisés par les services autorisés.

De la surveillance judiciaire à la surveillance administrative

Rappelons au passage que le projet de loi Renseignement permet elle aussi la captation des données informatiques dans un cadre cette fois strictement administratif. Donc sans juge. La même loi s’est servie de l'article 226-3 du Code pénal pour également étendre l'aspiration des métadonnées.

Pour la poursuite de finalités jugées très floues, les services du renseignement pourront en effet utiliser l’ensemble des appareils mentionnés à cet article, afin de moissonner « les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ainsi que les données relatives à la localisation des équipements terminaux utilisés ». Cet arsenal (IMSI catcher, mais pas seulement) pourra par exemple être utilisé pour connaître « directement » les données générées par un smartphone, situé à proximité d’un point déterminé.