Questionné par Éric Ciotti sur la possibilité d’instaurer un nouveau régime de saisie des données informatiques à l'insu de leurs propriétaires, le gouvernement a donné plusieurs éclairages sur l’arsenal en cours destiné à lutter contre les infractions les plus graves.
Dans sa réponse, l’exécutif a d'abord rappelé que le régime normal des perquisitions à distance peut être problématique : « nécessitant par principe une publicité de la mesure à l'égard du perquisitionné, son consentement ou à tout le moins sa présence, [cette mesure] ne permet pas de saisir des données à distance sans en informer le suspect ». En somme, on a vu mieux, question discrétion.
Cette possibilité est inscrite à l'article 57-1 du Code de procédure pénale : avec lui, les officiers de police judiciaire peuvent accéder aux données accessibles via le système informatique découvert sur les lieux perquisitionnés. En 2014, la loi contre le terrorisme a allégé ce formalisme afin de permettre un tel accès via un ordinateur implanté dans les locaux de la police. Cependant, souligne le ministre de la Justice dans sa réponse, « la loi précitée n'a pas modifié les garanties dont bénéficie la personne au titre des articles 57 et 76 du code de procédure pénale. Ces dispositions interdisent à l'enquêteur de consulter et saisir des données en dehors de la présence de l'intéressé, d'un tiers désigné ou de deux témoins ». Bref, on peut encore mieux faire.
Des techniques qui ne se heurtent pas au problème du chiffrement
Heureusement pour les enquêtes concernant la criminalité organisée et le terrorisme, d’autres dispositions modifient le curseur entre cet impératif de sécurité et celui du respect du droit à la vie privée, deux normes de même rang constitutionnel. L'article 706-102-1 du Code de procédure pénale autorise la captation de données via un « cheval de Troie ». Les autorités peuvent installer en douce « un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les a introduites par la saisie de caractères ».
La loi de 2014 a modifié là encore ce régime en étendant cette intrusion à la captation de données reçues ou émises depuis un périphérique audiovisuel. Une mesure qui permet d’espionner les échanges via des logiciels comme Skype.
Cet arsenal sur sa table, Jean-Jacques Urvoas a tenu à préciser au député Ciotti « que cette technique ne se heurte pas au problème du chiffrement », puisque les informations sont puisées directement à la source, en scrutant les frappes au clavier, l’affichage à l’écran ou les sons diffusés depuis un système informatique.
Le projet de loi sur la réforme pénale
Mais l’état de notre législation est encore perfectible si on en croit le projet de loi sur la réforme pénale. Celui-ci a prévu plusieurs dispositions pour faciliter ces intrusions.
La mise en place des chevaux de Troie pourra par exemple être décidée pendant une durée de deux ans. Sur la question plus précise du chiffrement, le procureur de la République (ou l'officier de police judiciaire) peut aujourd’hui solliciter toute personne susceptible de détenir des informations intéressant l'enquête pour qu’elles lui soient remises. En cas de refus, cette personne risque une amende de 3 750 euros. Le projet de loi porte cette sanction à 15 000 euros lorsque l’infraction concerne une personne morale qui aura refusé de répondre aux réquisitions « tel un constructeur d'appareils ou un prestataire de services ».
Une autre disposition inscrite à l’article 343-15-2 du Code pénal a été revue. Cet article punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Quand ce refus est opposé alors que la remise ou la mise en oeuvre de la convention « aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets », la peine est de cinq ans d'emprisonnement et 75 000 euros d'amende. La somme a été portée par les sénateurs à 150 000 euros si le refus vient d’une personne morale.
Le texte est désormais en commission mixte paritaire, afin que soient corrigées les différences entre la version sénatoriale et celle des députés. Nous referons prochainement un point complet sur les dispositions finalement retenues.
Commentaires (17)
#1
‘tain on est vraiment dans la mise en place d’une surveillance de masse…..
Pour le gouvernement, le chiffrement n’est pas toujours un problème
Ils ont raison, pour les derniers attentats les terroristes n’avaient aucun téléphone chiffré et communiquaient via des téléphones lambda.
#2
il est bien Ciotti : il est dans tous les bons coups.
Je pense qu’en duo avec Cazeneuve ça devrait être pas mal du tout …
#3
En fait, avec un live-CD qui boote sur un pc et un seul disque dur chiffré, ca ne peut pas marcher leur bouzin, un cheval de troie ne peut pas s’installer puisque CD write-only.
#4
Sans parler de l’inutilité de l’article sur l’obligation de donner la “convention secrète de déchiffrement d’un moyen de cryptologie” à l’heure où le chiffrement de bout en bout devient la règle dans toutes les messageries y compris les plus grands publiques …
Des lois inutiles mais des faire-valoir auprès de l’opinion publique et des électeurs.
#5
oui téléphone jetable (style bic ou mobicarte avec fausse identités) activé seulement quelques minutes/heures avant l’attaque et communication via de simple sms.
Comme toujours la surveillance de masse n’est pas destiné au terrorisme en priorité mais traquer le brebis qui auraient l’idée de écarter du chemin pour les y remettre directement à coup de matraque.
#6
#7
https://fr.wikipedia.org/wiki/Rootkit#Niveau_micrologiciel.2Fmat.C3.A9riel
#8
Justement, ils prélèvent les messages tels qu’ils sont affichés sur l’écran, donc pas chiffrés, ils n’interceptent donc pas les paquets, mais les infos qui sortent de la CG, un peu comme un fraps en somme (d’après ce que j’en ai compris)
Ils couplent ça avec un Keylogger et ils peuvent avoir tout le brouzouf sans se fouler.
Quid de la bande passante que ça doit consommer ? Suffit de voir un outil style Teamviewer qui est relativement gourmand…
#9
Tu as raison mais tu est hors propos par rapport à mon commentaire. ;)
#10
My bad, j’avais mal compris ton commentaire (lu un peu trop vite)
#11
#12
faut surtout pas que les terroristes aient des iPhone sinon on est dans la merde. Quant on voit que les Windows phone 10 peuvent être chiffrés (mais c’est peut etre de la roupie de sançonnet comme chiffrage)
#13
non mais les terro ils ont pas besoin du chiffrement.
les mecs se baladent presque librement en Europe, font des aller-retour avec la syrie, ont accès à une quantité de burners presque sans limite…
qu’est-ce qu’ils foutraient avec un Iphone (metadata et compagnie, mauvais paramétrage, mauvaise utilisation, failles 0day) alors qu’il suffit de changer de SIM et de téléphone (simple, rapide)? ou juste de se parler directement?
#14
Comme si ils ne savaient pas, ils doivent réfléchir à une riposte si elle n’est pas déjà trouvée.
#15
”….d’autres dispositions modifient le curseur entre cet impératif de sécurité et celui du respect du droit à la vie privée,…”
Cette manie de biaiser le débat avec l’existence d’un pseudo curseur déplaçable et opposant sécu/vie privé alors que :
1 - le chiffrement EST le point d’équilibre entre secu est vie privée. C’est pas déplaçable : vous enlevez le chiffrement tout se casse la gueule.
2 - le chiffrement EST un élement de la sécurité. Aucune société moderne peut se développer sans crypto. Echange bancaire, dispositifs industriels : eaux, transports, énergie… défense, pour citer les plus évidents.
3 - la crypto se base sur des maths, les maths sont universelles. Vous affaiblissez la crypto pour les uns (flics) c’est affaiblit pour tout le monde (mafieux/autres etats pas amis).
Concernant les key-loggers et autres logiciels forensic :
a - les pauvres éditeurs d’antivirus et d’OS doivent se prendre des demandes de toutes les polices du monde pour exclure leurs programmes des outils de bases styles “gestionnaire de taches” et du scope des antivirus
b - une fois installé sur ta machine c’est copiable et manipulable. On a même un exemple en Allemagne où le logiciel a été décortiqué et a fini devant les juges et les journalistes parce qu’il faisait plus de chose que ce que la loi permettait aux flics :http://www.presse-citron.net/l%E2%80%99utilisation-du-logiciels-espions-par-la-p…
c - après je sais pas comment le logiciel espion de votre furture-ex vendu 50 euros sur Internet va pas être en compétition avec celui de vos futurs géoliers ? hin hin hin
Dernier sujet, les 3 ans de taule si tu files pas ta clé privée pour déchiffrer, c’est tellement bizarre de voir certaines nouvelles/romans de cypherpunk se réaliser : des sociétés totalitaires avec des résistants qui sont derrières un mur de crypto. Jusqu’en 1996 le chiffrement via PGP était assimilé en France à une arme de guerre de 2ieme catégorie.
Tout ca pour finir avec une facture de $15.000 pour le FBI vers une société qui exploite une vulnérabilité non-publique pour ouvrir un phone bloqué avec une combinaison de 4 à 6 chiffres et qui explose sans tu tentes plus de 10x.
#16