Une disposition passée un peu inaperçue dans la marée médiatique du projet de loi sur le renseignement mérite que l'on s'y attarde. Elle va permettre aux agents de ses services de pirater légalement des ordinateurs et des systèmes, du moins ceux considérés comme basés à l’étranger, en toute impunité.
Un piratage légal s'il répond à sept finalités très floues
L’article 10 du projet de loi vient modifier le Code pénal, dans sa partie liée aux infractions informatiques, celle occasionnant aujourd’hui quelques ennuis à notre collègue Bluetouff. La disposition en question prévoit en effet que tout le droit pénal de l’informatique sera désormais inapplicable « aux mesures mises en oeuvre pour assurer hors du territoire national la protection des intérêts publics mentionnés à l’article L. 811-3 du code de la sécurité intérieure par les agents habilités des services de l’État désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement. »
La phrase est longue, indigeste, complexe.
Revenons à l’article L811-3 du projet de loi pour la comprendre. Cette joyeuse disposition décrit les sept finalités qui, en des termes parfois très flous, peuvent justifier légalement les sondes et boîtes noires, les écoutes administratives, l’aspiration automatisée de métadonnées, etc. Bref, toute l'artillerie lourde qui fait aujourd'hui hurler tant d’organisations de la société civile.
Outre la prévention du terrorisme, ces finalités sont en effet « les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France », « les intérêts économiques et scientifiques essentiels » de notre pays, ou encore « la prévention des violences collectives de nature à porter gravement atteinte à la paix publique. »
Pirater, voler, détruire un système de traitement automatisé, en toute impunité
L’une dans l’autre, ceci va donc permettre aux agents de pénétrer, se maintenir, effacer, modifier, mais aussi « voler » des données informatiques (merci la loi Terrorisme), bref : ils feront ce qu'ils voudront dans la plus stricte impunité puisque pénalement exonérés de toute atteinte aux systèmes d’information situés hors du territoire national.
Cette « excuse pénale », comme disent les spécialistes, avait déjà été initiée lors de la loi de programmation militaire. Elle permet depuis aux agents de l'ANSSI de répondre à une attaque informatique visant un opérateur d’infrastructure vitale, comme une centrale nucléaire, par exemple. Mais cette fois, on change d’envergure puisqu’il ne s’agit plus de répondre à une telle attaque, mais, par exemple, de prévenir une menace terroriste ou des actions susceptibles de porter atteinte à la paix publique. Sentez-vous la nuance thermonucléaire ?
Un moyen pratique pour hacker les règles françaises
« Cette excuse pénale n'est évidemment pas absolue, tempère cependant l’étude d’impact annexée au projet de loi sur le renseignement. Ainsi, elle ne protègera pas les agents « d'autres qualifications pénales criminelles (cas d'une action informatique qui aurait des conséquences très importantes sur la population civile d'un pays) ou délictuelles (violences involontaires). »
Bref, tant que notre agent du renseignement ne met pas à feu et à sang la Corée du Nord, il restera dans les clous et continuera à pirater en toute légalité. Ce subtil équilibre serait ainsi « parfaitement proportionné aux missions assignées aux services pour la protection des intérêts de notre pays à l'étranger » assure encore le gouvernement, bien content d'avoir un allié de poids. Dans son avis, le Conseil d’État a en effet jugé « constitutionnellement possible d’instituer un régime d’exonération pénale autorisant les agents habilités des services de renseignement à exécuter [de telles] actions offensives. »
Des actions offensives, la loi de la jungle qui commencera dès la frontière... mais peut être aussi dès avant. Pourquoi ? Pour le comprendre, posons nous d'autres questions : dans l’univers des nouvelles technologies, où se trouve la frontière du « hors du territoire national » ? Quel est le critère de rattachement d'un système informatique, d'un octet ? Imaginons un individu installé à Strasbourg, qui utilise un VPN le localisant artificiellement aux Bahamas. C’est du « territoire national » ou du « hors du territoire national » ? Le cas échéant, n'est-ce pas un vil moyen pour contourner les règles à respecter, vous savez, celles qui se seraient appliquées si le renseignement avait directement visé notre Alsacien ?
