Le Conseil constitutionnel dira le 8 avril prochain si les autorités françaises ont pu « pirater » les terminaux sécurisés EncroChat sans malmener les textes fondateurs. Une captation rendue possible par une disposition qui permet le recours à des moyens sous le secret de la défense nationale.
En juillet 2020, notre collègue Jean-Marc Manach décrivait comment la gendarmerie française avait intercepté, analysé et décrypté « plus d'une centaine de millions de messages chiffrés ». Le coup de maître aurait été réalisé par l’installation d’un logiciel espion dans des terminaux sécurisés EncroChat, notamment après une mise à jour, le tout à l’insu des utilisateurs.
S’en suivaient de nombreuses saisies de drogues, d’armes et autres avoirs outre des arrestations en France, mais aussi à l’étranger.
Au-delà des faits, cette intervention a été rendue possible par l'article 706-102-1 du Code de procédure pénale, lequel autorise le procureur de la République ou le juge d'instruction à prescrire le recours aux moyens de l'État « soumis au secret de la défense nationale ». Ce texte dresse ainsi un pont entre le judiciaire et la trousse à outils des services du renseignement pour épauler les enquêtes ou instructions en cours.
Une graine plantée en 2011
Dans sa forme fœtale, cet article avait été introduit par la loi d'orientation et de programmation pour la performance de la sécurité intérieure de 2011 (ou LOPPSI 2), dans une série d’articles consacrés à la captation des données informatiques.
En 2011, une première version de l'article 706-102-1 autorisait, en l’encadrant, la mise en place de « dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères ».
Pour caricaturer, un « cheval de Troie » sur lequel gendarmes et policiers allaient pourvoir compter en matière de criminalité et délinquance organisées, mais aussi de crimes, afin de récolter de précieuses informations.
Cette réforme avait été annoncée deux années plus tôt par la place Beauvau. L’enjeu ? « Disposer d’outils à armes égales pour pouvoir lutter contre ces bandes organisées qui relèvent du haut niveau, cela ne concerne pas la délinquance du quotidien » nous confiait en 2009 Christian Aghroum, alors patron de l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).
Plusieurs chantiers législatifs avaient par la suite élargi l’enclos de ces chevaux de Troie. La loi du 13 novembre 2014 sur la lutte contre le terrorisme a étendu son champ à la captation des données « reçues et émises par des périphériques audiovisuels », permettant dès lors de capter aussi les conversations Skype.
En 2015, la loi portant adaptation de la procédure pénale au droit de l'Union européenne a enrichi la liste des délits commis en bande organisée susceptibles d’être visés par ces captations. Ce sont l’escroquerie, la dissimulation d’activités ou encore la non-justification de ressources correspondant au train de vie.
La loi du 3 juin 2016 « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale » a autorisé le procureur de la République à prescrire « le recours aux moyens de l'État soumis au secret de la défense nationale » pour assurer ces captations à distance.
Elle a aussi étendu aux enquêtes cette procédure d’abord réservée aux informations judiciaires. Le texte fut enfin remodelé en 2019 avec la loi de programmation 2018-2022 et de réforme pour la justice.
En 2019, la CNIL avait souligné, dans une délibération, que le champ et les données pouvant être captées avait « fait l'objet d'élargissements constants et significatifs ces dernières années », avec des méthodes d’enquête « qui revêtent un caractère particulièrement intrusif en ce qu'elles conduisent à la collecte d'un volume important de données ».
La fin justifie-t-elle ces moyens ?
L’utilisation de ces outils couverts par le secret de la défense nationale a depuis permis de jolis coups de filet en France comme à l’étranger dans la fameuse affaire EncroChat. « C’est comme si nous étions à la table de discussions des criminels, en direct, c’est ce qui rend l’enquête unique », avait expliqué en ce sens Janine van den Berg, cheffe de la police néerlandaise.
« On a utilisé le fait que les criminels font confiance aveuglément à la crypto-communication et parlent librement », embrayait Andy Kraag, le chef de l’unité criminelle de la police néerlandaise. « Une mine d’or nous fournissant des preuves qui nous auraient coûté des années [à établir] en temps normal ».
Cependant, « la fin justifie-t-elle tous les moyens ? ». Voilà en substance résumé, sous la plume de Me Patrice Spinosi, l’abcès que doit crever le Conseil constitutionnel le 8 avril prochain.
Les neuf Sages ont en effet été saisis par la Cour de cassation le 2 février dernier, à la demande de Saïd Z., poursuivi notamment pour participation à une association de malfaiteurs et infraction à la législation sur les stupéfiants.
À l’index, cette disposition qui autorise donc le procureur de la République comme le juge d’instruction à autoriser le recours à ces moyens de l’État soumis au secret de la défense nationale.
Une utilisation massive, qui serait sans contrôle
Durant l’audience organisée ce matin, Me Spinosi, avocat au Conseil d'État et à la Cour de cassation, venu également représenter la Ligue des droits de l’Homme et l’Association des avocats pénalistes, a considéré que « le texte permet aux forces de police de solliciter dans le cadre d’une enquête les services secrets français pour intercepter, recueillir et traiter des données qui sont chiffrées sans qu’aucun contrôle ne puisse être réalisé sur ces opérations, tant de la part des parties mises en cause que du juge lui-même ». La faute à ce secret défense, qui est « absolu ».
Cette disposition du Code de procédure pénale a été « massivement utilisé ces derniers mois par la DGSI (…) pour espionner les utilisateurs de deux messageries cryptées : EncroChat et Sky ECC ». L’avocat indiquera plus tard que 65 000 téléphones auraient été siphonnés, ce qui aurait engendré 8 000 procédures en Europe.
Barbouzerie James-Bondesque
« Les services français ont pu pirater les serveurs étrangers de ces messageries, puis ils ont activé à distance les micros des téléphones des utilisateurs de ces services, ils ont ainsi enregistré l’ensemble des données qui pouvaient être recueillies, puis ont traité l’ensemble de ces éléments qu’ils ont livrés sous forme de synthèses aux différents services de police requérants, le tout évidemment sans aucune explication précise, ni qu’aucun contrôle ne puisse être effectué ».
« Si on met de côté l’aspect barbouzerie James-Bondesque, un tel système est-il proportionné ? » s’est interrogé Me Spinosi, avant de répondre par la négative.
Si les services de police sont tombés sur une mine d’or d’informations, le texte en cause génèrerait à ses yeux une atteinte disproportionnée aux libertés fondamentales.
Comme une note blanche du renseignement
« L’enjeu n’est pas d’interdire ou d’empêcher le recours à des moyens technologiques qui permettent à des enquêteurs de casser le cryptage qui servirait à la dissimulation d’information. L’enjeu n’est pas de désarmer l’État. L’enjeu est que le recours à ces moyens hors du commun soit suffisamment encadré et organisé par le législateur pour que puissent s’exercer les droits qui sont normalement dévolus à toute personne mise en cause dans une enquête pénale. Or pour le moment, en l’état de ces textes, il n’en est rien ».
Le secret défense écraserait tout : mis en cause, avocats et juges n’auraient accès qu’au résultat final, sans contestation possible, fustige l’avocat au Conseil. « C’est exactement comme une note blanche », ces fameuses notes transmises par les services du renseignement.
Des PV sont certes versés au dossier, mais Me Spinosi ne s’en satisfait pas : impossible de savoir qui les a établis, qui en a fait la synthèse, comment s’est techniquement opérée la surveillance, quelle est la masse des données exploitée, etc. « Toutes ces questions légitimes dans n’importe quelle démocratie judiciaire n’appellent (...) aucune réponse puisqu’elles sont toutes bloquées par l’invocation du secret défense [...] Surveiller, pourquoi pas, mais pas sans contrôle, pas sans garantie ».
Une preuve sans visage
Même tonalité chez Me Robin Binsard, avocat de Saïd Z. : avec le secret défense, « concrètement cela veut dire qu’on vous attribue des messages, des données, des enregistrements vocaux, des contenus, mais qu’il vous est impossible de savoir d’où viennent ces données, si elles sont authentiques, comment elles ont été collectées, et dans quel contexte ».
Selon l’avocat, Saïd Z. serait accusé d’être à la tête d’un réseau de trafic de stupéfiants, « sur la seule base des messages issus de la messagerie cryptée Encrochat. Il ne sait ni comment ces messages ont été collectés, ni comment ni vraiment même pourquoi ils lui sont imputés. Il ignore tout des modalités techniques de la captation et ne peut même pas s’assurer de l’authenticité des données collectées ».
Et le juriste de dénoncer une privation des voies de recours, et autres pans des libertés fondamentales. « On a la tâche impossible de faire face à une preuve sans visage », égraine-t-il. Or, citant Jacques Prévert, « quand elle n’est pas libre, la vérité n’est pas vraie ».
Selon lui, les critères du secret défense ne sont pas définis, et « chaque fois qu’un procureur ou un juge d’instruction ordonnera une captation de données, il pourra l’assortir du secret défense. La mesure de droit commun perd toute sa substance ». Les garanties procédurales ? « Du vide, du vent, vous n’avez aucune garantie procédurale. Il n’y a pas de critère, il n’y a pas de recours ».
Censure ou réserves ?
Me Alexis Fitzjean Ó Cobhthaigh, représentant la Quadrature du Net, intervenue volontairement, s’est placé dans le sillage de ses deux confrères, non sans rappeler qu’une captation permet de connaître les propos de la personne mise en cause, mais également des tiers. Il a lui aussi réclamé une censure avec effet immédiat, ou à titre subsidiaire, une série de réserves d’interprétation où le Conseil constitutionnel exigerait :
- L’intervention préalable d’un juge judiciaire,
- un droit au recours,
- le respect d’un principe de subsidiarité (n’utiliser ces moyens que si les autres sont insuffisants) avec exigence de motivation renforcée,
- un droit à l’information des personnes,
- l’absence de condamnation possible sur la seule base des éléments recueillis sous secret défense.
Éviter une publicité qui nuirait aux services du renseignement
En dernière phase d’audience, Antoine Pavageau, représentant du Premier ministre, à rebours des trois avocats, a au contraire défendu une disposition non attentatoire aux droits et libertés fondamentaux.
La mobilisation des outils des services du renseignement pour capter et décrypter des données est nécessaire quand les moyens habituels apparaissent insuffisants. Le secret de la défense permet alors d’éviter une publicité qui nuirait aux capacités des services ou mettrait en péril les investigations en cours.
Selon Matignon, ce secret ne porterait ainsi pas sur l’ensemble des opérations de captation, mais uniquement sur les procédés techniques utilisés ou le mode opératoire spécifique permettant d’accéder au terminal. Nuance. Ce n’est donc qu’une brique et la protection du secret n’a pas pour objectif de priver la défense des moyens d’agir, mais de protéger les services du renseignement.
Remettre en cause cette protection reviendrait donc à remettre en cause l’activité des services, sans apporter de protection supplémentaire au profit de la personne concernée.
Au titre des garanties, dont les avocats ont dénoncé l’absence, le représentant du Premier ministre cite la motivation des opérations de captation. Doivent être précisés le système informatique visé (ou le système de traitement automatisé ou le périphérique), l’infraction qui motive ce recours, tout comme la localisation ou la description du système visé et la durée des opérations.
Les opérations effectuées sont en outre retracées dans un procès-verbal, avec date et heure. Et ce PV est versé au dossier. La personne mise en cause peut ainsi contester une irrégularité, par exemple un dépassement de délai.
Enfin, les données captées sont placées sous scellés et le mis en cause peut en contester l’authenticité, voire solliciter une expertise s’il les estime incomplètes ou corrompues.
La captation des données informatiques est « la technique spéciale d’enquête la plus contrôlée dans la procédure pénale française », ajoute Matthieu Audibert, officier de gendarmerie, doctorant en droit privé et sciences criminelles, qui a consacré un article complet sur le sujet.
Le Conseil constitutionnel rendra sa décision le 8 avril au matin.
Commentaires (6)
#1
Sans la justice, donc sans juge c’est l’arbitraire.
Que certains détails techniques soient protégés est une chose, mais en tout premier lieu ce sont les citoyens qu’ils convient de protéger de l’arbitraire.
Bruce Schneier explique comment avec une surveillance totale une société n’évolue plus.
https://www.schneier.com/blog/archives/2018/11/how_surveillanc_1.html
Exemple : la prohibition (1920) avec la surveillance de masse actuelle, serait toujours en place. Il y a certes un bel écart entre l’alcool et la drogue, mais c’est le fait que la surveillance soit sous contrôle d’un juge et non pas du seul pouvoir qui laisse une chance à société d’évoluer sur des sujets mouvants.
#2
Qui décide de ce secret défense ? Sur quels critères ?
L’enlever c’est prendre le risque que ces opérations ne sortent que tardivement (on a les preuves sur une affaire mais on laisse courir car en les divulguant on se grille sur d’autres en cours).
#3
l’installation d’un logiciel espion dans des terminaux sécurisés “EncroChat”
notamment après une mise à jour, le tout à l’insu des utilisateurs..
“merci la Gendarmerie”, maintenant les gens se méfieront des ’M.à.J.’ !
c’est du ‘One Shot’ leur truc !
#4
Je trouve ça tellement triste que des délinquants et des criminels soient pris la main dans le sac par les nouvelles technologies et des logiciels espions.
En réalité, il faut évidemment garantir le droit à ces personnes qui pourrissent la société en complexifiant la procédure judiciaire et en leur garantissant des droits que eux mêmes baffouent quotidiennement par leur action de crime/délinquance. Du coup l’enquête est plus longue, moins efficace, et les vices de procédures augmentent, garantissant ainsi leur remise en liberté car innocents aux yeux de la loi.
Alors oui, c’est super hype et cool de prendre les devants de la protection de tous, du droit à la vie privée, au cas où, un jour, on est un M.POUTINE (c’est d’actualité…) au pouvoir qui abuse des lois. Mais sérieusement, les lois, les personnes pleines de pouvoir extrême ont en rien à foutre quand ils arrivent au sommet.
Le debat reste ouvert, et c’est là que ça devient marrant, c’est que malgré ces lois hyperliberticides attaquées par l’avocat d’un futur/pro délinquant/criminel, il peut encore en parler librement et attaquer au conseil constitutionnel.
Jusqu’ici tout va bien.
Bises aux rageux, insultants, qui ne liront et comprendront que ce qu’ils veulent pour déverser leur haine 🥰
#5
C’est EncroChat qui était one shot : un tel ultra sécurisé chiffrant tout ce qui entre / sort ou est stocké. Le système était totalement anonyme, payé d’avance extrêmement cher en liquide (genre 6000€ le tel je crois).
Bref c’était un système fait pour les criminels, et comme tout système la sécurité de la globalité n’est pas supérieure à celle du maillon le plus faible, ici la boite qui gérait le tel qui s’est fait infiltrer, et comme ces idiots avaient laissé les màj OTA sur leurs mobiles la gendarmerie a pu pousser discrètement le malware. Ensuite il a été impossible de communiquer avec les clients car tout était anonyme (surtout la base client)
#5.1
‘merci’ pour la précision !