Que ce soit outre-Atlantique ou plus près de chez nous, la tendance semble être à l’introduction de nouvelles “méthodes” et règles de surveillance des hackers et autres terroristes (cyber ou non).

Vous avez sans aucun doute suivi le bras de fer qui se déroule aux Etats-Unis entre Apple et le FBI. Beaucoup plus près de chez nous, les Pays-Bas envisagent d’introduire une nouvelle législation permettant un important interventionnisme des forces de l’ordre. Certains n’y voient guère de problèmes ou de risques pour la vie privée ou pour la sécurité des systèmes en général. D’autres crient au loup et mettent en garde contre des dérives disproportionnées, qui attentent aux droits fondamentaux de tout un chacun.

Faut-il s’émouvoir de ces nouvelles exigences ou volontés interventionnistes de certaines autorités? Nous avons posé la question à deux spécialistes des aspects légaux de la sécurité. D’une part, Luc Golvers, consultant et expert judiciaire en informatique, Président du Club Belge de la Sécurité Informatique; de l’autre, Franck Dumortier, du Crids (centre de recherche Informatique, Droit et Société de l’UNamur) et chargé de cours (vie privée, cybercriminalité et propriété intellectuelle).

Avant de leur donner la parole, faisons un petit détour vers l’actualité de ces dernières semaines.

Pas si loin de chez nous puisque la chose se passe aux Pays-Bas, le gouvernement envisage de faire passer une nouvelle législation qui permettrait aux autorités de pirater le matériel informatique des personnes privées et publiques afin de pouvoir jeter un petit coup d’oeil dans le téléphone ou l’ordinateur de l’usager lambda, jusque dans son salon ou sa poche. Objectif: “lutter contre le piratage informatique”.

L’argument tient-il la route ?

Des portes ouvertes pour tous?

Le problème est évidemment qu’en donnant les moyens aux “good guys” (même s’ils empiètent sur la ligne jaune de la vie privée) de se ménager une back door, on travaille pratiquement au pied-de-biche, provoquant une lézarde par laquelle les big bad hackers s’infiltreront avec délectation…

Lors d’une émission radio diffusée sur la chaîne néerlandaise Radio 1, Ronald Prins, directeur de Fox-IT, estimait pour sa part qu’“il est important que les autorités obtiennent un instrument pour agir contre les cybercriminels. Beaucoup de piratages sont opérés par des services de renseignement étrangers et de grands groupes criminels, et trop souvent, ils ne sont jamais inquiétés. Avec la nouvelle loi, la police aurait plus de moyens pour appréhender ces personnes.” Raisonnement un peu court: identifier le coupable ne permet pas forcément de lui mettre la main au collet…

Qui, par ailleurs, pour créer ces portes dérobées? Les spécialistes (internes) des services publics? Un organisme public? Un prestataire privé? Comment vérifier qu’il est uniquement animé de bonnes intentions et que la “faveur” qu’il faut aux autorités ne profite pas à d’autres, aux motivations plus commerciales, voire criminelles?

Pour Ronald Prins, il suffirait de “bien encadrer l’usage qui serait fait de la loi par la police et la justice”.

La discussion, lors de l’émission néerlandaise, a évidemment dévié sur le cas Apple vs FBI. Sur ce sujet, les propos de Ronald Prins se sont également voulu carrés: “Apple devrait se plier aux ordres du FBI, car toute entreprise est sensée obéir à la loi. La société utilise cette histoire pour de mauvaises raisons et uniquement pour le buzz.” Vraiment?

Levée de boucliers aux Etats-Unis

La demande du FBI a suscité une vive réaction sur le sol américain, nombre d’acteurs se rangeant derrière la position d’Apple. On peut notamment citer Amazon, Facebook, Google, Microsoft, AT&T, Intel, Twitter, Airbnb, LinkedIn, côté entreprises, mais aussi, côté associations, des organismes tels que la Consumer Technology Association, l’Information Technology Industry Council, la Electronic Frontier Foundation, Privacy International, Human Rights Watch ou encore la BSA/Software Alliance.

Le FBI dépasse les limites en voulant s’octroyer un libre accès aux smartphones (tablettes et consorts) des citoyens, estiment les opposants. “Cell phones are the way we organize and remember the things that are important to us; they are, in a very real way, an extension of our memories. And as a result, to access someone’s cell phone is to access their innermost thoughts and their most private affairs.”

Ce monde est schizophrène et paranoïaque

La réaction est classique: face à un fait grave (meurtre, attentat, accident…), les autorités ont comme un réflexe de Pavlov. On décide dans l’urgence une nouvelle loi ou réglementation. Histoire de montrer qu’on est volontariste. Et tant pis si c’est excessif, si cela manque de réflexion et de logique.

La tendance qu’ont, aujourd’hui, les autorités de requérir de nouveaux moyens de surveillance et d’intervention entre en conflit direct avec une autre tendance dont on parle aussi beaucoup, et qui est le “privacy by design”.

D’une part, on exige une porte d’immixtion dans les équipements de tout utilisateur, en sollicitant la “collaboration” des fabricants et éditeurs de logiciels.

De l’autre, on pousse ces mêmes fabricants, mais aussi l’usager lambda, à prévoir tous les moyens nécessaires pour garantir, dès le stade de la conception, la protection des données à caractère personnel et le respect de la vie privée. Où est la logique ou le point de possible réconciliation? Sans oublier, par ailleurs, l’existence de la loi de protection des données personnelles (loi Vie privée) qui, chez nous, stipule notamment [art. 16] qu’il “faut mettre en oeuvre les moyens de sécurité des données à caractère personnel.”

Cette opposition ne se manifeste pas uniquement entre deux conceptions, entre deux continents – Etats-Unis, d’une part ; Europe, de l’autre. La contradiction est interne à ces deux blocs.

Ajoutons encore que la demande de “portes dérobées” n’est pas uniquement le fait du FBI (pour ne citer que lui). On voit, par la proposition de loi néerlandaise, que les mêmes cheminements intellectuels se passent aussi chez nous.

Et les autorités américaines sont elles aussi frappées par une petite crise de schizophrénie puisque la FTC (Federal Trade Commission), dont les prérogatives incluent les droits des consommateurs et le contrôle des pratiques commerciales, recommande et fait la promotion du concept de privacy by design…

Une (re)mise en perspective belge

La proposition néerlandaise va-t-elle trop loin? Quel impact, notamment sur la vie privée? Et risque-t-on en Belgique de prendre exemples sur nos voisins du nord? Que dit la loi belge par rapport à ces exigences nouvelles?

Nous vous invitons à un petit exercice d’explication juridico-légale par Franck Dumortier, juriste au Crids (centre de recherche Informatique, Droit et Société de l’UNamur).

“Première chose: l’usage de la cryptographie est libre en Belgique, comme le stipule la loi du 13 juin 2005. On entend par cryptographie, tout moyen permettant soit de cacher l’information, soit de vérifier l’authenticité d’une communication, de la signer.

Son emploi est libre, après soumission d’une déclaration préalable auprès de l’institut IBBT. Tout le monde peut donc avoir recours au chiffrement. Sauf qu’aucun Arrêté Royal n’est venu confirmer cette procédure de déclaration et avis préalable… Aucun service officiel n’est donc soumis, pour l’instant, à une déclaration préalable…

Voilà pour la notion de cryptographie. Que se passe-t-il en cas d’infraction? Les autorités judiciaires peuvent tout naturellement recourir à des procédures d’instruction criminelle: des saisies, des recherches dans les systèmes informatiques… A cet égard, le code d’instruction criminelle stipule que le juge d’instruction, qui instruit à charge et à décharge, peut ordonner, demander au tiers de collaborer. Au paragraphe 2 de l’article 88 quater, on peut lire par exemple que le juge d’instruction “peut ordonner à toute personne appropriée de mettre en fonctionnement elle-même le système informatique [qui fait l’objet de la recherche] ou, selon le cas, de rechercher, rendre accessibles, copier, rendre inaccessibles ou retirer les données pertinentes qui sont stockées, traitées ou transmises par ce système, dans la forme qu’il aura demandée. Ces personnes sont tenues d’y donner suite, dans la mesure de leurs moyens.”

Cela permet notamment aux autorités [ici, le juge d’instruction] de chercher un moyen pour contourner le système de cryptographie.

Deux exceptions à cela: le secret professionnel et, pour tout citoyen, coupable compris, le droit au silence.

Voilà pour la règle en Belgique et dans la plupart des pays démocratiques. Les procédures peuvent varier, en fonction des compétences de chaque autorité (juge d’instruction, procureur…) mais les règles demeurent globalement les mêmes.

Dans le cas de l’affaire FBI vs Apple, le FBI ne demande pas uniquement de déchiffrer une donnée mais de mettre en place un système d’exploitation qui, en fait, n’existe pas [Ndlr: ou qui n’est plus utilisé depuis plusieurs générations de smartphones]. Aujourd’hui, quand l’utilisateur introduit son code à 4 chiffres sur son iPhone, il enclenche la procédure de chiffrement dans iOS. Le FBI demande de développer un système alternatif qui ne provoquerait plus l’entrée en jeu du chiffrement.

Franck Dumortier (CRIDS, UNamur): “le FBI demande à Apple de créer un système d’exploitation pour avoir accès au contenu, sans devoir introduire le code. Clairement, selon la jurisprudence, c’est aller trop loin. On ne demande pas seulement de collaborer, on demande de créer une nouvelle chose pour aider à…”

Quand on introduit ces 4 chiffres, la clé de chiffrement est générée de manière aléatoire par l’algorithme qu’Apple a inclus dans iOS. Aléatoire veut dire qu’Apple ne possède pas cette clé. Elle varie de personne à personne et change dès l’instant où on modifie son code personnel.

Si Apple appliquait par exemple notre article 88 quater, elle ne pourrait que dire au FBI qu’elle n’est pas en mesure de déchiffrer le système. A la rigueur, Apple pourrait livrer son algorithme au FBI mais il ne permettrait pas à ce dernier de déchiffrer les systèmes [Ndlr: à moins qu’il ne connaisse le code personnel de l’utilisateur ou mette en oeuvre une puissance énorme de calcul pour craquer le code].

Livrer la clé ou l’algorithme? Nuance, nuance…

“Une des règles de base en cryptographie”, poursuit Franck Dumortier, “est de rendre public le système de crypto. Ce n’est pas l’algorithme qui doit être obscur, c’est la clé…

Au vu de cette situation, le FBI demande donc à Apple de créer un système d’exploitation qui serait inséré en RAM pour avoir accès au contenu, sans devoir introduire le code. Clairement, selon la jurisprudence, c’est aller trop loin. On ne demande pas seulement de collaborer, on demande de créer une nouvelle chose pour aider à…

Par ailleurs, l’argument utilisé par Apple est sérieux et doit être pris en considération: cela créerait un problème de sécurité grave parce que quiconque a accès à ce logiciel pourrait lire les données de tout le monde.” Et pas seulement, bien évidemment, les données des seuls usagers américains…

Pourquoi est-ce un débat majeur en termes de sécurité? Notamment en raison de l’existence de la loi de protection des données personnelles. “La loi Vie privée belge stipule notamment [art. 16] qu’il faut mettre en oeuvre les moyens de sécurité des données à caractère personnel.” Ce qui est clairement le cas des smartphones. Ces “moyens” incluent la cryptographie.

Quand on prend en considération ces divers arguments et faits, il est clair que la proportionnalité de la mesure demandée par le FBI est clairement dépassée. Elle l’est en tout cas au regard de la législation belge.”

“Des exemples graves”

Selon Franck Dumortier, certaines décisions récentes engagent les autorités belges dans une direction assez analogue. A ses yeux, “les juges, les politiciens, commencent à déraper.”

“Le code d’instruction criminelle prévoit, pour le procureur, une “saisie” informatique. Cela signifie prendre des données, un téléphone, un ordinateur et le déposer au poste de police. C’est tout. La saisie, c’est prendre, pas lire…

La “recherche” informatique, elle, permet au juge d’instruction d’effectuer une recherche dans un système après saisie. C’est donc le juge d’instruction qui peut lire. Pas le procureur.

Toutefois, la Cour de Cassation a rendu un arrêt, le 11 février 2015, déclarant que “l’exploitation de la mémoire d’un téléphone portable, dont les messages qui y sont stockés sous forme de SMS, est une mesure découlant de la saisie, laquelle peut être effectuée dans le cadre d’une information, sans autre formalité que celle prévue dans le cadre de l’enquête.”

Cela signifie que, chez nous, le procureur – ou la police – peut également prendre un téléphone et le lire. La jurisprudence autorise donc désormais les policiers à le faire.

Disproportion (?)

Franck Dumortier se rappelle le placement étonnamment rapide de caméras de surveillance dans les jours qui ont suivi le meurtre de Joe Van Holsbeeck à la Gare centrale de Bruxelles.

Franck Dumortier: “Exiger la collaboration d’un tiers, dans une procédure, est une chose… Exiger qu’il crée une “back door” ou un nouveau système d’exploitation en est une autre.”

Depuis quelques mois, les diverses attaques ou menaces terroristes (Paris, Verviers, Bruxelles, Ankara…), les gouvernements, de nombreux pays, veulent augmenter l’arsenal répressif/préventif. Et c’est évidemment dans ce cadre-là que se situent la confrontation FBI-Apple (même si des faits de droit commun y sont également mêlés) ou encore certaines propositions de législation, telle celle qui se discute aujourd’hui aux Pays-Bas et, qui – peut-être – pourraient inspirer certains de nos propres responsables.

Que préconise cette proposition de loi néerlandaise (nom officiel: Wet Computercriminaliteit 3; sobriquet:’“Hackvoorstel”)? Ni plus ni moins que de prévoir dans chaque équipement une porte d’entrée permettant de donner à la police les moyens de venir faire une incursion dans tout appareil électronique d’un suspect ou d’une personne considérée comme tel.

Comme c’est le cas dans la demande du FBI, Franck Dumortier estime que c’est perdre de vue la notion de proportionnalité. Exiger la collaboration d’un tiers, dans une procédure, est une chose. Cela peut consister par exemple à demander qu’il fournisse un code, une clé…

Exiger qu’il crée ce genre de “back door” ou un nouveau système d’exploitation en est une autre. “Dans le cas d’Apple, cela irait d’ailleurs à l’encontre d’autres obligations qui sont les siennes – en tout cas dans notre pays, comme le droit au respect de la vie privée, liée aux données des systèmes qui sont vendus.

La proportionnalité est là: entre obligation de collaboration dans un cas spécifique, qui est la recherche d’infraction, et vie privée de la généralité des gens auxquels le bien est vendu.”

Franck Dumortier: “La proportionnalité est là: entre obligation de collaboration dans un cas spécifique, qui est la recherche d’infraction, et vie privée de la généralité des gens auxquels le bien est vendu.”

Si vous êtes honnête, vous n’avez rien à cacher

S’il peut être logique, voire nécessaire, que les forces de police bénéficient de dérogations leur permettant, dans certaines circonstances bien déterminées, de surveiller et d’espionner certains comportements, faits et gestes, ce qui fait hérisser le poil des défenseurs des droits individuels, c’est ici le fait que ces “moyens” prendraient la forme de “portes dérobées” donnant les clés à la police, “en cas de besoin”, mais offrant aussi une porte d’entrée pour les hackers.

Source: blog Résistance Authentique

Divers observateurs estiment toutefois qu’il n’y aurait aucun mal à laisser la police fureter là où elle le veut. C’est la position adoptée par exemple par Luc Golvers, expert judiciaire, qui précise toutefois que cela doit être “encadré par un strict contrôle judiciaire.”

Pour lui, l’affaire est claire: “J’espère que la justice américaine arrivera à faire entendre raison, de gré ou de force, à Apple. Selon moi, il n’est pas question qu’ils ne collaborent pas à une enquête, encore moins quand il s’agit d’une enquête de terrorisme. Mais j’aurais la même attitude s’il s’agissait d’une enquête de criminalité ou de droit commun. Pas question que des sociétés privées instaurent des zones de non-droit aux portes desquelles les juges d’instruction devraient s’arrêter pour cause de non-collaboration.

Quant à dire qu’il y a atteinte à la vie privée, quand on regarde les autres méthodes et techniques spéciales d’investigation qui sont couvertes par la loi – écoutes téléphoniques, techniques d’infiltration, etc -, elles sont encadrées par une commission de droit magistral. Je ne vois pas où est le problème.”

L’activation des écoutes téléphoniques (fixes) sont possibles parce que techniquement faciles à mettre en oeuvre. C’est la même facilité technique que les autorités revendiquent désormais sur les équipements informatiques.

La législation néerlandaise en préparation ne va-t-elle pas plus loin, en autorisant un flicage systématique?

“Dans la mesure où c’est encadré par la loi, contrôlé, que cela ne s’effectue pas de manière sauvage, je n’y vois aucun problème.” A condition toutefois que les conditions soient remplies, “comme c’est le cas aujourd’hui pour les écoutes téléphoniques – on ne peut pas mettre n’importe qui sous écoute… -, et qu’un magistrat instructeur ou une commission donne le feu vert aux services secrets. A partir de ce moment il y a un contrôle démocratique, avec une certaine séparation des pouvoirs. Je n’ai pas de souci avec cela.”

Pour lui, quiconque n’a rien à se reprocher n’a rien à cacher et n’a donc aucune raison de s’inquiéter.

C’est loin d’être l’opinion de Franck Dumortier. Tout le monde, aussi innocent soit-il, a bel et bien toujours quelque chose à cacher, selon lui. Ou, plus exactement, des choses qu’il ou elle ne veut pas voir tomber sous des yeux indiscrets: “toute sa vie ne doit pas être montrée en toute transparence. Tout ne doit pas être transparent.”

Comment réagit par ailleurs Luc Golvers à cet autre argument qui veut que prévoir une porte dérobée reviendrait à aménager une ouverture pour les hackers? “Le chiffrement des communications téléphoniques mobiles est relativement simple. Sous la pression américaine – notamment de la NSA -, elle n’est que de 56 bits. Et non du 64 bits ou du 128 bits comme les Européens mais aussi des sociétés telles qu’IBM l’avaient proposé au départ.

Depuis toujours, les autorités ont voulu se réserver une marge pour arriver à casser.

Dans le cas d’Apple, du moment que l’algorithme de chiffrement est connu mais que la clé est inconnue, on devrait arriver à décrypter à l’aide de bons moyens de calcul. Même si les algorithmes à clé asymétrique imposent une puissance de calcul gigantesque…”