Les exploitants de réseaux et de services de communications électroniques ont douze mois pour adapter leur matériel de façon à ce qu’ils puissent permettre aux autorités judiciaires et publiques de retracer des communications électroniques. L’Institut luxembourgeois de régulation (ILR) a publié en fin d’année 2008 au Mémorial le règlement relatif aux spécifications techniques pour l’interception des communications électroniques au Luxembourg. Il s’agit des modalités techniques, qui permettront aux forces de l’ordre et aux services de renseignements d’obtenir entre autres des données contenues dans des messages électroniques. Aux exploitants de fournir les informations, même si les communications ont été codées ou cryptées. Ces dispositions ne concernent toutefois pas les communications peer-to-peer sur Skype, la star mondiale de téléphonie sur Internet (d’Land 19.10.07)
Ces mesures de surveillance sont ordonnées soit par le juge d’instruction, soit par le Premier ministre lorsqu’il s’agit d’interceptions réalisées par les services de renseignement1. Le juge d’instruction peut ordonner le simple repérage de télécommunications ou la localisation de l’origine ou de la destination de télécommunications lorsqu’il y a suspicion d’un délit puni d’au mois six mois de prison. Pour les mesures spéciales de surveillance comme le contrôle de toutes les formes de communication, il devra soupçonner des faits plus graves, qui entraînent au moins deux ans d’emprisonnement.
Or, il est fort à craindre que les autorités ne s’arrêtent pas là. Car l’interception des télécommunications via les fournisseurs d’accès à Internet est une procédure lourde et techniquement compliquée, qui ne se prête pas bien à la prévention d’un crime ou délit. Le Conseil des ministres de l’Union européenne a adopté en novembre 2008 une stratégie renforçant la lutte contre la cybercriminalité. Dans les cinq prochaines années, des mesures comme les cyberpatrouilles, des équipes d’enquête communes et des recherches à distance devront faire partie de l’arsenal d’instruments de recherche existants. Selon le communiqué de presse, cette nouvelle stratégie européenne encouragera les forces de police et le secteur privé « à répondre rapidement aux demandes d’informations et à recourir aux recherches à distance, aux cyberpatrouilles pour le dépistage en ligne des criminels et à des enquêtes communes dépassant les frontières. »
En clair, les forces de l’ordre pourront enquêter directement via Internet et s’introduire sur les ordinateurs des particuliers. En choisissant les mêmes armes que les criminels, elles pourront installer des logiciels pirates pour se renseigner en temps réel sur les mouvements et les connexions des ordinateurs surveillés, récupérer des informations stockées sur le disque dur et repérer des pratiques online comme la consultation de sites Internet, les communications par mails ou les messageries instantanées. Plus besoin de confisquer le matériel et de le mettre en charpie.
En Allemagne, le débat a fait rage pendant deux ans sur les enjeux de ces « enquêtes pirates » effectuées par les forces de l’ordre. La loi sur le Bundestrojaner2 est entrée en vigueur en début d’année. Désormais, les forces de l’ordre disposent d’un programme spécial, le Remote Forensic Software, adaptable aux différents cas de figure. Il sera discrètement installé sur l’ordinateur d’une personne suspecte par le biais de sites Internet spéciaux et d’un programme en apparence anodin, à partir duquel l’utilisateur sera invité à se servir, ou via un fichier joint, dissimulé dans un mail.
Cet instrument ne sera appliqué qu’en cas de « menace grave de terrorisme » et lorsque tous les autres moyens d’investigation auront échoué. Les autorités allemandes assurent que cette sorte d’enquête ne touchera qu’une poignée de suspects par an. Les opposants au Bundestrojaner rétorquent cependant que les mêmes assurances avaient également été données lorsque les écoutes téléphoniques furent introduites, mais qu’elles faisaient entre-temps partie des instruments d’enquête classiques de la police. Ils sont persuadés que ces « cyber-razzias » le seront tout autant. Politiciens de l’opposition et défenseurs des droits fondamentaux comptent introduire une nouvelle plainte auprès du Bundesverfassungsgericht, la Cour constitutionnelle allemande. La résistance de la population contre des mouchards sur les ordinateurs est beaucoup plus importante qu’elle ne l’était lorsque le gouvernement ouvrit les instruments d’enquête aux techniques d’espionnage dans les domiciles des particuliers il y a quelques années. Car l’ordinateur est devenu le symbole de la sphère privée et toute intrusion est perçue comme une profanation.
La Cour constitutionnelle de Karlsruhe s’était déjà prononcée sur le bien-fondé de cette mesure. Dans un jugement réputé historique, elle mit un bémol en février 2008 aux ardeurs des autorités, même si elle n’exclut pas les perquisitions discrètes en ligne, tant qu’elles sont encadrées par la justice et régulées de manière très stricte. Historique, parce que la Cour a ancré un nouveau droit fondamental dans la jurisprudence : la garantie de la confidentialité et de l’intégrité des systèmes informatiques. C’est à la lumière de ce jugement que le texte sur le Bundestrojaner fut ensuite modifié.
Le président de la Commission nationale pour la protection des données (CNPD) Gérard Lommel compte aussi se servir de ces arguments lorsque le débat se déroulera au Luxembourg. Selon lui, toute tentative de violer l’intégrité d’un ordinateur en activant ou en désactivant à distance un système informatique à l’insu de son utilisateur est fondamentalement illégale. Le principe de la confidentialité va même au-delà de la protection des données, car il s’agit de la défense de la sphère privée de tout un chacun. Les seules exceptions légitimes doivent uniquement concerner des faits très graves comme le terrorisme ou la criminalité organisée. Il faut absolument éviter que cette sorte d’enquête devienne un instrument ordinaire des forces de l’ordre.
Suite aux décisions prises par le Conseil des ministres de l’Union européenne en novembre, les autorités britanniques se sont précipitées pour permettre à la police de s’introduire dans les ordinateurs des citoyens. Sans mandat particulier, selon le Times. Il suffira qu’un haut fonctionnaire estime que cette mesure est proportionnée pour empêcher un crime passible de trois ans de prison. Il s’agit de mettre le bataillon à flot pour permettre aux autorités des autres pays membres de recourir aux données collectées, comme le prévoit la nouvelle stratégie lorsqu’elle parle de cyberpatrouilles. Elles seront sans frontières.
En France non plus, le débat n’est pas nouveau. Le gouvernement prévoit de nouvelles mesures d’espionnage numérique dans le cadre de la nouvelle loi d’orientation et de programmation pour la performance de la sécurité intérieure. C’est d’ailleurs sous l’impulsion du président Nicolas Sarkozy que le Conseil des ministres a lancé sa nouvelle stratégie en novembre dernier. En 2007 déjà, le Figaro précisa que la police aura le droit de placer des clés de connexion sur les machines des particuliers et des entreprises et pourra installer à distance des logiciels pirates. « Ce superpouvoir sera bien sûr placé sous le contrôle du juge d’instruction, écrit le quotidien français, mais aussi du juge des libertés et de la détention, notamment pour les enquêtes préliminaires. Et accordé uniquement dans les affaires les plus graves (terrorisme, pédophilie, meurtre, torture, trafic d’armes et de stupéfiants, enlèvement, séquestration, proxénétisme, extorsion, fausse monnaie, blanchiment et aide à l’entrée et au séjour d’un étranger), dès lors que les faits sont commis en bande.
Pour Gérard Lommel, il n’est pas logique que les autorités préfèrent fouiner dans les habitudes des gens plutôt que de fermer rigoureusement tous les sites en cause. Or, les images pédophiles ou les modes d’emploi pour la fabrication de bombes se retrouvent de moins en moins sur des sites spéciaux, mais s’échangent plutôt sous forme cryptée dans des messages. Il n’en reste pas moins que le président de la CNPD n’a pas tout à fait tort lorsqu’il parle de « méthodes d’enquête perfides et insidieuses ». Il s’attend aussi à ce que le gouvernement se souvienne de la compétence d’avis de sa commission – même s’il s’agit d’une matière juridique dont la surveillance ne tombe pas sous la compétence de la CNPD – lorsque la discussion sur les cyber-enquêtes arrivera au Luxembourg. Il estime aussi que les instances judiciaires ne doivent pas se contenter de contrôler le début de l’enquête, mais aussi de faire le suivi de ce qu’il arrive de toutes ces données. « Ces mesures ont certes un sens du moment qu’il s’agit de vie ou de mort, mais il faut éviter d’étendre le champ d’action de ces enquêtes à des délits banals, » insiste-t-il.
Or, dans un article sur les déboires de la Cnil, la Commission nationale de l’informatique et des libertés en France, le quotidien Le Monde (7 janvier 2009) cite le président Alex Türk qui « stigmatise l’avènement d’une ‘société de surveillance’ et craint un ‘endormissement’ collectif sur les libertés. Cette analyse ne provoque guère de réactions, comme si, de fait, le 11-Septembre avait anesthésié toute velléité de réguler des mesures sécuritaires toujours plus contraignantes. »
Les arguments des adversaires du renforcement des mesures de sécurité sont très facilement démontables par le raisonnement simpliste les dénonçant d’être de mèche avec la criminalité organisée. Personne ne veut se retrouver dans ce rôle.
1 Code d’instruction criminelle art 67-1, art 88-1 et art 88-4
2 Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt