Les autorités françaises auront leurs logiciels espions
Une circulaire, publiée au Bulletin Officiel du Ministère de la Justice ce 31 août 2011, précise le cadre juridique des captations informatiques prévues par la loi d’orientation et de programmation pour la performance de la sécurité intérieure (Loppsi 2), adoptée début février. Cette circulaire fait notamment le point sur le recours aux logiciels espions.
C’est l’une des mesures hautement controversées de la Loppsi 2, adoptée définitivement début février : l’utilisation de mouchards informatiques, introduite par l’autorisation de «la captation à distance de données informatiques ». Des logiciels espions, en somme, contrôlés par l’État. Dès juin 2009, Eugène Kaspersky s’inquiétait d’une telle perspective, nous soulignant que «celui qui développera un patch [correctif, ou modification de code avec détournement, dans ce contexte, NDLR] sera millionnaire ». Qu’à cela ne tienne, la disposition a été adoptée.
Entre deux approximations, une circulaire, publiée au Bulletin Officiel du ministère de la Justice le 31 août, précise donc le cadre juridique de recours aux dispositifs de captations de données informatiques, des dispositifs «ayant pour objet, sans le consentement des intéressés, d’accéder en tous lieux à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur [...].» Et leurs avantages seraient nombreux, si l’on en croît la circulaire : «permettre la prise de connaissance du contenu du texte avant qu’il ne soit crypté», mais aussi de «prendre connaissance, en contournant de la même manière l’obstacle du cryptage, des messages échangés en temps réel entre deux interlocuteurs ». Surtout, il s’agit de pouvoir s’intéresser à tout le contenu d’un ordinateur et de ses périphériques, y compris des fichiers n’ayant pas vocation à être échangés sur Internet : «elles permettent, de manière continue, la prise de connaissance de fichiers informatiques stockés dans un ordinateur ou un périphérique », sans les contraintes, les délais et les limites d’une perquisition.
Les dispositifs utilisés pourront aussi être matériels - et donc installés sur site - ou logiciels, avec installation à distance. Le texte utilise clairement le terme de «keylogger», à titre d’exemple.
D’une durée de 4 mois maximum et renouvelable une fois, la captation de données informatiques devra faire l’objet d’une ordonnance et d’une commission rogatoire du juge d’instruction précisant «la localisation exacte ou la description détaillée du système de traitement automatisé de données objet de la mesure ». Les agents concernés devront-ils relever l’adresse MAC de la machine visée ? Peut-être pas. Ignorant totalement la problématique des ordinateurs portables et de la mobilité, la circulaire estime que «l’obligation de mentionner le lieu de la mesure est une garantie fondamentale de ce dispositif en ce qu’elle permet d’identifier avec précision l’ordinateur ciblé et de contrôler le fait que la mesure s’exerce sur le territoire national ».
Enfin, la circulaire fait autant que la loi l’impasse sur la question de l’efficacité de ces mouchards électroniques. Guillaume Lovet, responsable de l’équipe de lutte contre les menaces informatiques de Fortinet pour la région EMEA, le relevait très justement : «pour que ce malware officiel atteigne son but, il faut que les éditeurs de logiciels antivirus, et notamment ceux qui implémentent de l’analyse comportementale, acceptent de le mettre sur liste blanche.» Et quelques uns n’ont déjà pas manqué d’exprimer leur refus d’une perspective. En septembre 2010, Eugene Kaspersky soulignait, dans les colonnes du Point, ne pas diffuser de mises à jour spécifiques à un pays : «nos clients en Allemagne ou au Royaume-Uni n’apprécieraient pas que nos logiciels ne détectent pas les policewares du gouvernement français.» Et de réitérer sa prédiction : «ces logiciels finiront par tomber dans les mains des cybercriminels.»