La cybersécurité, la justice et la vie privée
![Image [Change HealthCare :] l’attaque par rançongiciel a coûté 872 millions de dollars](https://incyber.org//wp-content/uploads/2024/05/incyber-news-anonymous-885x690.jpg)
![Image [France :] triple coup de filet contre des sites cybercriminels](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image Un rapport détaille les activités récentes des [cybercriminels russes] de Sandworm](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-threats-885x690.jpg)
Lors d’un débat auquel j’avais assisté il y a de cela quelques années, l’un des protagonistes – certes bien ancré dans le « système » – soutenait que la France et les pays occidentaux « classiques » étaient des états de droit au motif qu’un corpus juridique protégeait les droits fondamentaux. Alors que l’autre – certes assez « hors système » – rétorquait que la seule différence entre ces pays et des « démocratures » un peu plus à l’Est étaient que ces dernières ne s’embarrassaient pas de fioritures et violaient allègrement ces droits fondamentaux alors que les occidentaux « habillaient » cela dans des lois habilement pensées
Dernier exemple en date en France, la loi Justice en débat dans les 2 chambres parlementaires et dont le très controversé article 3. Ce dernier permettrait aux pouvoirs publics d’accéder à distance – mais paraît-il sous contrôle d’un juge – à votre caméra et micro de votre smartphone. Et la blogosphère de s’enflammer sur ce qu’elle considère comme une faille importante dans le respect des droits fondamentaux. Les garanties de procédure ne lui conviennent apparemment pas et si elle n’a pas complètement raison, elle n’a pas complètement tort non plus. Cette proposition de loi, qui sera très certainement adoptée au moins en partie, appelle plusieurs commentaires et réflexions.
Tout d’abord, qu’un juge ait accès à tout dans le cadre d’une procédure, rien de nouveau sous le soleil. Une commission rogatoire et voilà les équipes judiciaires qui arrivent dans vos locaux et saisissent ce qu’elles jugent utile à la poursuite de leur enquête : papiers, fichiers, données personnelles, voire les données médicales si nécessaire. Les avocats vous conseillent de les suivre, carnet spirale à la main pour noter tout ce qui est fait. Ce qui est drôle, c’est que ces mêmes autorités peuvent même saisir ledit carnet à spirale juste avant de fermer la porte et d’éteindre la lumière.
Qu’un juge puisse, même à distance, espionner votre téléphone portable par le biais de sa caméra ne diffère en rien du fait qu’il y a 30 ans, des équipes en sous-marin venaient poser micros et caméras planqués dans votre horloge murale ou le miroir de votre salle de bain si vous étiez dans le collimateur de la justice pour des affaires « d’un certain niveau » – il y a d’ailleurs une scène de ce genre absolument désopilante dans le film « Le Grand Blond avec une chaussure noire ».
Ce qui, manifestement, enflamme les esprits est plutôt le côté « facile et à distance » de cette forme de surveillance 3.0. Envoyer des équipes en sous-marin coûtait assez cher. Là cela peut se faire potentiellement à distance et à moindre coût. Ce que j’aime le plus dans ce genre d’histoire, comme dans les Marvel ou Starsky et Hutch, c’est que l’on connaît déjà la fin.
Le « marché » répond toujours à cela par des outils dont la résistance excède les capacités « classiques » de toute administration – en dehors des cas graves pour lesquels, de toute manière, l’individu se retrouve dans un « black site » avec des menottes et un sac sur la tête. Hadopi a été un fiasco terrible (et prévisible) et en 2023 n’importe quel individu avec un niveau technologique d’entrée de gamme peut installer sur un smartphone des outils quasi impossibles à écouter / espionner, sauf encore une fois à déployer des moyens considérables.
Je ne saurais trop conseiller au lecteur d’écouter l’émission du 7 juin d’Affaires sensibles (France Inter). Elle explicite le cas de la messagerie sécurisée Sky ECC (à la suite d’Encrochat et qui est certainement suivie par d’autres non encore identifiées), pour laquelle une opération de police à échelle européenne et sans précédent aura tout de même mis pas loin de deux années à venir à bout de l’ensemble de l’organisation.
Nouvelle loi, nouvelle offre logicielle ?
Cette loi Justice se traduira, comme les précédentes et les suivantes, par une offre logicielle quasi gratuite permettant de bloquer micro et téléphone avec un degré de sophistication très difficile à pirater, finalement ceux qui sont ciblés par cette loi monteront juste leur niveau de protection tandis que l’individu lambda n’ayant rien de spécial à se reprocher utilisera Signal, Tor et consort juste au cas où. Mais avec des limites, quoique l’on en dise.
Il existe enfin plusieurs techniques, dites d’obfuscation, permettant de contourner ces dispositifs, dont la plupart sont d’ailleurs très bêtes. Il paraît (mais je n’ai pas personnellement vérifié) que le simple fait d’entourer son smartphone avec du papier aluminium revient à le mettre dans une cage de Faraday. Nul doute que les avocats au pénal vont s’équiper en conséquence.
Sur l’histoire du carnet à spirales racontée ci-dessus, prenez plutôt vos notes avec un dispositif à accès biométrique et enregistrement en temps réel sur le cloud (cela s’appelle un iPad). Même s’il est saisi, vous aurez toujours vos notes accessibles par vous seul.
Ce qui m’étonne le plus dans cet éternel débat entre l’intrusion et les contre-mesures qui ne tardent jamais à se déployer (qu’elles soient techniques ou organisationnelles), c’est que certains pensent que ce débat est toujours ouvert alors qu’il est clos depuis aussi longtemps que la technologie existe.
Chiffrement, hacktivisme et cybercriminalité
Sur la question du chiffrement, l’humanité se trouve divisée en trois : ceux qui chiffrent parce que cela ne coûte rien et apporte tout de même un niveau minimum de sécurité (qui devient de plus en plus complexe à déjouer par les pouvoirs publics), les hacktivistes qui se doivent en plus de mettre en œuvre des procédés d’obfuscation (qui réclament en sus une discipline très lourde à respecter), et ceux enfin qui sont de l’autre côté de la loi, et dont les outils relèvent d’un autre niveau et qu’ils finiront par développer eux-mêmes en recrutant à prix d’or les experts adéquats.
Si Sky ECC, « simple » start up canadienne de quelques employés, a pu délivrer un logiciel à ce point difficile à casser, on imagine sans peine que certaines organisations mafieuses investissent pour leur propre compte afin de coder leurs propres outils. Il fut un temps où le chiffrement était assimilé dans tous les pays occidentaux à une arme de guerre, jusqu’au fameux PGP qui contribua à faire évoluer la législation – sous la pression des gros acteurs privés il faut le dire, qui voulaient pouvoir faire du business en ligne en sécurisant l’acte de paiement.
L’Histoire dira si, finalement, nous n’avons pas ouvert la boîte de Pandore mais quand on voit les saisies record de drogues dans tous les ports (Anvers en tête pour ce qui concerne l’Europe), pas sûr que l’on ne s’en morde pas les doigts : selon Simon Piel (journaliste au Monde), le business de la drogue est le troisième au monde en masse financière.
Tout cela dit, j’aimerais bien que l’on vienne m’expliquer ce que le quidam dans mon genre a gagné finalement avec cette débauche de technologie sans précédent dans l’histoire de l’humanité. Nous n’avons jamais été autant espionnés, tracés, fichés, que ce soit par les GAFAM ou les États. Dans le même temps, les cybercriminels n’ont jamais disposé d’autant de moyens d’échapper aux forces de l’ordre pour des trafics qui n’ont jamais atteint ce niveau dans absolument tous les domaines. Si on devait faire un bilan global de l’informatique 3.0, pas certain qu’il soit positif sur ce sujet.