Les professionnels de la sécurité informatique ont beau crier à l’aberration, la nouvelle version du projet de convention européenne de lutte contre la cyber-criminalité, concoctée par le Conseil de l’Europe est toujours aussi floue. Et donne tous les moyens imaginables aux forces de police pour fouiller dans vos octets...
Il y avait déjà la Russie et son projet Sorm, les ...tats-Unis et Carnivore et la Grande-Bretagne et son Rip Act. Mais l’instauration de systèmes d’interception des communications via Internet deviendra bientôt une réalité dans bien d’autres pays. Si le projet de convention de lutte contre la cyber-criminalité du conseil de l’Europe continue sur sa lancée (Lire L’Europe prépare ses cyber-flics), avec la même impulsion et dans une même opacité, la plupart des pays membres imposeront en effet sous peu un arsenal répressif étonnant. Réalisée début octobre 2000, la mise à jour du projet clarifie ce que les 41 ...tats membres du Conseil devront faire en matière d’écoutes et de surveillance des communications via les réseaux informatiques. Dans chaque pays, les "fournisseurs de services" devront tout simplement être en mesure de "collecter ou enregistrer les données" circulant au travers de leurs tuyaux.
De source policière, on indique qu’il n’y a là rien de bien grave... "Tout ce que cela va impliquer, c’est la mise en place des moyens techniques nécessaires à une interception. Ces moyens sont parfois absents chez des fournisseurs d’accès, ce qui est très pénalisant dans le cadre d’une enquête." En somme, rien de bien ennuyeux pour la protection de la vie privée et pour le droit à une certaine confidentialité des échanges entre clients de FAI... Car seuls seront écoutés des suspects de "graves infractions". "Vous ne vous inquiétez pas du fait qu’un pédophile ou qu’un trafiquant de drogue soit mis sur écoute téléphonique dans le cadre d’une enquête ? Et bien c’est exactement la même chose", poursuit ce policier. Effectivement. Sauf que la liste des dérives liées à l’utilisation des technologies d’écoutes téléphoniques est longue. Demain, qui empêchera des interceptions sauvages, pratiquées par une officine quelconque ou le fournisseur d’accès lui-même ? De plus, le texte est flou en ce qui concerne les "données relatives au contenu de certaines communications" qui seront interceptées. Selon ce policier, il s’agit de stockage ponctuel du contenu des communications, et non pas des logs de connexion. "Qu’on se rassure, il est impossible de stocker tout ce qui circule via Internet chez un FAI."
Bill Gates bientôt incarcéré ?
La nouvelle mouture du texte du Conseil de l’Europe devait prendre en compte les mails et suggestions des internautes reçus à l’adresse daj@coe.int. Mais les spécialistes de la sécurité informatique s’étranglent toujours à la lecture de certains articles du texte. Exemple criant : l’article 6, relatif aux "dispositifs illégaux". Il s’agit de ce que l’on appelle à tort des outils de hacking. En fait, des logiciels utiles à l’administration de réseaux et systèmes informatiques. Il sera fait une distinction selon qu’ils soient utilisés légitimement (par un administrateur sur son propre réseau) ou illégalement (pour pirater un réseau). Mais le texte ne dit rien du sort réservé à ceux qui produisent ces logiciels. Sauf que "sera érigé en infraction pénale lorsqu’il est commis intentionnellement et sans droit : la production, la vente ou l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition" de ces outils. Bill Gates ne va donc pas tarder à se retrouver devant un tribunal pour "production, vente (...), importation et diffusion" d’un tel dispositif. En effet, une fenêtre DOS, accessible dans n’importe quel système d’exploitation Windows, permet de récolter mille informations sensibles sur un réseau distant... "Il ne faut pas faire de mauvaises généralités, explique toujours ce policier rompu aux enquêtes sur la cyber-délinquance. Il s’agit d’un texte suffisamment englobant pour répondre à peu près à tous les cas de figure. Mais il ne faut pas confondre la lettre et l’esprit de la loi. Et surtout, la réalité. Personne ne sera traduit devant un tribunal pour avoir utilisé un outil permettant de faire un traceroute ou un ping (1)...". Espérons...
(1) Un traceroute permet de demander le chemin qui mène d’un ordinateur à un autre sur le Net. Un ping permet de vérifier qu’un ordinateur est bien présent (connecté) sur Internet.
Pour télécharger le projet de convention:
http://conventions.coe.int/treaty/F...
http://conventions.coe.int/treaty/FR/projets/projets.htm
http://conventions.coe.int/treaty/F...
Les articles de transfert sur le même sujet:
http://www.transfert.net/fr/cyber_s...