La justice américaine soutient le FBI dans une affaire où les Fédéraux ont hacké, sans autorisation, un ordinateur situé à l’étranger.
Pour le juge américain John Coughenour, les choses sont claires : le FBI n’a que faire de la législation russe en matière de cybercrime. Le magistrat a donné raison aux Fédéraux dans une affaire les opposant à deux pirates informatiques russes. Opération au cours de laquelle le FBI a subtilisé les mots de passe des malandrins avant de copier plusieurs giga-octets de données situé sur un serveur à l’étranger.
Petit rappel des faits. Alexey Ivanov, 20 ans, et Vasily Gorshkov, 25 ans, se faisaient passer pour un pseudo "groupe d’experts en protection contre les hackers", et auraient offert leurs services de consultants en sécurité informatique à une quarantaine de sociétés américaines qu’ils avaient auparavant hackées. Ils utilisaient pour cela une faille de sécurité bien connue de Windows NT (dont le patch a été publié par Microsoft il y a au moins deux ans). Ils étaient aussi soupçonnés d’avoir dérobé plusieurs dizaines de milliers de numéros de cartes de crédit.
Anatomie d’un hack (il)légal
Se faisant passer pour des employés d’Invita, une société fictive de sécurité informatique, le FBI proposa aux deux Russes de tester leurs compétences en piratant le serveur informatique de la vraie-fausse société. Invités à Seattle en vue d’être embauchés par Invita, les Russes furent de nouveau conviés à démontrer leurs capacités. Le FBI, par l’entremise d’un keylogger (petit programme furtif enregistrant tout ce qui est tapé sur un clavier), en profita pour "sniffer" leurs logins et mots de passe, avant de s’en servir pour accéder aux données informatiques des comparses stockées sur un serveur situé à l’étranger. À l’avocat des deux Russes, qui plaidait une violation de la vie privée non encadrée par la loi, les Feds ont opposé l’absence d’accord de coopération en matière de criminalité informatique entre les ...tats-Unis et la Russie. De plus, selon les Américains, la demande d’assistance à la police russe serait restée sans réponse. Le FBI a également avancé que ses agents n’avaient pas eu le temps d’obtenir de mandat au moment de placer le keylogger, et d’archiver toutes leurs données. ...trangement, peut-être pris de remords, les Feds ont tout de même pris la peine d’en demander un avant de compulser le résultat de leurs recherches.
Un dangereux précédent
L’affaire pourrait constituer un précédent et mettre la pagaille au sein des instances qui, au nom de la communauté internationale, tentent de lutter contre la cyber-criminalité. Car la justice américaine, via la décision du juge Coughenour, vient ni plus ni moins de légaliser le fait que le FBI puisse hacker un ordinateur situé à l’étranger. Le tout sans mandat délivré par un juge américain, et sans autorisation des forces de l’ordre de la nation étrangère. Que penserait la justice américaine si des cyber-flics russes rentraient ainsi, sans mandat et sans même prévenir les autorités locales, dans l’ordinateur d’un suspect américain ? Ou d’un réfugié politique recherché dans son pays, ou d’une société accusée d’espionnage économique ? La loi interdit normalement toute perquisition en l’absence d’un mandat, qui plus est lorsqu’elle est effectuée par des forces de police étrangères à l’insu de celles du pays où elle est effectuée. Une fois de plus, sous couvert de lutte contre la "cyber-criminalité", les autorités bafouent les conventions internationales, les lois nationales, et la présomption d’innocence.
Cet incident n’est peut-être que le premier d’une longue série. Le Conseil de l’Europe tente depuis des mois de faire passer (elle sera examinée le 18 juin) une convention internationale pour lutter contre le cyber-crime. Dans ce texte d’inspiration policière, les articles 31 et 32 prévoient les modalités d’une télé-perquisition. On peut notamment lire dans l’article 32 : "un pays pourra accéder sans demander d’autorisation à un autre à des données publiquement accessibles (source ouverte) stockées sur un ordinateur quel que soit l’endroit géographique où il se trouve." La notion de publiquement accessible étant totalement discutable dans le cadre des technologies Internet, ce point laisse pantois.
Il y a encore peu, les forces de l’ordre répétaient à tue-tête qu’Internet était un espace de "non-droit", et qu’il fallait donc légiférer. Si la justice américaine commence à légaliser les violations de la loi effectuées par les forces de l’ordre...