mardi 28 juin 2016

États-Unis : selon un juge, le FBI n’a pas besoin de mandat pour pirater un ordinateur

L'EFF prédit de sombres conséquences 19 source : Le Club de Mediapart

Crédits : iStock/ThinkStock

Un juge américain a déclaré dans une affaire de pédophilie que le FBI n’avait pas besoin de mandat pour obtenir des adresses IP. Mais il est allé encore plus loin en déclarant que le Bureau n’en nécessitait pas non plus pour fouiller un ordinateur à distance. Explications.

L’affaire Playpen a déjà donné lieu à plusieurs haussements de sourcils. Initialement, il s’agit pour le FBI de démanteler un réseau d’échanges de contenus pédopornographiques. On se rappelle que le FBI avait réussi son opération au début de l’année, en appréhendant un suspect et en se servant de sa machine pour piéger d’autres participants.

Les détails de l’affaire avaient notamment provoqué une réaction chez Mozilla. Il semble en effet que le FBI se soit servi d’une faille dans Tor Browser, mais sans que cela ait pu être confirmé. Mozilla, partant du principe que la faille pouvait le concerner, avait demandé au FBI de bien vouloir en révéler les détails (Tor Browser est basé sur Firefox). Mais non seulement le FBI n’a pas confirmé qu’il y avait eu une faille, mais il n’a donné que très peu d'informations supplémentaires sur la méthode utilisée. Même en cas de faille, aucune contrainte juridique n’aurait pu le forcer à en donner des précisions.

« Aucune violation du quatrième amendement »

Le procès suit donc son cours. La défense de l’un des accusés, Edward Matish, a cependant réclamé à voir le malware utilisé par le FBI. Le raisonnement était simple : les informations collectées par l’agence ne pouvaient l’être qu’avec un logiciel dont c’était la mission. Parmi les données récupérées, on trouvait essentiellement des adresses IP ainsi que des identifiants.

Le débat autour des adresses IP n’est pas nouveau : s’agit-il d’une information privée ou publique ? Le juge Henry Coke Morgan a tranché : « Le tribunal estime qu’aucune violation du quatrième amendement n’est survenue puisque le gouvernement n’a pas besoin de mandat pour capturer l’adresse IP de l’accusé ». Rappelons que cet amendement de la Constitution américaine garantit à tout citoyen de ne pas subir de perquisitions ou saisie non motivée. Il oblige les forces de l’ordre à demander un mandat pour ce type d’opération.

Adresses IP et identifiants ? Des données publiques

Dans le cas de l’adresse IP, le fait de la considérer comme une donnée publique casse donc cette exigence. La base de la réflexion du juge est la suivante : personne ne peut s’attendre à ce qu’une adresse IP soit privée dans la mesure où tout internaute l’expose volontairement à un grand nombre de tierces parties dès lors qu’il souhaite naviguer. Même dans le cas de Tor – qui était utilisé pour rappel par les membres du réseau Playpen – la machine qui se connecte expose là aussi son adresse IP au premier nœud de connexion.

Mais qu’en est-il dans ce cas des identifiants de connexion (pas les mots de passe) récupérés par le FBI ? Pour le juge, l’accusé ne pouvait pas s’attendre « raisonnablement » à ce que sa vie privée soit réellement protégée dans son ordinateur. En fait, les données obtenues via la NIT (network investigative technique) se limitaient aux adresses IP et identifiants. Il n’y avait pas de données de type « contenu », ce qui fait toute la différence pour le magistrat.

Une dangereuse généralisation

Le juge Morgan a donc estimé que les adresses IP et identifiants n’avaient pas besoin de mandat pour être récupérés. Cependant, il est également allé beaucoup plus loin en déclarant : « Il ne me semble pas raisonnable de penser qu’un ordinateur connecté au web soit immunisé contre une intrusion. Bien entendu, le contraire est également vrai : dans le monde numérique d’aujourd’hui, il apparaît comme virtuellement certain que les ordinateurs accédant à Internet peuvent être – et sans doute seront – piratés ».

Cette décision, basée sur une généralisation, a fait réagir plusieurs associations de défense des libertés civiles et de la vie privée. L’EFF notamment est montée au créneau pour pointer le danger inhérent d’une telle démarche : si un accusé ne peut avoir « d’attente raisonnable de respect de sa vie privée », comment le quatrième amendement pourrait-il remplir son rôle sur les ordinateurs ?

L’association rappelle également les risques multiples qu’a fait peser le FBI avec les démarches successives de son opération contre Playpen. Le fait d’avoir saisi le serveur initial pour le maintenir sous couvert d’un service « authentique », de l’avoir piégé avec un malware pour que des milliers de participants soient contaminés, la récupération d’informations identifiantes comme l’adresse MAC, etc.

Pour l'EFF, les tribunaux sont dépassés

Cependant, l’EFF ne critique pas tant les méthodes que les décisions des tribunaux, qui selon elle ont bien du mal à traiter cette affaire avec « les règles traditionnelles de la procédure criminelle ». L’association estime donc non seulement que cette décision est « une mauvaise nouvelle pour la vie privée », mais également dangereuse pour la suite si elle est « maintenue » : « les forces de l’ordre seraient libres de chercher à distance et de saisir des informations dans votre ordinateur sans mandant, sans cause probable, ou même sans la moindre suspicion ».

Pour l’EFF, cette décision n’est qu’un nouvel épisode dans une suite de procès où les tribunaux, face à des technologies complexes et des accusés « antipathiques », prennent des décisions dont ils ne mesurent pas toute l’étendue.

Publiée le 27/06/2016 à 14:00