a semaine dernière, je vous ai rapidement expliqué ce que je pensais du volet pédopornographie du projet de loi LOPPSI. Ce soir, juste avant de m'envoler pour Syscan, je vous propose quelques réflexions autour du concept de dispositif de "captation des données informatiques" qu'il introduit dans le cadre d'un renforcement de la lutte contre la criminalité.
Avec le développement des échanges électroniques, on peut comprendre le besoin qu'expriment les enquêteurs à élargir les possibilités d'écoute qui leur sont offertes. Cependant, considérant les moyens de protection disponibles, on imagine aisément que de simples interceptions de flux ne suffiront pas dans la vaste majorité des cas. D'où l'idée d'implanter des logiciels espions...
Avoir recours à des logiciels furtifs pour "écouter" les criminels n'est pas une idée neuve. Le FBI utilise ce type de procédé depuis longtemps, avec le keylogger Magic Lantern par exemple. Plus récemment, c'étaient les autorités autrichiennes qui planchaient sur le sujet, tout comme leurs homologues allemands. Il était donc naturel que la question se posa tôt ou tard chez nous, et c'est LOPPSI qui nous livre le résultat de ces réflexions. C'est au chapitre V, article 23 que ça se passe :
Lorsque les nécessités de l'information concernant un crime ou un délit entrant dans le champ de l'application de l'article 706-73 l'exigent, le juge d'instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères.
C'est assez clair pour se passer d'explication. On remarquera que le tout se fait sous l'autorité d'un juge d'instruction et semble, mais je ne suis pas juriste, relativement bien encadré. Il y aurait certes des choses à dire là-dessus, en particulier en ce qui concerne le futur de la fonction de juge d'instruction, mais ce n'est pas mon propos.
Pour ce qui est des méthodes d'implantation du dispositif en question, cela pourra se faire physiquement, évidemment :
En vue de mettre en place le dispositif technique mentionné à l'article 706-102-1, le juge d'instruction peut autoriser l'introduction dans un véhicule ou dans un lieu privé, y compris hors des heures prévues à l'article 59, à l'insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l'occupant des lieux ou de toute personne titulaire d'un droit sur celui-ci. [...] Les dispositions du présent alinéa sont également applicables aux opérations ayant pour objet la désinstallation du dispositif technique ayant été mis en place.
Mais aussi par voie électronique :
En vue de mettre en place le dispositif technique mentionné à l'article 706-102-1, le juge de l'instruction peut également autoriser la transmission par un réseau de communications électroniques de ce dispositif. [...] Les dispositions du présent alinéa sont également applicables aux opérations ayant pour objet la désinstallation du dispositif technique ayant été mis en place.
Au delà des questions portant sur la légitimité de ces écoutes en tant que telles, sujet que je ne souhaite pas aborder ici, l'utilisation de logiciels espion à des fins d'interception légale pose tout de même quelques problèmes, d'ordre technique typiquement mais pas seulement.
Parmis ces points problématique, il y a évidemment le développement et l'utilisation d'outils d'intrusion et de maintien dans un système de traitement automatique de données pour reprendre l'expression consacrée. Parce que si on excepte les moyens physiques plus ou moins discrets qui pourraient se voir connectés çà et là sur un ordinateur, il est évident que ces dispositifs de captation ne vont pas atterrir sur le système ciblé par quelque opération divine. Il va falloir les y mettre, ce qui veut dire compromettre du STAD d'une manière ou d'une autre, pour le poser crûment. Quand je dis compromettre, je ne veux pas forcément dire exploitation de faille. J'inclus l'implantation de code non désiré, furtif au possible comme on s'en doute, qui peut tout à fait être déployé par voie physique[1]. Mais il est clair que sa distribution par voie électronique va nécessiter quelque méthode astucieuse, pour ne pas dire malicieuse, pour réussir.
Ça va se compliquer également à mon sens parce qu'il va falloir recourir à des techniques de furtivité un poil innovantes sous peine d'ouvrir le poste ciblé aux quatre vents et/ou se faire détecter comme le premier malware venu. Je trouverais léger qu'un outil d'interception légale se contente de désactiver brutalement les moyens de protection tels que l'antivirus et/ou le firewall personnel comme un vulgaire rootkit, ne serait-ce que parce que la personne ciblée par la procédure n'est encore qu'un suspect. Le tout en priant très fort pour que personne n'arrive à mettre la main dessus pour l'analyser et utiliser les-dites techniques à des fins moins avouables. On pourrait aussi imaginer que ces logiciels de protection l'ignore tout simplement. Mais ce serait également mauvais. En effet, l'analyse d'un antivirus par exemple permettrait d'une part de fabriquer des malwares qui ne seraient plus détectés parce que singeant le logiciel en question, et d'autre part de détecter le logiciel espion sur la base de ce que les antivirus ignoreraient.
Ça va se compliquer aussi parce qu'en cas de distribution à distance, il va exploiter des failles. On pense bien du social engineering, mais bon, ça finirait par se voir. Il va donc falloir se construire une bonne collection d'exploits en tout genre, voire des 0days. Vous qui me lisez depuis pas mal de temps, vous savez que je l'utilisation de 0days me pose des problèmes. Même à des fins légitimes, comme les tests d'intrusion typiquement. S'asseoir sur des failles, c'est donner l'occasion à d'autres de les redécouvrir et les utiliser. Là encore à des fins pas forcément sympathiques. Et que ce genre de comportement commence gagne les autorités, censées nous protéger, me pose clairement un problème. Je trouve quelque peu difficile d'être d'un côté pour une meilleure protection du citoyen sur Internet et développer des 0days de l'autre. Sans parler des soucis légaux que cela pourrait poser, rapport aux articles de loi enfreints au passage...
Ça va se compliquer enfin quand il va s'agir de sécuriser ces moyens d'interception. Ça rejoint certes le principe évoqué plus haut de ne pas ouvrir le poste cible au premier malware venu, mais ça concerne des choses aussi simple que la concurrence avec des logiciels mal intentionnés de même accabi voire l'intégrité de l'infrastructure de captation des données, ce qui inclue l'intégralité des postes surveillés à un instant donné, les données qu'ils remontent et les serveurs qui les traitent et/ou stockent. On imagine en effet aisément les conséquence désastreuses que pourrait avoir la découverte d'une faille au sein d'un tel système, qui pourrait aller jusqu'à le rendre complètement inefficace, voire complètement s'écrouler devant la remise en cause complète des traces qu'il pourrait remonter.
Je me contente ici de vous livrer quelques réflexion rapides, mais il y aurait beaucoup à dire sur la question. Ne serait-ce qu'à développer les points évoqués ci-dessus...
Notes
[1] Qui peut également nécessiter l'exploitation de failles, mais bon, on va simplifier...
Jeu de briques
Snake
Pacman
Bubble