Le FBI s’est vu doter, en fin de semaine dernière, de nouveaux pouvoirs en matière de piratage informatique. Ainsi, dès lors que le Bureau disposera d’un mandat adéquat, il pourra pirater n’importe quelle machine dans le monde, y compris sur le propre sol américain. Une décision qui inquiète, mais qui n’est pas unique dans le monde.
Le FBI n’est pas étranger aux techniques de piratage, selon les besoins. On se rappelle notamment de l’opération menée contre Playpen, un réseau d’échanges de contenus pédopornographiques sur Tor. Exploitant une faille de sécurité dans Firefox, et donc dans Tor Browser, le FBI avait piraté directement 8 700 machines dans 120 pays, en vue d’accumuler les preuves. On se rappelle d’ailleurs comment Mozilla avait lutté pour obtenir les détails de la faille, sans succès.
Un mandat de recherche unique pour l’ensemble de l’opération
Ces capacités vont être renforcées, en facilitant pour le Bureau l’obtention d’une permission d’agir d’une part, et d’autre part la capacité d’intervenir n’importe où, selon les besoins de l’enquête. Les Federal Rules of Criminal Procedure (règles fédérales de procédure criminelle) ont en effet reçu en fin de semaine dernière une modification, officialisant la capacité pour le FBI de pirater tout ordinateur, dès lors qu’une enquête le justifie.
La permission de recourir à de telles techniques sera dorénavant validée par un juge. N’importe quel magistrat américain sera désormais habilité à le faire, y compris les juges des districts, par opposition aux juges fédéraux. Le mandat délivré est le même que pour les recherches, puisque c’est bien de cela dont il s’agit : trouver des preuves et/ou obtenir des informations.
La nouvelle version de la règle 41, entrée en vigueur le 1er décembre, autorise à la fois le FBI à pratiquer de telles opérations sur le territoire national, mais également à l’étranger. Les raisons justifiant ces recherches sont multiples et peuvent aussi bien concerner l’utilisation criminelle faite par certains du réseau Tor que l’exploration des limites d’un botnet.
Des ordinateurs piratés deux fois
Autour de ces changements validés par la Cour Suprême au printemps dernier, deux écoles s’affrontent. D’un côté, les défenseurs des libertés civiles, pour qui il serait très simple pour le FBI d’outrepasser ses fonctions, puisque les FRCP ouvrent bien des portes désormais. En outre, puisque l’agence compte explorer les limites des botnets en cherchant directement des informations dans les machines des victimes, n’y a-t-il pas un risque que les enquêteurs aggravent une situation déjà à risque, par exemple dans les ordinateurs d’un hôpital ?
Ces craintes étaient partagées par une bonne partie de la Silicon Valley : fouiller dans les machines déjà touchées par des malwares, n’est-ce pas pirater les machines deux fois ? Les victimes, dont les données sont déjà mises en danger, ne risquent-elles pas de tout perdre dans la manipulation ? Dans ce type de cas, les agents sont censés indiquer aux personnes concernées que leur machine fait l’objet d’une telle opération, mais ce point ne semble pas si clair.
Pour le département américain de la Justice par contre, le fondement de cette règle remaniée est plus prosaïque : il faut impérativement que les forces de l’ordre restent à la page en matière de cybercriminalité et d’utilisations détournées des solutions VPN en général. Et pour cause : dans le cas d’un botnet, il fallait jusqu’à présent que le FBI demande un mandat à autant de juges locaux que de zones géographiques concernées.
Craintes et « réalité » du terrain
Leslie Caldwell, assistante du procureur général, a tenu à éclaircir certains points polémiques. Par exemple, la nouvelle version de la Règle 41 ne change pas vraiment le périmètre d’action du FBI, mais elle lubrifie la mécanique jusqu’ici complexe de certaines enquêtes. En outre, les demandes du Bureau devront être très ciblées : pas question de s’attaquer à un millier de machines sans raison clairement valable. « La possibilité de tels dégâts doit être contrebalancée par les dégâts réels et continus perpétrés par les criminels » a-t-elle ajouté.
Le sénateur démocrate Ron Wyden, nettement opposé aux modifications introduites, craint tout de même ses retombées, comme le rapporte Reuters. Il considère le changement comme « l’une des plus grosses erreurs faites dans les règles de surveillance depuis des années ». Selon lui, le gouvernement obtient ainsi « une autorité sans précédent pour pirater les téléphones personnels, les ordinateurs et autres appareils des Américains ».
On rappellera qu’en France, la possibilité de pirater une machine située dans l’Hexagone ou ailleurs dans le monde est déjà autorisée par la loi de Surveillance des communications électroniques internationales. Aucun mandat délivré par un juge n’est nécessaire, l’avis de la CNCTR (Commission nationale de contrôle des techniques du renseignement) n’étant rendu qu’a posteriori.