Le Conseil constitutionnel dira le 8 avril prochain si les autorités françaises ont pu « pirater » les terminaux sécurisés EncroChat sans malmener les textes fondateurs. Une captation rendue possible par une disposition qui permet le recours à des moyens sous le secret de la défense nationale.
En juillet 2020, notre collègue Jean-Marc Manach décrivait comment la gendarmerie française avait intercepté, analysé et décrypté « plus d’une centaine de millions de messages chiffrés ». Le coup de maître aurait été réalisé par l’installation d’un logiciel espion dans des terminaux sécurisés EncroChat, notamment après une mise à jour, le tout à l’insu des utilisateurs.
S’en suivaient de nombreuses saisies de drogues, d’armes et autres avoirs outre des arrestations en France, mais aussi à l’étranger.
Au-delà des faits, cette intervention a été rendue possible par l’article 706-102-1 du Code de procédure pénale, lequel autorise le procureur de la République ou le juge d’instruction à prescrire le recours aux moyens de l’État « soumis au secret de la défense nationale ». Ce texte dresse ainsi un pont entre le judiciaire et la trousse à outils des services du renseignement pour épauler les enquêtes ou instructions en cours.
Dans sa forme fœtale, cet article avait été introduit par la loi d’orientation et de programmation pour la performance de la sécurité intérieure de 2011 (ou LOPPSI 2), dans une série d’articles consacrés à la captation des données informatiques.
En 2011, une première version de l’article 706-102-1 autorisait, en l’encadrant, la mise en place de « dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères ».
Pour caricaturer, un « cheval de Troie » sur lequel gendarmes et policiers allaient pourvoir compter en matière de criminalité et délinquance organisées, mais aussi de crimes, afin de récolter de précieuses informations.
Cette réforme avait été annoncée deux années plus tôt par la place Beauvau. L’enjeu ? « Disposer d’outils à armes égales pour pouvoir lutter contre ces bandes organisées qui relèvent du haut niveau, cela ne concerne pas la délinquance du quotidien » nous confiait en 2009 Christian Aghroum, alors patron de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
Plusieurs chantiers législatifs avaient par la suite élargi l’enclos de ces chevaux de Troie. La loi du 13 novembre 2014 sur la lutte contre le terrorisme a étendu son champ à la captation des données « reçues et émises par des périphériques audiovisuels », permettant dès lors de capter aussi les conversations Skype.
En 2015, la loi portant adaptation de la procédure pénale au droit de l’Union européenne a enrichi la liste des délits commis en bande organisée susceptibles d’être visés par ces captations. Ce sont l’escroquerie, la dissimulation d’activités ou encore la non-justification de ressources correspondant au train de vie.
La loi du 3 juin 2016 « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » a autorisé le procureur de la République à prescrire « le recours aux moyens de l’État soumis au secret de la défense nationale » pour assurer ces captations à distance.
Elle a aussi étendu aux enquêtes cette procédure d’abord réservée aux informations judiciaires. Le texte fut enfin remodelé en 2019 avec la loi de programmation 2018-2022 et de réforme pour la justice.
En 2019, la CNIL avait souligné, dans une délibération, que le champ et les données pouvant être captées avait « fait l’objet d’élargissements constants et significatifs ces dernières années », avec des méthodes d’enquête « qui revêtent un caractère particulièrement intrusif en ce qu’elles conduisent à la collecte d’un volume important de données ».
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.