Lutilisation de logiciels espions par la police est controverse

Pour lavocat Sbastien Fanti, les polices fdrales et cantonales ne devraient pas pouvoir mettre en uvre des chevaux de Troie sans base lgale expresse. Le procureur Jean Treccani et Sylvain Mtille, docteur en droit, estiment, au contraire, que ces investigations, strictement encadres, sont possibles.

n les appelle des chevaux de Troie, car ces logiciels espions, dapparence lgitime, permettent de prendre le contrle distance dun ordinateur cible, afin den surveiller, en temps rel, tout ce qui sy passe. A la manire des Grecs, qui staient cachs dans un gigantesque cheval de bois pour entrer par ruse dans la ville de Troie, les chevaux de Troie informatiques sont utiliss pour suivre en direct les discussions par messagerie instantane ou via la tlphonie par internet (type Skype). Ils peuvent transmettre des captures de ce qui se passe sur lcran de lordinateur infect, activer sa webcam ou son micro et mme indiquer les touches frappes (ce qui permet de connatre les mots de passe de lutilisateur vis). La police judiciaire fdrale a eu recours dans trois cas de lutte antiterroriste et dans un cas de criminalit organise un logiciel destin dcrypter des contenus cods, oraux ou crits, a indiqu le Dpartement fdral de justice et police. De son ct, le canton de Vaud a arrt un pdophile grce ces programmes, et le canton de Zurich a utilis ce moyen pour lutter contre un important trafic de drogue.

Sylvain Mtille

Les quatre cas dutilisation par la police fdrale sont intervenus avant lentre en vigueur du nouveau Code de procdure pnale suisse (CPP), sur la base de lart. 66 II de la loi fdrale de 1934 sur la procdure pnale, aux termes duquel le juge dinstruction ou le procureur gnral peut ordonner lutilisation dappareils techniques de surveillance. Le nouveau CPP a repris cette formule lart. 280 CPP, qui dispose que le Ministre public peut utiliser des dispositifs techniques de surveillance aux fins, notamment, dcouter ou denregistrer des conversations non publiques. Cette disposition vise apparemment les coutes, observations et enregistrements au moyen dappareils acoustiques et/ou opti-

ques, signale Jrme Bndict, avocat Lausanne et rdacteur du chapitre consacr aux preuves illgales dans le Commentaire romand du CPP. Or pntrer dans un systme informatique va plus loin. Un logiciel nest pas un appareil. Pour moi, lutilisation de chevaux de Troie na, pour lheure, pas de base lgale, car le lgislateur ny a pas pens. Le fait que lavant-projet de loi fdrale sur la surveillance de la correspondance par poste et tlcommunication (LSCPT) prvoie une base lgale expresse pour linterception et le dcryptage de donnes son art. 270bis est un in-

DR

Une preuve illgale?

Si un tribunal venait admettre que les preuves obtenues en utilisant un cheval de Troie lont t en violation du droit de procdure pnale, car la base lgale actuellement existante est insuffisante cet effet, lintress pourrait se plaindre dune violation de son droit constitutionnel la libert personnelle. Nous serions dans une situation que le lgislateur na pas rgle et, dans un tel cas, le juge procderait sans doute une pese des intrts, prcise Me Jrme Bndict, spcialiste de cette question: Il est vraisemblable quil estime latteinte justifie si lon est en prsence dune infraction grave, qui ne pouvait tre dcele dune autre manire. Reste le problme de la provenance de ces chevaux de Troie, qui peuvent constituer des produits illicites sils sont dvelopps par des pirates informatiques: un danger dont la police doit videmment se garder.

plaidoyer 1/12

13

Les chevaux de Troie informatiques sont utiliss pour suivre en direct les discussions par messagerie instantane ou via la tlphonie par internet (type Skype).

dice quune telle utilisation pose problme du point de vue de sa licit.

Pas dinterprtation extensive

Je ne veux pas dune interprtation extensive de la loi, dclare de son ct lavocat valaisan Sbastien Fanti, spcialiste des nouvelles technologies. Aux Etats-Unis, ces pratiques policires sont rpandues, mais les agents disposent du Patriot Act, une base lgale spcifique permettant daccder ces informations. Pour moi, en Suisse, la police ne devrait rien pouvoir faire avant lentre en vigueur de lart. 270bis nouveau CPP pour ne pas sexposer au risque dabus dautorit. Sagissant de la surveillance de particuliers, une interprtation plus large de la loi nest pas possible. En outre, des problmes concrets se posent: le porte-parole de la police cantonale vaudoise a confirm avoir dvelopp des par-

tenariats avec plusieurs hautes coles du canton, afin dlaborer des logiciels espions pour effectuer des coutes tlphoniques, intercepter des SMS et des donnes de golocalisation, rapporte encore Sbastien Fanti. Il estime que, du point de vue du droit dauteur, ces systmes ne devraient tre dvelopps quavec laval des fabricants du programme dordinateur affect par les chevaux de Troie. Le risque dabus est important, car qui nous dit que ces tudiants ne copieront pas le logiciel dvelopp? Lavocat valaisan voque encore la crainte que les pigeons soient pris par ce systme, mais non les spcialistes du cryptage de donnes, qui renforceront leurs barrires.

Genve, Fribourg et le Valais lutilisent dj

Le procureur gnral adjoint vaudois Jean Treccani est lauteur dun article consacr cette ques-

tion, quil a cosign avec le spcialiste Jrmie Mller et le procureur Olivier Jotterand, qui pourrait paratre dans la revue en ligne Weblaw. Jai toujours estim que la base lgale tait suffisante dans la LSCPT, puis dans le CPP unifi pour fonder certaines oprations, tels linterception de flux Internet ou lenregistrement dactions prives par la webcam ou le micro de lordinateur, explique Jean Treccani. La question est de savoir si cette base lgale me permet laccs lordinateur du prvenu pour y dposer le logiciel espion. Je pense que cela est acceptable, au mme titre quon trouve acceptable dendommager la porte dune habitation pour y accomplir une perquisition. Ne pas admettre lutilisation du cheval de Troie, cest rduire gravement les moyens dinvestigation, puisque cest le seul moyen dintercepter des communications cryptes. La position de Jean Treccani soppose celle dun au-

tre procureur, le Saint-Gallois Thomas Hansjakob, qui estime que lart. 280 CPP nest pas une base lgale suffisante pour introduire des programmes informatiques dans une base de donnes. Pour Jean Treccani, des limites sont certes ncessaires: Il faut que le Tribunal des mesures de contraintes dfinisse exactement le processus qui va tre mis en uvre et il convient de sinterdire toute perquisition clandestine par ce biais. Il reconnat que le sujet est trs sensible politiquement, il fait peur au public et ncessite une base lgale plus claire pour dcourager toute tentative de perquisition sauvage. Il nen reste pas moins que la base lgale actuelle est, mes yeux, suffisante pour une interception classique de tlcommunications ou pour lenregistrement par webcam. Il signale que les cantons de Genve, de Fribourg et du Valais ont dj utilis ponctuellement un tel moyen, qui nest pas facile installer et trs coteux (entre 10 000 et 20 000 fr.), ce qui constitue dj un frein son utilisation. On ne va pas mettre en

uvre un tel moyen sur une petite affaire, mais, si on veut dmanteler un important trafic de stupfiants dans le cadre duquel le logiciel de tlcommunication skype est utilis, cela apparat comme une ncessit.

Viser la cible plutt que le moyen

Le Code de procdure pnale prcise moins les moyens de la surveillance que ce qui en est lobjet, considre Sylvain Mtille, docteur en droit et auteur dun article consacr la question sur le site weblaw1. Cest pourquoi il faut analyser le cheval de Troie selon ce quil permet de faire. Sil peut surveiller la transmission dinformations par un ordinateur reli un rseau de communication (tel quinternet), il faut le considrer comme une mesure de surveillance de la correspondance au sens de lart. 270 CPP. Pour que la surveillance ne soit pas disproportionne, il convient alors de prciser ce qui sera observ (messagerie internet, logiciel de tlphonie, session internet ) dans

lordre donn par le procureur. Si cest lenvironnement qui est observ en activant une webcam ou un micro, la situation est alors semblable au fait de placer des instruments dcoute dans une chambre, soit duser dautres mesures techniques de surveillance, au sens de lart. 280 CPP. Enfin, effectuer une perquisition distance en rcuprant tout ce qui se trouve sur le disque dur de lordinateur, et linsu de lintress, nest pas lgal, indique-t-il. Pour sassurer que le policier sen tienne ces limites, il faut que lautorisation du Tribunal des mesures de contraintes soit trs prcise sur ce qui est recherch et autoris, car, par mconnaissance technique, ce tribunal risque de donner une autorisation trop large. Il faut aussi sassurer de lauthenticit des donnes qui ont t prleves, met en garde Sylvain Mtille.
Sylvie Fischer

DR

Les mesures de surveillance prvues par le CPP: Quelle place pour le cheval de Troie, lIMSI-Catcher ou les puces RFID?, Sylvain Mtille, justeletter du 19 dcembre 2011, www.jusletter.ch
1

Une base lgale dans le CPP

Dans le cadre de la rvision de la loi fdrale sur la surveillance de la correspondance par poste et tlcommunication (LSCPT), le Conseil fdral souhaite introduire une base lgale plus prcise pour lutilisation de tels logiciels de surveillance de la correspondance et propose, dans son avant-projet de rvision de la LSCPT, dajouter larticle suivant au Code de procdure pnale: Art. 270bis Interception et dcryptage de donnes (nouveau) 1 Lorsque, dans le cadre dune surveillance de la correspondance par tlcommunication, les mesures de surveillance prises jusqualors sont restes sans succs ou lorsque les autres mesures de surveillance nauraient aucune chance daboutir ou rendraient la surveillance excessivement difficile, le Ministre public peut ordonner, mme linsu de la personne surveille, lintroduction dans un systme informatique de programmes informatiques permettant dintercepter et de lire des donnes. Dans son ordre de surveillance, le Ministre public indique le type de donnes quil souhaite obtenir. 2 Lordre de surveillance est soumis lautorisation du Tribunal des mesures de contrainte. Le projet de loi et le message ne devraient tre rendus publics que lan prochain.

14

plaidoyer 1/12

plaidoyer 1/12

15