Riposte graduée ? - La Quadrature du Net

mercredi 21 avril 2010

Le cloud computing, nouvel ami du FBI.

L’information est sortie sur le site de Wired ce mardi 20 avril 2010. Le célèbre magazine américain, spécialisé dans le domaine des nouvelles technologies, raconte comment des spammeurs se sont fait bêtement prendre.


La petite histoire.
Au cours de leurs investigations, des agents du FBI spécialisés dans la cybercriminalité soupçonnent une activité suspecte sur un compte Google docs. Il demande à Google de leur fournir les documents hébergés sur le compte suspect en question en émettant un mandat de perquisition.

Dix jours plus tard, la société californienne accède à leurs demandes.

Dans la pile de documents récupérés, les agents repèrent notamment une feuille de calcul portant le nom « Puls_weekly_Report Q-3 2008 » qui prouve que les personnes suspectées, Levis Beers et Chris de Diego, sont les gérants supposés d’une société appelée Pulse Marketing.


L’analyse du document révèle que cette entreprise a spammé 3 082 097 adresses électroniques au cours d’une fenêtre de seulement 5 heures. Une feuille de tableur dénommée « Yahoo_Hotmail_Gmail - ID » recense 8 000 comptes que les suspects auraient utilisés pour envoyer leurs spams. Ces comptes auraient été créés via Yahoo en utilisant de fausses informations ce qui constituerait une violation de la « CAN SPAM Act », une loi fédérale visant à lutter contre le courrier indésirable et instaurant un régime sévère pour les cyber-délinquants dans ce domaine.


Procédure classique. Situation nouvelle.
La loi permettait pourtant aux agents du FBI d’agir différemment. En effet, un texte de 1986, le « Stored communications Act », a instauré une présomption qui leur permettait d’accéder à ces fichiers sans avoir de mandat. Il suffisait que les agents aient des « motifs raisonnables » de penser que l’information stockée en question relevait d’une organisation criminelle ; une motivation beaucoup moins contraignante juridiquement qu’une « cause probable » exigée pour un mandat de perquisition.

Si depuis longtemps, les défenseurs des libertés fondamentales avaient souligné le risque d’atteinte à la confidentialité et à la vie privée, ils n’ont cette fois rien trouvé à y redire. Il faut dire que ce qui vient de se passer est une sorte de petite révolution. Alors même qu’ils avaient la possibilité d’obtenir les renseignements en question au travers d’un procédé peu contraignant, les agents du FBI ont préféré opter pour un mandat de perquisition en bonne et due forme ce qui rend leur action plus acceptable aux yeux du public.


Le 4e amendement.
Pour Kevin Bankston, avocat de l’Electronic Frontier Foundation (plus communément appelée EFF), une association de défense de la liberté d’expression sur Internet : « Si le mandat est valide et respecte le 4e amendement [ …] l’attitude du gouvernement dans cette affaire écarte l’une de nos principales craintes ».

Pour information, le 4e amendement à la constitution des Etats-Unis d’Amérique oblige à recourir à un mandat pour arrêter une personne ou procéder à une perquisition. En droit américain, les mandats sont délivrés par un juge, indépendant statutairement ce qui constitue une garantie pour les citoyens. Le 4e amendement fait partie de la Déclaration des droits (Bill of rights) rédigée en 1791, que l’on pourrait comparer à notre Déclaration des droits de l’homme et du citoyen.

Il dispose : « Il ne sera pas porté atteinte au droit des citoyens d'être exempts de toute perquisition ou saisie déraisonnable concernant leur personne, leur domicile, les documents et biens leur appartenant ; aucun mandat de perquisition ne pourra être délivré s'il ne se fonde sur des motifs plausibles, s'il ne s'appuie sur des déclarations ou des affirmations sous serment et s'il ne mentionne de façon détaillée les lieux qui doivent faire l'objet de la perquisition et les personnes ou objets dont il faut s'assurer. »


Le cloud computing fait le bonheur du FBI.
« Plus c’est technique, plus il est facile pour eux de tout contrôler » disait un des personnages dans le film « Ennemi d’État ». La réalité confirme ces propos. Si cette affaire a été résolue si rapidement, c’est en effet grâce au cloud computing ou informatique dématérialisée. Cette technologie qui vise à remplacer les ordinateurs par de simples terminaux techniques, toute l’infrastructure matérielle étant concentrée dans des centres de serveurs ce qui permet de se passer de la contrainte matérielle tout en pouvant accéder depuis n’importe quel endroit à ses fichiers. Mais comme toute situation a ses avantages et ses inconvénients, les utilisateurs n’ont plus un contrôle total sur leurs données et dépendent des serveurs de la société qui leur fourni le service de cloud computing.

Pour les agents du FBI, cette évolution rend les choses beaucoup plus simples que si les données étaient stockées sur un disque dur puisqu’au lieu d’avoir à délivrer un mandat contre des personnes physiques pour saisir leurs ordinateurs ou créer une image de leurs disques durs avant de laisser aux suspects une copie du mandat de perquisition et un inventaire des biens saisis, ils n’ont eu qu’à émettre un mandat à l’encontre de la société hébergeant les services pour se voir transmettre les fichiers en question.


Problème : l’absence de notification de la perquisition.
En l’espèce, le mandat sous scellé a été présenté poliment à Google sans qu’un agent du FBI ait à sortir son arme. Plus important, le gouvernement américain n’a pas eu l’obligation de présenter le mandat aux suspects dans l’affaire, ici Beers et de Diego, tant qu’aucune incrimination criminelle n’était émise à leur encontre. Beers confirme en effet n’avoir pas été notifié de cette perquisition depuis que Google a remis les fichiers au FBI : « Je n’ai pas reçu de notification de Google ou du gouvernement » écrit-il à Wired. Dans l’affaire en question, ce sont près de 8 mois qui se sont écoulés entre la perquisition des fichiers en question et l’arrestation de leurs auteurs.

Orin Kerr, professeur de droit à l’université Georges Washington explique : « La situation peut être délicate si ce n’est pas un lieu physique ». En effet, comme dit plus haut, en cas de perquisition, le perquisitionné doit être notifié et un inventaire des biens saisis doit lui être adressé. Or, en l’espèce, il n’y a pas eu de reçu ce qui pose un problème au niveau du principe d’égalité des armes. Orin Kerr préconise l’envoi d’un courriel au saisi qui ferait alors office de reçu pour la perquisition : « Vous pouvez imaginer une loi qui oblige le gouvernement à envoyer un courriel sur le compte ».

La société Google indique pour sa part avoir comme politique d’informer régulièrement ses utilisateurs : « À l'heure actuelle, si cela ne compromet pas l'enquête ... et que c’est autorisé par la loi, nous travaillons pour informer l'utilisateur avant de retourner tous les renseignements demandés», affirme le porte-parole Brian Richardson. « Cela permettra à l'utilisateur de contester la demande en justice. ». Les bureaux du procureur du Colorado ont rendu l’information publique après avoir tenté sans succès d’accéder aux comptes Yahoo utilisés dans le cadre de cette opération de spamming précise Jeffrey Dorschner, porte-parole du bureau du procureur de Denver.


Conclusion.
Ce mandat de perquisition constitue une première et illustre l’évolution du droit dans le domaine cybernétique. Ainsi, dans les années à venir, la délinquance dite traditionnelle a tendance à décroitre pour les années à venir et est progressivement remplacée par la délinquance cybernétique.

1 commentaire:

Antonin a dit…

Le cloud computing est dangereux quand les données sont externalisées et que le service dépossède l'utilisateur.

Il faut se méfier et apprendre à conserver ses données personnelles sur ses propres serveurs ou acheter un espace chez un hébergeur avec une éthique.

Pas évident !!!