Le blog

La nouvelle alpha de Skype sous Linux se paie une mise à jour

image dediée
 

Microsoft continue de s’intéresser à Linux, à travers son outil de conversation Skype. Celui-ci est désormais disponible à travers une nouvelle mouture au stade d’alpha. Elle a aujourd’hui droit à une première mise à jour apportant quelques nouveautés.

Il y a quelques jours, Microsoft mettait en ligne une nouvelle version « alpha » de Skype dédiée à Linux. Celle-ci vient de connaître une première mise à jour et passe ainsi en version 1.2. Il est désormais possible de modifier les paramètres audio et vidéo au sein de l’application, ce qui était plutôt attendu par les utilisateurs.

D’autres améliorations viennent renforcer le « confort », avec la possibilité d’utiliser des avatars « HD », d’indiquer votre humeur dans les paramètres de votre profil, de quitter l’application en pressant les touches CTRL+Q ou depuis la barre des tâches. Vous pouvez aussi l’ouvrir depuis cette même zone.

Quelques bugs ont été retirés puisque les noms avec une apostrophe sont maintenant gérés correctement, alors que le script suivant l’installation inscrira les bons dépôts sous Debian si vous utilisez un processeur 64 bits. L’équipe précise que la stabilité lorsque vous discutez pendant un long moment a aussi été améliorée.

nextinpact

Chez Orange, Canalsat pourra enfin remplacer le bouquet du FAI

Il y a du mouvement dans le secteur de la télévision. Face à l’essor et à la menace d’offres tierces OTT, les fournisseurs d’accès à internet s’adaptent enfin.

La piètre qualité de la plupart des décodeurs fournis par les fournisseurs d’accès à internet poussent de plus en plus d’abonnés à délaisser le bouquet de télévision inclus à leur offre. Des offres de télévision par internet telles que celles de Canal+, de Molotov ou de Videofutur se développent dans ce contexte.

À lire aussi
Mort au décodeur ? Canal+ directement sur votre téléviseur
Molotov : la “télé réinventée” disponible gratuitement dès aujourd’hui

Certains consommateurs paient ainsi pour deux bouquets de télévision en grande partie redondants et risquent de souscrire à une offre premier prix, n’incluant que l’accès à internet, sans télévision ni téléphonie. Ils menacent donc l’ARPU, le revenu moyen par abonné, principal indicateur de santé des opérateurs de télécommunications.

Nouvelle livebox

Orange annonce ainsi qu’il lancera prochainement une offre « innovante », « incluant des chaînes du bouquet Canalsat Panorama ».

Jusqu’à présent, les abonnés à internet qui souhaitaient les « contenus exclusifs et originaux de Canal+ » devaient souscrire au bouquet Canalsat Panorama à 25 euros/mois en plus de leur offre triple play à plus ou moins 40 euros/mois. Ils payaient donc deux fois pour une grande partie des chaînes. En faisant du bouquet Canalsat l’un des trois composants de son offre triple play, plutôt qu’un quatrième, Orange se rend enfin à l’évidence.

Malheureusement, cette offre attendue « d’ici la fin de l’année » sera réservée à la fibre. Seuls 5 des 30 millions de ménages français pourront donc bénéficier de cette offre. Les chaînes ne seront pourtant diffusées « que » en HD, ce n’est pas une cause technique, juste une nouvelle limitation arbitraire destiné à promouvoir la fibre.

clubic

Comment les services du renseignement pourront surveiller (presque) n’importe qui

image dediée

La loi contre le terrorisme et prorogeant l’état d’urgence a été publiée ce matin au Journal officiel . Cette situation est étendue de 6 mois, soit jusqu’au 22 janvier 2017. Mais c’est surtout sur la partie renseignement qu’il faut s’arrêter puisque le texte profite de l’occasion pour étendre les capacités de la lutte anti-terroriste

La loi prorogeant l’état d’urgence aurait pu s’en tenir à deux articles. L’un pour prévoir un nouveau délai d’extension, l’autre pour activer telle ou telle option de la loi socle de 1955, par exemple les perquisitions informatiques. Après l’attentat de Nice, les députés et sénateurs ont profité de la fenêtre parlementaire pour charger la barque d’un texte fort désormais de 21 articles. De fait, amendement après amendement, cette loi est devenue surtout un nouveau texte contre le terrorisme, malgré des dispositions déjà adoptées lors de la loi de programmation militaire (2013), la loi contre le terrorisme (2014), la loi renseignement (2015), la loi sur la surveillance des communications internationales (2015), la loi sur la réforme pénale (2016), etc.

Dans notre panorama de ses nouvelles dispositions, il faut surtout retenir celles relatives au renseignement et spécialement à l’extension des sondes, lequelles sont indépendantes de l’état d’urgence.

Revenons d’abord sur la mécanique de la loi sur le Renseignement. Depuis 2015, les services ont la capacité d’exploiter des algorithmes prédictifs, nourris de données de connexion moissonnées sur les réseaux, en exploitant même une partie des URL visitées par les internautes. Ce sont les fameuses « boites noires », nom trop vite donné par un conseiller technique de François Hollande lors d’une conférence presse en comité restreint à laquelle nous participions. Paramétrés, ces algorithmes veulent par traitements automatisés « détecter des connexions susceptibles de révéler une menace terroriste ». (L.851-3 du Code de la sécurité intérieur)

Dès le début 2015, lors des débats parlementaires, l’Intérieur avait dévoilé ses intentions : « Si elle nécessite un suivi exhaustif des activistes déjà identifiés et répertoriés, l’anticipation de la menace attachée aux activités terroristes, qui constitue un impératif majeur pour la sécurité nationale, rend également nécessaire la détection de personnes qui ne l’avaient pas été précédemment ». Selon les documents préparatoires au projet de loi renseignement, l’exécutif avait en effet en tête « la recherche d’objectifs enfouis sous le maquis des réseaux de communications transnationaux, Internet offrant à cet égard des opportunités de furtivité immenses pour les acteurs et vecteurs de la menace ».

De la loi de Programmation militaire…

Une fois la menace mieux identifiée, un autre dispositif législatif peut prendre le relai pour pour concentrer l’attention. Il est d’ailleurs antérieur à la loi renseignement, puisqu’implanté par la loi de programmation militaire de 2013. Avec l’article L.246-1 du Code de la sécurité intérieure, les agents de l’Intérieur, de la Défense et de Bercy, justifiant de la recherche de renseignements concernant….

  • la sécurité nationale,
  • la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
  • la prévention du terrorisme,
  • la prévention de la criminalité et de la délinquance organisées
  • la prévention de la reconstitution ou du maintien de groupements dissous.

… peuvent en effet aspirer sur « sollicitation du réseau » tous les « documents » et « informations » détenus dans les mains des acteurs du net et des télécommunications. Cette notion de « sollicitation », éclairée par le Conseil constitutionnel suite à une heureuse QPC de la Quadrature du Net, FDN et FFDN, indique qu’il faut une demande de l’autorité administrative et une réponse des opérateurs, FAI et hébergeurs. Selon les sages de la Rue de Montpensier, en effet « les autorités administratives ne peuvent accéder directement au réseau des opérateurs ». Une interprétation validée par le Conseil d’État.

…En passant par la loi Renseignement

Avec la loi Renseignement, l’outil a changé de calibre et pas seulement parce que la loi a démultiplié le nombre de finalités permettant aux services du premier cercle, comme du second, de surveiller les communications. Cet espionnage peut se faire en effet un but offensif comme défensif, visant :

  • L’indépendance nationale, l’intégrité du territoire et la défense nationale ;
  • Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;
  • Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  • La prévention du terrorisme ;
  • La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention de la prolifération des armes de destruction massive.

Notre article L.246-1 du Code de la sécurité intérieure, introduit par la LPM est à l’occasion devenu le L.851-1 du même code. Il permet le « recueil » chez les FAI, opérateurs, hébergeurs, éditeurs de sites, etc. des données de connexion « traitées ou conservées par leurs réseaux ou services de communications électroniques ». Dans le marbre, on a certes perdu au passage la logique de « sollicitation » du réseau prévue par la LPM, mais il faut en réalité toujours une demande exprimée par les services, d’ailleurs transmise à la Commission nationale de contrôle des techniques du renseignement.

Pour la prévention du terrorisme, la dynamique de l’open bar dénoncée par Snowden aux États-Unis, trouve ici ses lettres de noblesse grâce à un nouvel article. Le L.851-2 du CSI permet en effet « la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces » (extrait de l’étude d’impact). Dans ce cadre spécifique, la loi Renseignement autorise le recueil en temps réel de l’ensemble des traces numériques laissées dans le sillage d’une personne qualifiée de menaçante par les services. Ce critère de la menace est important puisqu’« on est donc au-delà d’une simple suspicion. Il faut un minimum d’éléments tangibles pour la mise en œuvre de cette technique – c’est ce qu’a prévu le législateur » expliquait en ce sens Françis Delon, président de la CNCTR, lors d’une audition à l’Assemblée nationale en mai dernier.

L’autorisation de pistage est délivrée par le Premier ministre vaut pour deux mois, renouvelable autant de fois que nécessaire, sans qu’il soit toutefois possible de se passer de l’avis préalable de la CNCTR, cette hypothèse ouverte en cas d’ « urgence absolue » étant interdite ici.

Ce mécanisme a été validé par le Conseil constitutionnel, celui-ci considérant que « le législateur a assorti la procédure de réquisition de données techniques de garanties propres à assurer entre, d’une part, le respect de la vie privée des personnes et, d’autre part, la prévention des atteintes à l’ordre public et celle des infractions, une conciliation qui n’est pas manifestement déséquilibrée » (point 56, voir aussi notre actualité détaillée).

Jusqu’à la loi contre le terrorisme et prolongeant l’état d’urgence

Après le choc de l’attentat de Nice, les parlementaires ont profité de l’instant pour asséner un nouveau tour de vis sécuritaire à cette disposition née avec la loi de Programmation militaire, grandie avec la loi Renseignement.

Comme expliqué dans nos colonnes, désormais, ce recueil en temps réel des données de connexion pourra viser non les seules données de connexion d’ « une personne préalablement identifiée comme présentant une menace » mais aussi celles d’une personne « préalablement identifiée susceptible d’être en lien avec une menace ».

Vous voyez la nuance ? La « menace » est certes toujours une condition nécessaire, mais le cercle concentrique des individus pouvant être traqués est considérablement élargi. Ses vagues n’éclaboussent plus seulement ceux en lien direct avec la « menace » mais aussi ceux simplement « susceptibles » de l’être.

Mieux. Cette extension du domaine de la lutte s’étend davantage, grâce à une logique de contamination sociale. Avec ce même article, les services pourront alpaguer, toujours en temps réel, également le nuage de données de connexion délesté par l’entourage de cette personne. Il suffira de disposer, non de preuves, mais de « raisons sérieuses de penser » qu’une ou plusieurs personnes « sont susceptibles de fournir des informations » au titre de la lutte contre le terrorisme.

Et en pratique ?

Avec la loi Renseignement, les services pouvaient espionner en temps réel l’individu A, car ils disposaient d’informations montrant que celui-ci est une menace terroriste. Avec la loi sur le terrorisme et prolongeant l’état d’urgence, un individu B pourra subir le même sort, si ces mêmes services estiment qu’il est simplement susceptible d’être en lien avec une telle menace. Et puisque la menace terroriste est diffuse, le renseignement gagne nécessairement en liberté d’action.

L’environnement social de B, ses amis dans la vraie vie ou sur Facebook, ou les amis de ses amis sur le réseau social, ses followers ou les followers de ses followers sur Twitter pourront subir le même sort. Comment ? Rien de plus simple. Les services du renseignement, après autorisation du Premier ministre et avis de la CNCTR, n’auront qu’à disposer de « raisons sérieuses de penser » que l’un de ces individus est « susceptible » de fournir des informations intéressant « une menace » avec laquelle l’un de ses proches, même indirect, serait lui-même « susceptible » d’être en lien… Ouf !

En toute logique, on peut avoir des « raisons sérieuses de penser » que n’importe qui est « susceptible » d’être ainsi visé s’il est l’ami de l’ami de l’ami d’un possible apprenti terroriste, puisqu’à ce stade les services n’ont aucune information solide. Et pour cause, cette quête informationnelle est la raison d’être de la surveillance.

Revenons pour finir à l’audition du président de la CNCTR. Un député lui avait spécialement demandé pourquoi, via ce fameux article L851-2, « en matière de surveillance à bas bruit, on ne pêche pas plus large, si vous me passez l’expression ». Réponse de Francis Delon : « Parce que la loi ne le permet pas. La loi dispose expressément que l’individu considéré doit représenter une menace ». Et celui-ci, de presque regretter du coup que « cette technique commence à être mise en œuvre, mais, pour l’heure, sur un nombre assez réduit de personnes ». Désormais, par le trou de serrure de la loi sur l’état d’urgence, les services pourront taper sur un nombre bien plus vaste de personnes, même celles ne représentant aucune « menace ».

nextinpact

Un simple MMS pourrait mettre à mal iOS et OS X

Une nouvelle vulnérabilité découverte par les chercheurs de Cisco permettrait à un hacker d’accéder aux mots de passe stockés au sein d’iOS ou d’OS X.

On se souvient de la vulnérabilité StageFright affectant quelque 950 millions de smartphones Android et découverte il y a presque un an jour pour jour. Celle-ci affectait le module de lecture média intégré à Android. Un hacker était en mesure d’exécuter du code à distance et de récupérer des informations personnelles.

Il semblerait que les systèmes d’Apple soient touchés par un problème similaire. Concrètement, il est possible d’envoyer un fichier d’image au format TIFF vérolé, soit par MMS, par email ou encore placée sur une page Web. Ce fichier peut masquer un malware et exécuter du code sur l’appareil sans être détecté.

Ce sont les interfaces de programmation Apple Image I/O qui sont concernées par cette vulnérabilité. Or iMessage affiche directement les photos par défaut à la réception des MMS. Selon Cisco, les systèmes affectés sont OS X 10.11.5 et iOS 9.3.2 ainsi que toutes les versions antérieures.

iMessage ban

Crédit : iMore

La faille permettrait en outre de prendre le contrôle à distance du Mac s’il ne dispose pas de mode sandboxing. Notons toutefois qu’Apple a corrigé le problème en publiant récemment iOS 9.3.3, Mac OS 10.11.6, tvOS 9.2.2 ainsi que watchOS 2.2.2. Il est donc vivement conseillé de faire les mises à jour.

Télécharger :

clubic

Détecter les futurs terroristes sur Internet ? L’Europe veut s’inspirer d’Israël

Le coordinateur de l’anti-terrorisme pour l’Union européenne, Gilles de Kerchove, s’est rendu en Israël pour trouver des solutions technologiques qui permettraient de détecter automatiquement des profils suspects sur les réseaux sociaux, grâce à des algorithmes de plus en plus intrusifs.

Plus les attentats en Europe se multiplient, plus on découvre que les profils psychologiques et sociaux des kamikazes et de leurs associés sont très divers, jusqu’à paraître indétectables. Le cas de Mohamed Lahouaiej-Bouhlel, dont on ne sait pas toujours très bien s’il s’agit d’un déséquilibré qui se cherchait un modèle ultra-violent à imiter, ou d’un véritable djihadiste islamiste radicalisé à une vitesse inédite, laisse songeur. Bisexuel, amant d’un homme de 73 ans, mangeur de porc, aucune connexion connue avec des réseaux islamistes… l’auteur de l’attentat de Nice était connu des services de police pour des faits de violence de droit commun, mais n’avait rien de l’homme que l’on pourrait soupçonner d’organiser une tuerie motivée par des considérations idéologiques.

Or c’est un problème pour les services de renseignement à qui l’on demande désormais l’impossible, à la Minority Report, c’est-à-dire de connaître à l’avance le passage à l’acte d’un individu, pour être capable de l’appréhender avant son méfait, même lorsqu’objectivement rien ne permettait de présager l’horreur.

C’est pour ça que je suis ici. Nous savons qu’Israël a développé beaucoup de moyens dans le cyber

Néanmoins, l’Union européenne ne veut pas se résoudre à la fatalité, et va chercher en Israël les méthodes à appliquer pour détecter sur Internet les terroristes susceptibles un jour de passer à l’acte. « C’est un défi », explique ainsi à l’agence Reuters Gilles de Kerchove, le coordinateur de l’UE pour l’anti-terrorisme, en marge d’une conférence sur le renseignement à Tel Aviv. « Nous allons trouver bientôt des moyens d’être beaucoup plus automatisé » dans la détection des profils suspects sur les réseaux sociaux, explique-t-il. « C’est pour ça que je suis ici ».

« Nous savons qu’Israël a développé beaucoup de moyens dans le cyber », pour faire face aux attaques d’Israéliens par des Palestiniens, ajoute le haut fonctionnaire européen, et l’UE veut s’en inspirer.

Établir des profils sociologiques et surveiller les communications

Selon un officiel israélien interrogé par l’agence de presse, il s’agit d’établir constamment des profils types de personnes à suspecter, en s’intéressant non plus seulement aux métadonnées qui renseignent sur le contexte des communications et les habitudes d’un individu, mais bien sur le contenu-même des communications sur les réseaux sociaux.

Mis à jour quotidiennement au gré des nouveaux profils qui émergent, des paramètres comme l’âge de l’internaute, sa religion, son origine socio-économique et ses liens avec d’autres suspects, seraient aussi pris en compte par les algorithmes israéliens — ce qui semble difficilement compatible en Europe avec les textes internationaux protégeant les droits de l’homme, que l’Union européenne s’est engagée à respecter.

Des boîtes noires toujours plus intrusives ?

En somme, c’est exactement ce que nous redoutions avec les fameuses boîtes noires permises par la loi Renseignement en France, dont le Conseil constitutionnel n’a su que dire, et qui se limitent officiellement aux métadonnées. Là aussi, il s’agit d’utiliser des algorithmes, dont on ne sait pas du tout sur quoi ils se basent, pour détecter des profils suspects.

eagle-hls
Eagle Security & Defense, une société israélienne proposant des solutions de surveillance sur Internet, a reçu la visite de Christian Estrosi en début d’année.

Il n’est toutefois pas dit que la technologie israélienne soit importée telle quelle, d’autant que M. De Kerchove a lui-même rappelé que le droit européen n’autoriserait pas un tel degré d’intrusion dans la vie privée. Mais le mécanisme décrit par l’officiel d’Israël est très proche.

Il vise tout d’abord à réaliser une première détection sommaire des profils suspects, puis à déterminer parmi eux ceux qui doivent faire l’objet d’une surveillance individualisée. C’est exactement ce que prévoit la loi Renseignement, qui autorise l’installation de boîtes noires chez les FAI ou les hébergeurs et éditeurs pour détecter des comportements suspects d’anonymes, avant de permettre une identification des personnes dont il est confirmé qu’elles méritent une attention particulière.

En Israël, le ratio serait d’environ 20 000 personnes considérées suspectes pour 1 million d’internautes, sur lesquelles ressortiraient entre 10 et 15 profils nécessitant une surveillance étroite.

Christian Estrosi déjà intéressé

L’information de Reuters confirme ce qu’indiquaient Les Échos le week-end dernier dans un reportage bien informé. « L’Etat hébreu, dont la population a connu sept guerres et deux Intifada depuis sa création, est bel est bien devenu un cas d’école, dans sa façon de gérer une situation d’insécurité permanente. Une expertise dans la mire des décideurs européens », écrivait le quotidien,

Il précisait qu’en février dernier, l’ancien maire de Nice et actuel président de la région Provence-Alpes-Côte d’Azur, Christian Estrosi, s’était déjà rendu en Israël, où il aurait rencontré le PDG de la société Eagle Security and Defense, Giora Eiland, qui est aussi ex-directeur du Conseil de sécurité nationale israélien.

Lors de cette visite, Christian Estrosi aurait insisté sur la nécessité « d’être à la pointe de la lutte par le renseignement contre la cybercriminalité lorsqu’on sait que la radicalisation se fait par le biais des réseaux sociaux ». On imagine que cette conversation lui est revenue en mémoire lorsque sa ville a été meurtrie.

numerama

Windows 10 : pourquoi la CNIL met en demeure Microsoft

image dediée
 

De nombreux manquements à la loi Informatique et Libertés de 1978. Voilà le reproche qu’a adressé hier en fin de journée la CNIL à Microsoft, et son système d’exploitation Windows 10. L’éditeur a trois mois pour corriger le tir, avant une possible sanction.

Cette mise en demeure en plein cœur de l’été tombe au plus mal pour Microsoft, puisque publiée seulement 8 jours avant la fin de la migration gratuite vers Windows programmée le 29 juillet. Quels sont les reproches adressés par la Commission ? Pour le savoir, il faut se plonger, non dans le communiqué de presse, mais dans cette délibération détaillée (PDF). Ce que nous avions fait.

En avril et juin dernier, la CNIL a effectué plusieurs constatations en ligne, comme le lui autorise la loi sur la Consommation. Texte de 1978 sur les genoux, elle a donc procédé à une installation du système d’exploitation en version Home et Pro. Et elle a relevé à cette occasion plusieurs contrariétés.

Adéquation, pertinence et caractère non excessif des données

Il s’agit ici des relevés télémétriques, en fait des données de diagnostic et d’utilisation moissonnées par Microsoft selon trois niveaux choisis par l’utilisateur, « complet », « amélioré » et à défaut d’autres choix, « de base ».

Or, même pour ce niveau au vernis rassurant, la CNIL juge Microsoft bien trop gourmand. Pourquoi ? Car dans certaines éditions de Windows 10, dont les versions Entreprise et Éducation, existe un quatrième niveau nommé « Sécurité » avec un recueil beaucoup plus restreint, limité à la sécurité des appareils, dont les informations du système d’exploitation, l’ID et la classe de l’appareil, et, sur option, Windows Defender et MSRT, outil de suppression des logiciels malveillants.

Au contraire, dans le réglage de « base », Microsoft s’accorde également le droit de savoir quel logiciel a été installé sur l’ordinateur, les données de performance et de fiabilité, les données de réseau, ou encore les autres dispositifs connectés à l’appareil, outre des données « sur les capacités » de la machine, etc. Découvrant cet inventaire, la CNIL renifle une violation de l’article 6-3 de la loi de 6 janvier 1978, lequel impose une collecte des données « adéquate, pertinente et non excessive au regard des finalités ».

Manquement à l’obligation d’informer les personnes

Autre couac : « les internautes ne sont informés ni de la nature des données transférées, ni de la finalité du traitement » lors de la création d’un compte Microsoft. Cette création impose la saisie des nom, prénom et adresse email de l’utilisateur, sans que celui-ci sache à quels traitements seront mitonnées ces données sensibles, d’autant que dans sa « Déclaration de confidentialité », Microsoft s’offre la possibilité de stocker les informations aussi bien aux États-Unis que dans n’importe quel autre pays où l’éditeur a implanté des filiales.

On est donc loin des rigueurs de la loi de 1978 et ses décrets d’application qui imposent une information limpide sur les finalités des traitements, sur les différents droits ouverts sur les données personnelles, sur la nature des données transférées, sur la catégorie des destinataires ou encore niveau de protection offerts par les pays tiers.

La question de l’identifiant de publicité unique

Ce manquement se constate également au regard de l’article 32-II de la loi de 1978. Microsoft génère un identifiant de publicité qui permet ensuite à des prestataires de mieux cibler les us et coutumes de l’utilisateur, une sorte de cookie dédié pour l’environnement des applications qui a pour intérêt de dorer les fins de mois de l’entreprise commerciale. Seul hic, cet identifiant est activé par défaut lors de l’installation de Windows 10, contrairement d’ailleurs à ce qu’a affirmé l’éditeur dans un courrier adressé à la CNIL. « Par conséquent, la société ne recueille pas valablement le consentement des utilisateurs », celui-ci étant réputé d’accord par défaut sauf s’il désactive l’option dans les menus cachés du paramétrage !

Pire, lorsqu’un second utilisateur vient se créer un profil, les paramètres du premier lui sont appliqués automatiquement, propageant d’autant le mal originel. En toute évidence, la CNIL remarque aussi que quelle que soit l’option choisie, Microsoft ne précise pas correctement la finalité de l’identifiant, ni que l’utilisateur peut désactiver cette option après coup. Certes, il y a bien une page « en savoir plus » censée donner de précieux détails, mais elle est rejetée par la CNIL, car jugée peu visible et pas assez claire pour l’utilisateur.

Manquement quant au droit d’opposition

13 cookies sont par ailleurs plantés dans le terreau de l’ordinateur de l’utilisateur, toujours lors de l’installation de Windows 10, dont le cookie MUID qui identifie les navigateurs web visitant les sites Microsoft, et ce à des fins publicitaires, ou encore le cookie ANON, lui aussi utilisé en principe à ces fins promotionnelles. L’éditeur se contente alors de renvoyer l’utilisateur dans les paramètres de son navigateur favori s’il entend rejeter ces indiscrets. Un peu court, selon la CNIL, pour qui ce renvoi n’est un mécanisme valable d’opposition s’agissant de cookies techniques essentiels ou des cookies publicitaires. Une fois encore donc, Microsoft est épinglé pour un défaut d’information, sans doter les personnes concernées d’un véritable droit d’opposition.

Manquement à l’obligation d’assurer la sécurité des données

« La délégation a constaté qu’il est proposé aux utilisateurs de Windows 10 de créer un code PIN lié à leur machine et présenté lors de l’installation comme “plus sécurisé qu’un long mot de passe” ». Manque de chance, Microsoft accepte qu’un code constitué de 4 chiffres identiques puisse suffire (« 0000 »).

De plus, après 20 tentatives, l’authentification n’est pas suspendue. L’utilisateur doit seulement redémarrer la machine après avoir saisi une phrase de vérification. Un système qui « ne permet pas d’assurer la sécurité et la confidentialité des données accessibles par ce code depuis l’ordinateur de l’utilisateur », d’autant que la saisie du code PIN est un sésame qui authentifie automatiquement l’utilisateur à tous les services Microsoft (mail, Store, etc.). De plus, « cette authentification reste active même dans l’hypothèse où l’utilisateur se déconnecte du service en ligne utilisé et ferme son navigateur Edge ». La CNIL voit donc dans ce schéma une belle violation de l’article 34 de la loi de 1978. Une violation qui peut entrainer 1,5 million d’euros d’amende, en application des articles 226-17 et 226-24 du code pénal.

Un traitement anti-fraude et d’exclusion un peu trop sauvage

Dans ses CGU, Microsoft se réserve la possibilité de « bloquer une communication ou de supprimer un contenu s’ils enfreignent nos conditions générales ». Ceci permet notamment d’interdire un utilisateur qui se livre à des actes de fraudes, a précisé l’éditeur dans un courrier explicatif à la CNIL.

Ce traitement automatisé visant à exclure une personne n’a cependant pas fait l’objet d’une demande d’autorisation, contrairement aux dispositions de l’article 25 de la loi de 1978. Là encore, une infraction susceptible d’être sanctionnée de 1,5 million d’euros d’amende via le Code pénal.

La question du transfert des données hors UE

On retrouve une secousse tellurique de l’arrêt Schrems de la Cour de justice de l’Union. Microsoft transfère les données personnelles des utilisateurs de Windows 10 vers les États-Unis en s’abritant derrière le Safe Harbour. C’est ce qu’il affirme dans sa déclaration de confidentialité. Microscopique petit souci : le Safe Harbor, ou sphère de sécurité, signé entre la Commission européenne et les États-Unis a été annulé par la CJUE.

Après les révélations Snowden, et au regard des termes mêmes de cet accord, les juges européens ont considéré que ce pays d’outre-Atlantique n’offrait pas le niveau de sécurité attendu pour un tel transfert, notamment compte tenu de l’accès open-bar de la NSA. C’est donc là une violation de l’article 68 de la loi de 1978 qui interdit de tels transferts vers des zones n’offrant pas de niveau de protection suffisant de la vie privée et des libertés. En clair, Microsoft aurait dû s’interdire de tel transfert, cantonner les données uniquement sur l’un de ses centres installés en Europe, jamais s’attribuer un tel visa vers les USA.

Un signal politique fort, Microsoft a trois mois pour rectifier le tir

Microsoft a maintenant 3 mois pour se remettre d’aplomb pour corriger l’ensemble de ces problèmes. À défaut, la CNIL désignera un rapporteur qui pourra réclamer alors une des sanctions prévues par l’article 45 de la loi de 1978 , qui prévoit notamment une peine de 150 000 euros.

Rappelons que la loi sur la République Numérique, en fin de route au Parlement, a prévu à l’avenir une sanction de 3 millions d’euros, montant qui reste une goutte d’eau pour les géants américains. Interrogée, Isabelle Falque-Pierrotin, présidente de la CNIL considère malgré tout qu’il s’agit d’un « signal politique » fort, signal anticipant par ailleurs le règlement européen programmé pour le 24 mai 2018. « À partir cette date, on aura un montant de sanction de 4 % du chiffre d’affaires mondial sur certains manquements ou 2 % sur d’autres, et ça, ce sont des montants absolument considérables ! »

Rappelons enfin que la CNIL a décidé de claironner bien fort cette procédure, alors que Microsoft œuvre pour inciter les utilisateurs d’anciennes versions à migrer vers Windows 10. Le coût médiatique d’une telle estocade dépasse allégrement ce niveau de sanction puisqu’il entame la confiance pour son produit phare. Et pour bien enfoncer le clou, la CNIL a même publié un guide pour apprendre aux principaux concernés à régler les paramètres de vie privée de Windows 10, aussi bien lors de l’installation qu’a posteriori (voir sur ce sujet, notre actualité).

nextinpact

Mozilla va réduire l’utilisation de Flash dans Firefox, puis le bloquera en 2017

image dediée
 

Après Microsoft et Google, c’est au tour de Mozilla de dévoiler ses plans concernant l’abandon progressif de Flash. Les hostilités débuteront en août avec des contenus « qui ne sont pas essentiels ». En 2017, Flash sera bloqué par défaut.

Petit à petit, le web se débarrasse des contenus Flash, qui sont également poussés vers la sortie par les navigateurs. Mozilla avait été virulent l’été dernier en bloquant temporairement Flash à cause de vulnérabilités mettant en danger les utilisateurs, un problème malheureusement récurrent pour la technologie d’Abode. Depuis, les choses avancent doucement, mais sûrement.

Au mois d’avril, Microsoft annonçait que son navigateur Edge permettrait de couper Flash et de ne l’activer qu’à la demande avec l’Anniversary Update qui arrivera début août. Un mois plus tard, Google était bien plus incisif puisqu’il expliquait que Chrome bloquerait Flash par défaut (probablement durant le 4e trimestre de l’année), sauf pour 10 sites triés sur le volet. Aujourd’hui, c’est au tour de Mozilla de revenir sur le devant de la scène en annonçant une réduction de l’utilisation de Flash dans Firefox.

Firefox va commencer le ménage en août

Ainsi, à partir d’août, « Firefox va bloquer certains contenus Flash qui ne sont pas essentiels à l’expérience de l’utilisateur, tout en continuant à soutenir le patrimoine des contenus Flash ». Les objectifs sont toujours les mêmes : améliorer la sécurité, réduire la consommation des ressources, augmenter la durée de vie des batteries sur mobiles et proposer de meilleures performances générales.

Mozilla propose d’ailleurs un graphique représentant l’évolution des plantages du plugin de Firefox au cours des 18 derniers mois. Comme on peut le voir, le passage de Flash au HTML5 pour YouTube et Facebook a des effets significatifs. L’éditeur espère que le fait de bloquer des contenus Flash invisibles pour les utilisateurs permettra de baisser ce taux d’encore 10 %.

Firefox Plantage Flash

Mozilla marche néanmoins sur des œufs et ne veut pas en faire trop d’un coup : « Afin de minimiser les problèmes de compatibilité avec les sites web, les modifications sont d’abord limitées à une courte liste de contenus Flash qui peuvent être remplacés par du HTML ».

Accélérer doucement le rythme et bloquer aussi les fichiers de fingerprinting

Bien évidemment, cette liste grossira au fil du temps. Par exemple, plus tard dans l’année, Firefox devrait bloquer l’utilisation de Flash pour vérifier la visibilité d’un contenu, une pratique courante dans le monde de la publicité en ligne selon l’éditeur.

Toujours dans le monde de la publicité, Ghacks.net explique que Firefox 48 va bloquer certains systèmes de fingerprinting (une technique permettant de suivre les internautes par l’empreinte de leur navigateur, même lorsque les cookies sont supprimés). Cette version du navigateur sera livrée avec une liste de fichiers SWF identifiés par Mozilla comme étant des systèmes de fingerprinting.

Pour créer cette liste, l’éditeur a analysé les 10 000 premiers sites du top d’Alexa et il indique qu’il répétera l’opération régulièrement. Tous les détails sont disponibles dans ce dépôt GitHub.

Un blocage par défaut des contenus Flash prévu pour 2017

Il faudra par contre attendre 2017 pour que Firefox demande l’autorisation de l’utilisateur pour activer Flash, et ce, quel que soit le site. Mozilla demande donc aux sites qui utilisent Flash ou Silverlight de migrer sur autre chose « dès que possible ».

nextinpact

Ligne par ligne, le projet de loi sur l’état d’urgence

image dediée

Le projet de loi sur l’état d’urgence a été adopté par les sénateurs et dans la foulée, arbitré en commission mixte paritair . Le document est devenu au fil de ces travaux un texte anti-terroriste, où le renseignement gagne une nouvelle fois en voilure, même au delà de cette période exceptionnelle.

Plusieurs dispositions du projet de loi sur l’état d’urgence, déposé après l’attentat de Nice, ont été adoptées dans les mêmes termes par les sénateurs et les députés. Cette harmonie les blinde en conséquence, puisqu’elles n’ont pas eu à être arbitrées en commission mixte paritaire. C’est ainsi que l’état d’urgence, que François Hollande promettait d’arrêter à la fin du mois lors de son allocution de 14 juillet, sera finalement prorogé, non de 3 mois, mais de 6 mois (article 1). Il s’arrêtera donc en principe le 26 janvier 2017, à moins d’être prorogé pour la cinquième fois, histoire de couvrir la période préélectorale de mai 2017.

À l’article 1bis, il sera fait dorénavant obligation à l’autorité administrative de transmettre sans délai copie de tous les actes relatifs à l’état d’urgence (assignation, perquisition, etc.). Cela devrait théoriquement permettre au contrôle parlementaire d’aiguiser sa fonction.

Retour des perquisitions et saisies informatiques

Le projet de loi marque également le retour des perquisitions notamment informatiques, lesquelles avaient été abandonnées lors de la dernière prorogation (article 1). Cette option permise dans la loi de 1955, réformée après les attentats de novembre 2015, est surtout accompagnée de la possibilité pour les autorités de réaliser des copies de toutes les données « contenues » dans un ordinateur, une tablette, un téléphone trouvés sur les lieux visités, car fréquenté par une personne dont le comportement est jugé « menaçant » pour la sécurité et l’ordre publics (article 2). Une possibilité qu’avait épinglé le Conseil constitutionnel, désormais dotée de garanties supplémentaires.

Fermeture des lieux de réunion, dont les lieux de culte

Dans la loi de 1955, il est spécifié que « le ministre de l’intérieur, pour l’ensemble du territoire où est institué l’état d’urgence, et le préfet, dans le département, peuvent ordonner la fermeture provisoire des salles de spectacles, débits de boissons et lieux de réunion de toute nature dans les zones déterminées » par un décret. « Peuvent être également interdites, à titre général ou particulier, les réunions de nature à provoquer ou à entretenir le désordre ».

Le projet de loi ajoute après « de toute nature », dans la disposition précitée, un bout de phrase permettant de cibler expressément les « lieux de culte au sein desquels sont tenus des propos constituant une provocation à la haine ou à la violence, ou une provocation à la commission d’actes de terrorisme ou faisant l’apologie de tels actes ». De même, l’autorité administrative pourra interdire tous les cortèges, défilés et rassemblements de personnes sur la voie publique dès lors que cette autorité ne peut assurer la sécurité « compte tenu des moyens » (article 1 ter A).

Contrôle d’identité, visite des véhicules, fouilles des bagages

Le projet de loi autorise également aux zones couvertes par l’état d’urgence les contrôles d’identité, l’inspection visuelle et la fouille des bagages, et la visite de tout véhicule circulant ou arrêté sur la voie publique ou présent dans les lieux accessibles au public (article 1er ter).

Cette capacité sera reconnue sur autorisation du préfet, durant 24 heures, aux officiers et les gradés de la gendarmerie, aux gendarmes comptant au moins trois ans de service, aux fonctionnaires du corps d’encadrement et d’application de la police nationale, aux gendarmes affectés en unité opérationnelle et aux gendarmes n’ayant pas la qualité d’officier de police judiciaire, aux fonctionnaires des services actifs de la police nationale, titulaires et stagiaires, n’ayant pas la qualité d’officier de police judiciaire, aux autres fonctionnaires des services actifs de police nationale, aux volontaires servant en qualité de militaire dans la gendarmerie et aux militaires servant au titre de la réserve opérationnelle de la gendarmerie nationale, et enfin aux adjoints de sécurité peuvent être nommés au 1er échelon du grade de gardien de la paix de la police nationale… (ouf !)

cazeneuve
Crédits : Assemblée nationale

Au delà de l’état d’urgence, un texte aussi contre le terrorisme

Au passage, la loi du 20 novembre 2015, celle qui a prorogé une première fois l’état d’urgence, est rebaptisée. Elle devient loi « prorogeant l’application de la loi n° 55-385 du 3 avril 1955 relative à l’état d’urgence et portant mesures de renforcement de la lutte antiterroriste ».

Quelles sont les dispositions touchant à la lutte contre le terrorisme, qui s’appliqueront même au delà de l’état d’urgence ? Déjà, une personne condamnée pour ces faits ne pourra plus bénéficier de réduction de peine, sauf celle manifestant « des efforts sérieux de réadaptation sociale, notamment en passant avec succès un examen scolaire, universitaire ou professionnel traduisant l’acquisition de connaissances nouvelles » (article 3).

De même, une vidéosurveillance pourra être installée dans les cellules de détention. Une mesure qui inscrit dans la loi ce qu’un arrêté a prévu voilà peu à l’encontre de Salah Abdeslam, mais dont la solidité juridique ferait défaut, selon certains praticiens du droit (article 4).

La très récente loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » est également modifiée. En application de l’article L225-2 du Code de la sécurité intérieure, le ministre de l’Intérieur peut désormais imposer un contrôle administratif de toute personne ayant quitté le territoire national « et dont il existe des raisons sérieuses de penser que ce déplacement a pour but de rejoindre un théâtre d’opérations de groupements terroristes ». Normalement, ce contrôle est limité à un mois. Le projet de loi l’étend à deux mois (article 6).

Ajoutons que la Commission mixte paritaire fait sauter avec l’article 6Bis le plafond de l’interdiction de sortie de territoire, normalement limitée à deux années (article 224-1 du CSI, alinéa 5).

La détention provisoire d’un mineur est portée à deux ans voire trois ans selon qu’il s’agit de délit ou crime terroriste (article 7). Autre nouveauté, le fait de diriger ou d’organiser le groupement ou l’entente en vue d’un acte de terrorisme sera puni non de vingt ans de réclusion criminelle, mais de trente ans, outre 500 000 euros d’amende. Quand l’acte en question peut entrainer la mort d’une ou plusieurs personnes, c’est désormais la perpétuité qui menacera ses auteurs (article 8).

Des dispositions ont également entrainé de nouveaux tours de vis s’agissant des interdictions de territoire (article 9) Mais surtout, le projet de loi vient également modifier la loi Renseignement.

Renseignement : la contagion des sondes (même hors état d’urgence)

Comme expliqué hier, la possibilité de suivre à la trace et en temps réel une personne, via des sondes installées chez les opérateurs et autres intermédiaires, ne concerne pour l’instant que celui qui présente une menace, dans un cadre de lutte contre le terrorisme. Une nouveau introduite par la loi renseignement, votée l’an passé.

Profitant d’une nouvelle fenêtre parlementaire, sénateurs et députés réunis en CMP ont revu ce spectre. Ce mécanisme très intrusif visera à l’avenir non la personne identifiée comme une menace, mais celle « préalablement identifiée susceptible d’être en lien avec une menace »., vous voyez la nuance ? Les services du renseignement gagnent ainsi en latitude. Pour faire simple, ils n’auront pas à se doter de preuves, mais simplement d’indices pour justifier ce suivi. Dès qu’un individu sera « susceptible » d’être en lien avec une menace, il pourra être pisté en temps réel par les ordinateurs du renseignement.

D’ailleurs, il y a un effet de propagation puisque la mesure sera étendue à son environnement. En effet, dès lors qu’existent « des raisons sérieuses de penser qu’une ou plusieurs personnes appartenant à l’entourage de la personne concernée par l’autorisation sont susceptibles de fournir des informations », alors celles-ci pourront être surveillées de la même façon. (article 11).

On part donc d’une personne susceptible d’être en lien avec une menace pour étendre la surveillance en temps réel à son entourage, du moins si celui-ci pourrait possiblement avoir des informations sur une telle menace ! Seulement, à l’heure de Facebook, réseau qui a diminue la distance entre les indivisus, la surveillance pourra rapidement s’étendre aux amis des amis d’une personne potentiellement menaçante. Une vraie épidémie de surveillance.

Faciliter le relevées des données de connexion (même hors état d’urgence)

Une autre disposition est à relever. Elle concerne cette fois les écoutes ou interceptions de sécurité, sur l’ensemble de moyens de communication. Normalement, le feu vert du premier ministre veut également pour le recueil des données de connexion, dès lors que cette récolte vise des documents et des informations « nécessaires à l’exécution de l’interception et à son exploitation ». Le projet de loi détend généreusement ce lien. Il remplace « nécessaires » par le terme plus distant d’« associés », afin de faciliter l’exploitation de toutes les données sécrétées par une personne déterminée (article 11 ter).

Ce n’est pas tout. Dans le même code, à l’article L. 863-2, les services de la communauté du renseignement peuvent « échanger » toutes « les informations utiles à l’accomplissement de leurs missions ». Dans le projet de loi, le verbe « échanger » est remplacé par « partager », une clarification qui permettra surtout une mise en commun des éléments glanés par l’ensemble des services (article 11 ter, encore)

Un code de bonne conduite dédié à la couverture du terrorisme

D’autres dispositions sont enfin à relever. Outre celles concernant les réservistes (article 11 quater et s), certaines vont changer le visage de la police municipale. En principe, ses agents peuvent porter une arme, mais à la condition que « la nature de leurs interventions et les circonstances le justifient ». Ce passage du Code de la sécurité intérieure est supprimé par le projet de loi, ce qui permettra de plus facilement armer ces autorités rattachées au maire (article 11 bis).

Enfin, remarquons qu’une nouvelle mission a été raccrochée à la locomotive du CSA. Celui devra élaborer « un code de bonne conduite relatif à la couverture audiovisuelle d’actes terroristes ». Ce code de bonne conduite vaudra également sur des pans d’Internet, notamment sur les flux vidéos des sites d’information en ligne (article 11 sexies)

nextinpact

L’état d’urgence, tremplin au Sénat pour accentuer les pouvoirs du renseignement

image dediée

Le projet de loi prorogeant et modifiant l’état d’urgence est une excellente occasion pour les parlementaires d’asséner un nouveau tour de vis sécuritaire. Le sénateur Michel Mercier profite ainsi du moment pour étendre les pouvoirs de surveillance des services du renseignement. Par la même occasion, le projet de loi a été rebaptisé.

Le rapporteur du texte l’avait annoncé dès hier : un de ses amendements « aura pour objet de remédier aux rigidités et lourdeurs dans la mise en œuvre de la technique de recueil de renseignements, créée par la loi du 24 juillet 2015 ». Il s’agit en particulier de celle « permettant de recueillir en temps réel, sur les réseaux des opérateurs de communications électroniques, les données de connexion relatives à une personne préalablement identifiée comme présentant une menace terroriste ».

Faire sauter l’une des «  rigidités » de la loi renseignement

L’amendement en question a été ce matin déposé, on sait donc comment l’élu compte gommer les « rigidités » de la loi renseignement votée voilà tout juste un an. Il s’attaque en effet à l’article L.851-2 du Code de la sécurité intérieure qui prévoit actuellement que :

« I.-Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, peut être individuellement autorisé le recueil en temps réel, sur les réseaux des opérateurs et des personnes mentionnés à l’article L. 851-1, des informations ou documents mentionnés au même article L. 851-1 relatifs à une personne préalablement identifiée comme présentant une menace.
II.-Par dérogation à l’article L. 821-4, l’autorisation est délivrée pour une durée de deux mois, renouvelable dans les mêmes conditions de durée.
III.-L’article L. 821-5 n’est pas applicable à une autorisation délivrée en application du présent article. »

Décodons. Cet article permet à la communauté du renseignement d’aspirer en temps réel, et directement, l’ensemble des données de connexion d’une personne identifiée comme présentant « une menace », et ce dans le cadre de la prévention du terrorisme (I). Pour cette surveillance, il faut impérativement une autorisation, avec avis préalable de la commission nationale des techniques du renseignement (III). Elle est enfin limitée à deux mois, renouvelables (II).

Les sondes étendues aux personnes susceptibles d’être une menace

Michel Mercier préfèrerait une autre formulation. Voilà le cœur de son amendement, avec les passages modifiés, en gras :

« I.- Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, peut être individuellement autorisé le recueil en temps réel, sur les réseaux des opérateurs et des personnes mentionnés à l’article L. 851-1, des informations ou documents mentionnés au même article L. 851-1 relatifs à une personne préalablement identifiée susceptible d’être en lien avec une menace. Lorsqu’il existe des raisons sérieuses de penser qu’une ou plusieurs personnes appartenant à l’entourage de la personne concernée par l’autorisation sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation, celle-ci peut être également accordée pour cette ou ces personnes.
II. – L’article L. 821-5 n’est pas applicable à une autorisation délivrée en application du présent article. »

Le texte reprend donc la logique actuelle des sondes implantées chez les intermédiaires techniques en l’étendant aux « personnes identifiées susceptibles d’être en lien avec une menace », non plus celles effectivement qualifiées comme telle. De plus, le sénateur veut étendre cette surveillance à l’entourage de la personne cible, du moins s’il existe « des raisons sérieuses de penser » qu’elles « sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation ».

Enfin, l’amendement fait sauter la contrainte des deux mois. Dans cette nouvelle version, l’autorisation délivrée par le Premier ministre pourra l’être pour une durée maximale de quatre mois, là encore renouvelables.

Puisque le texte s’éloigne du simple état d’urgence, un autre amendement a été adopté en Commission des lois afin de le renommer en projet de loi prorogeant l’application de l’état d’urgence « et portant mesures de renforcement de la lutte antiterroriste ». Il sera débattu dès 17h au Sénat.

nextinpact

État d’urgence : comment se déroulera l’exploitation des données informatiques

image dediée

Le gouvernement a déposé aujourd’hui le projet de loi sur l’état d’urgence. Le texte sera débattu en séance dès 21h à l’Assemblée nationale. On sait désormais quel est le nouveau régime de l’exploitation des données informatiques saisies lors des perquisitions.

Sans surprise, le projet de loi (PDF) veut proroger de trois nouveaux mois l’état d’urgence qui fut initialement déclaré juste après les attentats du 13 novembre à Paris et Saint-Denis. Par ailleurs, le gouvernement réactive également une option abandonnée en mai dernier, la possibilité pour les autorités administratives de réaliser des perquisitions.

La loi ne se contente pas de rempiler pour trois mois. Elle modifie aussi le régime de l’état d’urgence, avec une attention toute particulière pour les nouvelles technologies.

Mais avant cela, notons qu’une perquisition administrative décidée dans ce cadre devra impérativement donner lieu à un compte rendu, lequel sera transmis sans délai au procureur de la République. Une précision qui ne mange pas de pain. Autre nouveauté, une perquisition décidée en un lieu pourra être étendue sans attendre en un « autre lieu », réalisée alors « par tout moyen ». Cette perquisition étendue ne sera plus conditionnée par un arrêté préalable – la régularisation interviendra après – mais seulement par la vérification d’un lieu fréquenté par une personne dont le comportement constitue une menace pour la sécurité et l’ordre publics.

La perquisition dans le cloud est toujours possible

Nous le disions, c’est surtout sur la partie informatique que le gouvernement accentue son œuvre sécuritaire. Afin de répondre à la censure du Conseil constitutionnel, qui avait épinglé une cruelle absence d’encadrement, l’exécutif réintroduit la possibilité pour l’autorité administrative de réaliser des copies ou des saisies de données informatiques, non sans aménagements.

Déjà, le projet de loi laisse intacte l’alinéa 3 de l’article 11 de la loi de 1955, celui qui permet de réaliser un accès dans le cloud. Dans la loi de 1955, modifiée en 2015, comme dans le texte en cours, sera autorisé l’accès « à des données stockées dans ledit système ou équipement ou dans un autre système informatique ou équipement terminal, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial ». Il y a ainsi une logique de capillarité : les données stockées ou celles également accessibles seront exploitables.

La question du sort des supports saisis ou des données copiées

Le projet de loi déposé aujourd’hui concentre cependant son attention sur « les données contenues dans tout système informatique ou équipement terminal présent sur les lieux de la perquisition ». Celles-ci pourront être saisies ou copiées sachant qu’une donnée accédée dans le cloud, depuis un terminal deviendra techniquement « contenue » dans celui-ci dès qu’elle sera affichée à l’écran.

Comme en l’état de la loi de 1955, la copie des données est conduite en présence d’un officier de police judiciaire, qui devra rédiger un procès-verbal (et plus un « compte rendu ») adressé au procureur. Ce PV indiquera les motifs et dressera l’inventaire des matériels saisis (non celui des données copiées).

Données et supports saisis sont placés sous la responsabilité du chef de service ayant procédé à la perquisition. Nul ne pourra y avoir accès, sans autorisation d’un juge. Pour l’exploitation de ces informations par l’administration, c’est en effet un juge qui devra accorder son feu vert dans les 48 heures après sa saisie.

Le texte exclut de toute autorisation possible « les éléments dépourvus de tout lien avec la menace que constitue le comportement de la personne concernée pour la sécurité et l’ordre publics ». Ceux là devront donc être écartés. Les données copiées devront donc être détruites, celles saisies sur support restituées à leur propriétaire. Le texte laisse entendre que cette restitution devra avoir lieu dans les 15 jours.

Ou bien le juge refuse d’autoriser l’exploitation. Et là encore, les données copiées sont détruites et les supports saisis restitués à leur propriétaire dans les 15 jours après la saisine ou la décision du juge. Fait notable, ces 15 jours débuteront à partir de la décision du juge ou de la saisie initiale, ce qui pourra déporter le terme des deux semaines.

Ou bien le juge donne son feu vert dans les 48 heures, les données et supports sont toujours conservés par le même responsable. Il doit alors faire des copies et restituer les supports (PC, tablette, clef, téléphone, etc.) toujours au bout de 15 jours. Les copies réalisées sur l’intervalle devront elles, être supprimées au bout de trois mois à compter de la perquisition ou de la décision du juge.

Les copies caractérisant la menace à la sécurité et l’ordre publics seront conservées sans limites de temps. Bien entendu, elles pourront nourrir les services du Renseignement, ceux-ci ayant déjà dit ouvertement tout l’intérêt qu’elles trouvent à butiner cette source d’informations.

Les délais précédents seront prorogés dans les mêmes termes sur décision du juge lorsque les autorités éprouvent des difficultés d’accès aux données. On imagine ici la question du chiffrement, même si le texte est bien plus large. Enfin, « si l’exploitation ou l’examen des données et des supports saisis conduisent à la constatation d’une infraction » alors ces éléments emprunteront la voie pénale.

Le rappel du Conseil d’État

Dans son avis, le Conseil d’État a considéré que le gouvernement a bien prévu l’ensemble des « garanties  légales propres à assurer une conciliation équilibrée entre l’objectif de valeur constitutionnelle de sauvegarde de l’ordre public et le droit au respect de la vie privée ». Autant de critères exigés par le Conseil constitutionnel.

La haute juridiction prévient tout de même que « toutefois, même dans les circonstances résultant de l’attentat commis à Nice (…) les renouvellements de l’état d’urgence ne sauraient se succéder indéfiniment et que l’état d’urgence doit demeurer temporaire. Les menaces durables ou permanentes doivent être traitées, dans le cadre de l’État de droit, par des moyens permanents renforcés par les dispositions résultant des lois récemment promulguées ».

nextinpact