Le Monde - 01.06.09. Dans un chat au Monde.fr, lundi, Guillaume Lovet, expert en cybercriminalité, estime "regrettable, et très probablement contre-productif, l'effet de diabolisation de l'Internet produit par la succession des lois Dadvsi, Hadopi et Loppsi".

Remi_1 : bonjour, que pensez vous de cette loi concernant le respect des libertés individuelles et le "flicage" informatique via des programmes espions ?

Guillaume Lovet : Pour ce qui concerne la mise en place de logiciels espions sur les machines de suspects, comme le précise l'article 23 du chapitre 5 du projet de loi, il faut savoir que par rapport à des écoutes classiques – à base de micros ou de caméras –, il y a quelques petites différences. Notamment, on peut penser que le degré d'intrusion dans la vie privée est supérieur. Mais surtout, l'effet d'échelle est différent : mettre en place des micros et des caméras chez tout le monde, c'est impossible à cause du coût et du temps que cela prendrait. Par contre, un "cheval de Troie", qui est quelque chose de logiciel, on peut le répliquer à l'infini. Et l'installer relativement facilement à grande échelle. Il y a donc un risque de glissement vers une surveillance globale plus importante que pour les écoutes traditionnelles.

cth: pensez-vous que le mouchard électronique pourra être détourné par des pirates, comme cela a été le cas avec le dispositif équivalent du FBI appelé "carnivore" ? Ou que les données captées soient rendues par inadvertance accessibles par des tiers ?

Guillaume Lovet : Cela soulève un point important dont je pense qu'on n'a pas assez débattu, voire pas du tout, c'est que ce logiciel espion, qui doit être un cheval de Troie comprenant notamment un keylogger [programme de capture de saisie clavier], présente des caractéristiques rigoureusement identiques aux logiciels utilisés par les pirates et les cybercriminels. En conséquence, les logiciels antivirus sont très précisément faits pour les détecter. Et là, c'est à nouveau un point de différence avec l'écoute traditionnelle, puisque si personne n'a chez soi des détecteurs de micro HF, par exemple, quasiment tout le monde possède un antivirus. Les probabilités que l'antivirus du suspect détecte le cheval de Troie sont donc non négligeables. A partir de là, que fait-on ? Doit-on accepter le risque que le suspect en retourne l'usage contre les enquêteurs ? Doit-on demander aux éditeurs d'antivirus de mettre le cheval de Troie sur liste blanche (ne pas le détecter sciemment) ?

CHAMPLOIX : N'ayant pu me procurer le texte de ce projet, pouvez-vous nous indiquer un lien nous permettant de le découvrir ? En l'état, vos propos semblent indiquer qu'il ne s'agit même pas de procédés destinés à n'être utilisés que sur commission rogatoire d'un juge d'instruction. Quel est le cadre juridique dans lequel ces procédés sont destinés à être utilisés ?

Guillaume Lovet : L'article 1.3 du chapitre 5 indique bien qu'il faut une commission rogatoire d'un juge d'instruction : "L'usage de ce procédé d'enquête sera réservé à la lutte contre la criminalité la plus grave, dont le terrorisme, sous le contrôle du juge d'instruction chargé d'autoriser la captation par une décision motivée prise après réquisition du Procureur de la République."

[Moderateur : voici le lien du projet de loi sur le site de nos confrères de PCInpact.]

Alix D. : La cyberperquisition permettrait aux agents de la police judiciaire d'utiliser un logiciel espion afin de contrôler un ordinateur à distance. Or, les cyberpirates utilisent le même type de logiciels pour arriver à leurs fins (qu'elles soient financières, politiques ou autres). Utiliser les même moyens que les criminels est-il éthiquement correct ? En clair, la fin justifie-t-elle les moyens ?

Guillaume Lovet : C'est une question qui va un peu au-delà de la spécificité du mouchard informatique. Pour ma part, je pense que dans des cas aussi graves que le terrorisme, il est bon que les enquêteurs puissent lutter à armes égales avec les criminels. Pour autant, il faut rester vigilant et tâcher de veiller à ce qu'une dérive vers une surveillance globale ne se produise pas.

Alix D. : Bonjour, La Loppsi 2 permettrait aux officiers de police judiciaire, "la captation de données informatiques à distance", en clair de réaliser une cyberperquisition. Cette proposition pour lutter contre la cybercriminalité pose une question de type géopolitique, celle de la souveraineté numérique. Les compétences des agents de police et gendarmerie sont cantonnées au territoire français, or la majorité de la cybercriminalité vient de l'étranger (Russie, Chine, Etats-Unis, Afrique de l'Ouest, ...). Que faire alors contre cette cybercriminalité ? Comment réaliser une cyberperquisition sur un ordinateur à l'étranger, sans risquer un incident diplomatique ? Cette proposition ne ferait-elle pas que lutter contre l'arbre qui cache la forêt ?

Guillaume Lovet : A mon sens, les mouchards informatiques décrits à l'article 3 du chapitre 5 n'ont pas vocation à lutter contre la cybercriminalité en particulier, mais plutôt contre la criminalité traditionnelle (par exemple le terrorisme) qui, comme tout le monde, utilise Internet pour communiquer. Il est vrai que le projet de loi vise donc les terroristes et criminels sur le sol français. J'imagine qu'intervenir à l'étranger doit dans certains cas être possible sous commission rogatoire internationale.

houartna : Bonjour, certains articles contenus dans la loi Loppsi sont déjà appliqués dans d'autres pays, notamment européens. Quels sont les éléments les plus polémiques et les plus à cheval sur l'éthique déjà en vigueur ailleurs ?

G. Lovet : Au niveau de l'article 4 du chapitre 2, qui concerne le filtrage des sites pédopornographiques, déjà mis en place par un certain nombre de pays, les dérives antidémocratiques furent nombreuses. Par exemple, en décembre 2008, le site de défense de liberté de la presse et de l'information Wikileaks  (wikileaks.org) publie la liste secrète des sites censurés par le ministère de l'information et des technologies de la communication de Thaïlande. Alors que le système, à l'origine, fut installé pour lutter contre la pédopornographie, les mille deux cent trois sites de la liste sont tous étiquetés dans la catégorie "lèse-majesté", c'est-à-dire critiquant la famille royale. Si la Thaïlande est un régime trop différent pour que l'analogie avec la France soit pertinente, prenons par exemple l'Australie. En mars 2009, la liste secrète des sites censurés par l'autorité australienne des communications et des médias fuite à son tour. Une bonne moitié n'ont rien à voir avec la pédopornographie, on y trouve des sites pornographiques traditionnels, mais aussi, curieusement, des sites de poker, des vidéos Youtube, des pages Wikipédia, des sites gays, des sites sur l'euthanasie, des sites satanistes, des sites anti-avortement et, pour finir, le site d'un cabinet dentaire de la province du Queensland. Donc un cocktail de thèmes que certains censeurs ont pu juger moralement discutables et d'erreurs grossières. Que dire enfin de la Finlande, dont la liste secrète comprend carrément le site des opposants à la loi en question ?