États-Unis : selon un juge, le FBI n’a pas besoin de mandat pour pirater un ordinateur

États-Unis : selon un juge, le FBI n’a pas besoin de mandat pour pirater un ordinateur

L'EFF prédit de sombres conséquences

23

États-Unis : selon un juge, le FBI n’a pas besoin de mandat pour pirater un ordinateur

Un juge américain a déclaré dans une affaire de pédophilie que le FBI n’avait pas besoin de mandat pour obtenir des adresses IP. Mais il est allé encore plus loin en déclarant que le Bureau n’en nécessitait pas non plus pour fouiller un ordinateur à distance. Explications.

L’affaire Playpen a déjà donné lieu à plusieurs haussements de sourcils. Initialement, il s’agit pour le FBI de démanteler un réseau d’échanges de contenus pédopornographiques. On se rappelle que le FBI avait réussi son opération au début de l’année, en appréhendant un suspect et en se servant de sa machine pour piéger d’autres participants.

Les détails de l’affaire avaient notamment provoqué une réaction chez Mozilla. Il semble en effet que le FBI se soit servi d’une faille dans Tor Browser, mais sans que cela ait pu être confirmé. Mozilla, partant du principe que la faille pouvait le concerner, avait demandé au FBI de bien vouloir en révéler les détails (Tor Browser est basé sur Firefox). Mais non seulement le FBI n’a pas confirmé qu’il y avait eu une faille, mais il n’a donné que très peu d'informations supplémentaires sur la méthode utilisée. Même en cas de faille, aucune contrainte juridique n’aurait pu le forcer à en donner des précisions.

« Aucune violation du quatrième amendement »

Le procès suit donc son cours. La défense de l’un des accusés, Edward Matish, a cependant réclamé à voir le malware utilisé par le FBI. Le raisonnement était simple : les informations collectées par l’agence ne pouvaient l’être qu’avec un logiciel dont c’était la mission. Parmi les données récupérées, on trouvait essentiellement des adresses IP ainsi que des identifiants.

Le débat autour des adresses IP n’est pas nouveau : s’agit-il d’une information privée ou publique ? Le juge Henry Coke Morgan a tranché : « Le tribunal estime qu’aucune violation du quatrième amendement n’est survenue puisque le gouvernement n’a pas besoin de mandat pour capturer l’adresse IP de l’accusé ». Rappelons que cet amendement de la Constitution américaine garantit à tout citoyen de ne pas subir de perquisitions ou saisie non motivée. Il oblige les forces de l’ordre à demander un mandat pour ce type d’opération.

Adresses IP et identifiants ? Des données publiques

Dans le cas de l’adresse IP, le fait de la considérer comme une donnée publique casse donc cette exigence. La base de la réflexion du juge est la suivante : personne ne peut s’attendre à ce qu’une adresse IP soit privée dans la mesure où tout internaute l’expose volontairement à un grand nombre de tierces parties dès lors qu’il souhaite naviguer. Même dans le cas de Tor – qui était utilisé pour rappel par les membres du réseau Playpen – la machine qui se connecte expose là aussi son adresse IP au premier nœud de connexion.

Mais qu’en est-il dans ce cas des identifiants de connexion (pas les mots de passe) récupérés par le FBI ? Pour le juge, l’accusé ne pouvait pas s’attendre « raisonnablement » à ce que sa vie privée soit réellement protégée dans son ordinateur. En fait, les données obtenues via la NIT (network investigative technique) se limitaient aux adresses IP et identifiants. Il n’y avait pas de données de type « contenu », ce qui fait toute la différence pour le magistrat.

Une dangereuse généralisation

Le juge Morgan a donc estimé que les adresses IP et identifiants n’avaient pas besoin de mandat pour être récupérés. Cependant, il est également allé beaucoup plus loin en déclarant : « Il ne me semble pas raisonnable de penser qu’un ordinateur connecté au web soit immunisé contre une intrusion. Bien entendu, le contraire est également vrai : dans le monde numérique d’aujourd’hui, il apparaît comme virtuellement certain que les ordinateurs accédant à Internet peuvent être – et sans doute seront – piratés ».

Cette décision, basée sur une généralisation, a fait réagir plusieurs associations de défense des libertés civiles et de la vie privée. L’EFF notamment est montée au créneau pour pointer le danger inhérent d’une telle démarche : si un accusé ne peut avoir « d’attente raisonnable de respect de sa vie privée », comment le quatrième amendement pourrait-il remplir son rôle sur les ordinateurs ?

L’association rappelle également les risques multiples qu’a fait peser le FBI avec les démarches successives de son opération contre Playpen. Le fait d’avoir saisi le serveur initial pour le maintenir sous couvert d’un service « authentique », de l’avoir piégé avec un malware pour que des milliers de participants soient contaminés, la récupération d’informations identifiantes comme l’adresse MAC, etc.

Pour l'EFF, les tribunaux sont dépassés

Cependant, l’EFF ne critique pas tant les méthodes que les décisions des tribunaux, qui selon elle ont bien du mal à traiter cette affaire avec « les règles traditionnelles de la procédure criminelle ». L’association estime donc non seulement que cette décision est « une mauvaise nouvelle pour la vie privée », mais également dangereuse pour la suite si elle est « maintenue » : « les forces de l’ordre seraient libres de chercher à distance et de saisir des informations dans votre ordinateur sans mandant, sans cause probable, ou même sans la moindre suspicion ».

Pour l’EFF, cette décision n’est qu’un nouvel épisode dans une suite de procès où les tribunaux, face à des technologies complexes et des accusés « antipathiques », prennent des décisions dont ils ne mesurent pas toute l’étendue.

Commentaires (23)


Bien évidemment… Les pédophiles, les terroristes, les pirates, les criminels qui contrefont la propriété intellectuelle d’autrui ainsi que les opposants politiques violents qui vont contre le vote démocratique de la majorité des honnêtes gens, ne devraient pas avoir le droit de se cacher derrière un bout de papier dépassé, rédigé par des franc-maçons du moyen âge…


Euh le plus drole c’est le corollaire en fait : si le 4eme amendement n’est pas violé lors d’une intrusion informatique, alors à mon avis le délit de piratage informatique n’existe plus.



Après tout on ne peut condamner un citoyen si le FBI n’a pas besoin d’autorisation pour faire la meme chose.


le juge Henry “coke” Morgan … on devine à quoi il carbure <img data-src=" />








picatrix a écrit :



le juge Henry “coke” Morgan … on devine à quoi il carbure <img data-src=" />





Au pepsi



Donc techniquement, le FBI peut faire du hack de masse légalement…

Alors que ça fait quelques jours que l’OTAN a annoncé qu’une cyber attaque d’un pays (au hasard la Russie, vu comme l’otan passe son temps à faire des exercices à la frontière russe) était un casus beli.



Quelle élasticité décidément!!!


Je propose donc qu’on hacke son téléphone et son PC. Vu que ca ne viole pas le 4eme amendement, il n’y verra pas de pb <img data-src=" />


J’espère de tout coeur que ce juge sera victime d’un ransomware.


Donc une maison c’est pas privée car on peut casser la serrure et donc y entrer… Apres on peut pas voler mais au moins on peut filmer se promener toucher…


Décidément j’adores les Américains, mais seulement sous formes préparée aux petites herbes…<img data-src=" />








Drepanocytose a écrit :



Bien évidemment… Les pédophiles, les terroristes, les pirates, les criminels qui contrefont la propriété intellectuelle d’autrui ainsi que les opposants politiques violents qui vont contre le vote démocratique de la majorité des honnêtes gens, ne devraient pas avoir le droit de se cacher derrière un bout de papier dépassé, rédigé par des franc-maçons du moyen âge…





C’était la renaissance pas le moyen age <img data-src=" />





Drepanocytose a écrit :



Au pepsi





Coca Cola <img data-src=" /> (c’est le surnon de l marque là-bas)





Patch a écrit :



Je propose donc qu’on hacke son téléphone et son PC. Vu que ca ne viole pas le 4eme amendement, il n’y verra pas de pb <img data-src=" />





Lui non, son assistante oui, en voyant sa femme débarquer avec un fusil à pompe à son bureau xD





ThomasBrz a écrit :



Donc une maison c’est pas privée car on peut casser la serrure et donc y entrer… Apres on peut pas voler mais au moins on peut filmer se promener toucher…





C’est pas tout à fait ça, mais l’idée est là.

Tu peux entrer par effraction après avoir crocheter la serrure, méthode “Louis XVI” et faire ce que tu veux dans la maison (poser des caméras dans la douche/la salle de bain/les chambres/les toilettes/ …).

Oui, je fais bien la différence entre la pièce sdb/sde et la douche/baignoire vu que la vue n’est pa sla même <img data-src=" />

Si tu casse une vitre, ça se voit, le FBI ne s’est pas fait pincé là ;)









cid_Dileezer_geek a écrit :



Décidément j’adores les Américains, mais seulement sous formes préparée aux petites herbes…<img data-src=" />





ah tiens, un belge.



Celui ou celle qui a gardé précieusement un mandat dans ses tiroirs va bientôt pouvoir l’encadrer comme pièce de collection <img data-src=" />


La plupart des gens distinguent ce qu’ils autorisent à la police et ce qu’ils autorisent à leur voisinage.



Le pb étant qui contrôle la police et quel est son mandat réel plus que le fait qu’ils aient des droits d’exception.


c’est aussi ce que je pense.

soit l’intrusion est punie par la loi et à ce moment là il faut un texte légitimant l’intrusion du FBI, soit ce n’est pas illégal et à ce moment là n’importe qui peut opérer une intrusion, y compris le FBI.



mais de mon point de vue on ne peut légitimer le hack du FBI parce que

“tout ordinateur est susceptible d’être hacké”.


en fait mon comm portait plus sur la manière dont le juge justifie le non besoin de mandat.



Oui la police peut avoir des droits différents des citoyens, mais si la justification c’est dire “faire ca n’est pas un délit (eg une atteinte à la vie privé) donc pas besoin d’autorisation”, comme le “ca” n’est pas un délit, n’importe qui peut le faire sans être poursuivit. Que ce soit la police ou un citoyen lambda.





Je fais peut être un raccourci mais j’en suis pas si sur.


Autant l’IP ça ne me choque pas (quelque part, c’est comme si la police récupère l’adresse de la maison d’un malfrat, pas besoin de mandat pour ça, c’est seulement s’ils veulent fouiller dedans qu’ils en ont besoin).

Même les ids de connexion, je veux bien, si on considère que la personne qui se connecte les envoie vers le serveur et qu’on ne vient pas les chercher chez lui. Sous réserve évidemment qu’il y ait eu mandat pour prendre possession du-dit serveur bien entendu, sinon c’est vis-à-vis du propriétaire du serveur qu’on est en faute.



Par contre, je ne comprends pas bien cet élargissement. L’article me semble même se contredire lui-même :







l’article a écrit :



Pour le juge, l’accusé ne pouvait pas s’attendre « raisonnablement » à ce que sa vie privée soit réellement protégée dans son ordinateur. (…) Il n’y avait pas de données de type « contenu », ce qui fait toute la différence pour le magistrat.





La première phrase laisse entendre que le juge considère que tout est permis, la seconde que seul des données d’identification peuvent être récoltées.

Dans le premier cas, c’est n’importe quoi, surtout qu’il semble justifier la légalité de la chose par le fait que ce soit techniquement possible (il est techniquement possible de foutre des claques à ce juge, pour autant je ne suis pas certain qu’il le jugera du coup légal <img data-src=" />) Je me demande ce qui selon lui empêche d’appliquer ce raisonnement aux perquisitions physiques.

Dans la seconde hypothèse, c’est déjà nettement moins déconnant, et il serait intéressant de savoir jusqu’où vont ces données qui ne sont pas ‘de contenu’, et s’il y a d’autres limites à ce droit. Selon la réponse à ces questions, ça peut aussi être assez inquiétant, mais l’article n’en dit pas assez.







odoc a écrit :



Oui la police peut avoir des droits différents des citoyens, mais si la justification c’est dire “faire ca n’est pas un délit (eg une atteinte à la vie privé) donc pas besoin d’autorisation”, comme le “ca” n’est pas un délit, n’importe qui peut le faire sans être poursuivit. Que ce soit la police ou un citoyen lambda.





Je ne pense pas que ce soit ça le raisonnement du juge. Tel que je le comprends, il ne dit pas ‘ce n’est pas un délit’, il dit ‘ça rentre dans les attributions classiques de la police’. Du coup, il n’y a rien d’incompatible à ce que reste un délit pour le citoyen lambda.









picatrix a écrit :



le juge Henry “coke” Morgan … on devine à quoi il carbure <img data-src=" />







Perso je pensais qu’il s’appelait Dredd <img data-src=" />

Et là, cette décision aurait été tellement logique que personne n’aurait pu argumenter <img data-src=" />







odoc a écrit :



Euh le plus drole c’est le corollaire en fait : si le 4eme amendement n’est pas violé lors d’une intrusion informatique, alors à mon avis le délit de piratage informatique n’existe plus.



Après tout on ne peut condamner un citoyen si le FBI n’a pas besoin d’autorisation pour faire la meme chose.







Si cela fait jurisprudence, sinon tu l’as dans l’os.







Dredd a écrit :



« Il ne me semble pas raisonnable de penser qu’un ordinateur connecté au web soit immunisé contre une intrusion. Bien entendu, le contraire est également vrai : dans le monde numérique d’aujourd’hui, il apparaît comme virtuellement certain que les ordinateurs accédant à Internet peuvent être – et sans doute seront – piratés ».







Même si c’est fondamentalement une règle de sécurité (considérer qu’une machine connectée peut subir des attaques et se faire trouer), ca n’en fait pas un futur inévitable pour autant.



&nbsp;&nbsp; “L’hallucinant juge Morgan”&nbsp; …. voilà un titre bien craquant pour de l’inédit à Hollywood :&nbsp; après le pirate anglais qui a attaqué deux fois Panama ( au XVII° siècle ),&nbsp;voilà&nbsp;le juge au XXI° qui fait du FBI un hacker légal !… Et qui donc de fait, supprime le délit&nbsp; ( l’égalité devant la Loi !…).&nbsp; Bref, ce jugement ne va pas faire long feu et la Cour Suprême devra intervenir !..&nbsp; Simple péripétie de la Guerre de l’Informatique !…





&nbsp;&nbsp;


Bon.

Il est donc normal que quelqu’un puisse insérer du code dans un ordinateur.

Donc ce code peut être malicieux et charger lui même du contenu interdit.

Donc la responsabilité du propriétaire d’un ordinateur ne peut en aucun cas être retenue pour du contenu se trouvant sur cet ordinateur.



&nbsp;C’est exactement comme si on autorisait les gendarmes à mettre de la cocaine dans les poches des suspects !

&nbsp;








ThomasBrz a écrit :



Donc une maison c’est pas privée car on peut casser la serrure et donc y entrer… Apres on peut pas voler mais au moins on peut filmer se promener toucher…







C’est exactement le parallèle qu’ont fait les journalistes et les spécialistes de la sécurité informatique qui suivent un peu le dossier aux États-Unis. Leur première réaction a été “What the actual fuck??” et ensuite, pareil que toi.







Zerdligham a écrit :



Autant l’IP ça ne me choque pas (quelque part, c’est comme si la police récupère l’adresse de la maison d’un malfrat, pas besoin de mandat pour ça, c’est seulement s’ils veulent fouiller dedans qu’ils en ont besoin).

Même les ids de connexion, je veux bien, si on considère que la personne qui se connecte les envoie vers le serveur et qu’on ne vient pas les chercher chez lui. Sous réserve évidemment qu’il y ait eu mandat pour prendre possession du-dit serveur bien entendu, sinon c’est vis-à-vis du propriétaire du serveur qu’on est en faute.









En fait, la notion d’IP comme donnée “pas privée” est débattue aux US. D’un côté, oui, c’est “pas privé” puisque tu la publies sur internet à chaque fois que tu communiques avec un autre ordi. C’est pas un truc que tu gardes en interne. De l’autre côté, le piratage avait lieu justement parce que l’IP était cachée via Tor, dont le but est justement de rendre privée l’IP.



Le problème c’est que le malware du FBI allait plus loin que : il récupérait, directement sur l’ordinateur de la victime, des données qui pour le coup ne sont PAS transmises normalement par internet, telles que l’adresse mac de la carte réseau, le login windows de l’utilisateur, le nom de sa machine etc. C’est une donnée que le malware a été chercher directement sur l’ordi de la victime et qu’il a exfiltré vers un serveur du FBI. De l’avis de tous les juges sauf celui-là, c’est bel et bien une “fouille” du PC de l’accusé, qui nécessite un mandat. C’est le premier juge à affirmer le contraire.



Or le raisonnement du juge est ridicule. Il dit en gros “bah ouais mais non c’est pas une donnée privée parce que de nos jours, c’est impossible de garder le contenu de son PC confidentiel, tout le monde risque de se faire hacker”. Ça revient à dire “bah ouais mais non, vos documents chez vous c’est pas privé parce que de nos jours, c’est impossible de pas se faire cambrioler, tout le monde risque de se faire crocheter sa serrure ou casser sa fenêtre”.



Pour ceux que ça intéresse, il y a un documentaire très intéressant sur Edward Snowden dans lequel un ancien de la NSA raconte comment les Etats-Unis ont fait pression sur lui quand il a commencé à dire que ça allait trop loin.



“Politiquement, les États-Unis sont une république constitutionnelle fédérale.”



République ? J’ai entendu république ? Naaaaaaan








Liam a écrit :



En fait, la notion d’IP comme donnée “pas privée” est débattue aux US. D’un côté, oui, c’est “pas privé” puisque tu la publies sur internet à chaque fois que tu communiques avec un autre ordi. C’est pas un truc que tu gardes en interne. De l’autre côté, le piratage avait lieu justement parce que l’IP était cachée via Tor, dont le but est justement de rendre privée l’IP.





A la limite la désobfuscation de l’IP ne me semble pas abusée non plus.

Pour poursuivre le parallèle avec une adresse physique, c’est un peu comme si on mettait un traceur dans un colis plein de photos pédo que le site était supposé envoyer par la poste à une boite anonyme, et qu’on attendait de voir où le paquet est ouvert pour en déduire l’adresse (et le nom) du destinataire. Certes, on introduit quelque chose chez le suspect, mais on est encore loin d’une perquisition.

Après effectivement, si ça se fait techniquement via l’injection d’un malware, il est très tentant pour le FBI d’aller au delà de la simple récupération de l’adresse, d’où toutes ces questions. L’avantage du traceur dans le monde physique est qu’il ne permet pas les mêmes abus.



Mais au final, ce que je trouve vraiment inquiétant dans tout ça, ce n’est même pas l’intrusion elle-même, mais le fait que les polices tiennent à ce point-là à faire les choses sans avis du juge. Parce qu’au fond, ce qui est discuté ici ce n’est même pas le bien-fondé de l’acte, mais le fait de l’avoir fait sans mandat (vu le contexte, il me semble crédible qu’un juge leur aurait donné leur mandat s’ils l’avaient demandé).

Et là-dessus, je ne suis pas certain qu’on soit meilleurs en France…









Zerdligham a écrit :



A la limite la désobfuscation de l’IP ne me semble pas abusée non plus.

Pour poursuivre le parallèle avec une adresse physique, c’est un peu comme si on mettait un traceur dans un colis plein de photos pédo que le site était supposé envoyer par la poste à une boite anonyme, et qu’on attendait de voir où le paquet est ouvert pour en déduire l’adresse (et le nom) du destinataire. Certes, on introduit quelque chose chez le suspect, mais on est encore loin d’une perquisition.







En fait, même une action comme celle-là, ça nécessite un mandat aux États-Unis, et je pense une autorisation du juge en France. Ce parallèle que tu fais a été effectué par le FBI (enfin eux, ils faisaient le parallèle avec une balise foutue sous une voiture). Car en fait ce qui est discuté c’est pas que le FBI ait fait ça sans mandat : ils avaient un mandat. C’est une question de juridiction. En effet, le droit américain dispose que vu le juge qui a décerné le mandat, celui-ci n’était valide que dans le district de juridiction du juge.



La question est donc : peuvent-ils faire des “fouilles” dans tout le pays, avec un mandat valide seulement dans un district ?



Et le FBI a dit un peu comme toi “non mais c’est pas vraiment une fouille, c’est plutôt comme un traceur placé sous une voiture, et un traceur, du moment qu’il est placé dans la voiture quand elle est dans le bon district, après c’est valable où qu’elle se déplace”.



Mais l’analogie ne tient pas. En effet, le traceur est censé être placé sur la voiture quand elle se trouve physiquement dans le district où le mandat est valide. Or, là, la plupart des suspects n’ont jamais mis les pieds physiquement dans le district concerné, et leur ordinateur non-plus.



Du coup, plusieurs juges ont déjà annulé des poursuites liées à ce hack pour cause de mandat invalide.



Mais dans ce cas précis rapporté par NXI, le juge a dit en substance “le mandat est valide, mais même s’il ne l’était pas, de toute façon, il y aurait pas besoin d’un mandat.” C’est le seul juge à avoir déclaré cela. Pour le reste, on a soit des juges qui disent “le mandat est invalide, abandon des poursuites”, soit “le mandat est invalide mais exception de bonne foi qui s’applique, on continue les poursuites”, soit “le mandat est valide”.



Celui-là, c’est le premier à déclarer “tfaçon yavait même pas besoin de mandat”, et franchement c’est du WTF complet.









Zerdligham a écrit :



(vu le contexte, il me semble crédible qu’un juge leur aurait donné leur mandat s’ils l’avaient demandé).







Détrompe-toi c’est pas si simple. Aux US selon les juges, l’obtention d’un mandat aussi vague est pas forcément gagné. En effet, en principe, un mandat doit être ciblé contre une ou des personnes déterminées. Il est anticonstitutionnel de décerner un “mandat général”, et ce qui constitue un mandat “trop général” est hautement débattu par les juges.



En l’occurrence, c’est assez limite car le mandat permettrait de hacker une quantité illimitée de personnes, situées n’importe où dans le pays et même dans le monde, sans qu’on sache à l’avance qui c’est ni même très exactement ce qu’ils ont fait… c’est quand-même super vague pour un truc censé toucher des personnes bien déterminées.

Mais d’un autre côté, il s’agit d’un mandat censé ne toucher que les personnes contre lesquelles il y a des raisons assez sérieuses de soupçonner qu’elles commettent le délit en question. S’agit pas, par exemple, de hacker quiconque utilise Tor, mais seulement celles qui s’en servent pour s’enregistrer ou se logger sur un site bien précis et illégal.



Bref, le débat fait rage, sur ça comme sur le reste. Et sur plus d’une centaine de poursuites y a pas l’air d’avoir deux juges qui disent exactement la même chose.



Fermer