Un juge américain a déclaré dans une affaire de pédophilie que le FBI n’avait pas besoin de mandat pour obtenir des adresses IP. Mais il est allé encore plus loin en déclarant que le Bureau n’en nécessitait pas non plus pour fouiller un ordinateur à distance. Explications.
L’affaire Playpen a déjà donné lieu à plusieurs haussements de sourcils. Initialement, il s’agit pour le FBI de démanteler un réseau d’échanges de contenus pédopornographiques. On se rappelle que le FBI avait réussi son opération au début de l’année, en appréhendant un suspect et en se servant de sa machine pour piéger d’autres participants.
Les détails de l’affaire avaient notamment provoqué une réaction chez Mozilla. Il semble en effet que le FBI se soit servi d’une faille dans Tor Browser, mais sans que cela ait pu être confirmé. Mozilla, partant du principe que la faille pouvait le concerner, avait demandé au FBI de bien vouloir en révéler les détails (Tor Browser est basé sur Firefox). Mais non seulement le FBI n’a pas confirmé qu’il y avait eu une faille, mais il n’a donné que très peu d'informations supplémentaires sur la méthode utilisée. Même en cas de faille, aucune contrainte juridique n’aurait pu le forcer à en donner des précisions.
« Aucune violation du quatrième amendement »
Le procès suit donc son cours. La défense de l’un des accusés, Edward Matish, a cependant réclamé à voir le malware utilisé par le FBI. Le raisonnement était simple : les informations collectées par l’agence ne pouvaient l’être qu’avec un logiciel dont c’était la mission. Parmi les données récupérées, on trouvait essentiellement des adresses IP ainsi que des identifiants.
Le débat autour des adresses IP n’est pas nouveau : s’agit-il d’une information privée ou publique ? Le juge Henry Coke Morgan a tranché : « Le tribunal estime qu’aucune violation du quatrième amendement n’est survenue puisque le gouvernement n’a pas besoin de mandat pour capturer l’adresse IP de l’accusé ». Rappelons que cet amendement de la Constitution américaine garantit à tout citoyen de ne pas subir de perquisitions ou saisie non motivée. Il oblige les forces de l’ordre à demander un mandat pour ce type d’opération.
Adresses IP et identifiants ? Des données publiques
Dans le cas de l’adresse IP, le fait de la considérer comme une donnée publique casse donc cette exigence. La base de la réflexion du juge est la suivante : personne ne peut s’attendre à ce qu’une adresse IP soit privée dans la mesure où tout internaute l’expose volontairement à un grand nombre de tierces parties dès lors qu’il souhaite naviguer. Même dans le cas de Tor – qui était utilisé pour rappel par les membres du réseau Playpen – la machine qui se connecte expose là aussi son adresse IP au premier nœud de connexion.
Mais qu’en est-il dans ce cas des identifiants de connexion (pas les mots de passe) récupérés par le FBI ? Pour le juge, l’accusé ne pouvait pas s’attendre « raisonnablement » à ce que sa vie privée soit réellement protégée dans son ordinateur. En fait, les données obtenues via la NIT (network investigative technique) se limitaient aux adresses IP et identifiants. Il n’y avait pas de données de type « contenu », ce qui fait toute la différence pour le magistrat.
Une dangereuse généralisation
Le juge Morgan a donc estimé que les adresses IP et identifiants n’avaient pas besoin de mandat pour être récupérés. Cependant, il est également allé beaucoup plus loin en déclarant : « Il ne me semble pas raisonnable de penser qu’un ordinateur connecté au web soit immunisé contre une intrusion. Bien entendu, le contraire est également vrai : dans le monde numérique d’aujourd’hui, il apparaît comme virtuellement certain que les ordinateurs accédant à Internet peuvent être – et sans doute seront – piratés ».
Cette décision, basée sur une généralisation, a fait réagir plusieurs associations de défense des libertés civiles et de la vie privée. L’EFF notamment est montée au créneau pour pointer le danger inhérent d’une telle démarche : si un accusé ne peut avoir « d’attente raisonnable de respect de sa vie privée », comment le quatrième amendement pourrait-il remplir son rôle sur les ordinateurs ?
L’association rappelle également les risques multiples qu’a fait peser le FBI avec les démarches successives de son opération contre Playpen. Le fait d’avoir saisi le serveur initial pour le maintenir sous couvert d’un service « authentique », de l’avoir piégé avec un malware pour que des milliers de participants soient contaminés, la récupération d’informations identifiantes comme l’adresse MAC, etc.
Pour l'EFF, les tribunaux sont dépassés
Cependant, l’EFF ne critique pas tant les méthodes que les décisions des tribunaux, qui selon elle ont bien du mal à traiter cette affaire avec « les règles traditionnelles de la procédure criminelle ». L’association estime donc non seulement que cette décision est « une mauvaise nouvelle pour la vie privée », mais également dangereuse pour la suite si elle est « maintenue » : « les forces de l’ordre seraient libres de chercher à distance et de saisir des informations dans votre ordinateur sans mandant, sans cause probable, ou même sans la moindre suspicion ».
Pour l’EFF, cette décision n’est qu’un nouvel épisode dans une suite de procès où les tribunaux, face à des technologies complexes et des accusés « antipathiques », prennent des décisions dont ils ne mesurent pas toute l’étendue.
Commentaires (23)
Bien évidemment… Les pédophiles, les terroristes, les pirates, les criminels qui contrefont la propriété intellectuelle d’autrui ainsi que les opposants politiques violents qui vont contre le vote démocratique de la majorité des honnêtes gens, ne devraient pas avoir le droit de se cacher derrière un bout de papier dépassé, rédigé par des franc-maçons du moyen âge…
Euh le plus drole c’est le corollaire en fait : si le 4eme amendement n’est pas violé lors d’une intrusion informatique, alors à mon avis le délit de piratage informatique n’existe plus.
Après tout on ne peut condamner un citoyen si le FBI n’a pas besoin d’autorisation pour faire la meme chose.
le juge Henry “coke” Morgan … on devine à quoi il carbure
" />
Donc techniquement, le FBI peut faire du hack de masse légalement…
Alors que ça fait quelques jours que l’OTAN a annoncé qu’une cyber attaque d’un pays (au hasard la Russie, vu comme l’otan passe son temps à faire des exercices à la frontière russe) était un casus beli.
Quelle élasticité décidément!!!
Je propose donc qu’on hacke son téléphone et son PC. Vu que ca ne viole pas le 4eme amendement, il n’y verra pas de pb
" />
J’espère de tout coeur que ce juge sera victime d’un ransomware.
Donc une maison c’est pas privée car on peut casser la serrure et donc y entrer… Apres on peut pas voler mais au moins on peut filmer se promener toucher…
Décidément j’adores les Américains, mais seulement sous formes préparée aux petites herbes…
" />
Celui ou celle qui a gardé précieusement un mandat dans ses tiroirs va bientôt pouvoir l’encadrer comme pièce de collection
" />
La plupart des gens distinguent ce qu’ils autorisent à la police et ce qu’ils autorisent à leur voisinage.
Le pb étant qui contrôle la police et quel est son mandat réel plus que le fait qu’ils aient des droits d’exception.
c’est aussi ce que je pense.
soit l’intrusion est punie par la loi et à ce moment là il faut un texte légitimant l’intrusion du FBI, soit ce n’est pas illégal et à ce moment là n’importe qui peut opérer une intrusion, y compris le FBI.
mais de mon point de vue on ne peut légitimer le hack du FBI parce que
“tout ordinateur est susceptible d’être hacké”.
en fait mon comm portait plus sur la manière dont le juge justifie le non besoin de mandat.
Oui la police peut avoir des droits différents des citoyens, mais si la justification c’est dire “faire ca n’est pas un délit (eg une atteinte à la vie privé) donc pas besoin d’autorisation”, comme le “ca” n’est pas un délit, n’importe qui peut le faire sans être poursuivit. Que ce soit la police ou un citoyen lambda.
Je fais peut être un raccourci mais j’en suis pas si sur.
Autant l’IP ça ne me choque pas (quelque part, c’est comme si la police récupère l’adresse de la maison d’un malfrat, pas besoin de mandat pour ça, c’est seulement s’ils veulent fouiller dedans qu’ils en ont besoin).
Même les ids de connexion, je veux bien, si on considère que la personne qui se connecte les envoie vers le serveur et qu’on ne vient pas les chercher chez lui. Sous réserve évidemment qu’il y ait eu mandat pour prendre possession du-dit serveur bien entendu, sinon c’est vis-à-vis du propriétaire du serveur qu’on est en faute.
Par contre, je ne comprends pas bien cet élargissement. L’article me semble même se contredire lui-même :
“L’hallucinant juge Morgan” …. voilà un titre bien craquant pour de l’inédit à Hollywood : après le pirate anglais qui a attaqué deux fois Panama ( au XVII° siècle ), voilà le juge au XXI° qui fait du FBI un hacker légal !… Et qui donc de fait, supprime le délit ( l’égalité devant la Loi !…). Bref, ce jugement ne va pas faire long feu et la Cour Suprême devra intervenir !.. Simple péripétie de la Guerre de l’Informatique !…
Bon.
Il est donc normal que quelqu’un puisse insérer du code dans un ordinateur.
Donc ce code peut être malicieux et charger lui même du contenu interdit.
Donc la responsabilité du propriétaire d’un ordinateur ne peut en aucun cas être retenue pour du contenu se trouvant sur cet ordinateur.
C’est exactement comme si on autorisait les gendarmes à mettre de la cocaine dans les poches des suspects !
Pour ceux que ça intéresse, il y a un documentaire très intéressant sur Edward Snowden dans lequel un ancien de la NSA raconte comment les Etats-Unis ont fait pression sur lui quand il a commencé à dire que ça allait trop loin.
“Politiquement, les États-Unis sont une république constitutionnelle fédérale.”
République ? J’ai entendu république ? Naaaaaaan