Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-9093

de Martine Taelman (Open Vld) du 23 mai 2013

à la ministre de la Justice

Police - Hacking offensif - Loi néerlandaise « hack back » ­ Législation

lutte contre le crime
protection des communications
police
criminalité informatique

Chronologie

23/5/2013Envoi question
17/9/2013Rappel
12/12/2013Réponse

Aussi posée à : question écrite 5-9092

Question n° 5-9093 du 23 mai 2013 : (Question posée en néerlandais)

Le ministre néerlandais de la Sûreté et de la Justice veut instaurer une loi permettant à la police de pirater les systèmes informatiques des criminels. Il s'agit de la loi dite « hack back ». En cas de nécessité, la police doit aussi pouvoir s'emparer de données ou les rendre inaccessibles. C'est ce qui ressort d'un projet de loi que le ministre a soumis pour avis à différentes instances. L'Europe songerait à suivre l'exemple néerlandais dans le domaine du hacking offensif.

Je souhaiterais poser à la ministre les questions suivantes :

1) Comment la ministre réagit-elle par rapport au projet de son homologue néerlandais visant à autoriser la police à se livrer au piratage offensif ? Cela aurait-il aussi une utilité chez nous ? Les services d'ordre ou d'autres services l'ont-ils interrogée à ce sujet ? Peut-elle expliciter sa réponse ?

2) La législation actuelle permet-elle déjà aux services d'ordre de pirater des ordinateurs ? Dans l'affirmative, peut-elle expliciter sa réponse ? Combien de fois cela s'est-il déjà produit ? Quels en ont été les résultats ?

3) Le gouvernement a-t-il des projets qui vont dans le même sens ? Dans l'affirmative, la ministre peut-elle en préciser le calendrier et la teneur ?

4) La ministre ne craint-elle pas que cette situation donne lieu à une « guerre digitale » ? Peut-elle expliciter sa réponse ?

5) Est-il exact que l'Europe envisage de permettre aux gouvernements de se livrer au piratage informatique ?

Réponse reçue le 12 décembre 2013 :

1. Il a été décidé dans l'accord de gouvernement néerlandais de lutter contre les menaces et la vulnérabilité croissantes dans le domaine de la cybersécurité en adaptant les instruments juridiques suite aux développements des technologies de l'information et de la communication (Bruggen slaan, Regeerakkoord VVD – PvdA, 29/10/2012, p. 28). Dans ce cadre, il a été proposé d'élargir les compétences au niveau de l'action publique dans le cadre de certaines dispositions pénales. Une proposition de loi modifiant le Code pénal et le Code d'instruction criminelle concernant l'amélioration et le renforcement de la recherche et des poursuites de la criminalité informatique ("computercriminaliteit III") a été déposée au parlement néerlandais.  

La proposition de loi néerlandaise prévoit l'introduction d'une nouvelle compétence pour certains fonctionnaires de recherche, à savoir la consultation secrète à distance d’un système informatique (on entend par là : un dispositif destiné au traitement des données par voie électronique et à leur enregistrement ou leur transfert) utilisé par un suspect en vue de rechercher des faits punissables graves. Dans ce contexte, la sécurité peut-être brisée ou des actions techniques peuvent être entreprises afin d'obtenir un accès au processus automatisé. Un logiciel discret peut également être installé qui brise la sécurité sur des points précis ou la contourne et supprime le cryptage des données. Dans certaines circonstances, cette compétence pourrait également s’appliquer à un ordinateur qui ne se trouve pas sur le sol néerlandais, mais pour lequel les conséquences se produiraient aux Pays-Bas. 

L'accord de gouvernement belge du 1er décembre 2011 indique à ce sujet que "plus largement, le terrorisme et la cybercriminalité constituent aujourd'hui de nouvelles menaces non militaires pour notre sécurité. La Belgique s'engagera avec vigueur dans les coopérations internationales visant à combattre celles-ci". L'informatisation rapide et intense de la vie privée et professionnelle et le recours de plus en plus fréquent des criminels aux nouvelles possibilités plus larges des technologies de l'information ("IT") m'amènent à penser que les propositions néerlandaises sont intéressantes. 

La police et la justice belges demandent également des compétences leur permettant de s'introduire dans les communications et les systèmes d’information des criminels. Les services de police indiquent que les cybercriminels utilisent de plus en plus des systèmes sécurisés protégés par un cryptage et des systèmes de sécurisation pour leurs communications afin de fournir des services criminels et de stocker du contenu illégal (comme la pédopornographie). 

Les méthodes traditionnelles de collecte de preuves en deviennent inefficaces. Les écoutes téléphoniques et les interceptions Internet permettent de moins en moins d'accéder au contenu effectif de communication. De plus, les opérateurs télécom ne peuvent souvent plus collaborer pour donner accès au contenu des communications, car le cryptage se fait end-to-end. Cela signifie que les données sont cryptées et décryptées sur l'appareil final de l'utilisateur. Le programme Skype, qui est souvent utilisé, en est un bon exemple. 

Cependant, il convient d'être prudent avec ces évolutions et différents problèmes se posent en la matière. Cette nouvelle compétence relative à la criminalité informatique implique en effet une limitation de la vie privée des suspects et des non-suspects à qui l'accès à l'ordinateur est donné. Dans une perspective internationale et européenne des droits de l'homme et dans une société démocratique, cette compétence doit être proportionnelle à l'objectif visé. 

La Cyber Security Strategy approuvée par le gouvernement le 23 novembre 2012, mentionne l'ambition d'une protection optimale contre la cybermenace des systèmes publics et infrastructures critiques ; et que "partant de la législation existante, le cadre légal doit être créé pour trouver un équilibre entre les droits et les libertés du citoyen et les interventions indispensables des autorités".      

2. L'actuelle législation permet à la police et à la justice d'effectuer une recherche sur réseau (art 88ter CIC). Cette compétence permet par exemple au juge d'instruction d'ordonner aux inspecteurs de police de rechercher des systèmes d'information du suspect qui se trouvent dans un autre lieu que celui d'une perquisition. 

Tout comme l'interception des télécommunications, la recherche sur réseau est une méthode fréquemment utilisée pour récolter des éléments de preuve dans le cadre de phénomènes criminels importants. 

L'exposé des motifs de l'article sur la recherche sur réseau indique toutefois que cette disposition ne confère pas à la police la compétence d'accéder de manière illicite au réseau. 

Les compétences demandées ne correspondent cependant pas aux instruments qui existent déjà, mais doivent être adaptées pour pouvoir suivre l'évolution sociale et technologique. 

L'interception de télécommunications est réglée depuis la moitié des années nonante. 

La loi de 2010 relative aux méthodes particulières de recherche pour les services de renseignement prévoit explicitement la possibilité pour ces services de s'infiltrer dans des systèmes informatiques des suspects. 

Les systèmes d'information et de communication qui existaient au moment de l'élaboration de la loi relative à la criminalité informatique de 2000 ont toutefois été révolutionnés. 

De nos jours, le criminel n'a pas nécessairement besoin de systèmes informatiques propres, mais il peut aussi faire usage de services qui sont de plus en plus proposés dans le cadre de la technologie "Cloud". Il suffit de penser à des produits-type comme Dropbox, Google drive, Office 365, iCloud. Tous ces services sont utilisés par de simples utilisateurs finaux afin de stocker leurs données dans un système à distance. Ils peuvent atteindre la totalité de leur environnement de travail à partir de n'importe quel PC, tablette ou smartphone, qu'ils se trouvent dans une bibliothèque ou dans un hôtel. Le fait que tous ces environnements sont protégés par différents systèmes de sécurité fait qu'il est difficile ou impossible d'encore appliquer les compétences existantes. 

3. Un groupe de travail dirigé par le procureur fédéral et composé de représentants du Collège des procureurs généraux, des parquets, des juges d’instruction et de la police a récemment formulé des propositions. 

4. Il est clair que les cybercriminels élargissent toujours leur terrain de travail. Ils utilisent les techniques les plus variées pour pouvoir s'introduire dans les systèmes les plus vulnérables de notre société. Il suffit d'observer la collaboration des cybercriminels avec les trafiquants de drogue au port d'Anvers. Leurs données sont sauvegardées sur des serveurs sécurisés et des systèmes piratés. Si les compétences de la police et de la justice ne sont pas élargies, la lutte contre la criminalité deviendra impossible. Cela ne doit pas aboutir à une guerre numérique. Les nouvelles compétences doivent être accompagnées des garanties nécessaires au sein de notre démocratie. 

5. Le 30 septembre 2010, la Commission européenne a introduit une proposition de directive relative aux attaques visant les systèmes d'information. La Conseil de l’Union européenne a conclu un accord sur une approche générale le 10 juillet 2011. La commission Libertés civiles, justice et affaires intérieures a tenu un premier vote en première lecture le 6 juin 2013.     

Dans l’état actuel du texte, l'objectif est plutôt d'aboutir à une définition commune de certains faits punissables : accès illicite à un système d’information, atteinte à l’intégrité d’un système et l'atteinte à l’intégrité des données. Selon nos informations, il n'est pas encore question d'attribuer aux autorités une compétence d'accès illicite