T461 – a. Les problématiques liées à la surveillance sur Internet

i. L’incapacité de surveiller Internet de manière préventive
  • Un moyen de surveillance peut être une mesure préventive ou répressive selon qu’une procédure pénale soit ou non pendante.
  1. a) Les changements depuis l’entrée en vigueur du CPP
  • Avec l’entrée en vigueur du Code de procédure pénale, l’aLFIS a été abrogée en faveur de l’édiction des art. 285a à 298d CPP relatifs à l’investigation secrète. Ces articles reprennent le contenu de l’aLFIS à ceci près qu’ils ne distinguent plus les deux phases d’investigation que l’aLFIS connaissait, à savoir la phase de procédure pénale (art. 14 ss aLFIS) et la phase précédant l’ouverture d’une procédure durant laquelle le commandement de la police pouvait ordonner une investigation secrète (art. 5 al. 1 aLFIS)[1].
  • Le législateur justifie l’abandon de cette distinction, par la contradiction du régime prévu dans l’aLFIS. En effet, l’art. 4 aLFIS prévoyait l’intervention d’agents infiltrés avant l’ouverture d’une procédure pour élucider si l’une des infractions énumérées avait été commise. Pour cela, des soupçons sur la réalisation de faits déterminés étaient nécessaires. Malgré que l’aLFIS ne réclamait par l’ouverture d’une procédure pénale, dans les circonstances prévues par l’art. 4 aLFIS, il était toujours possible d’en ouvrir une (art. 309 ss CPP).
  • En outre, la surveillance purement préventive est illégale à la lumière du Code de procédure pénale car, ne nécessitant pas de soupçons, il s’agirait d’une recherche de preuves au hasard ou du fishing expédition contraire aux valeurs d’un Etat de droit.

  1. b) La conséquence de la nouvelle réglementation sur les enquêtes réalisées sur un chatroom ou un forum de discussion
  • Selon la jurisprudence[2], la surveillance et l’établissement d’un contact sur Internet relèvent de l’investigation secrète ou des recherches secrètes. Avec l’abrogation de l’aLFIS, la situation lors d’enquête sur un chatroom n’est pas convaincante.
  • En effet, au sens de l’art. 285a ss CPP, une investigation secrète ne peut être ordonnée qu’en présence de soupçons laissant présumer qu’une infraction listée à l’art. 286 al. 2 CPP ait été commise et qu’une procédure pénale soit ouverte (art. 1 al. 1 CPP). Ce constat vaut de même pour les recherches secrètes (art. 298b CPP). Par conséquent, contrairement à l’aLFIS, l’investigation secrète ou les recherches secrètes ne sont plus admissibles durant une simple phase d’enquête[3] et une investigation préventive n’est pas non plus possible.
  • Conformément à l’art. 123 al. 1 Cst, seule la législation en matière de procédure pénale relève de la compétence de la Confédération, ce qui signifie qu’en l’absence d’ouverture d’une procédure les mesures servant à prévenir les infractions ou à établir qu’elles peuvent être commises relèvent du droit de la police. La compétence législative revient alors aux cantons[4].
  • La situation législative cantonale n’est pas satisfaisante en ce qui concerne la poursuite des infractions et empêche bon nombre d’enquêtes.
  • Les enquêtes préventives ont fait leurs preuves en tant qu’instruments efficaces pour recueillir des preuves et lutter efficacement, notamment contre la criminalité pornographique ou la délinquance pédophile[5]. Sur Internet, les investigations réalisées sont majoritairement préventives, soit avant même l’existence d’un soupçon[6].
  • Malheureusement, actuellement, en l’absence de législation cantonale sur la police, une mesure de surveillance préventive sur Internet est illégale[7]. Il n’est donc provisoirement plus possible de lutter adéquatement contre certains types de criminalité, alors même qu’un moyen ayant démontré son efficacité existe.
ii. Les données interceptées par un Cheval de Troie introduit par l’autorité pénale
  • Les programmes du type chevaux de Troie s’implantent dans la structure du système informatique d’un utilisateur. Ce type de programme permet à un tiers in casu à l’autorité pénale de contrôler l’appareil électronique et d’obtenir le transfert de certaines données utiles à l’enquête et à la procédure.
  • Durant l’analyse de l’interception des conversations effectuées via le protocole TCP/IP, nous avons déjà fait état des risques pour l’authenticité des données recueillies inhérents à l’utilisation d’un logiciel espion[8]. Le constat réalisé vaut mutatis mutandis.
  • Dès lors, pour s’assurer d’une validité suffisante de la preuve, il faut impérativement que le logiciel introduit ne modifie que le support où sont inscrites les données et non pas les données elles-mêmes. Il ne doit en outre pas créer une faille de sécurité qui pourrait mener des tiers à s’introduire également dans le système de manière malveillante.
iii. Le vol d’identité et des accès
  • Il existe tout un arsenal de méthodes d’attaques pour commettre des infractions via les technologies informatiques ou pour garder l’anonymat.
  • L’une de ces techniques qui peut mettre à mal une identification sur Internet est la mystification ou Spoofing. Cette méthode consiste à prendre l’identité d’un tiers ou d’une autre machine électronique. Il peut s’agir de voler le nom de domaine URL d’un site Web (Slamming ou URL Spoofing), de récupérer le nom d’utilisateur et le mot de passe (Login Spoofing) ou de pirater l’adresse IP (Spoofing IP)[9].
  • Généralement, l’usurpateur emploie un cheval de Troie pour obtenir les informations désirées. Lorsque le nom d’utilisateur et le mot de passe sont entrés, l’information est enregistrée.
  • L’ingénierie sociale est une autre méthode ayant également pour conséquence l’usurpation du nom d’utilisateur et le mot de passe. Cette pratique exploite les failles humaines et sociales en manipulant les utilisateurs qui, naïvement, exécutent ce que l’usurpateur leur demande[10].
  • De manière générale, l’ingénierie sociale se déroule en premier par une phase d’approche qui met l’utilisateur en confiance. Il s’agit souvent, pour l’usurpateur, de se faire passer pour une personne hiérarchiquement supérieure, un client, un proche, etc. Ensuite, l’usurpateur met en alerte l’utilisateur souvent avec un faux prétexte de sécurité. Ainsi, la personne manipulée fournit elle-même les données confidentielles et personnelles, notamment les noms d’utilisateur et les mots de passe.
  • Le hameçonnage ou Phishing est une troisième technique fréquemment employée pour obtenir les renseignements dans le but de perpétrer une usurpation d’identité[11]. Cette technique est une sous-catégorie de l’ingénierie sociale. Il s’agit de se faire passer pour une autorité digne de confiance afin que la personne se rende sur un site internet et entre les données désirées.
  • L’usurpation d’identité peut avoir des conséquences importantes sur l’élément probatoire plus spécifiquement sur l’identification d’un auteur. Prenons deux exemples pour expliciter cette affirmation.
  • Un utilisateur d’Internet emploie quelque fois sa carte de crédit, notamment pour effectuer des achats et payer via la plateforme Paypal. Un jour, il découvre un email dans lequel une société se présentant comme la société Paypal lui demande pour des raisons de sécurité d’entrer son nom d’utilisateur, son mot de passe et de confirmer son numéro de carte de crédit, la date de validité et le numéro de sécurité. Incrédule, l’utilisateur s’exécute. Par la suite, cette carte de crédit est employée de manière malveillante pour payer un abonnement à un site pédopornographique. Une identification à l’aide de cette donnée est alors totalement erronée.
  • Autre exemple, un utilisateur se voit usurper son login et son mot de passe par la méthode de mystification et pirater son adresse IP par la même technique. Ainsi, si l’usurpateur télécharge des fichiers illégaux à l’aide des données volées ou atteint à l’honneur d’un tiers en employant le profil de l’utilisateur qui ne se cache pas derrière un pseudonyme – par exemple sur Facebook –, là encore l’identification ne reflète alors pas la réalité.
  • L’utilisateur confronté au vol de ses données dans le premier exemple pourra relativement facilement démontrer qu’il ne s’agit pas de lui, notamment à l’aide de l’adresse IP utilisée par l’usurpateur. L’utilisateur du second exemple se trouve dans une position plus délicate, car même si aucun fichier n’apparaît sur un support informatique dont il est propriétaire cela n’exclut pas qu’il l’ait effacé. La situation est encore plus complexe si nous couplons les deux exemples. En effet, plusieurs éléments – carte de crédit, nom d’utilisateur, mot de passe et adresse IP – convergent alors vers une et unique identité.
  • Partant de ce constant, l’identification sur un réseau social, un forum de discussion ou sur toute autre page Web n’est fiable que moyennant la prise en considération des risques d’usurpation et de leur exclusion dans le cas concret. Il est donc préférable que les éléments probatoires déterminés par les données informatiques soient confirmés par d’autres éléments probatoires.
[1] Jositsch, Chatroom, p. 181 et 187; Message, CPP, p. 1238; Skarupinski, Grossenbacher, n° 14.

[2] ATF 134 IV 266, 277 = JdT 2008 IV 35, 50-51.

[3] Schubarth, Jusletter, n° 5-6.

[4] Jositsch, Chatroom, p. 188; Rapport du Conseil fédéral sur l'initiative n° 08.458, p. 5185; Schubarth, Jusletter, n° 7; Skarupinski, Grossenbacher, n° 24.

[5] Schubarth, Jusletter, n° 3-4.

[6] Jositsch, Chatroom, p. 181; Skarupinski, Grossenbacher, n° 14.

[7] ATF 140 I 353, 362-364 = JdT 2015 I 39, 46-48

[8] Supra Partie II, Chapitre 3, I, A, 4, c, i, d), n° 1347 ss.

[9] Buquet, p. 332. A ce sujet voir: Miller Frederic P, Vandome Agnes F, McBrewster John, IP Address Spoofing, Sarrebruck 2011. Infra Partie II, Chapitre 3, III, A, 5, b, iii, n° 2158-2160.

[10] Bondallaz, protection des personnes, p. 36-37; Monnier, Hacking, p. 130; Monnier, Piratage, p. 147.

[11] Buquet, p. 331 Stucki, n° 1 et 11-13.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *