T461 – b. Les problématiques liées à la surveillance de l’accès Internet

i. L’accès Internet depuis un réseau public, depuis un cybercafé, depuis  le domicile d’un tiers ou par l’intermédiaire d’un routeur
  1. a) L’accès depuis un réseau public, un cybercafé ou le réseau d’une entreprise
  • L’une des principales difficultés dans l’identification d’un utilisateur d’accès Internet est l’appartenance même de l’adresse IP. En effet, l’adresse IP ne fournit pas une identification effective de l’utilisateur soupçonné et/ou de l’auteur de l’infraction, mais uniquement de la personne ayant contracté un abonnement auprès d’un fournisseur d’accès.
  • Ainsi, si un criminel emploie un réseau d’accès gratuit et public, s’il se connecte depuis un cybercafé – sans être un client habituel et/ou connu et en payant cash – ou s’il utilise le réseau d’une entreprise, il n’est pas possible d’identifier l’utilisateur, mais uniquement l’abonné. En effet, un ordinateur est connecté sur Internet à travers un routeur. En amont du routeur, toute une série d’usagers peuvent être reliés à cet appareil. L’adresse IP interceptée est celle de l’accès, soit celle du routeur qui est connecté directement, et non pas celle des ordinateurs qui se cachent derrière celui-ci.
  • Bien entendu, lorsque l’adresse IP d’une entreprise est détectée, il est toujours possible de perquisitionner tous les postes de travail même si la tâche peut être longue et fastidieuse selon le nombre d’employés. Néanmoins, il n’est pas exclu qu’aucune trace de l’infraction ne soit visible parce qu’effacée ou enregistrée sur un support mobile. A noter que les entreprises n’ont pas le droit de surveiller un employé et par conséquent ne peuvent pas déterminer quel est l’ordinateur qui a envoyé ou reçu un certain flux de données. Il faudra alors, éventuellement, s’intéresser au réseau interne de l’entreprise afin d’obtenir plus d’informations.
  • Ce constat est plus problématique que réellement dangereux en procédure pénale. En effet, sans identification, il n’y a aucun risque de voir un innocent identifié, mais sans identification, il ne peut y avoir de suspect.
  1. b) En cas d’utilisation d’un accès Internet familial ou d’un tiers
  • Dans ce cas de figure, la problématique est la même que celle exposée ci-dessus à ceci près que le nombre d’utilisateurs effectifs est plus restreint.
  • Concernant l’utilisation d’un accès Internet familiale, l’adresse IP sortante est celle du routeur derrière lequel peut être connecté plusieurs ordinateurs ou appareils électroniques. L’identification de l’usager est donc, en tant que telle, inutile, puisqu’en tout état de cause, elle concernera le contractant du service et non pas le suspect ou l’auteur.
  • Ainsi, l’adresse IP n’est pas une preuve suffisante, il faudra encore perquisitionner les supports informatiques afin de contrôler qui est l’auteur d’un acte délictuel. Cependant, il n’est pas exclu qu’aucune réponse ne puisse être apporté. Outre l’utilisation d’un support mobile pour enregistrer des données qui ne serait pas trouvé, il n’est pas rare que, malgré la possibilité d’avoir un login sécurisé, les membres d’une même famille emploient la même session système ou qu’un ou plusieurs ordinateurs ne soient pas sécurisés par un mot de passe. Il n’est alors pas possible d’identifier qui est l’auteur de l’infraction.
  • Notons par ailleurs que tout possesseur d’un ordinateur ne peut pas se voir inculper pour possession d’image pornographique au sens de l’art. 197 ch. 3bis CP du seul fait que le support informatique lui appartient. La Tribunal fédéral a relevé que cette infraction nécessitait – comme toutes infractions consommées – l’accomplissement de l’élément objectif et subjectif. Un utilisateur d’ordinateur ou d’Internet qui ignore que des données tombant sous le coup de l’art. 197 ch. 3bis CP sont présents dans son ordinateur – parce que le dossier est sécurisé, que les données sont sises dans la mémoire cache ou simplement que les données sont dans un dossier visible mais dont la personne n’a pas connaissance – n’agit pas intentionnellement faute de conscience et de volonté de les posséder[1].
  • Autre est la problématique d’un utilisateur qui emploie la connexion d’un proche ou d’un ami pour commettre un méfait. A nouveau, la personne qui sera identifiée à l’aide de l’adresse IP est le proche ou le tiers. Imaginons que ces derniers transmettent fréquemment leur mot de passe d’accès WiFi, il devient quasiment impossible de déterminer qui a employé le réseau et ainsi d’identifier l’auteur d’une infraction. En tout état de cause, un travail d’enquête poussé devra être effectué pour obtenir plus d’indices et d’éléments pertinents.

ii. L’accès Internet non sécurisé
  • Le Wired Equivalent Privacy abrégé WEP est un protocole pour sécuriser les réseaux sans fil de type WiFi afin d’éviter les écoutes clandestines ou le piratage de la ligne Internet[2]. La clé WEP est une clé de chiffrement qui peut se comparer à un mot de passe composée de chiffres et de lettres propres à chaque routeur. Cette clé sécurise l’accès Internet en limitant la connexion au routeur aux seuls utilisateurs connaissant la clé.
  • Le WiFi Protected Access abrégé WPA est également un mécanisme de sécurité réseau sans fil de type WiFi qui fonctionne de manière similaire[3].
  • Sans clé WEP ou WPA, le réseau WiFi est ouvert à tous. Ainsi, une personne disposant d’un ordinateur portable ou d’un autre appareil électronique disposant du WiFi peut détecter le réseau non sécurisé et se connecter sur Internet à l’aide de l’accès d’autrui.
  • En cas d’infraction, la personne identifiée sera le propriétaire de la ligne Internet non sécurisée et non pas le réel auteur de l’acte. En cas d’accès répéter sur le réseau non-sécurisé, il faudra investiguer pour découvrir si la connexion réseau est employée par un voisin ou par une autre personne se trouvant fréquemment proche de l’accès WiFi. Dans le cas contraire, il n’est pas impossible que le crime reste impuni.
  • Relevons encore que malgré la protection du routeur par une clé WEP ou WPA, il n’est pas exclu qu’un tiers non autorisé se connecte sur le réseau WiFi protégé. En quelques minutes, moyennant quelques recherches sur Internet, la procédure pour cracker une clé WEP et WPA est accessible à tout un chacun[4]. Ainsi, n’importe qui ayant un minimum de connaissances en informatique peut employer le réseau WiFi d’un tiers.
  • En outre, les failles des systèmes d’exploitation peuvent être utilisées par un auteur d’infraction pour piloter à distance un autre ordinateur et faire croire que c’est ce dernier qui interagît sur le réseau. Couplé avec un système TOR – réseau mondial décentralisé de routeurs qui permettent de transmettre anonymement des flux TCP –, il n’est plus possible de tracer le réel coupable ou même simplement de savoir qu’il existe[5].
iii. La duplication des adresses IP et/ou de l’adresse MAC
  • L’adresse IP ne permet pas d’identifier l’utilisateur effectif du réseau au surplus, elle ne permet pas non plus de s’assurer que le routeur censé être connecté par cet IP est bien le seul et l’unique.
  • L’usurpation d’adresse IP ou l’IP Spoofing est une méthode répandue sur Internet. Cette technique consiste à remplace l’adresse IP de l’expéditeur d’un paquet IP par l’adresse IP d’un autre routeur. Corrélativement à la sécurité relative de l’accès WiFi qui nécessite quelques minutes pour être “cracké”, en peu de temps un utilisateur peut se connecter anonymement sur Internet ou plus exactement sous le couvert d’une autre identité.
  • Notons que l’utilisation d’un duplicata ne rend pas impossible l’utilisation simultanée par l’utilisateur originel et le hacker de la connexion Internet. Dans un tel cas de figure, un message alerte le fournisseur d’accès et l’utilisateur que l’adresse IP est employée deux fois, ce qui peut permettre de prendre en considération ce facteur en cas de demandes de surveillance et d’identification de l’usager. En revanche, si le duplicata n’est pas utilisé en même temps, rien n’indique qu’il existe.
  • Le contrôle d’accès au réseau informatique basé sur l’adresse MAC n’est pas plus probant. La technique du MAC Spoofing offre la possibilité de paramétrer l’adresse MAC et donc de la modifier. Couplé avec quelques commandes sous UNIX, il est possible de détecter les adresses IP et les adresses MAC environnantes. Ainsi, l’utilisateur usurpant l’adresse IP et l’adresse MAC devient totalement invisible et passe pour un tiers.
  • En outre, il existe divers autres procédés permettant de modifier l’adresse MAC sur une machine. Par exemple, sous Windows XP, si le pilote le permet, sous l’onglet “avancé” des propriétés de la carte réseau, il est possible d’affecter une autre adresse MAC en quelques clics de souris.
  • Par conséquent, l’adresse IP et/ou l’adresse MAC ne démontrent rien, hormis peut-être l’existence systématique d’un doute.
[1] ATF 137 IV 208, 214-215 = JdT 2012 IV 114, 120.

[2] Docter, Dunaley, Skandier, p. 345; Gast, p. 121; Martin K., p. 427.

[3] Docter, Dunaley, Skandier, p. 345; Gast, p. 160; Martin K., p. 431.

[4] A ce sujet, voir: Le procès-verbal de constat rédigé par Me Eric Albou, huissier de justice à Paris, disponible sur: http://static.pcinpact.com/pdf/annexe1-constat-ufc-que-choisir-wifi.pdf [consulté le 08.05.2016].

[5] Das, Kant, Zhang, p. 32; Lathoud, p. 185 et 189.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *