T472 – 6. Une perspective d’avenir – L’espion clavier

6. Une perspective d’avenir – L’espion clavier

  • Depuis quelques années, un nouveau produit est apparu: l’espion clavier, enregistreur de frappe ou keylogger, permettant d’intercepter des informations directement depuis l’ordinateur d’une personne surveillée.
a. Qu’est-ce que l’espion clavier?
  • Il existe deux types d’espion clavier: logique ou matériel[1]. Tous deux se définissent comme un processus furtif qui est chargé d’enregistrer les touches frappées sur le clavier.
  • L’espionnage logiciel ou espion clavier logique est un programme inoffensif et invisible de l’utilisateur qui enregistre les frappes dans un fichier du disque dur. Si le logiciel est couplé avec un cheval de Troie, il les transmet directement à un tiers via le réseau. Dans le cas contraire, le fichier peut être récupéré directement sur l’ordinateur. Ce logiciel s’installe soit directement, soit par le biais d’un logiciel type cheval de Troie. L’utilisation d’un pare-feu peut permettre de contrecarrer les risques d’un espion clavier logique.
  • L’espionnage par matériel ou espion clavier matériel ne peut pas être déjoué par un pare-feu, mais demande d’avoir accès au matériel informatique. Pour pouvoir intercepter les touches frappées par un utilisateur, il suffit d’ajouter un dispositif – câble ou dongle (clé électronique) – entre le port de branchement du clavier et le clavier lui-même. Quant au clavier sans fil, il suffit de capter les ondes émises entre le clavier et le récepteur, et de les déchiffrer. En outre, le dispositif matériel peut ou non être pourvu d’un émetteur afin de transmettre en direct l’information à l’observateur.
b. L’utilité de l’espion clavier en procédure pénale
  • L’utilité de la surveillance policière et judiciaire des messages électroniques n’est plus à prouver. L’espion clavier offre un nouveau moyen de surveillance.
  • Niklaus Schmid considère que l’utilisation des ondes électromagnétiques et l’usage d’un espion clavier relève de l’art. 280 let. b CPP[2]. Il considère que l’espion clavier matériel est un dispositif technique de surveillance qui permet d’enregistrer des actions.
  • Néanmoins, l’interprétation de Niklaus Schmid semble aller trop loin sur un point. Comme le relève Thomas Hansjakob[3], en accord avec Stefan Trechsel et Viktor Lieber[4], l’enregistrement d’un autre dispositif technique doit être en relation avec un élément qui est observé. En l’espèce, l’espion clavier ne permet pas l’observation. En outre, l’espion clavier logique est un programme et non un dispositif qui ne serait donc pas inclus dans le champ d’application de l’art. 280 CPP[5].
  • Alors qu’aucune solution ne semble envisagée actuellement pour l’utilisation de l’espion clavier logique, la modification de la LSCPT et l’introduction de l’art. 269ter CPP permettront l’utilisation d’un logiciel qui capte et lit des données informatiques. Par conséquent, outre la possibilité de pouvoir utiliser les chevaux de Troie, l’art. 269ter CPP constitue la base légale justifiant l’ingérence aux droits fondamentaux créée par l’utilisation de l’espion clavier.
c. L’évolution du espion clavier avec l’espionnage à distance à l’aide des ondes électromagnétiques
  • L’espion clavier est devenu une méthode de piratage couramment utilisée grâce aux logiciels de type keyloggers. En 2008, deux étudiants de l’EPFL ont trouvé une méthode pour faire parler les claviers sans utiliser de logiciels espions ni de dispositifs techniques[6]. Il suffit d’intercepter les ondes électromagnétiques.
  • Onze claviers filaires connectés par PS/2 – prise classique –, par USB ou raccordés à un ordinateur portable ont été testés. Les claviers étant tous conçus avec des composants électroniques, ils émettent des ondes électromagnétiques de faible portée. Ainsi, à une distance de 20 mètres, il est possible d’intercepter les ondes et de retranscrire les informations tapées.
  • Même si la portée des ondes est faibles, ce processus offre la possibilité d’employer une faille qui ne peut être déjouée ni par un antivirus, ni par aucun pare-feu. Ainsi, si l’autorité pénale emploie ce moyen – à condition que cette technique soit prévue par la loi –, la personne surveillée n’aura pour seul moyen que de placer son clavier dans une cage métallique – cage de Faraday – pour ne pas voir ses frappes claviers interceptées.
  • Précisons au surplus que cette méthode n’est encore ni prouvée par une autre étude, ni testée plus concrètement et à large échelle. Dès lors, les risques d’interférence, notamment, ne sont pas démontrés. Par conséquent, la fiabilité des données de frappes doit encore être établie pour déterminer si cette méthode peut faire l’objet d’un moyen de preuve suffisamment probant.

 

[1] Bondallaz, protection des personnes, p. 39; Moreillon, Blank, p. 81-82; Treccani, p. 234-236.

[2] Schmid, Praxiskommentar, art. 280 N 9.

[3] StPO-Hansjakob, art. 280 N 15.

[4] Trechsel, Pieth-Trechsel, Lieber, art. 179bis N 7.

[5] Supra Partie II, Chapitre 3, I, A, 4, c, i, b), n° 1309 ss.

[6] Le Temps, Comment espionner à distance un clavier, article du 28 octobre 2008.

T470 – c. Les données issues de la perquisition sur un support informatique

i. La vulnérabilité des systèmes d’exploitation
  • Les systèmes d’exploitation, malgré l’utilisation de sécurités, de logiciels anti-virus ou de programmes anti-malware, sont vulnérables et sujets à des attaques extérieures pouvant décrédibiliser la validité des données informatiques perquisitionnées, dès lors que leur intégrité n’est plus garantie[1].
  • Les attaques par logiciels malveillants – virus, vers, chevaux de Troie, etc. – ou logiciels espions vont infecter le système informatique à l’insu de l’utilisateur. Diverses variantes existent et ne cessent d’évoluer pour déjouer la sécurité des anti-virus. Nous énonçons les attaques les plus fréquentes et les conséquences qu’elles peuvent avoir sans pour autant être exhaustif sur les méthodes possibles.
  • La modification de données est la méthode la plus simple, la plus sûre et la plus courante en matière de criminalité informatique. Elle peut être effectuée manuellement par toutes personnes participant ou ayant accès au processus de création, d’enregistrement, de codage, d’analyse, de conservation ou de transformation des données informatisées[2]. Il est ainsi possible d’obtenir des documents falsifiés.
  • Les virus et les vers sont des programmes malveillants conçus pour pénétrer dans des systèmes et se dupliquer. Ce type de logiciels malveillants n’a que peu d’impact sur la preuve informatique dès lors qu’ils ne font que détruire les données.
  • Les kits racines ou Rootkits offrent les droits d’administrateur sur une machine afin d’installer une porte dérobée (voir l’explication sous la description des chevaux de Troie), de truquer les informations et d’effacer certaines traces – historiques, chronologies, journaux, etc. – à distance.
  • Les chevaux de Troie ont déjà fait l’objet de notre étude[3], nous revenons donc brièvement sur le sujet. Le programme parasite réalise des tâches non-autorisées sur l’ordinateur infecté qui continue pour autant à fonctionner normalement. Il existe plusieurs sous-catégorie de chevaux de Troie, notamment les “portes dérobées” qui sont les chevaux de Troie les plus dangereux, les plus répandus et ceux qui créent le plus de risques pour l’authenticité des fichiers informatiques. Il s’agit d’un utilitaire d’administration à distance qui permet de prendre le contrôle de l’ordinateur et ainsi d’intégrer des fichiers, des données, de les modifier ou d’intercepter des informations confidentielles comme les mots de passe[4].
  • Le super-zapping est un programme utilitaire permettant de modifier des fichiers.
  • Ces quelques exemples de logiciels espions nous mènent à un seul constat: les systèmes d’exploitation ne sont pas protégés contre tous les risques et les données informatiques ne sont ni fiables, ni inaltérables, ni forcément authentiques. En cas d’utilisation des informations enregistrées sur supports informatiques, des mesures tangibles de vérification pour s’assurer de l’originalité des données, notamment en combinant les données informatiques avec d’autres types de preuve, doivent être prises sans quoi le doute ne peut pas être ôté[5].
ii. L’incapacité générale d’authentifier les données informatiques
  • Nous l’avons énoncé ci-dessus toute une série de moyens peuvent mettre à mal l’authenticité des fichiers informatiques[6]. En effet, actuellement, il est difficile, en l’absence de signature électronique, de prouver qu’il existe aucune modification ou manipulation d’une preuve informatique[7].
  • La signature électronique est un procédé qui permet de déterminer l’origine du document électronique et de vérifier qu’il n’a pas été modifié[8]. Il est ainsi possible de prouver l’authenticité et l’intégrité du document signé électroniquement.
  • L’admissibilité de l’écrit électronique est par ailleurs étendue à l’acte authentique sous forme électronique. Il dispose de la même force probante que l’acte authentique sur support papier sous réserver, notamment, que le fichier soit établit en respectant une certaine procédure (art. 10, 11 et 13 OAAE[9]) et que la signature électronique soit apposée par l’officier public (art. 3 al. 1 let. d OAAE).
  • Cependant, il nous faut relever qu’en 2008, soit avant l’introduction de l’ordonnance sur les actes authentiques électroniques, des chercheurs en sécurité indépendants, notamment de l’EPFL, ont trouvé des failles dans l’infrastructure du certificat électronique. Une équipe chinoise a réussi à créer une attaque dite de collision et a pu créer deux messages différents avec une même signature électronique[10]. Certes, le MD5 – algorithme utilisé pour certaines signatures électroniques – n’est quasiment plus exploité; néanmoins, il n’est pas exclu que le SHA-3 fasse également l’objet de faille que les hackers découvriront rapidement[11]. Il est, également, utile de relever que le SwissID – signature électronique utilisée en Suisse qui répond aux normes en vigueur (Loi fédérale du 19 décembre 2000 sur les services de certification dans le domaine de la signature électronique (SCSE), RS 943.03) – a fait l’objet d’un piratage en 2010.
  • Ce constat remet en cause la valeur scientifique ou technique des moyens informatiques qui peuvent facilement être décrédibilisés. Dès lors qu’il n’est pas possible de prouver qu’un fichier est un original qui n’a subi aucune modification, la défense pourra facilement émettre un doute permettant l’acquittement de l’accusé.
  • Ainsi, comme toute preuve analysée jusqu’à présent, la nécessite d’un faisceau d’indices et de moyens probatoires est essentiel.
[1] Caprioli Eric, L'archivage électronique: de la dématérialisation à la politique d'archivage, l'omniprésence du droit, disponible sur: http://www.caprioli-avocats.net/ [consulté le 08.05.2016]; Furner, p. 210; Lathoud, p. 189; Treccani, p. 226.

[2] Buquet, p. 327.

[3] Supra Partie II, Chapitre 3, I, A, 4, c, i, d), n° 1347 ss; Supra Partie II, Chapitre 3, III, A, 5, a, ii, n° 2128 ss.

[4] Buquet, p. 327 et 328; Treccani, p. 226.

[5] Furner, p. 210-211.

[6] Supra Partie II, Chapitre 3, III, A, 5, c, i, n° 2164 ss.

[7] Lathoud, p. 190.

[8] Fischer, Kuhn, p. 6-7; Jaccard, p. 120 ss; Message, SCSél, p. 5428; Müller Jérémie, p. 251.

[9] Ordonnance du 23 septembre 2011 sur l’acte authentique électronique (OAAE), RS 943.033.

[10] Informations disponibles sur le site de l’EPFL: http://actualites.epfl.ch [consulté le 08.05.2016].

[11] Informations disponibles sur le site de l’EPFL: http://actualites.epfl.ch [consulté le 08.05.2016].