Un «cheval de Troie», appelé aussi Govware ou Spyware, est un logiciel permettant aux autorités de pénétrer en catimini dans un ordinateur ou un téléphone portable et de s’y livrer à différentes opérations de surveillance: interception des communications électroniques, accès aux données, activation de la caméra et du micro pour inspecter les alentours.»
Les autorités de poursuite pénale et les services de renseignement de la Confédération ont requis la légalisation des chevaux de Troie pour être en mesure de surveiller les communications qui transitent par des canaux comme Skype ou WhatsApp, où les données sont cryptées.
Qu’en est-il du principe de proportionnalité?
Il ne fait aucun doute que l’intrusion des autorités dans un ordinateur ou un téléphone portable est une violation du droit fondamental à la préservation de la sphère privée. Une telle violation ne peut être considérée comme licite qu’à des conditions très restrictives. L’ordinateur et le téléphone portable font aujourd’hui partie de notre «intimité numérique», car ils renferment de nombreuses informations de nature privée: photos, adresses et agendas, correspondance par mails ou SMS, mots de passe et notes personnelles, accès à des comptes bancaires et données sanitaires. Les données de ce type sont considérées en Suisse comme des «données personnelles sensibles». Leur exploitation est soumise à des exigences très strictes afin de garantir le principe de proportionnalité.
LSCPT: des chevaux de Troie contre le vol?
Dans un jugement datant de 2008, la Cour suprême allemande a ainsi placé très haut la barre pour l’utilisation des chevaux de Troie. Selon le tribunal, la mesure ne peut être autorisée que s’il existe de «très forts indices d’un danger concret menaçant des droits intangibles»). Ce serait par exemple le cas si la vie ou la liberté d’une personne étaient en jeu, lors d’un enlèvement, d’un meurtre ou d’un attentat terroriste.
La Loi sur la surveillance de la communication par poste et télécommunication (LSCPT) adoptée par le Parlement en mars 2016 prévoit quant à elle un très large éventail d’infractions justifiant l’utilisation des chevaux de Troie: escroquerie, vol, trafic de drogue, abus de confiance – des délits qui ne portent pas atteinte à des droits intangibles tels que la vie ou à la sécurité de l’Etat.
La LSCPT limite le champ d’opération des chevaux de Troie: ils sont autorisés à lire et à écouter les conversations, mais ne sont pas censés toucher aux données ou se servir de la caméra ou du micro. La question est de savoir s’il est possible de programmer ces logiciels de telle sorte que leurs activités de surveillance se limitent aux communications? Les expert·e·s en doutent.
LRens: sur la base de simples suppositions?
Alors que les autorités ne peuvent utiliser un cheval de Troie dans une enquête pénale que sur la base d’un soupçon concret, il suffit au service de renseignement de la Confédération de disposer de vagues indices pour les utiliser. La nouvelle loi sur le renseignement (LRens les y autorise déjà en cas de «menace concrète» (mais invérifiable) pour la sécurité. Cet usage n’est pas limité: le service de renseignement peut surveiller les communications, accéder aux données et activer la caméra et le micro. La procédure doit certes avoir été autorisée et approuvée par le Conseil fédéral et le Tribunal administratif fédéral, mais on ignore le poids de cette garantie face à l’argument du terrorisme invoqué par les services de renseignement.
Moins de sécurité à cause des chevaux de Troie?
Les chevaux de Troie posent un autre problème fondamental, qui est l’affaiblissement général de la sécurité informatique. En effet, ils ne peuvent fonctionner que si les logiciels présentent des failles de sécurité. Pour débusquer ces failles, les développeurs de chevaux de Troie doivent s’approvisionner sur un marché gris. Ils achètent des informations sur des failles de sécurité et laissent alors volontairement ces dernières ouvertes, au lieu d’en aviser les programmateurs, qui pourraient alors les refermer.
L’État qui développe des chevaux de Troie se trouve dans un dilemme analogue à celui qui verse une rançon à des ravisseurs. En rémunérant les failles de sécurité, il empêche leur fermeture et stimule le marché gris. Les autorités contribuent ainsi à rendre la communication internet moins sûre et à exposer encore davantage notre sphère privée, alors qu’elles devraient tout faire pour la protéger.
Pour préserver la sécurité des systèmes informatiques et garantir que les intrusions dans la sphère privée des personnes restent proportionnées au but visé, l’utilisation des chevaux de Troie – si tant est qu’on y ait recours – doit être strictement réservée à la poursuite des délits particulièrement graves qui menacent la vie et la sécurité de l’État.