Au service des renseignements?

Guy Kindermans Rédacteur de Data News

Les autorités peuvent-elles sous-traiter des cyber-piratages dans leur propre pays et des e-attaques à l’étranger?

Les autorités peuvent-elles sous-traiter des cyber-piratages dans leur propre pays et des e-attaques à l’étranger?

Ce 1er septembre 2010, la loi sur les ‘méthodes de renseignements particulières’ entre en vigueur, ce qui étoffe sérieusement et soudainement l’arsenal des armes des services de renseignements belges. Y compris dans le domaine numérique. C’est ainsi que ces services peuvent désormais rechercher des informations dans quasiment n’importe quel système IT, à l’exception de ceux des juges.

Concrètement, cela signifie que littéralement tout système d’entreprise ou de personnes privées peut être passé au crible par les services de renseignements belges, tout simplement. Ceci s’applique également aux formes de communication (numériques). Pour ce faire, ils doivent cependant recevoir l’approbation d’une commission de contrôle ou – jusqu’à ce que cette commission soit crée – du ministre de la Justice. Toute personne faisant l’objet d’une telle enquête, ne l’apprendra au minimum que cinq ans plus tard. Ou pour reprendre les termes d’Alain Winants, chef de la sécurité d’Etat: “Si nous faisons bien notre travail, vous ne remarquerez rien de nos actions.”

Et c’est ici que nous nous posons quand même quelques questions. Entrer par effraction dans une habitation sans laisser de traces – ce dont les services de renseignements sont également capables de faire – c’est à la portée de toute une série de personnes. Mais des experts qui peuvent pirater une infrastructure ICT bien sécurisée – et l’infrastructure de votre entreprise l’est très certainement – sans laisser de traces, il y en a nettement moins. En outre, ces experts ne sont assurément pas employés des autorités. Comme celles-ci ont déjà toutes les peines du monde à engager des informaticiens ‘ordinaires’, c’est dire si ces experts sont partout très convoités.

Ce qui nous amène à nous demander si les services de renseignements ne pourraient pas être enclins à sous-traiter ce genre de piratages à des entreprises de sécurité spécialisées. Et si oui, est-ce bien permis? En tout cas, l’Art. 18/16 §3 prévoit que “des personnes connaissant le système sur lequel se trouvent les données recherchées et/ou les moyens avec lesquels ces informations sont protégées, peuvent être contraintes de transmettre ces informations aux services de renseignements, sous peine de s’exposer à une amende de 26 à 10.000 euros en cas de refus (§4)”.

Je n’ose du reste imaginer que ces services envisagent une seule seconde de prendre sous leur aile des pirates connus. A l’inverse, il pourrait être amusant qu’une entreprise spécialisée, lors d’un contrôle du système d’un client, comparaisse en fin de compte devant la sécurité d’Etat en tant qu’auteur de piratage numérique… Par ailleurs, le gouvernement n’est pas tenu d’indemniser les dommages occasionnés à un système, si la recherche d’informations sur celui-ci s’inscrit dans le cadre d’une menace contre le bien-être physique d’une ou de plusieurs personnes, y compris les méfaits terroristes.

Il convient de prévoir quand même de la latitude pour la détresse morale. Supposons que le service de renseignements repère des brèches dans la défense d’un système IT hospitalier par exemple. Va-t-il en informer l’hôpital – et se compliquer ainsi lui-même la vie – ou va-t-il tout simplement les exploiter… et laisser l’hôpital à la merci d’attaques de tiers? Ou pire encore, ne va-t-il pas être tenté d’installer des portes d’accès dérobées dans des entreprises qu’il va peut-être encore vouloir pirater ultérieurement? Cela ne peut évidemment pas être toléré car ce service ne peut agir que dans le cadre de missions autorisées. Mais qui pourra contrôler ce genre d’abus possible? Exactement, les personnes qui peuvent elles-mêmes opérer les actes de piratage. Ce qui nous ramène aussitôt à l’exemple classique suivant: qui va donc contrôler les contrôleurs? – un problème auquel étaient déjà confrontés les Romains. Ou pour reprendre le proverbe latin: “Sed quis custodiet ipsos custodes.”

Ce qui est encore intéressant à noter, c’est que la loi permet formellement aussi les contre-attaques numériques visant les criminels à l’étranger (Art. 4, 2°). Ce genre d’attaque électronique n’est certainement pas une nouveauté, et dans notre pays aussi, des entreprises et des institutions en ont été la cible par delà les frontières. Une défense numérique et éventuellement même une contre-attaque ne sont dès lors guère surprenantes dans la mesure où elles constituent simplement l’extension d’une exigence du droit international affirmant que pour être reconnu comme état, un pays doit pouvoir assurer l’intégrité de son territoire contre des tiers. La défense de l’intégrité numérique d’un pays ne me paraît être guère plus qu’une extension logique de cette exigence. D’ailleurs, il faut savoir que même nos ‘alliés’ ne s’opposent pas au piratage numérique de données. Mais ici aussi se pose la question de savoir si leurs services de sécurité disposent pour cela de suffisamment d’experts. Ou envisageraient-ils aussi de… sous-traiter des attaques contre d’autres pays?

Mon propos n’est du reste pas de ternir la qualité des personnes au service du gouvernement. Mon but n’est pas non plus de suggérer que tous ceux qui travaillent pour les autorités sont par définition des incapables. Ce serait là une remarque assez grossière et vexante. Mais tout est une question de nombres. C’est ainsi qu’en mai, la Défense recherchait… quatre experts. Même avec l’aide de l’automatisation, chaque expert ne peut exécuter diverses tâches en même temps. Et l’on peut alors se poser la question de savoir si l’exécution de missions de renseignements numériques est possible à une échelle suffisamment grande. Et si non, l’on en revient une fois encore à la question de la sous-traitance.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire