Précisons tout d’abord que le terme CLOUD Act est en fait l’acronyme de Clarifying Lawful Overseas Use of Data Act que l’on pourrait traduire par « Loi pour clarifier l’utilisation légale des données à l’étranger ». En pratique, il s’agit d’un (minuscule) texte de 32 pages glissé incognito dans les quelques 2 232 pages de la loi sur les dépenses 2018 des États-Unis. Ce texte, qui n’a fait l’objet d’aucun débat au Congrès, n’a été médiatisé qu’après sa promulgation par Donald Trump le 23 mars 2018 mettant ainsi l’Europe et le reste du monde devant le fait accompli.

Le CLOUD Act permet de lutter efficacement contre la criminalité au niveau mondial et s’applique dans le cadre d’une procédure pénale suite à un crime ou un délit. Comme toute requête ne doit cibler qu’une personne ou qu’un seul élément identifiant en particulier, le CLOUD Act ne peut (à priori) servir à la réalisation d’opération de surveillance massive comme celles de la NSA révélées par Edward Snowden.

Cette Loi vient combler le vide juridique du Stored Communication Act (SCA) mis en lumière par l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès aux mails d’un présumé trafiquant de drogue stockées en Irlande.

Le CLOUD Act prévoit que les gouvernements étrangers puissent s’engager avec le gouvernement américain par le biais d’accords bilatéraux (executive agreement) afin de « fluidifier » l’accès aux données. Grâce à ce mécanisme et sous réserve que la cible ne soit pas un citoyen américain, l’entraide judiciaire se substitue aux accords d’assistance mutuelle classiques MLAT (Mutual Legal Assistance Treaty) dont la lourdeur impose un délai de plusieurs mois pour pouvoir accéder à des données à l’étranger.

La Loi prévoit également qu’un fournisseur US puisse s’opposer dans un délai de 14 jours à une telle demande s’il pense que la personne visée n’est pas un ressortissant américain et que la divulgation l’obligerait à enfreindre la réglementation du pays hébergeant les données. Sa demande sera alors portée devant un tribunal américain qui devra statuer selon les arguments avancés par les deux parties (Police US / Fournisseur US).

Trois questions se posent alors :

• Le CLOUD Act sera-t-il toujours utilisé exclusivement pour lutter contre la criminalité et en aucun cas pour de la surveillance à des fin politiques, stratégiques ou économiques ?
• L’article 48 du RGPD, parfois appelé bouclier Anti NSA, sera-t-il suffisamment protecteur pour empêcher les services américains d’accéder librement aux données des fournisseurs américains situées au sein de l’UE ?
• L’UE doit-elle s’engager dans ce processus en signant un « executive agreement » avec le gouvernement américain ?

Pour la dernière question, il semble évident que l’Union ne doit pas accepter de signer un accord au terme duquel les Etats-Unis, en raison principalement de l’hégémonie des GAFAM, auraient accès aux données des citoyens européens, quel que soit leur lieu de stockage, tandis que les autorités européennes pourraient seulement accéder à des données stockées aux Etats-Unis en excluant toute donnée concernant des citoyens américains.

La seule attitude possible pour l’Union européenne, dans un souci de réciprocité et de juste équilibre entre la nécessité de lutter contre la criminalité et la protection des citoyens européens, serait de négocier avec les Etats-Unis un accord par lequel les autorités de chaque pays auraient accès de manière fluide aux données nécessaires à la lutte contre la criminalité, et à elles seules uniquement, sans considération de  leur lieu de stockage et sans discrimination sur la nationalité des personnes ou des entreprises concernées.

Suite à l’invalidation du Safe Harbor par la CJUE le 6 octobre 2015 (voir à ce sujet notre article La CJUE invalide le Safe Harbor), la Commission européenne a adopté le 12 juillet 2016 une décision d’adéquation visant à reconnaitre au mécanisme « EU-U.S. Privacy Shield » (bouclier de protection des données UE-États-unis) un niveau de protection « équivalent » aux exigences européennes. Ce nouvel accord a pour effet d’autoriser les transferts de données à caractère personnel depuis l’Union européenne vers les entreprises établies aux Etats-Unis utilisant ce dispositif.

Afin de garantir la conformité aux exigences de l’europe en matière de traitement des données, l’accord définit des « Privacy Shield Principles » auxquels les entreprises se doivent d’adhérer et de respecter. Toute entreprise qui viole ces principes peut être sanctionnée et doit mettre fin à l’utilisation des données collectées.

Le Privacy Shield constitue une réelle avancée dans la protection des données européennes en prenant en compte les recommandations formulées par la Commission européenne en novembre 2013 mais également certaines exigences énoncées par la CJUE dans son arrêt du 6 octobre 2015. Pour avoir une vue d’ensemble des principales nouveautés de ce dispositif, on pourra consulter la FAQ publiée par la Commission européenne le 12 juillet.

Selon Maximilien Schrems, citoyen européen à l’origine de l’invalidation du Safe Harbor, « le bouclier Vie privée est le produit de la pression des États-Unis et de l’industrie des technologies et non le fruit d’une démarche rationnelle ou de considérations raisonnables. Il est un peu plus qu’une petite mise à jour de Safe Harbor, mais non un nouvel accord ».

Voici les principaux reproches que l’on peut formuler à cette décision d’adéquation :

• Tout comme le Safe Harbor, le principe de certification est déclaratif basé sur le principe de l’auto-régulation. En d’autres termes, pour collecter des données européennes, les entreprises américaines n’ont qu’à s’auto-proclamer « Privacy Shield Compliant ». Et bien évidemment la liste des entreprises certifiées est déja longue.
• Le Privacy Shield n’interdit pas l’accès au contenu des communications par les services de renseignement américains. Bien sûr dans le texte, il n’est pas question de parler de « surveillance de masse » mais plutôt de « collecte ciblée ». Dans sa rédaction actuelle, le Privacy Shield ne semble pas respecter l’arrêt de la CJUE du 6 octobre 2015 considérant que la collecte effectuée par l’administration des États-Unis était contraire à la Charte des droits fondamentaux de l’Union européenne.
• Pour répondre aux exigences de la CJUE et du G29, un médiateur (Ombudsman) est chargé de traiter les plaintes de tout citoyen européen qui conteste un traitement ou une surveillance illégale. Mais quelle peut-être l’indépendance de ce médiateur dès lors qu’il est nommé par le Secrétaire d’État américain ? D’autre part, le médiateur ne pourra ni confirmer ni infirmer que les États-Unis se sont livrés à une surveillance du plaignant. L’ombudsman devra conclure en disant si les lois américaines ont été respectées ou que le problème de non-conformité a bien été résolu. Naturellement, aucune institution européenne ne sera habilitée à inspecter les Datacenters ou les logiciels américains. Dans ces conditions, le plaignant n’aura strictement aucun regard possible sur la réalité de la surveillance effectuée.
• Le Privacy Shield ne se substitue pas aux deux alternatives actuellement en vigueur que sont les clauses contractuelles types (EU model clauses) ou les règles internes d’entreprises (BCR). En conséquence, si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations, elle pourra quand même continuer à traiter les données via l’un des deux mécanismes précédemment cités.
• La conservation des données n’est pas limitée dans le temps. Les sociétés américaines peuvent donc utiliser les données aussi longtemps qu’elles le souhaitent tant que cela sert l’objectif pour lequel elles ont été initialement collectées ou ultérieurement autorisées.
• Même si une révision annuelle est prévue, il parait surprenant que l’accord porte uniquement sur les exigences de la Directive 95/46/EC alors même qu’un nouveau règlement européen  plus contraignant entrera en vigueur le 25 mai 2018 et abrogera la directive de 1995. Pourquoi n’a t-on pas prévu une clause de suspension afin de prendre en compte les exigences du nouveau règlement dans un nouvel accord UE/US ? Pourquoi la Commission européenne veut-elle alourdir les contraintes réglementaires sur les entreprises européennes alors que dans le même temps elle semble se satisfaire des promesses des sociétés américaines ?

Compte tenu des réserves que nous venons d’évoquer, il n’est pas impossible de voir le Privacy Shield faire l’objet d’un recours devant la CJUE, seule compétente pour constater la validité d’un acte de l’union conformément à l’article 263 du Traité sur le fonctionnement de l’Union européenne (TFUE).

L’affaire Bluetouff, c’est l’histoire incroyable d’un internaute qui sera condamné au pénal (3000 € d’amende et inscription au casier judiciaire) pour avoir simplement suivi un lien Google puis téléchargé des documents accessibles publiquement. Depuis son début, initié par la plainte de l’Anses le 6 septembre 2012, jusqu’à son terme conclu par l’arrêt de la cour de cassation le 20 mai 2015, l’affaire Bluetouff a fait l’objet de très nombreux articles dans la presse ou sur le Net. Mais une affaire de cybercriminalité n’est jamais très simple à comprendre car elle demande des connaissances juridiques et des compétences en sécurité informatique ou plus précisément en matière d’investigation numérique légale (forensic). En tant qu’expert judiciaire près la cour d’appel de Montpellier, je vous propose de réexaminer en détail le déroulement de cette histoire. L’objectif n’est pas de débattre une nouvelle fois sur le bien-fondé de la décision de la cour d’appel ou de la compétence informatique des magistrats mais plutôt de comprendre pourquoi Bluetouff a été condamné et ce qu’il aurait dû faire pour ne pas l’être malgré la plainte de l’Anses et les investigations de la DCRI.

• Rappel des faits
• Le jugement en 1ère instance par le TGI de créteil
• Le jugement de la Cour d’appel de Paris
• Le jugement de la Cour de cassation
• En garde à vue le silence est un droit !
• Sans aveux, une condamnation était-elle possible ?
• Conclusion

Rappel des faits

En août 2012, un internaute blogueur (reflets.info, bluetouff.com) dénommé Bluetouff, de son vrai nom Olivier Laurelli, navigue sur Internet via un serveur VPN hébergé au Panama. Il fait des requêtes sur Google puis suit un des liens proposés par le moteur de recherche pour atterrir sur un serveur de l’Anses (l’Agence nationale de la sécurité sanitaire et l’alimentation, de l’environnement et du travail). Il parcourt l’arborescence des répertoires du serveur et remonte jusqu’à la page d’accueil sur laquelle il constate la présence d’un contrôle d’accès (authentification par identifiant et mot de passe). Il continue ensuite sa navigation dans les sous-répertoires et télécharge de nombreux documents (environ 8000 documents représentant un volume de 7,7 Go). Il utilise quelques extraits issus de cette extraction (environ 200 Mo) pour publier (sous le pseudo Bluetouff) un article sur les nano-matériaux sur le site reflets.info. Il est important de noter à cet instant, qu’il n’y a strictement aucune protection d’accès à ces documents (aucun mot de passe ni chiffrement des données) et que tout internaute peut y accéder via Google avec un simple navigateur. Il faut préciser également, qu’il n’existe aucune mention de confidentialité sur les-dit documents.

Le 3 septembre 2012, un chef d’unité de l’Anses découvre un article relatif aux nano-matériaux mis en ligne sur le site d’information reflets.info, article accompagné d’un document Powerpoint de l’agence destiné uniquement à un usage interne provenant vraisemblablement de l’Extranet de l’Anses.

Le 6 septembre 2012, le RSSI de l’Anses dépose plainte auprès des services de police de Maisons-Alfort (94) pour intrusion dans le système informatique de l’Anses et vol de données. L’Anses étant considérée par l’état comme un opérateur d’importance vitale (OIV), c’est la DCRI (devenue DGSI depuis le 12 mai 2014) qui sera chargée de l’enquête.

L’analyse des journaux de connexions du serveur extranet et du firewall de l’Anses confirme les éléments fournis par l’agence lors du dépôt de plainte à savoir l’extraction les 27 et 28 août 2012 d’un volume d’environ 8 Go de donnée vers une adresse IP localisée au Panama. Cette adresse est rapidement identifiée comme provenant d’un serveur d’une société Panaméenne fondée et dirigée par Olivier Laurelli. D’autre part l’enquête de la DCRI permet d’identifier très rapidement Olivier Laurelli comme étant l’internaute agissant sous le pseudonyme Bluetouff.

Le 21 novembre 2012, Olivier Laurelli est placé en garde à vue durant 30 heures au siège de la DCRI. Lors de son audition, il reconnait avoir récupéré via son VPN panaméen l’ensemble des données accessibles sur le serveur extranet de l’Anses. Il reconnait également avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil sur laquelle il constate l’apparition d’une « mire de login » destinée à restreindre les accès par une authentification utilisateur. C’est le point clé de cette affaire : la reconnaissance formelle par Olivier Laurelli que les données n’étaient pas publiques mais bel et bien protégées par un mécanisme d’authentification mais dont une défaillance technique (dont l’entière responsabilité appartient à l’Anses) rendait accessibles publiquement. C’est d’ailleurs pour cette même raison que les données ont pu être indexées par Google.

Le jugement en 1ère instance par le TGI de créteil

L’affaire sera jugée en correctionnelle par le Tribunal de Grande instance de Créteil. Dans son jugement en date du 23 avril 2013, le tribunal indique :

Concernant l’accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données :

Néanmoins, il n’est pas contesté par l’Anses qu’une défaillance technique existait dans le système et que Monsieur Olivier L. a pu récupérer l’ensemble des documents sans aucun procédé de type « hacking ».
Compte tenu de l’ensemble de ces éléments, même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par Monsieur Olivier L. aux seules personnes autorisées. Monsieur Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. En conséquence, il convient de relaxer Monsieur Olivier L. des chefs d’accès frauduleux et maintien frauduleux dans un système de traitement automatisé des données.

Concernant le vol des documents téléchargés et enregistrés sur plusieurs supports :

Selon l’article 311-1 du code pénal, le vol est la soustraction frauduleuse de la chose d’autrui.

En l’espèce, en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose. En tout état de cause, Monsieur Olivier L. a pu légitimement penser que ces documents étaient librement téléchargeables puisque non protégés par un quelconque système. Il n’y a pas eu de sa part une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc il n’y a pas d’élément intentionnel de l’infraction.

Le 23 avril 2013, Olivier Laurelli est donc relaxé par le tribunal de créteil. « Tout est bien qui finit bien » devait-il sans doute se dire mais c’était sans compter sur le parquet de Paris qui décide de faire appel de cette décision.

Le jugement de la Cour d’appel de Paris

Devant la cour d’appel, Bluetouff devait répondre de trois chefs d’accusation :

• avoir accédé frauduleusement au serveur de l’Anses,
• s’y être maintenu frauduleusement,
• avoir soustrait frauduleusement les documents stockés sur cet extranet, en les dupliquant sur plusieurs supports.

Par un arrêt en date du 5 février 2014, la Cour d’appel de Paris confirme le jugement du TGI de Créteil concernant l’absence de caractère frauduleux de l’accès mais elle déclare Bluetouff coupable de maintien frauduleux et de vol de données.

S’agissant de l’accès frauduleux et dans la mesure où l’Anses avait elle-même reconnue une erreur de sa part dans la gestion des accès à leur serveur, les magistrats de la cour d’appel relaxe Bluetouff de ce chef d’accusation.

Concernant le maintien frauduleux, la Cour d’appel souligne qu’après avoir accédé au site de l’Anses, Bluetouff, en parcourant l’arborescence, avait pu constater que l’accès était soumis à des restrictions d’accès. Il avait donc :
« parfaitement conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ».

Concernant le vol de données, la Cour de cassation avait déjà par le passé qualifié de vol une copie de données (Cass.crim., n°07-84.002, 4 mars 2008, X/ Société Graphibus). Dans ses conclusions sur l’affaire Bluetouff, l’avocat général Frédéric Desportes s’est ainsi exprimé : « Il serait paradoxal que la soustraction frauduleuse d’un document papier sans intérêt soit passible de trois ans d’emprisonnement mais non celle de milliers de fichiers stratégiques alors même que ces fichiers ne sont jamais que des documents numériques ou numérisés pouvant être imprimés et donc matérialisés ».

A ce sujet, il est important de noter un changement récent de la législation. Ainsi en application de la Loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, le code pénal (art. 323-3) sanctionne désormais l’extraction de données, mettant ainsi un terme au débat relatif au « vol de données ». Le Code pénal réprime donc aujourd’hui non seulement l’introduction, la modification et la suppression frauduleuses de données mais également l’extraction, la détention, la reproduction et la transmission frauduleuses de ces données. Bien entendu, la promulgation de ce texte étant postérieure aux faits, il ne pouvait être appliqué dans le cas de l’affaire Bluetouff.

Ainsi, par un arrêt en date du 5 février 2014, la cour d’appel de Paris a condamné Olivier Laurelli pour maintien frauduleux dans un système de traitement automatisé de données et vol de données à une peine délictuelle de 3000 € assortie d’une inscription au bulletin no2 de son casier judiciaire.

Le jugement de la Cour de cassation

Suite à la décision de la cour d’appel, Olivier Laurelli a donc décidé, par l’intermédiare de son avocat Me Olivier Iteanu, de formuler un pourvoi en cassation. Dans son pourvoi, Me Iteanu avance de nombreux arguments :

• On ne commet pas le délit de maintien frauduleux dans un système de traitement automatisé de données (STAD) quand on utilise un moteur de recherche et un navigateur pour pénétrer un système non protégé.
• On ne peut déduire de la découverte d’un contrôle d’accès, la conscience d’un maintien irrégulier dans un système informatique.
• Il revient au responsable du système de manifester clairement et expressément sa volonté d’interdire ou restreindre l’accès.
• Les informations contenues dans une partie d’un site non protégé sont du coup réputées non confidentielles et publiées avec l’accord des intéressés.
• Il y a une contradiction évidente à reprocher à un internaute d’avoir « réalisé des opérations de téléchargement de données à l’évidence protégées » et « fait des copies de fichiers informatiques inaccessibles au public » en admettant dans le même temps qu’il a pu accéder librement à ces données.
• Le vol exige juridiquement la soustraction frauduleuse de la chose d’autrui (tel un individu a une chose, il se la fait voler, il ne l’a plus). Il n’y a donc pas de vol lorsqu’il n’y a pas de dépossession, sauf à violer le Code pénal qui est d’interprétation strict.

Malgré cet argumentaire tout à fait pertinent de Me Iteanu, les magistrats de la Cour de cassation ont estimé que la Cour d’appel avait jugé en droit et avait correctement interprété la Loi. En conséquence et en l’absence d’éléments nouveaux dans le dossier, la Cour de cassation rejette le pourvoi par un arrêt du 20 mai 2015 et confirme la condamnation prononcée par la Cour d’appel de Paris à l’encontre d’Olivier Laurelli.

Le dernier recours pour Olivier Laurelli est maintenant de saisir la CEDH (Cour Européenne des Droits de l’Homme) comme l’a indiqué son avocat Me Olivier Iteanu dans Le Parisien. Ce recours reste cependant très hypothétique dans la mesure où seulement 5 % des plaintes reçues par la CEDH sont effectivement examinées par la Cour. La CEDH n’accepte en effet d’examiner que les affaires démontrant une certaine probabilité de violation des droits garantis par la Convention européenne des droits de l’homme dont l’entrée en vigueur remonte à 1953.

En garde à vue le silence est un droit !

Il y a bien sûr un coté subjectif dans le jugement d’une affaire pénale et une procédure n’est rarement jouée d’avance. Il n’est pas rare en effet d’être condamné en première instance puis relaxé en appel même si dans le cas de l’affaire Bluetouff c’est le contraire qui s’est produit. Dans ces conditions, et même si l’on pense n’avoir rien fait de répréhensible, il vaut mieux lors des auditions en garde à vue, ne rien dire ! C’est ce l’on appelle le droit au silence et qui reste un droit de défense peu connu des citoyens et qui aurait peut-être évité à Bluetouff d’être condamné par la justice. Le droit au silence c’est la possibilité de garder le silence et d’être informé de ce droit dans le cadre d’une garde à vue. Il peut être utile de rappeler ce qu’est précisément une garde à vue telle qu’est est définie à l’article 62-3 du Code de procédure pénale : « La garde à vue est une mesure de contrainte prise au cours de l’enquête par laquelle une personne soupçonnée d’avoir commis ou tenté de commettre un crime ou un délit puni d’emprisonnement est maintenue à la disposition des enquêteurs. »

La Convention européenne des droits de l’homme considère depuis longtemps que « le droit de se taire lors d’un interrogatoire de police et le droit de ne pas contribuer à sa propre incrimination » sont des normes internationales, au cœur d’un procès équitable (aff. Murray/ Royaume-Uni, 1996). Mais en France, la culture de l’aveu est bien ancrée dans notre système judiciaire. Or, depuis la Loi n° 2011-392 du 14 avril 2011, les policiers sont désormais dans l’obligation d’informer un suspect qu’il n’est pas tenu de répondre à leurs questions. Le Conseil Constitutionnel, dans sa décision du 30 juillet 2010, avait déjà jugé que l’absence de notification du droit de se taire était contraire à la Constitution. Mais il a fallu attendre la condamnation de la France par la CEDH (Cour Européenne des Droits de l’Homme) dans l’arrêt Brusco c. France du 14 octobre 2010, n°1466/07, pour que s’engage une véritable réforme du régime de la garde à vue pour le rendre plus respectueux des droits de la défense. La France s’est donc pliée aux règles européennes et la Loi n° 2011-392 du 14 avril 2011 relative à la garde à vue a modifié le Code de procédure pénale. Le nouvel article 63-1 du Code de procédure pénale mentionne bien que la personne gardée à vue a le droit « de faire des déclarations, de répondre aux questions qui lui sont posées ou de se taire ».

Au terme de sa garde à vue, la personne concernée est soit remise en liberté, soit déférée, c’est-à-dire présentée à un magistrat qui décidera des suites à donner aux poursuites. Dans le cas où elle n’est pas remise en liberté, la personne gardée à vue peut être retenue par les services de police, avant d’être présentée, suivant sa situation, au procureur de la République, au juge d’instruction ou au juge des libertés et de la détention. Cette rétention supplémentaire, dont la durée maximale est de 20 heures, n’est qu’une simple attente et il est impossible de l’utiliser pour mener un nouvel interrogatoire. Précisons également et pour finir que l’article 116 du code de procédure pénale prévoit que le juge d’instruction, lors de la première comparution devant lui d’une personne qu’il envisage de mettre en examen, doit lui signifier « qu’elle a le choix soit de se taire, soit de faire des déclarations, soit d’être interrogée ».

Sans aveux, une condamnation était-elle possible ?

Dans l’affaire Bluetouff, il est évident que ce sont les déclarations d’Olivier Laurelli concernant la fameuse mire de login repérée tout en haut de l’arborescence qui ont entrainé sa condamnation. Sans ces aveux, quels sont les éléments qui auraient permis d’établir que Bluetouff avaient connaissance du caractère privé de ces documents ? Dans cette affaire, il y a pour les enquêteurs de la DCRI quatre sources d’information exploitables :

1. Les journaux d’évènements (logs) du serveur VPN situé au Panama
2. Les logs des fournisseurs d’accès Internet utilisés par Bluetouff (à Orléans et dans le Val de marne)
3. Les logs dans l’infrastructure d’hébergement du serveur de l’Anses (Firewall, reverse proxy et serveur Web Extranet)
4. L’historique de navigation et plus généralement toute information disponible sur le ou les postes clients utilisés par Bluetouff (historique, cache navigateur, fichiers résiduels,…)

Analysons, point par point, ces différentes sources d’information.

Source no1 : le serveur VPN
L’objectif du déploiement du service VPN de Bluetouff étant d’assurer l’anonymat, il est fort probable qu’il n’y ait aucune trace exploitable dans le serveur Panaméen en question. Pour exploiter cette source d’information dans le cadre d’une perquisition, c’est l’article 57-1 du code procédure pénale qu’il convient d’appliquer.

« Les officiers de police judiciaire ou, sous leur responsabilité, les agents de police judiciaire peuvent, au cours d’une perquisition effectuée dans les conditions prévues par le présent code, accéder par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l’enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial.
S’il est préalablement avéré que ces données, accessibles à partir du système initial ou disponibles pour le système initial, sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par l’officier de police judiciaire, sous réserve des conditions d’accès prévues par les engagements internationaux en vigueur. »

La seule convention internationale existante en la matière est la convention sur la cybercriminalité de Budapest du 23 novembre 2001 (Traité international No 185). Dans le cadre de la perquisition effectuée par la DCRI en novembre 2012, cette convention n’aurait pas pu s’appliquer puisque le Panama ne l’a ratifié que le 3 mars 2014 et qu’elle n’est entrée en vigueur avec ce pays qu’à compter du 1^er juillet 2014.

Précisons que si l’enquête avait lieu aujourd’hui, les choses seraient bien différentes, puisqu’au-delà de l’application de la convention de Budapest (articles 25 et 32-b en particulier), la LOI n° 2014-1353 du 13 novembre 2014 relative à la lutte contre le terrorisme (Chapitre V – article 13) a modifié l’article 57-1 du code procédure pénale en renforçant les moyens d’investigation des services de police judiciaire .

Source no2 : Les logs des FAI
Et bien pas grand-chose aussi à exploiter ici par la DCRI car tout est chiffré entre le poste client et le serveur VPN. Les seules choses que peut voir un FAI sont les métadonnées des connexions (adresses IP sources et destinations, heure de connexion, volume des données échangées,…) mais en aucun cas le contenu des requêtes et donc la preuve que l’URL de la page de connexion a bien été sollicitée. Bien sûr, si l’internaute Bluetouff était déjà sous surveillance et soupçonné de terrorisme, il y aurait la possibilité (technique et juridique) pour la DCRI de déposer un mouchard d’interception sur son poste client (via un 0-day exploit dans flash player par exemple, technique très à la mode en cette année 2015…) afin d’analyser intégralement tous les flux échangés avec son ordinateur quelque soient les solutions ou techniques cryptographiques mises en œuvre (https, TOR, I2P, Freenet, SSH, VPN IPsec ou SSL).

Source no3 : L’infrastructure d’hébergement du serveur de l’Anses
Beaucoup plus intéressant pour la DCRI car, que l’accès au serveur Web se fasse via http ou https (c’est le serveur Web de l’Anses qui décide et non pas le serveur VPN de bluetouff), les requêtes effectuées apparaissent en clair dans les journaux de logs du serveur Extranet et également dans les logs d’un éventuel reverse proxy déployé en amont. Mais quel est la valeur juridique d’un fichier de logs ? La preuve d’un fait juridique pouvant se faire par tout moyen, il est par conséquent possible d’utiliser un fichier de logs à titre de preuve dans le cadre d’une procédure pénale. Toutefois, sa recevabilité à titre probatoire est subordonnée à sa fiabilité. Ce critère dépend d’une part, des conditions dans lesquelles le fichier a été collecté puis conservé et d’autre part, de la qualité de la partie qui a réalisé ces opérations. Ainsi, la force probante d’un fichier de logs est maximale si son authenticité et son intégrité peuvent être tracées et garanties de la collecte de l’information recherchée jusqu’à sa fourniture aux enquêteurs judiciaires. Dans le cas de l’affaire Bluetouff, il est fortement vraisemblable que ce fichier de logs soit géré directement par l’Anses et que les administrateurs de l’agence aient la possibilité de l’altérer en toute discrétion. On peut par exemple imaginer d’y ajouter une ligne d’accès à la fenêtre d’authentification du serveur en provenance de l’adresse IP du serveur VPN pour incriminer Olivier Laurelli. Dans ces conditions, on peut difficilement imaginer que ce fichier logs soit recevable à titre de preuve. Il est important de noter que, même si un fichier de logs est recevable à titre probatoire, il reste néanmoins soumis à l’appréciation du juge qui peut décider de l’écarter des discussions.

Source no4 : Les informations sur le poste client de Bluetouff
Dernière source d’information intéressante à exploiter par les enquêteurs de la DCRI : le ou les ordinateurs dont s’est servi Olivier Laurelli pour accéder au serveur de l’Anses via son VPN. C’est d’ailleurs pour pouvoir exploiter cette source qu’il est placé en garde à vue pendant 30 heures, que son domicile à Orléans (Loiret) est perquisitionné et que son matériel informatique est saisi. Rappelons que la garde à vue (article 62-2 du code de procédure pénale) doit constituer l’unique moyen de parvenir à certains objectifs comme empêcher que la personne ne modifie des preuves ou des indices matériels. N’ayant pas eu accès aux pièces du dossier, il est impossible de se prononcer sur les éléments récupérés dans le matériel saisi par les enquêteurs. Une chose est sûre cependant, c’est que la solution VPN utilisée dans l’affaire Bluetouff (solution totalement différente d’un VPN entreprise utilisé pour le télé-travail par exemple) permet d’assurer l’anonymat. En d’autre terme, cela rend impossible à un Webmaster d’identifier l’origine réelle d’une requête effectuée sur son serveur Web. Mais si un enquêteur dispose physiquement du poste de l’utilisateur du service VPN, il peut alors retrouver un ensemble de traces informatiques comme par exemple la requête à la page d’authentification du serveur de l’Anses avec la date et l’heure exacte de l’opération. Il va sans dire que si ces éléments coïncident parfaitement avec le journal de logs fourni par l’Anses et indiquent qu’une requête sur la page d’authentification a bien été effectuée, les aveux de Bluetouff ne semblent plus nécessaires pour démontrer à la Cour qu’il avait bien conscience de son maintien irrégulier dans le système. On peut également imaginer que Bluetouff n’est pas le premier venu et qu’il a pris quelques précautions au niveau de son poste client. Quoique la première des précautions qu’il me viendrait à l’esprit si je souhaitais naviguer de façon réellement anonyme via un VPN serait sans doute de ne pas m’appuyer sur le serveur VPN de ma propre entreprise fût-elle immatriculée au Panama ou ailleurs dans le monde. Cela dit, si Bluetouff a eu par exemple la bonne idée d’utiliser Tails ou de naviguer dans une machine virtuelle chiffrée puis de supprimer cette VM par une opération de « crypto shredding », il y a fort à parier qu’aucune information pertinente n’a pu être récupérée par la DCRI.

Conclusion

Pour gagner ce procès, il aurait fallu qu’Olivier Laurelli garde le silence lors de ses auditions mais qu’il soit également en mesure de faire disparaître toute trace de navigation sur les ordinateurs utilisés les 27 et 28 août 2012. Dès lors, comme il n’y pas eu d’accès frauduleux (ce qui est acté par tous y compris par l’Anses) et qu’il n’y a plus de moyen de prouver le maintien frauduleux, la Cour d’appel de Paris n’aurait pu que confirmer le jugement du TGI de créteil :
« En tout état de cause, Monsieur Olivier L. a pu légitimement penser que ces documents étaient librement téléchargeables puisque non protégés par un quelconque système. Il n’y a pas eu de sa part une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc il n’y a pas d’élément intentionnel de l’infraction. »

Autres ressources :

• Bluetouff condamné pour maintien frauduleux et vol de fichiers
• 3000€ d’amende et un casier judiciaire pour une requête Google
• Affaire Bluetouff : la Cour de cassation consacre le vol de fichiers informatiques
• Notre pourvoi en cassation est rejeté

A l’issue d’une consultation publique (23 juillet – 15 octobre 2012), la commission Européenne a élaboré puis adopté le 7 février 2013 la proposition d’une nouvelle directive pour la sécurité des réseaux et de l’information. La directive NIS (Network and Information Security) a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.

Approuvée par le Parlement Européen le 13 mars 2014 (521 voix pour, 21 voix contre), la directive NIS prévoit des mesures de sécurité à respecter pour les opérateurs de services essentiels mais également pour les acteurs du marché du numérique. Ces derniers étant définis à l’annexe II du document original de la directive : Plateformes de commerce électronique, Passerelles de paiement par internet, Réseaux sociaux, Moteurs de recherche, Services informatiques en nuage, Magasins d’applications en ligne.

Le 7 décembre 2015, les députés européens ont conclu un accord avec le Conseil pour arrêter le texte final de cette directive. Concrètement, l’accord a permis de finaliser la liste des sociétés concernées par la directive à savoir les infrastructures critiques (appelées OIV en France) mais également les acteurs du marché du numérique pour lesquels les réseaux sociaux sont finalement exclus. Les obligations des acteurs du marché sont beaucoup moins contraignantes que pour les OIV et concernent principalement le signalement obligatoire des incidents de sécurité aux autorités nationales compétentes.

En France, cette obligation n’est pas nouvelle. En effet suite à l’adoption du Paquet Télécom et l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, les opérateurs télécoms ont déjà l’obligation d’informer les autorités nationales compétentes (ici la CNIL) des fuites de DCP (données à caractère personnel). Concernant les opérateurs d’importance vitale (OIV), des obligations de sécurité sont imposées depuis la loi de programmation militaire (LOI n° 2013-1168 du 18 décembre 2013). Ainsi, selon l’article L1332-6-1 du code de la défense : « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.» Concernant les incidents de sécurité, l’article L1332-6-2 précise que les OIV doivent informer sans délai les services du Premier ministre (l’ANSSI) des incidents affectant le fonctionnement ou la sécurité des systèmes d’information. Des arrêtés sont en cours de finalisation pour définir précisément les modalités selon les secteurs concernés. Pour des raisons de sécurité, certains de ces arrêtés ne seront pas publiées.

Pour pouvoir entrer en vigueur, la Directive NIS devra encore être approuvée formellement par la commission du marché intérieur du Parlement le 14 janvier 2016 puis par le comité des représentants permanents du Conseil. Il s’agira ensuite pour chacun des 28 États membres de transposer la directive dans leur droit national respectif.

• Qu’est-ce que le Safe Harbor ?
• Pourquoi l’accord était-il fortement critiqué ?
• Pourquoi la CJUE a-t-elle été saisie ?
• Quelles sont les motivations de la CJUE ?
• Que va-t-il se passer maintenant ?

Qu’est-ce que le Safe Harbor ?

Le « Safe Harbor » (en français sphère de sécurité) est un ensemble de principes de protection des données personnelles, publié par le Département du Commerce américain, auxquels des entreprises établies aux Etats-Unis adhèrent afin de pouvoir recevoir des données en provenance de l’Union européenne. Ces principes, négociés entre les autorités américaines et la Commission européenne, sont essentiellement basés sur ceux de la Directive européenne 95/46 du 24 octobre 1995. Le 26 juillet 2000, la Commission Européenne a adopté une décision d’adéquation qui reconnaît que les principes de « Safe Harbor » assurent une protection adéquate pour les besoins des transferts de données à caractère personnel depuis l’Union Européenne. En conséquence, le transfert des données personnelles de l’UE vers les USA est légal dès lors que l’entreprise américaine est certifiée. La liste des entreprises certifiée (U.S.-EU SAFE HARBOR LIST) est disponible sur le site du département du commerce américain et recense à l’heure actuelle 5482 sociétés.

Pourquoi cet accord était-il fortement critiqué ?

Tout a commencé avec le Patriot Act., la loi anti-terroriste promulguée le 26 octobre 2001 en réponse aux attentats du 11 septembre. En donnant de très larges pouvoirs aux services de renseignement avec les NSL (National Security Letters) via une législation dérogatoire, le Safe Harbor ne pouvait plus garantir la confidentialité des données hébergées auprès de sociétés de droit américain ou de leurs filiales. En juin 2013, les révélations d’Edward Snowden n’ont fait que confirmer les programmes (PRISM, Xkeyscore,…) d’espionnage de masse des européens avec la collaboration active des leaders américains de l’Internet (Facebook, Microsoft, Apple,…). Si les européens avaient bien connaissance des lois (FISA, Patriot Act) qui permettent aux autorités américaines d’accéder à leurs données personnelles pour assurer la sécurité nationale du pays, ils n’imaginaient pas que les Américains s’en serviraient pour établir une surveillance à des fins économiques et géopolitiques. D’autre part, le secret autour des activités des services de renseignement relevant du gouvernement américain empêche toute vérification du respect des principes de la Directive Européenne (95/46) notamment sur les activités de recueil, de traitement, de conservation des données et empêche tout contrôle des intéressés sur ces activités.

Pour sa certification l’entreprise américaine peut faire appel à un tiers ou contrôler elle-même qu’elle se conforme aux exigences du Safe Harbor. C’est donc le principe de l’auto-évaluation (self-assessment) qui sera retenue par la plupart des entreprises américaines. Même si l’entreprise doit renouveler sa certification chaque année (selon le même principe), il apparait clairement que de nombreuses sociétés inscrites sur la liste des entreprises certifiée n’ont fait que s’auto-proclamer « Safe Harbor Compliant » en ne respectant en aucune manière les exigences réelles du Safe Harbor. D’autre part, le contrôle du programme étant exclusivement assuré par la Federal Trade Commission, les CNIL européennes (G29) n’ont aucun moyen de contrôler (et encore moins de sanctionner) les entreprises américaines contrevenantes.

Pourquoi la CJUE a-t-elle été saisie ?

L’affaire démarre en 2011 lorsque un jeune étudiant autrichien de 24 ans, Maximilian Schrems, reproche à Facebook de violer les lois européennes sur la protection des données personnelles. Dans un entretien à Pixels en août 2014, Max Schrems déclare :

« J’assistais à une conférence aux Etats-Unis  et quelqu’un de Facebook est venu nous expliquer comment les lois européennes sur la vie privée fonctionnaient. J’étais le seul Européen. Et il disait : “Vous pouvez faire ce que vous voulez, rien ne vous arrivera jamais”. Il interprétait la loi européenne d’une façon qui était complètement fausse. Il disait des choses comme : “Tant que personne ne vous dit non, vous pouvez continuer à utiliser leurs données”. »

Max Schrems en janvier 2012. DIETER NAGL / AFP

Il décide alors de porter plainte contre Facebook à Dublin là où se situe le siège européen du géant américain. En première instance, la justice irlandaise rejette sa demande en considérant que le transfert des données vers les datacenters américains de Facebook étaient couverts par le Safe Harbor. Devenu avocat, et suite aux révélations de Snowden en juin 2013, Schrems ne lâche pas l’affaire et décide de faire appel. Pour prendre sa décision, la High Court of Ireland (Haute Cour de justice irlandaise) demande alors l’avis de la CJUE pour statuer sur cette affaire.

Quelles sont les motivations de la CJUE ?

La CJUE a désigné, Yves Bot, avocat général, pour instruire cette affaire. Par décision du Conseil européen, la CJUE dispose aujourd’hui de 11 avocats généraux et selon l’article 252 du Traité sur le fonctionnement de l’Union européenne : « L’avocat général a pour rôle de présenter publiquement, en toute impartialité et en toute indépendance, des conclusions motivées sur les affaires qui, conformément au statut de la Cour de justice de l’Union européenne, requièrent son intervention. »

Dans ses conclusions, rendues publiques le 23 septembre 2015, Yves Bot étudie plusieurs questions fondamentales auxquelles il apporte les réponses suivantes :

• Quel est le rôle et quelles sont les capacités d’une autorité de régulation nationale face aux accords européens comme le Safe Harbor ? Peut-elle enquêter et agir contre des entreprises couvertes par ce type d’accord ?

Une autorité nationale de protection des données a le droit et le devoir de défendre les citoyens même en présence d’un accord européen

• Que se passe-t-il lorsqu’un accord passé il y a 15 ans (le Safe Harbor est en vigueur depuis 2000) n’est pas révisé alors qu’il a été porté à la connaissance du public que des traitements de données personnelles ont été effectués en dehors des finalités prévues par cet accord ?

La Commission européenne devait vérifier périodiquement la conformité du Safe Harbor aux standards de protection des données européens

• Peut-on considérer que l’accès aux données des européens par les services de renseignement américains respecte les principes de proportionnalité et de finalités explicites qui sont jugés nécessaires au respect des droits fondamentaux en Europe, y compris lorsque sont invoqués les motifs de sécurité nationale ?

Les conditions de respect des principes de proportionnalité et de finalités explicites ne sont pas respectés par les services de renseignement américains

• Comment faire respecter les droits des citoyens européens lorsqu’il n’existe pas de possibilité de recours juridictionnel respectant les standards européens dans le pays qui reçoivent leurs données personnelles ?

Les citoyens européens ne disposent pas des garanties nécessaires à l’exercice de leurs droits contre le traitement de leurs données par les services de renseignement

• La Commission européenne aurait-elle dû d’elle-même suspendre le transfert des données personnelles ou au moins réviser périodiquement le Safe Harbor afin de vérifier que les critères de conformité prévus à l’origine continuaient d’être respectés ?

Oui en conséquence, le Safe Harbor doit être invalidé et suspendu

Les conclusions de l’avocat général de la CJUE étant consultatives, il faudra attendre le 6 octobre 2015 pour que la CJUE rende son jugement définitif en déclarant invalide la décision 2000/520 de la Commission du 26 juillet 2000 instaurant le principe de « Safe Harbor ».

Dans son communiqué de Presse , La CJUE indique :

« Pour toutes ces raisons, la Cour déclare la décision de la Commission du 26 juillet 2000 invalide. Cet arrêt a pour conséquence que l’autorité irlandaise de contrôle est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et qu’il lui appartient, au terme de son enquête, de décider s’il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les États-Unis au motif que ce pays n’offre pas un niveau de protection adéquat des données personnelles. »

Que va-t-il se passer maintenant ?

Tout d’abord, l’autorité de contrôle irlandaise va devoir mener des investigations et prendre une décision concernant l’affaire Schrems/Facebook. Mais au-delà de cette affaire, il s’ouvre une période d’incertitude juridique pour tous les acteurs (fournisseurs américains et client européens). Des clarifications rapides sont attendues de la part de la commission européenne mais également du groupe de travail des CNIL européennes (G29). Dans ce contexte, il est fort probable qu’un Safe Harbor v2 voit le jour rapidement pour prendre en compte les exigences européennes.

Dans l’immédiat, il est fortement recommandé aux entreprises de procéder à un audit afin de répertorier tous les traitements de données personnelles dont le transfert s’est appuyé sur la base juridique du Safe Harbor. Notons pour finir qu’il existe d’autres possibilités pour transférer légalement des données personnelles vers les états-unis : les Binding Corporate Rules (BCR), les clauses contractuelles types (CCT) ou encore, lorsque c’est possible, les exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.

Si l’on en croit Rob Price, journaliste à Business Insider, Apple envisagerait de stocker les empreintes digitales de ses clients dans le Cloud afin de pouvoir les synchroniser sur d’autres dispositifs.
L’objectif décrit dans le brevet déposé par Apple étant de faciliter les transactions financières avec les équipements Apple. Ce brevet est extrêmement surprenant car on se souvient que lors de la sortie de l’iPhone 5S (1er modèle avec le lecteur d’empreinte Touch ID), de nombreux utilisateurs et journalistes s’étaient inquiétés de la sécurité des données biométriques.

Apple avait tout de suite réagit en déclarant que toutes les précautions avaient été prises pour sécuriser les données biométriques du Touch ID. Ainsi, selon Apple, ces données sont chiffrées puis stockées dans un container sécurisé au cœur de la puce A7. D’autre part, Apple avait affirmé qu’elles n’étaient jamais stockées sur les serveurs Apple ni même sauvegardées dans iCloud. Le brevet déposé par Apple à l’OMPI va donc à l’encontre de ces déclarations. Apple doit certainement penser qu’une fois le Touch ID adopté, les utilisateurs ne pourront plus vraiment faire marche arrière même si l’usage des données biométriques n’est plus celui initialement annoncé. Et quand on connait les nombreuses vulnérabilités du système iOS (en particulier toutes celles concernant le chiffrement et le container Keychain) et les pratiques de la NSA (que nul ne peut désormais contester depuis les révélations de Snowden), on est en en droit d’avoir les plus grandes inquiétudes pour la sécurité de nos données biométriques.

Alors après nos numéros de cartes bancaires, nos mots de passe, voici donc prochainement nos empreintes digitales dans le Cloud d’Apple. Il serait intéressant que la CNIL et l’Europe se prononcent rapidement sur ce projet afin d’éviter que la plus grosse capitalisation boursière du monde ne nous l’impose très rapidement.

Autre ressource :

• Apple Is Considering Storing Your Fingerprints In iCloud

Dans le cadre de l’affaire Charlie Hebdo, le directeur juridique de Microsoft, Brad Smith a révélé que Microsoft avait reçu une requête du FBI pour accéder au contenu des emails des frères Kouachi.  Microsoft aurait mis 45 minutes pour analyser la validité de la requête, la juger légitime, rechercher les informations requises et les transmettre aux autorités américaines. Cependant, Brad Smith ne précise pas si les données étaient situées aux Etats-Unis ou en Europe et si une NSL (lettre de sécurité nationale utilisée dans le cadre de l’USA PATRIOT Act.) avait été utilisée par le FBI. Pour rappel, dans le cadre d’une enquête de trafic de drogue, Microsoft s’est opposé à une requête du FBI portant sur des emails stockés en Irlande, argumentant l’opposition du droit Européen (Directive 95/46 CE) et le fait que la justice irlandaise n’avait pas expressément donné son accord. Hélas, la juge fédérale Loretta Preska a décidé le 31 juillet 2014 de réfuter les arguments de Microsoft et ordonné le rapatriement des données stockées en Irlande vers les Etats-Unis. Microsoft a refusé de s’exécuter et a fait appel alors même que la juge Loretta Preska avait convenu que son jugement ne pouvait faire l’objet d’aucun appel et que Microsoft avait le devoir de s’exécuter. Affaire à suivre…

 Autres ressources :

• Attentat à Charlie Hebdo : Microsoft n’a mis que 45 minutes à fournir des e-mails au FBI
• Attaque de Charlie Hebdo : Microsoft a livré des données au FBI
• Microsoft handed FBI data on Charlie Hebdo probe in 45 minutes
• Microsoft Gave Data on Charlie Hebdo Probe to FBI in 45 Minutes