Le CSEA : droits, libertés et répression des cybercrimes aux Etats-Unis d’Amérique
Publié le 22/12/2002 par Donatien Cassiers
Par un vote de 383 contre 3 voix, la Chambre des Représentants a adopté le 15 juillet 2002, à Washington, en 45 minutes, un texte qui modifiera probablement le visage de la démocratie américaine : le « Cyber Security Enhancement Act » (CSEA) . Le CSEA, bien que rédigé avant le 11 septembre, a été adopté dans…
Par un vote de 383 contre 3 voix, la Chambre des Représentants a adopté le 15 juillet 2002, à Washington, en 45 minutes, un texte qui modifiera probablement le visage de la démocratie américaine : le « Cyber Security Enhancement Act » (CSEA) . Le CSEA, bien que rédigé avant le 11 septembre, a été adopté dans le prolongement du « PATRIOT Act » -lui-même largement controversé pour les atteintes aux libertés constitutionnelles qu’il contient. Le texte a récemment été intégré à la nouvelle loi sur la sécurité intérieure Homeland Security Act (actualité disponible prochainement) lui-même voté par le Sénat à 90 voix contre 9 le 19 novembre dernier.
Juridiquement, le CSEA a le mérite d’aiguillonner sérieusement le débat des droits fondamentaux sur internet. Quels sont les grands axes du CSEA?
La mise en danger de la vie d’autrui par l’usage d’un ordinateur.
Toute personne, qualifiée de « hacker » (pirate informatique) qui met en danger, sciemment ou « par imprudence », la vie d’autres personnes par l’usage d’un ordinateur peut être emprisonnée à vie. Cette disposition vise-t-elle concrètement tout un chacun? Il est permis d’en douter. En effet, pour porter atteinte « à la sécurité physique de personnes » via un réseau informatique, il faut dépasser le stade du hacking « artisanal » pour, par exemple, pénétrer les systèmes informatiques sécurisés de centrales nucléaires, des centres de gestion dutrafic aérien ou des serveurs de l’armée. Ceux-ci fonctionnent sous cryptage RSA 1024 ou 2048bits (à titre de comparaison, le « home banking » fonctionne généralement sur 128bit et l’augmentation du cryptage se fait sur base exponentielle), ce qui, à l’évidence, n’est pas à la portée de tout un chacun.
Néanmoins, le CSEA vise potentiellement un spectre très large de faits et de personnes.
La position du FAI :
Avant le CSEA, les FAI supportaient la responsabilité civile et pénale à l’égard de leur abonnés en cas de divulgation de leurs informations sauf en cas d’indices patents de dysfonctionnements du système dû à un internaute déterminé, de mandat du pouvoir judiciaire ou de constat d’infraction ou de crime en cours de commission. Le CSEA permettra quant à lui la surveillance « limitée » lorsqu’une attaque survient sur un ordinateur protégé et connecté ou que des « intérêts ayant trait à la sécurité nationale » sont menacés. De même, des écoutes sont possibles si des personnes risquent des blessures graves ou que l’action implique le crime organisé. Les informations collectées seront -officiellement- le numéro de téléphone du suspect, son adresse IP, la destination et la provenance de ses communications, son URL et les informations contenues dans le titre des e-mails qu’il reçoit ou envoie. Toutefois, les fournisseurs d’accès (FAI) sont autorisés à transmettre le contenu des e-mails ainsi que toute autre information électronique dans les cas de « crimes sérieux ». Quelle incidence de ces dispositions ont-elles sur la responsabilité du FAI ?
Le FAI, qui assumait auparavant une position inconfortable, a été libéré de tout scrupule et affranchi de toute barrière en deux temps. D’abord par le PATRIOT Act qui lui a permis d’ouvrir son réseau aux multiples techniques de renseignement portant sur des informations couvertes par le droit à la vie privée de ses utilisateurs dès lors qu’il a des motifs « raisonnables » de penser qu’il y a abus. Malgré la légèreté du critère, une once d’objectivité subsistait. Dans un deuxième temps, le CSEA a encore allégé le critère en conditionnant sa coopération avec l’autorité à « sa croyance de bonne foi » qu’il y ait abus (voir l’article de silliconvalley.com). Une question subsiste : peut-on ne pas être de bonne foi devant un agent du gouvernement qui demande l’accès aux données informatiques?
Il est clair que l’incitation à préserver la vie privée des utilisateurs ne pourra contrebalancer la tentation de collaborer, et de se conformer à la loi dont se prévalent les autorités présentes. En fait, comme le souligne Ducan McCullagh, il n’y a pas un seul incitant pour eux pour refuser la transmission d’informations.
Qui sont les « agents » habilité à requérir
Enfin, last but not least, ceux qui sont autorisés à requérir les FAI ne sont plus les autorités judiciaires ou leurs mandataires mais toute autorité fédérale, d’Etat, ou locale. Comme le souligne D. Mc Cullagh, cela englobe la NSA, le FBI, la police, le bibliothécaire municipal, le directeur d’école, le recteur d’université, le Centre des Maladies Contagieuses,…
Les contraintes auxquelles son soumises les « autorités »
Aucune permission ou mandat préalable du pouvoir judiciaire ne sont nécessaires pour procéder aux investigations électroniques. Si une requête en vue de l’utilisation de tous les moyens d’espionnage électroniques disponibles est adressée au pouvoir judiciaire, ces outils pourront, dans tous les cas, être utilisés pendant 48 heures (« pen register » et « tap & track devices »). A posteriori, aucune disposition ne prévoit de procédure d’information d’une institution publique, du pouvoir judiciaire ou -bien évidemment- de l’intéressé espionné. La seule obligation pour l’autorité qui a procédé aux écoutes est d’en informer le Ministère de la Justice après trois mois.
De plus, et paradoxalement, l’urgence ne doit plus être « imminente », une menace indéterminée risquant de se concrétiser un jour suffit. Voila qui exclut peu de personnes du spectre légal.(voir l’article d’Electronic Frontier Foundation.
En outre, rien, dans les articles, ne prohibe explicitement le recours à ces techniques si l’ordinateur n’est plus le vecteur de la menace mais un moyen d’intercepter de l’information pour prévenir la concrétisation d’un risque n’ayant aucun rapport avec l’informatique. Il sera d’ailleurs toujours possible d’arguer que l’utilisation du réseau pour transférer de l’information relative à un crime ou un délit constitue déjà une utilisation interdite des moyens informatiques.
La loi comporte également des aspects institutionnels non négligeables. Par exemple, le National Infrastructure Protection Center continue à coordonner les actions préventives et réactives à tout type d’attaque réelle ou virtuelle sans toutefois être responsable de la centralisation des informations collectées en vertu du CSEA. Ce Centre a été créé par le gouvernement sans recours à un texte fondateur. Pour le CSEA, il remplit un rôle de pierre angulaire au niveau du partage d’information selon les types de source et selon les échelons auxquels elles ont été récupérées.
A priori, la possibilité que s’instaure une routine de contrôle est évidente (voir l’article de Findlaw)
Les solutions
Dès lors existe-t-il actuellement des alternatives? Certains le soutenaient mais leur position n’était relayée, pour l’essentiel, que par le camp des démocrates. D’autres estimaient que ce texte devrait être purement et simplement rayé des registres.
Les commentateurs proposaient en général quatre amendements -écarté lors du vote- à apporter à l’acte lors de son examen au Sénat :
- Centralisation des informations relevées en vertu du CSEA par le Gouvernement ou par une institution démocratiquement composée afin de renforcer l’efficience des collectes et de rendre transparente et vérifiable la mise en oeuvre du CSEA qui, en l’état actuel ouvre la porte à l’opacité la plus totale. Par ce biais, ils espèraient réduire les atteintes indues à la vie privée ;
- Restituer la compétence exclusive d’autorisation des écoutes et des enregistrements secrets au pouvoir judiciaire, ce qui revenait à vider le CSEA d’une majeure partie de son sens ;
- Formaliser l’existence et le rôle du National Infrastructure Protection Center dans une loi, afin de démocratiser l’institution ;
- Prévoir une information minimale du pouvoir judiciaire lorsque des actions sont menées sur base du CSEA.
En somme, il semble que le CSEA n’ait pas été adopté pour couper courts aux forfaits des quelques surdoués du numérique que compte les USA ou même le monde. Ses applications potentielles pourraient bien couvrir un nombre incalculable de cas de figure, pourvu que l’utilisation d’un ordinateur connecté intervienne.
Ceux, enfin, qui misaient sur un élargissement de la courte majorité démocrate au Sénat pour bloquer le CSEA en seront pour leurs frais, les urnes ayant consacré une victoire claire du parti républicain qui a, sans sourcillé voté l’entièreté du Homeland Security Act qui porte le CSEA dans ses flancs, le 19 novembre dernier.