Le gouvernement allemand se prépare à adopter des lois qui permettraient aux autorités d’utiliser des chevaux de Troie d’État pour pirater les appareils des personnes, même lorsqu’elles ne sont pas soupçonnées d’un crime.

La loi étendrait les pouvoirs du Service fédéral de renseignement et permettrait aux autorités d’obtenir un accès root à l’appareil de n’importe qui à des fins de surveillance.

En conséquence, les messagers cryptés avec un cryptage fiable de bout en bout deviendraient inutiles – le gouvernement serait en mesure de surveiller les messages des gens en temps réel avant qu’ils ne soient cryptés et envoyés.

L’Office fédéral allemand de la police criminelle est officiellement autorisé à utiliser des chevaux de Troie d’État depuis 2016, date à laquelle une nouvelle loi sur la surveillance a été adoptée par la grande coalition dissimulée dans les pages d’un projet de loi non controversé.

Inscrivez-vous pour le bureau de la police criminelle allemande bundesnachrichtendienst

La législation cachée a fourni aux autorités l’autorisation légale d’infecter les smartphones, les tablettes et les ordinateurs avec des logiciels malveillants lors d’enquêtes criminelles.

Malgré l’existence de ce projet de loi vieux de cinq ans, les services de renseignement allemands sont connus pour avoir utilisé secrètement des chevaux de Troie d’État (Bundestrojaner) depuis au moins 2011 – lorsque le Chaos Computer Club (CCC) “a rétro-conçu et analysé un programme malveillant “d’interception légale”. utilisé par les forces de police allemandes”.

Selon CCC, ce malware pourrait « non seulement siphonner des données intimes, mais aussi offrir une fonctionnalité de contrôle à distance ou de porte dérobée pour télécharger et exécuter d’autres programmes arbitraires ».

Maintenant, le gouvernement veut étendre ses pouvoirs de surveillance pour permettre à la police de pirater l’appareil de n’importe quel citoyen en toutes circonstances.

S’il est adopté, cela créerait des capacités démesurées qui se traduiraient par un lien de surveillance généralisé. C’est préoccupant, car la police peut utiliser ces pouvoirs pour contourner le cryptage dans des applications telles que Telegram, WhatsApp et Signal, supprimant ainsi la possibilité pour les personnes de communiquer en privé.

Caricature d'un espion furtivement hors d'un ordinateur portable

Menace massive à la vie privée

La possibilité d’envoyer des messages cryptés est extrêmement importante pour les journalistes, les militants des droits humains, les lanceurs d’alerte, les militants politiques, les avocats – et tout autre citoyen qui souhaite communiquer des informations sensibles et privées sans qu’elles soient disponibles pour leur fournisseur de services.

On sait qu’un grand nombre de personnes ont besoin d’accéder à des communications privées pour se protéger de la persécution, c’est pourquoi il est essentiel que tous les citoyens aient accès à une messagerie cryptée.

La suppression de la capacité des citoyens à communiquer en privé a longtemps été considérée comme une menace pour les droits humains fondamentaux – y compris la liberté d’expression et la liberté d’accès – par des organisations de défense comme ProPrivacy, Privacy International et Open Democracy.

Aujourd’hui, le gouvernement allemand envisage d’élargir l’une des lois de surveillance les plus invasives d’Europe, ce qui menacerait énormément les droits civils. Les changements juridiques à venir sont si troublants qu’un certain nombre d’organisations – dont Facebook et Google – se sont unies pour exprimer leur opposition.

Application Google sur un téléphone mobile

Selon ces sociétés, la décision de forcer les FAI à coopérer avec le gouvernement pour installer des chevaux de Troie d’État sur les appareils des gens créera un dangereux précédent. S’il est adopté, il modifiera fondamentalement la relation entre les fournisseurs de services Internet et leurs clients.

En conséquence, Google et Facebook ont ​​rejoint le Chaos Computer Club en envoyant une lettre conjointe appelant le gouvernement à :

  • S’abstenir d’adopter des lois supplémentaires qui affaiblissent ou cassent le cryptage
  • Abandon prévoit de forcer les entreprises à se conformer avec des modifications de la loi fédérale sur la protection de la Constitution – qui feraient des entreprises un “bras étendu des services de renseignement” et “mettraient en danger de manière significative la cybersécurité”.
  • Engager une période de consultation avec les citoyens, la société civile et l’industrie ouvertement pour permettre la transparence et une procédure parlementaire appropriée et pour obtenir un retour d’information adéquat avant que les propositions ne soient examinées et adoptées.

Des lois risquées

Il est positif de voir Big Tech s’opposer avec véhémence au plan allemand. Malheureusement, cependant, il semble peu probable qu’il ait un effet direct sur les plans du gouvernement.

Le gouvernement allemand utilise des logiciels malveillants à des fins d’enquête depuis une décennie, et il semble probable que la grande coalition des partis CDU/CSU et SPD décidera de se précipiter sur les nouveaux pouvoirs dans les semaines à venir.

Si les amendements à la loi fédérale sur la protection de la Constitution sont adoptés – et le projet de loi sur la police fédérale est également adopté – cela permettrait à la police de commencer à espionner tout le monde utilisant des logiciels malveillants du gouvernement, même s’ils ne sont pas réellement soupçonnés d’avoir commis un crime.

Si cela se produisait, ce serait extrêmement préoccupant pour les citoyens non seulement en Allemagne mais aussi ailleurs, car cela créerait un précédent que d’autres pays pourraient chercher à reproduire.

Aucune porte dérobée nécessaire

Tout au long du réseau de surveillance Five Eyes, les gouvernements ont fait pression pour des portes dérobées dans les services de messagerie cryptés.

Les gouvernements du Royaume-Uni, des États-Unis et de l’Australie ont ouvertement préconisé et adopté des lois qui tentent de forcer des services comme WhatsApp à travailler main dans la main avec les agences gouvernementales pour donner accès aux messages privés.

Le déploiement de chevaux de Troie d’État à l’insu des consommateurs, en coopération avec les fournisseurs de services Internet, crée une méthode permettant aux gouvernements d’obtenir un accès root aux appareils de manière à ce que les gouvernements n’aient plus besoin de portes dérobées des fournisseurs de services et obtiennent à la place un accès complet aux messages avant qu’ils ne soient cryptés.

Cela crée également de graves risques de cybersécurité et de confidentialité pour les utilisateurs. Non seulement cela donne potentiellement au gouvernement accès aux données personnelles de chacun, y compris leurs identifiants et mots de passe et même leurs informations financières, mais cela augmente également la possibilité que les appareils infectés par le cheval de Troie soient victimes de pirates informatiques tiers.

En conséquence, le déploiement généralisé de ce type d’exploit pourrait entraîner de graves menaces pour la sécurité des consommateurs et permettre aux cybercriminels de se livrer à des crimes graves.

En fin de compte, cela crée beaucoup trop de risques pour les consommateurs et c’est quelque chose que l’Allemagne (et d’autres gouvernements) ne devrait pas être légalement autorisée à faire – ou ne devrait jamais être autorisée à faire de manière très ciblée après avoir reçu un mandat pour s’assurer qu’il n’y a pas de preuve de criminalité avant qu’un appareil ne soit ciblé.

Leave a Reply