L’avant-projet de loi sur la Société de l’information (LSI) procède tout d’abord à une mise à jour des articles du Code pénal portant sur les écoutes téléphoniques : "En matière criminelle et correctionnelle, si la peine encourue est égale ou supérieure à deux ans d’emprisonnement, le juge d’instruction peut, lorsque les nécessités de l’information l’exigent, prescrire l’accès par voie électronique dans un système de traitement automatisé afin d’y saisir des données qui y sont conservées." La rédaction est on ne peut plus floue : s’agit-il d’autoriser la "télé-perquisition" à distance, comme cela est prévu dans le cadre de la Convention sur la cybercriminalité du Conseil de l’Europe ? S’agit-il d’autoriser la "saisie" de données informatiques transitant par les fournisseurs d’accès comme cela se passe avec le Carnivore du FBI ? On remarquera, au passage, que le texte est précédé d’une notule pour le moins révélatrice du flou artistique qui entoure la question : elle précise, en effet, que l’article en question est en "attente d’une note des ministères concernés pour justifier et expliquer cette disposition"...

Des pouvoirs discrétionnaires ?

Les différents ministères impliqués ne sont pas encore tombés d’accord sur la rédaction exacte du projet de loi : si la Chancellerie propose que cette télé-perquisition ne puisse avoir lieu "que s’il existe à l’encontre du propriétaire légal des données recherchées des indices graves ou concordants", le ministère de l’Intérieur propose la "suppression de cette condition". Et recommande que, tout comme un juge, une autorité administrative puisse demander la saisie de ces données : tout suspect d’un crime passible de deux ans ou plus pourrait ainsi être "télé-fliqué" sur simple requête du ministère de l’Intérieur. En comparaison, aucune perquisition à domicile n’est autorisée par la loi française sans décision d’un juge. De plus, et comme en ce qui concerne la cryptographie, il se sera pas possible de contester le rapport d’expertise ni de demander une contre-expertise : "La décision d’accès en vue de saisie (…) n’est susceptible d’aucun recours."

Sus aux hackers !

Par ailleurs, le texte prévoit d’aggraver les sanctions prévues au titre de la loi Godfrain, qui, depuis 1988, sert de socle juridique en matière de lutte contre la fraude informatique. Ainsi, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 200 000 francs d’amende (au lieu d’un an de prison et 100 000 francs d’amende). L’altération d’un système, la suppression ou la modification de données passent quant à eux de deux à trois ans d’emprisonnement et de 200 000 à 300 000 francs d’amende, etc. Autre modification fortement critiquée par les professionnels de la sécurité informatique : "Le fait d’offrir, de céder ou de mettre à disposition un programme informatique conçu pour permettre les infractions (…) est puni des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée." Le problème a déjà été déjà soulevé à l’occasion du projet de Convention sur la cybercriminalité du Conseil de l’Europe : les professionnels de la sécurité informatique sont fréquemment amenés à utiliser les mêmes outils que les pirates informatiques, ne serait-ce que pour tester les réseaux qu’ils doivent sécuriser.

Logs : un an !

La conservation des données de connexion a toujours été au cœur des principaux débats portant sur la cybercriminalité et la responsabilité des fournisseurs d’accès à Internet (FAI). Jusqu’à présent, les FAI s’entendaient pour conserver ces "logs" pendant trois mois, conformément à une résolution du Parlement européen relative à la lutte contre la pornographie enfantine. Dans le projet de la LSI, cette durée de conservation serait portée à un an, conformément au souhait de la majeure partie des forces de l’ordre. La liste des données techniques à conserver sera fixée par décret, mais devra notamment comprendre les données relatives à la ligne téléphonique de l’usager, les dates et heures de connexion, les adresses URL consultées (sans pour autant avoir à enregistrer les pages visitées) ainsi que "les autres données relatives à l’usager (adresses IP, login, etc.)". Le volet relatif à la cryptologie obligeant les prestataires à remettre les clefs de déchiffrement, ce "etc." pourrait donc probablement valoir aussi pour les mots de passe. Si ces données "ne peuvent être communiquées que sur réquisition de l’autorité judiciaire", le ministère de l’Intérieur aimerait bien, quant à lui, pouvoir y accéder sur simple "autorisation de l’autorité administrative", sans qu’un mandat n’ait donc été délivré par un juge. Tout comme c’est le cas pour le Carnivore du FBI.