Cela fait maintenant presque un an que les amendements à la législation concernant le « Bundestrojaner » ont été adoptés par le gouvernement allemand. Ces amendements ont été apportés pour permettre aux autorités d’installer des logiciels et de déchiffrer l’utilisation privée d’Internet sans consentement.
Aujourd’hui, plusieurs organisations et individus déposent une plainte constitutionnelle. La raison : non seulement les logiciels malveillants parrainés par l’État posent d’énormes risques de sécurité, mais il se pourrait en outre que le Bundestrojaner soit déployé beaucoup trop souvent et facilement, au lieu d’être utilisé uniquement dans des cas extrêmes, ce qui constituerait une menace sérieuse pour la vie privée.
Qu’est-ce que le Bundestrojaner ?
Le Bundestrojaner est un logiciel (ou plutôt un logiciel malveillant) qui existe depuis 2011, du moins c’est à cette date qu’il a été découvert par le CCC. L’outil est censé être utilisé dans la surveillance des télécommunications, c’est-à-dire pour lire les e-mails, les chats et pour mettre sur écoute les appels effectués par la cible à partir de son ordinateur ou son smartphone. Cela se fait en tirant parti de lacunes en matière de sécurité qui ne sont pas forcément connues du public.
De nombreuses préoccupations
On peut toutefois se demander pourquoi le Bundestrojaner est un si gros problème. Il y a plusieurs raisons :
Questions de sécurité : Comme tous les logiciels malveillants, celui du gouvernement doit abuser des bogues et des failles de sécurité pour fonctionner. En exploitant ces vulnérabilités au lieu de les divulguer, la loi non seulement rend un mauvais service civique à tous les utilisateurs en ligne, mais elle augmente aussi les chances que ces faiblesses soient utilisées à leur tour par des criminels.
Si cela vous paraît tiré par les cheveux, repensez à WannaCry. Ce rançongiciel illustre le mieux comment le gouvernement exploita des vulnérabilités qui n’avaient pas été divulguées et comment des criminels purent en profiter au maximum.
Préoccupations quant à la vie privée : Il y a tout juste un an, le Bundestrojaner ne pouvait être utilisé que dans des cas extrêmes, par exemple si quelqu’un était soupçonné d’être un terroriste. Les amendements apportés l’année dernière ont changé la donne. Aujourd’hui, toute personne soupçonnée d’un crime comme le trafic de drogue ou la contrefaçon d’argent peut être victime de ce logiciel malveillant.
Rien qu’en 2016, il y a eu 40 000 cas auxquels le cheval de Troie aurait pu être appliqué. Une fois infectée avec succès, la victime devient un livre ouvert à tous ceux qui l’observent : e-mails, messages Skype, photos et vidéos de vacances, il n’y a plus de secrets. Un vrai cauchemar en termes de vie privée.
La plainte constitutionnelle
Les enjeux susmentionnés relatifs au Bundestrojaner préoccupent plusieurs parties, et elles ont le sentiment que leurs préoccupations sont suffisamment grandes pour les porter devant le « Bundesverfassungsgericht », la cour constitutionnelle suprême allemande. Ces parties sont l’association « Digitalcourage », qui a même une pétition en cours pour appuyer sa plainte, la « Gesellschaft für Freiheistrechte », ainsi que quelques politiciens et journalistes.
Tous ont des objectifs différents. Alors que Digitalcourage demande que le logiciel malveillant du gouvernement disparaisse complètement, la GFF veut seulement restreindre son utilisation et s’assurer qu’il n’est utilisé que dans des cas extrêmes et que les failles de sécurité soient signalées.
Un logiciel malveillant est un logiciel malveillant, peu importe l’auteur
Travis Witteveen, directeur général d’Avira, a une position très claire en ce qui concerne la sanction et l’utilisation de logiciels malveillants parrainés par le gouvernement : « Un logiciel qui utilise les faiblesses d’un système pour le manipuler ou l’exploiter sans en informer l’utilisateur ni lui demander son consentement est considéré comme malveillant, quel qu’en soit l’auteur.
Les gouvernements qui investissent dans la recherche des faiblesses des systèmes mais qui ne communiquent pas celles-ci au fournisseur de ces systèmes ou logiciels soutiennent en fait la criminalité, au lieu de la prévenir.
Le gouvernement allemand devrait utiliser l’argent des impôts de manière plus appropriée et dans le but de garantir la protection de la vie privée, pas pour créer de nouvelles cybermenaces. »