«La Suisse doit développer son propre logiciel espion»

Piratage Les Jeunes socialistes portent plainte après l’achat d’un cheval de Troie par la police de Zurich

Une démarche prématurée, juge l’avocat Sébastien Fanti

L’achat d’un logiciel espion par la police zurichoise continue de faire des vagues. Une semaine après les révélations des médias alémaniques, les Jeunes socialistes zurichois ont déposé une plainte contre le conseiller d’Etat en charge de la Sécurité. Ils accusent le socialiste Mario Fehr d’avoir approuvé l’achat d’un cheval de Troie permettant à la police d’infiltrer des téléphones ou des ordinateurs à l’insu de leurs utilisateurs. «L’acquisition et l’utilisation du software Galileo […] sont une violation du droit constitutionnel à la liberté personnelle et à la vie privée», fustigent-ils dans leur plainte envoyée lundi au Ministère public zurichois.

Ils estiment que le Code de procédure pénale, qui permet des écoutes sous certaines conditions, «n’autorise pas l’utilisation d’un tel logiciel de surveillance et de manipulation des communications». Ils disent avoir reçu le soutien de trois avocats zurichois, dont Marcel Bosonnet, qui a travaillé l’année dernière pour le compte d’Edward Snowden, et Viktor Györffy, de la Digitale Gesellschaft, une association spécialisée dans la protection des données.

«Les bases légales sont insuffisantes pour acquérir un cheval de Troie qui fonctionne sur des failles informatiques. La police agit comme un hacker criminel», estime Viktor Györffy. «A notre avis, l’utilisation de GovWares [logiciels malveillants] n’est pas autorisée par le Code de procédure pénale actuel», corrobore Silvia Böhlen, du bureau du préposé fédéral à la protection des données – une lacune qui pourrait être comblée avec la nouvelle loi sur le renseignement. Si les avocats interrogés partagent cette critique, ils restent en revanche dubitatifs quant à la démarche des Jeunes socialistes. Sébastien Fanti, avocat spécialisé dans les nouvelles technologies, explique son scepticisme.

Le Temps: La plainte a-t-elle une chance d’aboutir?

Sébastien Fanti: A mon avis, la plainte sera rapidement classée sans suite. Pour invoquer la violation d’un droit fondamental, les Jeunes socialistes doivent montrer qu’ils sont eux-mêmes victimes. Un procureur n’ouvre pas d’enquête sur une telle accusation. La plainte est trop vague et prématurée.

– Pourquoi?

– Les accusations des Jeunes socialistes reposent sur des révélations de la presse, nourries par des mails dérobés par des hackers. Mais ils n’ont pas encore vu le contrat signé entre la police et la société italienne Hacking Team. Grâce à ce contrat, on saurait exactement quelles fonctionnalités ont été achetées et si certaines d’entre elles sont illégales, permettant des investigations disproportionnées. La géolocalisation en temps réel, par exemple, n’est pas justifiable pour des délits mineurs. Une autre fonction qui peut poser problème est la reconnaissance des touches frappées et donc des mots de passe. Elle permet à la police d’accéder aux comptes bancaires, sans l’aval préalable d’un magistrat. Cela génère des tentations…

– Selon les courriels publiés par les hackers, la police zurichoise n’aurait pas cherché à limiter strictement l’utilisation du logiciel lors de son achat fin 2014.

– Il faut exiger le contrat, en vertu des normes sur la transparence. Le Conseil d’Etat aurait dû être transparent dès le début et avertir les citoyens de cet achat et de son utilisation.

– Au risque de prévenir les malfrats?

– Tous les vrais criminels sont déjà équipés contre ce type de surveillance. Les polices se servent de chevaux de Troie depuis plusieurs années déjà. Ce ne sont que les pigeons qui se font avoir. N’importe quel citoyen peut s’en protéger pour 5 euros ou acheter lui-même un logiciel espion pour 200 euros. Je trouve donc que la police devrait avoir les mêmes possibilités que les citoyens et utiliser ces logiciels, mais de manière strictement encadrée, avec un cahier des charges précis. Il faut par ailleurs une instance de surveillance indépendante, au sein du Département fédéral de la justice ou du parlement, pour exercer un contrôle et harmoniser les pratiques.

– Qu’est-ce qui vous interpelle dans l’achat zurichois?

– Ce qui me choque, c’est notre incapacité à produire nous-mêmes de tels logiciels. Pourquoi les ­autorités fédérales ne mandatent-elles pas l’EPFL ou l’EPFZ, qui possèdent les meilleurs développeurs du monde, pour créer un cheval de Troie? On laisse les polices cantonales en acheter auprès d’une société italienne, sans contrôle, sans audit. Cela pose un vrai problème de souveraineté! Le canton de Zurich a une chance inouïe que le piratage ait eu lieu peu de temps après l’achat du logiciel. Imaginez le tollé si les hackers avaient publié des données sur des personnes espionnées par la police zurichoise…