Le 5 juillet, l'Assemblée nationale a voté la possibilité d'activer à distance les appareils électroniques, à des fins de géolocalisation ou de captations de sons et d'images. Il s'agit de l'article 3 du projet de loi d'orientation et de programmation du ministère de la Justice, et il est particulièrement décrié.
Des limites légales…
Premièrement, vos appareils ne passent pas en open-bar pour la justice française, comme l'indique LCP. L'activation à distance ne peut se faire qu'avec l'autorisation d'un juge et pour une durée limitée (15 jours renouvelables une fois ou deux mois renouvelables jusqu'à six mois, en fonction des cas). La géolocalisation ne sera permise que pour des crimes et délits passibles d'au moins cinq ans de prison, contre dix ans lors de l'examen au Sénat. Le changement a été effectué pour éviter d'exclure certains types de délits (proxénétisme, traite des êtres humains, etc.).
.jpg){kind=link}
Pour la récupération de sons et d'images, elle ne peut être mise en œuvre que pour des enquêtes relevant du terrorisme ou du crime organisé et exclut certaines professions : avocats, magistrats, parlementaires, médecins et journalistes détenteurs d'une carte de presse.
Le gouvernement indique qu'il s'agit essentiellement de suivre l'évolution des technologies, pour pouvoir profiter du matériel des suspects en parallèle des solutions déjà permises. En effet, la géolocalisation d'un suspect peut actuellement être obtenue par des balises et la récupération des sons et des images par la pose de caméras ou de microphones. Reste que ces dispositions font débat, avec des passages un peu loufoques — Ugo Bernalicis (LFI) a défendu un amendement pour exclure du dispositif les sex-toys connectés — et d'autres plus légitimes. En effet, un dispositif d'aide à l'audition connecté fait-il partie des appareils qu'il est possible d'activer à distance ?
… et des limites techniques
D'un point de vue technique, le texte explique ce qu'il est possible de faire, mais pas comment le faire. Et sauf si une loi impose aux fabricants de smartphones ou aux développeurs des systèmes d'exploitation de laisser volontairement des portes dérobées, certains appareils électroniques résisteront évidemment mieux que d'autres. Le texte se limite à un assez vague « appareil électronique » et la sécurité n'est pas la même entre un objet connecté lambda (une caméra de surveillance par exemple) et — totalement au hasard — un iPhone avec une version d'iOS à jour.
Actuellement, les solutions qui permettent d'activer le microphone ou la caméra d'un iPhone à l'insu de son propriétaire sont peu nombreuses1 et très onéreuses, comme le malware d'espionnage Pegasus. Bien évidemment, il existe probablement des smartphones ou des ordinateurs vulnérables dans la nature : certains emploient de vieux modèles d'iPhone sans effectuer de mises à jour, d'autres passent par des smartphones sous Android qui n'offrent pas nécessairement les derniers correctifs de sécurité, etc. Mais les appareils modernes demeurent malgré tout assez bien armés face à des attaques de ce type, qu'elles viennent — comme ici — d'États ou plus simplement de malandrins.
Terminons par un rappel : Apple a introduit une solution contre ce genre de lois avec les moutures 2022 de ses OS, iOS 16 et macOS Ventura. Il s'agit du mode Isolement, qui réduit les angles d'attaque possibles sur un iPhone ou un Mac tout en limitant aussi les possibilités des appareils. Il est donc réservé aux personnes qui risquent d'être ciblées par des cyberattaques… qu'elles viennent (encore une fois) du « bon » ou du mauvais côté de la barrière.
Faut-il activer le nouveau mode Isolement pour protéger ses appareils ?