[Kitetoa, les pizzaïolos du Ouèb

Nos commentaires sur le texte...

 

Sommaire du dossier

Le projet en Français (html)
The draft in english (html)
Le projet (PDF)
Le projet (Word RTF
La transposition au format Word
a été assurée par nos soins et
peut comporter des erreurs
par rapport au texte initial)
Nos commentaires sur
le texte
Liens utiles (links)
Certains diront: "ceux qui ne sont pas d'accord avec ce texte sont ceux qui ont quelque chose à se reprocher". Faux. Dans une démocratie, le débat public est sain. Ce projet de texte était confidentiel jusqu'il y a peu, pour une raison qui nous échappe. Par ailleurs, ce texte est flou et laisse un champ d'interprétation suffisamment vaste pour qu'il soit utilisé contre le droit légitime des individus au respect de leur vie privée.

Bien entendu, les commentaires que vous allez lire n'engagent que nous. toutefois, nous avons tenté d'être totalement impartiaux. Car cela nous a semblé important pour lancer ou faire avancer un débat. "Le bon sens près de chez vous" sera notre guide pour ces commentaire...


Voici le rôle du Conseil de l'Europe qui manage le projet de convention:

 

Le Conseil de l'Europe est une organisation internationale dont le siège est à Strasbourg (France) qui a pour mission centrale de renforcer dans l'ensemble de l'espace constitué par ses Etats membres la démocratie, les droits de l'homme et l'Etat de droit. La défense et la promotion de ces valeurs politiques fondamentales constituent la préoccupation commune et collective de tous les membres; elles ne relèvent plus des affaires intérieures d'un Etat.

Le Conseil de l'Europe se consacre également à la valorisation du patrimoine culturel européen dans sa diversité.

Il est enfin un centre où s'élaborent des réponses à de multiples problèmes de société: exclusion sociale, intolérance, intégration des migrants, menaces des nouvelles technologies sur la vie privée, questions de bioéthique, terrorisme, trafic de drogues, activités criminelles, etc.


Le préambule du texte indique:

"Ce texte, qui sera contraignant, a pour but d'harmoniser les législations nationales en la matière, d'intensifier les enquêtes et de permettre une coopération efficace entre les autorités des différents Etats."

Qu'on se le dise dans les chaumières et ailleurs, les Etats devront se plier à ce qui est écrit dans ce document...

"La possibilité d’intercepter les données transmises par l’intermédiaire de réseaux, y compris les réseaux de télécommunication, est à l’examen. Par ailleurs, les méthodes d’enquête spécifiques à l’environnement informatique nécessiteront la coopération des opérateurs de télécommunication et des fournisseurs de services Internet ; leur aide est en effet vitale pour identifier les délinquants informatiques et établir les preuves de leurs méfaits."

Le résultat de l'examen de la possibilité d'intercepter des données sera sans nul doute très intéressant. Dans le texte, il n'est fait nulle part mention de la nécessité d'un mandat judiciaire pour saisir le matériel ou les données. Et les interceptions?

La coopération des opérateurs et des FAI est importante dans la lutte contre les cyber-délinquants. Reste que le cadre' de cette coopération doit être précis et qu'il serait logique qu'il soit similaire à ce qui se fait déjà pour le téléphone, par exemple.

Etant donné l’importance de ces questions, des États non membres de l’Organisation, tels que l’Afrique du Sud, le Canada, les États-Unis et le Japon, participent activement aux négociations.

De nombreux passages du texte sont clairement inspirés des souhaits de la communauté du renseignement américain (voir la page des liens, notamment celui sur l'article de Wired à propos du FBI) .

En publiant aujourd’hui le projet du traité, le Conseil de l'Europe entend renforcer les consultations avec les parties intéressées, qu’elles soient publiques ou privées. Il invite tout particulièrement les entreprises et les associations à faire part de leurs commentaires aux experts chargés des négociations avant l’adoption définitive du traité."

Pour la petite histoire, ce texte a été rendu public bien avant la date prévue parce que )Transfert en avait dévoilé le contenu...

Dans le texte lui même:

Les Parties peuvent requérir que l’infraction soit commise soit en violation des mesures de sécurité soit dans une intention d’obtenir des données informatiques ou une autre intention délictueuse.

Demander la page index.htm de Kitetoa.com, ce n'est pas avoir l'intention "d'obtenir des données informatiques"?

"Article 6 - Dispositifs illégaux

Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, lorsqu’il est commis intentionnellement et sans droit:

    a. la production, la vente, l’obtention pour utilisation, l’importation, la diffusion, ou d’autres formes de mise à disposition,

    1. d’un dispositif, y compris un programme informatique, [spécialement] [principalement] conçu [en particulier] pour permettre la commission de l’une des infractions établies conformément aux articles 2 – 5 ci-dessus 
    2. d’un mot de passe, d’un code d’accès ou des données informatiques similaires permettant d’accéder à l’ensemble ou à une partie d’un système informatique

dans l’intention qu’il soit utilisé afin de commettre l’une des infractions visées par les articles 2 – 5"

Une fenêtre DOS permet de faire un traceroute, un ping, de demander des infos un peu particulières qui sont fort utiles pour pirater un serveur ou un réseau. A quand la mise en examen de Bill Gates? Cet article est une très bonne illustration de l'aspect "flou" du texte. Dans un autre registre, des initiatives telles que L0phtCrack ou Antisniff ne verront sans doute plus le jour car il sera bien trop facile d'accuser le créateur d'un logiciel de l'avoir fait "dans l'intention qu'il soit utilisé afin de commettre" un piratage. L0phtCrack et Antisniff ont pourtant eu un rôle pédagogique important, ils sont utilisés par de nombreux administrateurs réseaux et on peut se demander si la publication de tels logiciels n'a pas un poid sur la volonté, ou non, de la part des grands éditeurs comme Microsoft, de produire des logiciels "sécurisés"...

Article 12 - Responsabilité des personnes morales

2 Abstraction faite des cas déjà prévus au paragraphe 1, chaque Partie prend les mesures nécessaires pour s’assurer qu’une personne morale puisse être tenue pour responsable lorsque l’absence de surveillance ou de contrôle de la part d’une personne physique mentionnée au paragraphe 1 a rendu possible la commission des infractions visées au paragraphe 1 pour le compte de ladite personne morale par une personne physique soumise à son autorité.

Sans vouloir défendre à tout prix les administrateurs de réseaux ou de serveurs, il convient de dire qu'il est tout de même difficile de faire la différence, en passant devant un écran d'ordinateur, entre un scan local et un scan sur un réseau extérieur... Tant pis pour le responsable qui n'aura pas deviné que son employé était en train de scanner comme un fou la classe d'adresses:  194.250.50.1 à 254 avant de lancer ISS...

Article 14 - Perquisition et saisie des données informatiques stockées

  1. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes à perquisitionner ou à accéder d’une façon similaire :
  1. à un système informatique ou à une partie de celui-ci et aux données informatiques qui y sont stockées  ou
  2. à un support permettant de stocker des données informatiques

sur [son territoire ou en un autre lieu relevant de sa souveraineté] (22) , pour les besoins d'enquêtes ou de procédures pénales.

  1. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour veiller à ce que lorsque ses autorités perquisitionnent ou accèdent d’une façon similaire [Qu'est-ce qu'une façon similaire? Cet article dit sans le dire (voir note n°23) que les services de police pourront télé-perquisitionner (voir également article n]26) un ordinateur ou un réseau. Il est intéressant de noter qu"il n'est nulle part fait mention de la nécessité de disposer d'un mandat d'un juge... Par ailleurs, on peut utilement se demander si ce type de méthodes, que l'on reproche justement aux pirates, doivent être utilisées par l'Etat. La démocratie ne lutte généralement pas contre les délinquants avec les mêmes armes que les leurs. Exemple: les GAL en Espagne n'était pas véritablement un moyen légal de lutte contre l'ETA... De même, les policiers français ne font pas miroiter des deals aux trafiquants de drogue pour mieux les pincer...] à un système informatique spécifique ou à une partie de celui-ci, en recourant aux mesures visées au paragraphe 1 (a), et ont des raisons de penser que les données recherchées sont stockées dans un autre système informatique ou dans une partie de celui-ci, sur son territoire ou en un autre lieu relevant de sa souveraineté, et que ces données sont légalement accessibles à partir du système initial ou disponibles pour ce système initial, lesdites autorités soient en mesure d’étendre rapidement la perquisition ou un moyen d’accès similaire à l’autre système.
  2. [S’il s’avère que l’accès au système informatique ou à une partie de celui-ci ou à des données informatiques dont l'accès est autorisé en vertu du paragraphe 1 ou du paragraphe 2 se fait par inadvertance dans la juridiction d'une autre Partie, les autorités compétentes de la Partie menant l'enquête procèdent conformément aux dispositions de l’article […]] (23)
  3. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes à saisir ou à acquérir d’une façon similaire les données informatiques auxquelles l'accès a été obtenu en vertu des paragraphes 1 ou 2, en vue de leur utilisation éventuelle dans des enquêtes et procédures pénales. Ces mesures incluent les prérogatives suivantes :
  1. saisir ou acquérir d’une façon similaire un système informatique ou une partie de celui-ci ou un support permettant de stocker des données informatiques 
  2. réaliser et conserver une copie de ces données informatiques 
  3. préserver l’intégrité des données informatiques stockées pertinentes,
  4. rendre inaccessibles ou enlever ces données informatiques du système informatique consulté.

Encore une fois, les autorités peuvent "rendre inaccessibles ou enlever ces données informatiques du système informatique consulté" alors que c'est justement ce que l'on reproche aux pirates. Par ces démarches, dans un cadre démocratique, l'Etat se décrédibilise. Qui contrôlera le policier qui prendra ce genre de décisions?

  1. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour habiliter ses autorités compétentes, pour les besoins d'enquêtes et de procédures pénales, à enjoindre à toute personne connaissant le fonctionnement du système informatique ou les mesures appliquées pour protéger les données informatiques qu’il contient de fournir toutes les informations raisonnablement nécessaires, pour permettre l’application des mesures visées par les paragraphes 1 et 4.
  2. Lorsque des mesures visées par les paragraphes 1 et 2 ont été prises à l’égard d’un système informatique ou d’une partie de celui-ci, ou des données informatiques qui y sont stockées, la personne responsable (24) du système informatique doit, dès que cela est raisonnablement possible, être dûment informée des mesures exécutées. [Ah? Il est donc possible pour un policier de pirater un réseau (avec quelles compétences humaines et techniques? Les logiciels utilisés ne tomberont-ils pas sous le coup de l'article 6?) sans en avertir le responsable? En l'occurence, il serait possible qu'un service de police français ou allemand pirate les réseaux de France Telecom ou d'une entreprise privée comme Cegetel pour tenter d'y découvrir (peut-être) des données compromettantes pour une pirate... Cela fait beaucoup de "peut-être" et de "si" pour un grand pouvoir...]
  3. Les prérogatives et les mesures visées par le présent article sont subordonnées aux conditions et garanties prévues par le droit interne. [Ouf!]

Article 16 - Conservation rapide de données stockées dans un système informatique

  1. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour permettre à ses autorités compétentes d’ordonner ou d’obtenir d’une autre façon [Laquelle?], pour les besoins d'enquêtes ou de procédures pénales, la conservation rapide de données stockées au moyen d'un système informatique, du moins lorsqu'il y a des raisons de penser que celles-ci sont soumises à une période de conservation limitée ou sont, à d'autres titres, particulièrement sensibles aux risques de perte ou de modification.

Article 17 - Conservation et divulgation rapides de données relatives au trafic

  1. Pour mettre en oeuvre les procédures visées par l’article 16 en vue de la conservation de données relatives au trafic concernant une communication spécifique, chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour :
  1. veiller à la conservation rapide de ces données relatives au trafic, indépendamment de la question de savoir si un seul ou plusieurs fournisseurs de service ont participé à la transmission de cette communication  et
  2. assurer la divulgation rapide à l’autorité compétente de la Partie, ou à une personne désignée par cette autorité, d’une quantité suffisante de données relatives au trafic, aux fins d’identification des fournisseurs de service et de la voie par laquelle la communication a été transmise.
  1. Les prérogatives et les procédures visées par le présent article sont subordonnées aux conditions et garanties prévues par le droit interne.

Il est évident que les script-kiddies seront retrouvés grâce à ce genre de dispositions. Mais certainement pas ceux qui savent jongler avec les opérateurs et les réseaux. C'est à dire ceux qui, potentiellement, ont un pouvoir de nuisance important.

Article 18 – Interception

(en cours de discussion)

Vivement qu'ils finissent de discuter pour que l'on sache à quelle sauce on sera mangés... Et dire que les écoutes téléphoniques commencent à peine à être encadrées juridiquement...

Article 23 - Procédures applicables en matière de demande d'entraide

 

2. a. Chaque Partie désigne une ou plusieurs autorités centrales chargées d'envoyer les demandes d'entraide ou d'y répondre, de les exécuter ou de les transmettre aux autorités compétentes pour leur exécution;

b. les autorités centrales communiquent directement les unes avec les autres;

c. chaque Partie, au moment de la signature ou du dépôt de ses instruments de ratification, d'acceptation, d'approbation ou d'adhésion, communique au Secrétaire Général du Conseil de l'Europe les noms et adresses des autorités désignées en application du présent paragraphe;

d. le Secrétaire Général du Conseil de l'Europe constitue et met à jour un registre des autorités centrales désignées par les Parties. Chaque Partie s'assure que les indications figurant sur ce registre sont à tout moment correctes.

Quelles sont ces "autorités centrales"? Qui les contrôle? Quel est le rôle des juges dans cette histoire? Ici encore, le texte reste suffisamment flou pour que son application soit "élastique"...

Article 27 – Accès transfrontalier à des données stockées ne nécessitant pas l’entraide judiciaire

[ Nonobstant les dispositions de la présente section, une Partie peut, lorsqu’elle agit conformément à son droit interne [sans obtenir l’autorisation d’un autre Etat ou lui adresser une notification] :

  • obtenir accès ou recevoir de données stockées situées dans un autre État, si la Partie [était en contact avec une personne relevant de la juridiction et] agit conformément au consentement légal et volontaire d’une personne de l’État qui est légalement autorisée à permettre à la Partie d’accéder à ces données ou de les lui communiquer.](31)

L'avis éclairé d'un juriste pour décrypter cet partie de l'article 27 serait le bienvenu parce que moi, je suis un peu parano et mon interprétation pourrait en être abusive...
;))

Article 28 - Interception

[en cours de discussion]

Discutons, il en restera toujours quelque chose. Mais quoi?
;)

Dans les notes:

8) Le Groupe de rédaction est convenu à sa 8e réunion (novembre 1999) que le rapport explicatif devrait préciser que la notion d”altération” devait également couvrir le fait de manipuler les données relatives au trafic (“spoofing”).

Serait-il possible que des militants des droits de l'homme en Turquie (par exemple) décident qu'il serait utile de spoofer leur adresse IP avant de poster dans un forum de discussion un document compromettant pour Ankara? Ils seraient dans ce cas poursuivis... Force reste au droit

(23) Le Groupe de rédaction n’a pas examiné cette disposition lors de sa 10e réunion (février 2000), car elle est étroitement liée à la disposition sur les perquisitions transfrontalières.

Vivement que le FSB russe puisse venir télé-perquisitionner les ordinateurs d'un ministère français sous prétexte qu'un fonctionnaire aurait tenté, profitant de l'inattention de son  supérieur hiérarchique, de pirater le domaine Kremlin.ru
;))

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb