L’utilisation par le gouvernement de « mandats généraux » pour autoriser le piratage informatique et téléphonique est illégale

Interférence de l’équipement

Les services de renseignement du Royaume-Uni reçoivent des mandats du secrétaire d’État pour permettre aux interférences d’équipement, également connues sous le nom d’exploitation des réseaux informatiques (CNE), de pirater et d’infecter les appareils ciblés par des logiciels malveillants.

Les activités de GCHQ vont de la réécriture de logiciels produits commercialement, tels que les produits antivirus, à l’intégration de logiciels malveillants et de portes dérobées à la livraison automatisée de logiciels malveillants à des milliers d’ordinateurs.

Le tribunal a estimé que la CNE peut être un outil essentiel dans les enquêtes sur les menaces contre le Royaume-Uni, telles que le terrorisme, le crime grave et organisé et d’autres menaces à la sécurité nationale.

La CNE est nécessaire pour permettre aux services de renseignement de s’attaquer à « l’utilisation sans cesse croissante du chiffrement » pour cibler les personnes pour les intercepter, ont constaté les juges.

Loi sur les services de renseignement

Les mandats d’ingérence dans les appareils électroniques au Royaume-Uni sont goverened par l’article 5 de la Loi de 1994 sur les services de renseignement (ISA), qui permet également aux agents de renseignement et de sécurité d’entrer et de fouiller secrètement les bâtiments, interférer avec les biens et les droits de propriété intellectuelle h, par exemple, l’ingénierie inverse des logiciels commerciaux.

Le tribunal a conclu que l’article 5 ne peut être utilisé que pour délivrer des mandats d’ingérence d’équipement contre des cibles au Royaume-Uni, si les agences de renseignement identifient des actes spécifiques contre des biens ou des individus spécifiques.

Espionnage secrète

L’article 5 de la Loi de 1994 sur les services de renseignement permet :

• L’entrée secrète et la fouille de locaux ou de marchandises
• Interférence avec les marchandises
• Atteinte aux droits de propriété intellectuelle
• Piratage informatique dans le but de détruire ou de manipuler la fonction des systèmes électroniques

Lord justice Bean et le juge Farbey ont rejeté les arguments du gouvernement selon qui la nécessité de protéger les citoyens contre les attaques terroristes justifiait de donner la « construction la plus large possible » à la Loi sur les services de renseignement.

Le tribunal a fait référence à la série de 18^E siècle précédents juridiques, y compris un cas où les messagers du roi utilisé un mandat de perquisition pour entrer par effraction dans la maison et saisir des lettres et des biens de quiconque, ils se sentaient pourrait être suspect.

« Le vrai point, comme il nous semble, est de savoir si le mandat est à première vue suffisamment précis pour indiquer aux officiers individuels du GCHQ – qui, à ces fins, sont les successeurs des Messagers du roi dans les années 1760 – dont les biens, ou quels biens, peuvent être interférés, plutôt que de les laisser à leur discrétion », ont déclaré les juges.

Il serait illégal, par exemple, d’émettre un mandat général pour pirater les téléphones portables de toute personne au Royaume-Uni conspirant pour commettre des actes de terrorisme, mais il serait légal de pirater les téléphones et les ordinateurs dans un local spécifique, ou appartenant à des individus nommés, ont conclu les juges.

Quelle inférence d’équipement est autorisée au Royaume-Uni en vertu de S5 ISA

Illégale:

Un mandat pour pirater le téléphone mobile de tout parfils conspirant pour commettre des actes de terrorisme, ou toute autre activité.

Légale:

• Un mandat pour pirater un ou plusieurs téléphones mobiles, ordinateurs ou autres équipements avec des numéros de série répertoriés.
• Un mandat pour pirater les téléphones ou les ordinateurs utilisés par une ou plusieurs personnes nommées.
• Un mandat pour pirater les téléphones ou l’équipement électronique situé ou utilisé dans des locaux spécifiques.
• Un mandat pour pirater le téléphone d’un homme aux cheveux blonds, nom inconnu, vu quittant l’avenue One Acacia le 1er décembre 2015.
• Un mandat pour pirater tout dispositif utilisé à l’Acacia Avenue Internet Café pendant la période de six mois à partir de la date d’émission du mandat. »
• Pirater toute personne qui figure sur la liste diplomatique d’un pays déterminé pour une période de six mois.

Légal si les conditions sont remplies :

• Un mandat d’ingérence dans les biens de toute personne soupçonnée d’être membre d’une organisation ne serait autorisé que si l’appartenance d’une personne à l’organisation était « objectivement vérifiable ».

Douteuse:

• Un mandat d’ingérence ou de piratage de téléphones mobiles dans une vaste zone géographique, comme une ville ou une ville, est en principe légal en vertu de l’article 5 de la Loi de 1994 sur les services de renseignement. Mais la question de savoir si cela peut être nécessaire et proportionné « est une autre question ».

Piratage à l’étranger autorisé

Une grande partie du piratage informatique par l’État est désormais autorisée en vertu de la partie 5 de la Loi de 2016 sur les pouvoirs d’enquête, qui a introduit des contrôles supplémentaires, y compris l’obligation que chaque mandat soit signé par un commissaire judiciaire indépendant.

Mais la Loi de 1994 sur les services de renseignement reste en vigueur pour certains types de piratage informatique qui vise à détruire ou à manipuler la fonction des systèmes électroniques.

Le tribunal a refusé de se prononcer sur la l’application légale des mandats d’ingérence dans l’équipement émis avant que le gouvernement ne publie son code d’ingérence dans l’équipement en 2016.

Privacy International avait fait valoir que jusqu’à présent, presque rien sur l’exploitation des réseaux informatiques n’avait été reconnu, rendant le droit interne insuffisamment clair pour être légal en vertu de l’article 8 (2) de la Convention européenne des droits de l’homme.

« Nous ne pensons pas que le tribunal devrait rendre une décision sur une plainte relative à une situation qui avait cessé d’exister plus de quatre ans avant la plainte a été déposée, dit le jugement.

Caroline Wilson Pallow, directrice juridique de Privacy International, a déclaré qu’à la suite de la décision, les agences de renseignement devraient être spécifiques pour obtenir des mandats d’ingérence de l’équipement contre des cibles britanniques.

« Il ne suffit pas de dire que quelqu’un est engagé dans une activité particulière. Le jugement dit que le mandat doit suffisamment décrire qui pourrait être ciblé », a-t-elle déclaré.

« C’est une protection très importante, pour nous tous d’avoir un décideur supérieur, comme un secrétaire d’État pour autoriser la surveillance. Sinon, vous déléguerez des décisions à des agents du renseignement, potentiellement des agents de renseignement très subalternes. Il nous protège contre les abus de ces pouvoirs de surveillance.

La décision n’affecte pas la capacité des agences de renseignement britanniques de demander des « mandats thématiques » ou des « mandats généraux » pour interférer avec les téléphones mobiles et les systèmes informatiques à l’étranger à grande échelle, en vertu de l’article 7 de la Loi de 1994 sur les services de renseignement.

Le gouvernement a jusqu’à la fin janvier pour faire appel de la décision.

Comment le GCHQ utilise les interférences de l’équipement

Un mandat d’interférence de l’équipement divulgué, publié pour la première fois dans l’Intercept, montre que le GCHQ a demandé un mandat unique qui lui permettrait d’interférer avec les logiciels commerciaux.

Le mandat, marqué « Top Secret Strap2 UK Eyes Only » révèle que l’agence de renseignement électronique a inversé le logiciel de forum web largement utilisé, y compris vBulletin et Invision PowerBoard, pour identifier les vulnérabilités logicielles qui pourraient être utilisées pour attaquer les utilisateurs cibles.

Dans un autre cas, le GCHQ a modifié un logiciel utilisé par un fournisseur de services Internet, pour lui permettre de modifier le site du FAI et a tenté une « livraison d’implants ».

L’agence a ciblé des logiciels de la société anti-virus russe Kaspersky, et d’autres fournisseurs de logiciels antivirus, ce qui, selon elle, représentait un défi pour les programmes d’exploitation des réseaux informatiques de l’agence.

Software Reverse Engineering (SRE) « est essentiel pour être en mesure d’exploiter ces logiciels et d’empêcher la détection de nos activités », a déclaré l’application.

Dans une autre opération, le GCHQ a modifié les routeurs Cisco sur le Pakistan Internet Exchange, lui permettant d’accéder à n’importe quel internaute au Pakistan.

Le Centre national d’assistance technique (NTAC) du GCHQ a inversé le chiffrement commercialsouvent, ce qui lui permet de décrypter le matériel utilisé dans les enquêtes policières.

D’autres documents révélés par le lanceur d’alerte Edward Snowden ont montré par exemple que GCQH utilisait un système automatique appelé Turbine pour livrer et contrôler les logiciels malveillants en vrac à des millions de systèmes informatiques à la fois.

En 2011 et 2012, elle a utilisé une technologie appelée QuantumInstert pour pénétrer les réseaux informatiques du plus grand fournisseur belge de télécommunications, Belgacom.

L’agence a redirigé son personnel vers de faux sites Web contenant des logiciels malveillants, à leur insu, ce qui lui a permis d’accéder, non seulement aux communications internes de l’entreprise, mais aussi au trafic de télécommunications et de données circulant sur son réseau, depuis l’Europe, le Moyen-Orient et l’Afrique du Nord.

Le GCHQ a eu accès aux réseaux internes de Gemalto, qui produit des cartes SIM pour téléphones mobiles, y compris leurs clés de chiffrement, dans le cadre d’une opération conjointe avec la National Security Agency des États-Unis. Les espions ont pu voler des clés de cryptage, leur permettant de surveiller les communications mobiles à l’étranger, sans avoir besoin d’un mandat ou d’une écoute téléphonique.

En 2013, selon l’examinateur indépendant du terrorisme David Anderson, environ 20 % des rapports de renseignement du GCHQ contenaient des informations dérivées du piratage informatique.

Ce chiffre devrait être plus élevé aujourd’hui, car de plus en plus d’individus et d’organisations se tournent vers le chiffrement pour protéger leurs fichiers informatiques et leurs communications, forçant les agences de renseignement à utiliser des moyens plus sophistiqués pour recueillir des données.

Une60 réseaux informatiques et sociétés de données britanniques ont également été délibérément piratés et infectés par des logiciels malveillants par des pirates informatiques du partenaire américain du GCHQ, la National Security Agency (NSA), selon des documents fournis par l’ancien analyste de la NSA Edward Snowden, a rapporté Computer Weekly.

La bataille judiciaire de cinq ans de Privacy International contre les mandats thématiques

1989: Pour la première fois, le gouvernement reconnaît publiquement l’existence du MI5 dans la Loi de 1989 sur les services de sécurité.

1994: Le gouvernement reconnaît publiquement l’existence des Services secrets de renseignement, du MI6 et du GCHQ dans la Loi de 1994 sur les services de renseignement.

2008: Le GCHQ demande le renouvellement d’un mandat en vertu de l’article 5 de la Loi sur les services de renseignement pour permettre l’interférence avec les logiciels.

2014: Les révélations d’Edward Snowden révèlent que les services de sécurité et de renseignement britanniques utilisent en bloc des techniques de piratage pour accéder à « potentiellement des millions d’appareils », y compris des ordinateurs et des téléphones portables.

Les documents divulgués se réfèrent au logiciel d’implantation GCHQ, par exemple, pour lui permettre d’allumer un smartphone et d’écouter les conversations à l’insu de l’utilisateur.

July 2014: Privacy International entame une procédure judiciaire devant le Tribunal des pouvoirs d’enquête pour contester la légalité des mandats thématiques utilisés par les services de renseignement pour le piratage à distance de téléphones mobiles et d’ordinateurs ou l’exploitation des réseaux informatiques (CNE).

25 juin 2015: Sir Mark Waller, le commissaire aux pouvoirs d’enquête, s’est dit préoccupé par la légalité des « mandats thématiques » qui permettent aux services de renseignement d’interférer avec de vastes catégories d’équipement. Il a déclaré dans un rapport au Parlement que les « mandats thématiques » délivrés en vertu de l’article 5 de la Loi de 1994 sur les services de renseignement étaient sans doute trop larges pour être conformes à la loi.

Février 2015: Le gouvernement « avoue publiquement » que les services de renseignement utilisent l’article 5 de la Loi sur les services de renseignement (ISA) pour autoriser le piratage informatique. Parallèlement, il publie une version provisoire d’un Code d’interférence de l’équipement.

Janvier 2016: Le gouvernement publie un Code d’ingérence dans l’équipement pour régir l’utilisation de l’ingérence de l’équipement par les services de renseignement.

12 fév 2016: Le tribunal le plus secret de Grande-Bretagne, l’Investigatory Powers Tribunal (IPT), a déclaré que les services de renseignement pouvaient légalement pirater des téléphones portables et des ordinateurs appartenant à des citoyens britanniques à l’aide de « mandats thématiques » généraux. Elle a conclu que cette pratique était autorisée par l’article 5 de la Loi de 1994 sur les services de renseignement.

Mai 2016: Privacy International demande un contrôle judiciaire de la décision de l’IPT. Le gouvernement a soutenu qu’en vertu de la Loi de 2000 sur le règlement des pouvoirs d’enquête, la Haute Cour n’avait pas compétence pour annuler une décision de l’IPT sur une question de droit.

Février 2017: La Cour d’appel a convenu avec le gouvernement que les tribunaux n’avaient pas compétence pour un contrôle judiciaire sur les décisions de l’IPT. Privacy International porte l’affaire devant le tribunal d’unppeal.

Novembre 2017: La Cour d’appel statue en faveur du gouvernement, selon laquelle les tribunaux n’avaient pas compétence pour un contrôle judiciaire sur les décisions de l’IPT.

29 novembre 2016: La Loi de 2016 sur les pouvoirs d’enquête entre en vigueur. Introduit des pouvoirs juridiques clairs pour le secrétaire d’État de délivrer des « mandats d’équipement ciblés » et des « mandats d’interférence d’équipement en vrac ». Il ajoute les garanties manquantes à l’article 5 de la Loi sur la sécurité du renseignement, y compris l’obligation pour le mandat d’être autorisé par un commissaire judiciaire indépendant.

L’article 5 de la Loi de 1994 sur les services de renseignement demeure en vigueur pour le piratage informatique « lorsque l’objectif n’est pas d’acquérir des données, mais de détruire ou de manipuler autrement le fonctionnement des systèmes électroniques », d’interférer avec les droits de propriété intellectuelle, tels que l’ingénierie inverse des logiciels commerciaux, l’interférence avec les marchandises et l’entrée et les fouilles secrètes.

Décembre 2017: Privacy International obtient la permission d’interjeter appel devant la Cour suprême. Elle fait valoir qu’elle a le droit d’apporter un contrôle judiciaire contre l’IPT.

15 mai 2019: La Cour suprême a statué que les décisions du Tribunal des pouvoirs d’enquête pouvaient être contestées dans le cas d’un contrôle judiciaire.

8 janvier 2021: La Haute Cour statue que les services de renseignement ne peuvent plus compter sur des « mandats généraux » pour permettre d’interférer avec les téléphones mobiles, les ordinateurs et d’autres biens. Cette décision signifie que les services de renseignement n’ont pas le droit de pirater des milliers ou potentiellement des millions d’appareils sur la base d’un seul mandat.