Par Bertrand Warusfel, Professeur à l’Université Paris 8, Chercheur associé au projet GEODE et Avocat au barreau de Paris (cabinet FWPA)
Par le nombre des Etats concernés et le fait que le logiciel considéré soit commercialisé par une société ayant pignon sur rue (à la différence des outils occultes mis au point par les cybercriminels), les révélations sur le logiciel de cyberespionnage Pegasus font scandale et donnent l’impression qu’une nouvelle étape est franchie dans les formes de cybermalveillance.

Mais l’affaire Pegasus n’est qu’une nouvelle illustration des pratiques de cybersurveillance que développent la plupart des États – démocratiques ou non – et que le droit s’efforce tant bien que mal d’encadrer. Elle pourrait faire progresser le droit européen et international de la cybersécurité en mettant en avant la nécessité de promouvoir une certaine « non-prolifération numérique ».

Que nous apprend l’affaire Pegasus ?

L’affaire Pegasus ne révèle pas l’existence d’opérations de renseignement électronique menées par des Etats, ce qu’Edgar Snowden avait largement montré en 2013.

Il peut s’agir d’intrusions informatiques menées y compris entre pays alliés ou de véritables attaques numériques réalisées par des groupes de hackers jouant les « corsaires numériques » pour le compte de certains États peu démocratiques. La Russie, la Chine ou la Corée du nord sont souvent montrées du doigt en la matière.

Ce qu’il y a d’inquiétant dans le cas Pegasus c’est plutôt le début d’une « démocratisation » des armes numériques, puisque l’acquisition commerciale de ce logiciel auprès de la société israélienne NSO aurait permis à des États ne disposant pas de compétences technologiques suffisantes pour mener des opérations cyber-offensives, de se doter d’un outil susceptible de contourner la sécurité des téléphones mobiles les plus utilisés dans le monde.

Ce piratage numérique est-il répréhensible juridiquement ?

La mise en œuvre d’un tel outil, qui aspire les données d’un téléphone mobile et intercepte communications et échanges numériques est explicitement contraire au droit pénal du numérique ainsi qu’à celui des données personnelles. Aux Etats-Unis, Facebook et sa filiale WhatsApp ont d’ailleurs porté plainte dès 2019 contre NSO qu’ils accusent d’avoir fait un usage illicite des serveurs de WhatsApp pour infecter les mobiles de certaines de leurs cibles.

En France, il s’agit d’une pénétration non autorisée dans un système de traitement automatisé de données (au sens de l’article L.323-1 du Code pénal) et – s’il y a « écoute » de communications – d’une interception illicite par la voie électronique (réprimée par l’article L.226-15 du Code pénal). Par ailleurs, la  CJUE a confirmé que la rétention des données de connexion (pourtant censée être moins intrusive) demeurait soumise aux exigences du droit des données personnelles et pouvait tout au plus faire l’objet de certaines dérogations en matière de sécurité nationale et sous le contrôle d’un juge (v. les arrêts CJUE, 6 octobre 2020, Quadrature du Net et Privacy International).

Il faut pourtant relever l’ambivalence des pratiques numériques intrusives et de leur encadrement juridique. Car ce qui est un délit répréhensible en droit commun, est  généralement autorisé au profit des services de police et de renseignement.

Ainsi l’article 706-102-1 du code de procédure pénale autorise de recourir dans une enquête judiciaire à « la mise en place d’un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre ». S’agissant des services de renseignement, c’est l’article L.853-2 du code de la sécurité intérieure qui leur permet depuis 2015 de mettre en œuvre de tels logiciels-espions.

Ce qui distingue donc les usages illicites de ceux autorisés à titre dérogatoire aux services d’État, c’est la nature des missions régaliennes justifiant – par application du principe de proportionnalité – une intrusion dans la vie privée. Mais ce sont aussi les mécanismes de contrôle qui les entourent (l’autorité judiciaire s’agissant des nouvelles techniques d’enquête, ou la Commission nationale de contrôle des techniques de renseignement et le juge administratif pour les opérations de renseignement administratif).

Ajoutons enfin que cette légalité dérogatoire encadrant les prérogatives des services d’enquête ou de renseignement demeure éminemment territoriale puisqu’une opération licite au regard du droit national d’un État constituera une infraction pénale si elle produit ses effets sur un autre territoire.

Comment réguler l’usage des moyens de cybersurveillance ?

Au-delà des droits nationaux intrinsèquement limités face au caractère transnational des attaques numériques, le droit et les pratiques internationales pourraient être sollicités utilement.

On peut penser déjà à poursuivre l’extension géographique de la Convention de Budapest sur la cybercriminalité de novembre 2001 qui harmonise le droit pénal du numérique. Si Israël (pays d’origine de Pegasus) ou le Maroc (qui en serait un grand utilisateur) en devenaient partie, cela permettrait de leur opposer les dispositions de la Convention (et notamment de son article 6 sur les outils numériques permettant de réaliser des attaques informatiques).

S’agissant des opérations de renseignement menées par les Etats démocratiques, il ne serait pas impossible que tout ou partie de ceux-ci (comme par exemple, les Etats membres de l’Union européenne entre eux, ou entre ceux de l’OTAN) s’entendent sur une interdiction des opérations de surveillance menées les uns contre les autres. S’agissant de Pegasus, les Américains auraient d’ailleurs convenu avec le gouvernement israélien que le logiciel ne pouvait pas cibler les numéros appartenant à leurs concitoyens (et d’autres Etats – dont la France – voudraient vraisemblablement obtenir des garanties de même niveau).

Mais ces « non-spying agreements » pourraient être plus institutionnalisés de telle sorte que les  instances de contrôle nationales (comme la CNCTR française) puissent coopérer entre elles afin d’en vérifier le respect.

Sans attendre de telles évolutions, l’Union européenne vient de franchir un cap symbolique et politique en intégrant dans la nouvelle version de son règlement sur les biens à double usage des dispositions permettant un certain contrôle des exportations des « biens de cybersurveillance » lorsque qu’ils « sont ou peuvent être destinés, entièrement ou en partie, à une utilisation impliquant la répression interne et/ou la commission de violations graves et systématiques des droits de l’homme et du droit humanitaire international » (article 5 du règlement 2021/821 du 20 mai 2021).

Il est vrai que depuis 2013 certaines cyber-armes ont été placées par les Occidentaux (et leurs alliés participant à l’Arrangement de Wassenaar) sur la liste des produits contrôlés à l’exportation au titre des biens à double usage civil et militaire, qu’il s’agisse des « logiciels d’intrusion » (articles 4.A.5 et 4.D.4) ou des équipements conçus pour contourner, affaiblir ou annihiler la sécurité numérique (article 5.A.4). Mais la limite de ce contrôle multilatéral est que, jusqu’à présent, seuls des motifs de sécurité nationale et internationale sont pris en compte par les Etats participants pour interdire certaines exportations. Avec son nouveau règlement, l’Union (dont tous les Etats sont membres de Wassenaar) va plus loin en demandant que la protection des droits de l’homme soit aussi un motif de refus d’exportation. Par anticipation, plusieurs procédures judiciaires ont d’ailleurs été engagées en France contre des sociétés accusées d’avoir fourni des logiciels de surveillance à des régimes politiques violant les droits de l’homme (Syrie, Libye et Egypte).

A moyen terme, ces préoccupations de respect des droits fondamentaux pourraient se croiser avec un autre objectif de la négociation internationale qui concerne le non-recours à la cyber-guerre, ou à tout le moins, l’encadrement d’éventuels futurs conflits cyber afin de sauvegarder la sécurité internationale et l’application du droit international humanitaire. De difficiles négociations sont engagées sur ces sujets dans le cadre de l’Assemblée générale des Nations-Unies et de son groupe d’experts gouvernementaux (GEC) depuis 2010. Comme face au risque de conflit nucléaire, une prise de conscience des menaces cyber tant sur la vie privée que sur la résilience de nos sociétés pourrait ouvrir la voie à des arrangements internationaux visant une « non-prolifération numérique ». A sa façon, le scandale Pegasus y contribuera peut-être.

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]