Suite à une demande de leurs collègues de la police Italienne pour des informations concernant 2 bloggeurs ; la police norvégienne n'a pas fait dans la dentelle : Au lien de ne récupérer que les informations recherchées, elle réalise une copie de l'ensemble des disques durs.
Le résultat : Ce sont les données de près de 7000 bloggeurs hébergés sur les plateformes du site Autistici qui ont été embarquées manu-militari... La plateforme Autistici propose des services d'hébergement et de de mails chiffrés utilisés par des bloggeurs politiques depuis la Norvège, Italie, Russie ainsi qu'aux Pays-Bas.
Un message a été posté sur le site d'Austici afin de rappeler à leurs utilisateurs des conséquences éventuelles de cette saisie : Changement de leurs mots de passe et clefs de chiffrement.
Selon l'article publié sur le site NRK (traduction via Google), pas d'affolement du du coté de la police Norvégienne. Il s'agirait de la façon habituelle de travailler pour des demandes de ce genre : Les données sont d'abord massivement collectées, ramenées dans les locaux de la police pour être analysées, les données recherchées extraites et communiquées au demandeur. D'un point de vue purement technique cela reste cohérent. Mais les risques sur la vie privée et le secret des correspondances rete néanmoins bien présent.
coté fournisseurs : préparation et anticipation sont de mise
Du coté du fournisseur de service, la préparation est de rigueur : Ce n'est pas le hour où une demande de saisie arrivera qu'il faut se poser des questions. Un fournisseur de service doit être en mesure d'identifier sans ambiguité quelles sont les données d'un client, ou celles-ci sont stockées et comment les extraire rapidement et simplement. En outre, et c'est peut-être le point le plus délicat, il conviendra d'être en mesure de montrer quelles mesures il a mis en oeuvre pour assurer l'intégrité et leur disponbilité.
Outre ces aspects purement techniques, il sera peut-être nécessaire que le fournisseur informe officiellement son client que ses données sont l'objet d'une demande de perquisition ; afin que celui-si puisse excercer ses droits. N'étant pas juriste, je ne souraurai dire si cela cela est déjà prévu ou non dans la loi ou dans les procédures dans ce type de contexte.
Ce n'est qu'avec un minimum d'anticipation et de préparation qu'il pourra éviter une saisie pure et simple de l'ensemble des données sans discernement. Dans certains cas les plus extrèmes, ce sont les serveurs physiques qui sont saisis : Attention à la continuité des activités !
vers de nouvelles techniques de perquisition ?
La tendance étant à la dématérialisation, notamment avec le cloud computing, les techniques de saisie des informations devront forcément évoluer car fini le "Je viens saisir le serveur de Mr.X qui se trouve dans la baie #3 de la salle blanche". Tout, voir de plus de en plus en plus de choses vont s'appuyer sur des techniques immatérielles : Il sera nécessaire de savoir utiliser les bons outils afin que les éléments saisis restent recevables pour une instruction.
saisie de ses données à son insu
Le passage au cloud computing amène une nouveauté dans le paysage des perquisitions. En effet, il est possible que des données soient l'objet d'une perquisition sans que leur propriétaire soit au fait de cette perquisition.... du moins théoriquement car normalement lors d'une perquisition, celle-ci doit être réalisée en présence de la personne suspectée.... clairement pas possible ou du moins très difficile pour des données stockées sur des serveurs à l'autre bout du monde !
Encore un sujet pour lequel le cloud computing vient bousculer les codes et usages.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens