Magazine Gadgets

La police nationale du Canada admet avoir utilisé des logiciels espions pour pirater des téléphones

Publié le 29 juin 2022 par Mycamer

« Il s’agit d’une découverte remarquable qui, pour la première fois, révèle publiquement que la GRC utilise des logiciels espions pour infiltrer les appareils mobiles, ainsi que les vastes capacités de leurs logiciels espions », a-t-il déclaré.

La GRC affirme que l’utilisation croissante des communications cryptées signifie que la police a besoin de nouveaux outils pour suivre le rythme. Mais les critiques disent que l’avènement de l’ère numérique signifie que la police a accès à beaucoup plus d’informations que jamais auparavant. Ils disent qu’il doit y avoir une discussion publique sur les limites à imposer à l’utilisation de logiciels malveillants et d’autres outils intrusifs.

Le service de police a décrit les techniques utilisées par son équipe d’accès secret et d’interception dans un document présenté à la Chambre des communes la semaine dernière. La GRC a fourni l’information en réponse à une question d’un député conservateur sur les programmes gouvernementaux qui recueillent des données auprès des Canadiens.

L’équipe, qui existe pour intercepter les communications qui ne peuvent pas être obtenues à l’aide d’écoutes téléphoniques traditionnelles, utilise des «outils d’enquête sur l’appareil». La GRC les définit comme des programmes informatiques « installés sur un appareil informatique ciblé qui permet la collecte de preuves électroniques » — un logiciel espion, en d’autres termes.

La GRC peut utiliser des logiciels espions pour recueillir un large éventail de données, notamment des messages texte, des courriels, des photos, des vidéos, des fichiers audio, des entrées de calendrier et des dossiers financiers. La police peut également rassembler “des enregistrements audio de communications privées et d’autres sons à portée de l’appareil ciblé” et “des images photographiques de personnes, de lieux et d’activités visibles par la ou les caméras intégrées à l’appareil ciblé”, indique le document.

Ces outils ne sont utilisés que lors d’enquêtes criminelles graves et de sécurité nationale, selon la force, et nécessitent toujours l’autorisation d’un juge. La GRC a refusé une demande d’entrevue et n’a pas répondu aux questions écrites avant la publication de cet article.

Parsons a déclaré que les experts savaient ou supposaient depuis un certain temps que la police utilisait ces outils, mais la GRC ne l’a pas confirmé. “[This] est l’explication la plus claire et la plus directe de ce qu’ils sont capables de faire à ma connaissance », a-t-il déclaré.

Dans le document, la police dit qu’elle doit utiliser des logiciels espions car les écoutes téléphoniques traditionnelles sont beaucoup moins efficaces qu’elles ne l’étaient auparavant.

« En moins d’une génération, un grand nombre de Canadiens ont migré leurs communications quotidiennes d’un petit nombre de grands fournisseurs de services de télécommunication, qui fournissaient tous des services limités et contrôlés de manière centralisée aux clients, vers d’innombrables organisations au Canada et ailleurs qui offrent une myriade de services numériques aux clients », lit-on dans le document. « Cette décentralisation, combinée à l’utilisation généralisée de services de messagerie vocale et textuelle cryptés de bout en bout, rend exponentiellement plus difficile pour la GRC d’effectuer une surveillance électronique autorisée par le tribunal.

Par exemple, la police peut exiger des opérateurs de téléphonie mobile qu’ils transmettent les SMS d’un suspect. Mais si la personne utilise un service de messagerie crypté – Signal, par exemple – elle peut ne recevoir que du charabia, voire rien du tout. L’utilisation de logiciels espions permet à la police d’intercepter les messages et autres données avant qu’ils ne soient cryptés et envoyés, ou après qu’ils aient été reçus et décryptés, explique l’agence.

Ce n’est pas la première fois que la GRC s’inquiète du cryptage. En 2016, la même année du lancement du programme CAIT, le corps policier a donné journalistes de la CBC et le Toronto Star un aperçu de 10 enquêtes en cours il a dit étaient bloqués par l’utilisation du cryptage. Cette décision est intervenue alors que le gouvernement présentait quatre propositions pour renforcer les capacités de la police, y compris une loi qui obligerait les suspects à déverrouiller les appareils numériques à la demande de la police avec un mandat d’un juge.

À l’époque, la police avait déclaré vouloir lancer un “débat public” sur les pouvoirs de la police et la vie privée. Ces quatre propositions n’ont pas été adoptées, a déclaré Parsons. Mais aucun d’entre eux n’a évoqué l’utilisation de logiciels malveillants pour permettre la surveillance.

“Nous n’avons pas eu de débat public sur l’adoption de ces outils, alors qu’ils sont clairement utilisés par au moins la GRC et potentiellement d’autres forces de police au Canada”, a déclaré Tamir Israel, avocat à l’Université d’Ottawa. Clinique d’intérêt public et de politique d’Internet du Canada Glushko. “C’est vraiment, vraiment préoccupant que ce type d’outil intrusif soit déjà utilisé, et nous n’avons pas eu ce débat.”

Israël a contesté l’idée que la police soit désavantagée en raison du cryptage. Grâce à notre empreinte numérique croissante, a-t-il déclaré, les forces de l’ordre ont constaté une “augmentation massive” de leur capacité à surveiller les personnes. “Cela a plus que contrebalancé toute baisse potentielle de ces nouveaux types d’outils de communication”, a-t-il déclaré. “Dans l’ensemble, ils ont une image beaucoup plus solide de ce que nous faisons [and] avec qui nous le faisons… que ce n’était le cas historiquement.

Israël croit que le Canada a besoin d’un cadre juridique qui énonce quels logiciels espions peuvent être utilisés à des fins policières et dans quel contexte.

Steven Penney, professeur de droit à l’Université de l’Alberta, a déclaré que l’utilisation de cette technologie sera éventuellement contestée, car les avocats de la défense contesteront ces mandats. Il soupçonne que les tribunaux trouveront que la police peut utiliser ces outils, mais a déclaré que le Parlement pourrait choisir de réglementer leur utilisation. C’est un problème qui “remonte probablement à la surface”, a-t-il déclaré.

Dans le document, la GRC indique qu’elle n’a pas consulté le commissaire fédéral à la protection de la vie privée avant de lancer le programme CAIT en 2016. Cependant, elle indique que le corps de police a commencé à rédiger une évaluation des facteurs relatifs à la vie privée en 2021 concernant les activités du CAIT, y compris l’utilisation de logiciels espions, et prévoit de consulter le chien de garde de la vie privée dans le cadre de ce processus.

« Les outils et techniques CAIT de la GRC ne sont pas utilisés pour effectuer une surveillance de masse », indique le document. “L’utilisation des ODIT [spyware] est toujours ciblé et limité dans le temps.

Un porte-parole du commissaire à la protection de la vie privée Philippe Dufresne a confirmé à POLITICO que son bureau n’avait pas été informé du programme CAIT et a déclaré que le bureau ferait un suivi auprès de la GRC. Les institutions gouvernementales sont tenues d’informer le commissaire à la protection de la vie privée des «initiatives susceptibles d’avoir une incidence sur la vie privée des Canadiens», a déclaré le porte-parole dans un courriel.

« L’utilisation de ce type de technologie soulève d’importantes considérations en matière de confidentialité. Nous attendons avec impatience de recevoir un [privacy impact assessment] qui décrit quand et comment cette technologie sera utilisée, et les mesures que la GRC entend prendre pour s’assurer que son utilisation demeure conforme aux Loi sur la protection des renseignements personnels.

Brenda McPhail, directrice du programme de protection de la vie privée, de technologie et de surveillance de l’Association canadienne des libertés civiles, a déclaré qu’elle souhaitait également savoir quelles entreprises fournissent ces outils à la police canadienne. “Beaucoup de ces entreprises ont l’habitude de vendre ces outils intrusifs et dangereux à des gouvernements autoritaires où ils sont finalement utilisés contre des défenseurs des droits de l’homme, des journalistes et d’autres”, a-t-elle déclaré dans un e-mail.

L’année dernière, une enquête collaborative appelé le projet Pegasus a révélé que des logiciels espions concédés sous licence par la société israélienne NSO Group aux gouvernements pour suivre les criminels étaient également utilisés pour pirater les smartphones appartenant à des journalistes et à des militants des droits de l’homme.

En février, le Washington Post a rapporté que le FBI avait testé le logiciel espion du groupe NSO pour une utilisation possible dans des enquêtes criminelles, bien que l’agence ait déclaré qu’il n’avait été utilisé dans aucune enquête.

Parsons a déclaré qu’il était préoccupant que les agences gouvernementales bénéficient de vulnérabilités dans les logiciels utilisés par leurs propres citoyens, qu’elles ont intérêt à ne pas corriger. “Plutôt que de sortir et de dire : ‘Hé, c’est un problème, nous devrions le régler’, ils disent : ‘Oh, c’est génial. Nous allons l’exploiter », a-t-il déclaré.

« La GRC pourrait utiliser ce [vulnerability] pour leurs activités, mais il pourrait en être de même pour un acteur gouvernemental étranger, ainsi que pour des acteurs criminels ou d’autres parties ayant des intentions malveillantes.

« Il s’agit d’une découverte remarquable qui, pour la première fois, révèle publiquement que la GRC utilise des logiciels espions pour infiltrer les appareils mobiles, ainsi que les vastes capacités de leurs logiciels espions », a-t-il déclaré.

La GRC affirme que l’utilisation croissante des communications cryptées signifie que la police a besoin de nouveaux outils pour suivre le rythme. Mais les critiques disent que l’avènement de l’ère numérique signifie que la police a accès à beaucoup plus d’informations que jamais auparavant. Ils disent qu’il doit y avoir une discussion publique sur les limites à imposer à l’utilisation de logiciels malveillants et d’autres outils intrusifs.

Le service de police a décrit les techniques utilisées par son équipe d’accès secret et d’interception dans un document présenté à la Chambre des communes la semaine dernière. La GRC a fourni l’information en réponse à une question d’un député conservateur sur les programmes gouvernementaux qui recueillent des données auprès des Canadiens.

L’équipe, qui existe pour intercepter les communications qui ne peuvent pas être obtenues à l’aide d’écoutes téléphoniques traditionnelles, utilise des «outils d’enquête sur l’appareil». La GRC les définit comme des programmes informatiques « installés sur un appareil informatique ciblé qui permet la collecte de preuves électroniques » — un logiciel espion, en d’autres termes.

La GRC peut utiliser des logiciels espions pour recueillir un large éventail de données, notamment des messages texte, des courriels, des photos, des vidéos, des fichiers audio, des entrées de calendrier et des dossiers financiers. La police peut également rassembler “des enregistrements audio de communications privées et d’autres sons à portée de l’appareil ciblé” et “des images photographiques de personnes, de lieux et d’activités visibles par la ou les caméras intégrées à l’appareil ciblé”, indique le document.

Ces outils ne sont utilisés que lors d’enquêtes criminelles graves et de sécurité nationale, selon la force, et nécessitent toujours l’autorisation d’un juge. La GRC a refusé une demande d’entrevue et n’a pas répondu aux questions écrites avant la publication de cet article.

Parsons a déclaré que les experts savaient ou supposaient depuis un certain temps que la police utilisait ces outils, mais la GRC ne l’a pas confirmé. “[This] est l’explication la plus claire et la plus directe de ce qu’ils sont capables de faire à ma connaissance », a-t-il déclaré.

Dans le document, la police dit qu’elle doit utiliser des logiciels espions car les écoutes téléphoniques traditionnelles sont beaucoup moins efficaces qu’elles ne l’étaient auparavant.

« En moins d’une génération, un grand nombre de Canadiens ont migré leurs communications quotidiennes d’un petit nombre de grands fournisseurs de services de télécommunication, qui fournissaient tous des services limités et contrôlés de manière centralisée aux clients, vers d’innombrables organisations au Canada et ailleurs qui offrent une myriade de services numériques aux clients », lit-on dans le document. « Cette décentralisation, combinée à l’utilisation généralisée de services de messagerie vocale et textuelle cryptés de bout en bout, rend exponentiellement plus difficile pour la GRC d’effectuer une surveillance électronique autorisée par le tribunal.

Par exemple, la police peut exiger des opérateurs de téléphonie mobile qu’ils transmettent les SMS d’un suspect. Mais si la personne utilise un service de messagerie crypté – Signal, par exemple – elle peut ne recevoir que du charabia, voire rien du tout. L’utilisation de logiciels espions permet à la police d’intercepter les messages et autres données avant qu’ils ne soient cryptés et envoyés, ou après qu’ils aient été reçus et décryptés, explique l’agence.

Ce n’est pas la première fois que la GRC s’inquiète du cryptage. En 2016, la même année du lancement du programme CAIT, le corps policier a donné journalistes de la CBC et le Toronto Star un aperçu de 10 enquêtes en cours il a dit étaient bloqués par l’utilisation du cryptage. Cette décision est intervenue alors que le gouvernement présentait quatre propositions pour renforcer les capacités de la police, y compris une loi qui obligerait les suspects à déverrouiller les appareils numériques à la demande de la police avec un mandat d’un juge.

À l’époque, la police avait déclaré vouloir lancer un “débat public” sur les pouvoirs de la police et la vie privée. Ces quatre propositions n’ont pas été adoptées, a déclaré Parsons. Mais aucun d’entre eux n’a évoqué l’utilisation de logiciels malveillants pour permettre la surveillance.

“Nous n’avons pas eu de débat public sur l’adoption de ces outils, alors qu’ils sont clairement utilisés par au moins la GRC et potentiellement d’autres forces de police au Canada”, a déclaré Tamir Israel, avocat à l’Université d’Ottawa. Clinique d’intérêt public et de politique d’Internet du Canada Glushko. “C’est vraiment, vraiment préoccupant que ce type d’outil intrusif soit déjà utilisé, et nous n’avons pas eu ce débat.”

Israël a contesté l’idée que la police soit désavantagée en raison du cryptage. Grâce à notre empreinte numérique croissante, a-t-il déclaré, les forces de l’ordre ont constaté une “augmentation massive” de leur capacité à surveiller les personnes. “Cela a plus que contrebalancé toute baisse potentielle de ces nouveaux types d’outils de communication”, a-t-il déclaré. “Dans l’ensemble, ils ont une image beaucoup plus solide de ce que nous faisons [and] avec qui nous le faisons… que ce n’était le cas historiquement.

Israël croit que le Canada a besoin d’un cadre juridique qui énonce quels logiciels espions peuvent être utilisés à des fins policières et dans quel contexte.

Steven Penney, professeur de droit à l’Université de l’Alberta, a déclaré que l’utilisation de cette technologie sera éventuellement contestée, car les avocats de la défense contesteront ces mandats. Il soupçonne que les tribunaux trouveront que la police peut utiliser ces outils, mais a déclaré que le Parlement pourrait choisir de réglementer leur utilisation. C’est un problème qui “remonte probablement à la surface”, a-t-il déclaré.

Dans le document, la GRC indique qu’elle n’a pas consulté le commissaire fédéral à la protection de la vie privée avant de lancer le programme CAIT en 2016. Cependant, elle indique que le corps de police a commencé à rédiger une évaluation des facteurs relatifs à la vie privée en 2021 concernant les activités du CAIT, y compris l’utilisation de logiciels espions, et prévoit de consulter le chien de garde de la vie privée dans le cadre de ce processus.

« Les outils et techniques CAIT de la GRC ne sont pas utilisés pour effectuer une surveillance de masse », indique le document. “L’utilisation des ODIT [spyware] est toujours ciblé et limité dans le temps.

Un porte-parole du commissaire à la protection de la vie privée Philippe Dufresne a confirmé à POLITICO que son bureau n’avait pas été informé du programme CAIT et a déclaré que le bureau ferait un suivi auprès de la GRC. Les institutions gouvernementales sont tenues d’informer le commissaire à la protection de la vie privée des «initiatives susceptibles d’avoir une incidence sur la vie privée des Canadiens», a déclaré le porte-parole dans un courriel.

« L’utilisation de ce type de technologie soulève d’importantes considérations en matière de confidentialité. Nous attendons avec impatience de recevoir un [privacy impact assessment] qui décrit quand et comment cette technologie sera utilisée, et les mesures que la GRC entend prendre pour s’assurer que son utilisation demeure conforme aux Loi sur la protection des renseignements personnels.

Brenda McPhail, directrice du programme de protection de la vie privée, de technologie et de surveillance de l’Association canadienne des libertés civiles, a déclaré qu’elle souhaitait également savoir quelles entreprises fournissent ces outils à la police canadienne. “Beaucoup de ces entreprises ont l’habitude de vendre ces outils intrusifs et dangereux à des gouvernements autoritaires où ils sont finalement utilisés contre des défenseurs des droits de l’homme, des journalistes et d’autres”, a-t-elle déclaré dans un e-mail.

L’année dernière, une enquête collaborative appelé le projet Pegasus a révélé que des logiciels espions concédés sous licence par la société israélienne NSO Group aux gouvernements pour suivre les criminels étaient également utilisés pour pirater les smartphones appartenant à des journalistes et à des militants des droits de l’homme.

En février, le Washington Post a rapporté que le FBI avait testé le logiciel espion du groupe NSO pour une utilisation possible dans des enquêtes criminelles, bien que l’agence ait déclaré qu’il n’avait été utilisé dans aucune enquête.

Parsons a déclaré qu’il était préoccupant que les agences gouvernementales bénéficient de vulnérabilités dans les logiciels utilisés par leurs propres citoyens, qu’elles ont intérêt à ne pas corriger. “Plutôt que de sortir et de dire : ‘Hé, c’est un problème, nous devrions le régler’, ils disent : ‘Oh, c’est génial. Nous allons l’exploiter », a-t-il déclaré.

« La GRC pourrait utiliser ce [vulnerability] pour leurs activités, mais il pourrait en être de même pour un acteur gouvernemental étranger, ainsi que pour des acteurs criminels ou d’autres parties ayant des intentions malveillantes.

— to www.politico.com


Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines