Les bugs sont désormais des outils d'écoute du passé. Aujourd'hui, les autorités chargées de l'enquête peuvent mettre sur écoute et surveiller les criminels sans se salir les mains. Cela est rendu possible grâce aux « chevaux de Troie d'État ». Les logiciels malveillants peuvent être utilisés pour accéder à d'autres ordinateurs. Mais comme le montre un rapport d'audit du Préposé fédéral à la protection des données, cette méthode comporte également des pièges. Des doutes considérables existent, notamment en matière de contrôle.
Surveillance possible du PC et du smartphone
Comme le montre un rapport de Netzpolitik.org, le soi-disant cheval de Troie d'État (Remote Communication Interception Software) a considérablement évolué depuis sa première apparition en 2016. Après tout, le malware développé par le BKA ne peut plus être utilisé pour lutter contre la criminalité uniquement sur les PC. Entre-temps, il est également possible de pénétrer dans les smartphones. La technologie correspondante a déjà été ajoutée à la boîte à outils des autorités en 2018. Étant donné que le cheval de Troie d'État représente une atteinte sensible aux droits des tiers, le BKA n'est pas seul à déterminer sa conception. En outre, d'autres autorités entrent en jeu en tant que contrôleurs. Outre l'Office fédéral de la sécurité des informations (BSI), le commissaire principal à la protection des données allemand doit également examiner le cheval de Troie d'État. Ce dernier a maintenant publié son évaluation du malware dans le cadre d'un rapport de test. Les experts de Netzpolitik.org ont pu consulter le document de dix pages.
Des résultats substantiels publiés
L'ampleur du rapport publié montre à elle seule qu'il ne s'agit que d'une sorte de synthèse du Commissaire fédéral à la protection des données. Il montre clairement que le Trojan d'État ne soulève aucune objection du point de vue de la protection des données. L'activation et la désactivation automatiques du RCIS en sont un exemple. Il enregistre uniquement les communications actives et s'éteint automatiquement à la fin d'une conversation. Il s'agit d'une condition fondamentale pour la légalité de la surveillance des télécommunications.
Selon les experts de Netzpolitik.org, la situation est toutefois un peu différente lorsqu’il s’agit d’analyser le code source. Le cheval de Troie d’État s’appuie ici sur une sorte d’échantillon aléatoire, qui n’est pas vraiment significatif. Selon le rapport, il n’est pas vraiment possible de contrôler à quoi ressemble l’échantillon aléatoire. Cela pourrait signifier que des informations importantes sont perdues ou sorties de leur contexte. Mais c’est le seul problème que le rapport a permis de relever. Pour pouvoir repérer d’autres actions discutables du cheval de Troie d’État, il faut chercher ailleurs.
Gros problèmes de sécurité informatique
Si l’on s’intéresse au cheval de Troie étatique, il ne faut pas négliger la question de la sécurité informatique, explique Netzpolitik.org. En effet, une fois que le cheval de Troie a exploité les mécanismes de sécurité, d’autres attaquants peuvent, du moins en théorie, accéder au système en exploitant la faille de sécurité créée. En outre, le risque d’intrusion dans les données personnelles les plus sensibles ne doit pas être sous-estimé dans le cas d’un cheval de Troie étatique. La Cour constitutionnelle fédérale a souligné dans un arrêt historique que cela constituait une limite très claire à l’intervention de l’État.
Cela s'applique également, par exemple, lorsque des conversations personnelles non pertinentes ne sont pas supprimées mais archivées. Cependant, selon le rapport de test dont dispose Netzpolitik.org, pour respecter les exigences de la loi sur la protection des données, il suffit que les communications puissent également être supprimées. D'ailleurs, si le Chaos Computer Club (CCC), mondialement connu, parvient à ses fins, la portée du rapport de test est nulle. Thorsten Schröder, considéré comme un expert des chevaux de Troie d'État au CCC, commente ainsi :
« Ce rapport est décevant. L’autorité de protection des données examine une petite partie des questions pertinentes dans un extrait du rapport d’État, et le public n’est autorisé à lire que des extraits des conclusions. »
