Un nouveau projet de loi allemand obligerait les FAI à autoriser les services secrets
à installer des chevaux de Troie sur les appareils des utilisateurs
Un nouveau projet de loi proposé en Allemagne verrait les agences fédérales de renseignement d'État du pays se voir accorder le pouvoir d'espionner les citoyens allemands grâce à l'utilisation de chevaux de Troie. La nouvelle loi obligerait les fournisseurs de services Internet (FAI) à installer du matériel gouvernemental dans leurs centres de données dans l’optique de rediriger les données vers les forces de l'ordre, puis vers leur destination prévue, de sorte que la cible ignore parfaitement que ses communications et même les mises à jour logicielles sont passées par les forces de l’ordre.
Netzpolitik explique que :
« Les criminels utilisent souvent le phishing pour installer des logiciels malveillants. La police installe souvent des chevaux de Troie d'État via un accès physique à l'appareil cible. À l'avenir, les services secrets veulent lancer leur cheval de Troie sur la personne cible en passant directement par le fournisseur. Avec un site Web, une application ou une mise à jour, le cheval de Troie peut également être téléchargé sur l'appareil.
« À cette fin, le gouvernement fédéral souhaite obliger les fournisseurs de télécommunications à rediriger les flux de données vers les services secrets. C'est dans le projet de loi sur l'harmonisation du droit de protection constitutionnelle. Plus précisément, les prestataires doivent permettre l'installation du cheval de Troie de l'État "en accompagnant le détournement des télécommunications...".
« Les fournisseurs de services ne devraient pas seulement exporter une copie des données, ce qui serait une surveillance normale des télécommunications. Au lieu de cela, "les données redirigées devraient rester destinées à être transmises au destinataire après l'exécution de la mesure". Le trafic de données doit être acheminé via un proxy des services secrets ».
Infection par un cheval de Troie d'état dans le réseau d'un fournisseur Internet.
L'Allemagne voudrait donc être l'homme du milieu
Ces chevaux de Troie parrainés par l'État vont probablement se servir d’un logiciel appelé FinFly ISP d'une société appelée FinFisher, logiciel qui a déjà été utilisé par les forces de l'ordre allemandes dans le passé. FinFisher prétend être capable d'injecter facilement des chevaux de Troie sur les appareils cibles au niveau du FAI : « FinFly ISP est capable de patcher des fichiers qui sont téléchargés à partir de la destination à la volée ou d'envoyer de fausses mises à jour logicielles pour des logiciels populaires ».
FinFly ISP existe depuis près d'une décennie et une brochure publicitaire de 2011 disponible via WikiLeaks souligne que leur logiciel a déjà été utilisé : « Un service secret a utilisé FinFly ISP dans le réseau du plus important fournisseur national de services Internet. Il suffisait que le système ne connaisse que les informations de connexion de la personne cible sur le réseau du fournisseur pour installer une solution de surveillance à distance sur son ordinateur et le surveiller à partir de là. »
Amnesty International a noté que ce vecteur d'insertion de chevaux de Troie avait déjà été utilisé sur un journaliste marocain par le groupe NSO.
L'Allemagne a une longue histoire d'utilisation de logiciels malveillants par le gouvernement
Le BKA (Office fédéral de la police criminelle d'Allemagne) utilisait auparavant des chevaux de Troie sur des smartphones individuels pour accéder à des communications avant qu'elles ne soient chiffrées. Il est important de se rappeler que tout le chiffrement du monde est inutile si votre appareil est compromis et qu'un texte clair est accessible avant qu'il ne soit chiffré de bout en bout. Il en va de même s'il y a une caméra derrière votre écran qui peut voir ce que vous tapez. Même les changements dans le gyroscope / accéléromètre de votre smartphone peuvent être utilisés pour deviner votre code PIN ou mot de passe. Nous pouvons en déduire que le BKA a connu du succès avec son utilisation de chevaux de Troie et cherche maintenant à installer du matériel dans les centres de données des FAI qui lui permettrait d'envoyer ces chevaux de Troie vers de nouveaux smartphones, ordinateurs et autres appareils lors d'une mise à jour.
Des organismes de défenses des droits veulent attaquer le projet de loi, l’estimant anticonstitutionnel
De nombreux groupes, dont la Society for Freedom Rights, intentent déjà une action contre le gouvernement pour son utilisation de chevaux de Troie et prévoient de lancer une contestation constitutionnelle si cette expansion de l'utilisation des chevaux de Troie par l'État venait à se réaliser. Même les FAI eux-mêmes ne sont pas satisfaits de cette évolution, invoquant une perte de confiance fondamentale. Bitkom, un groupe qui compte les meilleurs FAI allemands comme membres, a déclaré que le projet : « Ne parvient pas à reconnaître les risques énormes pour l'intégrité globale du réseau des fournisseurs et la perte de confiance qui en découle ».
Le projet de loi est déjà le résultat de nombreux va-et-vient au sein du gouvernement et beaucoup s'attendent à ce qu'il soit adopté lors de sa présentation au Bundestag, après la semaine prochaine. Depuis longtemps, l'Allemagne voudrait pouvoir lire les messages chiffrés avec ses logiciels. La plus haute juridiction allemande a récemment conclu que les protections constitutionnelles sur les activités Internet découlant du droit à la vie privée s’étendent également aux non-Allemands; cependant, l'utilisation d'un logiciel de cheval de Troie pour « soutenir le détournement des télécommunications » semble être un pas clair dans la direction opposée, même s'il n'est utilisé qu’après présentation d’un mandat.
Source ; NetzPolitik, Amnesty International, WikiLeaks, les hackers peuvent deviner le code PIN en s’appuyant sur des capteurs, lettre ouverte
Voir aussi :
L'utilisation des logiciels espions (spywares) et de harcèlement (stalkerwares) a augmenté de 51 % pendant le confinement, selon une étude menée par le Threat Labs d'Avast
Une banque chinoise a exigé de deux sociétés occidentales qu'elles utilisent un logiciel de taxe avec une porte dérobée dissimulée, selon un nouveau rapport
Xiaomi met à jour ses navigateurs Mi Browser et Mint pour permettre de désactiver la collecte de données en navigation privée, après avoir été accusé d'espionner ses utilisateurs
L'Arabie saoudite soupçonnée de mener une campagne d'espionnage téléphonique aux États-Unis, en exploitant le système SS7 pour localiser les téléphones des Saoudiens pendant leurs séjours aux USA
Partager