Le 4 octobre, une personne a été arrêtée dans une rue de Cardiff, en Angleterre. Samata Ullah, 33 ans, est accusé d’être un terroriste et/ou d’avoir participé à la préparation d’actes terroristes. L’homme est, depuis, en détention provisoire. La police britannique l’accuse de six délits et, dans ces 6 chefs d’inculpation, quelques-uns sont…disons…. étranges… sur le chiffrement. Explications.
Vous m’excuserez pour le titre de l’article, je n’ai pas trouvé mieux.
Samata Ullah est donc accusé de six choses, dont le détail est disponible sur le site de la Metropolitan Police (EN).
Les faits
En résumé, voici les six raisons de l’arrestation de la personne :
- Le ou jusqu’au 22 septembre 2016, il était ou a déclaré être membre d’une organisation interdite, à savoir ISIS, ce qui est contraire à la section 11 du terrorism Act 2000.
- Formation de terroristes : entre le 31 décembre 2015 et le 22 septembre 2016, Samata Ullah a fourni des instructions ou a formé à l’utilisation de programmes de chiffrement et, lorsqu’il fournissait ces instructions ou ces formations, il savait qu’un apprenant avait l’intention de se servir de ces compétences dans la préparation ou dans le but de commettre des actes terroristes.
- Préparation terroriste : entre le 31 décembre 2015 et le 22 septembre 2016, Samata Ullah, avait l’intention d’aider une ou plusieurs personnes à commettre des actes terroristes, en menant des recherches sur une solution de chiffrement, en développant une version chiffrée de son blog et en publiant des instructions liées à l’utilisation de ce programme, sur son blog. Ce qui est contraire à la section 5 du Terrorism Act 2006.
- Conduite d’activités en lien avec le terrorisme. Entre le 1er décembre 2015 et le 22 septembre 2016, Samata Ullah a dirigé les activités d’une organisation en lien avec la préparation ou la commission d’actes terroristes. Ce qui est contraire à la section 56 du Terrorism Act 2000.
- Le, ou avant le 22 septembre 2016, Samata Ullah disposait d’un équipement, à savoir une clef USB en forme de bouton de manchette, avec un système d’exploitation chargé dessus, dans le but de commettre, de préparer ou inciter au terrorisme, chose contraire à la section 57 du Terrorism Act 2000.
- Le ou avant le 22 septembre 2016, Samata Ullah avait en sa possession un article, à savoir un livre sur les missiles guidés ainsi qu’une version PDF d’un livre sur l’orientation et le contrôle des missiles, ceci étant lié à la volonté de commettre, préparer ou inciter au terrorisme, et ce qui est contraire à la section 57 du Terrorism Act.
Attention, la traduction est faite par votre serviteur, ainsi, elle n’est peut-être pas entièrement fidèle à la réalité.
Même s’il apparaît que l’homme arrêté semble effectivement être un terroriste, les chefs d’accusation 2, 3 et 5 me semblent étranges. Tout est dans la nuance, qui aura pourtant son importance.
Chef d’accusation numéro 2
On reproche à l’intéressé d’avoir fourni des instructions ou formé des personnes à l’utilisation de programmes de chiffrement, tout en étant conscient qu’un apprenant avait l’intention de se servir de ces compétences à de noirs desseins.
On ne l’inculpe pas d’avoir aidé des terroristes, c’est là que la nuance de trois fois rien devient très importante. On l’accuse d’avoir formé des personnes ou d’avoir donné des instructions pour des programmes de chiffrement.
Doit-on comprendre que former des personnes à l’utilisation de programmes de chiffrement est une chose dangereuse en Angleterre ? Peut-être. Peut-être pas, avec un peu de chance, la France va s’inspirer du modèle britannique un jour… trêve d’ironie.
Cela n’enlève rien au fait que cet homme semble être un terroriste, mais ce chef d’inculpation dit « on l’accuse d’avoir formé ou donné des instructions à des personnes sur des solutions ou programmes de chiffrement ».
Lorsque je forme des personnes à la protection de leur vie privée, en leur donnant des instructions ou des solutions pour des programmes de chiffrement, je ne sais pas à qui j’ai affaire, je ne sais pas dans quel but ils cherchent ces informations-là. Ils peuvent me dire que c’est pour protéger leur vie privée ou leurs communications, mais je ne sais jamais dans quel optique, je ne sais jamais si c’est vraiment ça, je me base sur le déclaratif.
Dois-je, ainsi que des copains et amis qui font pareil, m’inquiéter dans un avenir plus ou moins proche ?
Chef d’accusation numéro 3
Ici aussi, tout se joue dans l’interprétation du chef d’accusation et dans la nuance.
On l’accuse d’avoir utilisé une solution de chiffrement sur son blog. Laquelle ? Je ne sais pas, mais il n’existe pas 40 000 solutions pour avoir un blog chiffré, j’imagine donc qu’il est question d’un blog en HTTPS.
On l’accuse également d’avoir mis à disposition de ses visiteurs des instructions pour utiliser ces outils de chiffrement pour le blog.
On ne l’accuse pas d’avoir fourni de l’aide à des terroristes. On l’accuse d’avoir un blog chiffré. Les autorités ont décidé de ce chef d’accusation car son blog pourrait contenir des éléments qui pourraient aider des terroristes.
Comme je l’ai dit, tout est dans la nuance, mais cette nuance est de taille. Genre vraiment de taille.
Prenez votre serviteur comme exemple : via quelques articles, billets et conférences, j’ai pu fournir des conseils, des guides ou de l’aide à l’installation ou à l’utilisation de solutions de chiffrement, il est possible que des terroristes aient utilisé ces informations mais je ne suis pas au courant.
A nouveau, cela n’enlève rien au fait que la personne semble effectivement être un terroriste, les autres chefs d’accusation sont assez explicites et précis pour lever de nombreux doutes.
Cependant, en quoi le fait disposer d’un blog en HTTPS et de donner des instructions ou outils pour utiliser des outils est illégal ? Car c’est réellement de cela qu’il est accusé, dans ce point numéro 3.
Chef d’accusation numéro 5
Ici, on l’accuse d’avoir « une clef USB en forme de bouton de manchette, avec un système d’exploitation chargé dessus ». Vu le dossier, le système d’exploitation est sans doute une solution basée sous un système « live », relativement sécurisé et qui ne laisse que peu de traces, j’imagine donc que la clef USB contenait le système TAILS, réputé pour être une distribution très protectrice de votre vie privée, exécutée en live, qui ne laisse pour ainsi dire pas de traces résiduelles de son passage.
Je m’interroge à nouveau : en quoi le fait d’utilise un système d’exploitation type TAILS constitue un délit ou un crime ?
Sans nier le caractère terroriste de l’individu, personne ne devrait être inculpé d’avoir utilisé ce système d’exploitation. La nuance est toujours là, dans les petits détails, mais elle est extrêmement importante.
De la même façon, et peu importe le motif ou les raisons de son utilisation, personne ne devrait être inculpé d’avoir utilisé des solutions de chiffrement.
Le faire, c’est considérer que cette chose n’est pas légale, que c’est un délit, que cela pose problème. Personne ne devrait craindre le fait d’utiliser un système de chiffrement ou de protection des données, un système type TAILS ou un programme pour protéger son intimité ou ses échanges.
Les accusations de la police britannique représentent, en soi, un danger. Même si la personne semble être un terroriste, même si les autres chefs d’accusation tentent à le démontrer, ces trois chefs d’accusation, le n°2, le n°3 et le n°5, condamnent directement l’utilisation de solutions de chiffrement….
Et c’est, du moins selon moi, très problématique et un peu inquiétant pour l’avenir.
Qui sait, d’autres pays pourraient s’en inspirer.
Chipoter ?
Pourquoi ce cas est intéressant ? Pourquoi je semble chipoter ? Car il faut. La protection de notre vie privée relève de notre responsabilité et il faut s’alarmer lorsque ce type d’attaque directe contre des solutions arrive.
On utilise ici le terrorisme pour incriminer le fait de chiffrer des données ou des échanges, ou un blog. On vient incriminer ce qui n’est, en soi, qu’une bonne hygiène numérique. Et ce même si les charges pour terrorismes semblent sérieuses et avérées hein, là n’est pas la question.
Défendre le droit de protéger notre vie privée, c’est de notre responsabilité. les gouvernements ne le feront pas pour nous, ils ne l’ont jamais fait et ne le feront jamais, ni eux, ni les lois censées nous protéger.
Moi, je n’appelle pas ça chipoter, bien au contraire. D’ailleurs le dessein derrière ces accusations est très clair et elles ne sont , comme tu l’as bien compris, pas à prendre à la légère …