FLASH INFORMATIQUE FI



Impact de récents textes juridiques sur le courrier électronique à l’EPFL




Martin OUWEHAND


De la difficulté d’appliquer les lois ...

Fin novembre dernier, un juge d’instruction lausannois enquêtant sur un hold-up avec prises d’otages, a adressé une requête au Service des tâches spéciales susmentionné, qui a relayé à trois opérateurs de téléphonie mobile la demande du juge qui concernait la liste des appels effectués dans un lieu et à une heure précise. Les trois opérateurs se sont retranchés derrière la protection des données de leurs clients et ont fait recours auprès du DETEC (Département de l’environnement, des transports, de l’énergie et de la communication). C’est à présent à la commission de recours de ce Département d’apprécier si la demande du juge correspond effectivement à une infraction grave justifiant l’application de la LSCPT. Réponse dans quelques mois !


Le but de cet article est de présenter les conséquences pratiques pour les administrateurs de serveurs de courrier électronique de l’EPFL de deux textes juridiques entrés en vigueur au début de cette année. Il s’agit des Loi fédérale et Ordonnance sur la surveillance de la correspondance par poste et télécommunication (LSCPT et OSCPT respectivement), disponibles sur le site de la Confédération :

http://www.admin.ch/ch/f/rs/780_1/

http://www.admin.ch/ch/f/rs/780_11/

IANAL

Les Américains utilisent souvent cet acronyme de I am not a lawyer (je ne suis pas juriste) dans leurs interventions sur Internet pour souligner qu’ils donnent simplement leur avis sur un point juridique et qu’il n’est donc pas autorisé. Il s’applique pleinement à cet article, qui n’est guère qu’une lecture commentée par un informaticien des LSCPT et OSCPT. En outre, je n’essayerai même pas d’estimer l’impact de ces textes juridiques sur le courrier interne et la centrale téléphonique de l’EPFL.

LSCPT

Peu de gens contestent qu’il est judicieux dans certains cas que les enquêteurs aient accès aux communications des suspects (lettres, conversations téléphoniques ou utilisation d’Internet). Le but de cette loi semble être de définir un cadre plus précis pour l’application de ce principe. Elle spécifie (art. 6) qui, procureurs, juges d’instruction, etc. a le droit de faire des demandes de surveillance à un nombre restreint d’entités habilitées à les autoriser (art. 7), qui transmettront les demandes agréées à un service centralisé et géré par la Confédération (art. 2). Ceux qui sont l’objet d’un telle surveillance doivent en principe en être informés à la clôture de la procédure pénale (mais des exceptions sont prévues) et peuvent interjeter recours (art. 10). La création du service susmentionné est semble-t-il une des nouveautés de cette loi. Il répond au nom quelque peu honeckérien de Service des tâches spéciales et, dans l’exécution de la surveillance, il est l’interlocuteur (art. 13) des fournisseurs de services de télécommunication, qui doivent pouvoir assurer, sur demande, l’interception des communications, fournir les données permettant l’identification des usagers et conserver ces données d’identification pendant 6 mois (art. 15). Des indemnités (art. 16) sont prévues pour compenser les frais encourus par la surveillance. Enfin, mission est donnée au Conseil fédéral de préciser les dispositions d’exécution de la loi (art. 17), ce qui est l’objet de l’OSCPT.

OSCPT

Une bonne partie de l’ordonnance concernant la poste et la téléphonie, nous sautons directement à l’art. 24 de l’OSCPT qui contient une description concrète des différents types de surveillance que doit pouvoir fournir l’administrateur d’un serveur de courrier électronique. Tout d’abord dans le cadre de la surveillance en temps réel (alinéa a et d), il faut pouvoir intercepter tous les messages envoyés à destination de ou depuis une case postale électronique (cette jolie trouvaille désignant la combinaison d’une adresse e-mail et de sa boîte aux lettres POP/IMAP afférente). Les messages interceptés doivent être complets (en-têtes, corps du message et pièces jointes). Ensuite une surveillance moins fine (alinéas b, c et e) est constituée par le relevé périodique (un extrait quotidien des fichiers logs suffira, si je comprends bien) des accès du suspect à sa boîte aux lettres (protocoles POP ou IMAP), des adresses e-mail des destinataires ou expéditeurs des messages qu’il envoie ou reçoit (protocole SMTP), ainsi que de la date, de l’heure et des adresses IP d’origine de ces accès ou messages. Dans chaque cas, ceci doit bien sûr être fait sans que la personne surveillée en ait connaissance (art. 25, alinéa 5). Enfin (art. 24, alinéa h), les données concernant le protocole SMTP (adresses e-mail, adresses IP et time-stamps) doivent être gardées à titre préventif pendant 6 mois pour tous les usagers du serveur : c’est la surveillance rétroactive.

Publicité

Les mesures qui viennent d’être énumérées peuvent être assez difficiles à mettre en place et j’invite donc tous ceux qui gèrent encore leur propre serveur de messagerie de se poser la question de savoir s’il ne vaut pas mieux les arrêter et migrer leurs utilisateurs vers les serveurs centraux POP, IMAP (mailbox.epfl.ch) et SMTP (gérant toutes les adresses du domaine epfl.ch) où ces mesures sont déjà prises en compte.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.