Les corps policiers qui reconnaissent utiliser les logiciels de déverrouillage assurent le faire avec les autorisations requises.
L’utilisation de technologies pour déverrouiller les appareils électroniques par des services policiers et l’Agence des services frontaliers du Canada (ASFC) fait l’objet de suivis par les bureaux des commissaires à la protection de la vie privée du Canada et de l’Ontario.
De plus en plus de services policiers au Canada font l’acquisition de technologies permettant de déverrouiller des appareils électroniques comme des téléphones cellulaires ou des tablettes protégées par un mot de passe. Les services policiers qui admettent utiliser ces technologies affirment le faire exclusivement après avoir obtenu les autorisations judiciaires appropriées.
Aucun des services policiers contactés n’a accepté de nous accorder une entrevue à ce sujet. Ceux qui ont répondu à nos questions l’ont fait dans une déclaration écrite.
La police de Guelph a eu recours à la technologie Gray Key à 49 reprises.
Photo : Police de Guelph/Twitter
La police de Guelph admet avoir fait l’acquisition de la technologie Gray Key de l’entreprise américaine Gray Shift. Un financement de 18 000 $ américains a été octroyé dans le budget 2020 du service policier pour l’obtention d’une licence annuelle.
Dans une rencontre le 10 décembre dernier, la commission du service policier affirmait avoir reçu de nombreuses questions des médias et du public sur l’utilisation de la technologie. Radio-Canada avait fait parvenir une demande d’accès à l’information à ce sujet en novembre.
Au 26 décembre, la police de Guelph affirme avoir utilisé la technologie Gray Key à 49 reprises. Le contenu de 47 appareils a pu être déverrouillé.
Chaque fois, des autorisations judiciaires auraient été obtenues en bonne et due forme. Ces autorisations étaient des mandats en vertu de la loi réglementant certaines drogues et autres substances à 19 occasions, ou en vertu du Code criminel à 14 occasions. Cinq autorisations ont été obtenues par l’autorité du coroner et 11 examens ont eu lieu avec l’autorisation de l’utilisateur de l’appareil.
Parmi les autres services policiers qui reconnaissent utiliser la technologie pour déverrouiller des appareils électroniques, la police provinciale de l’Ontario (PPO), la police de Calgary et la police de Vancouver précisent qu’elles disposent en effet de la technologie Gray Key.
L’entreprise américaine Gray Shift est le fournisseur de la technologie Gray Key. Celle-ci permet aux détenteurs d’une licence annuelle d’obtenir le contenu d’un appareil électronique même si celui-ci est verrouillé. D’autres technologies, comme Cellebrite, permettent le même type d’investigation.
La Gendarmerie royale du Canada (GRC) affirme aussi utiliser à la fois les technologies de Cellebrite et de Gray Shift. Un porte-parole du corps policier explique également disposer d’autres technologies développées ou acquises pour déverrouiller certains appareils ou dans certaines circonstances.
La GRC emploie plusieurs outils technologiques pour déverrouiller les appareils.
Photo : Radio-Canada / CBC / Paul Palmeter
D’autres services policiers, comme la Police régionale de York et la Sûreté du Québec admettent utiliser des technologies pour inspecter les appareils électroniques dans le cadre de leurs enquêtes, mais refusent de divulguer de quelles technologies ils disposent.
Le Service de police de la Ville de Montréal (SPVM) et le Service de police de Toronto refusent de répondre à toute question portant sur l’utilisation de ces technologies, invoquant des raisons de sécurité.
Nous ne serons pas en mesure de confirmer ni d’infirmer l’utilisation d’un logiciel ou d’un outil en particulier, a répondu un porte-parole du corps policier dans un courriel.
Le SPVM
s’assure par contre de n’utiliser dans ses enquêtes que des outils et des techniques légales et d’une efficacité reconnue au Canada. Toutefois, afin de ne pas nuire au travail des enquêteurs, nous ne pouvons donner davantage de détails à leur sujet.
Transparence essentielle
Le Bureau du commissaire à la protection de la vie privée de l’Ontario affirme être entré en communication avec les services de police de Guelph et de Waterloo pour obtenir des informations entourant leur utilisation de ces technologies.
En stipulant que ceux-ci n’ont pas l’obligation légale de le faire, le bureau encourage les services policiers à le consulter avant de mettre en place des politiques d’utilisation pour de telles technologies.
Dans une déclaration à Radio-Canada, un porte-parole du bureau du commissaire affirme appuyer l’utilisation des technologies par les services policiers dans le but de mieux protéger la collectivité, en stipulant que ces technologies doivent être utilisées de façon transparente, dans le respect du droit à la vie privée des citoyens.
Même son de cloche du côté du bureau du commissariat fédéral, qui estime que la fouille d’appareils électroniques met en jeu d’importants aspects du droit à la vie privée […] parce que les appareils numériques permettent de stocker une grande quantité de renseignements très confidentiels et très personnels.
Nous encourageons toutes les institutions fédérales à faire preuve de transparence et à rendre des comptes en ce qui concerne […] les technologies qu’elles emploient.
Bureau du commissaire à la protection de la vie privée du Canada
Le bureau du commissaire affirme également entamer un suivi sur l’utilisation de ces technologies par l’Agence des services frontaliers du Canada (ASFC). Cette dernière a affirmé dans un courriel à Radio-Canada posséder la technologie, mais aussi utiliser les services d’une tierce partie pour déverrouiller les appareils électroniques.
Au Québec, la Commission d’accès à l’information s’est dite préoccupée par le fait que certaines données soient conservées dans le cloud. La commission souligne également s’être penchée sur la collecte de données par les policiers dans le cadre de la commission Chamberland.
L’inspection ou la saisie d’appareils électroniques dans le cadre d’inspections aux frontières est également soumise à des lois différentes de celles auxquelles doivent se soumettre les policiers dans le cadre de leurs enquêtes.
L’ASFC
affirme qu’en vertu de la section 13 de la Loi sur les douanes, les voyageurs sont dans l’obligation de permettre à un agent des services frontaliers qui en fait la demande d’avoir accès à un appareil électronique. Si le voyageur refuse d’octroyer cet accès, l’appareil peut être saisi et inspecté à l’aide, entre autres, de ces technologies.
Selon l’agence, les inspections ont pour objectif de révéler une variété de contraventions liées aux frontières; des reçus électroniques pouvant démontrer que des biens ont été sous-évalués ou non déclarés à l’interception de matériel interdit contenu à l’intérieur de l’appareil, ce qui peut inclure la pornographie juvénile.
Les agents des services frontaliers du Canada peuvent demander l’accès à un appareil électronique.
Photo : Reuters / Lars Hagberg
L’ASFC
affirme également utiliser des services externes dans certains cas d’inspection d’appareils. C’est justement le fait d’octroyer l’accès à des informations personnelles de Canadiens à la frontière qui fera l’objet d’un suivi par le commissaire fédéral.
L’expert en cybersécurité Steve Waterhouse affirme également que le type de licences dont disposent les différents services policiers mérite une attention particulière.
Dans le cas de Gray Key par exemple, il est possible de détenir une licence permettant l’analyse locale des données, c’est-à-dire de les conserver à l’interne. Celle-ci se vend approximativement 40 000 $ américains. Par contre, le service de police de Guelph n’a dépensé que 18 000 $ pour son service. Cela signifie que les données sont stockées sur un serveur de l’entreprise aux États-Unis.
Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale et spécialiste en cybersécurité
Photo : Radio-Canada
M. Waterhouse, qui enseigne la cybersécurité à l’Université de Sherbrooke, souligne que les risques de fuites de données sont amplifiés chaque fois que celles-ci sont transférées ou entreposées.
Il note par exemple la fuite de données Blue Leaks au cours de laquelle certaines informations appartenant à des services policiers canadiens ont été fuitées après le piratage d’un serveur américain.
Il n’existe aucun moyen connu de donner un accès systématique au gouvernement sans exposer par le fait même la population générale à un risque important à la sécurité de ses données. Les lois ne devraient pas faire abstraction de cette réalité technologique.
Bureau du commissaire à la protection de la vie privée du Canada
Par ailleurs, Steve Waterhouse souligne que des technologies encore plus poussées sont en voie d’être développées pour permettre d’accéder aux informations contenues sur des appareils électroniques. Des logiciels permettant la lecture d’un appareil à distance émergent par exemple sur le marché.
Ces outils peuvent s’avérer précieux dans la prévention de la criminalité lorsqu’ils sont bien utilisés, selon l’expert, mais ouvrent la porte à l’abus de pouvoir et aussi à l’abus de consommation d’information si ces technologies se retrouvent dans les mauvaises mains.
Le bureau du commissaire souligne que des suivis sur l’utilisation de ces technologies sont toujours en cours, mais recommande que des débats politiques puissent avoir lieu sur les normes à mettre en place au Canada.