Le SCRS et la GRC font face à des « défis importants » pour obtenir des données privées, selon l'organisme de surveillance du renseignement

Les organismes de sécurité et de renseignement du Canada sont confrontés à des « défis importants » pour détecter et répondre aux menaces à la sécurité en raison de lacunes législatives et de ressources obsolètes qui limitent quand et comment ils peuvent accéder aux messages privés, prévient l'un des organismes de surveillance du renseignement du pays.

Un rapport récemment déposé par le Comité des parlementaires sur la sécurité nationale et le renseignement (NSICOP) a examiné la question très controversée de l’accès légal – l’interception des communications électroniques approuvée par les tribunaux.

Tout en soulignant les préoccupations légitimes en matière de confidentialité, le rapport révèle que des organisations comme le Service canadien du renseignement de sécurité (SCRS) et la GRC sont gênées parce qu’elles ne disposent pas des outils, des politiques et des pouvoirs nécessaires pour accéder légalement aux communications au cours des enquêtes.

« Le comité est préoccupé par les défis en matière d’accès légal décrits par la communauté de la sécurité et du renseignement et par l’incapacité de longue date des gouvernements successifs à les résoudre », indique le rapport.

« Ils affirment que le cryptage ainsi que le volume, la variété et la vitesse croissants des données générées numériquement rendent difficile, voire parfois impossible, la collecte des informations nécessaires pour mener des enquêtes efficaces. »

Le comité a averti que si l’on ne s’attaque pas à ces défis, « ils compromettront la sécurité nationale du Canada à long terme » et pourraient « entraver la capacité continue du Canada à bénéficier des efforts du Groupe des cinq… s’il ne peut pas contribuer de manière significative à ce partenariat ».

Le rapport survient alors que la Chambre des communes débat d’un projet de loi gouvernemental qui donnerait de nouveaux pouvoirs étendus aux forces de l’ordre, y compris l’accès légal.

Droit à la vie privée contre sécurité publique

Une version classifiée du rapport a été soumise au Premier ministre le 4 mars et une version publique expurgée a été déposée à la Chambre des communes la semaine dernière.

Il aborde l’une des questions les plus controversées en matière de sécurité nationale : l’équilibre entre le droit individuel à la vie privée et la protection de la sécurité publique.

L'accès des organismes de sécurité aux renseignements personnels, comme les messages privés, est « l'un des pouvoirs les plus intrusifs de l'État » et les Canadiens s'attendent à ce qu'il soit utilisé uniquement lorsque « cela est prescrit par la loi, [serve] un objectif légitime et est nécessaire et proportionné », indique le rapport.

Il a ajouté que les Canadiens s'attendent également à ce qu'ils disposent « des outils, des politiques et des autorités légales » pour un tel accès.

« Les Canadiens seraient surpris d’apprendre à quel point il est difficile pour les agences de sécurité et de renseignement d’y parvenir », a-t-il déclaré.

Le comité a constaté que, contrairement à un certain nombre d'alliés du Canada, ce pays ne dispose pas de loi obligeant les fournisseurs de services à développer, déployer ou maintenir des systèmes pour fournir rapidement ces informations si le SCRS et la GRC viennent frapper à leur porte avec une autorisation judiciaire.

Le NSICOP a déclaré que cet écart crée des risques, notamment des retards, une ambiguïté juridique, des inefficacités financières et « a causé de la confusion et de la frustration pour toutes les parties ».

Le SCRS a déclaré au comité que l’absence de législation sur les capacités d’interception « constitue le plus grand facteur de différenciation avec nos partenaires [du Groupe des Cinq] qui ont tous plus de succès que nous ».

L'accès aux données américaines crée des retards

Un autre problème abordé dans le rapport est l’accès aux informations stockées à l’extérieur du Canada.

Les défenseurs de la vie privée ont déclaré aux membres du comité que les quantités de données personnelles potentiellement révélatrices collectées par le secteur privé constituent une opportunité inexploitée pour les agences de sécurité et de renseignement.

Le SCRS a rétorqué qu’il lui est parfois impossible d’accéder à ces renseignements parce que ces entreprises sont principalement situées à l’extérieur du Canada.

Bon nombre des plus grandes entreprises technologiques mondiales sont basées aux États-Unis. Comme l'indique le rapport, en vertu de la loi américaine sur les communications stockées (Stored Communications Act), il est illégal pour les entreprises américaines de divulguer le contenu de leurs communications à des autorités étrangères, sauf ordonnance contraire des tribunaux américains.

La GRC peut demander ces données en vertu d'un traité d'entraide judiciaire. Si la GRC a besoin d'informations provenant de Facebook ou d'Apple, elle envoie une demande au ministère de la Justice du Canada, qui la transmet au ministère de la Justice des États-Unis. Si la demande est acceptée, un procureur adjoint des États-Unis dépose une demande auprès d'un juge américain pour obtenir un mandat. Le FBI peut exécuter le mandat après sa délivrance par le juge américain.

Une fois que l'entreprise transmet les informations au FBI, elles sont transmises à la GRC par l'intermédiaire des deux ministères de la Justice. Selon la GRC, le processus peut prendre de trois à six mois, ce qui peut avoir des répercussions sur les enquêtes.

Le NSICOP a noté que même si le processus juridique aboutit, les données pourraient avoir été supprimées avant l’arrivée du mandat.

Contourner le cryptage

Le rapport examine les moyens par lesquels le SCRS et la GRC contournent le phénomène de « dark web » — lorsque des cibles utilisent des communications cryptées et le dark web pour masquer leurs activités.

La GRC utilise un « outil d'enquête sur appareil » (ODIT), un logiciel installé sur un téléphone intelligent ou un ordinateur ciblé qui permet aux agents de la GRC d'accéder directement aux informations avant qu'elles ne soient chiffrées ou après qu'elles aient été déchiffrées.

La GRC le décrit comme « l’un des programmes de collecte technique les plus complexes et les plus coûteux que nous maintenons ».

Selon une étude de cas réussie citée dans le rapport, en 2018, le FBI américain a alerté la GRC au sujet d'un Canadien qui aurait fabriqué une bombe et planifié un attentat lors d'une fête du Nouvel An. La GRC a déployé un ODIT, qui a révélé des messages et des schémas pour une bombe à pression.

Le Canadien a finalement été accusé et a plaidé coupable à quatre infractions liées au terrorisme.

Les membres du comité ont déclaré qu'ils étaient préoccupés par le fait que « la réussite de ces mesures d'atténuation repose actuellement sur l'ingéniosité du SCRS et de la GRC plutôt que sur la bonne configuration des outils, des autorités légales et des ressources ».

Les ODIT nécessitent plusieurs autorisations, notamment une écoute téléphonique pour intercepter les communications privées, ainsi qu'un mandat général et un mandat d'enregistrement des données de transmission, indique le rapport.

Cette technique repose également sur l’exploitation réussie des vulnérabilités, ce qui n’est pas toujours une garantie.

« Le comité a appris que ces outils sont coûteux et souvent peu fiables, car les cibles sont devenues de plus en plus averties en matière de cybersécurité et les entreprises s'efforcent d'identifier et de traiter les vulnérabilités des systèmes d'exploitation et des plateformes de cryptage », indique le rapport.

Les défenseurs de la vie privée ont averti le comité que toute mesure donnant à la police et aux agences de renseignement le pouvoir de contourner les communications ou les données cryptées « affaiblirait fondamentalement la cybersécurité dans son ensemble, éroderait la confiance du public et menacerait les valeurs démocratiques fondamentales ».

Le SCRS et la GRC ne consignent pas systématiquement la fréquence à laquelle ils rencontrent des défis technologiques comme le chiffrement dans leurs enquêtes de sécurité nationale, une « omission importante » selon le rapport, puisqu'ils « conseillent le gouvernement et tentent de convaincre les Canadiens… que de nouvelles lois et de nouvelles ressources sont nécessaires ».

Le rapport indique que les agences « ne peuvent offrir que des anecdotes et non des chiffres concrets ».

Cependant, les membres du CPSNR estiment qu'il existe des « défis importants » quant à la capacité du SCRS et de la GRC à accéder à des preuves et des renseignements numériques pertinents et opportuns.

« Ces défis ne sont pas nouveaux. Les gouvernements successifs en sont conscients depuis un certain temps », conclut le rapport.

« Il est temps que le gouvernement agisse et fournisse aux services de sécurité et de renseignement les outils, les politiques et les autorités légales dont ils ont besoin… qui respectent et protègent leur vie privée. »

Le rapport formule sept recommandations, notamment que le gouvernement élabore et mette en œuvre une stratégie globale pour relever les défis liés à l'accès légal au Canada et accorde la priorité à la signature et à la mise en œuvre de l'Accord Canada-États-Unis sur l'accès aux données, qui, selon le rapport, « éliminerait les barrières juridictionnelles de longue date » érigées par la loi américaine.

Elle a également appelé le gouvernement à clarifier publiquement sa position sur l’accès exceptionnel aux communications protégées par cryptage.

Dans un communiqué, le SCRS affirme être d'accord avec la majorité des recommandations du CPSNR.

La GRC a transmis sa réponse au ministère de la Sécurité publique, qui a déclaré avoir pris connaissance de la réponse du SCRS et n'avoir rien d'autre à ajouter.

Un projet de loi controversé sur les frontières comprend des dispositions sur l'accès légal

Le projet de loi C-2 des libéraux, qui comprend des modifications sur l'accès légal, devrait être malmené au Parlement cet automne.

Elle obligerait les fournisseurs de services à communiquer des informations de base à la police et au SCRS sans autorisation judiciaire. Elle créerait également une nouvelle ordonnance obligeant la production de renseignements plus détaillés sur les abonnés, avec autorisation judiciaire, dans le cadre d'une enquête criminelle.

Le projet de loi a suscité une vague de réactions négatives de la part des groupes de défense des libertés civiles, des universitaires et de certains députés de l’opposition qui soutiennent qu’il crée de nouveaux pouvoirs de surveillance portant atteinte à la vie privée et à la Charte des droits et libertés.

Le NSICOP est composé de députés et de sénateurs qui doivent passer par une habilitation de sécurité de haut niveau afin de pouvoir consulter et entendre des informations top secrètes.

Depuis la rédaction du rapport sur l’accès légal, le comité a perdu la voix du NPD, car le parti n’a plus de statut reconnu à la Chambre.