Le 31 janvier, l'expert suédois en sécurité informatique et développeur de logiciels libres, Ola Bini, a été déclaré non coupable par un verdict unanime d'un tribunal de trois juges en Équateur. Cela a marqué le point culminant d'une poursuite pénale sans fondement qui dure depuis plus de quatre ans . Le bureau du procureur a toutefois fait appel de l'acquittement, faisant traîner cette affaire pénale problématique et suspendant la décision du tribunal de lever les mesures conservatoires en cours contre Bini. En conséquence, Bini ne peut pas quitter l'Équateur ni utiliser ses comptes bancaires.
Comme nous l'avons écrit précédemment , la décision de janvier a créé un précédent crucial. C'était la première fois qu'un tribunal équatorien analysait la question de l'accès non autorisé à un système informatique, un acte qualifié d'infraction en vertu de l'article 234 du code pénal équatorien. Plus important encore, le tribunal a résisté à une interprétation large de ce qui constitue un accès non autorisé aux systèmes informatiques, une décision qui aurait pu sérieusement mettre en danger le travail bénéfique des chercheurs en sécurité et le rôle vital qu'ils jouent pour notre confidentialité et notre sécurité dans les systèmes d'information.
La sentence d'acquittement clarifie trois faits importants. Premièrement, les éléments de preuve présentés par l'accusation n'étaient essentiellement pas liés à l'accusation d'accès non autorisé et ne prouvaient pas les faits criminels allégués. Deuxièmement, le seul élément de preuve possiblement lié, l'image d'une session telnet montrant une connexion à un routeur de la National Telecommunications Corporation (CNT), n'était pas la preuve d'une activité criminelle. Et troisièmement, l'accusation n'a présenté aucune preuve pour prouver le seuil requis d'intention malveillante, nécessaire pour le crime d'accès non autorisé. En bref, le tribunal a refusé de condamner Bini sur la base d'opinions stéréotypées d'experts en sécurité destinées à attiser la crainte qu'il constituait un danger pour la sécurité publique et de l'État.
Les preuves alléguées présentées au tribunal n'étaient pour la plupart pas liées à l'infraction pénale retenue contre Bini. Ses visites à Julian Assange à l'ambassade d'Équateur à Londres, son contrat de service Internet, la quantité de matériel informatique qu'il possédait et les traductions de conversations privées tenues avec divers contacts via différentes applications de messagerie, étaient liés à une stratégie de semer la peur autour d'un " pirate informatique », pas la preuve d'un crime.
Le tribunal n'a pas non plus approuvé la tentative de l'accusation d'associer l' utilisation de Tor , un outil crucial pour protéger sa vie privée, à la criminalité inhérente. Les plaignants ont soulevé cet argument car l'image de la session telnet montre que la prétendue connexion à un routeur CNT s'est faite à l'aide de Tor . Tor est un outil de protection de la vie privée, mais le parquet et le CNT ont tenté de présenter son utilisation comme une indication d'activité criminelle. Le fait que le tribunal n'ait pas approuvé cet argument est essentiel pour ceux qui veulent protéger leur vie privée, leur sûreté et leur sécurité en ligne, ainsi que pour les chercheurs en sécurité pour développer leur travail.
Le seul élément de « preuve » que le tribunal a évalué était une image d'une session telnet. Il a été divulgué aux médias avant même d'être inclus dans le dossier et, comme nous l'avons signalé précédemment , il n'a finalement pas réussi à établir la preuve d'un accès non autorisé ou d'une activité criminelle. Sur la base de l'article 234 du code pénal équatorien, le tribunal a évalué si (a) Bini avait "accédé" ou "resté" dans un système, et (b) s'il y avait une intention malveillante impliquée, comme exploiter illégitimement cet accès ou détourner son trafic . Sur (a), le tribunal a déterminé qu'une connexion telnet à un routeur CNT, qui a demandé un nom d'utilisateur et un mot de passe mais n'a reçu aucune entrée avant l'expiration de la connexion, n'est pas un "accès". Pourtant, le tribunal n'a pas abordé la question de la véracité de l'image elle-même. Sur (b), le tribunal a souligné que le parquet et le CNT n'avaient présenté aucune preuve pour corroborer l'élément d'intention malveillante, nécessaire pour qualifier l'acte d'infraction pénale d'"accès non autorisé". Cette combinaison d'éléments de l'article 234 réaffirme à quel point il est important d'inclure l'intention malveillante dans la définition de la responsabilité pénale lors de l'élaboration des lois sur la cybercriminalité. Comme nous l'avons souligné à plusieurs reprises , l'exigence d'intention malveillante aide à empêcher l'application arbitraire des dispositions relatives à la cybercriminalité contre l'activité bénéfique des experts et des chercheurs en sécurité.
Le tribunal a également approuvé les témoignages d'experts selon lesquels l'image ne peut même pas prouver que les ordres qui y sont illustrés ont effectivement été exécutés. La phrase précise que le témoin expert de la CNT n'a jamais eu accès aux appareils et systèmes impliqués dans l'intrusion alléguée, et le rapport qu'il a produit au nom de l'accusation s'est limité à l'analyse d'un rapport antérieur par un employé de la CNT. La personne qui a dirigé le domaine des réseaux et de la connectivité de la présidence équatorienne a également déclaré que le bureau du procureur n'avait demandé aucune information sur l'un des équipements, ni les adresses IP de l'équipement, ni les accès effectués à l'équipement afin de vérifier une éventuelle accès.
En juin, la mission d'observation du cas d'Ola Bini, que l'EFF rejoint de nombreuses autres organisations numériques et de défense des droits de l'homme, a tenu une session à RightsCon pour analyser la condamnation unanime d'acquittement d'Ola Bini et a publié une déclaration soulignant les points ci-dessus. Celles-ci constituent des précédents clés pour d'autres experts en cybersécurité et défenseurs des droits numériques persécutés. La déclaration souligne à quel point il était important pour le tribunal de refuser d'approuver une affaire basée sur de prétendues preuves sans rapport avec l'accusation, d'éviter les interprétations larges du droit pénal pour persécuter les experts en sécurité sur la base de stéréotypes sur la technologie et la communauté infosec, et de refuser de approuver les allégations selon lesquelles l'utilisation de Tor indique tout soupçon d'activité criminelle. Bien que le tribunal ait raté l'occasion de renforcer la pertinence des technologies de protection de la vie privée, telles que Tor, pour garantir la liberté d'expression, la vie privée et d'autres droits de l'homme en ligne, la condamnation à l'acquittement est un précédent pertinent à appliquer.
Maintenant que le parquet équatorien a fait appel de l'acquittement d'Ola Bini, malgré l'absence de preuves contre l'expert en sécurité, les autorités judiciaires équatoriennes doivent confirmer les points cruciaux de la peine et ratifier l'innocence de Bini. Il est révélateur que la CNT, responsable du système prétendument accédé sans autorisation, n'ait pas fait appel, ce qui corrobore la faiblesse du dossier. Nous continuerons de surveiller l'évolution des affaires pour nous assurer que la procédure régulière prévaut.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/07/ecuadors-judicial-system-must-reaffirm-ola-binis-innocence-face-prosecutors-office le Mon, 17 Jul 2023 16:27:51 +0000.