De Sky-hack leverde de politie miljarden berichten van Sky-gebruikers op. Wat is nu het verschil tussen de Sky-hack en die op Ennetcom, PGPSafe of EncroChat? Door alle nieuws over deze encryptiediensten voor berichtenverkeer zijn ze voor een leek moeilijk uit elkaar te houden. En het is al helemaal ingewikkeld om te begrijpen welke juridische problemen rechters voorgeschoteld krijgen in zaken waarin met ontsleutelde chats van deze diensten als bewijs dienen. Crimesite zet in drie overzichtsartikelen op een rij wat de verschillen zijn tussen de diensten en welke belangrijke juridische kwesties er de komende jaren nog over zullen gaan spelen. Nu deel 3 over Sky-ECC (deel 1 ging over Ennetcom en PGPSafe, deel 2 over de hack op EncroChat).

Door @Wim van de Pol

De operatie tegen de applicatie Sky-ECC door de politie was vergeleken met die tegen Ennetcom en Encro nog veel groter: meer gebruikers en meer berichten werden leesbaar gemaakt, enkele miljarden berichten. Er zijn in Nederland inmiddels vele tientallen mensen verdacht en enkelen veroordeeld op basis van berichten van Sky-ECC, er zullen er waarschijnlijk nog velen volgen.

De discussie over wat de recherche wel of niet is toegestaan bij het leesbaar maken van Sky-berichten is volop actueel en binnen hoge juridische kringen is er volop discussie nu bekend is dat de Italiaanse Hoge Raad bewijs dat met Sky-hack is verzameld ongeldig heeft verklaard, als de Italiaanse justitie niet openbaart hoe die operatie is verlopen. Het grote probleem in Nederland is nu wat Nederlandse rechters gaan doen met dat belangrijke arrest.

‘Niks te verbergen’

De discussie over het kraken van pgp-diensten gaat over meer dan alleen over criminelen uit de kring van moordenaars van Peter R. de Vries. Het gaat niet alleen over tappen van de communicatie door criminelen. Het gaat ook mensen aan die vinden dat ze “niks te verbergen hebben”, of zeggen dat ze nooit iets crimineels zullen doen.

Want geheime inlichtingendiensten en politie zijn naarstig op zoek naar middelen om ook iChat (Apple), WhatsApp, Telegram, ProtonMail of Signal leesbaar te maken. En daarmee komt de privacy van de communicatie van alle bijna burgers op de tocht te staan. Met die apps verstuur je berichten die derden, dus ook inlichtingen- en politiediensten, in principe niet kunnen kraken, tenminste, als er geen (fysieke) toegang is tot het apparaat.

De minister van Justitie en Veiligheid heeft onlangs nog onderstreept dat de politie ook dat soort diensten graag zou willen kunnen binnendringen. Hetzelfde geldt voor de inlichtingendiensten. Nu het leven van mensen voor een belangrijk deel digitaal verloopt op telefoons en computers, en hun gegevens massaal verzameld en gekoppeld worden door bedrijven en overheidsdiensten is privacy voor iedereen een actuele kwestie.

WhatsApp-gebruikers

Justitie vindt dat alle gebruikers van Sky-ECC crimineel zijn en dat daarom berichten, en alle andere (lokatie)gegevens van alle gebruikers mochten worden onderzocht door de recherche. Inmiddels is al wel duidelijk dat dit niet zo was. Ook (bijvoorbeeld) de communicatie van advocaten die Sky-telefoons hadden is gelezen door de politie. Maar zijn de gebruikers van WhatsApp ook crimineel? Mogen politie en inlichtingendiensten ook WhatsApp zomaar meelezen? Of heimelijk kabels met internetverkeer aftappen?

Dit zijn de feiten rond Sky ECC:

Uit een Frans proces-verbaal blijkt dat Nederlandse en Belgische autoriteiten al in 2016 onderzoeken zijn gestart naar het bedrijf Sky-ECC (hetzelfde jaar dat de politie in Canada Ennetcom-berichten in beslag nam). In België is het aangevangen naar aanleiding van een drugsvangst in de haven van Antwerpen waarbij versleutelde telefoons met Sky in beslag werden genomen. Toen bleek dat ongeveer duizend Sky-telefoons door de Belgische recherche werd gelinkt aan criminele activiteiten. Wereldwijd waren er ongeveer 68.000 gebruikers van Sky-ECC, de meesten in Europa. Er gingen meer dan 100.000 berichten per dag door de lucht. De hoofdzetel van het bedrijf was in Canada gevestigd: Sky Global Technologies Inc., maar dat was niet meer dan een brievenbusmaatschappij.

Het Nederlandse opsporingsverzoek (naar de deelname van Sky aan een criminele organisatie) stelde vast dat de servers van Sky-ECC zich in het Franse Roubaix bevonden. Net als die van EncroChat stonden die bij hostingbedrijf OVH. Dat is niet zeer opmerkelijk omdat OVH één van de grootste hostingbedrijven ter wereld is, met uitstekende verbindingen op het wereldwijde internet.

Op 27 november 2018 ontvangt een Amsterdamse rechter-commissaris voor het eerst een vordering om de officier van justitie te machtigingen een Europees Onderzoeksbevel (EOB) naar Frankrijk uit te laten gaan om bij het OVH opgeslagen gegevens over Sky in beslag te nemen. De officier wilde onderzoek doen bij OVH om op een later moment alle Sky-communicatie te tappen. De rechter-commissaris gaf hiervoor geen toestemming. Wél gaf de rechter-commissaris toestemming voor een technisch onderzoek aan de twee servers. Zo kreeg van Nederland van Frankrijk: technische informatie over de servers, de netflow op de kabels en voorzover bekend (historische) klantgegevens.

Formeel en op papier is de Sky-hack een Frans onderzoek. In februari 2019 begint dat. Maar er worden in heel Frankrijk slechts 30 pgp-telefoons ontdekt, en die waren niet eens allemaal van Sky. In België en Nederland waren tienduizenden gebruikers. Die landen, en vooral Nederland, leidden de operatie. Volgens het Openbaar Ministerie is het juist dat Nederland in mei 2019 met de Amerikaanse autoriteiten overeen kwam dat die hun onderzoek naar Sky-ECC opschortten, om het Europese (Nederlandse) onderzoek niet in de wielen te rijden.

Frankrijk krijgt van Nederland verder ‘ten behoeve van het Franse onderzoek’ een Excelbestand met 9.000 berichten van Franse gebruikers van Sky ECC aan Frankrijk. Die zijn afkomstig uit gegevens die Nederland had verkregen in Costa Rica tijdens de operatie tegen PGPSafe.

In december 2019 richten Nederland, Frankrijk en België een joint investigation team (JIT) op met als doel de Sky-berichten te kraken. Dat lukt in november 2020. Volgens het Openbaar Ministerie ontwikkelen Nederlandse specialisten een ‘man in the Middle-aanval’ waarmee de berichten op iedere Sky-telefoon uiteindelijk kunnen worden opgeslagen en gelezen. Dat is anders dan bij EncroChat waarbij de berichten werden afgetapt vóórdat de gebruikers ze verstuurden.

Toen bleek dat de berichten konden worden gekraakt startte Nederland en nieuw strafrechtelijk onderzoek naar: 26Argus. Daarin werd aan een Nederlandse rechter-commissaris een vordering gedaan voor een machtiging om ‘een technisch hulpmiddel’ te mogen inzetten om communicatie te kraken, én een machtiging om binnen te mogen dringen in een ‘geautomatiseerd systeem’, lees een computer of een telefoon.

Maar, zegt het Openbaar Ministerie, het bleef een Frans onderzoek, alles verliep nog steeds onder verantwoordelijkheid van de Fransen.

In de periode 15 februari tot en met 9 maart 2021 sloeg de politie alle berichten van alle Sky-gebruikers ter wereld op, Nederlandse specialisten maakten de zoekomgeving daarvoor. Uitgaande van 100.000 berichten per dag van 68.000 gebruikers: 6,8 miljard berichten. Er zullen nog vele arrestaties op grond van leesbaar gemaakte Sky-berichten volgen.

Naast het probleem dat de Italiaanse Hoge Raad het Sky-bewijs ongeldig heeft verklaard, iets dat volgens het Europese rechtssysteem Nederlandse rechters moeten meewegen, spelen er in alle rechtszaken nog een aantal juridische discussiepunten over de hack op Sky-ECC.

1. De Europese en Nederlandse wetgeving verbiedt het simpelweg om de communicatie van onbekende gebruikers van een systeem, zoals van WhatsApp – maar ook die van een dienst als Sky-ECC – op te slaan en te lezen. De rechter-commissaris gaf daarvoor in 2018 dan ook expliciet géén toestemming voor. De rechter-commissaris gaf wel toestemming om de mogelijkheden voor het tappen te onderzoeken. De machtiging uit 2020 (om binnen te dringen in een systeem en communicatie te tappen) is alléén van toepassing als er concrete verdachten zijn. Er is geen toestemming voor het onderscheppen van álle communicatie van niet verdachte gebruikers.
2. Als een Europees land (zoals in dit geval Frankrijk) een eigen strafrechtelijk onderzoek heeft dan kan Nederland de resultaten daarvan overnemen. Een Nederlandse rechter hoeft dan niet te toetsen of het onderzoek rechtmatig is gedaan en de resultaten betrouwbaar zijn. Dat heet het Europese vertrouwensbeginsel. Maar advocaten zeggen dat nu het Openbaar Ministerie zelf heeft toegegeven dat Nederland de methode heeft ontwikkeld, en uit alles blijkt dat het een Nederlandse operatie is geweest. Dus was niet Frankrijk maar de Nederlandse politie verantwoordelijk voor de hack op Sky-ECC. Verdachten hebben daarom het recht om Sky-bewijs te kunnen toetsen, vinden zij. In een zaak waarin het bewijs uitsluitend uit Sky-berichten bestond sprak de rechtbank in Breda recent verdachten vrij.
3. Het Europese Hof vindt (zo blijkt uit een uitspraak) dat een land (Nederland) mede verantwoordelijk kan zijn als de (Nederlandse) politie betrokken is bij onderzoekshandelingen in het buitenland.
4. Advocaten stellen dat inmiddels bewezen is dat het Openbaar Ministerie bij herhaling rechtbanken heeft voorgelogen over de manier waarop de hack is gegaan. Alleen al door te schrijven dat de hack een ‘zuiver interne Franse aangelegenheid’ was. Daarom zou het Openbaar Ministerie niet-ontvankelijk moeten worden verklaard.
5. Zowel de Hoge Raad als andere rechters hebben geoordeeld dat indien er een ‘bepalende’ fout is gemaakt in het onderzoek naar Sky dit wel degelijk gevolgen kan hebben voor andere onderzoek waarin dit Sky-bewijs is gebruikt.
6. Er zijn “bulkdata” in beslag genomen en daarover is zeer stevige Europese jurisprudentie: het mag niet. Communicatie mag de politie pas afluisteren of opslaan bij mensen die verdachte zijn. Er zijn zeer sterke aanwijzingen dat artikel 8 van het Europees Verdrag voor de Rechten van de Mens geschonden is door ongerechtvaardigde vergaring van bulk-data van personen. Zelfs als de hack enkel in Frankrijk zou zijn ingezet dan moet in Nederland aan het EVRM worden getoetst.
7. Er liggen nu miljarden berichten van Sky-gebruikers opgeslagen. Met bewijs daaruit kan justitie nog vele jaren lang rechtszaken beginnen. Maar advocaten stellen dat het niet te controleren is of inderdaad in de strafdossiers alle berichten compleet zijn. Want er is geen toezicht of toets geweest op de verkrijging van de data, de wijze van opslag, en ook niet op de verwerking en de zoekslagen die de recherche erin heeft gemaakt. Als de data niet zijn getoetst zijn ze ook niet betrouwbaar te achten, zeggen de advocaten, en zij vinden daarin nu steun van de Italiaanse Hoge Raad.
8. Al met al vinden advocaten dat verdachten geen recht hebben op een eerlijk proces zoals dat in de Nederlandse Grondwet en in de Europese grondrechten van de mens staat beschreven. De betrouwbaarheid en evenmin de rechtmatigheid van het bewijs dat door Sky-berichten is aangevoerd kan niet door rechters worden getoetst. Een groep bezorgde Europese advocaten heeft een “letter of concern” geschreven aan het Europees Parlement en de Europese Commissie.

Het zal nog jaren duren voordat rechters in hoger beroep en in Europa deze kwesties hebben behandeld en antwoorden hebben gegeven. Hun beoordeling zal van groot belang zijn.

Niet alleen voor strafzaken waarin Sky-ECC-berichten, of berichten van andere diensten, als bewijs dienen. Het is ook van groot belang voor gewone gebruikers van telefoons en computers hoever inlichtingsdiensten en andere overheidsdiensten mogen gaan met het schenden van hun privacy, ook als het gaat om gegevens die zijn opgeslagen bij andere overheidsdiensten of bedrijven, zoals de Belastingdienst of de gemeenten. Of met gezichtsherkenningssoftware of kentekenregistraties langs de wegen.

Het zijn in belangrijke mate rechters die de risico’s daarvan moeten beperken.

Zie de overige artikelen met het overzicht over encryptiediensten:

Het overzicht: Ennetcom en PGPSafe (#1)

Het overzicht: EncroChat (#2)

Encryptiediensten, het overzicht: Sky-ECC (#3)