Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

Les prunes ne comptent pas pour des burnes

Avatar de l'auteur
Marc Rees

Publié dans

Droit

17/05/2016 2 minutes
41

Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

Le projet de loi sur la réforme pénale achève son parcours parlementaire. Le texte arbitré en commission mixte paritaire modifie au passage l’échelle des peines en vigueur en matière de déchiffrement.

Porté par le gouvernement, ce texte n’a plus qu’à être adopté par l’Assemblée nationale et le Sénat pour pouvoir être publié au Journal officiel. Lors de l’examen en CMP, instance chargée de trouver un arbitrage entre la version votée par les députés et celle des sénateurs, il a été décidé de profiter de cette fenêtre pour revoir le quantum des peines attaché à l’article 434-15-2 du Code pénal.

Actuellement celui-ci punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Si ce refus aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, alors le coupable risque jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende.

Demain, avec le PJL sur la réforme pénale, les montants ont été multipliés par six. La première amende sera donc de 270 000 euros. L’autre de 450 000 euros.

convention déchiffrement

Faciliter la vie du Centre technique d’assistance

Par ailleurs, un article 4 sexies A veut faciliter le travail du Centre technique d’assistance (CTA). Suite à un amendement du gouvernement, celui-ci sera autorisé à briser les scellés judiciaires, puis à les reconstituer en procédant le cas échant « au reconditionnement des supports physiques qu’il était chargé d’examiner ».

Selon l’exposé des motifs de l’exécutif, le CTA, sur saisine des magistrats et des enquêteurs, est un organisme public qui a pour mission de tenter de mettre au clair les données chiffrées ou d’accéder aux données contenues par un terminal verrouillé. « Cependant, son incapacité à briser les scellés peut induire un frein à son activité » regrette l'exécutif. Cette disposition permettra à l’avenir « une meilleure mobilisation des outils aujourd’hui à la disposition des magistrats ».

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Faciliter la vie du Centre technique d’assistance

Commentaires (41)


Beau réveil des républicains. Et les gens se plaignent que les peines ou amendes ne dissuadent plus à cause de leurs montants jugés trop faibles !


Outre le montant de l’amende et la durée des peines qui augmentent, ce qui m’interpelle c’est la formulation suivante qui m’interpelle :

 “ le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités”L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?


Mouais, le problème sera de prouver que l’employé en a connaissance !








manfried a écrit :



L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?



non on va demander à tous les possesseurs d’iphones de donner leurs mots de passe au gouvernement.

ceux qui n’ont rien à cacher s’exécuteront, et ceux qui refuseront seront donc potentiellement des délinquants. Donc à titre préventif on les enfermera cinq ans pour éviter qu’ils ne commettent un délit plus tard.

Bien entendu on fera pareil pour les propriétaires de winphones ou de machins android.

Le pire étant ceux qui n’ont pas de smartphone, c’est donc qu’ils essaient d’échapper aux boites noires, donc ce sont potentiellement des terroristes, donc c’est direct Guantánamo.



On leur dit qu’en cas de chiffrement asymétrique personne à part l’utilisateur n’a la clé privée ? et que d’après le droit français, il n’est pas obliger d’en divulgué car il se mettrait a charge lui même ?


mais heuuu, je veux pas y aller a Guantanamo !!


45.000 ou 270.000, quand tu risques perpétuité, tu t’en fous un peu.  Pis moi je ne pourrais pas payer de toute façon, alors m’en fous. :)

Vive le déni plausible en tout cas.


Non.



La “convention secrète” c’est la clé de chiffrement, or Apple ni ses ingénieurs n’ont pas à la connaître pour obtenir un chiffrement sûr. Les paranos me riront au nez, mais quand-bien même ils la connaîtraient, ils peuvent simplement le nier, puisqu’il est tout à fait possible de mettre en oeuvre un chiffrement sans qu’un tiers ne connaissent la clé.








manfried a écrit :



Outre le montant de l’amende et la durée des peines qui augmentent, ce qui m’interpelle c’est la formulation suivante qui m’interpelle :

 ” le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités”L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?







Ce n’est pas tout à fait clair en fait : jusqu’à maintenant l’interprétation qui prévalait était celle que tu fais, il s’agissait en gros de dire à Apple “si tu connais la clé, tu dois la donner”. Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).









le podoclaste a écrit :



Non.



La “convention secrète” c’est la clé de chiffrement, or Apple ni ses ingénieurs n’ont pas à la connaître pour obtenir un chiffrement sûr. Les paranos me riront au nez, mais quand-bien même ils la connaîtraient, ils peuvent simplement le nier, puisqu’il est tout à fait possible de mettre en oeuvre un chiffrement sans qu’un tiers ne connaissent la clé.







C’est pas rare que les clés soient stockées chez Apple, Microsoft ou autres, via les systèmes de backup dans le cloud. Les clés bitlocker peuvent être stockées en backup chez Microsoft par exemple, idem pour les clés de chiffrement iPhone ou encore FileVault qui peuvent être sauvegardées via le compte iCloud.



C’est pas la france qui a demandée à déroger a certaine partie des droits de l’homme au nom de la sécurité d’état ?


Dans le cadre de l’état d’urgence.



Et pas sûr du tout que ce droit puisse sauter (à vérifier)


Mince, ils peuvent s’en passer apparemment…


Alors si c’est bien fait, ces clés stockées sur le Cloud ne le sont pas en clair et sont chiffrées avec le mot de passe du service cloud (ou du trousseau d’accès Mac OS X) que l’éditeur du service ne connait pas non plus autrement que sous forme de hash.








Liam a écrit :



Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).





Tu as une source là-dessus ? Ça m’intéresse.

Je suis du même avis que toi pour la fin.



Bon courage pour prouver que quiconque ait “connaissance de la convention secrète de déchiffrement”.

Il va y avoir des épidémies d’amnésie.

 


Vous avez le droit de garder le silence, mais seulement après nous avoir tout dit. <img data-src=" />




Si ce refus aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, alors le coupable risque jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende.

Comment en être vraiment sûr si on ne connait pas le contenu ? Au doigt mouillé ? <img data-src=" />


Moi, ce qui m’interpelle, c’est qu’une société privée ait le droit de briser et reconstituer des scellés !



Pour le reste, soit les enquêteurs ont des preuves solides, donc il n’ont pas besoin de connaître le contenu chiffré pour incriminer quelqu’un, soit ils n’ont pas de preuves, et dans ce cas, le ‘criminel’ n’est pas inculpable de ‘crime où délit’, donc n’est pas contraint de dévoiler ses clés !


En gros, on te demande de donner les clés pour pouvoir prouver que tu étais bien obligé de les donner …








IMPulsion a écrit :



Moi, ce qui m’interpelle, c’est qu’une société privée ait le droit de briser et reconstituer des scellés !





Le Centre technique d’assistance est un service qui faisantpartie du Ministère de l’Intérieur et pas une société privée.



Et quand les terroristes (parce que c’est uniquement pour çà qu’on a besoin de lire toutes nos données) migreront (si ce n’est fait) sur des solutions sans déchiffrement autre que le bruteforce ou encore des solutions développées au noir par deux ou trois hackers russes chinois du kgbi… on enverra les magistrats négocier la “convention” ou bien ?








le podoclaste a écrit :



Alors si c’est bien fait, ces clés stockées sur le Cloud ne le sont pas en clair et sont chiffrées avec le mot de passe du service cloud (ou du trousseau d’accès Mac OS X) que l’éditeur du service ne connait pas non plus autrement que sous forme de hash.





Chez tous les gros éditeurs (MS/Google/Apple), c’est chiffré avec un certificat en leur possession, ta clé ne donnant accès qu’a des données déchiffrées à la volée.



C’est que sur ta machine que c’est chiffré avec ta clé (Bitlocker…), qui tu peux ou pas (si t’as des choses à cacher et donc que tu mérites d’aller en prison sans passer par la case départ) backuper en ligne.



Prendre perpet, ca ne me fait pas rever perso








Naneday a écrit :



Prendre perpet, ca ne me fait pas rever perso





C’est justement pas ce que j’ai dit. <img data-src=" />









fred42 a écrit :



Tu as une source là-dessus ? Ça m’intéresse.

Je suis du même avis que toi pour la fin.







Ici.



À ma connaissance, c’est une première.



Ah, sur ce cas là !

Mais c’est un peu complexe parce qu’a priori, il n’est pas en cause sur les alertes à la bombe qui ont été faites à travers son ordinateur.

Le fait de ne pas donner les clés de chiffrement protège non pas lui mais ceux qui ont fait les menaces.

Donc, le juge qui semble faire la part des choses en ne suivant pas le parquet n’a pas forcément tort.



Cependant, le cas est complexe parce qu’il pourrait s’incriminer lui aussi et donc le refus serait dans ce cas justifié.



Bref, cela risque d’être un cas intéressant à suivre.








jaffalibre a écrit :



On leur dit qu’en cas de chiffrement asymétrique personne à part l’utilisateur n’a la clé privée ? et que d’après le droit français, il n’est pas obliger d’en divulgué car il se mettrait a charge lui même ?





Terroriste =&gt; sans droit.

&nbsp;



En plus on s’en fiche les derniers exemples Franco-Belge -&gt; zero crypto jusqu’ici.



par contre ca met une sacrée pression sur les entreprises qui se lanceraient dans des projets mettant en peuvre de la crypto. recruter un ingénieur pour le voir partir en taule 5 ans… Idem les investisseurs dans des startups qui monteraient une petite appli avec de la crypto dedans…


Très bonne loi… Ca va inciter les entreprises a abandonner le chiffrement centralisé (avec des clés “propriétaires” fournies et donc connues par l’entreprise) et ca va démocratiser le chiffrement de bout en bout (avec des clés générées et donc connues uniquement par l’utilisateur).


Rien n’est Legall tout est Imposer…


Terroriste = humain hors tout les citoyen, peux importe leurs actes sont innocent avant d’avoir prouvé le contraire. Ca parait cru comme discours mais un terroriste reste un citoyen comme toi et moi, seul un juge peux le priver de ces droits.








Liam a écrit :



Ce n’est pas tout à fait clair en fait : jusqu’à maintenant l’interprétation qui prévalait était celle que tu fais, il s’agissait en gros de dire à Apple “si tu connais la clé, tu dois la donner”. Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).





Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.









RRMX a écrit :



Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.







La CEDH n’est pas l’Union Européenne, ces deux institutions étant indépendantes l’une de l’autre.&nbsp;



Convention secrète –&gt; Ca ne se réduit pas à la clef. Ca peut être une backdoor, une faille 0-day, ou simplement le détail de l’algo. Bref tout ce qui peut aider à déchiffrer mais qui n’est pas public.





de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre–&gt; le gars n’est pas oblige de transmettre la clef / backdoor / faille / etc. aux autorités. Il peut refuser de la donner mais accepter de la mettre en oeuvre, autrement dit demander aux autorités de lui donner les données à décrypter / déchiffrer et ensuite de leur rendre la version en clair des données.



quiconque –&gt; Ca ne vise pas les employés directement. Plutôt la personne morale (l’entreprise), et donc par extension le chef d’entreprise. Bref si Apple refusait en France, ce serait Apple qui paierait l’amende et potentiellement Tim Cook qui se prendrait la prison s’il refuse d’ordonner à ses équipes de procéder aux opérations demandées. Par contre s’il s’agit de demander le mot de passe à un proche du suspect qui lui le connaît, oui là c’est le gars qui est directement impacté.


Yep, c’est prévu au niveau de l’Europe. Tu peux y déroger temporairement en cas de risque pour la sécurité de la nation. Avec quelques exceptions toutefois pour des trucs comme la torture que meme ainsi tu ne peux pratiquer.


Les terroristes dans ton genre…


Dans les faits et la loi non. Regarde au US : détention sans signification des charges , par les milis, indéfiniment, et eventuellement sans procès. Un écolo qui manifeste : hop terroriste. l’écolo a de suite nettement moins de droit, en commençant par être assigné à résidence de force. Et le summum : Guantanamo. Le paragon des Droit de l’Homme Terroriste








MC68060 a écrit :



Rien n’est Legall tout est Imposer…









<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Y’a bien le café



Un système de crypto open source n’aurait rien à donner puisque ce serait fait.&nbsp; <img data-src=" />



&nbsp;








RRMX a écrit :



Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.







La CEDH n’est pas un organe de l’UE mais du Conseil de l’Europe, un autre organisme qui n’a rien à voir (avec une bonne quarantaine de pays membres). Les citoyens qui s’estiment victime d’atteinte aux droits de l’homme peuvent saisir eux-même la CEDH, dont le siège se situe à Strasbourg et dont les décisions sont respectées par la France, y compris en accordant un nouveau procès à la victime d’une atteinte aux droits de l’homme si nécessaire. La CEDH fait un travail exceptionnel et est à l’origine de la majorité voire de la quasi-totalité des avancées en matière de droits de l’homme et de respect des droits de la défense en France ces trente dernières années.



Bref, avant d’ironiser et de psychoter, tu devrais un peu te renseigner. Ça t’éviterait de passer pour un idiot en voulant faire le malin.