La chambre criminelle de la Cour de cassation vient de rendre un arrêt important. Contrairement à la cour d’appel, elle considère que refuser de fournir le code de déverrouillage d’un téléphone peut constituer une infraction s’il a un lien avec le chiffrement des données.
« Un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés et, en ce sens, ne constitue pas une convention secrète d’un moyen de cryptologie ».
Voilà ce qu’indiquait la cour d’appel de Paris le 16 avril 2019 avant de relaxer un certain Malek B.
En garde à vue dans le cadre d’une enquête en matière de trafic de drogue, celui-ci avait refusé de fournir le code de déverrouillage de ses trois téléphones. Il fut alors poursuivi pour « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ».
Cependant, la cour estima, sans grand détail, que le code, s’il permet de déverrouiller le téléphone, ne permet pas de déchiffrer les données ou messages qui y sont stockés.
Une nuance importante pour cette disposition du Code pénal qui fut « introduite par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne après les attentats du 11 septembre 2001 où il était clairement apparu que les terroristes utilisaient les réseaux numériques en cryptant leurs échanges », retraçait Myriam Quéméne, magistrate, en 2018 dans la revue Dalloz IP/IT, avant de préciser que « cette infraction a vu ses sanctions aggravées par la loi n° 2016-731 du 3 juin 2016 en son article 16 ».
Le Code pénal prévoit jusqu’à trois ans d'emprisonnement et 270 000 € d'amende à l’encontre de la personne réticente, voire cinq ans d'emprisonnement et 450 000 € d'amende « si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets ».
L’arrêt d’appel avait été salué par l’avocat de Malek B., celui-ci affirmant dans les colonnes du Parisien que « le code de déverrouillage d'un portable ne peut pas être considéré comme une clé de déchiffrement d'un moyen de cryptologie. Cela fait plusieurs années que nous nous battons sur cette question. La cour d'appel de Paris vient, enfin, de nous donner raison. C'est une grande avancée. »
Le Conseil constitutionnel avait préalablement déjà souligné le 30 mars 2018 que cet article 434-15-2 ici en jeu ne porte « pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances » (notre actualité).
Ces dispositions, en effet, n'ont pas pour objet d'obtenir des aveux « et n'emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées ». Une décision contestée par la Quadrature du Net.
La mise au clair de la Cour de cassation
Ce jour, toujours dans le même dossier, la chambre criminelle de la Cour de cassation vient de mettre au clair cette jurisprudence qui posait des soucis opérationnels pour les forces de l’ordre.
Et pour cause, « aujourd’hui, il n’est malheureusement pas exagéré d’affirmer que des enquêtes portant sur des structures criminelles majeures sont rendues impossibles, ou sont extrêmement ralenties, par l’utilisation de messageries cryptées que les enquêteurs ne peuvent pas intercepter en temps réel », relevaient Benoist Hurel et Vincent Lemonier, dans un article de 2018 relatif à l’enquête pénale à l’épreuve du chiffrement.
Contrairement à la cour d’appel, la Cour de cassation pose que le code de déverrouillage d’un téléphone portable peut constituer une convention, du moins « lorsque ledit téléphone est équipé d’un moyen de cryptologie ».
En effet, rappelle-t-elle à l’aide de la loi sur la confiance dans l’économie numérique, « la convention secrète de déchiffrement d’un moyen de cryptologie contribue à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d’assurer ainsi notamment leur confidentialité ».
Une définition suffisamment large pour y inclure les matériels. Cependant, comment savoir si un tel moyen est effectivement présent sur le téléphone ? Cette démonstration, nous apprend l’arrêt, « peut se déduire des caractéristiques de l’appareil ou des logiciels qui l’équipent ainsi que par les résultats d’exploitation des téléphones au moyen d’outils techniques, utilisés notamment par les personnes qualifiées requises ou experts désignés à cette fin, portés, le cas échéant, à la connaissance de la personne concernée ».
Par contraste, en s’appuyant sur l’expression vague de « téléphone d’usage courant », la cour d’appel avait été un peu vite en besogne, loin du seuil d’expertise réclamé par la haute juridiction.
Justifier le lien entre code de déverrouillage et chiffrement
« Autrement dit, explique Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles, il faut justifier en procédure que le code de déverrouillage a un rôle sur le chiffrement du terminal, ce qui est techniquement le cas des derniers smartphones ».
Ainsi, « le fait de refuser de communiquer le code de déverrouillage de son téléphone à la demande officielle d’un OPJ est une infraction, dès lors qu’il est démontré que ce code a un impact sur le chiffrement des données du téléphone ».
Comme expliqué lors de l’affaire de la tuerie de San Bernardino, depuis l’arrivée d’iOS 8, les données utilisateurs sur iOS sont chiffrées, mais la clé générée dépend du code de déverrouillage choisi par le propriétaire du téléphone (voir également cette note d’Apple)
L’infraction doit aussi obéir à un formalisme. Elle peut être constituée en cas de refus « de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ».
Dans la lignée de la décision du Conseil constitutionnel, la cour a considéré qu’une réquisition délivrée par un officier de police judiciaire entrait bien dans ce champ, lorsque celui-ci agit en vertu des articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, sous le contrôle de l’autorité judiciaire.
« Autrement dit, l’OPJ doit donc matérialiser sa demande et avertir le mis en cause que le refus constitue une infraction. Cela ne doit pas être une simple demande orale » détaille Matthieu Audibert.
Tout n’est pas si simple cependant puisqu’au surplus, il faudra aussi démontrer que le moyen de cryptologie est « susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Des éléments contextuels apportés par les investigations, « à l’aide d’éléments factuels et objectifs relatifs à l’usage d’un téléphone pour commettre l’infraction », nous indique un membre des forces de l’ordre.
Commentaires (37)
#1
Et le droit de ne pas s’auto-incriminer, ou de garder le silence, on lui marche dessus ou bien ?
#1.1
+1
Après… Lors d’une perquisition, tout lieu dont la personne a les clés peut être perquisitionné. Donc si on considère que le stockage d’un téléphone est un lieu…
#1.2
“Le Conseil constitutionnel avait préalablement déjà souligné le 30 mars 2018 que cet article 434-12-2 ici en jeu ne porte « pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances »”
#2
Aucun souci là dessus, dixit le Conseil constit, comme rappelé dans l’actu.
(LQDN n’est pas vraiment d’accord)
#3
La stéganographie a de beaux jours devant elle…
#4
C’est regrettable, en particulier lorsque des policiers ou des gendarmes réclament les accès aux téléphones des personnes les filmant ou les photographiant pour effacer lesdites images, le tout en refusant de porter et de fournir leur RIO.
#5
Idée pour ceux qui s’ennuient le dimanche :
Il manque la feature pour avoir un mot de passe d’éffacement dans Android ça serait bien de l’avoir, meme si c’est contournable ça permet d’avoir un raccourcie de plus.
En vrai je crois qu’il me faut 20 secondes pour nuke mon téléphone, mais 20 secondes c’est long.
#5.1
Ca ne serait pas assimilé à de la destruction de preuve ?
#5.2
Pas de preuve qu’il y avait des preuves dans le téléphone :)
#5.3
Si, mais selon la situation, ça peut être “moins pire” que de consulter le téléphone.
#5.4
“OK Google, autodétruis-toi !”
#5.5
ca existe depuis un moment sur les iphone ou android. Un certains nombre de faux codes réinit le téléphone.
#6
#7
Rapport entre des manifestation de rues qui film des FDO et des FDO qui mène une enquête avec la justice ?
#7.1
Un gendarme peut être opj
#8
Sauf qu il est bien noté qu une demande orale ne suffit pas
#9
C’est hallucinant, donc pas besoin d’un juge ou d’un mandat de perquisition?
#10
Et… Quid des téléphones protégés par empreinte digitale (imaginons que ça soit la seule possibilité de déverrouillage)?
On est obligé de fournir son doigt?
Non parce que la loi nous oblige à fournir le code de déverrouillage, PAS de déverrouiller, ce qui est sensiblement différent.
#11
Comme il me semble difficile d’exiger que quelqu’un déchiffre ses données, ça suggère que le choix serait du côté du propriétaire de du téléphone, et pas de celui qui fait la demande.
Dans ce cas, peut-il refuser de donner son code, et demander qu’on lui fournisse des données à déchiffer ? Ca aurait un sens pour la protection de la vie privée (en ne déchiffrant que les données strictement nécessaires), mais ça rendrait l’enquête bien plus difficile, puisqu’il faudrait un accès root ou physique pour d’abord extraire les données.
#12
Un commentaire intéressant de Maitre Eolas sur le sujet, tiens.
#13
Si le mis en cause n’est pas le propriétaire du téléphone ? Téléphone acheté par une autre personne par exemple (morale ou physique) .
==> Les autorités compétentes supposent-elles que le porteur d’un téléphone doit remettre la convention de chiffrement ?
#14
Tu oublies le dernier paragraphe de l’article.
#15
Je comprends que si:
Dans la lignée de la décision du Conseil constitutionnel, la cour a considéré qu’une réquisition délivrée par un officier de police judiciaire entrait bien dans ce champ, lorsque celui-ci agit en vertu des articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, sous le contrôle de l’autorité judiciaire.
#16
Les mandats de perquisition c’est aux USA, pas en France
#16.1
Les perquisitions, visites domiciliaires et saisies de pièces à conviction ou de biens dont la confiscation est prévue à l’article 131-21 du code pénal ne peuvent être effectuées sans l’assentiment exprès de la personne chez laquelle l’opération a lieu. (article 76 du Code de procédure pénale).
Et le mieux concernant le déverrouillage du téléphone est de perdre la mémoire.
“Je veux vous donner le code, mais je ne m’en souviens plus…”
#16.2
“Je veux, bien, vous donner le code, mais je ne m’en souviens plus” !
bien pratique cette ‘perte’ de mémoire…………………subite !
#16.3
vous comprenez je suis en état de choque je ne sais plus qui je suis ni ou j’habite, je suis seul sens vous. Voulez vous être mon copain ? x)
#17
J’allais signaler le même.
Qu’en pense Marc ?
Marc ?
#18
En France ça s’appelle une commission rogatoire.
(sauf si j’ai vraiment mal compris)
#19
Je ne suis pas sûr qu’entamer une discussion avec les forces de l’ordre sur qui est le propriétaire de l’appareil et/ou de l’abonnement versus qui en a l’usage au quotidien soit la meilleure chose à faire à moins d’avoir du temps à perdre.
#20
Je pense que peu de constructeurs grands public prendraient le risque de proposer une telle feature.
Ptet sur une ROM alternative genre LinageOS. Il me semble que récemment il y avait eu une histoire avec des téléphones “spécial crime organisés” qui s’étaient fait pirater par les services de police - ce genre de téléphone dispose ptet d’une telle fonction.
Après , j’avoue que je reste assez interloqué par cette histoire :
Aujourd’hui, sur la plupart des téléphones récents le code PIN sert aussi de code pour déverrouiller la clé de chiffrement de la flash au boot - une précaution importante en cas de perte.
Dans un contexte social tendu comme en ce moment, il ne faut jamais oublier que ce n’est pas “que” les grands criminel tueurs d’enfants qui peuvent être concernés par des enquêtes en flagrances, mais la simple contestation pacifique peux vous emmener devant en GaV puis devant un simple policier (comme l’est un OPJ) voire en prison comme n’importe quel bandit de grand chemin.
Dans ce cas il est évidemment recommandé de ne pas avoir de téléphone sur soi , ou bien un nokia 3310 avec une SIM jetable, mais là de ce que j’en comprends ils pourraient saisir, à loisir, tout téléphone et “obliger” à le déverrouiller. Tout ce qu’ils ont besoin c’est la demande d’un OPJ, donc fondamentalement une personne qui , par sa fonction, est d’abord policier avant d’être magistrat et pour qui les droits de la défense est une nuisance.
#21
Sauf erreur de ma part rien n’interdit de filmer les policiers même si c’est encadré (pas de provocations ou d’outrages).
Donc devoir fournir un code pour effacer les images n’est absolument pas justifié dans ce cas.
Mais dans le cadre d’une enquête je ne trouve pas ça déconnant.
#22
Avec la pression et le stress, on peut aussi facilement se tromper de code…
Pas justifié, mais ils le font quand même.
#23
Question: le fait de demander à une personne la clé est soumis à des conditions précises, en particulier le fait que le moyen de cryptologie est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ».
Si je suis arrêté et qu’un OPJ me demande une clé, est-il tenu de me démontrer qu’il respecte ces conditions avant de me demander la clé, ou suis-je supposé choisir de la lui donner ou non sans information sur la légitimité de la demande (et donc sur le fait que je pourrais ou non être condamné pour ma réponse)?
Autre question: quel est le statut juridique du déni plausible?
Si j’ai un fichier crypté de 5Go qui ne contient d’après la clé que j’ai fourni aux autorités que 2 photos de famille pour un total de 3Mo, ils ont de bonnes raisons de penser que j’ai une autre clé qui donne accès à des infos plus intéressantes (surtout s’ils ont d’autres éléments contre moi), même s’ils ne peuvent pas formellement le démontrer.
Est-ce que cela rentre dans ce refus de fournir les conventions de chiffrement?
Juste pour rire, si jamais certains ne connaissent pas :
https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm
https://xkcd.com/538/
#24
Le problème aujourd’hui, c’est qu’il est possible que tu sois embarqué par un flic simplement parce que t’a un gilet jaune dans ton sac, sous prétexte que, en tant que contestataire, tu t’apprêtais à aller casser des vitrines avec tes collègues.
A partir de là, avec ce jugement , tu est obligé de leur donner ton code PIN.
Et avec ce code PIN ils peuvent fouiller tout le téléphone, quitte à trouver d’autres éléments pour t’inculper (je pense au cannabis , bien sur, ou n’importe quoi d’autre de privé).
Bien entendu que , si en vrai tu n’avais pas l’intention d’aller péter des vitrines, tu sortira rapidement après un moment désagréable.
Mais c’est pas le problème ici.
Le simple fait, dans cette situation, de refuser de filer ton code PIN va automatiquement te faire considérer comme plus suspect que les autres - simplement car t’a pas envie qu’un flic lambda lise tes SMS entre toi & ta copine.
A mon avis, vu la lecture, soit tu donnes la clé , et si la demande n’était , après coup, jugée non légitime, et bien l’OPJ pourrait être blamé , enfin si il n’est pas syndiqué.
Soit tu lui donne pas, et tu finis en GaV le temps que ton avocat arrive à faire accepter au juge que non la demande de l’OPJ n’est pas proportionnée (dans ce cas t’aura juste passé du temps en GaV, et ce sera ben noté qq part dans ton dossier, mais t’aura pas de condamnation. Mais c’est de l’intimidation.
Si par contre le juge trouve que c’était légitime, tu prendra 2x plus cher pour avoir tenté de faire valoir tes droits.
En tous cas je comprends ça comme ça.
Tu y met 4Go de films de culs dans le volume primaire. Comme ça t’a une bonne raison de chiffrer le fichier , et il est impossible de prouver qu’il y a un volume secondaire.
#25
Si ça marche avec Benalla qui ne se souvient plus où est son coffre-fort…
#26
Plus que la ‘bonne raison de chiffrer’ (si tu mets des documents administratifs et bancaires, tu peux justifier le chiffrement sans te fouler), je m’étais demandé comment rendre crédible le fait que ce soit des données très statiques (parce que pas envie de prendre du temps à modifier la partie sacrifiable de l’archive pour la rendre réaliste)
Mais si c’est de l’archivage à valeur culturelle et documentaire, ça passe tranquille
Je comprends pas, il a du tomber de ma poche quand je fouillait à la recherche de monnaie pour payer mon pain.