Sanction du refus de remettre le code d’un téléphone : un second arrêt de la Cour de cassation

Sanction du refus de remettre le code d’un téléphone : un second arrêt de la Cour de cassation

Le téléphone pleure

Avatar de l'auteur
Marc Rees

Publié dans

Droit

16/10/2020 4 minutes
20

Sanction du refus de remettre le code d’un téléphone : un second arrêt de la Cour de cassation

Il n'y a pas eu qu'un seul arrêt ce 13 octobre dernier sur le sujet. Le même jour, la Cour de cassation a confirmé que le code de déverrouillage d’un téléphone est une convention secrète lorsqu’il a une incidence sur le chiffrement. Le refus de le remettre peut alors bien être sanctionné.

Comme dans la première affaire, un individu avait été interpellé le 12 mai 2018 en possession de cannabis. Il fut mis en garde à vue où il admit avoir acquis, détenu, consommé et même cédé de la drogue.

Toutefois, durant cette phase, il a refusé de communiquer aux forces de l’ordre le code de déverrouillage de ses deux téléphones. Une source d’informations potentiellement importantes pour les enquêteurs afin d’identifier les éventuelles personnes impliquées dans un réseau.

L’individu, qui était déjà sous le coup d’un sursis, fut condamné à 6 mois d’emprisonnement le 12 mai 2018 par le tribunal correctionnel de Lille pour infraction à la législation sur les stupéfiants. Les juges le relaxèrent toutefois du chef de refus de remettre ou mettre en œuvre la convention secrète d’un moyen de déchiffrement.

Selon l’article 434-15-2 du Code pénal, un tel fait est pourtant puni en principe jusqu’à trois ans d’emprisonnement et 270 000 euros d’amende, voire cinq ans et 450 000 euros lorsque « la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets ».

Des faits suffisamment graves pour que le procureur de la République décide de faire appel.

Quand le code de déverrouillage devient convention de déchiffrement

Le 11 juillet 2019, la cour d’appel de Douai a toutefois confirmé cette relaxe. Il faut dire qu’entre-temps, la cour d’appel de Paris avait en avril 2019 jugé qu’ « un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés ».

De cette affirmation, elle en avait déduit que ce code n’est « pas une convention secrète d’un moyen de cryptologie ». Le 13 octobre dernier, dans un autre arrêt non encore publié, mais que nous avons obtenu en marge des Assises de la cybersécurité, la Cour de cassation va annuler la décision d’appel de Douai, tout comme elle annula le même jour la décision parisienne.

Déverrouillage et mise au clair des données 

Elle a reproché aux juges d’appel d’avoir soutenu sans nuance et analyse précise qu’un code de déverrouillage « ne sert pas à décrypter les données, mais à débloquer l’usage de l’écran, pour accéder aux données contenues dans le téléphone ».

Pour la haute juridiction, au contraire, « le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement s’il permet de mettre au clair les données qu’il contient ».

Arret cour de cassation code téléphone chiffrement
Crédits : Chambre criminelle C.Cass, 13 octobre 2020 (19-85.984)

Une situation qui peut se rencontrer sur les téléphones récents, comme déjà expliqué. Les juridictions de fond (tribunaux correctionnels et cours d’appel) ne pourront plus désormais prononcer une relaxe ou la culpabilité d’une personne avec des arguments si généralistes, mais devront au contraire vérifier si dans le cas présent, le code de déverrouillage a une incidence sur le chiffrement des données contenues sur tel smartphone.

20

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand le code de déverrouillage devient convention de déchiffrement

Déverrouillage et mise au clair des données 

Commentaires (20)


Si j’ai bien compris l’article précédent, il faudra également, pour exiger la convention de déchiffrement, prouver que le téléphone a servi pour commettre le délit/crime.


Est-il possible, sans le code, de savoir si le code sert au chiffrement ou au “simple” déverrouillage ?


Pour lire le contenu d’un téléphone, il “suffit” de se brancher sur le téléphone avec du matériel spécialisé. Et là, on sait facilement si le contenu du téléphone est chiffré ou non.
Par contre, je ne sais pas s’il faut une autorisation pour que les autorités puisse réaliser cette opération.


bansan

Pour lire le contenu d’un téléphone, il “suffit” de se brancher sur le téléphone avec du matériel spécialisé. Et là, on sait facilement si le contenu du téléphone est chiffré ou non.
Par contre, je ne sais pas s’il faut une autorisation pour que les autorités puisse réaliser cette opération.

Sous android, un PC avec adb suffit (https://developer.android.com/studio/command-line/adb).



Edit : à moins que ça ne marche qu’avec les téléphones rootés ?


ColinMaudry

Sous android, un PC avec adb suffit (https://developer.android.com/studio/command-line/adb).



Edit : à moins que ça ne marche qu’avec les téléphones rootés ?


ADB est fonctionnel, même si le téléphone n’est pas rooté. Encore faut- il que sur le smartphone le débogage USB soit activé dans les options développeur. Ce qui n’est heureusement pas le cas par défaut. Donc normalement, pour pouvoir utiliser ADB, il faut déjà avoir pris la main sur le smartphone, ou avoir à faire à un utilisateur complètement inconscient des risques qu’il prend en laissant le mode débogage actif. Si exceptionnellement on est amené à utiliser ADB, il est alors très important de toujours penser à désactiver le mode débogage immédiatement après usage car sinon c’est un peu comme laisser les clés sur la serrure.


stratic

ADB est fonctionnel, même si le téléphone n’est pas rooté. Encore faut- il que sur le smartphone le débogage USB soit activé dans les options développeur. Ce qui n’est heureusement pas le cas par défaut. Donc normalement, pour pouvoir utiliser ADB, il faut déjà avoir pris la main sur le smartphone, ou avoir à faire à un utilisateur complètement inconscient des risques qu’il prend en laissant le mode débogage actif. Si exceptionnellement on est amené à utiliser ADB, il est alors très important de toujours penser à désactiver le mode débogage immédiatement après usage car sinon c’est un peu comme laisser les clés sur la serrure.


Si le mode débogage est activé, il est quand même demandé d’accepter la connexion depuis un pc jusqu’alors inconnu de fait, il est nécessaire d’avoir le code pour déverrouiller le téléphone et valider le message permettant d’accéder au téléphone via adb. C’est un risque de laisser le débogage USB actif mais il y a tout de même un garde fou (au moins depuis Android 8.1)



ColinMaudry a dit:


Si j’ai bien compris l’article précédent, il faudra également, pour exiger la convention de déchiffrement, prouver que le téléphone a servi pour commettre le délit/crime.




Il semblerait et c’est bien la partie intéressante de cet article.



(quote:1831364:Mr Patator)
Il semblerait et c’est bien la partie intéressante de cet article.




Et le droit de ne pas témoigné contre sois même c’est pour les chien en France ?
En Belgique on peut refusé justement car reviens a témoigné contre sois meme, ce qui enfreint nos droit de base …



NovemberMike a dit:


Est-il possible, sans le code, de savoir si le code sert au chiffrement ou au “simple” déverrouillage ?




Il sert aux deux en fait.


Il sert aux deux si l’option chiffrement du téléphone est activée. Sur Iphone, je crois que c’est le cas par défaut, pour Android, je ne suis pas sûr.



Macarie a dit:


Et le droit de ne pas témoigné contre sois même c’est pour les chien en France ? En Belgique on peut refusé justement car reviens a témoigné contre sois meme, ce qui enfreint nos droit de base …




Notre propre Conseil Constitutionnel n’a vu aucune contradiction pour sa part. Belgique 1 - France 0.


La question serait plutôt de savoir si l’accès au contenu du téléphone est assimilable à une perquisition, non ?
Car si c’est le cas, il devrait être ordonné par un magistrat, dans le cadre d’une GAV par ex.
Donc pas de « j’ai rien contre toi alors vas-y, file moi ton code, que je trouve dedans de quoi faire condamner ».


Sur un téléphone chiffré, le code au démarrage déchiffre la mémoire du téléphone lui permettant de démarrer.
Par contre techniquement, si le téléphone est verrouillé et pas éteint, la mémoire du téléphone est elle toujours chiffrée ?
Le téléphone déchiffre à la volée les infos nécessaires ou pas ?



Par ailleurs, une extension à un ordinateur ou une clé usb dont le disque est chiffré est quasi certain



Après les outils de la gendarmerie / police permettent de récupérer les infos même sur un téléphone verrouillé et même sur un téléphone chiffrée grâce à des failles…



Le plus simple reste quand même de ne pas avoir de téléphone ayant pu servir à commettre un délit ou crime 😁



Tchoumi a dit:


Par contre techniquement, si le téléphone est verrouillé et pas éteint, la mémoire du téléphone est elle toujours chiffrée ? Le téléphone déchiffre à la volée les infos nécessaires ou pas ?




La mémoire vivre est en clair.
Le stockage à long terme est chiffré.



Cela n’a pas d’incidence sur la décision rendue : un fonctionnaire peut tout à fait éteindre l’ordiphone avant de demander formellement au suspect le code… voire atteindre une semaine que la batterie se décharge… avec les lenteurs de la justice d’autre part…



ColinMaudry a dit:


Si j’ai bien compris l’article précédent, il faudra également, pour exiger la convention de déchiffrement, prouver que le téléphone a servi pour commettre le délit/crime.




Je lis dans l’arrêt: “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”. Donc pas besoin de prouver que le téléphone a servi à ça.


J’ai un peu de mal à comprendre la différence pratique entre des donnée bloquées sur un téléphone verrouillé et des données chiffrées sur le téléphone … la conséquence commune de ces deux systèmes étant de bloquer l’accès aux donnes.
Dans les deux cas, il faut un code pour accéder au données. Le conseil d’état semble différentier les deux cas de figure en fonction du texte de loi appliqué.
Par contre, les conséquences pénales sont bien différentes !



De mon point de vue, la règle devrait être la même dans les deux cas.


Un simple code PIN ne chiffre pas les données sur le téléphone, il empêche juste d’y accéder via l’écran du téléphone. Il reste possible d’y accéder par d’autres moyens. Il n’est donc pas une « convention secrète d’un moyen de déchiffrement ».



(quote:1831515:jeff.110)
J’ai un peu de mal à comprendre la différence pratique entre des donnée bloquées sur un téléphone verrouillé et des données chiffrées sur le téléphone … la conséquence commune de ces deux systèmes étant de bloquer l’accès aux donnes. Dans les deux cas, il faut un code pour accéder au données. Le conseil d’état semble différentier les deux cas de figure en fonction du texte de loi appliqué. Par contre, les conséquences pénales sont bien différentes !



De mon point de vue, la règle devrait être la même dans les deux cas.




Si tu as un message chiffré, et que tu l’imprimes, puis que tu le mets dans un coffre fort, le simple fait d’ouvrir le coffre fort (avec sa clé ou son code) ne suffira pas à déchiffrer le message.



Pour pouvoir déchiffrer le message et donc en lire le contenu, il faut la clé de chiffrement, qui est différente du code de déverrouillage du coffre fort.



Dans ce cas, le code du coffre est un code d’accès aux donnée. Pas la clé de chiffrement.



C’est la même chose pour ton téléphone : la clé de chiffrement est sur le téléphone. Le code de verrouillage n’est pas la clé de chiffrement.



Ici, et c’est bien la subtilité : c’est comme si tu avais mis la clé, en plus du message, dans le coffre fort. La clé permet de déchiffrer le message. Mais pour l’utiliser, il faut pouvoir ouvrir le coffre… avec le code du coffre.



Or, en l’état actuel de la jurisprudence et de la loi, tu as l’obligation de fournir la clé de chiffrement, mais pas le code du coffre.



Là où ça pose un autre problème, c’est que l’utilisateur lui-même n’est pas forcément au courant de cette clé : celle-ci est gérée par le système (iOS, Android) et seulement accessible par Apple ou Google (et encore, je n’en suis pas sûr). Donc est-ce qu’on peut dire que la personne est utilisatrice d’une convention de chiffrement ?



Toute la difficulté du problème est donc là :




  • ce n’est pas l’utilisateur qui utilisé la clé, c’est le système ; l’utilisateur ne connaît pas la clé ;

  • l’utilisateur connaît seulement le code d’accès (code pin par exemple), mais ce code n’est pas la clé à proprement parler, et ne fait pas partie des informations qu’il est tenu de fournir aux autorités.


Je découvre cet article de loi, qui va assez loin notamment à cause du “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”.



Cela veut dire que les forces de l’ordre peuvent exiger de déchiffrer n’importe quel volume chiffré: pour rechercher par exemple du contenu illégal. (“Il a une connexion internet donc il est susceptible d’avoir télécharger du contenu protégé”). Ça commence vraiment à sentir le roussi pour les libertés fondamentales ce pays.



(quote:1831684:Master Of Bandwidth)
Je découvre cet article de loi, qui va assez loin notamment à cause du “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”.



Cela veut dire que les forces de l’ordre peuvent exiger de déchiffrer n’importe quel volume chiffré: pour rechercher par exemple du contenu illégal. (“Il a une connexion internet donc il est susceptible d’avoir télécharger du contenu protégé”). Ça commence vraiment à sentir le roussi pour les libertés fondamentales ce pays.




D’une autre côté les perquisitions se font que chez des gens déclarés coupables?