Une loi de 1789 pour déverrouiller les smartphones durant les enquêtes aux États-Unis

C'est dans les vieilles marmites... 35
En bref
image dediée
Crédits : NA/Photos.com/Thinkstock
Justice
Vincent Hermann

Le Department of Justice américain rencontre actuellement des problèmes avec l’utilisation croissante du chiffrement sur les smartphones lors des enquêtes. Ce qui ne l’empêche pas de demander l’aide des entreprises lorsqu’il s’agit de déverrouiller les appareils mobiles durant les enquêtes. Une loi de 1789, l’All Writs Act, permet d’ailleurs de les y contraindre si nécessaire.

Avant de déchiffrer les données, il faut déverrouiller le smartphone

En septembre dernier, James Comey, directeur du FBI, n’avait pas caché son opinion sur les récents renforcements du chiffrement des données au sein d’iOS 8 et Android Lollipop : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du FBI s’étaient donc rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi ils pensent que tout ceci a du sens ».

Cette accélération soudaine du chiffrement a causé d’autant plus de difficultés aux enquêteurs qu’Apple et Google ont indiqué ne pas posséder la clé qui permettrait de retrouver les données d’origine. Nous nous posions alors la question de la conformité à certaines lois qui requièrent justement des entreprises qu’elles participent à des enquêtes. Selon le Wall Street Journal, un membre du Department of Justice avait même indiqué à Apple le mois dernier, durant une réunion que la société pourrait être responsable de la mort d’un enfant si elle ne coopérait pas.

Or, une loi datant du XVIIIe siècle, l’All Writs Act, est dans certains cas utilisée pour forcer les entreprises (ou les personnes physiques) à coopérer dans certains domaines. Rédigée dans les premiers jours de l’indépendance américaine, elle faisait partie initialement du Judiciary Act, voté durant la toute première réunion du Congrès et présent dans la Constitution. La loi a été plusieurs fois rénovée, notamment en 1911, et amendée encore depuis. Et l’utilisation de l’All Writs Act fournit justement un nouvel éclairage sur ce qui peut être réclamé ou pas aux entreprises.

Une loi de 1789 pour imposer aux entreprises de fournir une aide technique 

Ars Technica s’est procuré en effet plusieurs documents montrant que des enquêtes en cours concernent deux smartphones verrouillés, pour lesquels l’All Writs Act est utilisé. Dans le premier cas, la demande est réalisée par le bureau du procureur de New York sur un modèle inconnu et impliqué dans une fraude à la carte bancaire. Dans le second, il s’agit d’un iPhone 5s dans une enquête criminelle, avec une demande faite par le bureau du procureur d’Oakland, en Californie.

Dans le second cas, l’exposé des faits est direct : un iPhone 5s présente un écran de verrouillage qui empêche les enquêteurs d’acquérir les données nécessaires dans le cadre d’une enquête criminelle. Le procureur demande donc à la Cour l’utilisation de l’All Writs Act afin d’obtenir une ordonnance qui forcerait Apple à assister les enquêteurs dans le déverrouillage de l’appareil.

ios verrouillage

La demande du procureur est d’autant plus intéressante qu’elle précise que ce n’est pas la première fois que la loi de 1789 est utilisée avec Apple. Et non seulement la situation ne serait pas nouvelle, mais elle aurait également prouvé son efficacité, la firme ayant déjà accepté par le passé de remplir ses obligations. On peut lire également (à la fin) que si les enquêteurs devaient se passer de l’aide d’Apple, la recherche prendrait plus de temps, réclamerait des ressources plus importantes et pourrait même endommager l’appareil. En fait, la demande peut se résumer en une phrase : « En conséquence, cette cour a l’autorité d’imposer à Apple l’utilisation de tout moyen nécessaire qu’elle pourrait avoir pour déverrouiller cet iPhone ».

La frontière entre verrouillage et données chiffrées 

Et la cour a accepté ces arguments. La juge Kandis Westmore a ainsi ordonné à Apple « de fournir une assistance technique raisonnable pour permettre aux agents des forces de l’ordre d’obtenir l’accès aux données déchiffrées ». Cette ordonnance présente cependant une précision cruciale : «  Il est également ordonné, dans la mesure où les données sur l’appareil iOS sont chiffrées, qu’Apple fournisse une copie de ces données aux forces de l’ordre, mais Apple n’est pas tenue de tenter de déchiffrer les données ou d’aider les agents en la matière ».

Il est donc important de constater que l’All Writs Act est utilisé dans ce cas pour déverrouiller le téléphone, mais le travail de déchiffrement des données reste l’apanage des forces de l’ordre. Apple doit ainsi fournir une « assistance technique raisonnable » mais il ne lui est pas réclamé une méthode pour obtenir les données en clair. Les proclamations d’Apple et Google semblent donc valides en l’état.

Mais quelle est exactement la différence entre le déverrouillage d’un smartphone et les données elles-mêmes ? Comme le note Jonathan Mayer, maître de conférence à l’université de Stanford, les informations couvertes par l’Electronic Communications Privacy Act ne peuvent pas être obtenues via l’All Writs Act. Or, les données personnelles sont protégées par l’ECPA, mais pas le déverrouillage du téléphone, ce qui ouvre donc la porte à la vieille loi.

Pour résumer, on peut dire qu’Apple et Google comptent effectivement garder les données chiffrées pour eux et ne donner aucune clé qui permettrait de les atteindre. Cependant, rien n’empêche les forces de l’ordre de se pencher directement sur ces informations et d’investir des ressources dans leur obtention en forme claire. Et non seulement les entreprises ne peuvent pas s’y opposer, mais elles peuvent être forcées d’offrir une aide.

Et en France ?

La situation dans l'Hexagone est à la fois plus claire et plus dure qu’aux États-Unis depuis que la loi sur le terrorisme a été adoptée. L’article 230-1 dispose en effet que « le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire […] peut désigner toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement ».

En d’autres termes, si la justice estime que la « mise au clair des données chiffrées nécessaires à la manifestation de la vérité » lui permet de réclamer l’aide de quiconque aura compétence en la matière. De plus, pour les infractions pénales les plus graves, elle peut faire appel aux compétences du CTA. Le centre technique d'assistance est géré par la direction centrale du renseignement intérieur et peut à ce titre mettre à disposition des enquêteurs ses capacités de déchiffrement de contenus chiffrés.


chargement
Chargement des commentaires...