Une loi de 1789 pour déverrouiller les smartphones durant les enquêtes aux États-Unis

Une loi de 1789 pour déverrouiller les smartphones durant les enquêtes aux États-Unis

C'est dans les vieilles marmites...

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

02/12/2014 7 minutes
35

Une loi de 1789 pour déverrouiller les smartphones durant les enquêtes aux États-Unis

Le Department of Justice américain rencontre actuellement des problèmes avec l’utilisation croissante du chiffrement sur les smartphones lors des enquêtes. Ce qui ne l’empêche pas de demander l’aide des entreprises lorsqu’il s’agit de déverrouiller les appareils mobiles durant les enquêtes. Une loi de 1789, l’All Writs Act, permet d’ailleurs de les y contraindre si nécessaire.

Avant de déchiffrer les données, il faut déverrouiller le smartphone

En septembre dernier, James Comey, directeur du FBI, n’avait pas caché son opinion sur les récents renforcements du chiffrement des données au sein d’iOS 8 et Android Lollipop : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du FBI s’étaient donc rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi ils pensent que tout ceci a du sens ».

 

Cette accélération soudaine du chiffrement a causé d’autant plus de difficultés aux enquêteurs qu’Apple et Google ont indiqué ne pas posséder la clé qui permettrait de retrouver les données d’origine. Nous nous posions alors la question de la conformité à certaines lois qui requièrent justement des entreprises qu’elles participent à des enquêtes. Selon le Wall Street Journal, un membre du Department of Justice avait même indiqué à Apple le mois dernier, durant une réunion que la société pourrait être responsable de la mort d’un enfant si elle ne coopérait pas.

 

Or, une loi datant du XVIIIe siècle, l’All Writs Act, est dans certains cas utilisée pour forcer les entreprises (ou les personnes physiques) à coopérer dans certains domaines. Rédigée dans les premiers jours de l’indépendance américaine, elle faisait partie initialement du Judiciary Act, voté durant la toute première réunion du Congrès et présent dans la Constitution. La loi a été plusieurs fois rénovée, notamment en 1911, et amendée encore depuis. Et l’utilisation de l’All Writs Act fournit justement un nouvel éclairage sur ce qui peut être réclamé ou pas aux entreprises.

Une loi de 1789 pour imposer aux entreprises de fournir une aide technique 

Ars Technica s’est procuré en effet plusieurs documents montrant que des enquêtes en cours concernent deux smartphones verrouillés, pour lesquels l’All Writs Act est utilisé. Dans le premier cas, la demande est réalisée par le bureau du procureur de New York sur un modèle inconnu et impliqué dans une fraude à la carte bancaire. Dans le second, il s’agit d’un iPhone 5s dans une enquête criminelle, avec une demande faite par le bureau du procureur d’Oakland, en Californie.

 

Dans le second cas, l’exposé des faits est direct : un iPhone 5s présente un écran de verrouillage qui empêche les enquêteurs d’acquérir les données nécessaires dans le cadre d’une enquête criminelle. Le procureur demande donc à la Cour l’utilisation de l’All Writs Act afin d’obtenir une ordonnance qui forcerait Apple à assister les enquêteurs dans le déverrouillage de l’appareil.

 

ios verrouillage

 

La demande du procureur est d’autant plus intéressante qu’elle précise que ce n’est pas la première fois que la loi de 1789 est utilisée avec Apple. Et non seulement la situation ne serait pas nouvelle, mais elle aurait également prouvé son efficacité, la firme ayant déjà accepté par le passé de remplir ses obligations. On peut lire également (à la fin) que si les enquêteurs devaient se passer de l’aide d’Apple, la recherche prendrait plus de temps, réclamerait des ressources plus importantes et pourrait même endommager l’appareil. En fait, la demande peut se résumer en une phrase : « En conséquence, cette cour a l’autorité d’imposer à Apple l’utilisation de tout moyen nécessaire qu’elle pourrait avoir pour déverrouiller cet iPhone ».

La frontière entre verrouillage et données chiffrées 

Et la cour a accepté ces arguments. La juge Kandis Westmore a ainsi ordonné à Apple « de fournir une assistance technique raisonnable pour permettre aux agents des forces de l’ordre d’obtenir l’accès aux données déchiffrées ». Cette ordonnance présente cependant une précision cruciale : «  Il est également ordonné, dans la mesure où les données sur l’appareil iOS sont chiffrées, qu’Apple fournisse une copie de ces données aux forces de l’ordre, mais Apple n’est pas tenue de tenter de déchiffrer les données ou d’aider les agents en la matière ».

 

Il est donc important de constater que l’All Writs Act est utilisé dans ce cas pour déverrouiller le téléphone, mais le travail de déchiffrement des données reste l’apanage des forces de l’ordre. Apple doit ainsi fournir une « assistance technique raisonnable » mais il ne lui est pas réclamé une méthode pour obtenir les données en clair. Les proclamations d’Apple et Google semblent donc valides en l’état.

 

Mais quelle est exactement la différence entre le déverrouillage d’un smartphone et les données elles-mêmes ? Comme le note Jonathan Mayer, maître de conférence à l’université de Stanford, les informations couvertes par l’Electronic Communications Privacy Act ne peuvent pas être obtenues via l’All Writs Act. Or, les données personnelles sont protégées par l’ECPA, mais pas le déverrouillage du téléphone, ce qui ouvre donc la porte à la vieille loi.

 

Pour résumer, on peut dire qu’Apple et Google comptent effectivement garder les données chiffrées pour eux et ne donner aucune clé qui permettrait de les atteindre. Cependant, rien n’empêche les forces de l’ordre de se pencher directement sur ces informations et d’investir des ressources dans leur obtention en forme claire. Et non seulement les entreprises ne peuvent pas s’y opposer, mais elles peuvent être forcées d’offrir une aide.

Et en France ?

La situation dans l'Hexagone est à la fois plus claire et plus dure qu’aux États-Unis depuis que la loi sur le terrorisme a été adoptée. L’article 230-1 dispose en effet que « le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire […] peut désigner toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement ».

 

En d’autres termes, si la justice estime que la « mise au clair des données chiffrées nécessaires à la manifestation de la vérité » lui permet de réclamer l’aide de quiconque aura compétence en la matière. De plus, pour les infractions pénales les plus graves, elle peut faire appel aux compétences du CTA. Le centre technique d'assistance est géré par la direction centrale du renseignement intérieur et peut à ce titre mettre à disposition des enquêteurs ses capacités de déchiffrement de contenus chiffrés.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Avant de déchiffrer les données, il faut déverrouiller le smartphone

Une loi de 1789 pour imposer aux entreprises de fournir une aide technique 

La frontière entre verrouillage et données chiffrées 

Et en France ?

Commentaires (35)


Il y a un détail que je ne saisit pas:

Si le téléphone est déverrouillé, les données (même cryptées) sont lisibles, non?


Cela dépend ce que tu entends par “lisible”, si pour toi le texte suivant “dzjqdhqzjk§4dkzqjkql;2kzjqqzdjkz2” est lisible, alors oui, les données chiffrées sont “lisibles” <img data-src=" />


Parfait!



Maintenant :popcorn:



Et sinon ils savent comment ils vont déverrouiller des algo incassables? :)




C’est dans les vieilles marmites…





…qu’on apprend à faire des grimaces ? <img data-src=" />


bizarre l’angle de la news (insister sur la date de la loi, comme si c’était un truc antique et donc invalide). Le premier amendement (et pas mal d’autres), c’est 1791, et ils l’utilisent aussi régulièrement…


Une loi bien écrite n’a pas de raison de ne pas être efficace.


C’est l’objet de la news quand même : une vieille loi du fin 18eme qui permet de déverrouiller (raccourci facile) un appareil du 21ème siècle ^^



C’est pas la news de l’année mais c’est cocasse.


Vu comment sont écrites les lois aujourd’hui, les vieilles lois fonctionnent souvent de manière bien plus simple et radicale !

Des fois, ils nous font quand même des choses applicables après une pile de patchs…


J’attends de voir comment ils se rendront compte de l’existence d’une partition chiffrée en contenant une seconde voir une troisième…


Vu que la loi hadopi 1 a était en partie invalider par le CC en se basant uniquement sur l’article XI de la DDHC de 1789,je doute que la validité d’une loi dépend de l’année…


C’est ce que je dis, hein :p Cest l’article qui prend cet angle là, alors que des lois aussi âgées sont utilisées assez régulièrement, y compris dans des cas technologiques.. Ca m’a semblé étrange et un peu foiré, comme effet :p


C’est surtout qu’on utilise une loi d’un autre age, ou les mentalites n;etaient pas les meme, pour legaliser le viol de la vie privee par les autorites … c’est assez important pour etre souleve.



Ces loies assez vieilles devraient en effet etre revisees pour correspondrent aux moeurs du temps. Une loi bien ecrite est efficace certe mais quand elle est un peu trop efficace … y’a un soucis, souvent de radicalite comme souligne au dessus.


Il n’y a aucun intérêt à concevoir des algorithmes de chiffrement si c’est pour que son créateur le pirate ensuite… Et c’est encore moins logique d’insérer une porte dérobée dans son algorithme au cas où la police souhaite ouvrir un fichier chiffré sans mot de passe !!

Dans ce cas, autant ne pas chercher à chiffrer…


C’est une révolution…


Le système chiffre les données lorsque le téléphone est éteint ou verrouillé mais une fois déverrouillé le système doit bien monter les différentes partition etc et à ce moment là les données sont en clair non ?



On parle bien du chiffrement fait par le système et non par une appli tierce qui créerait une sorte de contenaire chiffré non ? Ou alors j’ai pas compris la news ^^


+1, l article pourrait etre plus clair là dessus: si par ex le FBI déverrouille mon smartphone, c est comme si je le faisait moi même, non?

Y a t il un autre mdp à entrer sous iOS 8 ou Android 5 pour accéder à ses données sur son smartphone?

Sinon, une fois dévérouillé, on devrait en effet accéder aux données déchiffrées!

&nbsp;


Prochain épisode : on se rend compte que le chiffrement intégral tant vanté par Google, Apple et cie, n’est finalement pas si “intégral” que ça ?








Tim-timmy a écrit :



C’est ce que je dis, hein :p Cest l’article qui prend cet angle là, alors que des lois aussi âgées sont utilisées assez régulièrement, y compris dans des cas technologiques.. Ca m’a semblé étrange et un peu foiré, comme effet :p





Il prends cet angle parce que c’est l’angle qu’il doit prendre. Être obliger de prendre des lois antédiluviennes pour forcer apple à leur donner leur clé de cryptage des iphones.



Pas besoin de clé de cryptage, tout est sur iCloud, certains savent parfaitement comment récupérer le contenu, surtout certaines photos <img data-src=" />


Ils demandent au constructeur l’accès aux données chiffrées. Ils peuvent pas faire un dump complet des partitions ?








Lafisk a écrit :



C’est surtout qu’on utilise une loi d’un autre age, ou les mentalites n;etaient pas les meme, pour legaliser le viol de la vie privee par les autorites … c’est assez important pour etre souleve.



Ces loies assez vieilles devraient en effet etre revisees pour correspondrent aux moeurs du temps. […]





Ah ben ca tombe bien alors:

“La loi a été plusieurs fois rénovée, notamment en 1911, et amendée encore depuis.”



Ya surement une bonne raison pour qu’on ne demande pas le code à l’utilisateur, mais personne n’en parle ?!


Heu…. ça veut dire que les constructeurs de coffre fort doivent pouvoir toujours ouvrir leur coffres à la demande de la justice ?

Donc dans le cas d’un coffre à combinaison, qu’il y ait toujours un backdoor.


Mais, une fois l’appareil déverouillé; il leur suffit d’utiliser le smartphone comme l’utilisateur fina le ferait non ?…



Genre si je dévérouille mon téléphone j’ai accès aux données des mes applis non chiffrées








gamebouille a écrit :



Ya surement une bonne raison pour qu’on ne demande pas le code à l’utilisateur, mais personne n’en parle ?!





Parce qu’il est protege par le 5eme amendement, une autre loi qui date de Mathusalem. Mais la c’est bon, c’est du cote des gentils, donc c’est pas un probleme. (cf&nbsp; commentaire de Tim-Timmy)



En plus d’un décalage d’écriture dans les secteurs cachés ^^



Ça promet d’être drôle…








Galahad a écrit :



Parce qu’il est protege par le 5eme amendement, une autre loi qui date de Mathusalem. Mais la c’est bon, c’est du cote des gentils, donc c’est pas un probleme. (cf&nbsp; commentaire de Tim-Timmy)





Voilà voilà voilà….

Et la différence entre un amendement et une bête loi, c’est peanuts ?

Pour info un amendement c’est une loi en dur dans la constitution.

Là la loi faisait partie de la consistution au début (donc : plus maintenant), puis a été revisée et amendée. 4eme § de la news, pour info.

Donc rien à voir avec les gentils et les méchants





un membre du Department of Justice avait même indiqué à Apple le mois

dernier, durant une réunion que la société pourrait être responsable de

la mort d’un enfant si elle ne coopérait pas.



&nbsp;Rhooooo le gros argument de merde.



&nbsp;Déjà ce ne veut rien dire, APple ne serait responsable de rien du tout.



&nbsp;Ensuite venant de la part du représentant d’un pays qui fait crever des dizaines d’enfants par jour en leur balancant des bombes sur la tronche, sciemment cette fois ci et pas indirectement, ca prête à sourire. Vous me direz, on s’en fout c’est des bouquaques. OK, mais ce pays de merde laisse aussi sciemment crever des enfants de ses propres citoyens de faim dans ses propres rues, et ca ne gène personne. Et ca, c’est quand en plus ils ne leur fournissent pas un joli AK47 miniature pour que les chtis n’enfants US tout mignons s’entretuent entre eux.



Et enfin, Apple laisse déjà crever des enfants dans ses usines, c’est pas la mort du petit cheval. <img data-src=" />

Un de plus un de moins… Tant que le cashflow suit.



Les forces de l’ordre qui sont tout en bas de l’échelle doivent finasser avec cette loi de 1789 alors que là haut, on peut dégainer secrètement le plan secret de COG:http://en.wikipedia.org/wiki/Continuity_of_Operations



Comme il suffit d’une directive secrète du président pour l’activer, personne n’a rien à en savoir.



Le recours à cette loi de 1789 est vraiment un amuse-journalistes.








Drepanocytose a écrit :



&nbsp;Rhooooo le gros argument de merde.



&nbsp;Déjà ce ne veut rien dire, APple ne serait responsable de rien du tout.



&nbsp;Ensuite venant de la part du représentant d’un pays qui fait crever des dizaines d’enfants par jour en leur balancant des bombes sur la tronche, sciemment cette fois ci et pas indirectement, ca prête à sourire. Vous me direz, on s’en fout c’est des bouquaques. OK, mais ce pays de merde laisse aussi sciemment crever des enfants de ses propres citoyens de faim dans ses propres rues, et ca ne gène personne. Et ca, c’est quand en plus ils ne leur fournissent pas un joli AK47 miniature pour que les chtis n’enfants US tout mignons s’entretuent entre eux.



Et enfin, Apple laisse déjà crever des enfants dans ses usines, c’est pas la mort du petit cheval. <img data-src=" />

Un de plus un de moins… Tant que le cashflow suit.





ouais mais les enfants c’est fun de les faire (plus que de faire un iphone - alors même qu’ils sont faits par des enfants… la boucle est bouclée). Et puis c’est pas des enfants, c’est des fondamentalistes ou des communistes en devenir. c’pas pareil.



Humm… je ne sais pas si la loi française est plus dure ici ?

La “convention secrète de déchiffrement” s’il s’agit juste de l’algo de déchiffrement, pas de problème, et je suppose que c’est la même chose aux U.S., le constructeur/éditeur doit la fournir à la justice.

&nbsp;Si ça désigne aussi de la clé secrète, je pense que c’est pareil, si quelqu’un en a connaissance il doit la communiquer. Mais s’ils ne l’ont pas ,car définie par l’utilisateur, et qu’ils ne lui ont pas volé, ou n’ont pas mis de backdoor (ce qui n’est vraiment plus dans leur intérêt maintenant), ils ne peuvent pas la fournir, point.

Et ne risquent évidement rien, sauf si fournir ce type de solution de chiffrement au public redevient illégale.



Pour moi, dans l’hypothèse où le constructeur/éditeur n’a ni backdoor, et ne vole pas la clé secrète de l’utilisateur, la question est : quels sont les possibilités de déverrouillage d’un appareil sans le mot de passe utilisateur ?

(je parle du verrou de l’écran de veille, et les impossibilités d’accès qui en découlent)

&nbsp;Est-ce que le constructeur peut les aider la-dessus ?

Je ne serai pas étonné que les systèmes anti-vol qui permettent, à distance, de retrouver,&nbsp; verrouiller, vider, etc… un appareil perdu/volé (et toujours allumé, et en ligne) soient une belle porte d’entrée pour qui en a la clé :)

Si l’appareil a été éteint et qu’en théorie sans le mot de passe utilisateur, le système n’a plus accès à la clé de déchiffrement, ça devient sans doute beaucoup plus compliqué (mais le risque d’altération volontaire, ou involontaire des données qu’il contient devrait aussi être beaucoup plus limité).



Sinon, j’ai l’impression que le constructeur peu surtout aider à fournir un dump des données chiffrées si l’appareil allumé refuse de les donner ou que c’est compliqué à récupérer appareil éteint. Charge à la justice de trouver un moyen de les déchiffrer…


Le code est protégé par le 5e amendement mais miracle, l’empreinte non.



Une cour de Virginie vient d’autoriser la police à imposer l’utilisation de Touch ID à l’utilisateur pour déverrouiller son iPhone.








Oulanos a écrit :



Parfait!



Maintenant :popcorn:



Et sinon ils savent comment ils vont déverrouiller des algo incassables? :)





Si la clef dérive d’un mot de passe décidé par un humain, qui n’est pas composé de plus de 4 mots du dictionnaire ou d’une vingtaine de signe aléatoire, cela doit prendre quelques heures.





La juge Kandis Westmore a ainsi ordonné à Apple « de fournir une assistance technique raisonnable pour permettre aux agents des forces de l’ordre d’obtenir l’accès aux données déchiffrées ».





Reste à voir ce que la jurisprudence définira comme assistance technique raisonnable. C’est ça le plus intéressant dans l’affaire.








Galahad a écrit :



Ah ben ca tombe bien alors:

“La loi a été plusieurs fois rénovée, notamment en 1911, et amendée encore depuis.”







Ca je me doute bien, mais d#une on insiste toujours plus sur la date de creation que la date du dernier changement. Ensuite faut voir la date de ce derier changement c’est pas toujours hyper jeune non plus, donc pas forcement adapte a l’air du temps, et faut aussi voir la nature de ce changement, si c’est pour changer 2 mots ou pour vraiment la mettre au gout du jour.



Ce genre de reference devrait compoter plus de detail genre loi de 1784 - 2011 pour montree quelle n’est pas obsolete









Drepanocytose a écrit :



Voilà voilà voilà….

Et la différence entre un amendement et une bête loi, c’est peanuts ?

Pour info un amendement c’est une loi en dur dans la constitution.

Là la loi faisait partie de la consistution au début (donc : plus maintenant), puis a été revisée et amendée. 4eme § de la news, pour info.

Donc rien à voir avec les gentils et les méchants





Il y a en effet des différences entre une loi et un article de la constitution, mais en l’occurrence elles ont plutôt tendance a rajouter de l’eau a mon moulin je trouve.



Alors la question ici c’est l’ancienneté de la loi et sa possible obsolescence, et ton argument c’est qu’un article de la constitution c’est pas pareil. En effet: un article de la constitution c’est quasiment inchangeable parce que la constitution c’est devenu la “bible” et les founding fathers des demi-dieux (comme les vrais dieux, personne ne sait vraiment ce qu’ils voulaient mais tout le monde est persuade de le savoir mieux que les autres). Alors que cette loi&nbsp; a évolué (un peu? avec son temps?). Et en plus elle est inapplicable la ou une loi plus récente traite d’un sujet. Effectivement, très diffèrent d’un article de la constitution …



Sinon qu’est-ce qui est&nbsp; obsolète concrètement&nbsp; avec cette loi?

&nbsp;