Journal code de déverrouillage d'un smartphone : la justice persiste, et signe

Posté par  (Mastodon) . Licence CC By‑SA.
Étiquettes :
4
7
nov.
2022

C'est en voyant cet article :
https://www.leparisien.fr/faits-divers/refuser-de-donner-le-code-de-deverrouillage-de-son-telephone-aux-autorites-constitue-un-delit-07-11-2022-WSMBFSAWYFENJJR5RNISWW2DIY.php

que je note qu'à l'instar d'une perquisition à domicile, un tel (appareil privé) se doit d'être déverouillé par son possesseur à la demande judiciaire.
le contraire s'appelle un délit.
plusieurs interrogations me viennent alors :

a/ pourquoi cette jurisprudence ne concerne QUE le code de déverrouillage?
sur le mien, j'ai : 1 code de décryptage, à l'amorcage de lineage ; 1 code de verrouillage pour l'écran ; 1 code sur certaines applis, en propre ; et rien ne m'interdit d'aller au dela en utilisant des services web qui disposent de leurs propres codes, indépendament de l'appareil (que différencie la loi?).

b/ pourquoi ne pas avoir 1 code = 1 espace?
veracrypt m'a appris qu'il est possible d'avoir un volume "normal" et un "caché", mais a la faille humaine de… le préciser au montage.
pourquoi ne pas simplement faire un système qui dirigerait le code vers le profil associé? c'est ce que fait veracrypt avec ses volumes "normaux" et "cachés", que je trouve génialissime.. surtout s'il n'y a pas de limite, ce qui rendrait caduque l'obligation de donner un code (par des autorités, ou par un malfaiteur qui s'acharnerait sur soi, déjà vu [1]), car une incertitude resterait plausible (plusieurs profils par code, sans limites de nombre)

c/ pourquoi ne pas demander aux fournisseurs de services directement?
dans l'affaire des joueuses du psg, les enqueteurs n'ont pas été freinés par le code du téléphone de la joueuse, pusiqu'ils y ont eu accès. Sauf à deux de ses messageries sociales, qu'elle a pris soin de supprimer quelques jours avant de se faire mettre le grapin dessus ; mais quid des réquisitions judiciaires auprès des réseaux sociaux pour récupérer les conversations, sur les réseaux non cryptés que sont instagram et d'autres?

je vous laisse débattre.. :)

  • # point a

    Posté par  . Évalué à 2.

    Je pense que l'arrêt s'appuie sur la législation concernant le chiffrement. La seule question était de savoir si le code de verrouillage pouvait être assimilé à un code de chiffrement. J'imagine que la même réponse sera apporté pour une appli donnant accès à des données chiffrées, keepass par exemple. En revanche, cette législation ne s'applique pas, à mon avis, aux codes d'accès à des sites (un login-password n'est pas un code de chiffrement).

    • [^] # Re: point a

      Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 30 septembre 2023 à 13:54.

      La seule question était de savoir si le code de verrouillage pouvait être assimilé à un code de chiffrement.

      Comme dit ailleurs, non… sauf visiblement sur iPhone ?

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: point a

        Posté par  . Évalué à 4. Dernière modification le 07 novembre 2022 à 21:49.

        Je vais pas (trop) commenter sur android, mais je suis plutôt familier avec la version iOS. Le code de verrouillage contribue aux clés de chiffrement at rest (au repos?). En gros, y’a très peu de choses qu’iPhone qui vient de rebooter peut faire avant que tu le déverrouilles. La Keychain systeme est aussi largement verrouillée derrière la Secure Enclave, qui elle dépend très clairement du passcode, et l’utilise aussi pour dériver ses clés internes (meme si c’est techniquement possible d’avoir des entrées disponible après le boot mais avant le déverrouillage initial, c’est très fortement déconseillé, et sorti de la compat backward avec de tres vieilles applis, je vois pas à quoi ça sert).

        De ce que je comprends d’android, c’est pareil pour le chiffrement at rest. Y’a pas de Secure Enclave sous android par contre, donc je suis pas sur de ce qu’il se passe avec la keychain système. Donc je dirais « même tonneau ».

        Donc, en gros, ouais, le passcode/phrase peut être considéré comme une clé de chiffrement, parce que d’est une clé de chiffrement. Le système a clairement été conçu pour ça. Si la loi dit qu’on est obligé de communiquer les clés en cas de requêtes de justice (l’équivalent français d’un search warrant/subpoena for records), on est obligé de communiquer le passcode.

        Je serais surprit que tu soit légalement obligé de donner le passcode a l’adjudant Gereux qui t’arrête au pif dans la rue parce que ta tronche ne lui plaît pas cela dit (ne parlez JAMAIS à la police). Mais ça fait un bail que je suis plus en France, et j’ai pas suivi cette actualité, vérifiez avec votre avocat préféré.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: point a

          Posté par  . Évalué à 3. Dernière modification le 08 novembre 2022 à 09:52.

          Je serais surprit que tu soit légalement obligé de donner le passcode a l’adjudant Gereux qui t’arrête au pif dans la rue parce que ta tronche ne lui plaît pas

          La loi dit que cela ne peut être demandé que par une autorité judiciaire ; dans le cas de la police, par un OPJ (officier de police judiciaire), pas par un agent lambda. Je doute que les OPJ fasse beaucoup de patrouilles dans la rue.

          Il faudra donc que l’adjudant Gereux t'amène d'abord au commissariat et explique à un OPJ que ta tronche ne lui revenait pas. A mon avis, ça va pas suffire, il va lui falloir inventer un motif, mais là on rentre dans un autre débat.

          • [^] # Re: point a

            Posté par  . Évalué à 1.

            Il faudra donc que l’adjudant Gereux t'amène d'abord au commissariat et explique à un OPJ que ta tronche ne lui revenait pas. A mon avis, ça va pas suffire, il va lui falloir inventer un motif,

            Résistance à agent de la force publique ? De toute façon, tout le monde sait que ne pas fournir ce que demande illégalement un flic lors d'un contrôle t'expose à des inconvénients beaucoup plus graves que découlant de l'obéissance à cet ordre illégal.

            • [^] # Re: point a

              Posté par  (site web personnel) . Évalué à 5. Dernière modification le 08 novembre 2022 à 22:10.

              Résistance à agent de la force publique ?

              Bin non, faut quand même une justification réelle.

              De toute façon, tout le monde sait que ne pas fournir ce que demande illégalement un flic lors d'un contrôle t'expose à des inconvénients beaucoup plus graves que découlant de l'obéissance à cet ordre illégal.

              Non, tout le monde ne le sait pas.

        • [^] # Re: point a

          Posté par  . Évalué à 3.

          De ce que je comprends d’android, c’est pareil pour le chiffrement at rest. Y’a pas de Secure Enclave sous android par contre, donc je suis pas sur de ce qu’il se passe avec la keychain système. Donc je dirais « même tonneau ».

          Sur android, la trust zone qui sert a ce que tu decris sur iphone, non ? elle répond a l'acronyme de TEE sur les puces qualcomm:
          https://embeddedbits.org/introduction-to-trusted-execution-environment-tee-arm-trustzone/

    • [^] # Re: point a

      Posté par  (site web personnel) . Évalué à 3.

      pour compléter :

      a/ pourquoi cette jurisprudence ne concerne QUE le code de déverrouillage?

      en fait, ça tombe bien, ce n'est pas le cas : cet arrêt concerne toute convention de déchiffrement, sans distinction, au sens de la LCEN.

  • # Droit au silence / ne pas s'incriminer

    Posté par  . Évalué à 6.

    Pour ceux qui, comme moi, pensaient que le droit de ne pas s'incriminer était incompatible avec ce délit, et bien c'est faux.

    Si j'ai bien compris l'en-tête de cet article : https://www.dalloz-actualite.fr/essentiel/droit-de-ne-pas-s-auto-incriminer-un-droit-aux-contours-flous c'était déjà jugé en 2009.

    Et pour le droit suisse, on a https://www.penalex.ch/jurisprudence/droit-de-ne-pas-sauto-incriminer-vs-mesures-de-contrainte/ qui conclut :

    On retient en substance de cet arrêt que le droit de ne pas s’auto-incriminer ne vaut que pour des moyens de preuve qui n’existent pas encore au moment où la contrainte est exercée (dépositions futures, déterminations à venir, …). En revanche, il est admissible de mettre en oeuvre des mesures de contrainte, même à l’encontre de personnes pouvant se prévaloir du droit à ne pas s’auto-incriminer, lorsqu’il s’agit de collecter des moyens de preuve qui existaient déjà avant que la contrainte soit exercée.

    Donc je dirais, au pif, de ne pas le faire sans avoir d'avocat d'abord. Mais il va surement dire qu'il faut le faire :)

    • [^] # Re: Droit au silence / ne pas s'incriminer

      Posté par  . Évalué à 3.

      https://nitter.fdn.fr/MattAudibert/status/1589619954764349441#m

      Dernière question en suspens: s'agit-il d'une atteinte au droit de ne pas s'auto incriminer ?
      Pour le Conseil constitutionnel et la Cour de cassation ce n'est pas le cas.
      La CEDH est saisie.

      A priori, les gens du milieu ne sont pas sûrs et certains.

    • [^] # Re: Droit au silence / ne pas s'incriminer

      Posté par  (Mastodon) . Évalué à 5.

      Pour l'anecdote sur le droit de ne pas s'auto-incriminer, on peut rappeler comment Al Capone est tombé : pour fraude fiscale. En effet, il faisait bcp d'argent illégalement, mais la seule chose qu'on ait pu prouver c'est qu'il ne déclarait pas cet argent aux impôts.

      Et c'était justement son axe de défense : "je ne pouvais pas déclarer cet argent sinon je me serais auto-incriminé".

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # étonnant

    Posté par  (Mastodon) . Évalué à -8.

    c'est étonnant

    la police peut perquisitionner votre maison alors que c'est un lieu privé.. pourtant.. elle a le droit.. et les gens s'offusquent pas.. pareil pour la voiture..

    c'est la meme pour le tel..

    cependant, un smartphone n'est rien sans les applis.. qui peuvent etre supprimées en deux clics..

    c'est l'ultra gauche des manif's qui va encore gueuler ;)

    est ce que le droit au silence devient un délit?

  • # La solution existe !

    Posté par  . Évalué à 0.

    La solution porte un nom : le déni plausible. Problème : ce n'est pas disponible, à ma connaissance, avec les téléphones portables. Peut-être faudrait-il le proposer à Apple et Google ?

  • # Code autodestruction

    Posté par  . Évalué à 3.

    Il faudrait un code particulier qui fasse un format complet du téléphone et qui te présente sous un jour irréprochable.

    • [^] # Re: Code autodestruction

      Posté par  . Évalué à 1.

      ce qui s'appelle le déni plausible.

    • [^] # Re: Code autodestruction

      Posté par  . Évalué à 3.

      Article 434-4 du code pénal:

      Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, en vue de faire obstacle à la manifestation de la vérité :
      […]
      2° De détruire, soustraire, receler ou altérer un document public ou privé ou un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables.

      C'est fou ça, le législateur a pensé à ça avant toi :-)

  • # Le cas de force majeure

    Posté par  (site web personnel) . Évalué à 2.

    A priori, il suffit de ne pas refuser, simplement ne pas se souvenir du code de déchiffrement.
    Probablement que tu dis adieu à l'ordinateur/téléphone par contre, vu qu'il vont très probablement le séquestrer pour un temps incertain…

    Avoir Alzheimer ou une mémoire qui flanche c'est un cas de force majeure et tu ne tomberais pas sous le coup de cet article de loi à priori.

    Par contre il existe, grâce à cette saloperie de LCEN du 21 juin 2004, un article de loi qui aggrave la peine en cas d'usage d'un moyen de cryptologie :
    https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417506/2022-11-15

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.