Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

Les prunes ne comptent pas pour des burnes

Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

Le 17 mai 2016 à 14h44

Le projet de loi sur la réforme pénale achève son parcours parlementaire. Le texte arbitré en commission mixte paritaire modifie au passage l’échelle des peines en vigueur en matière de déchiffrement.

Porté par le gouvernement, ce texte n’a plus qu’à être adopté par l’Assemblée nationale et le Sénat pour pouvoir être publié au Journal officiel. Lors de l’examen en CMP, instance chargée de trouver un arbitrage entre la version votée par les députés et celle des sénateurs, il a été décidé de profiter de cette fenêtre pour revoir le quantum des peines attaché à l’article 434-15-2 du Code pénal.

Actuellement celui-ci punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Si ce refus aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, alors le coupable risque jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende.

Demain, avec le PJL sur la réforme pénale, les montants ont été multipliés par six. La première amende sera donc de 270 000 euros. L’autre de 450 000 euros.

convention déchiffrement

Faciliter la vie du Centre technique d’assistance

Par ailleurs, un article 4 sexies A veut faciliter le travail du Centre technique d’assistance (CTA). Suite à un amendement du gouvernement, celui-ci sera autorisé à briser les scellés judiciaires, puis à les reconstituer en procédant le cas échant « au reconditionnement des supports physiques qu’il était chargé d’examiner ».

Selon l’exposé des motifs de l’exécutif, le CTA, sur saisine des magistrats et des enquêteurs, est un organisme public qui a pour mission de tenter de mettre au clair les données chiffrées ou d’accéder aux données contenues par un terminal verrouillé. « Cependant, son incapacité à briser les scellés peut induire un frein à son activité » regrette l'exécutif. Cette disposition permettra à l’avenir « une meilleure mobilisation des outils aujourd’hui à la disposition des magistrats ».

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Beau réveil des républicains. Et les gens se plaignent que les peines ou amendes ne dissuadent plus à cause de leurs montants jugés trop faibles !

votre avatar

Outre le montant de l’amende et la durée des peines qui augmentent, ce qui m’interpelle c’est la formulation suivante qui m’interpelle :

 “ le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités”L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?

votre avatar

Mouais, le problème sera de prouver que l’employé en a connaissance !

votre avatar







manfried a écrit :



L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?



non on va demander à tous les possesseurs d’iphones de donner leurs mots de passe au gouvernement.

ceux qui n’ont rien à cacher s’exécuteront, et ceux qui refuseront seront donc potentiellement des délinquants. Donc à titre préventif on les enfermera cinq ans pour éviter qu’ils ne commettent un délit plus tard.

Bien entendu on fera pareil pour les propriétaires de winphones ou de machins android.

Le pire étant ceux qui n’ont pas de smartphone, c’est donc qu’ils essaient d’échapper aux boites noires, donc ce sont potentiellement des terroristes, donc c’est direct Guantánamo.


votre avatar

On leur dit qu’en cas de chiffrement asymétrique personne à part l’utilisateur n’a la clé privée ? et que d’après le droit français, il n’est pas obliger d’en divulgué car il se mettrait a charge lui même ?

votre avatar

mais heuuu, je veux pas y aller a Guantanamo !!

votre avatar

45.000 ou 270.000, quand tu risques perpétuité, tu t’en fous un peu.  Pis moi je ne pourrais pas payer de toute façon, alors m’en fous. :)

Vive le déni plausible en tout cas.

votre avatar

Non.



La “convention secrète” c’est la clé de chiffrement, or Apple ni ses ingénieurs n’ont pas à la connaître pour obtenir un chiffrement sûr. Les paranos me riront au nez, mais quand-bien même ils la connaîtraient, ils peuvent simplement le nier, puisqu’il est tout à fait possible de mettre en oeuvre un chiffrement sans qu’un tiers ne connaissent la clé.

votre avatar







manfried a écrit :



Outre le montant de l’amende et la durée des peines qui augmentent, ce qui m’interpelle c’est la formulation suivante qui m’interpelle :

 ” le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités”L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?







Ce n’est pas tout à fait clair en fait : jusqu’à maintenant l’interprétation qui prévalait était celle que tu fais, il s’agissait en gros de dire à Apple “si tu connais la clé, tu dois la donner”. Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).


votre avatar







le podoclaste a écrit :



Non.



La “convention secrète” c’est la clé de chiffrement, or Apple ni ses ingénieurs n’ont pas à la connaître pour obtenir un chiffrement sûr. Les paranos me riront au nez, mais quand-bien même ils la connaîtraient, ils peuvent simplement le nier, puisqu’il est tout à fait possible de mettre en oeuvre un chiffrement sans qu’un tiers ne connaissent la clé.







C’est pas rare que les clés soient stockées chez Apple, Microsoft ou autres, via les systèmes de backup dans le cloud. Les clés bitlocker peuvent être stockées en backup chez Microsoft par exemple, idem pour les clés de chiffrement iPhone ou encore FileVault qui peuvent être sauvegardées via le compte iCloud.


votre avatar

C’est pas la france qui a demandée à déroger a certaine partie des droits de l’homme au nom de la sécurité d’état ?

votre avatar

Dans le cadre de l’état d’urgence.



Et pas sûr du tout que ce droit puisse sauter (à vérifier)

votre avatar

Mince, ils peuvent s’en passer apparemment…

votre avatar

Alors si c’est bien fait, ces clés stockées sur le Cloud ne le sont pas en clair et sont chiffrées avec le mot de passe du service cloud (ou du trousseau d’accès Mac OS X) que l’éditeur du service ne connait pas non plus autrement que sous forme de hash.

votre avatar







Liam a écrit :



Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).





Tu as une source là-dessus ? Ça m’intéresse.

Je suis du même avis que toi pour la fin.


votre avatar

Bon courage pour prouver que quiconque ait “connaissance de la convention secrète de déchiffrement”.

Il va y avoir des épidémies d’amnésie.

 

votre avatar

Vous avez le droit de garder le silence, mais seulement après nous avoir tout dit. <img data-src=" />

votre avatar



Si ce refus aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, alors le coupable risque jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende.

Comment en être vraiment sûr si on ne connait pas le contenu ? Au doigt mouillé ? <img data-src=" />

votre avatar

Moi, ce qui m’interpelle, c’est qu’une société privée ait le droit de briser et reconstituer des scellés !



Pour le reste, soit les enquêteurs ont des preuves solides, donc il n’ont pas besoin de connaître le contenu chiffré pour incriminer quelqu’un, soit ils n’ont pas de preuves, et dans ce cas, le ‘criminel’ n’est pas inculpable de ‘crime où délit’, donc n’est pas contraint de dévoiler ses clés !

votre avatar

En gros, on te demande de donner les clés pour pouvoir prouver que tu étais bien obligé de les donner …

votre avatar







IMPulsion a écrit :



Moi, ce qui m’interpelle, c’est qu’une société privée ait le droit de briser et reconstituer des scellés !





Le Centre technique d’assistance est un service qui faisantpartie du Ministère de l’Intérieur et pas une société privée.


votre avatar

Et quand les terroristes (parce que c’est uniquement pour çà qu’on a besoin de lire toutes nos données) migreront (si ce n’est fait) sur des solutions sans déchiffrement autre que le bruteforce ou encore des solutions développées au noir par deux ou trois hackers russes chinois du kgbi… on enverra les magistrats négocier la “convention” ou bien ?

votre avatar







le podoclaste a écrit :



Alors si c’est bien fait, ces clés stockées sur le Cloud ne le sont pas en clair et sont chiffrées avec le mot de passe du service cloud (ou du trousseau d’accès Mac OS X) que l’éditeur du service ne connait pas non plus autrement que sous forme de hash.





Chez tous les gros éditeurs (MS/Google/Apple), c’est chiffré avec un certificat en leur possession, ta clé ne donnant accès qu’a des données déchiffrées à la volée.



C’est que sur ta machine que c’est chiffré avec ta clé (Bitlocker…), qui tu peux ou pas (si t’as des choses à cacher et donc que tu mérites d’aller en prison sans passer par la case départ) backuper en ligne.


votre avatar

Prendre perpet, ca ne me fait pas rever perso

votre avatar







Naneday a écrit :



Prendre perpet, ca ne me fait pas rever perso





C’est justement pas ce que j’ai dit. <img data-src=" />


votre avatar







fred42 a écrit :



Tu as une source là-dessus ? Ça m’intéresse.

Je suis du même avis que toi pour la fin.







Ici.



À ma connaissance, c’est une première.


votre avatar

Ah, sur ce cas là !

Mais c’est un peu complexe parce qu’a priori, il n’est pas en cause sur les alertes à la bombe qui ont été faites à travers son ordinateur.

Le fait de ne pas donner les clés de chiffrement protège non pas lui mais ceux qui ont fait les menaces.

Donc, le juge qui semble faire la part des choses en ne suivant pas le parquet n’a pas forcément tort.



Cependant, le cas est complexe parce qu’il pourrait s’incriminer lui aussi et donc le refus serait dans ce cas justifié.



Bref, cela risque d’être un cas intéressant à suivre.

votre avatar







jaffalibre a écrit :



On leur dit qu’en cas de chiffrement asymétrique personne à part l’utilisateur n’a la clé privée ? et que d’après le droit français, il n’est pas obliger d’en divulgué car il se mettrait a charge lui même ?





Terroriste =&gt; sans droit.

&nbsp;


votre avatar

En plus on s’en fiche les derniers exemples Franco-Belge -&gt; zero crypto jusqu’ici.



par contre ca met une sacrée pression sur les entreprises qui se lanceraient dans des projets mettant en peuvre de la crypto. recruter un ingénieur pour le voir partir en taule 5 ans… Idem les investisseurs dans des startups qui monteraient une petite appli avec de la crypto dedans…

votre avatar

Très bonne loi… Ca va inciter les entreprises a abandonner le chiffrement centralisé (avec des clés “propriétaires” fournies et donc connues par l’entreprise) et ca va démocratiser le chiffrement de bout en bout (avec des clés générées et donc connues uniquement par l’utilisateur).

votre avatar

Rien n’est Legall tout est Imposer…

votre avatar

Terroriste = humain hors tout les citoyen, peux importe leurs actes sont innocent avant d’avoir prouvé le contraire. Ca parait cru comme discours mais un terroriste reste un citoyen comme toi et moi, seul un juge peux le priver de ces droits.

votre avatar







Liam a écrit :



Ce n’est pas tout à fait clair en fait : jusqu’à maintenant l’interprétation qui prévalait était celle que tu fais, il s’agissait en gros de dire à Apple “si tu connais la clé, tu dois la donner”. Récemment toutefois, un particulier a été mis en examen pour la première fois pour avoir refusé de donner sa propre clé de chiffrement. À ce stade, il est difficile de savoir si ça ira au bout (à mon avis non), car ça pose des problèmes par rapport à d’autres règles (notamment le droit à garder le silence et le droit à ne pas s’auto-incriminer, ce dernier étant garanti par la Convention Européenne des Droits de l’Homme).





Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.


votre avatar







RRMX a écrit :



Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.







La CEDH n’est pas l’Union Européenne, ces deux institutions étant indépendantes l’une de l’autre.&nbsp;


votre avatar

Convention secrète –&gt; Ca ne se réduit pas à la clef. Ca peut être une backdoor, une faille 0-day, ou simplement le détail de l’algo. Bref tout ce qui peut aider à déchiffrer mais qui n’est pas public.





de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre–&gt; le gars n’est pas oblige de transmettre la clef / backdoor / faille / etc. aux autorités. Il peut refuser de la donner mais accepter de la mettre en oeuvre, autrement dit demander aux autorités de lui donner les données à décrypter / déchiffrer et ensuite de leur rendre la version en clair des données.



quiconque –&gt; Ca ne vise pas les employés directement. Plutôt la personne morale (l’entreprise), et donc par extension le chef d’entreprise. Bref si Apple refusait en France, ce serait Apple qui paierait l’amende et potentiellement Tim Cook qui se prendrait la prison s’il refuse d’ordonner à ses équipes de procéder aux opérations demandées. Par contre s’il s’agit de demander le mot de passe à un proche du suspect qui lui le connaît, oui là c’est le gars qui est directement impacté.

votre avatar

Yep, c’est prévu au niveau de l’Europe. Tu peux y déroger temporairement en cas de risque pour la sécurité de la nation. Avec quelques exceptions toutefois pour des trucs comme la torture que meme ainsi tu ne peux pratiquer.

votre avatar

Les terroristes dans ton genre…

votre avatar

Dans les faits et la loi non. Regarde au US : détention sans signification des charges , par les milis, indéfiniment, et eventuellement sans procès. Un écolo qui manifeste : hop terroriste. l’écolo a de suite nettement moins de droit, en commençant par être assigné à résidence de force. Et le summum : Guantanamo. Le paragon des Droit de l’Homme Terroriste

votre avatar







MC68060 a écrit :



Rien n’est Legall tout est Imposer…









<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Y’a bien le café


votre avatar

Un système de crypto open source n’aurait rien à donner puisque ce serait fait.&nbsp; <img data-src=" />



&nbsp;

votre avatar







RRMX a écrit :



Si c’est garanti par une commission Européenne, l’UE étant l’antre de la démocratie et de la transparence, alors nous voilà rassurés.







La CEDH n’est pas un organe de l’UE mais du Conseil de l’Europe, un autre organisme qui n’a rien à voir (avec une bonne quarantaine de pays membres). Les citoyens qui s’estiment victime d’atteinte aux droits de l’homme peuvent saisir eux-même la CEDH, dont le siège se situe à Strasbourg et dont les décisions sont respectées par la France, y compris en accordant un nouveau procès à la victime d’une atteinte aux droits de l’homme si nécessaire. La CEDH fait un travail exceptionnel et est à l’origine de la majorité voire de la quasi-totalité des avancées en matière de droits de l’homme et de respect des droits de la défense en France ces trente dernières années.



Bref, avant d’ironiser et de psychoter, tu devrais un peu te renseigner. Ça t’éviterait de passer pour un idiot en voulant faire le malin.


Des amendes multipliées par six en cas de refus de remettre une convention de déchiffrement

  • Faciliter la vie du Centre technique d’assistance

Fermer