Le projet de loi sur la réforme pénale achève son parcours parlementaire. Le texte arbitré en commission mixte paritaire modifie au passage l’échelle des peines en vigueur en matière de déchiffrement.
Porté par le gouvernement, ce texte n’a plus qu’à être adopté par l’Assemblée nationale et le Sénat pour pouvoir être publié au Journal officiel. Lors de l’examen en CMP, instance chargée de trouver un arbitrage entre la version votée par les députés et celle des sénateurs, il a été décidé de profiter de cette fenêtre pour revoir le quantum des peines attaché à l’article 434-15-2 du Code pénal.
Actuellement celui-ci punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Si ce refus aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, alors le coupable risque jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende.
Demain, avec le PJL sur la réforme pénale, les montants ont été multipliés par six. La première amende sera donc de 270 000 euros. L’autre de 450 000 euros.
Faciliter la vie du Centre technique d’assistance
Par ailleurs, un article 4 sexies A veut faciliter le travail du Centre technique d’assistance (CTA). Suite à un amendement du gouvernement, celui-ci sera autorisé à briser les scellés judiciaires, puis à les reconstituer en procédant le cas échant « au reconditionnement des supports physiques qu’il était chargé d’examiner ».
Selon l’exposé des motifs de l’exécutif, le CTA, sur saisine des magistrats et des enquêteurs, est un organisme public qui a pour mission de tenter de mettre au clair les données chiffrées ou d’accéder aux données contenues par un terminal verrouillé. « Cependant, son incapacité à briser les scellés peut induire un frein à son activité » regrette l'exécutif. Cette disposition permettra à l’avenir « une meilleure mobilisation des outils aujourd’hui à la disposition des magistrats ».
Commentaires (41)
Beau réveil des républicains. Et les gens se plaignent que les peines ou amendes ne dissuadent plus à cause de leurs montants jugés trop faibles !
Outre le montant de l’amende et la durée des peines qui augmentent, ce qui m’interpelle c’est la formulation suivante qui m’interpelle :
“ le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités”L’idée c’est d’avoir pour interlocuteurs les employés d’une boite afin que ceux-ci soient responsables devant la loi si ils refusent de remettre aux autorités la clé de chiffrement utilisée ? Par exemple, dans le cas d’apple, si Apple refuse de donner la clé, on va directement demander aux ingénieurs d’apple (si il y en a en france) en leur faisant miroiter 5 ans de prison ?
Mouais, le problème sera de prouver que l’employé en a connaissance !
On leur dit qu’en cas de chiffrement asymétrique personne à part l’utilisateur n’a la clé privée ? et que d’après le droit français, il n’est pas obliger d’en divulgué car il se mettrait a charge lui même ?
mais heuuu, je veux pas y aller a Guantanamo !!
45.000 ou 270.000, quand tu risques perpétuité, tu t’en fous un peu. Pis moi je ne pourrais pas payer de toute façon, alors m’en fous. :)
Vive le déni plausible en tout cas.
Non.
La “convention secrète” c’est la clé de chiffrement, or Apple ni ses ingénieurs n’ont pas à la connaître pour obtenir un chiffrement sûr. Les paranos me riront au nez, mais quand-bien même ils la connaîtraient, ils peuvent simplement le nier, puisqu’il est tout à fait possible de mettre en oeuvre un chiffrement sans qu’un tiers ne connaissent la clé.
C’est pas la france qui a demandée à déroger a certaine partie des droits de l’homme au nom de la sécurité d’état ?
Dans le cadre de l’état d’urgence.
Et pas sûr du tout que ce droit puisse sauter (à vérifier)
Mince, ils peuvent s’en passer apparemment…
Alors si c’est bien fait, ces clés stockées sur le Cloud ne le sont pas en clair et sont chiffrées avec le mot de passe du service cloud (ou du trousseau d’accès Mac OS X) que l’éditeur du service ne connait pas non plus autrement que sous forme de hash.
Bon courage pour prouver que quiconque ait “connaissance de la convention secrète de déchiffrement”.
Il va y avoir des épidémies d’amnésie.
Vous avez le droit de garder le silence, mais seulement après nous avoir tout dit.
" />
Si ce refus aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, alors le coupable risque jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende.
Comment en être vraiment sûr si on ne connait pas le contenu ? Au doigt mouillé ?
Moi, ce qui m’interpelle, c’est qu’une société privée ait le droit de briser et reconstituer des scellés !
Pour le reste, soit les enquêteurs ont des preuves solides, donc il n’ont pas besoin de connaître le contenu chiffré pour incriminer quelqu’un, soit ils n’ont pas de preuves, et dans ce cas, le ‘criminel’ n’est pas inculpable de ‘crime où délit’, donc n’est pas contraint de dévoiler ses clés !
En gros, on te demande de donner les clés pour pouvoir prouver que tu étais bien obligé de les donner …
Et quand les terroristes (parce que c’est uniquement pour çà qu’on a besoin de lire toutes nos données) migreront (si ce n’est fait) sur des solutions sans déchiffrement autre que le bruteforce ou encore des solutions développées au noir par deux ou trois hackers russes chinois du kgbi… on enverra les magistrats négocier la “convention” ou bien ?
Prendre perpet, ca ne me fait pas rever perso
Ah, sur ce cas là !
Mais c’est un peu complexe parce qu’a priori, il n’est pas en cause sur les alertes à la bombe qui ont été faites à travers son ordinateur.
Le fait de ne pas donner les clés de chiffrement protège non pas lui mais ceux qui ont fait les menaces.
Donc, le juge qui semble faire la part des choses en ne suivant pas le parquet n’a pas forcément tort.
Cependant, le cas est complexe parce qu’il pourrait s’incriminer lui aussi et donc le refus serait dans ce cas justifié.
Bref, cela risque d’être un cas intéressant à suivre.
En plus on s’en fiche les derniers exemples Franco-Belge -> zero crypto jusqu’ici.
par contre ca met une sacrée pression sur les entreprises qui se lanceraient dans des projets mettant en peuvre de la crypto. recruter un ingénieur pour le voir partir en taule 5 ans… Idem les investisseurs dans des startups qui monteraient une petite appli avec de la crypto dedans…
Très bonne loi… Ca va inciter les entreprises a abandonner le chiffrement centralisé (avec des clés “propriétaires” fournies et donc connues par l’entreprise) et ca va démocratiser le chiffrement de bout en bout (avec des clés générées et donc connues uniquement par l’utilisateur).
Rien n’est Legall tout est Imposer…
Terroriste = humain hors tout les citoyen, peux importe leurs actes sont innocent avant d’avoir prouvé le contraire. Ca parait cru comme discours mais un terroriste reste un citoyen comme toi et moi, seul un juge peux le priver de ces droits.
Convention secrète –> Ca ne se réduit pas à la clef. Ca peut être une backdoor, une faille 0-day, ou simplement le détail de l’algo. Bref tout ce qui peut aider à déchiffrer mais qui n’est pas public.
de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre–> le gars n’est pas oblige de transmettre la clef / backdoor / faille / etc. aux autorités. Il peut refuser de la donner mais accepter de la mettre en oeuvre, autrement dit demander aux autorités de lui donner les données à décrypter / déchiffrer et ensuite de leur rendre la version en clair des données.
quiconque –> Ca ne vise pas les employés directement. Plutôt la personne morale (l’entreprise), et donc par extension le chef d’entreprise. Bref si Apple refusait en France, ce serait Apple qui paierait l’amende et potentiellement Tim Cook qui se prendrait la prison s’il refuse d’ordonner à ses équipes de procéder aux opérations demandées. Par contre s’il s’agit de demander le mot de passe à un proche du suspect qui lui le connaît, oui là c’est le gars qui est directement impacté.
Yep, c’est prévu au niveau de l’Europe. Tu peux y déroger temporairement en cas de risque pour la sécurité de la nation. Avec quelques exceptions toutefois pour des trucs comme la torture que meme ainsi tu ne peux pratiquer.
Les terroristes dans ton genre…
Dans les faits et la loi non. Regarde au US : détention sans signification des charges , par les milis, indéfiniment, et eventuellement sans procès. Un écolo qui manifeste : hop terroriste. l’écolo a de suite nettement moins de droit, en commençant par être assigné à résidence de force. Et le summum : Guantanamo. Le paragon des Droit de l’Homme Terroriste
Un système de crypto open source n’aurait rien à donner puisque ce serait fait. 
" />