Le projet de loi sur la réforme pénale débutera son examen dans l’hémicycle aujourd’hui à 17h, jusqu’au 8 mars. À cette occasion, deux députés veulent s’attaquer au chiffrement. État des lieux de leur proposition et de la législation actuelle.
Le projet de loi sur le terrorisme, la criminalité organisée et la réforme pénale est la fenêtre de tir visiblement parfaite pour s’attaquer au chiffrement. C’est en tout cas ce qu’ont dû se dire deux députés, l’un du PS, l’autre des LR, qui veulent contraindre les géants de l’informatique à davantage collaborer avec la justice pour l’aider à révéler les clés de leurs utilisateurs.
Le code ou un million d'euros
« Nous sommes aujourd'hui confrontés à un vide juridique sur la question du chiffrement des données, qui bloque les enquêtes judiciaires. Il faut contraindre les constructeurs de smartphones et de tablettes, Apple et Google notamment, à fournir à la justice les codes pour l'exploitation du contenu de leurs appareils. C'est la raison de mon amendement » a soutenu hier le socialiste Yann Galut, dans les colonnes du Parisien.
Les réfractaires encourraient jusqu’à un million d’euros d’amende. En pratique, la demande émanerait du procureur ou du juge d’instruction, mais seulement « avec l'autorisation du juge des libertés et de la détention ». À ceux qui comme Apple et Google brandissent la protection de la vie privée, le député juge ces sociétés « d'une totale mauvaise foi ! Elles s'abritent derrière une soi-disant protection de la vie privée, alors qu'elles n'hésitent pas à faire une exploitation commerciale des données personnelles qu'elles recueillent. Sur ce thème-là, je trouve cela très paradoxal de les voir soudain s'ériger en modèles de vertu ». En clair, c’est parce que ces entreprises exploitent les données personnelles de leurs utilisateurs – idéalement avec leur consentement – qu’elles se doivent de fournir les « codes » des appareils à la justice.
Deux millions, voire une interdiction visant opérateurs et FAI
À droite, Éric Ciotti joue la surenchère : comme signalé par Le Figaro, il propose en matière de lutte contre le terrorisme une mesure similaire, cette fois sanctionnée de deux millions d’euros. Dans l'amendement que nous nous sommes procuré, on voit que son interdiction est très vaste : elle frapperait non seulement Apple, mais également tous « les fabricants d’outils de télécommunications, les opérateurs de télécommunications, les fournisseurs d’accès à Internet ou tout prestataire de services sur Internet », soit l'ensemble des acteurs des nouvelles technologies. Tout ce beau monde serait tenu de « communiquer l’ensemble des informations pertinentes pour la résolution » d'une enquête relative à des infractions terroristes. L’intermédiaire qui viendrait violer cette obligation pourrait se voir en outre interdire de commercialiser son produit ou sa prestation en France pour une durée d’un an.
Dans son exposé des motifs, le député LR soutient que « les téléphones mobiles et Internet sont devenus centraux tant pour le recrutement des terroristes que pour la préparation des actes de terrorisme. (...) les services peuvent se heurter aux dispositifs contenus dans certains téléphones, les données étant illisibles lorsque l’on ne dispose pas du code de déverrouillage. Il en est de même pour certains contenus sur Internet ». Et pour assurer le bienfondé de sa démarche, il pose un argument choc : « L’amiral Michael Rogers, à la tête de la NSA, affirme que sans le chiffrement, les attentats de Paris auraient pu être évités. »
Ces propositions guidées par les propos du procureur François Molins, ou le bras de fer entre Apple et le FBI aux États-Unis, sont typiquement des amendements d’appel. L’enjeu est avant tout de faire un maximum de bruit pour provoquer idéalement un débat dans les médias ou en hémicycle. Et peu importe que se croisent parfois des petites contradictions : lorsque d’une main Éric Ciotti accuse Apple « de complicité avec les entreprises terroristes », il tient dans l’autre, un iPhone pour mitrailler ses messages sur Twitter.
Quelle législation aujourd'hui ?
Différents textes ont accentué les moyens de la France face à la question du chiffrement. L’an passé, la loi sur le renseignement a augmenté les délais de conservation des données chiffrées pour faciliter leur traitement : ce délai est de 6 ans maximum après recueil, voire après déchiffrement dans la loi sur la surveillance des communications électroniques internationales.
Le Code de la sécurité intérieure oblige désormais les personnes physiques ou morales qui fournissent des prestations de cryptologie « visant à assurer une fonction de confidentialité » à remettre aux agents dans les 72 heures « les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies ».
Cette obligation, dont les frais sont pris en charge par le budget de Matignon, vise les « clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données » (article R.244.3 du Code de de la sécurité intérieure). Le fait de ne pas déférer est puni de 2 ans de prison et 30 000 euros d’amende, sauf si le fournisseur des prestations en cause démontre qu'il n’est pas en mesure de satisfaire aux réquisitions. Une prudence que ne suit pas l'amendement Ciotti par exemple.
Rappelons enfin que depuis la loi sur le terrorisme de 2014, les officiers de police judiciaire peuvent réclamer un coup de pouce du centre technique d’assistance (CTA), qui, au sein de la direction générale de la sécurité intérieure (ex DCRI) met à disposition ses capacités de décryptage de contenus chiffrés.
Commentaires (81)
Loi bidon a présent les clefs sont cotés machine et pas chez les fournisseurs de services.
#Apacompris
La France, le fascisme sans ses bons côtés !
Et pour assurer le bienfondé de sa démarche, il pose un argument choc : « L’amiral Michael Rogers, à la tête de la NSA, affirme que sans le chiffrement, les attentats de Paris auraient pu être évités. »
moi j’ai un autre argument choc: sans le chiffrement, la NSA aurait pu être évitée.
on fait moins le malin, là.
>
quelle audace !!! Apple résiste au FBI, alors 2 députés français …
Sauf que ça ne marche qu’avec les prestataires de service qui détiennent les clés de chiffrement, ce qui n’est pas le cas d’Apple.
On va donc les contraindre à développer des backdoors, comme aimerait le faire le FBI… Quand on voit ce ça donne ensuite….
le truc rigolo c’est que si Ciotti a un iPhone, il est probablement intégralement chiffré.
Monsieur Ciotti aurait-il quelque chose à cacher?
doit t on aussi interdire les voitures car utilisées par les terroristes ?
" />
Sérieusement, faudrait qu’ils arrêtent de parler de chose qu’ils ne connaissent pas … mais bon, les politiques sont maintenant adepte des discours démagogique plus que les vrai débats ….
le député juge ces sociétés « d’une totale mauvaise foi ! Elles s’abritent derrière une soi-disant protection de la vie privée, alors qu’elles n’hésitent pas à faire une exploitation commerciale des données personnelles qu’elles recueillent. Sur ce thème-là, je trouve cela très paradoxal de les voir soudain s’ériger en modèles de vertu ».
euh … apple et google ne commerce que ce que les utilisateurs leurs donnent. tout ce qui est photo en local n’est pas revendu. Donc argument incorrecte.
PS: pour quoter l’article on fait comment ?
Je propose aux deux députés de réaliser leurs paiements sans chiffrement, de communiquer sans chiffrement, et de manière générale de ne plus utiliser quoi que ce soit avec chiffrement. On va bien voir s’ils n’ont rien à cacher.
Étant donné que la plupart des appareils (Google et Apple) sont munis de détecteurs d’empreintes il suffit d’obliger le propriétaire (il est normalement en GAV) à poser son doigt (un simple moulage suffit en général) sur le Touch-Id et l’appareil est déverrouillé.
ça marche aussi si le type est mort, tant que le cadavre a toujours son doigt.
Ce n’est pas Ciotti (entre autre, avec d’autres roquets comme Lellouche je suppose), qui avait été envoyé devant les journalistes par Sarkosy pour dire qu’il fallait faire la seconde guerre du Golf avec les américains?
Il est d’une lourdeur ce gars.
Les terroristes/dangers pour la nation/méchants écolos trouveront toujours un moyen de se cacher, crypto ou pas.
Ce que je trouve le plus insupportable dans notre système politique, c’est que les lois sont faites par des gens qui ne connaissent rien aux sujets qu’il présentent.
Un ministre va passer de l’écologie au numérique dans le plus grand des calmes
exactement.
la NSA qui colle une backdoor chez Juniper, récupérée par des petits malins (apparemment les chinois, mais bon) qui l’utilisent… contre le gouvernement US et récupèrent 22 millions de fichiers dans les serveurs de l’Office of Personnal Management (bureau fédéral).
très bien expliqué par John McAffee chez BusinessInsider:
The NSA failed to notice that 50% of Jupiter Network users were American, and the majority of those were within the US Government.Last year alone, the Defense Department was hacked. Using the NSA’s back door the Chinese walked off with 5.6 million fingerprints of critical personnel. The same back door was used to hack the Treasury Department on May 27th of last year in which millions of tax returns were stolen. And again, our most devastating hack as a nation was the Office of Personnel Management hack, in which 22 million sensitive files were stolen. The Chinese gained access through the Defense Department’s Juniper Systems and then using inter-operability with the Personnel Office, took what they wanted. Again, courtesy if the NSA’s back door.
lol
ouais mais si t’es malin t’utilise pas la biométrie. l’usage du Touch Id n’est pas obligatoire.
Comme à priori, les serrures des portes blindées semblent “résistantes”, nos chers députés devraient obliger les fabricants à fournir une clé universelle.
Bon delà à ce qu’un imbécile la laisse trainer dans un commissariat et se la fasse piqué… on se sentira tous en sécurité chez nous.
Comprend pas… Suffit d’interdire le chiffrement des données, les mots de passe, les enveloppes, etc…
Encore un qui s’est trompé de parti.
C’est d’autant plus bidon qu’Android est open source, et donc on peut modifier la rom pour avoir le chiffrement comme on veut.
à l’inverse le chiffrement peut éventuellement être cracké via une mise à jour du firmware, qui ne dépend pas de google mais des constructeurs.
donc c’est quand même vachement plus sécurisé côté Apple.
je parle du chiffrement hardware hein, ie chiffrement intégral du terminal.
Bravo à ces députés qui utilisent à juste titre “chiffrement” quand certains diront “cryptage”, bel effort mais ca s’arrete là.
Les applis des stores et le cloud en général ont accès directement à nos données, je suis sur que les services d’espionnage peuvent se rapprocher d’eux en urgence (et probablement sans juge vu que ce n’est plus à la mode).
Techniquement c’est dangereux, voir la faille de la NSA récupéré par un tiers. Visiblement nos 2 députés ont mal été briffé (une fois de plus?).
Pour le reste, comment ces députés peuvent imaginer,même une seule seconde, faire plier les géants américains?
Ne pas confondre, surtout ne pas confondre…. rien n’empêche la police d’inspecter une voiture !
Pour google, c’est simple, il leur suffit de les renvoyer voir le code source d’android disponible ici. Ils ne peuvent pas être plus coopératif que ça, ils n’en savent eux même pas spécialement plus.
Il n’est pas question d’imposer des backdoors mais lorsqu’un juge exige le déchiffrement, après tous les recours démocratiques possibles, il est normal qu’Apple obéisse
Il y a une vraie confusion entre les backdoors et le déchiffrement unitaire…. et Apple et les autres gafa jouent intelligemment avec l’inconscient collectif !
La méthode de ces députés est la bonne…. tu refuses ? Enorme amende, tu continues ? Interdiction de vente sur le sol Français….. on ne mourra pas de l’absence d’Apple sur notre sol, bien au contraire, ce sera un vrai levier d’innovation et d’emploi !
Il faut casser ces gafa (et autres Microsoft, IBM, etc.) avant qu’il ne soit trop tard ! Ces gens se prennent pour des chefs d’états dématérialisés, demain ils vont battre monnaie (blockchain, lois, etc.)
et comment tu débloques un téléphone dont tu n’as pas les clés nécessaires ?
Relis bien tes cours d’histoire, dépoussière un peu ce qui se passe réellement. Généralement, c’est rarement la fête très longtemps, la persécutions arrive très vite, l’inquisition et des jugements sans procès (digne de ce nom) pour un oui ou pour un non.
Et bien le fera autrement ou on ne le fera pas…..
Faut vraiment arrêter de délirer, Apple et autres doivent organiser le déchiffrement unitaire légal demandé par un juge…. point !
On le fait donc pas point !
Il est temps que les politiques comprennent quelque chose :
De tout temps il a existé des groupes générant des instabilités sociales. Ils ont toujours trouvé le moyen de communiquer parfois avec une avance technologique, parfois en étant inventif, parfois avec des moyens simpliste et ce avec un certain succès. L’exemple de la bataille contre le téléchargement illégal est aussi un bon exemple. Lorsqu’une voie est bouchée, un contournement s’installe. Cette capacité d’adaptation est le propre de l’homme et lui a permis une domination sur le vivant depuis quelques millénaires.
Les groupes terroristes trouveront une autre voie, inconnue, non surveillée.
Le meilleur gage de protection de la population est l’éducation, mais là messieurs les politiques vous avez un problème, parce que vous n’aimez pas l’éducation de masse, elle est votre talon d’Achille. Alors plutôt que d’empêcher les gens de se protéger, intéressez vous à votre responsabilité dans votre volonté de vouloir déchiffrer à tout prix. Vous n’auriez pas à le faire, si vous n’aviez pas aussi peur que le peuple vous dessaisisse des pouvoirs dont vous vous êtes emparés. Vous êtes transparent, ce genre de volonté a vouloir dépouiller le peuple de ses libertés et de sa vie privée, vous condamne à la médiocrité politique.
Interdire la vente d’iphone en france
" /> il en a de la bonne ton dealer pour que tu imagine ce genre de chose faisable en pratique!
Non malheureusement, ça ne marchera clairement pas dans tous les cas et encore moins sur les iPhone. Il ne faut pas lire tout ce qui traine partout sur le net.
Le dispositif de déverrouillage de l’iPhone demande obligatoirement d’entrer le code de déverrouillage si pas de déverrouillage du téléphone depuis 48h. Hors lors d’une interpellation, d’une GAV ou plus généralement d’une enquête judiciaire (si mort), les données du téléphone ne sont pas la priorité immédiate et ne parviennent aux enquêteurs spécialisés que plusieurs jours après. Donc l’empreinte digitale ne sert plus à rien, il faut obligatoirement rentrer à la main de code de déverouillage. Dans le cas d’une personne morte, on voit que c’est fini pour l’enquête sur un iPhone. Et dans le cas d’un Gardé à vue, s’il est bien conseillé par son avocat il ne donnera pas son code, ce qui est une défense totalement recevable.
bon après rererelecture ça parle nulle part de backdoor donc
puis il a raison le député PS Appel/Google and co utilise les données perso et après se cachent derrière (bon ok ils pompent les données perso une fois déverrouillé par le proprio)
Et une victoire pour la pomme :https://theintercept.com/2016/02/29/apple-wins-major-court-victory-in-its-battle…
N’empêche Apple doit corriger cette faille, ce serait bien d’avoir un truc genre réserve de hash suffisantes pour 3 essais, mais qui met 5 minutes à se re-remplir (par contre ça boufferait de la batterie)
Je vais finir par m’intéresser à la citoyenneté américaine moi, comme Linus.
Le chiffrement inclus les VPN ,non ? Ce monsieur a t il pensé aux conséquences économique de nos entreprises sur les vols de secrets ou vol d’information bancaire ? :o
ah le coup du google livre les sources
" />
Le code du chiffrement est dans les sources de Google ? c’est pas lié à un service ou autres ?
Car bon ça serait si simple je doute qu’il y aurait des demandes et pour les voleurs de tel aussi non
Le truc, c’est que le seul moyen pour avoir la possibilité de faire un déchiffrement unitaire, quand le constructeur n’a pas la clef, c’est d’utiliser une faille ou de développer un backdoor.
C’est le principe: un chiffrement qui repose sur le secret de ses sources n’est pas un bon chiffrement.
Alors qu’un chiffrement qui repose sur un code ouvert, certes, c’est plus facile d’en trouver les failles, mais justement, ce sera plus facile de débugger le code à partir des différents retours. Et tu peux très bien faire un chiffrement incassable open source.
il faut lire
Upon first boot, the device creates a randomly generated 128-bit master key and then hashes it with a default password and stored salt. The default password is: “default_password” However, the resultant hash is also signed through a TEE (such as TrustZone), which uses a hash of the signature to encrypt the master key.
You can find the default password defined in the Android Open Source Project cryptfs.c file.
When the user sets the PIN/pass or password on the device, only the 128-bit key is re-encrypted and stored. (ie. user PIN/pass/pattern changes do NOT cause re-encryption of userdata.) Note that managed device may be subject to PIN, pattern, or password restrictions.
Les derniers qui ont passer ce genre de lois en France, c’est pas le nazi???
" />)[Il faudrait un smiley Godwin d’ailler.]
(Boom, point Godwin direct
Une démocratie, pour rester dans les rails, doit être régulièrement abreuvé du sang de nos élus quand ils commencent à trop déconner… là ça fait 200 ans qu’elle crève de soif et on voit ce que ça donne.
c’est exactement ce que je dit, il n’y a rien qui permet justement avec les info qu’a Google (ou Apple potentiellement) à sa disposition pour permettre de déchiffrer, ils n’ont pas les clés eux non plus.
Pour Android par exemple, cette clé est créer au premier démarrage aléatoirement et est stocké dans l’appareil de manière chiffré par le code de verrouillage de l’utilisateur. Dès lors que tu as le code de déverrouillage de l’appareil, tu à la clé de chiffrement, et tu peux déchiffré.
Je trouve dommage qu’une telle news finisse en news à troll. Sans déconner, je ne vois que le néant de réflexion quand quelqu’un critique Ciotti à cause de son Iphone. Ce n’est pas encore un terroriste que je sache.
Le mec gueule contre un truc qu’il utilise lui même, tout en sachant qu’il a peu de chances d’être inquiété par ce genre de proposition.
Donc pour un bon vieux code pin a 4 chiffres, il suffit de décoder la clé en testant 10000 combinaison possible pour avoir la bonne clé en extrayant la mémoire flash de l’appareil?
Je sais pas sur Android, mais sur iOS, non.
Au bout de 10 essais, la clef est regénérée (si une option est activée), ce qui empêche définitivement de déchiffrer les fichiers demandés.
C’est d’ailleurs la demande du FBI, demander une modif de l’iOS permettant le bruteforce du pin sans risquer de supprimer les clef.
Pourquoi ils donnent pas le téléphone aux Experts Cyber, je suis sur qu’ils pourront tout déverrouiller
" />
" />
bande d’amateurs
tu penses à la vente de CD et de DVD pirates?
" />
Clairement des cryptochiffro-fascistes.
Non c’est faux
Ah le terrorisme à bon dos, l’argument des pédophiles ne fonctionne plus?
Il est amusant de constater qu’avant de proposer des loi, ces élus ne prennent même pas le temps de consulter des spécialistes.
Parce qu’ils imaginent naïvement que l’opérateur disposerait forcément des clés permettant de déchiffrer. Ils ne savent visiblement même pas ce qu’est le chiffrement RSA.
Quand à inclure dans les appareils et services français des “backdoors” et des clés de déchiffrement “spécial état”, ils ne se posent même pas la question du risque que cela entraîne un boycott de nos produits et services.
Vous seriez une entreprise étrangère, achèteriez vous un service français ou l’état français a la possibilité d’avoir accès aux données pour faire de l’espionnage industriel ?
Ce qui est prévisible, c’est qu’a cause de leurs lois iniques, les services d’hébergement migreront hors de France. Certains fournisseurs français l’ont d’ailleurs déjà annoncé…
Mais quand il n’y a plus de travail en France à cause de décennies de mauvaises décisions politiques, nos élus trouvent le moyen d’accuser le petit peuple qui soit disant ne voudrait pas travailler.
“Quoi ? Apple c’est la pomme derrière l’iPhone ?!”
Interdire de respirer le même air que les terroristes ça me semble être une bonne idée aussi.
Je pense que ces Députés ont raison. D’ailleurs, je ne comprends qu’on n’interdise pas aussi de parler des langues incompréhensibles telles que le Corse, le Breton, le Chti. C’est une forme de chiffrement sémantique. Si j’étais député, je proposerais un amendement contre toute autre langue que le Français académique standard.
pezuvent pas, même eux ne savent pas parler le français académique. Après tout pour interdire au terroriste d’utiliser des ordiphones cryptée et d’aller rependre leurs propagande grâce au mot dièse et stocker leurs méfait sur l’informatique en nuage c’est difficile ^^.