Cryptophone Sky ECC : un procès requis contre 30 personnes par la justice française

Par Jean-Marc Manach

Le 14 août à 11h51
Droit
2 min

L'AFP a appris qu'un procès avait été ordonné contre trente personnes impliquées dans la commercialisation du cryptophone Sky ECC de la société canadienne Sky Global.

Tous « savaient, ou ne pouvaient raisonnablement ignorer à tout le moins, que ce produit était susceptible d’attirer la convoitise des organisations criminelles opérant dans les divers trafics de stupéfiants extrêmement prolifiques », précisent les magistrats instructeurs dans l’ordonnance de mise en accusation consultée par l’AFP.

Le cryptophone s'achetait « de la main à la main, en espèces ou en cryptomonnaies et à des tarifs prohibitifs (jusqu'à 2 000 euros les six mois) », résume l'AFP. Pour les juges d'instruction, cela fait de Sky ECC « un moyen de communication à destination (quasi) exclusive des organisations criminelles ». Ce que conteste Jean-François Eap, le PDG de Sky Global.

En France, une information judiciaire avait été ouverte en 2019 pour, notamment, association de malfaiteurs en vue de l'importation de produits stupéfiants commise en bande organisée, fourniture de prestations de cryptologie visant à assurer des fonctions de confidentialité sans déclaration conforme, et blanchiment d'importation de produits stupéfiants.

Douze personnes ont été mises en examen, et dix-huit autres sont visées par des mandats d’arrêt. Une seule est en détention provisoire depuis 2021: Thomas Herdman. Ce Canadien de 63 ans est considéré par les enquêteurs comme un des principaux distributeurs de l'application, ce qu'il conteste.

Le décryptage de millions de messages échangés via des cryptophones Sky ECC avait permis, en 2021, l'arrestation de plusieurs dizaines de suspects de crimes et la saisie de dizaines de tonnes de drogues en Belgique et aux Pays-Bas.

Commentaires (11)


fred42 Abonné
Le 14/08/2024 à 12h16
En lisant l'article de notre temps (premier lien), on voit que l'enquête judiciaire portait en particulier sur :
fourniture de prestations de cryptologie visant à assurer des fonctions de confidentialité sans déclaration conforme


ce qui est une violation de l'article 31 de la LCEN qui dispose que :
La fourniture de prestations de cryptologie doit être déclarée auprès du Premier ministre. Un décret en Conseil d'Etat définit les conditions dans lesquelles est effectuée cette déclaration et peut prévoir des exceptions à cette obligation pour les prestations dont les caractéristiques techniques ou les conditions de fourniture sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, cette fourniture peut être dispensée de toute formalité préalable.
R4VEN Abonné
Le 14/08/2024 à 14h51
Du coup si demain je fais un logiciel de communications chiffrées, je dois le déclarer ? Je ne savais pas.
ImpactID Abonné
Le 14/08/2024 à 15h19
Bref, il faudrait lire le décret. Je croyais que cette loi avait été abrogée. En gros, si je configure le client mail d'un client pour utiliser un protocole de chiffrement (S/MIME ou PGP), je dois le déclarer, sauf si ça fait explicitement partie des exceptions du décret ?
the_Grim_Reaper Abonné
Le 14/08/2024 à 15h31

ImpactID

Bref, il faudrait lire le décret. Je croyais que cette loi avait été abrogée. En gros, si je configure le client mail d'un client pour utiliser un protocole de chiffrement (S/MIME ou PGP), je dois le déclarer, sauf si ça fait explicitement partie des exceptions du décret ?
Ils auraient pu les choper sur d'autres subtilités, comme les considérer comme des opérateurs telecom, et de facto ne pas avoir respecté les obligations des opérateurs telecom (geoloc, fadettes, ..)

Pour ce qui est de l'utilisation de la crypto, effectivement, sous un certain de seuil de complexité de chiffrement, pas besoin de déclaration de mémoire.

Ensuite, il y a les applications associés, chiffrer une transaction web (ouvrir une page HTTPS) c'est pas la même chose que de proposer un système de cryptographie militaire.
fdorin Abonné
Le 14/08/2024 à 15h33

ImpactID

Bref, il faudrait lire le décret. Je croyais que cette loi avait été abrogée. En gros, si je configure le client mail d'un client pour utiliser un protocole de chiffrement (S/MIME ou PGP), je dois le déclarer, sauf si ça fait explicitement partie des exceptions du décret ?
Alors, si je ne dis pas de connerie, ce n'était pas la LCEN qui avait été abrogée, mais la loi interdisant l'usage de moyen cryptographique pour le citoyen lambda.
fdorin Abonné
Le 14/08/2024 à 15h28
Le décret en question, qui apporte des informations sur les modalités, notamment l'Annexe I.

Ici, je pense que ce qui est retenu, c'est qu'à cause du prix important (plusieurs milliers d'€), le dispositif ne peut être retenu comme étant à destination "du grand public".
fred42 Abonné
Le 14/08/2024 à 17h28

fdorin

Le décret en question, qui apporte des informations sur les modalités, notamment l'Annexe I.

Ici, je pense que ce qui est retenu, c'est qu'à cause du prix important (plusieurs milliers d'€), le dispositif ne peut être retenu comme étant à destination "du grand public".
Merci pour le décret. Je ne l'avais pas trouvé (je n'avais pas beaucoup cherché).

En fait, ce que je comprends, c'est qu'ils étaient poursuivis uniquement pour la "prestation de cryptologie" et pas l'importation de matériel. On lit que c'était des smartphones classiques qui étaient utilisés.

Et la prestation de cryptologie qui permet de communiquer entre mobiles de façon chiffrée ne correspond pas à la catégorie 15 qui est exemptée. En effet, elle ne s'appuie sur aucune des 5 premières catégories de matériel citées.

On peut voir à l'article 13 qu'ils ne risquent pas grand chose pour cette infraction : contravention de 5ème classe = 1500 €.
C'est probablement pour cela qu'il y avait d'autres motifs de poursuites judiciaires (association de malfaiteurs en vue de l'importation de produits stupéfiants commise en bande organisée et blanchiment d'importation de produits stupéfiants). Mais ces 2 points sont plus difficile à prouver : les avocats semblent vouloir jouer là-dessus.

Remarque : depuis le début, je ne parle que des motifs initiaux de l'enquête, les chefs d'inculpations n'étant pas indiqués dans l'article de notre temps.
yannickta Abonné
Le 15/08/2024 à 16h59
On arrête le fabriquant de couteau / voiture, sous prétexte il y a eu un crime avec. Je trouve le glissement assez dangereux.
Du coup, les téléphones super-sécure de je sais plus quelle boite française (Alcatel ?), avec "chiffrement militaire", et qui coûtent lui aussi un bras, là, pas de problème ? Quand c'est le "secret des affaires" des magouilles financières ou politiques, c'est bon ? Demain, c'est le tour de GrapheneOS ?
fred42 Abonné
Le 15/08/2024 à 17h12
Qu'est-ce que tu n'as pas compris dans mes 2 commentaires ?

Je pense que la société française dont tu parles sans te souvenir du nom respecte la loi et a fait toutes les déclarations nécessaires.
OB
Le 15/08/2024 à 18h23
Thales en fait :
https://cds.thalesgroup.com/fr/ercom/cryptosmart-mobile
(Mais effectivement je pense que eux ont toutes les déclarations requises :-) )

Pour GrapheneOS, il me semble que pour cet OS, le téléphone est sécurisé mais viens pratiquement sans applis. C'est à toi de placer dessus la ou les applis que tu veux, éventuellement pour communiquer de manière confidentielle.
fred42 Abonné
Le 15/08/2024 à 20h14

OB

Thales en fait :
https://cds.thalesgroup.com/fr/ercom/cryptosmart-mobile
(Mais effectivement je pense que eux ont toutes les déclarations requises :-) )

Pour GrapheneOS, il me semble que pour cet OS, le téléphone est sécurisé mais viens pratiquement sans applis. C'est à toi de placer dessus la ou les applis que tu veux, éventuellement pour communiquer de manière confidentielle.
Je me doutais qu'il parlait de Thales en effet.
Fermer