Un certain Malek B. avait refusé de fournir lors de sa garde à vue le code de déverrouillage de ses trois téléphones. Il fut poursuivi pour « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie », puis condamné en première instance dans le cadre d’une enquête en matière de trafic de drogue.
La semaine dernière, le tribunal correctionnel de Belfort condamnait, dans le cadre d’une enquête criminelle, un jeune de 29 ans à trois mois de prison ferme pour ne pas avoir révélé le code de son téléphone (l’article de l’Est Républicain).
La cour d’appel de Paris vient de le relaxer pour le premier chef d’inculpation, comme le relève le Parisien.
D’un, « il ne ressort d’aucun élément de la procédure qu’une réquisition ait été adressée par une autorité judiciaire à Malek B. de communiquer ce code de déverrouillage ou de le mettre en œuvre, le prévenu ayant seulement refusé de communiquer ce code à la suite d’une demande qui lui a été faite au cours de son audition par un fonctionnaire de police ».
Cet arrêt du 16 avril applique de fait la décision du 30 mars 2019 du Conseil constitutionnel. C’est d’ailleurs son avocat qui avait été à l’origine de cette question prioritaire de constitutionnalité où les neuf sages avaient rappelé la nécessité de passer préalablement par un juge.
De deux, et surtout, la cour d’appel estime qu’ « un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés et, en ce sens, ne constitue pas une convention secrète d’un moyen de cryptologie ».
Le code verrouillant un portable n’est donc pas « une convention secrète de déchiffrement d’un moyen de cryptologie ». C’est un apport important : le refus de communiquer ce précieux sésame ne peut être sanctionné sur le terrain de l’article 434-15-2 du Code pénal.
Commentaires (20)
#1
Très intéressant merci.
En revanche, comment ça se passe pour les téléphones dont le contenu est chiffré, est-ce que le code n’est pas une convention secrète de déchiffrement ?
#2
Oui je ne comprends pas non plus, tous les téléphones récents sont chiffrés de base.
#3
Il vaut mieux se taire, “Vous avez le devoir de garder le silence, tout ce que vous direz sera retenu contre vous”
" />
#4
Non. Il permet juste d’accéder à la convention de chiffrement.
#5
Intriguant. Alors si ce code permet d’accéder à la convention de chiffrement, comment matériellement la remettre (mettons les aspects de procédure pénale de côté) ?
#6
Il me semble que dans les téls récents, elle n’est justement pas disponible pour l’utilisateur : elle est dans une puce sécurisée et est utilisée pour le chiffrement/déchiffrement sans en sortir.
#7
On peut considérer que si le téléphone est déjà allumé, le contenu n’est pas chiffré.
Par contre, le premier déverrouillage serait une convention de déchiffrement…
Après il faut voir si la Cour de Cassation se prononce un jour sur ce point, il ne s’agit pour l’instant “que” de la Cour d’Appel de PARIS.
#8
#9
Généralement, les mots de passes utilisés pour le cryptage ne sont pas la clé de cryptage… ils sont dérivés pour créer celle-ci. Du coup, font-ils partie de la “convention secrète de déchiffrement” ?
Et qu’en est-il du droit de garder le silence / de ne pas s’auto-incriminer ?
#10
#11
Il manque juste le lien qui va bien
" />
https://chiffrer.info/
#12
De ce que je comprends, verrouiller son téléphone avec un code est tellement courant qu’on ne considère pas que c’est une volonté de dissimuler une information comme ça serait le cas en utilisant un outil de cryptage spécifique. En gros c’est la clé de la porte d’entrée, mais pas celle d’un coffre fort qu’on aurait placé dans la maison.
Dans le cadre d’un simple interrogatoire, il faut donc une décision judiciaire pour exiger le déverrouillage de l’appareil (comme pour fouiller la maison finalement).
#13
#14
Si le téléphone est chiffré, il permet de déchiffrer la convention secrète de déchiffrement des données.
Donc pour moi, il est lui-même une convention secrète de déchiffrement.
Sauf si les téléphones concernées n’étaient pas chiffrés, et que la justice ne souhaitait pas (ne savait pas ?) y accéder autrement que par ce code d’accès … ça reste tout de même étrange…
#15
Non, comme je l’ai dit après, dans les téls récents, la convention de chiffrement est impossible à sortir de la puce qui la protège. Voir par exemple l’iPhone et son Secure Enclave. Le mot de passe permet juste d’utiliser la clé, pas de l’extraire ni la déchiffrer.
#16
Si tu récupères des données chiffrées d’un téléphone et son code de dévérouillage, mais que tu n’as plus accès au téléphone : le code de dévérouillage ne te permettra pas de déchiffrer les données.
La convention de déchiffrement permet de déchiffrer les données même sans avoir le téléphone, c’est en ça que le code de dévérouillage n’est pas une convention de déchiffrement, tout simplement.
#17
C’est très étonnant, l’article 434-15-2 parle uniquement de casser un moyen de crypter donc a priori s’en fout qu’il s’agisse d’un chiffrement informatique, d’argot ou d’un code secret d’école primaire non?
" />
C’est d’autant plus étonnant que le conseil constitutionnel semblait avaliser le principe justement d’obligation de donner son code de déverrouillage à l’appareil judiciaire
http://www.lexplicite.fr/convention-secrete-de-dechiffrement-dun-moyen-de-cryptologie-est-conforme-a-la-constitution/
Là le souci c’est de n’être pas passé par un juge pour avoir le code ok mais sinon sur le fond la cour de cassation se plante complètement par rapport à l’article 434-15-2 non quand elle dit que le code pin n’est pas une convention secrète de déchiffrement ?
N’étant pas spécialiste de ces questions je veux bien une explication plus détaillée.
#18
#19
Oui mais là c’est (il me semble) le tribunal qui le baffoue.
#20
Je ne connaissais pas ce lien, merci
" />
Juste une remarque, ça dit :
Chiffrage
Celui-là, c’est le pompon, la cerise sur le gâteau. Le chiffrage, c’est évaluer le coût de quelque chose. ABSOLUMENT RIEN à voir avec le chiffrement.
Sauf que dans le dictionnaire de l’académie française (sur laquelle ce blog s’appuie aussi), on lit :
CHIFFRAGE nom masculin
…
Donc non, chiffrage n’est pas “le pompon”, c’est du français correct. Ce n’est pas le terme technique préféré, mais c’est correct