Quais et Monts

Verrouiller et chiffrer

La cours de cassation a rendu un avis rendant définitivement délictueux le refus de livrer son mot de passe de téléphone portable (ordiphone) à la police « lorsqu’il est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. »

Protection de la défense vs convention cryptographique

Cette décision s’oppose à une règle de protection de la défense (droit à ne pas s’auto-incriminer, protection de la vie privée) qui protège un code de déverrouillage contre une requête hors perquisition (vous n’êtes pas tenu de laisser fouiller vos « systèmes privés » par des enquêteurs hors perquisition.)

Par contre, elle s’appuie sur deux réalités techniques conjointes :

  1. les téléphones récents sont systématiquement chiffrés (leur contenu est illisible sans la connaissance d’une clé cryptographique).
  2. la clé de déchiffrement (clé cryptographique) est elle-même protégée par le code de déverrouillage de l’interface (accueil) du téléphone.

En effet, l’article 434-15-2 du Code Pénal punit le refus de remettre une clé de déchiffrement (« convention cryptographique ») lorsque celle est « susceptible d’avoir été utilisé, etc. »

Deux besoins, un même secret

Verrouiller son téléphone, c’est bien. Chiffrer (protéger son contenu pour le rendre illisible sans le secret) c’est mieux. C’est pourquoi les constructeurs embarquent dès la conception une fonction de verrouillage et de chiffrement du contenu du téléphone.

Il s’agit de deux besoins différents, mis en œuvre par deux fonctions différentes (d’une part bloquer l’accès à l’interface — accueil — et d’autre part chiffrer le contenu). Les deux secrets (pin ou mot de passe) sont techniquement différents.

Pour rendre ces fonctions faciles à comprendre et utiliser, les constructeurs ont choisi d’utiliser le secret de verrouillage du téléphone comme protection de la clé de chiffrement du téléphone. Pour l’utilisateur·trice, il n’y a plus qu’un secret à configurer et mémoriser.

Cette décision de partager le même secret crée deux défauts. Le premier défaut est technique : les besoins sont différents, la clé de chiffrement du contenu doit être difficile à trouver, même par essais successifs, le secret de déverrouillage doit être rapide à taper ; ces besoins sont antagonistes sur la complexité et longueur du secret. Le second défaut est maintenant judiciaire : alors qu’une clé de déchiffrement doit être remis aux enquêteurs à leur demande (« lorsque celle-ci est susceptible… »), un secret de verrouillage est protégé par le droit de la défense et nécessite une réquisition judiciaire pour être forcé à être remis ; suite à l’arrêt de la cour de cassation, c’est l’accès des enquêteurs qui prime maintenant.

Le besoin d’utiliser deux secrets existe pour n’importe quel utilisateur et utilisatrice qui aurait besoin un jour d’user de ses droits : journalistes et sources, professionnel·les accédant à des documents sensibles depuis leur téléphone… Mais aussi simples manifestant·e·s ou militant·e·s (non-violent ou pas). La résolution technique de cet antagonisme entre les deux secrets est assez simple à résoudre techniquement : offrir la possibilité de configurer deux secrets. Une modification des téléphones Android a un temps permis cela ; ce n’est plus le cas avec le nouveau mode de chiffrement des téléphones Android. Les constructeurs de téléphone ne vont probablement pas faire évoluer favorablement cette situation.

Morale

Utiliser le même secret (pin, mot de passe) pour protéger des fonctions différentes est souvent une mauvaise idée.

Ici, une législation contraignante sur la remise de clés de chiffrements fragilise les droits de la défense protégeant l’accès aux « systèmes privés ».

Pensez-y également pour les mots de passe de vos comptes Internet.

Nota

Ne stockez pas dans votre téléphone portable des données que vous ne voudriez pas avoir à montrer à la police.

Références