La liberté de crypter est-elle un droit fondamental ?

Publié le 14/03/2016 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin du 14 mars 2016 pour CIO Online.

La liberté de crypter est-elle un droit fondamental ?

La bataille judiciaire, médiatique et technique qui oppose actuellement Apple et le FBI est passionnante à plus d’un titre. Elle est une illustration de notre époque faite de technologies connectées, de multinationales aux moyens financiers dépassant ceux de nombreux Etats et de menace terroriste globale.

Nous nous intéresserons plus modestement au traitement judiciaire qu’une telle affaire aurait en France, au regard de notre législation en perpétuelle modification s’agissant de l’accès aux données numériques par les autorités de renseignements et de police judiciaire.

Schématiquement, le FBI souhaite pouvoir accéder aux données présentes dans l’iPhone d’un terroriste tué lors des attaques de San Bernardino. Ces données sont cryptées par un mécanisme qui associe le code secret choisi par le possesseur de l’iPhone et des informations uniques liées au matériel, lesquelles sont différentes pour chaque iPhone produit. La clé secrète de chiffrement étant inviolable, inconnue d’Apple et du possesseur de l’iPhone, il n’y a d’autre possibilité pour le FBI que de tester toutes les combinaisons possibles de codes secrets pour déverrouiller l’iPhone (attaque par « force brute »).

Problème : il faut taper chaque combinaison à la main, après chaque mauvaise combinaison, l’iPhone interdit tout nouvel essai pendant un certain laps de temps pouvant aller jusqu’à 1 heure et, au bout de 10 tentatives infructueuses, iOS efface tout simplement les données de l’iPhone.

Ce n’est donc pas l’accès à la clé secrète de chiffrement qui est demandé par le FBI mais la possibilité technique de s’interfacer avec l’iPhone en question pour pouvoir tester automatiquement toutes les combinaisons en désactivant les protections prévues dans iOS lorsque l’on entre un mauvais code.

Cela semble être techniquement possible pour Apple si celle-ci accepte de développer une version spécifique d’iOS qui serait implantée sur l’iPhone en question. Si l’on en croit les informations disponibles sur internet, il faudrait seulement 30 minutes pour tenter toutes les combinaisons à 4 chiffres et déverrouiller l’iPhone avec un processus automatique tel que celui demandé par le FBI.

L’affaire est intéressante en ce qu’elle remet la réglementation de la cryptologie au premier plan alors que cette technologie est aujourd’hui essentielle pour assurer la protection des données dans un monde de services en « cloud » et de smartphones remplis de données personnelles.

La cryptographie : une technologie réglementée en France

En France, le régime juridique de la cryptologie, dont la dernière mise à jour remonte à la loi du 21 juin 2004 pour la confiance dans l’économie numérique, apparaît aujourd’hui quelque peu dépassé.

Si, en application de l’article 30 de cette loi, l’usage des moyens cryptographiques est libre, leur importation et leur commercialisation sont soumises à un régime de déclaration à l’Agence Nationale de la Sécurité des Systèmes d’Information. Ainsi, par exemple, pour être commercialisées en France, les techniques cryptographiques mises en œuvre par l’iPhone doivent avoir fait l’objet d’une telle déclaration par l’importateur ou le vendeur.

Ce régime présuppose que toute personne qui utilise un moyen cryptographique ait obtenu ce dernier d’un fournisseur agissant en conformité avec la législation française en déclarant le moyen cryptographique à l’ANSSI. Cela met donc de facto hors-la-loi toute personne qui télécharge sur internet un logiciel de cryptologie ou achète en ligne en dehors de l’Union européenne un dispositif non déclaré en France. Celui-ci devient, sans le savoir, importateur non déclaré de moyens de cryptologie.

Ce régime juridique a essentiellement été conçu dans une logique de protection des techniques cryptographiques contre l’exportation vers des pays pouvant être considérés comme inamicaux. La logique sous-jacente à cette réglementation est que les autorités publiques disposent des capacités techniques pour craquer les moyens de cryptographie librement autorisés sur le sol français.

L’affaire Apple / FBI montre que cette logique est aujourd’hui inadaptée.

Quelle coopération obligatoire avec les autorités ?

L’usage de la cryptographie pour rendre confidentielles des données est libre, ainsi qu’il ressort de la loi du 21 juin 2004.

Cette liberté est en réalité une liberté « surveillée ».

Dans le cadre de l’enquête pénale, l’article 230-1 du code de procédure pénale permet aux enquêteurs, au juge d’instruction et à la juridiction de jugement de recourir à toute personne qualifiée « en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair [des] informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire ».

Les services de renseignement disposent quant à eux du droit d’obtenir de toute personne qui fournit des prestations de cryptologie visant à assurer une fonction de confidentialité qu’elle remette dans un délai de soixante-douze heures les clés secrètes permettant le déchiffrement des données transformées au moyen des prestations qu’elle a fournies.

Autrement dit, les autorités ont le droit de « craquer » les données cryptées et de se faire aider pour cela par toute personne disposant des clés de déchiffrement.

Plus encore, l’article 434-15-2 du Code pénal prévoit que : « est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités […] ».

En d’autres termes toute personne qui connaît la clé privée ayant permis de crypter un message doit fournir cette clé à la police judiciaire dans le cadre d’une enquête.

L’affaire Apple met cependant en lumière qu’aujourd’hui, les technologies cryptographiques peuvent être employées d’une manière qui rend impossibles tant la détention de la clé privée par un tiers que la possibilité de réaliser un craquage par « force brute ».

En l’état des informations et outils en possession d’Apple, rien ne permet d’accéder à l’iPhone et à ses données. Le FBI demande donc à Apple non pas simplement de fournir des éléments qu’Apple possède déjà mais de réaliser un logiciel (en l’espèce une version spécifique d’iOS) pour contourner les protections mises par Apple à l’attaque par force brute.

Les limites de la législation actuelle et l’amendement Goujon

Transposons la question en droit français : si une entreprise doit remettre aux autorités les informations en sa possession en application de l’article 434-15-2 du code pénal, doit-elle également développer à leur demande les moyens qui leur faciliteront l’accès aux informations ? Il ne s’agit plus simplement de fournir une information mais de réaliser une prestation.

L’article 434-15-2 du code pénal n’a clairement pas été adopté pour contraindre à une telle obligation de faire.

C’est pourquoi dans le cadre de l’actuelle discussion du projet de loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale », après deux tentatives infructueuses, un troisième amendement « anti-chiffrement absolu », présenté par le député Philippe Goujon, a été finalement adopté le 8 mars dernier.

Le projet de loi adopté contient un article 4 quinquies ajoutant l’alinéa suivant à l’article 230-1 du code pénal : « Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes […] des données protégées par un moyen de cryptologie dont il est le constructeur est puni de cinq ans d’emprisonnement et de 350 000 € d’amende. »

Ce texte qui une nouvelle fois ne brille pas par sa qualité rédactionnelle, semble poser une obligation pour les constructeurs de smartphones, et plus généralement de tout matériel cryptant des données, d’être en mesure de décrypter ces données et donc de prévoir de manière systématique une « backdoor » dans les dispositifs en question.

Il s’agit également d’un texte qui, encore une fois, semble ignorer superbement que l’industrie des smartphones n’est pas française ni même européenne, mais américaine. Que se passera-t-il si Apple refuse de mettre sur le marché français des produits conformes à l’article 230-1 si celui-ci est définitivement adopté ? Le consommateur français acceptera-t-il de voir les iPhones disparaître des rayons car illicites en France ?

Quel arbitrage dans un Etat de droit ?

La question posée par l’affaire Apple / FBI n’est pas une question de procédure pénale. C’est une question éminemment démocratique. Il s’agit de savoir si les citoyens peuvent avoir accès à des technologies qui assurent la confidentialité de leurs informations y compris à l’encontre des autorités publiques ?

La réponse à cette question est assez binaire et l’on trouvera des partisans dans l’un et l’autre des camps.

Quiconque a fait l’expérience de se faire voler son smartphone témoignera qu’il se réjouit du fait que ses informations personnelles soient efficacement sécurisées et mise hors de portée des délinquants.

Les demandes du FBI ou l’amendement « anti-chiffrement » ont pour conséquence d’interdire aux fabricants de concevoir et de mettre sur le marché des appareils 100% sûrs car ceux-ci embarqueront nativement une faille de sécurité destinée à répondre aux réquisitions des autorités de police. C’est bien là que le bât blesse puisque, ce faisant, il est à craindre que cette faille native soit étudiée puis exploitée par des hackers. D’un appareil très sûr (puisque le FBI lui-même n’arrive pas à le « cracker »), l’iPhone pourrait courir le risque d’être plus facilement piratable, et avec lui toutes les données privées qu’il embarque.

Il est assez surprenant de voir que le débat est né aux USA, pays dont on connaît le laxisme en matière de réglementation des armes à feu. Au constat que les armes à feu peuvent être utilisées par des criminels, personne n’entend pour autant les interdire. Au constat que les iPhones peuvent protéger efficacement les informations de criminelles, on voudrait interdire à tout citoyen le droit de protéger ces dernières efficacement…

Demande schizophrène d’un législateur qui, par ailleurs, n’hésite pas à exiger des responsables de traitement de données personnelles la sécurité des données qu’ils traitent !

Autres publications