Alice et Bob, hors la loi (du chiffre) ?

Le faux débat sur le refus d’Apple d’aider à déchiffrer les données des ordiphones des terroristes de l’attentat de San Bernardino aux autorités judiciaires américaines bat son plein.

Faux débat car il semble évident que les autorités américaines, cyberpuissance affirmée1, ont les moyens de déchiffrer les données chiffrées dudit téléphone mais évidemment cela demande plus de temps que si Apple leur offrait les clés de déchiffrement.

Selon le blogueur Si vis interrogé à ce sujet, « le problème n’étant pas tant la robustesse de tel ou tel chiffrement mais la façon dont est implémenté le dispositif permettant de générer, envoyer puis récupérer de la donnée que l’on cherche à protéger. Et comme en réalité peu de dispositifs sont à l’état de l’art c’est à dire assurant le plus haut niveau de protection de la source au destinataire, il existe une variété de moyens pour récupérer les informations cibles ».

CHIFFREMENT

Ceci étant dit, il est intéressant de connaître les dispositions juridiques qui existent en France concernant le chiffrement.

Le régime juridique de la cryptologie est régi depuis la loi pour la confiance dans l’économie numérique par le principe de la liberté d’utilisation et de la fourniture des moyens de cryptologie2. Cela n’a pas toujours été le cas car avant 2004, il fallait acquérir une autorisation ou effectuer une déclaration conformément à la loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications.

Ainsi, l’utilisation d’un moyen de cryptologie est libre mais la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation. Ces démarches incombent au fournisseur du moyen de cryptologie et sont à accomplir auprès de l’ANSSI.

Le régime applicable (déclaration ou demande d’autorisation) dépend des fonctionnalités techniques du moyen et de l’opération commerciale projetée (fourniture, importation, etc.)3.

En matière pénale, dans le cadre de la recherche et la constatation d’infractions, selon l’article 36 de la loi du 21 juin 2004 et le code de procédure pénale, les officiers et les agents de police judiciaire peuvent procéder à la saisie des moyens de cryptologie sur autorisation judiciaire .

De même, le refus de déchiffrement d’un moyen de cryptologie utilisé à des fins criminelles est réprimé. Le refus doit être intentionnellement opposé à des réquisitions provenant des autorités judiciaires aux cours d’une enquête ou d’une instruction.

L’infraction suppose que le moyen de cryptologie concerné soit susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.

Étonnamment la loi française semble plus stricte que la loi américaine, pourtant le pays à l’origine du Patriot Act !

A ce sujet, la justice française a récemment sanctionné un jeune dijonnais pour avoir créé un serveur permettant d’anonymiser des envois d’information sur internet et aurait été utilisé par des hackers qui ont menacé différents établissements scolaires sur le territoire4.

Ces dispositions pénales sur le chiffrement n’omettent pas la nécessité de protéger le secret des correspondances qui est même réaffirmé dans le code des postes et des communications électroniques à l’article L3-2. C’est ce qu’on appelle le principe de la neutralité de l’opérateur qui lui interdit de s’immiscer dans les communications échangées.

Toutefois, une nouvelle fois, ce même code prévoit à l’article 6 des dérogations à l’inviolabilité et au secret des correspondance qui cède logiquement au bon déroulement des informations judiciaires et des enquêtes policières.

Les règles sont donc claires, le principe reste la protection des libertés individuelles, exception faite en cas de nécessité de la sécurité publique. Ce n’est pas pour autant qu’il faille conclure que nos libertés individuelles sont en danger car il existe aussi des exigences légales qui imposent la sécurité de nos données, en particulier les données à caractère personnel. En effet, dans le cadre des téléservices, la CNIL estime que le degré de sécurité relatif à l’identification des usagers doit être fonction des démarches effectuées et certaines nécessitent le recours à des procédés de chiffrement garantissant l’authentification de l’intéressé et la confidentialité de l’échange. Dès lors que des données sensibles sont en cause, la sécurité doit être renforcée. C’est le cas des données de santé mais aussi des données financières. Dans un avis du 9 mai 20065, la CNIL a mis en garde la direction générale des impôts concernant la procédure de télédéclaration fiscale, insuffisamment sécurisée à ses yeux, cette procédure n’imposant ni certificat électronique, ni login ou mot de passe, ni signature électronique mais seulement le numéro fiscal, le numéro de télédéclarant et le revenu fiscal de référence du contribuable.

La CNIL incite même au développement des offres de coffres-forts numériques, qui sont des espaces de stockage numérique dont l’accès est limité à un seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier. A ce sujet, la CNIL a adopté un référentiel le 23 janvier 2014 pour des labels en matière de sécurité de coffres-forts numériques6.

La cryptologie est une technique ancienne utilisée essentiellement dans l’art de la guerre, de la scytale au système des masques jetables pendant la guerre froide, qui a pour objectif intrinsèque la confidentialité d’informations et d’ailleurs reste étymologiquement la science du secret.

Les secrets sont légitimement protégés par la loi française que ce soit le secret de la défense nationale, tout secret professionnel (médical, bancaire,etc.) ou encore les secrets individuels (vie privée, des correspondances, etc.) mais ces secrets ayant des finalités différentes, il est normal que la loi prévoit à chaque fois des dispositions différentes. La cryptologie ne fait donc pas exception à un traitement particulier proportionné et justifié par la loi adapté à tous les enjeux en cause.

Notes de bas-page

2 article 30-I de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Share/Partage

3C SecuSystJuri

One Comment

  1. Encore une fois, la loi française se distingue par son usinagazitude et ses aberrations dans son application : « Ainsi, l’utilisation d’un moyen de cryptologie est libre mais la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation. Ces démarches incombent au fournisseur du moyen de cryptologie et sont à accomplir auprès de l’ANSSI. »
    Du même tonneau que la liberté d’acheter des gyrophares mais l’interdiction de les utiliser (il est vrai que tout le monde en achète pour mettre dans son salon quand on le transforme en boîte de nuit…).
    Fort heureusement, la CNIL, porte-avions doté de la puissance de feu d’un pistolet à bouchons veille ! « Dans un avis du 9 mai 20065, la CNIL a mis en garde la direction générale des impôts concernant la procédure de télédéclaration fiscale, insuffisamment sécurisée à ses yeux, cette procédure n’imposant ni certificat électronique, ni login ou mot de passe, ni signature électronique mais seulement le numéro fiscal, le numéro de télédéclarant et le revenu fiscal de référence du contribuable. » Et depuis 2006, qu’a fait la DGI ?
    Quant au coffre-fort numérique, il risque de connaître le même sort (sans les débats) que le cryptage de l’i-phone.
    Qu’est-ce qu’un secret quand il ne peut rester secret ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

un × 3 =