Lutte contre le terrorisme et les messages cryptés, Question écrite n° 20411 de M. Christian Cambon, Réponse du Ministère de l’intérieur, publiée dans le JO Sénat du 01/09/2016 – page 3750
M. Christian Cambon interroge M. le ministre de l’intérieur sur les moyens de lutte efficace contre les messages cryptés. La généralisation des moyens de communication par téléphonie mobile comme le téléphone portable, l’ordinateur permettent d’échanger des informations de façon continue. Cette diffusion s’est accompagnée simultanément d’une prolifération d’outils technologiques réservés, il y a encore quelques années, aux services de renseignements. Actuellement, il est compliqué d’avoir accès aux systèmes opérationnels installés dans les téléphones portables pour préserver la vie privée des utilisateurs. Cependant, la lutte contre ces messages chiffrés constitue une priorité pour assurer la sécurité des Français. De nombreuses organisations criminelles et terroristes incitent leurs membres à utiliser des outils de communication chiffrée afin de freiner le travail de la police. L’utilisation de ces messages non traçables est devenue un modus operandi pour organiser des rencontres, des échanges de marchandises illégales ou, pire, des attaques terroristes. Certes il convient de protéger la vie privée de chacun. Néanmoins, il souhaite savoir quels moyens peuvent être à terme mis en uvre pour lutter contre de tels procédés qui mettent en péril la sécurité nationale.
Réponse : En France comme ailleurs, les défis que pose aux forces de sécurité le chiffrement est réel. La société Apple qui commercialise l’iPhone 6 a ainsi prévu que les données qu’il contient soient cryptées par défaut. Un code à quatre chiffres (ou l’empreinte digitale de l’utilisateur) permet le chiffrement et, inversement, le déchiffrement des données contenues dans l’appareil. Ce cryptage par défaut existe sur les terminaux d’autres marques. Leur mise en service n’est toutefois pas encore généralisée. Actuellement, la plupart des téléphones portables ne sont pas protégés et seul un code « PIN » permet leur déverrouillage. L’iPhone 6 est lui protégé par son propre système de cryptage, ce qui le rend pratiquement inviolable, même pour la société Apple qui affirme ne pas disposer de la capacité technique de déchiffrement de ses terminaux et ne pouvoir répondre aux demandes des autorités judiciaires souhaitant accéder aux informations contenues dans ces appareils. La commercialisation de ces nouveaux téléphones a donc suscité de fortes réserves de la part des services d’investigation américains, et en France de la part de la direction centrale de la police judiciaire, face au risque de ne pouvoir accéder aux données – souvent essentielles pour la résolution des enquêtes – contenues dans les téléphones portables des délinquants. La France toutefois, outre les moyens dont peuvent être dotées ses agences spécialisées telle que l’Agence nationale de la sécurité des systèmes d’information, dispose d’outils juridiques qu’elle pourrait mettre en uvre pour surmonter les difficultés posées par la sécurité renforcée des iPhone 6 et autres terminaux de cette génération. Si la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique dispose que « l’utilisation des moyens de cryptologie est libre », le décret n° 2007-663 du 2 mai 2007 relatif aux moyens et aux prestations de cryptologie organise cependant, dans le cadre de la protection des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat, un régime de déclaration ou d’autorisation auprès de l’Agence nationale de la sécurité des systèmes d’information pour les sociétés souhaitant mettre ces moyens à la disposition du public. Par ailleurs, les sociétés sont légalement tenues de disposer d’une capacité de déchiffrement de leurs terminaux. Aux termes de l’article 434-15-2 du code pénal, « est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en uvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. Si le refus est opposé alors que la remise ou la mise en uvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende ». L’obligation ne pèse toutefois que sur celui qui a connaissance de la convention secrète de déchiffrement. Or, la société Apple et les autres fournisseurs de moyens de chiffrement n’en disposent pas. L’utilisateur seul en dispose. Dans des cas très particuliers, les services spécialisés peuvent obtenir par des moyens indirects les informations non décryptables sur l’appareil lui-même. Il s’agit notamment du cas où les données de l’appareil seraient synchronisées dans le nuage (iCloud pour Apple par exemple) et que les enquêteurs disposent des identifiants du service utilisé par le mis en cause ou sollicitent le fournisseur de service (Apple par exemple) qui appréciera l’opportunité de communiquer ces données. Au-delà de l’iPhone 6 et des téléphones mobiles en général, la problématique du cryptage s’étend à tous les supports numériques et aux services de communication en ligne. Les technologies de communications électroniques et les systèmes ou logiciels de chiffrement des données ont évolué très rapidement ces dernières années, en particulier après les révélations des systèmes utilisés par la NSA aux Etats-Unis. Si l’interception des données échangées sur les réseaux de télécommunications fixes (Internet ADSL) et mobiles (3G et 4G) reste possible pour des logiciels comme Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc., ou des téléphones mobiles comme ceux de Blackberry ou Apple, leur mise au clair en revanche s’avère impossible ou trop longue même avec les moyens sophistiqués utilisés par certains services spécialisés. Face au chiffrement des communications, deux solutions s’offrent aux autorités. La première, qui ne peut qu’être temporaire, est d’obtenir des fournisseurs de logiciels de communications électroniques (Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc.) des clés ou des algorithmes de déchiffrement afin de pouvoir mettre au clair, presque en temps réel, les flux internet interceptés, et de les sanctionner sur le plan pénal ou administratif en cas d’absence de réponse. La seconde, pérenne, consisterait à modifier le code des postes et des communications électroniques pour redéfinir la notion d’opérateur en communications électroniques en y intégrant les fournisseurs de logiciels de communications électroniques et les obliger à procéder à des interceptions, avec fourniture des contenus qui transitent par leurs serveurs, en temps réel et en clair, aux autorités requérantes. Parallèlement, de nouvelles techniques d’enquête autorisées par le législateur ces dernières années permettent de contourner les difficultés techniques liées au chiffrement. Il en est ainsi de l’enquête sous pseudonyme, dont le recours a été progressivement étendu aux infractions relevant de la criminalité organisée. Cette technique permet aux enquêteurs de contacter par un moyen de communication électronique les auteurs présumés d’une infraction pénale pour tenter de les identifier. Par ailleurs, la captation de données informatiques, prévue dans le cadre judiciaire par les articles 706-102-1 et suivants du code de procédure pénale et dans le cadre administratif par l’article L. 853-2 du code de la sécurité intérieure, peut permettre, dans certains cas, d’intercepter les contenus d’une communication en amont du chiffrement.
No Comments