Notes
-
[1]
Cf. notamment l’interview de François Molins sur France Inter le 8 janvier 2016 : https://www.franceinter.fr/emissions/l-invite/l-invite-08-janvier-2016
-
[2]
Étienne Combier, « Royaume-Uni : la reine approuve une loi de surveillance de masse du Web », www.lesechos.fr, 30 novembre 2016
-
[3]
Guillaume Champeau, « Les Pays-Bas plaident pour le droit au chiffrement fort », www.numerama.com, 5 janvier 2016.
-
[4]
Markus Reuter, « Innenminister von Frankreich und Deutschland wollen Aktionsplan gegen Verschlüsselung », www.netzpolitk.org, 12 août 2016.
- [5]
— À l’ère du tout numérique, le chiffrement des données tend à s’imposer comme un outil indispensable de protection de la vie privée. Mais cette technique fait débat, car le secret qu’elle permet sert aussi des desseins criminels. Pour nourrir la réflexion, Délibérée a décidé de consacrer une série d’articles aux questions indissociablement juridiques, politiques et techniques posées par le chiffrement. Premier volet : le regard de l’expert judiciaire en informatique. —
1Depuis l’apparition des réseaux et d’Internet, le nombre des échanges numériques n’a cessé de croître. L’adoption généralisée des smartphones, entraînée par l’offre incessante de nouvelles solutions connectées visant à satisfaire nos besoins et envies (les « apps »), a fait exploser le nombre d’échanges numériques. Les « géants du Web » – au premier rang desquels Facebook, Apple, Google et Amazon – sont ainsi devenus incontournables : télévision connectée, paiements sans contact, magasins d’applications, commerce en ligne, distribution, éducation, jeux, services bancaires…
2La sensibilité des informations utilisées et l’augmentation exponentielle du nombre des consommateurs justifient le développement de politiques de sécurité informatique d’exception. La moindre faille dans les systèmes provoque en effet des désordres irrémédiables et préjudiciables, aussi bien sur un plan personnel (atteintes à la vie privée) que financier (cyberfraudes).
3La cryptologie (étymologiquement, la « science du secret ») se présente ainsi comme une technique indispensable à la construction d’un système d’échanges numériques sécurisé et à la protection des données. Elle est aussi, de fait, un outil à la disposition des auteurs de crimes et de délits pour tenter de se soustraire à l’action de la justice.
Fonctions et techniques de la cryptologie
4La cryptologie inclut la cryptographie, dont l’objet est de coder les messages, et la cryptanalyse, qui vise à les décoder. Elle assure trois fonctions principales : la confidentialité, l’authenticité et l’intégrité.
5Elle sert d’abord à transformer une information lisible en une information non intelligible pour toute personne ne possédant pas la « clé » de lecture. Elle permet également de s’assurer, sur les réseaux, de l’identité des personnes et des services d’échanges ou de transactions – et ce dans les deux sens : elle garantit au prestataire de service que l’utilisateur connecté est bien la personne qu’il prétend être et à l’utilisateur que le service utilisé est authentique. Elle certifie enfin que les informations n’ont pas été modifiées ou altérées durant les échanges numériques (ainsi, en cas de demande de virement entre un client et sa banque, toute personne susceptible d’intercepter cette demande et de la modifier pourrait transmettre de fausses informations à l’organisme bancaire).
6Selon l’usage désiré, les techniques de cryptographie utilisées diffèrent : le hachage, le chiffrement et la signature numérique.
7Le hachage est une fonction qui permet de calculer une signature unique d’un fichier afin d’être comparé pour être authentifié. Il est par exemple utilisé pour comparer le contenu retrouvé dans un smartphone avec celui d’un espace de stockage (cloud).
8Le chiffrement est dit symétrique ou asymétrique. Le premier permet de chiffrer et de déchiffrer un fichier avec une seule clé (ou code). C’est le cas d’un document protégé par un mot de passe. Le second repose sur l’utilisation d’une paire de clés : l’une publique, l’autre privée. Par exemple, lors d’échanges de faux documents entre le faussaire et le commanditaire : le commanditaire, connaissant la clé publique, l’utilise pour chiffrer les documents ; le faussaire utilise quant à lui la clé privée pour accéder aux documents.
9La signature numérique (ou signature électronique) est un mécanisme à double clé (publique et privée) permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur.
Retour d’expertise
10Les officiers de police judiciaire (policiers, gendarmes ou douaniers), les magistrats et les experts qu’ils missionnent sont fréquemment confrontés à la problématique de l’accès à des données cryptées présentes sur divers supports (ordinateurs portables, smartphones, tablettes tactiles…) utilisés par des personnes soupçonnées de se livrer à une activité illicite.
11Les principales difficultés rencontrées concernent aujourd’hui les smartphones. En effet, certains smartphones – ou logiciels et applications associées – mobilisent pleinement les ressources de la cryptologie, au point de gêner, ralentir ou même bloquer les investigations sur ces médias.
12Le fait est que le smartphone a pris une place prépondérante dans la vie numérique et quotidienne des individus. Il vient peu à peu remplacer les ordinateurs dans les tâches de communication, qu’elles soient professionnelles ou privées (mails, SMS, réseaux sociaux, messagerie instantanée…). Mais, bien au-delà, cet outil polyvalent peut contenir toute l’activité privée d’une personne (contacts détaillés, photographies, notes personnelles, géolocalisation, etc.). C’est à ce niveau que les experts en informatique sont le plus souvent confrontés aux défis techniques de la cryptologie.
Les smartphones « préparés »
13Il existe maintenant sur le marché des smartphones visuellement identiques à ceux proposés dans le commerce « grand public », intégrant le cryptage de l’intégralité des données et offrant à l’utilisateur un espace de stockage crypté et éphémère sur des serveurs étrangers. Ces smartphones d’un genre nouveau rendent à ce jour l’accès aux informations très complexe voire impossible. Les sociétés étrangères qui proposent ces nouvelles technologies s’adressent à une clientèle bien particulière, avec un besoin de confidentialité extrême et un pouvoir d’achat important (le prix du matériel et de l’abonnement pouvant s’élever jusqu’à plusieurs milliers d’euros).
14Les paramétrages de tels appareils étant complexes, il arrive que certaines informations n’aient pas été entièrement cryptées. Dans ces rares cas, il est possible de trouver des documents non protégés ayant échappé à la vigilance de l’utilisateur. Ainsi, nous avons déjà retrouvé dans un dossier de trafic international de stupéfiants des notes personnelles indiquant les contacts des revendeurs dans chaque pays. Même si les outils sont de plus en plus performants, la faille humaine est en effet toujours possible…
Le code confidentiel
15Plus largement, le cryptage d’un smartphone passe par un code confidentiel. Celui-ci est défini par l’utilisateur et permet le déverrouillage et le déchiffrage du smartphone, et ainsi l’accès aux données de l’utilisateur.
16Aujourd’hui, il existe des outils et procédures qui permettent, dans la majorité des cas, de contourner ce blocage. Cependant, les dernières mises à jour des systèmes d’exploitation associés aux dernières générations de smartphones rendent plus délicat le déverrouillage sans le code confidentiel de l’utilisateur. En effet, le déblocage du code confidentiel d’un smartphone dépend du modèle, de sa mise à jour (version du système) et de son type de codification (code schéma, code à 6 chiffres, code alphanumérique…). Peu de sociétés et d’experts en informatique proposent des services de décryptage et de récupération de données sur les médias les plus complexes (BlackBerry, iPhone 7…). Cela s’explique par la complexité de la tâche, les coûts importants liés à la cryptanalyse, la durée de l’exploitation et les délais inhérents aux missions d’expertise en matière pénale.
Les applications spécialisées
17Il existe désormais un florilège d’applications ou de logiciels de messagerie en direct cryptées, les plus connues étant Telegram Messenger, WhatsApp et Signal. Ces applications connaissent un essor considérable car elles sont faciles d’utilisation et les données sont quasi irrécupérables. Telegram Messenger revendique ainsi plus de 100 millions d’utilisateurs inscrits, en seulement quatre ans d’existence… D’autres applications utilisent la même technologie de cryptage mais sont plus discrètes et comprennent un nombre volontairement restreint d’utilisateurs. La superposition des couches de cryptage donne une accessibilité et une lisibilité des informations limitées et requiert des techniques d’expertise pointues.
Quid des ordinateurs ?
18Les outils de chiffrement sont désormais intégrés aux nouveaux systèmes d’exploitation des derniers ordinateurs vendus dans le commerce (FileVault pour Apple, Bitlocker pour Windows). Il ne s’agit plus seulement d’une option mais d’un paramétrage activé par défaut lors de la première mise en route de l’ordinateur. Ce cryptage démocratisé ne facilite évidemment pas les investigations « forensiques » sur ces médias.
19Pour autant, ces diverses difficultés ne doivent pas décourager les acteurs de la procédure pénale. La collaboration entre les différents intervenants (enquêteurs, experts, magistrats…), couplée aux solutions de décryptage existantes, permet bien souvent de trouver une issue favorable. Les experts s’efforcent d’être à jour des développements technologiques et, même si le cryptage aura toujours un temps d’avance sur le décryptage, l’expérience enseigne que rien n’est jamais définitivement crypté.
Des États divisés face à l’ambivalence du chiffrement
20En France, les autorités tendent à considérer que le chiffrement des données et des communications est l’un des principaux obstacles à la lutte antiterroriste. Cette idée s’est renforcée face aux attaques terroristes qui frappent notre pays depuis janvier 2015. Les moyens cryptographiques sont ainsi régulièrement pointés du doigt par le ministre de l’Intérieur et par le procureur de la République de Paris [1].
21Cette position ne fait cependant pas l’unanimité en Europe. Si elle semble partagée au Royaume-Uni, où l’Investigatory Powers Act adopté en 2016 donne des pouvoirs accrus aux services de police et de renseignement qui peuvent dans certains cas contraindre au déchiffrement les fournisseurs des moyens de communication [2], d’autres pays européens souhaitent conserver un haut niveau de protection des données : c’est le cas des Pays-Bas, dont l’exécutif estime que le chiffrement doit être considéré comme un droit fondamental [3], ou encore de l’Allemagne, qui n’a pas l’intention de modifier sa politique favorable au chiffrement [4]. La Croatie, l’Italie, la Lettonie, la Pologne et la Hongrie souhaitent quant à elles qu’une législation européenne soit adoptée afin de permettre l’accès de certaines autorités publiques à des informations chiffrées et le partage de telles données entre enquêteurs de différents États [5].
Notes
-
[1]
Cf. notamment l’interview de François Molins sur France Inter le 8 janvier 2016 : https://www.franceinter.fr/emissions/l-invite/l-invite-08-janvier-2016
-
[2]
Étienne Combier, « Royaume-Uni : la reine approuve une loi de surveillance de masse du Web », www.lesechos.fr, 30 novembre 2016
-
[3]
Guillaume Champeau, « Les Pays-Bas plaident pour le droit au chiffrement fort », www.numerama.com, 5 janvier 2016.
-
[4]
Markus Reuter, « Innenminister von Frankreich und Deutschland wollen Aktionsplan gegen Verschlüsselung », www.netzpolitk.org, 12 août 2016.
- [5]