Cryptologie : un code de téléphone n’est pas une convention secrète de déchiffrement

L’histoire du chiffrement est une illustration supplémentaire parfaite de ce que l’esprit humain est un terreau d’une particulière fertilité lorsqu’il s’agit de dissimulation. Si les premiers procédés cryptographiques connus, destinés à rendre un texte inintelligible, datent de l’antiquité et permettaient aux Lacédémoniens d’envoyer leurs messagers porteurs de contenu indéchiffrable (v. J.-L. Desvignes, Un aperçu de l’histoire de la Sécurité des systèmes d’information, in J. André (dir.) et P. Mounier-Khum (dir.), Actes du septième Colloque sur l’histoire de l’informatique et des transmissions, Irisa-Inria, Rennes, 2004, p. 270), les disciplines que sont la cryptologie, science du code, et la cryptanalyse, science du brisage de code, n’ont eu de cesse de se perfectionner et de se diversifier. Ainsi, une grande part des informations qui nous entourent, parfois produites par nous-mêmes, sont aujourd’hui chiffrées au moyen de différentes techniques, qu’il s’agisse de données médicales, d’opérations bancaires, de clés de voiture, de cartes de bibliothèque ou bien encore des conversations que l’on échange sur différentes plateformes.

En l’espèce, un individu était interpellé en possession de produits stupéfiants dans son véhicule, de trois téléphones portables et de cinq puces. Lors de sa garde à vue, les enquêteurs lui demandaient de communiquer le code de déverrouillage de l’un de ses téléphones afin de pouvoir en examiner le contenu. Il se saisissait du droit de se taire (C. pr. pén., art. 63-1, 3°) et était renvoyé devant le tribunal correctionnel, entre autres pour avoir refusé de remettre aux autorités judiciaires ou de mettre en œuvre une convention secrète de déchiffrement d’un moyen de cryptologie. Devant les juges du fond, il soulevait une question prioritaire de constitutionnalité (QPC) eu égard au fait que selon lui l’article 434-15-2 du code pénal méconnaîtrait le droit de ne pas contribuer à sa propre incrimination, le droit au silence, et le principe de présomption d’innocence. Si la QPC passait le filtre judiciaire et était transmise au Conseil constitutionnel (Crim. 10 janv. 2018, n° 17-90.019), les Sages de la rue de Montpensier se livraient à une interprétation téléologique du texte (Cons. const. 30 mars 2018, n^o 2018-696 QPC, D. 2018. 723, et les obs. ; AJ pénal 2018. 257, obs. M. Lacaze ; Dalloz IP/IT 2018. 514, obs. M. Quéméner ; Constitutions 2018. 192, Décision ).

Selon eux, la ratio legis de cette incrimination s’attache à la poursuite par le législateur d’une volonté de protéger la prévention des infractions et la recherche de leurs auteurs (§ 7), deux objectifs nécessaires à la sauvegarde de droits et de principes à valeur constitutionnelle. Cette infraction ne méconnaît pas le droit de ne pas contribuer à sa propre incrimination, ni le droit au respect de la vie privée, les droits de la défense, le principe de proportionnalité des peines ou encore la liberté d’expression. La disposition était déclarée conforme à la constitution, mais restait en suspens la question de savoir si un code de téléphone peut être assimilé à une convention secrète de déchiffrement, la réponse apportée par le Conseil sur ce point étant lacunaire, voire absente. Le tribunal correctionnel de Créteil entrait en voie de condamnation sur fondement de l’article 434-15-2 du code pénal, jugement dont il était interjeté appel. D’abord, s’il est exact que l’appelant refusait, au cours de l’enquête, de communiquer le code de déverrouillage de ses téléphones portables, il ne ressortait de la procédure aucun élément tendant à démontrer qu’une réquisition avait été adressée par une autorité judiciaire afin qu’il en communique le code, ce dernier n’ayant opposé son refus qu’à un fonctionnaire de police. L’autorité judiciaire comprenant les magistrats du parquet et ceux du siège (Cons. const. 11 août 1993, n^o 93-326 DC, § 5), les OPJ n’en font pas partie. Quand bien même agiraient-ils par délégation d’une autorité judiciaire, ils ne peuvent directement requérir (AJ pénal 2019. 439, obs. P. de Combles de Nayves ). L’on comprend ainsi que l’infraction prévue à l’article 434-15-2 du code pénal ne saurait être constituée en l’absence de réquisition de l’autorité judiciaire.

Par ailleurs, les juges du second degré examinaient la notion de « moyen de cryptologie » au regard de la définition déjà posée par le législateur à l’article 29 de loi pour la confiance dans l’économie numérique (L. n^o 2004-575 du 21 juin 2004) selon lequel il s’agit de « tout matériel ou logiciel conçu ou modifié pour transformer des données qu’il s’agisse d’informations ou de signaux, à l’aide de convention secrète ou pour réaliser l’opération inverse avec ou sans convention secrète ». Or, ils considéraient qu’en ce qui concerne les téléphones portables d’usage courant, le code de déverrouillage permet d’accéder aux données qu’il contient, et donc à ses messages, mais ne permet en revanche pas de déchiffrer lesdites informations, et qu’il n’est donc pas une convention secrète d’un moyen de cryptologie.

Si les juges d’appel ont entendu qualifier de « téléphone d’usage courant » les terminaux en l’espèce, dont seule la marque est mentionnée mais non le modèle ni les caractéristiques, il est impossible de savoir de quel matériel cette catégorie est précisément constituée, pas plus qu’il n’est possible d’en connaître les critères de rattachement. L’on pourrait alors supposer que la marque du téléphone n’importe pas, mais que les mobiles vendus déjà modifiés par les techniciens de sociétés spécialisées peuvent entrer dans la catégorie des téléphones d’usage non courant. Ainsi pourrait-il en être, par exemple, des mobiles de marques connues dont les fonctionnalités traditionnelles sont remplacées par des solutions dont les données échangées seraient stockées sur des serveurs de pays non coopérants, ou encore de téléphones spécialement conçus à l’origine pour empêcher l’interception de leurs données ou leur l’accès. Le raisonnement serait particulièrement hasardeux, non seulement puisqu’il resterait à distinguer les fonctionnalités courantes, de celles non courantes, ou encore le nombre de fonctionnalités modifiées, le type de modifications, les raisons de ces modifications, et cetera. Ce positionnement serait par ailleurs dénué de toute logique sur un plan technique puisque certaines sociétés traditionnelles utilisent déjà des procédés technologiques dotés d’une capacité de résistance cryptanalytique redoutable pour tout technicien tentant les contourner.

Enfin, considérer qu’un code de téléphone n’est pas une convention secrète de déchiffrement ne relève pas de l’évidence de sorte que ce même code ne saurait être réduit à une fonction d’authentification. À titre illustratif, le guide de sécurité des smartphones d’Apple, que la société a rendu public (v. Apple, iOS Security Guide), nous enseigne qu’à chaque fois qu’un fichier est créé, le système de protection des données crée une nouvelle clé permettant de les chiffrer (ibid., p. 16). Le chapitre consacré aux « Codes de verrouillage » (p.20) indique que, par la configuration d’un code sur l’appareil, l’utilisateur active la protection des données de façon automatique. Outre la fonction de déverrouillage de l’appareil, ce même code a non seulement pour effet de fournir certaines clés de déchiffrement, mais aussi que de sa taille dépend la complexité de la clé. Plus le code sera complexe, plus la clé de chiffrement le sera également (ibid., p.21).

De cette façon, la fonction d’un code de téléphone dépasse le simple déverrouillage et permet bien tant de chiffrer que de déchiffrer des données d’un point de vue technique.