Depuis la sortie de l’iPhone 5S en 2013, qui fut le premier à intégrer un lecteur Touch ID, il est devenu courant pour les utilisateurs de smartphones de débloquer leur téléphone avec une empreinte digitale. Comme les téléphones Apple, de nombreux appareils sous Android proposent la même fonctionnalité, qui provoque aussi le déchiffrement des données contenues dans le téléphone. C’est une manière commode de remplacer les mots de passe.
Mais s’il est difficile d’obliger quelqu’un à révéler un mot de passe sans recourir à la torture — interdite par tous les traités internationaux sur les droits de l’homme, c’est en revanche beaucoup plus facile de contraindre un individu à glisser son doigt sur le capteur. La question se pose donc de savoir s’il est légal pour la police de recourir à de telles méthodes.
Aux États-Unis, le problème apparaît dans une affaire à Los Angeles, relayée par Ars Technica. En tout état de cause, les policiers américains ne peuvent rien faire sans mandat de perquisition. Mais en l’espèce, un juge a donné dans son mandat l’autorisation aux policiers d’obliger toutes les personnes présentes sur les lieux à mettre le doigt sur le lecteur d’empreintes des appareils découverts sur place qui seraient verrouillés par empreinte digitale.
L’intérêt judiciaire de réaliser une telle opération sur place au moment-même de la perquisition est évident. En effet, les systèmes iOS et Android disposent tous les deux d’une mesure de sécurité qui fait qu’un téléphone verrouillé avec un système comme Touch ID demandera un mot de passe s’il n’a pas été débloqué depuis 48 heures. Or dès lors que le téléphone est verrouillé par un mot de passe plutôt qu’une empreinte, il devient impossible d’accéder aux données chiffrées sans réussir à pirater l’appareil, ce qui n’est pas simple (c’est tout le problème de l’affaire du FBI contre Apple, qui est vouée à renaître dans d’autres procédures). En revanche si les policiers peuvent contraindre les suspects à débloquer eux-mêmes le téléphone, physiquement, il devient possible d’accéder au contenu et de désactiver le verrouillage pour les explorations futures.
Mais la légalité du mandat de perquisition, qui ne peut être contestée par les suspects qu’a posteriori, soulève des interrogations. Certains y voient notamment une violation du droit des personnes mises en cause à ne pas fournir d’éléments de leur propre incrimination, ce qui est garanti aussi bien par le droit international que par la Constitution américaine.
La question se pose alors de savoir si l’empreinte digitale doit rester pour la police un simple élément de preuve de l’identité d’un suspect, ce qu’elle a historiquement toujours été depuis la découverte des traces papillaires, ou s’il peut s’agir d’un élément d’authentification qui peut être obtenu sous la contrainte. Si l’empreinte débloque le téléphone, ça ne confirme pas l’identité de la personne dont l’empreinte est scannée. Cela authentifie le fait que la personne est bien le propriétaire ou l’utilisateur du téléphone, et donne le droit d’accéder à son contenu.
Quid en France ?
Le sujet reste à notre connaissance théorique en France, mais il n’est pas exclu que les outils juridiques soient là pour autoriser un déblocage forcé.
En matière de recherche d’empreintes digitales ou de prélèvement de cheveux pour comparaison, l’article 55-1 du code de procédure pénale punit d’un an de prison et 15 000 euros d’amende « le refus, par une personne à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre une infraction, de se soumettre aux opérations de prélèvement ». De même en matière de prélèvements ADN, le code de procédure pénale autorise les policiers à exiger qu’un prélèvement biologique soit effectué sur un suspect, et « le fait de refuser de se soumettre au prélèvement biologique est puni d’un an d’emprisonnement et 30 000 euros d’amende ».
À défaut de loi spécifique, les policiers peuvent aussi exploiter les dispositions anti-chiffrement du code pénal, puisque l’empreinte digitale sert indirectement de clé de déchiffrement (mais techniquement, elle libère l’accès à une clé stockée dans une puce dédiée). L’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, « pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ».
En l’absence de certitudes sur l’attitude légale à adopter, la police judiciaire préfère certainement faire preuve de prudence. Toute preuve obtenue illégalement par un telle méthode risque en effet d’être écartée du procès, ce qui fait s’écrouler tout un dossier comme un château de cartes.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !