Un apprenti terroriste poursuit HP pour la qualité de cryptage de ses disques.

On pourrait penser à un simple gag, et ça pourraît prêter à sourrire, mais il s’agit bien d’une affaire réelle. Un apprenti terroriste interpellé en 2004 aux USA par le FBI attaque le célèbre fabriquant HP pour publicité mensongère. L’auteur des faits avait crypté ses données et HP aurait donné une « back door » au FBI pour qu’ils y accèdent, alors que le fabriquant d’ordinateurs déclarait son système « drivelock » inviolable.

Une enquête opérée par le Fédéral Bureau Investigations en 2004 conduit à l’interpêllation d’un invididu pour des faits de fabrication d’engins explosifs. Micheal Crooker est donc condamné par un tribunal américain à de la prison ferme.

L’analyse de son ordinateur saisi à l’époque des faits avait permis la découverte d’éléments matériels pouvant permettre de confirmer la culpabilité du sieur Crooker. Il pensait peut être que les enquêteurs spécialisés du F.B.I ne pourraît peut être pas analyser les données de son ordinateur Compaq équipé d’un système de cryptage réputé à l’époque inviolable.

Cependant les enquêteurs du FBI devant ce problème de cryptage de données ont obtenu de la part de la société Hewlett Packard l’obtention d’une back door permettant de décrypter les données.

Micheal Crooker, vient d’entamer une procédure judiciaire contre Hewlett Packard pour publicité mensongère car le système « drivelock » n’est pas si inviolable que ça, alors que le fabricant d’ordinateur s’appuyait sur cette caractéristique pour vendre ses matériels informatiques.

D’après les autorités américaines : « Les fichiers trouvés sur son portable pouvaient parfaitement constituer des éléments de condamnation, ce n’est pas sur ces éléments qu’lle a déclaré Crooker coupable ».

Cette procédure risque de porter atteinte à la société Hewlett Packard ainsi qu’à toutes les sociétés proposant ce type de dispositif. Mais qu’en est il en France ?

En france, quelle est la législation applicable pour ce type de fait :

Article 434-15-2 du Code Pénal :

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

Comment la procédure de décryptage est réalisée en vertu de quels textes ?

Code de Procédure Pénale :

Chapitre unique : De la mise au clair des données chiffrées nécessaires à la manifestation de la vérité

Article 230-1

Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire. Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l’agrément du procureur de la République ou de la juridiction saisie de l’affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l’article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au premier alinéa de l’article 160. Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les nécessités de l’enquête ou de l’instruction l’exigent, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut prescrire le recours aux moyens de l’Etat soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Article 230-2

Lorsque le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire décident d’avoir recours, pour les opérations mentionnées à l’article 230-1, aux moyens de l’Etat couverts par le secret de la défense nationale, la réquisition écrite doit être adressée au service national de police judiciaire chargé de la lutte contre la criminalité liée aux technologies de l’information, avec le support physique contenant les données à mettre au clair ou une copie de celui-ci. Cette réquisition fixe le délai dans lequel les opérations de mise au clair doivent être réalisées. Le délai peut être prorogé dans les mêmes conditions de forme. A tout moment, l’autorité judiciaire requérante peut ordonner l’interruption des opérations prescrites. Le service de police judiciaire auquel la réquisition a été adressée transmet sans délai cette dernière ainsi que, le cas échéant, les ordres d’interruption, à un organisme technique soumis au secret de la défense nationale, et désigné par décret. Les données protégées au titre du secret de la défense nationale ne peuvent être communiquées que dans les conditions prévues par la loi nº 98-567 du 8 juillet 1998 instituant une Commission consultative du secret de la défense nationale.

Article 230-3

Dès l’achèvement des opérations ou dès qu’il apparaît que ces opérations sont techniquement impossibles ou à l’expiration du délai prescrit ou à la réception de l’ordre d’interruption émanant de l’autorité judiciaire, les résultats obtenus et les pièces reçues sont retournés par le responsable de l’organisme technique au service de police judiciaire qui lui a transmis la réquisition. Sous réserve des obligations découlant du secret de la défense nationale, les résultats sont accompagnés des indications techniques utiles à la compréhension et à leur exploitation ainsi que d’une attestation visée par le responsable de l’organisme technique certifiant la sincérité des résultats transmis. Ces pièces sont immédiatement remises à l’autorité judiciaire par le service national de police judiciaire chargé de la lutte contre la criminalité liée aux technologies de l’information. Les éléments ainsi obtenus font l’objet d’un procès-verbal de réception et sont versés au dossier de la procédure.

Article 230-4

Les décisions judiciaires prises en application du présent chapitre n’ont pas de caractère juridictionnel et ne sont susceptibles d’aucun recours.[b]

Article 230-5

Sans préjudice des obligations découlant du secret de la défense nationale, les agents requis en application des dispositions du présent chapitre sont tenus d’apporter leur concours à la justice.

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.