…quand le législateur considère que le code de verrouillage est une clé de chiffrement (graissage de moi)
Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit.
Refuser de donner aux autorités judiciaires la « convention secrète de déchiffrement d’un moyen de cryptologie »
…pourtant, à l'origine (graissage dans la page)
La cour d’appel a considéré que ce code n’était pas une « convention de déchiffrement d’un moyen de cryptologie » car il ne servait pas à décrypter des données, mais uniquement à débloquer un écran d’accueil permettant d’accéder aux données contenues dans l’appareil.
L’avocat général a en outre souligné que, désormais, « l’immense majorité des téléphones portables sur le marché », dont les iPhone, chiffraient automatiquement les données lors du verrouillage du téléphone. « La documentation publiée par Apple montre que les données étaient chiffrées », a-t-il pointé.
Ainsi, pour savoir s’ils ont le droit d’exiger d’un suspect son code de déverrouillage de son téléphone, les policiers n’auront qu’à vérifier si celui-ci chiffre ses données.
Le chiffrement n'est pas également fait par défaut sur les téléphones Android ?
Aux dernières nouvelles, il me semble que tu devais l'activer au moment du setup initial ; à moins que des constructeurs ne l'activent maintenant par défaut ?
Question depuis la Béotie : changer le code de déverrouillage change alors la clé de chiffrement ? ou il n'y a pas de lien ?
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Question depuis la Béotie : changer le code de déverrouillage change alors la clé de chiffrement ? ou il n'y a pas de lien ?
Je n'imagine pas une seconde que changer le code de déverrouillage change la clé de déchiffrement : ça impliquerait de ré-écrire tout le disque la carte mémoire !
Non, je pense que le code de déverrouillage déchiffre le fichier qui contient la clé de chiffrement de la carte mémoire.
Posté par mahikeulbody .
Évalué à 2.
Dernière modification le 07 novembre 2022 à 21:02.
Aux dernières nouvelles, il me semble que tu devais l'activer au moment du setup initial ; à moins que des constructeurs ne l'activent maintenant par défaut ?
Je n'ai pas le souvenir que le setup initial m'ait demandé ça ces dernières années. Donc, ça doit être par défaut et sur le mien je ne peux pas enlever le chiffrement.
C'est embêtant je trouve. J'aime pas les choses faites dans mon dos, même pour mon bien ; et je connais toutes mes clés de chiffrement (ce qui n'est pas le cas avec ce genre d'appareils qui imitent ifone)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Dans le cas présent tu ne connais même pas le passphrase :( (comme dit dans un autre commentaire, c'est généré aléatoirement et mis dans un/une fichier/conf inconnu/e.)
Ou alors on va me dire qu'on fait l'erreur d'utiliser le même pour pour tout ? (en supposant que le code de verrouillage soit aussi le passphrase)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Dans le cas présent tu ne connais même pas le passphrase :( (comme dit dans un autre commentaire, c'est généré aléatoirement et mis dans un/une fichier/conf inconnu/e.)
Ce qui est généré aléatoirement est la clé de chiffrement du téléphone. Elle est mise dans un fichier chiffré dont la clé de chiffrement est communément appelée passphrase. Cette passphrase n'est pas directement le code de déverrouillage car celui-ci peut prendre différentes formes (numérique, texte, graphique, etc…). La passphrase est donc une fonction f du code de déverrouillage. Si on change le code de déverrouillage, l'OS rechiffre le fichier contenant la clé de chiffrement du téléphone avec une nouvelle passphrase = f(code de déverrouillage).
Les deux sont donc forcément liés. Et tu peux connaître la passphrase si tu connais f (i.e. le code correspondant).
NB. La forme affirmative de mes propos ci-dessus ne résulte pas d'une quelconque expertise que je suis loin d'avoir sur ce sujet mais d'un raisonnement qui me semble logique. Autrement dit, je peux avoir tout faux mais dans ce cas merci de me corriger.
Sur mon Android, je connais le passphrase. A l'allumage du téléphone (pas en sortie de veille, je parle bien d'un démarrage), j'ai deux codes à rentrer : mon passphrase pour déchiffrer les données et mon code de déverrouillage du téléphone.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
Question depuis la Béotie : changer le code de déverrouillage change alors la clé de chiffrement ? ou il n'y a pas de lien ?
Typiquement, la clé de chiffrement est une clé AES pour gérer entre le disque et ce qui et fournit à l'utilisateur, et cette clé, petite (256 bits) est stockée elle aussi et protégée par ton mot de passe / code. quand tu changes ton code, c'est cette partie qui est modifiée, pas la clé de chiffrement du disque.
Sur mon Fairphone 3 avec une version récente de LineageOS, le chiffrement est activé par défaut dès l’installation et c’est le même code qui sert au déchiffrement et au déverouillage.
Posté par mahikeulbody .
Évalué à 2.
Dernière modification le 07 novembre 2022 à 21:10.
Ainsi, pour savoir s’ils ont le droit d’exiger d’un suspect son code de déverrouillage de son téléphone, les policiers n’auront qu’à vérifier si celui-ci chiffre ses données.
Oui mais avec une réserve : selon la loi relative au chiffrement, seules les autorités judiciaires peuvent faire cette demande (et seulement si elle est susceptible d'être en lien avec un crime ou un délit ; mais là le "susceptible" laisse une porte ouverte à des abus).
C'est-a-dire, en ce qui concerne la police, un officier de police judiciaire, pas le policier lambda dans la rue. Et pour t'obliger à le suivre au commissariat, il lui faudra un motif un peu plus sérieux que juste son envie personnelle parce que ta tête (ou ta couleur de peau) ne lui revient pas.
Posté par Zenitram (site web personnel) .
Évalué à 3.
Dernière modification le 07 novembre 2022 à 21:20.
on n'est pas sorti de l'auberge…
Pourquoi donc? La court d'appel a merdé, c'est tout, et la court de cassation est constante sur le sujet qu'on lui a soumis.
Et de manière tout à fait logique : avoir le code est le seul moyen d'accéder aux données, et la l'esprit de la loi est d'accéder aux données.
Et une source peut confirmer, alors qu'elle est connue pour être loin d'aimer aider les policiers (d'où la suite qui va vous étonner :-p).
Parce-que, comme je le mentionne, ce n'est pas une clé de chiffrement d'une part et
avoir le code est le seul moyen d'accéder aux données
ils savaient accéder au téléphone sans que tu leur file ton code d'écran d'autre part,
et rien ne dit que ton code de déverrouillage intervienne dans le cryptage de tes données…
Et une source peut confirmer, alors qu'elle est connue pour être loin d'aimer aider les policiers
La source dit que ça l'énerve
(d'où la suite qui va vous étonner :-p).
On n'est pas sorti de l'auberge
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
ils savaient accéder au téléphone sans que tu leur file ton code d'écran.
Comment, s'il est chiffré ?
rien ne dit que ton code de déverrouillage intervienne dans le cryptage de tes données
C'est obligé. Le téléphone est chiffré avec une clé au setup initial. Celle-ci est générée aléatoirement et stockée dans un fichier lui-même chiffré dont la clé est forcément une fonction univoque du code de déverrouillage, non ?
Posté par Zenitram (site web personnel) .
Évalué à 1.
Dernière modification le 08 novembre 2022 à 09:44.
Le téléphone est chiffré avec une clé au setup initial.
En fait ça dépend de la conf constructeur.
- C'est non chiffré : la police met le tél en mode debug et lit, pas un délit
- C'est chiffré : la police ne peut rien faire, délit
La problématique qui fait qu'on peut faire sauter le délit est si la police oublie de vérifier si c'est chiffré ou pas dans son process (elle doit le démontrer, et non le supputer, pas grand chose à voir avec la réponse de "on n'est pas sorti de l'auberge").
Voilà. Ça prend du temps, mais on fait comme si c'est impossible… Bon c'est vrai que quand c'est chiffré elle l'a dans l'os mais là on ne va même plus démontrer que ça l'est mais juste partir du principe que ça l'est, et ça me chiffonne.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Voilà. Ça prend du temps, mais on fait comme si c'est impossible…
Si le "on" fait référence à la Cour de Cassation, tu as tort. Elle ne pouvait se prononcer que par rapport à la loi.
Or la loi ne dit pas qu'on peut demander la clé de déchiffrement seulement si c'est impossible d'y accéder autrement. Elle dit que si c'est chiffré (peu importe la complexité du chiffrement) et que c'est susceptible d'être en rapport avec un crime ou un délit, alors tu dois donner la clé.
On peut être contre cette loi sur le chiffrement (surtout avec le "susceptible de") mais il me paraîtrait absurde d'en faire une qui ne s'appliquerait que si le chiffrement est très difficile à casser.
Je ne parlais pas de la facilité de décryptage mais du temps et des moyens mis en œuvre habituellement pour accéder aux données du téléphone (non chiffré, précisons). On parie quoi que maintenant ce sera toujours « susceptible d'être en rapport avec un crime ou un délit » ?
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
On parie quoi que maintenant ce sera toujours « susceptible d'être en rapport avec un crime ou un délit » ?
Ça n'a rien à voir avec le sujet, cet arrêt ne va rien changer "maintenant". Cette clause existe depuis le début dans la loi (et donc depuis pas mal d'années). Quant à savoir si elle a permis des abus, c'est une autre question.
NB. Avec le "susceptible", c'est une porte ouverte aux abus s'il n'y a pas un contrôle a postériori ; sans le "susceptible", c'est l'impossibilité d'accéder au chiffrement puisqu'on ne peut pas être sûr à l'avance que le contenu chiffré a un rapport avec le crime ou délit soupçonné (ce qui du coup rendrait la loi inutile).
Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.
Du coup, ça devient surtout une question de timing (e.g., combien de temps avant que ça casse), et de coût vu qu'il faut le boitier, donc de la paperasse pour l'opérer, donc les flics doivent pas le faire systématiquement. Et que les dits boitiers sont pas gratuits.
C'est quand même assez souvent des questions de pognon.
Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.
une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).
Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.
C'est quand même assez souvent des questions de pognon.
# on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
…quand le législateur considère que le code de verrouillage est une clé de chiffrement (graissage de moi)
…pourtant, à l'origine (graissage dans la page)
Sinon, j'avais vu https://twitter.com/Courdecassation/status/1577954127992217602?t=2LhL6skveSVBaTXvzEzEZQ&s=19 où les gens vulgaires ont plus de bon sens…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par jtremesay (site web personnel) . Évalué à 4.
(https://www.mediapart.fr/journal/france/071122/donner-le-code-de-deverrouillage-de-son-smartphone-aux-policiers-est-bien-obligatoire)
J'aime pas cette jurisprudence, mais l'argument du législateur est plutôt pertinant.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 2.
J'en doute. Je pense que les données restent toujours chiffrées sur la carte mémoire mais sont chiffrées/déchiffrées à la volée.
Le chiffrement n'est pas également fait par défaut sur les téléphones Android ?
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Aux dernières nouvelles, il me semble que tu devais l'activer au moment du setup initial ; à moins que des constructeurs ne l'activent maintenant par défaut ?
Question depuis la Béotie : changer le code de déverrouillage change alors la clé de chiffrement ? ou il n'y a pas de lien ?
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 4.
Je n'imagine pas une seconde que changer le code de déverrouillage change la clé de déchiffrement : ça impliquerait de ré-écrire tout
le disquela carte mémoire !Non, je pense que le code de déverrouillage déchiffre le fichier qui contient la clé de chiffrement de la carte mémoire.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 2. Dernière modification le 07 novembre 2022 à 21:02.
Je n'ai pas le souvenir que le setup initial m'ait demandé ça ces dernières années. Donc, ça doit être par défaut et sur le mien je ne peux pas enlever le chiffrement.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à -2.
C'est embêtant je trouve. J'aime pas les choses faites dans mon dos, même pour mon bien ; et je connais toutes mes clés de chiffrement (ce qui n'est pas le cas avec ce genre d'appareils qui imitent ifone)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par claudex . Évalué à 5.
Tu connais vraiment ta clef de chiffrement luks ? Perso, je ne connais que la passphrase.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
Dans le cas présent tu ne connais même pas le passphrase :( (comme dit dans un autre commentaire, c'est généré aléatoirement et mis dans un/une fichier/conf inconnu/e.)
Ou alors on va me dire qu'on fait l'erreur d'utiliser le même pour pour tout ? (en supposant que le code de verrouillage soit aussi le passphrase)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 3.
Ce qui est généré aléatoirement est la clé de chiffrement du téléphone. Elle est mise dans un fichier chiffré dont la clé de chiffrement est communément appelée passphrase. Cette passphrase n'est pas directement le code de déverrouillage car celui-ci peut prendre différentes formes (numérique, texte, graphique, etc…). La passphrase est donc une fonction f du code de déverrouillage. Si on change le code de déverrouillage, l'OS rechiffre le fichier contenant la clé de chiffrement du téléphone avec une nouvelle passphrase = f(code de déverrouillage).
Les deux sont donc forcément liés. Et tu peux connaître la passphrase si tu connais f (i.e. le code correspondant).
NB. La forme affirmative de mes propos ci-dessus ne résulte pas d'une quelconque expertise que je suis loin d'avoir sur ce sujet mais d'un raisonnement qui me semble logique. Autrement dit, je peux avoir tout faux mais dans ce cas merci de me corriger.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Nibel . Évalué à 2.
Sur mon Android, je connais le passphrase. A l'allumage du téléphone (pas en sortie de veille, je parle bien d'un démarrage), j'ai deux codes à rentrer : mon passphrase pour déchiffrer les données et mon code de déverrouillage du téléphone.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Je trouve que c'est bien mieux que chez mahikeulbody
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par octane . Évalué à 3.
c'est pas un truc du genre:
dmsetup table --showkey myvolume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par claudex . Évalué à 3.
Je n'ai pas dit que je ne pouvais pas la voir, mais que je ne la connaissais pas.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Clé
Posté par Zenitram (site web personnel) . Évalué à 2.
Typiquement, la clé de chiffrement est une clé AES pour gérer entre le disque et ce qui et fournit à l'utilisateur, et cette clé, petite (256 bits) est stockée elle aussi et protégée par ton mot de passe / code. quand tu changes ton code, c'est cette partie qui est modifiée, pas la clé de chiffrement du disque.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par jtremesay (site web personnel) . Évalué à 2.
Sur mon Fairphone 3 avec une version récente de LineageOS, le chiffrement est activé par défaut dès l’installation et c’est le même code qui sert au déchiffrement et au déverouillage.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 2. Dernière modification le 07 novembre 2022 à 21:10.
Oui mais avec une réserve : selon la loi relative au chiffrement, seules les autorités judiciaires peuvent faire cette demande (et seulement si elle est susceptible d'être en lien avec un crime ou un délit ; mais là le "susceptible" laisse une porte ouverte à des abus).
C'est-a-dire, en ce qui concerne la police, un officier de police judiciaire, pas le policier lambda dans la rue. Et pour t'obliger à le suivre au commissariat, il lui faudra un motif un peu plus sérieux que juste son envie personnelle parce que ta tête (ou ta couleur de peau) ne lui revient pas.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
En pratique c'est juste la porte ouverte pour que ça parte en vrille, mais on peut se voiler la face.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 07 novembre 2022 à 21:20.
Pourquoi donc? La court d'appel a merdé, c'est tout, et la court de cassation est constante sur le sujet qu'on lui a soumis.
Et de manière tout à fait logique : avoir le code est le seul moyen d'accéder aux données, et la l'esprit de la loi est d'accéder aux données.
Et une source peut confirmer, alors qu'elle est connue pour être loin d'aimer aider les policiers (d'où la suite qui va vous étonner :-p).
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 0.
Parce-que, comme je le mentionne, ce n'est pas une clé de chiffrement d'une part et
ils savaient accéder au téléphone sans que tu leur file ton code d'écran d'autre part,
et rien ne dit que ton code de déverrouillage intervienne dans le cryptage de tes données…
La source dit que ça l'énerve
On n'est pas sorti de l'auberge
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 2.
Comment, s'il est chiffré ?
C'est obligé. Le téléphone est chiffré avec une clé au setup initial. Celle-ci est générée aléatoirement et stockée dans un fichier lui-même chiffré dont la clé est forcément une fonction univoque du code de déverrouillage, non ?
Tu vois une échappatoire ?
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 08 novembre 2022 à 09:44.
En fait ça dépend de la conf constructeur.
- C'est non chiffré : la police met le tél en mode debug et lit, pas un délit
- C'est chiffré : la police ne peut rien faire, délit
La problématique qui fait qu'on peut faire sauter le délit est si la police oublie de vérifier si c'est chiffré ou pas dans son process (elle doit le démontrer, et non le supputer, pas grand chose à voir avec la réponse de "on n'est pas sorti de l'auberge").
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
Voilà. Ça prend du temps, mais on fait comme si c'est impossible… Bon c'est vrai que quand c'est chiffré elle l'a dans l'os mais là on ne va même plus démontrer que ça l'est mais juste partir du principe que ça l'est, et ça me chiffonne.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 3.
Si le "on" fait référence à la Cour de Cassation, tu as tort. Elle ne pouvait se prononcer que par rapport à la loi.
Or la loi ne dit pas qu'on peut demander la clé de déchiffrement seulement si c'est impossible d'y accéder autrement. Elle dit que si c'est chiffré (peu importe la complexité du chiffrement) et que c'est susceptible d'être en rapport avec un crime ou un délit, alors tu dois donner la clé.
On peut être contre cette loi sur le chiffrement (surtout avec le "susceptible de") mais il me paraîtrait absurde d'en faire une qui ne s'appliquerait que si le chiffrement est très difficile à casser.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Je ne parlais pas de la facilité de décryptage mais du temps et des moyens mis en œuvre habituellement pour accéder aux données du téléphone (non chiffré, précisons). On parie quoi que maintenant ce sera toujours « susceptible d'être en rapport avec un crime ou un délit » ?
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: on n'est pas sorti de l'auberge…
Posté par sebas . Évalué à 3.
Toi, t'aimes bien gagner de l'argent facile, hein ? ;-)
[^] # Re: on n'est pas sorti de l'auberge…
Posté par mahikeulbody . Évalué à 2.
Ça n'a rien à voir avec le sujet, cet arrêt ne va rien changer "maintenant". Cette clause existe depuis le début dans la loi (et donc depuis pas mal d'années). Quant à savoir si elle a permis des abus, c'est une autre question.
NB. Avec le "susceptible", c'est une porte ouverte aux abus s'il n'y a pas un contrôle a postériori ; sans le "susceptible", c'est l'impossibilité d'accéder au chiffrement puisqu'on ne peut pas être sûr à l'avance que le contenu chiffré a un rapport avec le crime ou délit soupçonné (ce qui du coup rendrait la loi inutile).
[^] # Re: on n'est pas sorti de l'auberge…
Posté par Misc (site web personnel) . Évalué à 4.
Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.
Du coup, ça devient surtout une question de timing (e.g., combien de temps avant que ça casse), et de coût vu qu'il faut le boitier, donc de la paperasse pour l'opérer, donc les flics doivent pas le faire systématiquement. Et que les dits boitiers sont pas gratuits.
C'est quand même assez souvent des questions de pognon.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par octane . Évalué à 3.
une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).
Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.
exactement
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.