1 points par GN⁺ 2023-12-16 | 2 commentaires | Partager sur WhatsApp
  • La Cour suprême de l’Utah a jugé à l’unanimité qu’un suspect dans une affaire pénale peut refuser la demande de communiquer oralement le mot de passe de son téléphone en invoquant le droit de ne pas s’auto-incriminer garanti par le cinquième amendement de la Constitution américaine
  • L’affaire a commencé après l’arrestation d’Alfonso Valdez pour enlèvement et agression, lorsque la police, bien qu’ayant obtenu un mandat de perquisition, n’est pas parvenue à déverrouiller le téléphone
  • Le parquet a utilisé contre Valdez, au procès, son refus de fournir son mot de passe ainsi que l’absence de preuves issues du téléphone, et le jury l’a déclaré coupable
  • La cour d’appel puis la Cour suprême de l’Utah ont estimé que la communication orale du mot de passe constituait une communication testimoniale, et que la manière dont le parquet avait évoqué ce refus entrait en conflit avec les droits garantis par le cinquième amendement
  • Comme la jurisprudence des juridictions inférieures diverge sur le déverrouillage des téléphones et le déchiffrement forcé, le professeur Orin Kerr de Berkeley Law estime que l’affaire pourrait conduire à un examen par la Cour suprême des États-Unis

La décision Valdez de la Cour suprême de l’Utah

  • Dans l’arrêt State v. Valdez, la Cour suprême de l’Utah a jugé qu’un suspect dans une affaire pénale pouvait refuser de répondre à une demande de la police lui enjoignant de dire le mot de passe de son téléphone
  • La question centrale était de savoir si le fait de fournir oralement le mot de passe d’un téléphone constituait une communication testimoniale protégée par le droit de ne pas s’auto-incriminer du cinquième amendement de la Constitution américaine
  • La Cour a distingué l’affaire Valdez des affaires dans lesquelles un suspect reçoit l’ordre de déverrouiller lui-même un appareil : ici, la police demandait qu’on lui communique verbalement le mot de passe lui-même
  • La Cour suprême de l’Utah a confirmé l’analyse de la cour d’appel selon laquelle la communication orale du mot de passe relevait bien du testimonial communication au sens du cinquième amendement

Déroulement de l’affaire et usage au procès

  • Alfonso Valdez a été arrêté pour l’enlèvement et l’agression de son ex-petite amie
  • La police avait obtenu un mandat de perquisition portant sur le contenu du téléphone de Valdez, mais n’a pas réussi à en contourner le mot de passe
  • Lorsque Valdez a refusé de fournir son mot de passe à un inspecteur, l’État a utilisé ce refus comme élément à charge au procès
    • en faisant témoigner l’inspecteur sur le fait que Valdez avait refusé de fournir le mot de passe
    • en soutenant, dans ses dernières observations en réplique, que ce refus et l’absence de preuves issues du téléphone affaiblissaient la crédibilité de l’un des arguments de défense de Valdez
  • Le jury a déclaré Valdez coupable
  • La cour d’appel a jugé que Valdez disposait, au titre du cinquième amendement, du droit de refuser de fournir son mot de passe, et que l’État avait violé ce droit en exploitant ce refus contre lui au procès
  • La Cour suprême de l’Utah a confirmé cette décision de la cour d’appel

Différence juridique entre fournir un mot de passe et déverrouiller un appareil

  • Les mots de passe et le chiffrement des appareils électroniques soulèvent des questions majeures à l’intersection entre les tentatives d’accès des forces de l’ordre et les droits garantis par le cinquième amendement
  • Au cœur de l’affaire Valdez ne se trouvait pas l’acte, pour l’utilisateur, de déverrouiller lui-même l’appareil, mais l’exigence de dire le mot de passe
  • La Cour a estimé que transmettre le mot de passe à la police et remettre physiquement un téléphone déjà déverrouillé pouvaient être fonctionnellement similaires, mais que cette équivalence fonctionnelle n’était pas déterminante dans l’état actuel de la jurisprudence relative au cinquième amendement
  • Elle a considéré que le cadre d’analyse de l’act-of-production n’était adapté que lorsque les forces de l’ordre contraignent quelqu’un à accomplir un acte permettant de déverrouiller un appareil électronique
  • Le déverrouillage biométrique par empreinte digitale ou reconnaissance faciale a aussi été évoqué, mais la communication orale d’un mot de passe et le déverrouillage biométrique ont été traités comme des questions distinctes au regard du cinquième amendement

L’exception de la « conclusion acquise d’avance » ne s’applique pas

  • L’État a soutenu que, même si la communication du mot de passe était testimoniale, la seule information nouvelle transmise dans cette affaire était le fait que Valdez connaissait le mot de passe du téléphone
  • Comme la police savait déjà que le téléphone appartenait à Valdez et que celui-ci connaissait probablement son propre mot de passe, l’État estimait que l’exception de foregone conclusion s’appliquait
  • La Cour suprême de l’Utah n’a pas retenu cet argument
    • fournir oralement le mot de passe d’un téléphone relève du témoignage oral au sens classique
    • l’exception de foregone conclusion a été discutée dans des affaires d’act-of-production, où il s’agit de déterminer si l’acte de produire une preuve transmet implicitement des informations
    • la Cour suprême des États-Unis n’a jamais étendu cette exception jusqu’aux déclarations de témoignage oral, et la Cour suprême de l’Utah n’a vu aucune raison de le faire
  • Dans l’affaire Valdez, la communication du mot de passe consistait en une communication verbale transmettant explicitement une information présente dans l’esprit, de sorte que cette exception ne s’appliquait pas

Les mentions faites par le parquet au procès sont elles aussi limitées

  • La Cour suprême de l’Utah a examiné si le fait, pour l’État, de mentionner au procès le refus de Valdez de fournir son mot de passe constituait un commentaire inadmissible sur l’exercice de son droit au silence
  • L’État soutenait que, puisque Valdez avait lui-même fait du contenu du téléphone un enjeu du procès, les remarques du parquet constituaient une réponse équitable
  • La Cour a également rejeté cet argument
    • l’État avait déjà fait déposer des témoignages sur les SMS et sur le refus de fournir le mot de passe avant même que Valdez ne présente en preuve le contenu des SMS de son téléphone
    • il ne s’agissait donc pas d’une situation où Valdez utilisait à la fois son silence passé comme « épée » et comme « bouclier »
  • La Cour suprême de l’Utah a estimé que la façon dont le parquet avait utilisé contre Valdez son refus de fournir le mot de passe entrait en conflit avec les droits garantis par le cinquième amendement

Possibilité d’un examen par la Cour suprême fédérale

  • Dans une analyse, le professeur Orin Kerr de Berkeley Law estime que la manière dont le cinquième amendement s’applique au déverrouillage des téléphones constitue une question majeure du droit des enquêtes sur les preuves numériques
  • Selon Kerr, la jurisprudence des juridictions inférieures est dans un état de « total mess », et une affaire candidate à un examen par la Cour suprême des États-Unis est nécessaire pour clarifier le droit
  • L’affaire Valdez pourrait devenir une candidate à cet examen en raison des divergences entre cours suprêmes d’États
    • la décision de la Cour suprême de l’Utah est proche de celle de la Cour suprême de Pennsylvanie
    • elle entre en conflit avec celle de la Cour suprême du New Jersey
  • Kerr estime aussi que le fait que Valdez fasse déjà l’objet d’une décision définitive augmente la probabilité d’un examen par la Cour suprême fédérale
  • Cela dit, Valdez concerne la divulgation forcée du mot de passe, et non une affaire de déverrouillage forcé dans laquelle l’utilisateur serait contraint de déverrouiller lui-même l’appareil
  • Même si la Cour suprême des États-Unis se saisissait de Valdez, elle pourrait ne trancher que la question de la divulgation du mot de passe, en laissant celle du déverrouillage forcé à une affaire ultérieure

2 commentaires

 
ndrgrd 2023-12-16

S’ils ont obtenu un mandat, ils devraient pouvoir le faire, non ? Dans ce cas, à quoi sert vraiment le mandat ?

 
GN⁺ 2023-12-16
Avis sur Hacker News
  • Je me demande s’il y a déjà eu des procès portant sur des données chiffrées ou des codes secrets sans intervention d’un ordinateur
    Si la police a obtenu un mandat pour mettre une ligne téléphonique sur écoute, et que moi et un complice parlons en code comme des espions ou des criminels à la télé, pourrait-on me forcer à expliquer ce que signifient réellement ces mots de code ?

    • En général, on ne peut pas être forcé à faire des déclarations qui nous incriminent, donc j’aurais tendance à dire non. C’est la fameuse question du droit au silence
      https://en.wikipedia.org/wiki/Right_to_silence
      C’est aussi sur ce droit que reposait ce procès, et le fait même qu’il ait fallu en débattre est inquiétant
      La question est : « L’un des grands enjeux des enquêtes sur les preuves numériques est de savoir comment le privilège du cinquième amendement contre l’auto-incrimination s’applique au déverrouillage d’un téléphone »
    • La cryptographie est plus ancienne que l’informatique, donc la vraie question est seulement de savoir si cela apparaît dans des archives judiciaires publiques
      Il doit y avoir pas mal d’antécédents dans les affaires de trahison impliquant des espions capturés, mais savoir si ces archives sont publiques est une autre question
      https://en.wikipedia.org/wiki/Book_cipher
      https://en.wikipedia.org/wiki/Codebook
      https://en.wikipedia.org/wiki/Poem_code
    • Je ne connais pas de jurisprudence, mais la censure en temps de guerre a parfois empêché les transmissions chiffrées suspectes, y compris aux États-Unis
    • La police ferait probablement témoigner quelqu’un en disant : « D’après ma formation et mon expérience, dire “je vais à la piscine” est un code qui signifie tueur à gages »
    • Refuser de fournir un mot de passe peut aussi vous envoyer en prison. C’est déjà arrivé en 2014
      Le Daily Mail avait rapporté qu’un homme de 22 ans avait écopé de 6 mois de prison pour avoir refusé de fournir le mot de passe d’un disque dur chiffré. Il a été emprisonné au titre d’une disposition du RIPA, une loi britannique initialement portée par des mesures antiterroristes mais désormais étendue à divers domaines pénaux, ce qui inquiète les défenseurs des libertés civiles
      Christopher Wilson était soupçonné d’avoir tenté de pénétrer sur le site d’un organisme chargé de l’application de la loi et d’avoir « trollé » la police de Newcastle avec un canular téléphonique, mais la raison directe de son emprisonnement n’était pas ces soupçons : c’était le refus de remettre le mot de passe
  • J’ai lu l’article et le billet de blog sur reason.com, et ça me semble encore trop fragile pour espérer qu’une décision définitive vienne de la Cour suprême fédérale
    Dans l’affaire d’origine, l’accusation soutenait que le refus du prévenu de coopérer au déverrouillage du téléphone constituait une preuve de culpabilité. Dans ce cas, la décision de la Cour suprême fédérale ne porterait-elle pas plutôt sur la possibilité pour le procureur de présenter cet argument comme élément de preuve ? Cela semble assez différent du droit lui-même de refuser de déverrouiller son téléphone
    C’est un peu comme si l’accusation disait : « Il avait une arme, donc il est forcément coupable ! », puis que l’affaire remontait jusqu’à la Cour suprême fédérale avec l’espoir qu’elle tranche la légalité du deuxième amendement
    https://reason.com/volokh/2023/12/14/is-compelled-decryption...

    • Pour moi, cela ressemble très clairement à une question de quatrième amendement. S’il existe un soupçon raisonnable, c’est un autre sujet, mais les perquisitions arbitraires ne devraient pas être permises
  • J’imagine un système d’authentification qui ne se contente pas de demander un mot de passe, mais qui vérifie aussi si le demandeur est bien la personne concernée et si l’accès est demandé librement, sans contrainte
    Dans une version primitive, il pourrait exiger une authentification par mot de passe principal toutes les 12 heures, et si ce mot de passe principal n’a pas été utilisé pendant ce délai, il deviendrait possible de déverrouiller avec un mot de passe secondaire non mémorisé. Ce mot de passe secondaire serait conservé dans un endroit auquel seule la personne a accès, et dont elle ne peut le récupérer qu’en étant totalement libre de ses mouvements

    • Il faudrait donc aller récupérer un mot de passe non mémorisé toutes les 12 heures, ce qui semble extrêmement peu pratique
      Et de toute façon, un tyran vous braquerait simplement une arme sur la tête pour vous ordonner d’aller chercher ce deuxième mot de passe
  • Heureusement qu’il existe un droit constitutionnel
    Dans beaucoup de pays, un suspect n’a pas le droit de refuser de révéler un code, et il peut aller en prison s’il refuse
    Je considère ce genre de loi comme dangereux, parce qu’il peut servir à une attaque particulièrement perverse : glisser un téléphone chiffré dans le sac de quelqu’un et faire en sorte qu’il soit arrêté pour n’importe quel motif abusif
    Si cette personne est incapable de fournir le code, elle devient automatiquement coupable

    • Ce n’est pas une question de chance, ce droit a été obtenu de haute lutte. Et ce combat n’est pas fini, il ne le sera jamais
    • À ce niveau-là, il serait plus simple de glisser de la cocaïne ou une arme à feu non enregistrée dans le sac, et ce serait aussi plus facile à plaider au tribunal
  • Je me suis toujours demandé ce qui se passerait si le code de déverrouillage changeait de profil et chiffrait un autre profil

    • En général, ne pas coopérer avec la police constitue une catégorie d’infraction, mais mentir à la police — ce à quoi ce comportement risquerait d’être assimilé s’il était découvert — relève d’un tout autre niveau de gravité
      En règle générale, si vous avez une idée « maligne » dans une interaction avec la police, c’est probablement une mauvaise idée
    • Ce serait une forme de dénégation plausible, même si le terme peut avoir des sens assez différents selon le contexte
      Certains portefeuilles matériels de cryptomonnaies proposent effectivement ce type de fonction. Le réglage est optionnel, mais un PIN peut ouvrir le vrai portefeuille et un autre ouvrir un portefeuille-leurre contenant seulement quelques coins
      PS : je suppose que quelqu’un va probablement mentionner l’attaque à la clé à molette de 5 $
    • J’y ai aussi pensé, mais j’y vois deux problèmes. Que faire des notifications sur l’écran de verrouillage, et comment les gérer de façon crédible dans le faux/deuxième profil ?
      Et est-ce que cela pourrait être considéré comme une volonté délibérée d’induire en erreur ou de dissimuler des preuves ?
    • Tant qu’on ne se fait pas prendre
      Si je me souviens bien, c’était l’un des rares cas où, dans un procès pénal, on pouvait demander au jury de tirer une inférence défavorable. Mais je ne suis pas juriste
  • Attention : cette décision ne s’applique qu’aux personnes se trouvant dans l’Utah. Les autres États américains ont une jurisprudence différente. Il faut attendre une décision de la Cour suprême fédérale des États-Unis pour qu’elle ait un effet national.
    Pour l’instant, il ne faut pas utiliser la biométrie. Elle peut être imposée légalement. Il ne faut pas non plus utiliser un code numérique ; il faut utiliser un mot de passe alphanumérique.

    • Au moins sur iPhone, on peut forcer la demande du mot de passe en maintenant le bouton latéral et un bouton de volume pendant 3 secondes.
      Même si l’écran d’extinction / SOS d’urgence s’affiche, il suffit de l’ignorer ou d’appuyer sur annuler. Quand cet écran apparaît, Face ID / Touch ID est déjà temporairement désactivé. L’iPhone confirme aussi par vibration, donc on peut le faire même dans une poche ou un sac.
      Bien sûr, cela n’aide pas si on vous le prend avec une méthode sophistiquée à la Ross Ulbricht, mais c’est utile dans une situation où vous pouvez voir l’autre personne s’approcher. Ce sera probablement le cas le plus fréquent.
    • Il y a un bon récapitulatif ici : https://reason.com/volokh/2023/12/14/is-compelled-decryption...
      L’auteur pense que cette affaire pourrait aller jusqu’à la SCOTUS.
    • La désactivation de la biométrie peut se faire très rapidement, et évite aussi d’avoir à saisir le mot de passe d’une manière observable.
    • Même si cela devenait une règle fédérale, je pense que cela ne s’appliquerait pas à l’intérieur des aéroports. Et de toute façon, la majeure partie du monde n’est pas les États-Unis.
    • Pourquoi ne faut-il pas de code numérique ?
  • Au Royaume-Uni, si on vous le demande, vous devez remettre votre mot de passe.

    • Pas simplement « si on vous le demande », mais lorsqu’un ordre au titre de la Section 49 du RIP Act est émis, sous certaines conditions. Refuser ne signifie pas automatiquement une incarcération immédiate ; la police doit demander au tribunal son exécution, et l’intéressé a aussi la possibilité de se défendre.
      Ce site de cabinet d’avocats en donne un bon résumé : https://www.reeds.co.uk/insight/section-49-ripa-2000-trendin...
      C’est important parce que la police britannique présente souvent ces pouvoirs comme plus étendus qu’ils ne le sont réellement afin de pousser les gens à remettre volontairement leurs codes de déverrouillage et mots de passe. En l’absence d’une notification S49, ce n’est qu’une demande, et vous avez le droit de refuser en disant « non merci ». Même si une notification est émise, vous pouvez demander à la contester devant le tribunal.
    • C’est similaire dans plusieurs États australiens. Si je me souviens bien, ne pas le faire peut valoir jusqu’à 10 ans de prison.
  • Soit j’ai raté quelque chose, soit le titre et la plupart des discussions sur HN passent à côté de l’essentiel de cette décision. Elle ne porte pas sur l’existence d’un droit de refuser de fournir son code. Bien sûr qu’un tel droit existe.
    La vraie question est plutôt de savoir si le refus de fournir le code peut être utilisé au procès comme élément à charge suggérant la culpabilité.

    A court of appeals reversed the conviction, agreeing "with Valdez that he had a right under the Fifth Amendment to the United States Constitution to refuse to provide his passcode, and that the State violated that right when it used his refusal against him at trial." The Utah Supreme Court affirmed the court of appeals ruling.
    Cela me semble être une question bien plus nuancée.

    • Du point de vue du Cinquième Amendement, les deux questions semblent identiques. Le droit de garder le silence signifie qu’un refus — de répondre à des questions, de se soumettre à un entretien, etc. — ne peut pas être présenté comme preuve de culpabilité.
    • Ce n’est pas « bien sûr ». Sans la protection du Cinquième Amendement, on peut être contraint de fournir son mot de passe. L’affaire du New Jersey mentionnée dans l’article porte précisément là-dessus.
      [https://law.justia.com/cases/new-jersey/supreme-court/2020/a...]
    • Je suis d’accord avec cette analyse, mais je ne pense pas qu’il existe une jurisprudence établie selon laquelle on ne peut pas contraindre quelqu’un à fournir son mot de passe et que son refus est protégé par le Cinquième Amendement.
      Des personnes ont été emprisonnées pour outrage au tribunal pour avoir refusé de fournir leur mot de passe, y compris avant même d’être jugées pour une quelconque infraction.
    • Ce sont deux questions distinctes. Le Cinquième Amendement couvre les deux, et les tribunaux traitent les deux. Le fait que le silence ne soit pas une preuve de culpabilité est une extension naturelle et nécessaire du droit de garder le silence.
  • Il faut éviter les téléphones qui affichent brièvement à l’écran les caractères du mot de passe en clair pendant la saisie, car ils peuvent être enregistrés et rejoués par des caméras vidéo à proximité.

  • Est-ce que cela ne s’applique qu’aux téléphones ? Si oui, alors si cela ne s’applique pas aussi aux autres supports et appareils électroniques, c’est probablement parce que les téléphones sont déjà compromis et comportent une porte dérobée.
    Par ailleurs, il me semble avoir lu que les contrôles frontaliers peuvent aussi s’exercer à l’intérieur du pays dans un certain périmètre autour de la frontière, et à ma connaissance ils peuvent exiger la remise du mot de passe.

    • Aux États-Unis, c’est 100 miles, et les deux tiers de la population américaine vivent dans cette zone.
      https://www.aclu.org/know-your-rights/border-zone
    • Vous pouvez refuser, et ils ne peuvent pas vous y contraindre. Ils peuvent prendre le téléphone et tenter une intrusion, ou faire une image du stockage interne, mais ils n’ont pas le droit de vous détenir simplement parce que vous refusez de déverrouiller votre téléphone.
      En revanche, si vous n’êtes pas citoyen américain et que vous essayez d’entrer sur le territoire, ils peuvent se servir de ce refus comme motif pour vous refuser l’entrée. C’est lamentable, mais c’est comme ça.
    • Il suffit de lire l’article, pas besoin d’inventer une raison. L’article explique pourquoi.