La Cour suprême de l’Utah : « Un suspect peut refuser de fournir le mot de passe de son téléphone à la police »
(arstechnica.com)- La Cour suprême de l’Utah a jugé à l’unanimité qu’un suspect dans une affaire pénale peut refuser la demande de communiquer oralement le mot de passe de son téléphone en invoquant le droit de ne pas s’auto-incriminer garanti par le cinquième amendement de la Constitution américaine
- L’affaire a commencé après l’arrestation d’Alfonso Valdez pour enlèvement et agression, lorsque la police, bien qu’ayant obtenu un mandat de perquisition, n’est pas parvenue à déverrouiller le téléphone
- Le parquet a utilisé contre Valdez, au procès, son refus de fournir son mot de passe ainsi que l’absence de preuves issues du téléphone, et le jury l’a déclaré coupable
- La cour d’appel puis la Cour suprême de l’Utah ont estimé que la communication orale du mot de passe constituait une communication testimoniale, et que la manière dont le parquet avait évoqué ce refus entrait en conflit avec les droits garantis par le cinquième amendement
- Comme la jurisprudence des juridictions inférieures diverge sur le déverrouillage des téléphones et le déchiffrement forcé, le professeur Orin Kerr de Berkeley Law estime que l’affaire pourrait conduire à un examen par la Cour suprême des États-Unis
La décision Valdez de la Cour suprême de l’Utah
- Dans l’arrêt State v. Valdez, la Cour suprême de l’Utah a jugé qu’un suspect dans une affaire pénale pouvait refuser de répondre à une demande de la police lui enjoignant de dire le mot de passe de son téléphone
- La question centrale était de savoir si le fait de fournir oralement le mot de passe d’un téléphone constituait une communication testimoniale protégée par le droit de ne pas s’auto-incriminer du cinquième amendement de la Constitution américaine
- La Cour a distingué l’affaire Valdez des affaires dans lesquelles un suspect reçoit l’ordre de déverrouiller lui-même un appareil : ici, la police demandait qu’on lui communique verbalement le mot de passe lui-même
- La Cour suprême de l’Utah a confirmé l’analyse de la cour d’appel selon laquelle la communication orale du mot de passe relevait bien du testimonial communication au sens du cinquième amendement
Déroulement de l’affaire et usage au procès
- Alfonso Valdez a été arrêté pour l’enlèvement et l’agression de son ex-petite amie
- La police avait obtenu un mandat de perquisition portant sur le contenu du téléphone de Valdez, mais n’a pas réussi à en contourner le mot de passe
- Lorsque Valdez a refusé de fournir son mot de passe à un inspecteur, l’État a utilisé ce refus comme élément à charge au procès
- en faisant témoigner l’inspecteur sur le fait que Valdez avait refusé de fournir le mot de passe
- en soutenant, dans ses dernières observations en réplique, que ce refus et l’absence de preuves issues du téléphone affaiblissaient la crédibilité de l’un des arguments de défense de Valdez
- Le jury a déclaré Valdez coupable
- La cour d’appel a jugé que Valdez disposait, au titre du cinquième amendement, du droit de refuser de fournir son mot de passe, et que l’État avait violé ce droit en exploitant ce refus contre lui au procès
- La Cour suprême de l’Utah a confirmé cette décision de la cour d’appel
Différence juridique entre fournir un mot de passe et déverrouiller un appareil
- Les mots de passe et le chiffrement des appareils électroniques soulèvent des questions majeures à l’intersection entre les tentatives d’accès des forces de l’ordre et les droits garantis par le cinquième amendement
- Au cœur de l’affaire Valdez ne se trouvait pas l’acte, pour l’utilisateur, de déverrouiller lui-même l’appareil, mais l’exigence de dire le mot de passe
- La Cour a estimé que transmettre le mot de passe à la police et remettre physiquement un téléphone déjà déverrouillé pouvaient être fonctionnellement similaires, mais que cette équivalence fonctionnelle n’était pas déterminante dans l’état actuel de la jurisprudence relative au cinquième amendement
- Elle a considéré que le cadre d’analyse de l’act-of-production n’était adapté que lorsque les forces de l’ordre contraignent quelqu’un à accomplir un acte permettant de déverrouiller un appareil électronique
- Le déverrouillage biométrique par empreinte digitale ou reconnaissance faciale a aussi été évoqué, mais la communication orale d’un mot de passe et le déverrouillage biométrique ont été traités comme des questions distinctes au regard du cinquième amendement
L’exception de la « conclusion acquise d’avance » ne s’applique pas
- L’État a soutenu que, même si la communication du mot de passe était testimoniale, la seule information nouvelle transmise dans cette affaire était le fait que Valdez connaissait le mot de passe du téléphone
- Comme la police savait déjà que le téléphone appartenait à Valdez et que celui-ci connaissait probablement son propre mot de passe, l’État estimait que l’exception de foregone conclusion s’appliquait
- La Cour suprême de l’Utah n’a pas retenu cet argument
- fournir oralement le mot de passe d’un téléphone relève du témoignage oral au sens classique
- l’exception de foregone conclusion a été discutée dans des affaires d’act-of-production, où il s’agit de déterminer si l’acte de produire une preuve transmet implicitement des informations
- la Cour suprême des États-Unis n’a jamais étendu cette exception jusqu’aux déclarations de témoignage oral, et la Cour suprême de l’Utah n’a vu aucune raison de le faire
- Dans l’affaire Valdez, la communication du mot de passe consistait en une communication verbale transmettant explicitement une information présente dans l’esprit, de sorte que cette exception ne s’appliquait pas
Les mentions faites par le parquet au procès sont elles aussi limitées
- La Cour suprême de l’Utah a examiné si le fait, pour l’État, de mentionner au procès le refus de Valdez de fournir son mot de passe constituait un commentaire inadmissible sur l’exercice de son droit au silence
- L’État soutenait que, puisque Valdez avait lui-même fait du contenu du téléphone un enjeu du procès, les remarques du parquet constituaient une réponse équitable
- La Cour a également rejeté cet argument
- l’État avait déjà fait déposer des témoignages sur les SMS et sur le refus de fournir le mot de passe avant même que Valdez ne présente en preuve le contenu des SMS de son téléphone
- il ne s’agissait donc pas d’une situation où Valdez utilisait à la fois son silence passé comme « épée » et comme « bouclier »
- La Cour suprême de l’Utah a estimé que la façon dont le parquet avait utilisé contre Valdez son refus de fournir le mot de passe entrait en conflit avec les droits garantis par le cinquième amendement
Possibilité d’un examen par la Cour suprême fédérale
- Dans une analyse, le professeur Orin Kerr de Berkeley Law estime que la manière dont le cinquième amendement s’applique au déverrouillage des téléphones constitue une question majeure du droit des enquêtes sur les preuves numériques
- Selon Kerr, la jurisprudence des juridictions inférieures est dans un état de « total mess », et une affaire candidate à un examen par la Cour suprême des États-Unis est nécessaire pour clarifier le droit
- L’affaire Valdez pourrait devenir une candidate à cet examen en raison des divergences entre cours suprêmes d’États
- la décision de la Cour suprême de l’Utah est proche de celle de la Cour suprême de Pennsylvanie
- elle entre en conflit avec celle de la Cour suprême du New Jersey
- Kerr estime aussi que le fait que Valdez fasse déjà l’objet d’une décision définitive augmente la probabilité d’un examen par la Cour suprême fédérale
- Cela dit, Valdez concerne la divulgation forcée du mot de passe, et non une affaire de déverrouillage forcé dans laquelle l’utilisateur serait contraint de déverrouiller lui-même l’appareil
- Même si la Cour suprême des États-Unis se saisissait de Valdez, elle pourrait ne trancher que la question de la divulgation du mot de passe, en laissant celle du déverrouillage forcé à une affaire ultérieure
2 commentaires
S’ils ont obtenu un mandat, ils devraient pouvoir le faire, non ? Dans ce cas, à quoi sert vraiment le mandat ?
Avis sur Hacker News
Je me demande s’il y a déjà eu des procès portant sur des données chiffrées ou des codes secrets sans intervention d’un ordinateur
Si la police a obtenu un mandat pour mettre une ligne téléphonique sur écoute, et que moi et un complice parlons en code comme des espions ou des criminels à la télé, pourrait-on me forcer à expliquer ce que signifient réellement ces mots de code ?
https://en.wikipedia.org/wiki/Right_to_silence
C’est aussi sur ce droit que reposait ce procès, et le fait même qu’il ait fallu en débattre est inquiétant
La question est : « L’un des grands enjeux des enquêtes sur les preuves numériques est de savoir comment le privilège du cinquième amendement contre l’auto-incrimination s’applique au déverrouillage d’un téléphone »
Il doit y avoir pas mal d’antécédents dans les affaires de trahison impliquant des espions capturés, mais savoir si ces archives sont publiques est une autre question
https://en.wikipedia.org/wiki/Book_cipher
https://en.wikipedia.org/wiki/Codebook
https://en.wikipedia.org/wiki/Poem_code
Le Daily Mail avait rapporté qu’un homme de 22 ans avait écopé de 6 mois de prison pour avoir refusé de fournir le mot de passe d’un disque dur chiffré. Il a été emprisonné au titre d’une disposition du RIPA, une loi britannique initialement portée par des mesures antiterroristes mais désormais étendue à divers domaines pénaux, ce qui inquiète les défenseurs des libertés civiles
Christopher Wilson était soupçonné d’avoir tenté de pénétrer sur le site d’un organisme chargé de l’application de la loi et d’avoir « trollé » la police de Newcastle avec un canular téléphonique, mais la raison directe de son emprisonnement n’était pas ces soupçons : c’était le refus de remettre le mot de passe
J’ai lu l’article et le billet de blog sur reason.com, et ça me semble encore trop fragile pour espérer qu’une décision définitive vienne de la Cour suprême fédérale
Dans l’affaire d’origine, l’accusation soutenait que le refus du prévenu de coopérer au déverrouillage du téléphone constituait une preuve de culpabilité. Dans ce cas, la décision de la Cour suprême fédérale ne porterait-elle pas plutôt sur la possibilité pour le procureur de présenter cet argument comme élément de preuve ? Cela semble assez différent du droit lui-même de refuser de déverrouiller son téléphone
C’est un peu comme si l’accusation disait : « Il avait une arme, donc il est forcément coupable ! », puis que l’affaire remontait jusqu’à la Cour suprême fédérale avec l’espoir qu’elle tranche la légalité du deuxième amendement
https://reason.com/volokh/2023/12/14/is-compelled-decryption...
J’imagine un système d’authentification qui ne se contente pas de demander un mot de passe, mais qui vérifie aussi si le demandeur est bien la personne concernée et si l’accès est demandé librement, sans contrainte
Dans une version primitive, il pourrait exiger une authentification par mot de passe principal toutes les 12 heures, et si ce mot de passe principal n’a pas été utilisé pendant ce délai, il deviendrait possible de déverrouiller avec un mot de passe secondaire non mémorisé. Ce mot de passe secondaire serait conservé dans un endroit auquel seule la personne a accès, et dont elle ne peut le récupérer qu’en étant totalement libre de ses mouvements
Et de toute façon, un tyran vous braquerait simplement une arme sur la tête pour vous ordonner d’aller chercher ce deuxième mot de passe
Heureusement qu’il existe un droit constitutionnel
Dans beaucoup de pays, un suspect n’a pas le droit de refuser de révéler un code, et il peut aller en prison s’il refuse
Je considère ce genre de loi comme dangereux, parce qu’il peut servir à une attaque particulièrement perverse : glisser un téléphone chiffré dans le sac de quelqu’un et faire en sorte qu’il soit arrêté pour n’importe quel motif abusif
Si cette personne est incapable de fournir le code, elle devient automatiquement coupable
Je me suis toujours demandé ce qui se passerait si le code de déverrouillage changeait de profil et chiffrait un autre profil
En règle générale, si vous avez une idée « maligne » dans une interaction avec la police, c’est probablement une mauvaise idée
Certains portefeuilles matériels de cryptomonnaies proposent effectivement ce type de fonction. Le réglage est optionnel, mais un PIN peut ouvrir le vrai portefeuille et un autre ouvrir un portefeuille-leurre contenant seulement quelques coins
PS : je suppose que quelqu’un va probablement mentionner l’attaque à la clé à molette de 5 $
Et est-ce que cela pourrait être considéré comme une volonté délibérée d’induire en erreur ou de dissimuler des preuves ?
Si je me souviens bien, c’était l’un des rares cas où, dans un procès pénal, on pouvait demander au jury de tirer une inférence défavorable. Mais je ne suis pas juriste
Attention : cette décision ne s’applique qu’aux personnes se trouvant dans l’Utah. Les autres États américains ont une jurisprudence différente. Il faut attendre une décision de la Cour suprême fédérale des États-Unis pour qu’elle ait un effet national.
Pour l’instant, il ne faut pas utiliser la biométrie. Elle peut être imposée légalement. Il ne faut pas non plus utiliser un code numérique ; il faut utiliser un mot de passe alphanumérique.
Même si l’écran d’extinction / SOS d’urgence s’affiche, il suffit de l’ignorer ou d’appuyer sur annuler. Quand cet écran apparaît, Face ID / Touch ID est déjà temporairement désactivé. L’iPhone confirme aussi par vibration, donc on peut le faire même dans une poche ou un sac.
Bien sûr, cela n’aide pas si on vous le prend avec une méthode sophistiquée à la Ross Ulbricht, mais c’est utile dans une situation où vous pouvez voir l’autre personne s’approcher. Ce sera probablement le cas le plus fréquent.
L’auteur pense que cette affaire pourrait aller jusqu’à la SCOTUS.
Au Royaume-Uni, si on vous le demande, vous devez remettre votre mot de passe.
Ce site de cabinet d’avocats en donne un bon résumé : https://www.reeds.co.uk/insight/section-49-ripa-2000-trendin...
C’est important parce que la police britannique présente souvent ces pouvoirs comme plus étendus qu’ils ne le sont réellement afin de pousser les gens à remettre volontairement leurs codes de déverrouillage et mots de passe. En l’absence d’une notification S49, ce n’est qu’une demande, et vous avez le droit de refuser en disant « non merci ». Même si une notification est émise, vous pouvez demander à la contester devant le tribunal.
Soit j’ai raté quelque chose, soit le titre et la plupart des discussions sur HN passent à côté de l’essentiel de cette décision. Elle ne porte pas sur l’existence d’un droit de refuser de fournir son code. Bien sûr qu’un tel droit existe.
La vraie question est plutôt de savoir si le refus de fournir le code peut être utilisé au procès comme élément à charge suggérant la culpabilité.
[https://law.justia.com/cases/new-jersey/supreme-court/2020/a...]
Des personnes ont été emprisonnées pour outrage au tribunal pour avoir refusé de fournir leur mot de passe, y compris avant même d’être jugées pour une quelconque infraction.
Il faut éviter les téléphones qui affichent brièvement à l’écran les caractères du mot de passe en clair pendant la saisie, car ils peuvent être enregistrés et rejoués par des caméras vidéo à proximité.
Est-ce que cela ne s’applique qu’aux téléphones ? Si oui, alors si cela ne s’applique pas aussi aux autres supports et appareils électroniques, c’est probablement parce que les téléphones sont déjà compromis et comportent une porte dérobée.
Par ailleurs, il me semble avoir lu que les contrôles frontaliers peuvent aussi s’exercer à l’intérieur du pays dans un certain périmètre autour de la frontière, et à ma connaissance ils peuvent exiger la remise du mot de passe.
https://www.aclu.org/know-your-rights/border-zone
En revanche, si vous n’êtes pas citoyen américain et que vous essayez d’entrer sur le territoire, ils peuvent se servir de ce refus comme motif pour vous refuser l’entrée. C’est lamentable, mais c’est comme ça.