Les commissariats vont s'armer pour extraire les données des smartphones

Stéphane Moussie |

D'ici 2024, des centaines de boîtiers d'extraction de données de smartphones vont être installés dans les commissariats. L'information, rapportée en premier par le site Reporterre, nous a été confirmée par la police nationale. S'agissant d'une commande du marché public, on trouve sa trace dans les registres.

Le Kiosk de Cellebrite. Image Cellebrite.

Démocratisation des outils d'extraction

« Actuellement, les téléphones saisis doivent être envoyés dans un centre spécialisé de la police technique et scientifique, qui ne sont que 35 et sont souvent embouteillés, expliquait Clémence Mermet, chef du pôle central d’analyses des traces technologiques de la police nationale, à Reporterre lors d'un reportage au salon de la sécurité intérieure Milipol. Avec ce kiosque qui sera installé dans les commissariats de premier niveau, il suffira de brancher le téléphone et toutes les données seront extraites pendant la garde à vue : SMS, photos géolocalisées… »

Et d'ajouter que 100 nouvelles machines seront installées en Île-de-France et dans le Sud l'année prochaine, pour un total de 500 machines d'ici 2024, le tout pour un coût de 4 millions d'euros. Interrogée par nos soins, la police nationale indique que seuls 35 kiosques ont été acquis cette année et qu'ils seront déployés l'année prochaine.

Les kiosques dont il est question sont des machines mises au point par Cellebrite, un nom qui avait circulé au moment de l'affaire de San Bernardino, quand le FBI cherchait de l'aide pour faire parler l'iPhone verrouillé d'un terroriste. Bien que ce ne soit pas Cellebrite qui ait donné le coup de pouce au FBI, il n'en reste pas moins que l'entreprise a un arsenal d'outils pour percer les secrets des téléphones.

Logiciel UFED InField. Image Cellebrite.

Elle a notamment une solution nommée UFED InField permettant d'« extraire directement les mots de passe, désactiver ou contourner le verrouillage mis en place par l’utilisateur, et décoder les données de plus de 1 500 applis mobiles en quelques minutes. » Cet outil de forensic fonctionne sur plusieurs types d'appareils dédiés : tablettes mobiles et embarquées pour les opérations sur le terrain, ainsi que les fameux Kiosk, qu'on pourrait méprendre avec des PC classiques, qui équiperont les commissariats. Des appareils qui « échappent » parfois à leur cadre habituel et qui se retrouvent en vente sur eBay, comme c'est encore le cas actuellement.

En 2017, Cellebrite, qui se présente comme « leader incontestable du marché mondial » de l'investigation numérique avec 60 000 licences déployées à travers 150 pays, a été victime d'un important piratage. Selon Motherboard, qui a pu consulter les 900 Go de données dérobées, celles-ci incluaient « ce qui semblait être des fichiers de preuve provenant des téléphones portables saisis. » De son côté, la police nationale nous a assuré que les machines de Cellebrite ne conservaient pas les données (mais pas de détails communiqués sur le support de stockage utilisé) et qu'elles étaient isolées du réseau internet.

La police souligne également la « traçabilité des recherches », chaque utilisation étant consignée, la possibilité de cibler les données à extraire (seulement les messages ou les photos, par exemple), ainsi que le cadre judiciaire, sous l’autorité du procureur de la République, qui entoure les extractions de données.

Un boîtier Cellebrite acquis sur eBay par un chercheur en sécurité. Image Matthew Hickey.

Des extractions qui fonctionnent selon elle avec la « très grande majorité » des smartphones. La police n'a pas voulu nous préciser quels modèles résistaient à l'UFED afin de ne pas aiguiller ceux qui voudraient cacher des choses.

Cellebrite n'a pas cette pudeur. Pour promouvoir ses solutions, l'entreprise communique de son propre chef sur ses capacités. Ainsi, en juin, elle annonçait qu'elle savait extraire des données des iPhone d'iOS 7 jusqu'à iOS 12.3 ainsi que de plusieurs smartphones Android haut de gamme (dont les Galaxy S6/S7/S8/S9), avec d'autres modèles à venir (Motorola, Huawei, LG et Xiaomi) prochainement. En octobre, elle annonçait la prise en charge d'iOS 13 (jusqu'à 13.1.2) sur son blog ainsi que dans les notes de version d'UFED InField 7.24, mais l'extraction ne semble réalisable sur cette version qu'avec le mot de passe de l'appareil.

« Nous avons déjà testé [le kiosque] lors du G7 [qui a eu lieu fin août à Biarritz, ndr], pour traiter les téléphones des personnes gardées à vue, et les retours ont été très positifs », indiquait Clémence Mermet à Reporterre.

Quels droits pour la personne en garde à vue ?

Se posent dès lors deux questions : une personne en garde à vue est-elle obligée de communiquer son code de déverrouillage si on lui demande ? Si ce n'est pas le cas, doit-elle fournir son téléphone, qui pourrait être fouillé sans code grâce à la machine de Cellebrite ?

L'article 434-15-2 du Code pénal dispose qu'« est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires. »

Mais ce n'est pas si simple qu'il y parait. « En premier lieu, rappelons que la décision du Conseil Constitutionnel a strictement encadré l'incrimination en venant poser trois conditions », nous explique Alexandre Archambault, avocat spécialiste du numérique :

  1. il faut démontrer que le suspect a connaissance du code de déverrouillage pour le service ou le terminal relatif au forfait qui lui est reproché ;
  2. il faut aussi prouver que cette demande a un intérêt pour l’enquête, avec l’existence de données chiffrées potentiellement liées à l’affaire et qui intéresseraient donc l’instruction ;
  3. enfin, et surtout, une telle exigence ne peut émaner que d’une autorité judiciaire. Les officiers de police judiciaire, aussi compétents ou insistants soient-ils, ne sont pas une autorité judiciaire. Et si on se base sur les critères exposés par les cours de justice européenne, un membre du Parquet français n'est pas une autorité judiciaire. Dès lors, l’ordre de fournir le code d’accès doit provenir, par exemple, d’un juge d’instruction ou d'un juge des libertés et de la détention, et à la condition que les deux autres critères soient aussi respectés.

Dans la pratique, tandis que certaines juridictions ont condamné des prévenus pour avoir refusé de communiquer le code de leur téléphone, d'autres, notamment la Cour d'appel de Paris, ont estimé que le code de déverrouillage du téléphone n’était pas « une convention secrète de déchiffrement d’un moyen de cryptologie », autrement dit, ne pas révéler le code de son téléphone n'est pas constitutif de poursuites judiciaires.

Logiciel UFED InField. Image Cellebrite.

Et qu'en est-il de la remise du téléphone ? Bien que la police nous ait soutenu que la personne placée en garde à vue ne pouvait s'opposer à remettre son téléphone pour une analyse, Alexandre Archambault estime que cette requête se heurte à plusieurs difficultés juridiques :

Par analogie avec la remise du code (pour lequel le Conseil Constitutionnel a eu l'occasion de rappeler qu'elle n'était valable que si elle émanait d'une autorité judiciaire, et il faut entendre autorité judiciaire au sens que lui donnent les cours de justice européenne), une mesure de remise contrainte du téléphone émanant d'un officier de police judiciaire est susceptible d'être invalidée.

L'avocat ajoute que cette mesure porte atteinte à l'intimité de la vie privée, ce qui est proscrit par le Code de procédure pénale, et qu'elle met à mal le principe du droit au silence et de prohibition de l'auto-incrimination, surtout lorsque le prévenu n'est pas assisté d'un avocat. « Enfin, s'il est possible lors d'une garde à vue d'être privé d'effets personnels, c'est uniquement dans un but de sécurité, et pas pour effectuer des analyses », poursuit Alexandre Archambault.

Au bout du compte, l'avocat estime qu'il « serait particulièrement hâtif d'en conclure que le recours à Cellebrite permette de venir à bout du refus de la remise du code, et qu'on est tenu de remettre son portable lorsqu'on est en garde à vue. »

Mise à jour à 11 h : précision sur la compatibilité de la solution de Cellebrite avec iOS 13.

avatar pariscanal | 

Et Bein célébrité se frotte les mains... 🙏🏻
Un flic lambda s'aura se servir de cette machine ?!

avatar fredsoo | 

@pariscanal

Après un mois de formation ça devrait le faire 😉

avatar Albator | 

Très intéressant, merci !

avatar Depret Lucas | 

A voir si ils réussissent sur les iPhones dotaient de la dernière version

avatar Malvik2 | 

Ça porterait atteinte à la vie privée que de devoir révélé son code aux flics...? Sans blague !
Et la bonne vieille perquisition ou l'ont vient tout retourner chez vous, vos meubles, le moindre tiroirs, dans le panier de linge sale...ça ne porte pas atteinte à la "vie privée" ça peut être ?!

Faut arrêter le délire, en 2019 quelqu'un qui a des choses à cacher a plus de chances de les avoir planqués, numériquement, dans son smartphone, que dans les bas de la grand mère dans le 5ème tiroirs de la vieille commode !

Il existe les perquisitions des domiciles, il doit exister les perquisitions des "domiciliations" de nos vies virtuels, moi ça ne me choque pas.

Bien sûr, ça doit rester encadré par des lois.
Ah et pour les voleurs de poules, ça ne sert à rien que l'état investisse des fortunes dans ce genre d'appareils si c'est pour condamner les délinquants à un coup de règle sur les doigts hein...faute de vouloir construire des prisons.

avatar fap76 | 

@Malvik2

Quand la police fait une perquisition chez qqn, c’est avec un mandat de la justice, pas de leur propre initiative.
C’est la même chose pour le téléphone, ce n’est pas au policier de prendre l’initiative d’aller fouiller dans le téléphone, il doit avoir un mandat.

Pour le code, tu as le droit de garder le silence lors de ton interpellation et de demander un avocat, et on ne peut pas te demander de t’auto-impliquer. Ça s’applique à ton téléphone qui pourrait t’auto-impliquer si tu donnais le code.

C’est en tout cas ce que j’ai compris de l’article.

avatar Lem3ssie | 

Pas besoin de mandat, c'est à la télé ça. Les seuls à être délivrés par un magistrat sont d'amener, de recherche ou d'arrêt.
Pas de mandat de perquisition. Un opj en flag, un apj avec assentiment en preli, Julie LESCAUT ce n'est pas la vraie vie...

avatar abioninho | 

@fap76

Les films américains !

avatar Derw | 

@Malvik2

Oui, cela porte atteinte à la vie privée ; tout comme la perquisition. C’est pourquoi, pas d’intrusion dans un téléphone sans accord d’une autorité, tout comme pas de perquisition sans commission rogatoire délivrée par un juge ou un procureur.

Bref, c’est ce que dit l’article.

avatar Lem3ssie | 

Sorry mais c'est complètement faux ce que tu écris.
Flagrant délit ou préliminaire sont les cadres légaux les plus courants dans le cadre d'une perquisition. La cr vient bien après.
Un opj ou apj en décide de lui même la perquisition.

avatar Iphoneur | 

@Lem3ssie

« Un opj ou apj en décide de lui même la perquisition ».

Non, il faut toujours une autorisation du juge des libertés et de la détention, laquelle est accordée en cas de présomptions (de fraude, ou autre).

avatar Lem3ssie | 

Encore une fois c'est complètement faux, le seul cas valable est en preli quand la personne refuse de filer son assentiment, alors on avise le procureur qui questionne le JLD.
ART 76CPP

avatar Derw | 

@Lem3ssie

Désolé, si j'ai dit une connerie, je ne suis pas juriste loin de là.

Par contre, je n'ai pas pris mes renseignements chez Julie Lescaut, mais sur le site d'une avocate au barreau de Paris :
https://www.avocat-rouaselbazis.com/la-perquisition---les-conditions---l...

Elle dit des conneries ?

avatar Lem3ssie | 

Non, ce qui est dit est vrai mais mal compris. Le magistrat contrôle l'enquete, toutes les enquetes. Ceci est à prendre au sens général.
C'est à dire que l'opj/ apj (en preliminaire) décide d'une perquisition si c'est pertinent. À l'issue de la procédure il fait un avis magistrat.
Dans le cadre d'une Commission rogatoire, le juge d'instruction peut donner une liste de courses et la perquisition peut en faire partie.
En résumé les magistrats sont avisés à posteriori la plupart du temps, parfois en temps réel, en flagrant délit, et peuvent prescrire une perquisition en CR.

avatar fte | 

@Malvik2

"Ça porterait atteinte à la vie privée que de devoir révélé son code aux flics...? Sans blague !"

Oui. C’est pour cela qu’une décision judiciaire motivée est nécessaire, tout comme pour les perquisitions.

A la différence qu’un smartphone de plus en plus contient et accumule des données personnelles assimilables à la personnalité, et qu’un décryptage du téléphone s’apparente de plus en plus à une agression de la personnalité et une violation du droit au silence.

Vouloir garder son téléphone verrouillé ne signifie pas avoir quelque chose de répréhensible à garder cacher. Vouloir garder son téléphone verrouillé est assimilable à vouloir garder son crâne verrouillé.

Ah oui mais au nom de la sécurité mon bon monsieur... non.

avatar Billytyper2 | 

@Malvik2

Ah ben, j’espère que tu es loin de chez moi…
Ceux qui n’ont pas de choses à cacher, me font peur, sont-ce des humains… pas encore vu des anges en vrai. 😎

avatar mirando | 

@Malvik2

Ah oui tu penses que la prison est la solution à chaque fois. Ça a plutôt largement prouvé sa capacité à transformer en grand criminel et donc favoriser la récidive. Inefficace au possible dans la plupart des cas.
On devrait regarder dans les exemples donnés par la Scandinavie pour s’inspirer.
Construire de nouvelles prisons encore et encore est du gaspillage d’argent public. On ferait mieux d’améliorer les conditions de détention dans les actuelles qui sont régulièrement dénoncées par Amnesty international.

avatar marc_os | 

@Malvik2

Construisons des prisons !
Mettons les chômeurs en prison comme aux USA !
Libérons la vente des armes comme aux USA que chacun puisse se défendre en tuant son voisin !
Mieux, que la police applique le shoot to kill comme dans les patelins des USA !

avatar smog | 

Pendant ce temps, quand un téléphone est placé sous écoute par un particulier avec un mouchard, la justice ne bouge pas... Arrivé très récemment à une amie, 6 mois après affaire classée malgré les preuves. certes on n'est sans doute pas dans les mêmes recherches, mais ça me laisse perplexe sur les cas d'utilisation de ce matériel.

avatar flux_capacitor | 

@smog

Qu'a donc fait ton amie pour mériter une mise sur écoute fût-elle légale ou illégale !

avatar 421 | 

@flux_capacitor

Un compagnon ou mari ou ex jaloux, possessif, manipulateur, violent qui a un moyen d’emprise supplémentaire sur sa victime
Elle n’a probablement rien fait pour «mériter» cela...

avatar marc_os | 

@flux_capacitor

« Qu'a donc fait ton amie pour mériter... »

de se faire arnaquer ?
agresser ?
violer ?

Comme tu le vois, ce genre de question qui culpabilise la VICTIME est juste abject et puant.
Tu me dégoûtes.

avatar mouahahaha | 

Les fameuses victimes qui n'y sont jamais pour rien.

Ce genre de réponse qui déresponsabilise la """VICTIME""" est juste abject et puant.
Tu me dégoûtes.

avatar smog | 

Dans une séparation, les deux parties ont leur part de responsabilité. Mais quand on ne sait pas, on n'insinue pas que la victime est responsable de ce qui nous intéresse ici ; aucune généralisation possible.
Pour le coup, elle a bien morflé et le type a abusé de sa situation pour le moins "dominante". Voilà.

avatar battboss | 

@smog

C’est bien le souci avec notre société, on juge trop souvent sans savoir 😔.
Et dans certain cas ce jugement peut faire encore plus de dégât.

Pages

CONNEXION UTILISATEUR