protection de la vie privée
Produits et Services PRODUITS & SERVICES

Protection de la vie privée : un militant refuse de fournir ses mots de passe et est reconnu coupable !

En novembre dernier, Muhammad Rabbani a été arrêté et interrogé par la police des frontières à l'aéroport de Heathrow à Londres, qui lui a demandé de leur fournir le mot de passe et le PIN afin de déverrouiller son ordinateur portable ainsi que son smartphone.

Il a refusé, en déclarant que les équipements en question contenaient des données confidentielles liées au cas d’un homme qu’il venait de rencontrer au Qatar, et qui prétendait avoir été torturé lors d’une garde à vue ayant eu lieu aux États-Unis.

Selon Rabbani, qui travaille comme directeur international pour l’organisation militante CAGE, l’entrée au Royaume-Uni lui aurait déjà été interdite, mais sans jamais avoir eu à fournir son PIN. Accusé en vertu du Terrorism Act 2000, il a ensuite fourni cette explication lors d’une audience en mai 2017 :

Il y avait environ 30 000 (documents) auxquels je ne voulais pas particulièrement donner l’accès, et j’ai pu ressentir l’énorme responsabilité, qui était la mienne, et qui m’empêchait de trahir la confiance qui m’avait été accordée.  

Plus tôt cette semaine, Rabbani a été reconnu coupable d’entraver à la justice, actuellement en liberté conditionnelle, condamné à une amende de £620 (520€) pour les frais.

Normalement, cette histoire aurait dû s’arrêter là, mais ce cas est différent, étant donné notamment que l’organisation de Rabbani, CAGE, est controversée pour des raisons complexes et difficiles à détailler ici.

Du point de vue de la protection de la vie privée et de la sécurité, cet incident et le traitement judiciaire qui a suivi, peuvent avoir des répercussions concernant l’épineuse question de savoir quand vous êtes tenus légalement de révéler les clés de chiffrement au Royaume-Uni, et peut-être plus encore.

Au Royaume-Uni, des personnes peuvent être accusées pour ne pas avoir fourni des clés de chiffrement ou des mots de passe en vertu d’une de ces deux lois.

Des dispositions générales sont prévues en vertu du Regulation of Investigatory Powers Act 2000 (RIPA), amendées à cet effet en 2007, pour que de potentiels terroristes soient couverts par l’annexe 7 de Terrorism Act 2000, qui a d’ailleurs été utilisé dans cette affaire.

L’annexe 7 a été utilisée auparavant, notamment dans l’affaire David Miranda en 2013, qui avait été contraint de transmettre des mots de passe pour les équipements contenant des données liées aux fuites de données d’Edward Snowden.

Pendant ce temps, RIPA a été utilisé en 2014 pour ajouter quatre mois à la peine concernant un terroriste reconnu coupable, et qui a refusé de fournir le mot de passe pour une clé USB chiffrée.

En revanche, les États-Unis ne disposent pas de lois particulières sur la divulgation, bien que des individus puissent être fortement invités à le faire par le biais d’un juge, par exemple dans le cas de cet ancien policier accusé de détenir de la pornographie infantile, et qui est en prison depuis indéfiniment, jusqu’à ce qu’il autorise les autorités à avoir accès à son disque dur.

Dans la même veine, il y avait l’affaire Lavabit en 2014, qui a cessé ses activités plutôt que de remettre les clés SSL privées de l’un de ses utilisateurs, selon Edward Snowden.

Ainsi, qu’est-ce que l’amende de Muhammad Rabbani, pour avoir refusé de fournir son mot de passe de chiffrement, signifie pour le citoyen lambda, voyageant vers ou depuis les États-Unis ou le Royaume-Uni ?

En réalité, à une époque où les smartphones Android et iPhone standards sont livrés avec un chiffrement puissant et activé par défaut, la situation reste identique à ce qu’elle est depuis un certain temps maintenant : à savoir, n’importe qui en provenance ou à destination du Royaume-Uni, ou des États-Unis, en plus d’une liste croissante d’autres pays, peut être invité à fournir le mot de passe de son périphérique, qu’il soit suspecté d’avoir commis une infraction ou non.

Les personnes qui entrent aux États-Unis sont régulièrement invitées à fournir les mots de passe de leurs périphériques, et même ceux pour accéder à leurs comptes sur les réseaux sociaux, afin de satisfaire aux exigences de demande de visa ou, dans certains cas, d’obtenir la permission d’entrée sur le territoire. On peut supposer que la plupart des gens obtempéreront, en silence, pour des raisons pratique évidentes.

Plus la sécurité des périphériques sera renforcée, plus la quantité des données stockées sera importante, et plus il est raisonnable de penser que la police s’y intéressera, et par conséquent plus ce type de demandes deviendra d’une certaine manière automatique. Il n’existe aucune échappatoire possible. Je m’attends à ce que le monde entier applique ce principe dans un très proche avenir.

La seule manière d’éviter que l’on vous demande votre clé de chiffrement, est de ne pas voyager avec un périphérique sur lequel une telle clé est nécessaire. C’est une solution insatisfaisante certes, mais la situation est ainsi. Pour les gens préoccupés par la protection de la vie privée, c’est effectivement un choix déprimant !


Billet inspiré de Campaigner who refused to hand over passwords found guilty, sur Sophos nakedsecurity.

Lire des articles similaires