Empreintes digitales : Déverrouillage d’un téléphone avec les doigts d’une personne décédée

Protection de la vie privée

De nouveau la police a essayé de profiter de ce court délai durant lequel il est encore possible de déverrouiller un téléphone en utilisant les empreintes digitales des doigts d’une personne décédée.

empreintes digitales

Cela valait la peine d’essayer : à savoir profiter de ce court délai durant lequel il est encore possible de déverrouiller un téléphone, en se rendant au funérarium pour accéder au doigt du défunt et à ses empreintes digitales. C’est beaucoup moins cher que de payer une entreprise spécialisée dans l’analyse forensique pour le faire, et probablement plus rapide aussi. Cependant, ce cas récent a abouti aux mêmes résultats que les tentatives précédentes : à savoir un échec !

Selon le Tampa Bay Times, la police de la Floride a tenté de déverrouiller le téléphone après avoir tiré sur Linus F. Phillip, 30 ans, le tuant, alors qu’ils voulaient l’interroger dans une enquête sur une affaire de drogue, le 23 mars dernier.

Phillip a été arrêté dans une station-service à Largo, en Floride. Un officier a essayé de le fouiller. Phillip n’a pas coopéré. Il a ensuite essayé de s’enfuir, et c’est à ce moment-là que l’agent en question lui a tiré dessus.

Le lieutenant Randall Chaney a déclaré au Tampa Bay Times que les enquêteurs disposaient d’une fenêtre de 48 à 72 heures pour déverrouiller le capteur des empreintes digitales du téléphone. Ils étaient en possession du téléphone, et après que l’état ait autorisé le corps à être transféré au funérarium, ils s’y sont rendus afin d’essayer d’utiliser directement les doigts de l’homme décédé.

Mais cette tentative a échoué !

Ce n’est pas surprenant. La police a essayé à plusieurs reprises de déverrouiller des téléphones avec des doigts de personnes décédées, mais si une telle tentative a déjà fonctionné, nous n’en avons jamais entendu parler !

Ce n’est en réalité vraiment pas une surprise. En effet, nous ne savons pas quel type de téléphone Phillip possédait, mais les capteurs d’empreintes digitales tels que le Touch ID d’Apple utilisent une technologie tactile capacitive, en utilisant la légère charge électrique qui traverse la peau vivante afin de lire les empreintes digitales à un niveau sous-dermique.

Même si le capteur capacitif a été déclenché artificiellement, la fréquence radio du Touch ID ne réagit qu’aux tissus vivants.

Mais la police avait déjà essayé cette technique par le passé !

Il existe des alternatives : de nombreuses sociétés vous promettent un piratage réussi de votre téléphone, mais les prestations proposées par ces dernières ne sont pas vraiment bon marché.  La plus connue se nomme Cellebrite, considérée par la plupart comme étant l’entreprise qui a déverrouillé l’iPhone 5C appartenant à Syed Rizwan Farook, le terroriste mort à San Bernadino.

Comme The Intercept l’a souligné, un dossier de la DEA (Drug Enforcement Administration) américaine montre qu’en septembre 2016, l’abonnement au service de déverrouillage premium de Cellebrite coûtait 250 000$ (à peu près 205 000€) par an aux États-Unis. À partir de 2016, les piratages ponctuels se vendaient aux alentours de 1 500$ (environ 1 200€) par téléphone.

Et puis, vous trouvez aussi la startup américaine GrayShift, qui vend un périphérique à 15 000$ (environ 12 000€) appelé GrayKey, qui promet de débloquer l’iPhone 8 et X.

Le coût n’est pas la seule motivation qui pousse la police à utiliser les empreintes digitales de personnes décédées. En effet, aucun mandat n’est requis pour obtenir les empreintes d’une personne morte, étant donné que, après leur décès, les individus perdent leur droit à la protection de la vie privée concernant leur propre corps. En d’autres termes, ils n’ont plus la possibilité d’engager une action en justice pour faire valoir leurs droits.

Le premier cas connu d’utilisation des doigts d’un homme décédé pour tenter de déverrouiller un iPhone était celui d’Abdul Razak Ali Artan, un immigrant somalien de 18 ans qui a lancé sa voiture contre un groupe de personnes sur le campus de l’Université d’Etat de l’Ohio. Ce dernier a ensuite attaqué ses victimes avec un couteau de boucher, et a finalement été abattu par la police en novembre 2016.

La police avait échoué dans cette affaire : en effet, non seulement Artan était mort, mais ils ont tenté d’utiliser son doigt après l’expiration de ce court délai leur permettant une telle action, le téléphone était passé en mode veille, nécessitant alors un code d’accès pour le déverrouiller.

Certaines sources ont déclaré à Forbes que la procédure, qui consiste à utiliser les doigts des morts au niveau des téléphones, était maintenant “relativement courante”. Elle a été utilisée dans des cas d’overdose, par exemple, car la police était à la recherche de trafiquants de drogue.

Dans un autre cas, à partir de juillet 2016, la police a tenté de faire un moulage à partir des empreintes digitales d’un homme mort, mais pas à partir de ses vrais doigts. Ils ont demandé que des empreintes 3D soient réalisées à partir des empreintes digitales déjà enregistrées.

La fiancée de Phillip, Victoria Armstrong, était au funérarium quand les enquêteurs de Floride ont utilisé ses empreintes digitales. Elle a déclaré qu’elle s’était sentie “pas respectée et violée”. Les tribunaux n’ont peut-être aucun problème à ce que la police utilise les doigts des morts, mais certains experts veulent qu’ils repensent cette pratique macabre. Le Tampa Bay Times a parlé à Greg Nojeim, directeur du projet Freedom, Security & Technology, au Centre pour la Démocratie et la Technologie de Washington, qui a déclaré que les actions des détectives de Largo étaient “éthiquement injustifiables”.

Il devrait y avoir une certaine dignité, même face à la mort. Si je devais écrire certaines règles à ce sujet, l’une d’entre elles serait que la police ait besoin d’un mandat pour utiliser le doigt d’un mort pour déverrouiller son téléphone, et j’exigerais également que la famille soit consultée pour avis.  

En attendant, si vous voulez éviter d’avoir à utiliser vos empreintes digitales pour déverrouiller votre téléphone, que vous soyez décédé ou non, utilisez un code d’authentification au lieu de la biométrie.

Les tribunaux considèrent généralement que vous ne pouvez pas être obligé de fournir votre mot de passe en raison de la protection du cinquième amendement contre un témoignage fourni (à savoir quelque chose que vous connaissez) et qui pourrait être utilisé contre vous, alors que votre biométrie (à savoir quelque chose qui fait partie de vous) semble plus facile d’accès.


Billet inspiré de Police try (and fail) to unlock phone with a dead man’s finger, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.