Selon la loi américaine, les données biométriques, contrairement à un mot de passe, ne constituent pas une déclaration de la part d’un suspect.
À voir aussi sur Konbini
“C’est finalement arrivé. La police fédérale a forcé un propriétaire d’iPhone X à déverrouiller son appareil avec son visage.” C’est par ces mots que commence un article de Forbes du 30 septembre détaillant comment le 10 août dernier, pour la première fois dans l’histoire de la loi (américaine et mondiale), une force de police a obtenu la permission d’obliger un suspect dans une affaire criminelle (concernant ici la possession et la distribution de pédopornographie) à lui fournir l’accès aux données de son téléphone, en exploitant les données biométriques de son visage.
Selon les informations récupérées par Forbes, le FBI, muni d’un mandat de perquisition, a littéralement obligé Grant Michalski, un habitant de Colombus (Ohio), à placer son visage devant son iPhone afin de lui en fournir l’accès via le protocole Face ID. Après quoi, une fois le téléphone ouvert, les agents ont découvert des données (messages instantanés, historique de navigation, photos, vidéos, etc.) jugées utiles pour l’enquête.
Néanmoins, précise Forbes, la technique peut être considérée comme un semi-échec puisque les preuves découvertes n’ont pas pu être collectées légalement : afin de transférer des données d’un iPhone à un ordinateur, iOS demande en effet un mot de passe, ce que l’agent du FBI David Knight n’a pas pu obtenir. Il en a été réduit, détaille Forbes à partir de documents internes à l’enquête, à photographier l’écran de l’iPhone débloqué pour sécuriser les preuves.
Sur le même sujet...
Pour le juge, un visage n’est pas un mot de passe
Depuis plusieurs années déjà (et l’introduction des protocoles de déverrouillage biométriques Touch ID puis Face ID par Apple), les forces de police américaines tentent d’obliger certains suspects à révéler le contenu de leurs téléphones, grâce à leurs visages ou à leurs empreintes digitales. La technique a même déjà été utilisée sur des suspects morts, rappelle Forbes. Jusqu’à présent, cependant, de telles pratiques se situaient dans une zone grise de la loi, les législateurs américains n’ayant pas encore statué sur la nature légale des données biométriques.
Depuis 2016 et le bras de fer entre Apple et le FBI pour l’accès à l’iPhone de l’un des auteurs de l’attentat de San Bernardino, qui s’était terminé par une semi-défaite pour la police fédérale, les textes de loi américains considèrent en effet que la police ne peut jamais obliger un suspect à révéler son mot de passe. Les juges s’appuient sur le cinquième amendement de la Constitution, qui statue qu’aucun citoyen “ne peut être obligé d’apparaître en tant que témoin contre lui-même” – en clair, fournir volontairement son mot de passe aux autorités revient à s’auto-incriminer.
Pour les défenseurs de la vie privée numérique, ce raisonnement devrait s’étendre à toute procédure de déverrouillage d’un appareil électronique et de déchiffrement de données (comme les messages WhatsApp, par exemple). Mais si un mot de passe alphanumérique ou graphique est facilement comparable, du point de vue légal, à une déclaration effectuée aux autorités, le raisonnement n’est pas aussi évident pour le déverrouillage biométrique : lorsqu’un officier de police brandit votre téléphone devant votre visage, techniquement, vous ne déclarez rien. Vous êtes votre mot de passe. Pour certains juges, la police peut donc vous obliger à leur donner accès à vos données.
Mieux que la permission, le déverrouillage forcé
Si l’affaire constitue donc une première du point de vue de la loi, Wired rappelle qu’elle ne fait en aucun cas jurisprudence. À l’heure actuelle, la Cour suprême américaine n’a pris aucune décision concernant le statut des mots de passe alphanumériques ou des données personnelles.
La situation peut donc encore basculer, soit en faveur de la vie privée, soit en faveur des autorités. En attendant, chaque tribunal aura tout le loisir de statuer, même si une sorte de consensus est déjà atteint concernant les mots de passe non biométriques. Et c’est sans compter sur la police aux frontières américaine, qui peut désormais vous interdire l’entrée du territoire si vous refusez de débloquer votre téléphone pour une fouille numérique.
Depuis le fiasco de l’affaire de San Bernardino, le renseignement américain et la police fédérale ont changé de tactique pour déverrouiller les téléphones modernes (et plus particulièrement les iPhone) en investissant massivement dans des solutions de déverrouillage forcé et d’extraction automatique de données, comme le révélait Motherboard en avril. Deux compagnies, Cellebrite et Grayshift, fournissent aux autorités les logiciels en question.
En septembre, rappelle Forbes, les services secrets américains ont conclu un contrat de 780 000 dollars avec la première et de 484 000 dollars avec la seconde, qui vend aussi son boîtier GrayKey (entre 15 000 et 30 000 dollars l’unité) à la police frontalière et à plusieurs polices locales. Avec de tels outils, le combat devant les tribunaux devient inutile.
La biométrie, grande absente des législations
Avec la généralisation de la biométrie comme support d’authentification et de vérification, la question du statut légal du visage et des empreintes digitales devient pressante. Le précédent révélé par Forbes est inquiétant, car il révèle que le FBI est en train de faire pencher la loi en sa faveur, notamment en modifiant le vocabulaire des mandats de perquisition pour y inclure la biométrie.
Inquiétant d’autre part, car des situations similaires pourraient se produire dans d’autres juridictions que celle des États-Unis. Inquiétant enfin, car un monde dans lequel la biométrie est utilisée par les forces de police a tout d’une jolie petite dystopie.
En France, notamment, les mêmes frictions ont lieu entre l’obligation de fournir son mot de passe aux autorités et le droit de ne pas s’auto-incriminer. Le 30 mars 2018, le Conseil constitutionnel permettait aux forces de police d’obliger un suspect à déverrouiller son appareil moyennant certaines conditions : que le déverrouillage soit justifié dans le cadre d’une enquête et que l’autorisation provienne d’une autorité judiciaire – ce que, rappelons-le, les officiers de police judiciaire ne sont pas. Un assouplissement de la loi en faveur des autorités pourrait en appeler d’autres.
Pour le moment, aucun texte de loi (français ou européen) ne semble avoir étudié l’angle biométrique de la question. Espérons au moins que cela serve d’avertissement aux utilisateurs : que ce soit pour votre vie privée ou votre sécurité, préférez un mot de passe alphanumérique.
