SociétéSanté et ScienceTechno

Le code sur votre iPhone ne sert à rien (ou presque)

Mais, heureusement, la protection de la vie privée ne repose pas uniquement sur les barrières technologiques d’une multinationale et la bonne foi des autorités.

Photo © iStock
Photo: iStock

Vous êtes-vous déjà demandé si votre vie privée numérique était vraiment protégée?

Moi, oui. Souvent. Très souvent même. Peut-être parce que je suis un peu paranoïaque. Peut-être parce que je suis un journaliste. Sans doute parce que je suis un geek.

Et dernièrement, j’y pense plus que jamais à cause d’une affaire qui fait les manchettes chez nos voisins américains.

Le 26 mars dernier, le Federal Bureau of Investigation (FBI) a annoncé avoir trouvé une méthode pour pirater un iPhone ayant appartenu à Syed Farook et à en extraire les données, grâce à une mystérieuse tierce-partie qui a offert son aide aux autorités.

Photo du permis de conduire de Syed Farook. (Crédit: Wikimédia)
Photo du permis de conduire de Syed Farook. (Crédit: Wikimédia)

Syed Farook a tué 14 personnes en décembre à San Bernardino, en Californie, avant d’être abattu par les policiers. Son téléphone était verrouillé et son contenu crypté, ce qui rendait le tout inaccessible aux autorités.

Mais le FBI semble désormais être en mesure de contourner la muraille numérique mise en place par Apple, et toutes les données personnelles de Syed Farook vont probablement être examinées à la loupe.

Je me suis alors demandé: est-ce qu’ici aussi, au Canada, mon téléphone pourrait un jour être fouillé de la sorte? Est-ce qu’un policier ou un agent pourrait saisir mon iPhone, le déverrouiller sans mon consentement et vérifier si mes fréquentations sur Facebook ou Tinder sont louches?

J’ai commencé par envoyer un bref courriel au Service de police de la Ville de Montréal (SPVM): «Est-ce que le SPVM dispose des capacités techniques pour trouver le mot de passe d’un téléphone ou d’un ordinateur verrouillé?»

Une réponse succincte de la Section des communications et relations médias a atterri quelques minutes plus tard dans ma boîte de réception: «Le SPVM dispose des moyens pour déverrouiller un téléphone ou un ordinateur.»

Ah! Les policiers montréalais seraient donc aussi avancés technologiquement que le FBI?

Un coup de fil pour confirmer le tout. Finalement, le SPVM me concède que ses policiers ne sont pas plus forts que les agents fédéraux américains. Le chargé des communications ne peut pas me dire non plus si, en fait, le SPVM aurait été capable de déverrouiller l’iPhone de Syed Farook.

Et pour cause: le FBI s’est bien gardé de révéler comment il s’y était pris pour pirater le téléphone.


À lire aussi:

Si la vie (privée) vous intéresse


Mais selon José Fernandez, professeur à Polytechnique Montréal et expert en sécurité informatique, il ne faudrait pas s’étonner que les autorités disposent de telles compétences. «C’est plausible que des corps policiers ou des agences de renseignements canadiens ou étrangers aient des outils pour le faire. C’est même très plausible.»

José Fernandez m’avait dit ça quelques jours avant que le FBI révèle avoir trouvé une brèche dans le système de sécurité de l’iPhone. Le professeur avait vu juste.

Si la bataille entre Apple et le FBI a tant fait parler d’elle, c’est en partie parce que la marque à la pomme a refusé de coopérer. En réalité, Apple a plus souvent l’habitude d’obtempérer aux demandes des autorités que le contraire.

extrait_site_web_apple
Apple explique en détails sur son site web comment l’entreprise collabore avec les autorités.

En épluchant les rapports publiés sur le site Web de l’entreprise, je me suis rendu compte qu’entre le 1er janvier 2013 et le 30 juin 2015, les autorités canadiennes ont demandé à Apple d’extraire le contenu de 682 appareils. Dans plus de 80 % des cas, Apple a répondu positivement aux requêtes (qui étaient accompagnées d’un mandat).

Apple dit toutefois qu’elle ne procède plus à ce genre de transfert avec les téléphones les plus récents ou mis à jour depuis juin 2014 (iOS8). Depuis, votre code à quatre ou six chiffres est la seule clé pour déverrouiller votre téléphone et personne d’autre que vous ne peut avoir accès à son contenu, pas même Apple.

Enfin, personne d’autre que vous… et de mystérieuses «tierces-parties» qui ont offert leur aide au FBI.

Extrait d'un document de cour dans lequel le FBI explique qu'une tierce-partie lui a montré comment déverrouiller l'iPhone de Syed Farook.
Extrait d’un document de cour dans lequel le FBI explique qu’une tierce-partie lui a montré comment déverrouiller l’iPhone de Syed Farook. Cliquez ici pour le document complet.

Mais, heureusement, la protection de ma vie privée et de la vôtre ne repose pas uniquement sur les barrières technologiques (faillibles) d’une multinationale et la bonne foi (parfois discutable) des autorités.

Des lois et des éléments de droit tracent la frontière entre notre espace personnel et le territoire policier.

Alors j’ai continué ma quête de réponses en allant fouiller dans les plus récentes décisions judiciaires au pays. L’une d’entre elles est tout de suite ressortie du lot: R. c. Fearon, par la Cour suprême du Canada.

Remontons dans le temps pendant quelques instants.

Nous sommes en 2009, à Toronto. Deux hommes braquent, avec une arme à feu, une commerçante qui dépose des bijoux dans sa voiture. Les bandits sont arrêtés en soirée. Lors d’une fouille par palpation, un cellulaire est trouvé dans une poche de l’un d’entre eux. Les policiers découvrent un message texte: «We did it were the jewlery at nigga», en plus d’une photo d’une arme de poing, qu’ils retrouveront plus tard et identifieront comme l’arme du crime.

Le propriétaire du cellulaire s’appelle Kevin Fearon. Il s’est battu jusqu’en Cour suprême pour faire reconnaître ce qui était selon lui une fouille abusive de son téléphone.

Ses démarches n’ont pas eu l’effet escompté. Mais c’est en partie grâce à lui si la fouille de votre cellulaire est aujourd’hui encadrée au Canada, avec l’Arrêt Fearon, qui a été rendu en décembre 2014.

«Avant 2014, il y avait une zone floue, il n’y avait pas vraiment de règle déterminant jusqu’où les policiers pouvaient aller avec un téléphone», explique Pierre-Luc Déziel, chercheur postdoctoral à la Chaire L.R. Wilson sur le droit des technologies de l’information de l’Université de Montréal et expert en droit de la vie privée.


À lire aussi:

Le jour où les espions canadiens se sont intéressés à Anonymous


Avant cette décision de la Cour suprême, certains juges considéraient qu’un téléphone était l’équivalent légal d’une valise, en quelque sorte. Lors d’une arrestation, les policiers ont un pouvoir de fouille dit «accessoire», qui leur permet de procéder à des vérifications de sécurité tout en accumulant d’éventuelles preuves, le tout sans mandat. Par conséquent, pour certains magistrats, si les policiers avaient déjà le pouvoir d’ouvrir votre valise et d’y jeter un œil, il n’y avait pas de raison pour que ce soit différent avec votre téléphone.

Et c’est là que l’affaire Fearon a changé la donne. La Cour a reconnu au contraire que, de nos jours, un téléphone contient une gigantesque quantité d’informations personnelles sur son propriétaire et que les fouilles «risquent d’entraîner des empiétements graves sur la vie privée».

En résumé, il n’y a rien de bien dramatique à ce qu’un policier voie vos affriolants sous-vêtements léopard dans votre valise, mais c’est différent s’il a accès à l’ensemble de vos courriels des cinq dernières années.

Les juges ont établi un protocole pour les policiers: seuls les photos, vidéos, courriels et messages textes récents peuvent être consultés, ainsi que le registre des appels, si c’est adapté à la nature de l’arrestation et de l’enquête en cours.

De plus, les policiers doivent prendre des «notes détaillées» de ce qu’ils ont examiné dans le téléphone de la personne arrêtée.

Par exemple, imaginons qu’un agent de la police des bonnes mœurs décide de vérifier si j’ai respecté ma promesse d’appeler ma mère tous les dimanches. Il m’arrête, me fouille et trouve mon téléphone. De mon côté, je refuse de lui donner mon code, afin de protéger ma vie privée (et parce que je n’ai pas appelé ma mère depuis deux semaines).

Le policier trouve ma combinaison (je savais que je n’aurais pas dû choisir 123456) et vérifie mes derniers appels, le tout sans avoir besoin d’un mandat.

Boum! Au tribunal de la bonne conscience, je suis jugé coupable d’être un fils indigne. Le policier a présenté ses notes détaillées à la Cour, qui me condamne à amener ma mère au Ikea pour me faire pardonner.

Soupir de soulagement toutefois: le policier n’est pas allé voir mes vidéos et n’a pas découvert celle où je chante une chanson de gangsta rap dans un bar de karaoké. J’ai beau être un fils indigne, mon honneur reste sauf malgré tout!

Et tout ça grâce à l’Arrêt Fearon.

Évidemment, tout repose sur le jugement du policier. «Qu’est-ce qui est adapté? Qu’est-ce qui n’est pas adapté? Est-ce qu’ils vont trop loin? C’est là que c’est une règle qui, à mon sens, n’est pas assez précise», dit Pierre-Luc Déziel, qui doute que ce soit suffisant pour véritablement protéger la vie privée des gens.

«Attends une seconde, Naël. Si tu as un mot de passe sur ton téléphone, le policier n’a pas le droit de le fouiller sans mandat!» me diront les plus perspicaces d’entre vous.

Hum… Contrairement à la croyance populaire, c’est faux.

La plupart des iPhones récent réclament un code à six chiffres pour être déverouillés
La plupart des iPhones récents réclament un code à six chiffres pour être déverouillés

La présence d’un mot de passe ne rend pas vos données plus privées. Vos données personnelles sont privées, point à la ligne.

Le téléphone de Kevin Fearon, justement, n’était pas protégé par un mot de passe. La Cour suprême a déterminé que le Torontois n’avait pas pour autant abandonné son droit à la vie privée. «Et c’est justement pour éviter que les policiers puissent dire: « il n’y avait pas de mot de passe, il ne s’attendait pas à ce que ce soit privé, donc ce n’est pas vraiment une atteinte à la vie privée »», explique Pierre-Luc Déziel.

Ou, si vous préférez le point de vue du Service de police de la Ville de Montréal: «Le mot de passe ne change rien.»

Au pire (ou au mieux, ça dépend du point de vue), votre mot de passe risque simplement d’être un possible obstacle technique pour la police.

Mais, d’ailleurs, que se passerait-il si la situation vécue aux États-Unis se reproduisait ici? Imaginons que mon téléphone soit saisi et que la police soit incapable de le débloquer. Une différence toutefois: je suis toujours en vie. La police pourrait-elle me forcer à lui donner la clé de mon jardin secret numérique?

C’est ce qui est arrivé à Siméon Boudreau-Fontaine, en 2007. Le Québécois dans la vingtaine est alors en probation pour production et distribution de pornographie juvénile. Il n’a pas le droit d’aller sur Internet.

Un soir de septembre, il se fait arrêter par la police, qui le suspecte de surfer sur le Web alors qu’il utilise son ordinateur portable, dans sa voiture stationnée dans un quartier résidentiel.

Un mois plus tard, un juge de paix lance un mandat de perquisition qui le somme de donner à la police le mot de passe qui verrouille son ordinateur, ce que le jeune homme fait.

La police prouve qu’il a utilisé Internet, et découvre en plus neuf photos de pornographie juvénile sur le disque dur de l’appareil.

Mais la situation se retourne contre les autorités quand les tribunaux jugent que toutes les preuves doivent être exclues. En forçant Siméon Boudreau-Fontaine à divulguer son mot de passe, on l’a poussé à s’auto-incriminer, ce qui contrevient à ses droits constitutionnels!

«Dans cette affaire, la personne a donné son mot de passe parce qu’elle se sentait contrainte à le faire, détaille Pierre-Luc Déziel. Mais c’est aux autorités de trouver les preuves par elles-mêmes.» Les autorités ont brimé son droit au silence, à la présomption d’innocence et son droit de ne pas être mobilisé contre lui-même, a noté le juge de la Cour d’appel du Québec, dans sa décision rendue en 2010.

Donc, pour résumer le tout, la police peut fouiller le contenu le plus récent votre téléphone lors d’une arrestation, si c’est lié au motif de votre arrestation, et ce, sans mandat. Mais rien ne vous oblige à donner le mot de passe de votre cellulaire. Si les autorités veulent vraiment y avoir accès, elles devront trouver le moyen de le pirater!

À ce point-ci du texte, certains d’entre vous se disent probablement: «Bah! Tout ça est trop compliqué. Moi, je n’ai rien à me reprocher de toute façon. La police peut bien faire ce qu’elle veut avec mon téléphone!»

Et vous avez raison, c’est compliqué. Sauf que, comme l’indique Nicolas Vermeys, professeur à la Faculté de droit et chercheur au Centre de recherche en droit public de l’Université de Montréal, «une société entièrement transparente, dans laquelle les policiers peuvent avoir accès à tout, c’est une société qui s’approche de plus en plus d’un régime totalitaire. Si on dit chaque fois que ce n’est pas grave parce qu’on n’a rien à cacher, on déplace la ligne de ce qui est acceptable. Et une fois que cette frontière a été déplacée, c’est très difficile de revenir en arrière.»

Le professeur ajoute que les différents changements législatifs, par exemple dans le Code criminel ou avec l’adoption de la Loi antiterroriste (C-51), donnent de plus en plus de possibilités aux autorités d’accéder aux données des citoyens. «Les lois nous protègent de moins en moins en quelque sorte. Alors la solution, c’est de se protéger technologiquement. Malheureusement, la technologie n’est pas à la portée de tous et les gens ne l’utilisent pas nécessairement de façon optimale.»

Bref, si vous souhaitez cacher à votre conjoint ou votre conjointe un quelconque plaisir coupable, votre mot de passe est probablement encore efficace (à moins que ce ne soit sa date de naissance — si c’est le cas, faites-vous une faveur: changez-le). Le système d’Apple devrait aussi mettre votre contenu à l’abri des voleurs de bas étage.

En revanche, si vous souhaitez véritablement protéger votre vie privée, il est peut-être temps d’apprendre à crypter vos données par vous-même.

Allez, je vous lance même votre premier défi. Voici ma clé publique de cryptage PGP sur le serveur du MIT. Envoyez-moi un courriel crypté à nael.shiab@lactualite.rogers.com pour me faire part de vos commentaires! Un petit tour sur Google vous mènera à plusieurs tutoriels, qui vous montreront la marche à suivre.