La Loi, Truecrypt et le chiffrement de disque en France

Je lis souvent des commentaires d’utilisateurs de chiffrement de disque qui se félicite d’être à l’abri de la loi…

Je rappel que Truecrypt n’est pas Plausible Deniability Proof. C’est à dire que bien que l’on ne puisse pas prouver qu’un fichier est un fichier chiffré n’importe quel expert judiciaire peut le suspecter très très fortement ce qui peut être suffisant pour un juge. J’expliquais comment ici et TCHUNT et ici avec FITOOLS.

Rappel de la loi en France :

1. En France , la Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21/06/04 rend l’utilisation des moyens de cryptologie libre. Article 30-I

L’utilisation des moyens de cryptologie est libre.

2. Selon l’Article 434-15-2 du code pénal, le refus de remise de la clé de chiffrement entraine ceci :

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende [*taux*] le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

3. Selon l’Article 132-79 du code pénal, l’utilisation d’un moyen chiffrement dans le but de commettre un délit peut engendrer une peine aggravante :

Lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu’il suit :

1° Il est porté à la réclusion criminelle à perpétuité lorsque l’infraction est punie de trente ans de réclusion criminelle ;

2° Il est porté à trente ans de réclusion criminelle lorsque l’infraction est punie de vingt ans de réclusion criminelle ;

3° Il est porté à vingt ans de réclusion criminelle lorsque l’infraction est punie de quinze ans de réclusion criminelle ;

4° Il est porté à quinze ans de réclusion criminelle lorsque l’infraction est punie de dix ans d’emprisonnement ;

5° Il est porté à dix ans d’emprisonnement lorsque l’infraction est punie de sept ans d’emprisonnement ;

6° Il est porté à sept ans d’emprisonnement lorsque l’infraction est punie de cinq ans d’emprisonnement ;

7° Il est porté au double lorsque l’infraction est punie de trois ans d’emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

4. Enfin selon l’Article 230-1 de la procédure Pénal, la justice peut se donner les moyens d’essayer de trouver les clés de déchiffrement (heureusement j’ai envie de dire).

Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l’agrément du procureur de la République ou de la juridiction saisie de l’affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l’article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au premier alinéa de l’article 160.

Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les nécessités de l’enquête ou de l’instruction l’exigent, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut prescrire le recours aux moyens de l’Etat soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Maintenant que vous êtes prévus, sachez que même le FBI n’est pas arrivé à casser par la force brute un conteneur chiffré avec Truecrypt. J’en parlais ici.