Upload
hahanh
View
219
Download
0
Embed Size (px)
Citation preview
Universit Montpellier I
Facult de Droit, des Sciences conomiques et de Gestion
Institut de Recherche et d'tude pour le Traitement de l'Information Juridique
Droit de la cryptographie :
une approche pour la protection des informations
sur linternet
Mmoire de D.E.A Informatique et Droit
Sous la direction de M. le professeur J. FRAYSSINET
Par Yannick Spegels et Hughes-Jehan Vibert
Formation doctorale : Informatique et Droit
quipe de Recherche Informatique et Droit (E.A 718)
Section du CNU : 01 Droit priv et sciences criminelles.
71 Science de l'information et de la communication.
Universit de Montpellier 1
IRETIJ
39 rue de l'universit 34060 Montpellier CEDEX
Nous tenons remercier Monsieur le professeur Jean Frayssinet de l'Universitd'Aix en Provence pour avoir accept d'tre le directeur de notre mmoire, ainsi
que pour ses conseils.
Nous remercions galement Monsieur le professeur Michel Bibent de l'UniversitMontpellier I ainsi que tous les enseignants et chargs de cours pour l'excellente
anne que nous avons pass dans le cadre du DEA Informatique et Droit de lafacult de droit de Montpellier
Monsieur le Professeur Daniel Poulin de l'Universit de Montral nous a donndes conseils bibliographiques et nous l'en remercions vivement en regrettant de
ne pas avoir pu le rencontrer Montral.
Nous avons une pense particulire pour Romaric et Nicolas qui nous ontgentiment permis de bnficier de leurs connexions l'internet.
Nous remercions Quicklaw system Inc. pour nous avoir permis dutiliser sesbases de donnes juridiques au Canada ainsi que celles
de Westlaw pour les tats-Unis
Enfin, merci lUniversit du Qubec Montral et sa Facult de droit pour laformation dispense par ses diffrents enseignants,
notamment en informatique juridique.
Sophie
Table des matires
Chapitre introductif 1
Section I- La cryptographie : une approche historique 3
I Dune cryptographie rudimentaire 3A- Cryptographie naissante 3B- Cryptographie applique 4
II une cryptographie plus tablie 5A- La modernit naissante 5
B- La modernit en marche 6
Section II- La cryptographie: une approche "computerise" 8
I Le cryptage symtrique 8A- Le DES (Data Encryption Standard) 8B- L'IDEA (International Data Encryption) 11II La cryptographie asymtrique 12A- L'exemple du RSA 12B- L'exemple du PGP 16
Chapitre I- La protection des informations face la raison dtat 20
Section I - la cryptologie considre comme une arme de guerre 21
I Des rglementations pour un contrle absolu 21A- Les normes europennes 23 - La Belgique 23 - La France 27 - LEurope 34
B Les normes Nord-amricaines 37
- Les USA 38 - Le Canada 41II face des revendications libertaires 42A- La crainte du Big Brother 43B- Et la recherche dune protection 44 - PGP et Zimmermann 45 - Les groupes de pressions 49
Section II- Le prsent : Les antagonismes en prsence 51
I La protection de ltat 51A- La scurit extrieur 52B- La scurit intrieure 53
II La protection de lindividu 56A- La vie prive 57B- La privacy 67
Section III- Le futur : La protection de le vie priv 70
I Laboutissement des nouvelles orientations normatives 71A- Une libralisation totale 71B- Une limitation persistante 80 - une rglementation communautaire 80 - l'arrangement de Wassennaar 84II Les nouveaux rles de ltat 87A- Vers des modes de contrle revisits 87B- Vers une coordination mondiale 95
Chapitre II- La protection des informations face la raison commerciale 99
Section I- Avant lmergence dun besoin : une cryptographie usageconfidentiel 99I Le secret lpreuve dune informatique mergente 100A- la circulation du cryptographe : 100B- La circulation des informations : 104 - une protection ncessaire 104 - une protection satisfaisante 105II La preuve confronte une informatique mergente 106A- Un contrat papier privilgi 107B- La preuve (civile et commerciale) 110
Section II- La cryptographie, un outils ncessaire au dveloppement d unbesoin nouveau : le commerce lectronique 113
I Le secret lpreuve dune informatique installe 113A- Lois franaises par rapport aux normes europenne 114B- Les enjeux de la cryptographie en question ? 117II La preuve confronte une informatique installe 123A- La ncessit dune preuve lectronique 123B- Susciter la confiance des utilisateurs 129
Section III- Une libert totale de la cryptographie : une solution adapte aucommerce lectronique. 132
I La libert du commerce et de lindustrie reconquise. 133A- Les moyens de signature et la problmatique de leurs diffusions 133B- Une solution d'autres problmes juridiques 137II Des outils probatoires pertinents 143A- Lautorit de certification 144Pour un commerce scuris et anonyme 145
Conclusion 148
Rien nest plus digne dun capitaine que de savoir deviner les desseins de lennemi.
Machiavel,
Discours sur la premire dcade de Tite-Live
Livre troisime, chapitre XVIII
1
Chapitre introductif
Au nom de la raison dtat, Machiavel prconisait tout un arsenal de recettes utiles au
Prince pour que ce dernier se prserve et par l mme prserve sa principaut. Les
conspirations intrieures, les guerres furent autant de faits menaant la permanence de ltat et
ce, quelque soit son statut. Tout naturellement, les dmocraties comme les dictatures ont alors
dvelopps un arsenal pour se prserver. Se prserver pour elles mmes, contre les autres,
contre les menaces intrieures et extrieures. Le secret est devenu ainsi la cl de vote de tout
un arsenal militaire et administratif. Le secret est donc un enjeu pour les uns et un obstacle
pour les autres : un obstacle quil sagira, pour ces derniers, de renverser pour une stratgie qui
restera toujours la mme : sassurer un monopole, quelquil soit (savoir, pouvoir, religion).
Ds que les changes dinformation apparurent, le cryptage est devenu le plus sr moyen
de sassurer du secret entre deux personnes ou deux groupes de personnes, contre les tiers.
Notre sujet est relatif la cryptologie, du grec kryptos (cach) et logos (science), ce terme peut
tre assimil la science du secret 1 ou lart de coder un message de faon le rendre
incomprhensible sauf pour son destinataire. Si ce mmoire traitera de la cryptologie sous le
prisme dune rflexion juridique, il sera ncessaire de donner dans cette introduction une large
part une tude historique et contemporaine de la cryptographie (du grec graphein, crire), de
ces critures secrtes qui sont la base de cette cryptologie dont lactualit souligne
limportance. Cette tude faite, il sera galement utile de dcrire les moyens de cryptographie
moderne afin de pouvoir donner au lecteur tous les lments pour saisir laspect juridique de la
cryptologie. La science du secret est aussi un domaine modulable selon les objectifs
atteindre, dailleurs pour Bruce Schneier,
il existe deux types de cryptographie dans le monde : la cryptographie qui empchevotre petite sur de lire vos fichiers, et la cryptographie qui empche les principauxgouvernements de lire vos fichiers 2
1 STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, 204 pages
2 SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2me d., International Thomson Publishing France,1997, 846 pages pour ldition francophone.
2
En effet, quelque soient les moyens utiliss, cest lobjectif de secret qui donne la
cryptographie tout son sens, la personne devant rester dans lignorance importe peut. Il existe
de multiples moyens pour sassurer du secret. Les chuchotements, les gestes, une connaissance
des langues trangres, ou mme les sanglots longs de la BBC avant le dbarquement
Allis en Normandie, sont autant de moyens qui nous loignent de limage du cryptanalyste qui
dcortique pniblement une masse de documentation illisible. Et pourtant nous sommes bien
devant une succession de faits, volontaires ou non, qui rendent linformation opaque ceux qui
en coute la reprsentation crypte .
Pour revenir notre propos, et selon lencyclopdie Universalis,
Tout systme de cryptage est compos dun algorithme de codage plus ou moins compliquutilisant ou non une ou plusieurs cls de scurit et il est, en principe, conu de manire treinviolable. En fait, un code peut tre cass soit par la technique dessai et erreur en selaissant guider par certaines caractristiques du message cod, soit en tentant de retrouverlalgorithme et/ou les cls utiliss pour le codage. Pour casser un code, un trs grand nombrede tentatives doivent tre effectues et, depuis lutilisation dordinateurs par les casseurs decode, on peut dire quaucun code nest inviolable, sauf ncessiter un nombre de tentatives telque le plus puissant des ordinateurs mettrait plusieurs centaines ou plusieurs milliers dannes les raliser.
Bref, la cryptologie est un jeux qui se joue deux.
Nous verrons dans ce chapitre introductif la cryptologie sous une approche historique
(Section I) pour traiter ensuite dune approche moderne, une approche computerise
(Section II)
3
Section I : La cryptographie : une approche historique3
Historiquement la cryptographie peut sapprhender de plusieurs faon. En effet nous
sommes pass dune cryptographie tenant aux divinits une cryptographie tenant aux intrts
personnels et, plus tard tatiques; mais nous sommes galement passs dune cryptographie
mcanique une cryptographie mathmatique, ces lments se combinant parfois. Cela dit,
nous respecterons des rgles chronologiques classiques quand lapproche des sciences et
techniques, nous sparerons cette historique la fin de moyen ge pour voir que nous sommes
pass dune cryptologie rudimentaire (I), une cryptologie plus labore (II)
I - Dune cryptographie rudimentaire
Des lments pouvant se rapporter la cryptologie se retrouvent au cours de toute
lhistoire de lhumanit. Lart dinterprter les mystres, et donc de dcrypter le sens donn
tel ou tel vnement fantastique est le fondement de toutes les religions ayant accompagn
ltre humain dans son volution. Cette volution finalement conduit, les tats naissant
dvelopper leurs propres mystres pour leur scurit, une scurit parfois assure par
lagression. Nous passerons donc chronologiquement dune cryptographie naissante (A) une
cryptographie applique
A- Cryptographie naissante
Il ne semblerait pas absurde de faire remonter la cryptographie lre des hiroglyphes dont
certains furent utiliss sur des tombeaux alors que parfaitement inusits. Car le hiroglyphe
galement un aspect symbolique, et le sens donn certain signe nous chappe mais, semble
til chappait galement aux contemporains de ceux qui marquaient ainsi les pierres. Nous
entrons ainsi dans la phase mystique de la cryptologie. Le secret est en effet mystrieux et les
religions se nourrissent de mystre. La boucle est ainsi boucle.
3 Pour une approche historique complte voir KAHN, David, La guerre des codes secrets, Paris Interditions,1980
4
Il nest donc pas surprenant de voir certains moyens de cryptographie repris dans la
Bible, ainsi la substitution qui par un systme hbraque traditionnel (le Atbash), permet de
remplacer chaque lettre le lalphabet par celle qui est dans le mme ordre si lon rcite
lalphabet lenvers (a=z, b=y, etc.), SHESHAK devenant ainsi BABEL.
Dans la Chine antique ont avait recours la stganographie qui vise dissimuler le
message secret. Les Chinois recouvraient de cire des messages que le porteur dissimulait sur lui
ou avalait. Ce procd se retrouvait galement en Grce o lon pouvait tout aussi
ingnieusement cacher lexistence dun message en tondant un hraut sur le crne duquel on
tatouait linformation. Une fois la repousse des cheveux faite, une seconde tonte tait
ncessaire pour que le destinataire du message soit inform. Les encres sympathiques furent
galement un autre moyen de dissimulation du message quil est inutile de dtailler ici.
B- Cryptographie applique
Cest sans doute Sparte que lon doit la premire utilisation militaire4 de la
cryptographie grce la scytale. Ce systme consistait en un axe de bois autour duquel on
enroulait, de faon le recouvrir, un ruban. Le texte tait crit dans la hauteur de l'axe sur le
ruban qui tait ensuite droul tel quel par le destinataire. Ce dernier renroulait la bande sur un
bton de mme diamtre que le premier et le message se reformait. Que le bton soit trop large
ou trop troit et le message devenait illisible. En dautre terme, cette scytale est une cl sans
laquelle il est impossible de dchiffrer un message, une cl la disposition des gnraux et haut
magistrats : nous sommes au cinquime sicle avant Jsus-Christ et cette cryptographie
rudimentaire est dj un symbole de pouvoir.
Jules Csar utilisait quant lui un procd de substitution rudimentaire : chaque lettre de
lalphabet tait dcale de 3 caractres par rapport lalphabet. Il sagit ici dun systme simple
qui sapparente nos cryptages modernes dans le sens o
[cette substitution] traite un message sous forme symbolique, cest dire comme une suitede lettres, et quelle dfini une transformation sur ces lettres, que lon nomme unchiffrement 5
4 Nous dvelopperons cet aspect militaire dans la partie consacre la raison dtat (I)5 STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, page 25
5
II - une cryptographie plus labore
La cryptologie est une science qui respecte son temps, cest donc tout naturellement que
la fin du moyen-ge annona larrive dune cryptographie entrant dans lre de la modernit.
On pourra remarquer que cette modernit fut dabord le fait dindividus alors que les initiatives
de lpoque contemporaine proviennent plutt des tats. Le caractre stratgique de la
cryptographie ne fut pourtant jamais ignor, cest en fait lacclration des progrs techniques
appliqus la guerre qui suscita ce dveloppement, littralement exponentiel en puissance, de
la cryptographie, un dveloppent suivant les mmes rgles que celui de larmement. Cest donc
toujours avec la mme approche chronologique que nous aborderons la priode de la modernit
naissante (A), pour voir ensuite celle de la modernit en marche (B)
A- La modernit naissante
Jusquau moyen ge lintrt pour la cryptographie nvolua pas et finalement, cest avec
une certain respect pour lair du temps quen 1477 un italien, Leon Batista Alberti, fit voluer
la science des critures secrtes en inventant la substitution polyalphabtique, procd
permettant la correspondance de nombreux alphabets crypts en un seul clair.
figure 1 : Le cadrant chiffrant dAlberti
Le procd consiste utiliser 2 disques : lun est mobile lautre tant fixe. Lutilisateur
recours une lettre indice prise dans le cercle interne mobile (ici x=v), il suffit de faire
communiquer les autre lettres entre elles. Il faut convenir d'une lettre indice dans le cercle
interne, k, avec le correspondant puis l'on peut dbuter le cryptogramme par la lettre de
6
l'anneau place en face de la lettre indice. Mais l o Alberti engage la cryptographie sur la
voie de la complexit, est quand il crit : Aprs avoir crit 3 ou 4 mots, je peux changer la
position de la lettre indice en tournant le disque de faon que k soit, par exemple, sous le D.
Donc dans un message, j'crirai un D majuscule et partir de ce point k ne signifiera plus B
mais D et toutes les lettres du disque fixe auront de nouveaux quivalents.
Alberti ira plus loin quand il compltera]sa dcouverte par une autre inventiondterminante dans l'histoire de la cryptologie : le surchiffrement codique. En effet ilconstitua un rpertoire de 336 groupes de mots reprsents par toutes les combinaisonsallant de 11 4444. Mais le gnie d'Alberti tait trop en avance sur son temps et ce n'est que400 ans plus tard que les puissances mondiales utiliseront ce procd de surchiffrementcodique mais bien plus simplement. 6
Les procds cryptographiques volurent pour arriver deux sicles plus tard faire de la
cryptologie une science de mathmaticiens
B- La modernit en marche
Cest un mathmaticien milanais, Jrme Cardant, qui le premier, dveloppa au XVIme
sicle, lide du systme de lautoclave qui consiste considrer le message en lui mme
comme la cl. On pourrait galement traiter de la substitution polyalphabtique mais il sera
plus intressant de se rfrer directement louvrage de David Kahn7 et, de la mme faon,
nous ferons un bond chronologique jusqu notre sicle puisque le rel dveloppement de la
cryptologie est venu avec le ncessaire traitement de donns transmettre en
quantitindustrielles : comme toutes les sciences, la cryptologie est troitement lie lair du
temps.
Lentre dans la modernit sest dveloppe de faon remarquable lissue des deux
conflits mondiaux. Chaque guerre apportant les enseignements ncessaires pour prparer la
suivante. Ainsi la clbre machine Enigma fut utilise (et casse) lors de la seconde guerre
mondiale et prpare lissue de la premire. La chance fut dans le camps de allie
puisquavant de saborder un sous-marin allemand quasiment dtruit, les anglais eurent la
prsence desprit de le visiter. Un exemplaire de la machine secrte fut trouv facilitant ainsi le
dcryptage des communications allemandes.
6 MARIE, Fabrice, Histoire de la cryptologie, http://wwwmutimania.com/marief
http://wwwmutimania.com/marief
7
La machine Enigma ressemble une machine crire et fonctionne sur le principe du
rotor o 26 contacts apparaissent sur la face interne et sur la face externe et sont relies les uns
aux autres, elle est de plus compose de 3 rotor choisis parmi 5 ce qui permettait de dvelopper
un cryptage de plus dun millions de combinaisons. Le dcryptage consistant utiliser un
cheminement inverse.
Figure 2 : La machine Enigma
La guerre froide dvelopp tous ces systmes mcaniques et linformatique militaire
amlior les possibilits et la rapidit des outils de cryptographie.
7 KAHN, David, op. cit.
8
Section II - La cryptographie : une approche computerise 8
Computerise cest dire (vous excuserez langlicisme) que le cryptage ne peut plus
dsormais se passer dune utilisation de la puissance et rapidit de calcul des ordinateurs. Nous
sommes entr, dans cette matire aussi, dans un domaine qui dpasse les capacit danalyse de
ltre humain. La numrisation, en transformant toutes les informations (textes, images, sons)
en 1 et en 0 permet de rationaliser la cryptographie en donnant le mme outils pour toutes les
sortes de communication. Deux systmes de cryptage constituent la base de la cryptologie
moderne les cryptographies symtriques et asymtriques visent un change de cls.
Les cls de chiffrement sont bases sur la difficult de factoriser des grands nombres, il
est donc logique de voir ici que plus la cl est longue, plus le dcryptage devient complexe.
Nous allons dtailler ces notions grce aux deux grands systmes de cryptage : il sagit des
systmes de cryptage symtrique (I) et de type asymtrique (II). Diffrents, ces deux systmes
peuvent nanmoins tre complmentaires, il sagit prsent de les tudier.
I- Le cryptage symtrique
Deux exemples servirons dcrire cette forme de cryptage, ils obissent dailleurs aux
mmes rgles mais offrent des garanties de scurit diffrentes. Nous verrons ainsi
successivement le DES (A) et lIDEA (A)
A- DES (Data Encryption Standard)
Nous sommes au dbut des annes 1970, cette poque seule la cryptographie militaire
droit des budgets consquents. Cela dit pour des raisons de secret, rien ne transparaissait et
la cryptographie tait un espace protg. LAgence nationale de scurit amricaine (NSA pour
National Securiy Agency) nexistait mme pas pour le public, cet organisme navait donc
8 En plus dautre sources, louvrage de rfrence sera ici sans conteste celui de Schneier qui lavantage dtreassez accessible pour celles et ceux qui ne sont pas mathmaticiens :SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2me d., International Thomson Publishing France,1997, 846 pages pour ldition francophone.
9
aucune existence officielle. La cryptographie non militaire tait quant elle parpille, il
nexistait aucune norme ou quasi norme dans ce domaine et, surtout, aucune garantie quant la
relle scurit de ces procds cryptographique. Selon un rapport du gouvernement des tats-
Unis,
Les implications profondes du lien entre les diffrentes variantes de mcanismes de clefs,ainsi que les principes de fonctionnement et la force relle des quipements de chiffrement etdchiffrement taient, et sont encore, virtuellement inconnus de presque tous les acheteurs, et ilest trs difficile de faire des choix bien informs quant au type dquipement en ligne, horsligne, gnration de clef, etc.- qui satisfassent les besoins en scurit des acheteurs. 9
Il fut donc lanc un appel doffre pour dvelopper un algorithme standard de
cryptographie unique, susceptible de protger les donnes numrises tant lors de leurs
transmissions que lors de leurs stockages. Les conditions pour valider un tel standard devaient
tre un haut niveau de scurit, une facilit dutilisation, disponible tous les utilisateurs, une
scurit dpendant de la cl, adaptabilit diverses application (messageries, transferts
financiers), efficacit, exportabilit, rentable conomiquement.
Cest finalement IBM qui fut charg du dveloppement du DES par la NSA et le DES fut
adopt au niveau fdral le 23 novembre 1976. Le DES est un systme de cryptographie
symtrique cl secrte unique. Cette mme cl permet la fois de crypter et de dcrypter un
message.
Pour donner une brve description technique, le DES permet de dcouper un message en
tranches traits sparment. Contrairement un systme de type Enigma, lintrt est que le
programme de chiffrement nest pas secret, loutil importe peu car cest de la cl que dpend le
secret (et nous nous rapprochons finalement du systme de la scytale lacdmonienne dont le
secret dpendait du bton utilis). La confidentialit de ce systme repose sur lutilisation
dune cl secrte de 64 bits dont 56 sont utiliss lors de nombreuses oprations de manipulation
de donnes . [Le DES opre dabord un dcoupage du texte clair en segments de 64 bits].
lintrieur de ce segment, il permute les 32 premiers bits avec les 32 suivants 10, suivent alors
de multiples permutations qui rendent le dcryptage impossible.
9 DAVIS, R.M., The Data Encryption Standard in perspective , Computer Security and the Data EncryptionStandar. National Bureau of Standards , Washington DC, fevrier 1978. Special publication 500-27, cit parSchneier page 282.
10 Voir Pirate mag, hors srie n1, juillet 1999, p.17
10
Le DES est capable de rsister la plupart des attaques et en 1993 on estimait un cot
de un millions de dollars US le dveloppement dun ordinateur capable de casser la cl DES en
3 heures et demi. Le cot dun tel systme est donc prohibitif et ne rend le dcryptage possible
quaux tats ou aux grandes compagnies.
figure 3 : le systme DES
Reste quil faut sinterroger sur la fiabilit du DES de nos jours. Des rumeurs persistent
affirmer que la NSA aurait cach une brche secrte dans lalgorithme. Peut-tre Cela dit,
selon des estimations de 199711, sil fallait trois millions de dollars amricains pour casser le
DES en 1993, les cots sont diviss par 5 tous les 10 ans. cela sajoute la rapidit croissante
des ordinateurs qui permettront rapidement de casser la protection des documents; enfin la
possibilit de mettre les ordinateurs en rseaux permettent damliorer encore ce rsultat. Il
nen demeure pas moins que le DES est une assez bonne protection contre les individus et
11 SCHNEIER, Bruce, op. cit., p 318
11
compagnies au budget plus modestes. Enfin, il est toujours possible de dmultiplier les
algorithmes.
En effet, la solution du triple DES semble satisfaisante, il sagit de chiffrer chaque bloc
du message sous 2 (deux) cls diffrentes de 56 bits : on chiffre par la premire, applique le
dchiffrement correspondant la seconde, et chiffre de nouveau avec la cl initiale 12. Cela
tant de grands problmes demeures dans ce systme cl unique et ce quelque soit sa force:
- lchange des cls est ncessaire comme pralable toute communication scurise
dun secret
- Cet change se dmultiplie quant il sagit de communiquer plusieurs secrets diffrents
plusieurs personnes diffrentes. Dans ce cas il y a un srieux problme dans la gestion
des cls, moins de donner tous la mme cl au risque de tuer le secret, ce qui devient
absurde.
Contre les attaques plus puissantes, il est gnralement admis que le DES est prim ou,
tout au moins en voie de ltre. Pour Philip Zimmermann,
Mme les trs bons logiciels, qui utilisent le DES dans le mode dopration correct prsentent encoredes problmes. Le standard DES utilise une cl de 56- bit, ce qui est trop petit pour les normes actuelles, etpeut maintenant tre aisment casse par des recherches exhaustives de la cl sur des machines ultrarapides spciales. Le DES a atteint la fin de sa vie utile, et voil pourtant encore des logiciels qui y fontappel. 13
Les systmes de cryptage asymtrique visent rgler ces problmes, mais un algorithme
comme IDEA rgle avec efficacit lobsolescence du DES
B- L'IDEA (International Data Encryption)
Si lIDEA est beaucoup moins populaire que le DES ou le RSA, il nen demeure pas
moins quil semble tre lalgorithme de cryptage le plus puissant et le plus sr14. Son utilisation
est dailleurs popularise par PGP qui lutilise dans sa fonction de chiffrement. Pour lhistoire il
a t invent en 1990 par Xuejia Lai et James Massey. Si lon tarde pour remplacer le DES
12 STERN, Jacques, op. cit., page 17613 ZIMMERMANN, Philip, Mode demploi de PGP freeware version, document pdf disponible cette adresse,http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm14 Tout au moins selon Bruce Schneier, op. cit. p 339
http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm
12
pour lIDEA cela tient au fait quil soit brevet et ncessite une licence pour ses applications
commerciales
LIDEA dispose dune cl de 128 bits ce qui suppose 2128 chiffrements pour retrouver la cl15 :
Concevez une puce qui peut tester un milliard de cls par secondes et mettez en un milliard la tche, cela prendrait 1013 annes, cest plus que lge de lunivers. Une matrice de 1024
puces pourrait trouver la cl en un jour mais il ny a pas assez datomes de silicium danslunivers pour construire une telle machine. 16
Il sagit donc dun des algorithmes les plus puissant qui soit. Il semble ainsi dmontr que
le cryptage sapproche dune certaine perfection puisque le dcryptage deviendrait impossible.
II- La cryptographie asymtrique (exemples du RSA et de PGP)
Lobjectif ayant conduit au cryptage asymtrique est de rgler le problme du transfert
des cls. Nous lavons vue implicitement plus haut : avec une mme cl symtrique il est
possible de dchiffrer et de dchiffrer. Aussi, Whitfield Diffie et Martin Hellman dcouvrirent
une solution simple : en cryptologie lintrt dest pas vraiment dempcher lennemi de
chiffrer (encore que, nous le verrons, les limitations lexportation des algorithmes de
chiffrement reviennent cette solution); en fait lintrt de cryptage est seulement dempcher
le seul dchiffrage. Nous dtaillerons donc le systme RSA qui reprend ce principe (A), pour
voir ensuite le systme PGP qui ne comprend pas seulement du chiffrement asymtrique mais
quil fallait toutefois dcrire puisquil semble constituer une norme de fait sur linternet.
A- L'exemple du RSA
Le systme RSA fut dvelopp lorigine aprs que ses auteurs saperurent quils
narriveraient pas dmontrer linfaillibilit de la thorie de Diffie et Hellman Le cryptage
asymtrique RSA (des professeurs Rivest, Shamir et Adelman) fonctionne sur le principe de
factorisation dentiers par des entiers premiers (divisibles uniquement par 1 et eux-mmes).
Globalement le systme de cryptage du RSA repose sur un postulat simple : sil est facile de
dterminer que 52 X 84 = 4368, il devient complexe de dterminer quels nombres aboutissent
15 peut prs 340 282 366 920 938 463 463 374 607 431 770 000 000 de chiffrements
16 SCHNEIER, Bruce, op. cit., p. 342
13
ce rsultat, qui plus est en factorisant des nombre premiers difficiles retrouver dans le cas de
grand nombres Pour la description technique il serait utile encore une fois de consulter les
documentations pertinentes17. Nous dcrirons par contre concrtement le fonctionnement de ce
systme
Alice18 dsire communiquer avec Robert. Pour que leurs correspondances soient cryptes,
elle informe Robert de lexistence dune cl publique grce laquelle Robert pourra crypter son
message. Alice recevra le message crypt par la cl publique et le dcryptera grce sa cl
prive qui reste, quant elle, confidentielle.
Le systme fonctionne donc avec 2 cls complmentaires :
Figure 4 : le systme des cls RSA
Le procd reste confidentiel car la seule utilit de cette cl est de crypter un message.
Une fois en possession de la cl publique Robert na plus qu lutiliser pour transmettre un
message (figure 5) et, si possible, en profiter pour y insrer sa propre cl publique pour
quAlice puisse lui rpondre son tour en toute confidentialit :
17 SCHNEIER, Bruce, op. cit., p. 491, ou encore Pirate Mag, Hors-Srie n1, juillet 1999 qui reprend les mmesexplications pour seulement 12 francs18 Parmi tous les ouvrages consults les prnoms Alice et Robert (ou Bob) reviennent systmatiquement. Nousserons plus original la prochaine fois.
14
Lavantage du systme utilisant des cls asymtriques rside dans le fait que la cl prive
na pas besoin dtre connue par celui qui envoie un message. Il sagit donc dune srieuse
amlioration par rapport au systme DES. Par contre ce systme est lourd grer pour des
fichiers de grande taille ,
titre de comparaison, install sous forme de logiciel, le DES permet de raliser desfonctions 100 fois plus rapidement que le logiciel RSA, alors que dans le cas du hardware ,le DES savre cette fois de 1000 10000 fois plus rapide. 19
figure 5 : le systme RSA
Devant ces lenteurs, la solution consisterait utiliser conjointement les deux formats de
protection. En effet, il peut tre utile de combiner les avantages du RSA sur le secret des clefs
et ceux du DES (ou triple DES) pour la rapidit dexcution. Ainsi rien nempche de transfrer
une cl DES grce au RSA et de crypter ensuite le message grce lalgorithme DES. Ce
19 RSA, RSA, http://www.rsa.com/rsalabs/faq/faq_rsa.html, cit par Pierre Trudel : Trudel, Pierre et autres, Droitdu cyberespace, Montral, ditions Thmis, 1997, chap. 19, page 20
http://www.rsa.com/rsalabs/faq/faq_rsa.html
15
systme sappelle lenveloppe numrique . Cest dailleurs le type de systme quutilise
PGP en combinant lIDEA avec le RSA.
Mais le systme RSA permet galement une authentification de lexpditeur du message :
si Alice dcide de coder la signature de son message laide dun autre jeux de cls, elle sera la
seule pouvoir crypter des messages avec une cl de dchiffrage, il suffira alors aux
destinataires de vrifier lauthenticit de la signature laide de le cl de dcryptage que seul
Alice peut leur avoir donn. Les deux cls sont bel et bien complmentaires.
Lauthentification garantie, il importe galement de s'assurer que le document envoy na
pas t corrompus. En effet dans ce mmoire, nous traiterons de la cryptologie la lumire du
droit. La preuve lectronique entre tout naturellement dans le cadre de ce travail car la
cryptographie, laide des cls asymtriques, permet dempcher toute modification des
documents et ce dune faon plus sre quavec le format papier.
Lintgrit du document est assure grce la fonction de hachage qui tablit une
correspondance entre une chane binaire de longueur arbitraire et une chane binaire de
longueur fixe et qui a les proprits suivantes :
- il est impossible sur le plan calcul de trouver une donne d'entre qui correspond une
donne de sortie prtablie;
- il est impossible sur le plan calcul de trouver deux donnes d'entre distinctes qui
correspondent la mme donne de sortie.20
Par le hachage il est impossible de modifier un document sans modifier lemprunte du
message. Lintgrit du document est ainsi vrifie sans le moindre doute. Le systme
sapparente la cl des cartes bancaires qui se contente dattribuer une courte valeur la chane
20 Groupe de travail sur le commerce lectronique Industrie Canada, Politique cadre en matire de cryptographieaux fins du commerce lectronique, Pour une conomie et une socit de linformation au Canada Politiquecadre en matire de cryptographie aux fins du commerce lectronique Fvrier 1998, http://strategis.ic.gc.ca/crypto
Lire aussi RIVEST, R.L., The MD4 Message digest Algorithm. , Advances in cryptology, CRYPTO90Proceedings, p. 303-311 propos du logiciel MD4, spcifique au hachage par emprunte de la source de 128 bits
http://strategis.ic.gc.ca/crypto
16
des chiffres composant le numro de la carte. Cette fonction est par contre amliore par la
fonction de hachage puisqu un document correspond une valeur de hachage bien prcise.
B- Le cas de PGP : Pretty Good Privacy (assez bonne confidentialit)
PGP tient sa principale qualit de sa grande popularit : il semble de facto tre devenu
une norme dans tout ce qui concerne lchange de courrier lectronique. Son fonctionnement
est semblable celui du RSA pour ce qui est de la gestion des cls :
PGPfreeware est bas sur un systme de cryptographie cl publique largement accept ethautement prouv, comme montr dans la Figure 5, par lequel vous et les autres utilisateurs dePGP gnrez une paire de cls consistant en une cl prive et une cl publique. Comme son nomlimplique, vous tes le seul avoir accs votre cl prive, mais de faon correspondre avecles autres utilisateurs de PGP vous avez besoin dune copie de leur cl publique, et eux besoindune copie de la vtre. Vous utilisez votre cl prive pour signer les messages e-mail et lesfichiers attachs que vous envoyez aux autres et pour dcrypter les messages et fichiers quilsvous envoient. Inversement, vous utilisez les cls publiques des autres pour leur envoyer un e-mail crypt et vrifier leurs signatures numriques. 21
PGP comprend galement un algorithme de cryptage sinspirant dIDEA, ce logiciel
crypte galement la cl priv de lutilisateur en utilisant plutt quun mot de passe une phrase
de passe Enfin, PGP dispose dune mthode originale de certification des cls distribues :
chaque utilisateur contribue promouvoir la certification des cls distribues (voir la figure 6)
La puissance de PGP semble dsormais admise : elle est considrable.
Si tous les ordinateurs personnels du monde 260 millions taient mis travailler sur un seul messagecrypt avec PGP, cela prendrait encore un temps estim 12 millions de fois l ge de lunivers, enmoyenne, pour casser un simple message.
William Crowell, Directeur dlgu, National Security Agency, 20 Mars 1997.
21 Mode demploi de PGP freeware, disponible cette adresse :http://wwwcl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm
http://wwwcl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm
17
Figure 6 : le systme de certification des cls publiques par PGP
18
Nous avons vu que la cryptographie est un jeux qui se joue deux. PGP est un logiciel
ouvertement destin contrer les attaques puissantes (et notamment gouvernementales). Nous
profitons donc de cette partie consacre ce logiciel pour parler de cette autre versant de la
cryptologie : le dcryptage agressif. Si aucun algorithme de cryptographie nest incassable, le
temps ncessaire dtruire sa rsistance est par contre un srieux lment de dissuasion. La
solution au dcryptage forc nest donc pas raisonnablement un seul travail de cryptographe.
Des moyens dtourns existent comme la contamination dun logiciel de cryptage par un
virus afin de pouvoir rcuprer les mots de passe de lutilisateur. Un autre moyen intressant
est le Tempest22 qui permet de capter distance les champs lectromagntique de tout appareil
lectrique. Ces appareils mettent des parasites, par exemple lcran de lordinateur se met
ainsi scintiller avant mme que la sonnerie dun tlphone cellulaire ne tinte. Lordinateur
rayonne comme un metteur radio. Il semble alors inutile de dpenser des fortunes et des
sicles dcrypter ce que lon peut lire en clair la source ou chez le destinataire, le cryptage
nest en effet quune phase intermdiaire23. Des protections existent (tout local revenant
raliser une cage de Faraday) mais elles sont onreuses, de plus les fils lectriques constituent
autant dantennes propageant les signaux lectro-magntiques Toutes ces raisons sont
rsums par le nom mme de PGP, qui nassure quune assez bonne confidentialit dans le
cryptage pur, en attendant quun jour un cryptanalyste nen casse la cl.
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: PGPfreeware 6.0 for non-commercial use
LQFvBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJF
mAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G
4QKZYAg02wiFndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NhfWHuGppbA1y4cbaSmnGAn6me3DZiKgBn/Gh
0ZfjHMC/Asu41TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3
fU4SmwA1100NZMl0YjlD6Ncsg2aRBsJjMR3LfejdkGNmEpEepv8DAwIKoFAfj5rZV2BzHNFZ5UssZZqT9XxZ3BPgFPdOO73ws88CQt8
TefJ/PbQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6dAQQEN4iFlBADAQEErx02pZsgEoJLDUV4PQ0QkgXYJ2hnqUC0
sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UHmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8AAgIC/0cFCM
+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hIS
ACdAE1Grz2oLiB9096v8DAwLR+Lf6eLNCnmAxJrT8PO+O8RvX+noiU94H9Sfckm5GTDQyWeUxeUWSND3nbkuSIayB3w===fpfV
-----END PGP PRIVATE KEY BLOCK-----
22 Transient Electromagnetic Pulse Emanation Surveillance Technology (Technique de surveillance des impulsionslectromagntique transitoires), voir le dossier sur le Hors srie de Pirates Mag op. cit, p. 10
23 Lire ltude de Ross J. Anderson, finance par Microsoft dans le but de pouvoir vrifier distance la validit deslicences des logiciels utiliss, http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf, visionn le 20 juillet 1999
http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf
19
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.0 for non-commercial use
MQFCBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJ
FmAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G4QKZYAg02wi
Fndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NHfWHuGppbA1y4cbaSmnGAn6me3DziKgBn/Gh0ZfjHMC/Asu4
1TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3fU4SmwA1100NZMl0YjlD6Ncsg2
aRBsJjMR3LfejdkGNmEpEeprQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6JAEsEEBECAAsFAjeIhYMECwIDAQAKCRAHqW7IP8u1f
tDKAJ4mTnCsEyJ3T6ATCJcMZ0q/LhBkMgCePLq0zgKCNznA+1G90Q5FdqfPBVu5AM4EN4iFlBADAQEErx02pZsgEoJLDUV4PQ0Qk
gXYJ2hnqUC0sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UhmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8A
AgIC/0cFCM+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1
ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hISACdAE1Grz2oLiB9096okARgQYEQIABgUCN4iFlAA
KCRAHqW7IP8u1fnObAKDtMx+Nza/mDRNejN9TvePCekrpjQCgukc/5/e2brKsVIZvmMbTyGf8H5w==sjJo
-----END PGP PUBLIC KEY BLOCK-----
Figure 6 : Format de cls publique et prive PGP 768 bits
Dans ce long chapitre introductif nous avons dtaill la cryptographie dans toutes ses
approches, principalement historiques et techniques. Depuis une trentaine dannes la
cryptographie nest plus un domaine spcifiquement rserv aux gouvernements, les enjeux
commerciaux ont galement dvelopp la recherche du secret. Le dveloppement du commerce
lectronique et la mise disposition de linternet au grand public ont incontestablement cr un
besoin de confidentialit pour les donnes changes. Il apparat alors que deux ralits se
prsentent dans toute approche contemporaine de la cryptologie. En effet, la seule raison dtat
nest plus suffisante pour justifier un monopole gouvernemental dans lutilisation et le
dveloppement de moyens cryptographiques. La raison commerciale est dsormais une
justification devenue lgitime. Pour James Massey, 24
Ce nest que depuis 10 ans, en fait, que la recherche cryptographique ouverte (non militaire,non secrte) se rpand. Il y a eu, et il continuera dy avoir, des conflits entre les deuxcommunauts de recherche. La recherche ouverte est une qute commune de la connaissance quidpend de faon vitale du libre-change des ides par le biais des prsentations lors desconfrences ou des publications dans les journaux scientifiques .
Une opposition sinstalle alors entre les intrts privs et les intrt gouvernementaux.
La cryptogologie est la science visant protger le secret des informations, aussi dans ce
mmoire, nous porterons notre intrt sur la protection des informations afin dexplorer le
double aspect raison dtat (chapitre I) et raison commerciale (chapitre II), le tout pris
dans une approche chronologique.
20
Chapitre I : La protection des informations face la raison
d'tat
Les annes 1990 sont marques par l'entre de la socit de l'information. Les rseaux
gnrent un grand nombre de donnes. Ces gisements dinformation, considrables et dtaills,
peuvent tre utiliss l'insu des personnes pour constituer des profils individuels ou surveiller
la navigation d'un internaute. L'exploitation des informations circulant sur Internet, ainsi que la
mmorisation des donnes peut transformer l'internaute en objet de surveillance, le citoyen en
individu pi.
"Peut-on admettre que le monde de l'Internet renvoie celui des Incas o portes et fentresdevaient tre en permanence ouvertes pour que les inspecteurs puissent voir tout instant ce quise passait l'intrieur des foyers ?25"
Face ces caractristiques, s'oppose l'intrt de la nation. Le dsire d'couter tout
ce qui peut ce dire, prvenir l'imprvisible et protger l'tat contre toute agression.
La science du chiffrement est fortement marque par un pass militaire. D'ailleurs,
l'origine, il a t invent et dvelopp pour et par ces institutions militaires. La marque
du "secret-dfense" est prsente dans toutes rglementations concernant la cryptologie
(section I). Mais la communication des individus, se fait de plus en plus par
l'intermdiaire de rseaux complexes que l'individu ne matrise plus. Aussi, il ne peut
avoir confiance en ce qui se passe sur ces rseaux. Donc, il recherche un moyen de
protection adapt ces nouvelles circonstances et naturellement il se tourne vers la
cryptologie. Malheureusement, son utilisation par des particuliers n'est pas
favorablement perue par tous les Etats (section II). Mais, la protection de la sphre
prive de chacun passe par une ncessaire confidentialit (section III).
24 MASSEY, J.L., An introduction to contempory cryptology. Proceedings of the IEEE, vol. 76, n5, mai 1988, p.533
21
Section I : La cryptologie considre comme une arme de guerre
Un des rles de l'tat est la dfense voire la promotion de certaines valeurs, mais aussi
assur le maintien des intrts de la scurit nationale. Contre cet intrt national, la cryptologie
reprsente un vritable danger. En effet, issu des mthodes militaires, popularis par le
dveloppement fulgurant de la puissance des ordinateurs, le cryptage garantit si bien la
confidentialit des changes qu'il met la police et les services de renseignement en difficult.
Trop puissant, il rend indchiffrable de manire exploitable, les messages lectronique.
En revanche, pour le particulier, la cryptologie constitue le premier outil de protection
efficace de sa vie prive. De mme, pour celui ayant des intentions malveillantes, c'est une
aubaine. La cryptologie permet d'chapper aux fameuses coutes et autres interceptions.
Aussi, rglementer la cryptologie met en prsence deux intrts antagonistes. Mais toute
rglementation est ncessairement un compromis entre les besoins de protection demands par
les utilisateurs des nouvelles technologies (II) et les ncessits de la scurit publique qui
rclame un contrle absolu (I).
I - Des rglementations pour un contrle absolu
Devenus accessibles au plus grand nombre, les outils cryptographiques sont trs vite
apparus comme le vhicule dune opposition entre ceux que lon appelle les crypto-anarchistes
(favorable une libert de laccs et de lutilisation des outils cryptographiques) et les autres,
plutt favorables un maintient de la tutelle tatique. Les lois et dcrets concernant la
cryptographie de tous les pays du monde sont devenus caractristiques dune certaine idologie
des tats ou de leurs responsables politiques.
Globalement trois grands soucis proccupent les partisans de la raison dtat ou, tout au
moins de la restriction dans lusage et dans la dissmination des outils cryptographiques. Dune
part, il y a principalement des raisons de scurit nationale, en effet, il y a un contrat social
entre ltat et ses sujets, ces derniers attendant de leur Lviathan paix, ordre et scurit. Or, si
25 18me rapport d'activit de la CNIL.
22
elle est libralise, la cryptographie, en empchant la lecture et lanalyse des communications
interceptes, rend le rle de ltat difficile tenir : le contrat social risque de ntre plus assur.
Dautre part, libraliser la cryptographie cest peut tre aussi le risque de voir se dvelopper
plus encore les cas de trafics financiers, de blanchiment dargent, lespionnage ou le
terrorisme ; nous pouvons dailleurs noter sur ce point que ces risques sont ceux gnralement
points du doigts lorsque lon traite habituellement des problmes tenant lapplicabilit du
droit sur linternet. Enfin, et dans une optique plus interne aux tats, la libralisation des outils
cryptographiques serait aussi le moyen de crer un crypto-terrorisme ou un crypto-chantage
contre les projets scientifiques publiques ou privs, en effet on peut imaginer une intrusion dans
certains systmes et un cryptage agressif des disques dur des ordinateurs. Tous ces cas ne sont
pas thoriques,
For exemple the Italian Mafia apparently uses PGP, as did an employee of a softwarecompagny who has been accused of stealing multimillion-dollar software. Also, Aldrich Ames,while spying for the Soviet Union, used very weak encryption which was easily cracked 26.
Les mmes auteurs donnent dailleurs sept autres exemples notamment celui de lattentat
de la secte Aun au gaz Sarin dans le mtro de Tokyo. Dans cette affaire les autorits japonaises
ont russis dcrypter des informations prvoyant un massif dploiement darmement contre le
Japon et les tats-Unis. Il est toutefois des cas o le dcryptage pose des problmes. Selon
Louis J Freeh27, le directeur du FBI, il ny eu que peut de cas o le cryptage empch la
justice doprer, cela dit nous sommes dans un sujet sensible o le secret est la rgle.
Pour traiter des rglementations nationales, nous avons artificiellement dcoup cette
section entre lEurope (A) et lAmrique du Nord (B) du fait que ces deux zones regroupent
lessentiel des intermdiaires prenant part linternet. Il est noter que larticle de Wayne
Madsen pour lElectronic Privacy Information Center28 est une source intressante sur ltat du
droit en matire de cryptage, il donne ainsi un bref tat de la situation dans 76 tats du monde
en ajoutant un code de couleurs :
26 Pour des cas concrets : DENNING, D.E . et W.E. Baugh JR, Cases Involving encryption in crime and terrorism,http://guru.cosc.georgetown.edu/~denning/crypto/cases.html, visionn le 20 juillet 1999
27 Cit par ACKERMAN, Wystan M., Encryption : a 21st century national security dilemma , Internationalreview of law computer & technologie, volume 12, number 2, pages 371-394, 1998
28 http://www.epic.org
http://guru.cosc.georgetown.edu/~denning/crypto/cases.htmlhttp://www.epic.org
23
a "green" designation signifies that the country has either expressed support for the OECDguidelines on cryptography (nous en reparlerons), which genaraly favor unnhindered legal useof cryptography, or has no cryptography control. A "yellow" designation signifies that thecountry has proposed new cryptography controls, including domestic use controls, or has showna willingness to treat cryptographic-enabled software as a dual-use item under the WaasenaarArrangement. A "red" designation denotes countries that have instituted sweeping controls oncryptography, including domestic controls. Some countries do not fit neatly into one of the threecathgories, but trends may show them as being bordeline, i.e., "yellow/red ". 29
A- Les normes europennes
Les mthodes cryptographique utilises ltaient surtout par des militaires ou des
diplomates 30. Cest ce caractre darmes de guerre qui a valu la cryptographie dtre
rglemente de faon trs svre, notamment en France et au niveau europen. En revanche,
pour la Belgique, lapproche fut moins draconienne31.
La rglementation belge :
Le 21 dcembre 1994, le lgislateur belge a vot une loi portant sur des dispositions
sociales et diverses32. Au sein de cette loi, trois articles, assez nbuleux, taient censs
rglementer la matire de la cryptographie en Belgique.
Grce ces trois articles, la loi du 21 dcembre 199133, dite loi portant rforme de
certaines entreprises publiques conomiques , a t enrichie dun nouvel article 70bis. Dautre
part, ce dernier est venu complter larticle 95 alina premier de cette mme loi. Cette dernire
rglemente le cadre lgal de toute la matire des tlcommunications diffuses partir
29 MADSEN, Wayne et aut, Cryptography and liberty : an international survey of encryption policy , The JohnMarshall Journal of computer & information law, Chicago, spring 1998, p. 48230 SYX, D : Vers de nouvelles formes de signature ? le problme de la signature dans les rapports juridiqueslectroniques, in Droit de linformatique, 1986/3, p133 et s.
31 BALTHAZAR Graldine, application et rglementation de la cryptologie en Belgique et en France Wintersemester 1996-1997-seminarabeit.
32 Loi du 21 dcembre 1994, moniteur belge du 23 dcembre 1994 ; BONAVENTURE Olivier : encryptage enBelgique : La loi , http://pgp.netline.be/cryptage/loi.html .
33 Loi du 21 mars 1991, MB du 27.03.1991 pp 6196-6197 et pp 6202-6203
http://pgp.netline.be/cryptage/loi.html
24
dappareils terminaux34. Certains politiciens ont considr que cette loi sappliquait galement
aux logiciels informatiques et par consquent linternet.
La loi du 21 mars 1991 a vu son article 95 alina 1 complt comme suit :
Le Ministre peut, sur proposition de lInstitut [Belge des services postaux et destlcommunications - IBPT] retirer un agrment ou imposer une interdiction de maintenir leraccordement linfrastructure publique de tlcommunications lorsquil savre que(...)5 lappareil terminal rend inefficace les moyens permettant, dans les conditions prvues auxarticles 88bis et 90ter 90decies du Code dinstruction criminelle, le reprage, les coutes, laprise de connaissance et lenregistrement des tlcommunications prives .
De ce fait, l'IBTP peut proposer des cls de cryptage au gouvernement. Donc, il na quun
rle de conseiller du gouvernement.
Le nouvel article 70bis fut rdig comme suit :
Le Roi fixe, par arrt dlibr en conseil des ministres, les moyens techniques par lesquelsBelgacom et les exploitants des services non rservs35 quil dsigne doivent permettre, le caschant, ventuellement conjointement, le reprage, les coutes, la prise de connaissance etlenregistrement des tlcommunications prives dans les conditions prvues par la loi du 30juin 1994 relative la protection de la vie prive contre les coutes, la prise de connaissance etlenregistrement de communications et tlcommunications prives .
De cette faon, cet article prvoit que, moyennant un arrt dapplication dlibr en
conseil des ministres, lutilisation de dispositifs de cryptage, pourrait tre totalement interdite.
Donc, le gouvernement a le pouvoir d'interdire lutilisation dun mcanisme de cryptage, et ce
quel quil soit, quelque moment que ce soit et selon son bon vouloir.
tant donn les incertitudes engendres par cette loi, lIBTP36, suivis par quelques auteurs37, a
interprt cet article comme ne sappliquant pas aux logiciels. Mais ce nest quune
34 Dfinis dans la loi du 21 mars 1991 comme toutes installation qui peut tre raccorde directement linfrastructure de tlcommunication par un point de raccordement pour transmettre, traiter ou recevoir lesinformations vises au 4 .
35 Selon les articles 83 et 87 de la loi du 27 mars 1991, les services non rservs sont dfinis comme tant tous lesservices de tlcommunications qui ne sont pas les services de tlphonie, les services de tlex, de mobilophonie etde radiomessagerie, les services de commutation de donnes, le service tlgraphique et enfin, la mise disposition de liaisons fixes.
36 IBTP, Avenue de lAstronomie, 14, B-1030 Bruxelles
37 DUMORTIER, jos, Cryptogrfie is niet verboden , http://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu.htm .
http://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu.htmhttp://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu/htm
25
interprtation doctrinale conforte par aucun texte lgal. En effet, aucun arrt dapplication na
t pris depuis la promulgation de la loi.
Face cet aspect flou de larticle 70 bis, la classe politique a interrog directement le
ministre de la justice belge, sur lventualit dune prohibition totale de la cryptographie38. Ce
dernier a rpondu que :
Rendre obligatoire le dpt des cls des terminaux auprs des autorits de manire pouvoirlire en cas denqute des messages crypts ne rsoudra pas tous les problmes , dautant quelinterdiction de la cryptographie sest avre irralisable sur les plans juridique et techniquedans dautres pays 39.
Ici, le ministre cest montr prudent. Au regard des enjeux conomiques, auxquels nuirait
linterdiction de tous procds de cryptage, et en pratique, cette interdiction est peu raliste sauf
si elle est suivis au niveau mondial. tant donn que linternet est un phnomne international,
sans une certaine cohrence entre les politiques nationales aucun rsultat tangible nest
ralisable. De plus, des arrts permettant daccder des informations touchant
essentiellement des liberts individuelles seraient contraire la constitution belge. Tout ceci
pourrait expliquer linterprtation de cette loi, selon laquelle elle ne sapplique pas aux
logiciels.
Mais, mme si lide dune prohibition totale de la cryptologie est exclue (pour des
raisons pratiques et juridiques), la rglementation de son utilisation reste une faon dviter des
abus ou au moins de les minimiser.
Pour cela, diverses propositions furent lances dont une pouvant apporter une solution
satisfaisante.
Parmi les propositions avances par les parlementaires, une envisageait la suppression
des articles posant problmes, en y substituant un nouveau rgime. Celle-ci adoptait lide
dune accessibilit maximale aux cls de cryptage. Mme Bribosia ( lorigine de cette
proposition) proposait de complter les dispositions du code dinstruction criminelle Belge, afin
38 Question pose au snat le 9 mai 1996, par Mme Bribosia-Picard (PSC) M. De Clerck, ministre de la justicebelge, http://pgp.netline.be/crytpage/question-complte-bribosia.html
39Ibidem
http://pgp.netline.be/crytpage/question-complte-bribosia.html
26
de prvoir un cadre lgal laccs par les autorits judiciaires aux informations sur le rseau
Internet40. Ce systme ressemblait fortement celui prvu en matire dcoutes tlphoniques,
mais adapt l'internet.
Ainsi, le juge dinstruction pourra obliger toute personne susceptible de laider le faire, dans
la mesure o cette aide est ncessaire pour son investigation. Il est ncessaire quil y ait des
indices srieux dune infraction grave et que les autres moyens dinvestigation ne suffisent pas
la manifestation de la vrit. Bien videmment, laide ne pourra tre demande et ordonne
qu lgard des messages envoys ou par des personnes souponnes, sur la base dindices
prcis, davoir commis linfraction, et lgard des messages envoys ou par des personnes
prsumes, sur la base de faits prcis, tre en communication rgulire avec un suspect.
Toute personne susceptible de laider sera donc cite en justice et sera tenue de
comparatre, dfaut de quoi elle se verra infliger une amende.
Les conditions du dcryptage seront trs strictes ; le juge ne pourra en faire usage que pour
procder au dcryptage des messages faisant lobjet de linstruction. Son mandat, cest--dire
son accs un site, ne sera valable que pour une priode dtermine qui ne pourra jamais
dpasser six mois. La conservation des messages ne pourra se faire que sous les conditions trs
strictes de larticle 90septies du Code dinstruction criminelle et le juge sera oblig de dtruire
la cl de cryptage une fois la priode de surveillance passe.
Dans lhypothse o la surveillance concerne des personnes ayant la qualit de mdecin
ou davocat, le respect du secret professionnel devra tre garanti. Dautre part, le btonnier ou
le reprsentant de lordre des Mdecins devra en tre averti. (Articles 91septies et 91octies)
Les sanctions qui toucheront les personnes refusant de cooprer seront des peines pnales
svres : emprisonnement dun cinq ans ou amende de 100 5.000 FB41.
40BONAVENTURE Olivier, Question pose par Mme Bribosia-Picard (PSC) M De Clerck, Ministre de laJustice, question pose au snat le 9 mai 1996, http://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.html
41 Au regard des peines demprisonnement qui sont galement prvues dans cet article, le montant des amendespeut paratre drisoire mais il faut savoir que les montants des amendes pnales en droit belge doivent tre majorsde 1990 dcimes, montant prvu par une loi du 5 mars 1952, modifie la dernire fois par une loi du 24 dcembre1993. En ralit donc, les peines varient dun montant denviron 20.000 FB 1.000.000 FB
http://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.htmlhttp://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.html
27
Ainsi, la proposition de Mme Bribosia semblait une alternative srieuse mme si elle ne
prvoyait pas le cas dune fuite dinformation au niveau de ltat ou encore si le nom de la
personne susceptible daider le juge dinstruction tait lui-mme crypt. Mais cette proposition
nest toujours pas vote, et on peut supposer que la Belgique attend de consulter la position
europenne en la matire afin daligner ses textes sur celle-ci. Dans ce cas, il est fort probable
que la future rglementation belge sur la cryptographie sera certainement plus librale.
La rglementation franaise :
Depuis un dcret du 18 avril 1939, une prohibition de principe de la cryptographie tait
dicte. Mais, il prvoyait galement des possibilits dobtenir des drogations administratives
ponctuelles42.
Face lapparition et au dveloppement de l'internet, cette lgislation s'est rvle
insuffisante (surtout au vu de la lourdeur administrative du rgime et de laccroissement de la
demande prive en produit de scurit). Aussi, une loi du 29 dcembre 199043, est venu
simplifier et largir les procdures antrieures.
Mme si cette loi a t dicte dans le but de simplifier la procdure, larticle 28.I de cette
mme loi soumet lutilisation de toutes techniques de chiffrement des conditions trs
prcises : toutes utilisations, fournitures et exportations dun moyen de cryptographie devaient
tre prcdes de lobtention dune autorisation pralable, hormis certains cas prcis o une
dclaration pralable tait exige. Ces principes taient tellement stricts que la loi rservait ces
techniques aux militaires, policiers et dans une certaine limite aux banquiers. Le simple
citoyen, luniversit ou la petite entreprise taient exclus des utilisateurs potentiels, car pour
chaque utilisation de procd de cryptage, il tait ncessaire de passer par une procdure
administrative aussi rbarbative que dissuasive.
42MEILLAN Eric, le contrle juridique de la cryptographie, Droit de linformatique & des tlcoms, 1993/1,pp78 et s.
43BORTMEYER Stphane, LUtilisation du chiffrement en France, http://web.cnam.fr/Network/Crypto/(dcembre 1996); Loi 90-1170 du 29 dcembre 1990, Journal Officiel du 30 dcembre 1990 ; loi modifie par laloi 91-648 du 11 juillet 1991, Journal Officiel du 13.7.91
http://web.cnam.fr/Network/Crypto/
28
Larticle 28 de cette loi dictait que les moyens ou prestations de cryptographie ayant
pour but dtre fournis ou utiliss par des particuliers, utiliss par des banques ou exports
ltranger taient soumis une dclaration pralable ou une autorisation pralable :
- La dclaration pralable tait requise quand le moyen ou la prestation de cryptage
navait pour objet que dauthentifier une communication ou assurer lintgrit du message
transmis (exemple du code secret bancaire).
- Lautorisation pralable, du Premier ministre, tait ncessaire dans les autres cas.
Cest dire pour tout ce qui sort du champ dapplication de lalina premier de larticle 28 de la
loi du 29 dcembre 199044. (Exemple de particulier qui souhaite crypter ses messages.).
Mais certains outils de cryptage navaient pas besoin de dclaration ou dautorisation
pralable pour tre mis en circulation. Ainsi les cartes microprocesseur ne permettant pas le
chiffrement par elles-mmes taient totalement libres dusage. De mme pour les techniques
conues spcialement pour les logiciels qui ne permettent pas le chiffrement. Ils n'taient pas
considrs comme des moyens de cryptologie car, dans ces cas le codage nest connu que par le
fabricant (la cryptologie suppose une codification tenant lieu de convention secrte). Enfin, en
raison du caractre non rtroactif de la loi de 1990, les moyens qui taient permis, par
lintermdiaire dautorisations dlivres avant la publication de la loi taient dispenses dune
autorisation pralable. Elles conservaient leurs effets jusqu' lexpiration de leurs termes prvus
initialement.
A linverse, dautres outils de cryptographie ne pouvaient bnficier de ce rgime parce
quils taient interdits ou soumis dautres rglementations. Ainsi, aucune autorisation ntait
accorde pour un usage destin dissimuler la teneur des communications obtenues partir des
installations radiolectriques libres ou amateurs et des postes metteurs rcepteurs fonctionnant
sur des canaux banaliss (article 11 du dcret 92-135845).
44Loi n 90-1170, Journal Officiel de la Rpublique franaise, 30 dcembre 1990, p16439,http://www.urec.fr :80/Ftp/securite/Lois.France/90.12.30.crypto.txt
45 Dcret franais n92-1358 du 28 dcembre 1992, JO du 30 dcembre 1990
http://www.urec.fr :80/Ftp/securite/Lois.France/90.12.30.crypto.txt
29
De plus, lexportation de matriel de cryptographie pouvait parfois tre rgie par un
systme autre que celui de la loi de 1990. Les moyens de cryptographie qui taient
spcialement conus ou modifis pour permettre ou faciliter lutilisation ou la mise en uvres
des armes relevaient du rgime visant le matriel de guerre, armes et munitions, prvu par les
articles 12 et 13 du dcret-loi du 18 avril 193946.
Enfin, un rgime particulier tait dict pour les exportations des biens pouvant avoir une
utilisation civile et militaire (dit biens double usage). La loi du 31 dcembre 199247 a, dans
son article 2, trait du transfert de produits et technologie double usage au sein de la CEE48.
Il y tait prcis que ces produits et technologies seraient soumis une autorisation pralable et
devraient toujours tre prsents aux douanes avant leurs expditions (article 2). Ici, le but
recherch tait de maintenir un contrle intrieur qui pouvait tre ventuellement assouplis49.
Il existait donc trois rgimes distincts dexportation des moyens de cryptologie sous
lempire de la loi de 1990 (dclaration pralable, autorisation pralable et autorisation
dexportation de matriel de guerre).
Sous cette loi de 1990, deux institutions taient comptentes: la DISSI (Dlgation
Interministrielle pour la Scurit des Systmes dInformation) et le SCSSI (Service Central de
la Scurit des Systmes dInformations).
46Dcret toujours en vigueur ; WARUSFEL Bertrand, exportation de cryptologie : des rgimes juridiquesdifficiles concilier, Droit de lInformatique & des Tlcoms, 1993/1, pp.72 74 ; Article 2, 4d du dcret 95-598 du 6 mai 1995
47 loi n92-1477 du 31 dcembre 1992 relative aux produits soumis certaines restrictions de circulation et lacomplmentarit entre les services de police, de gendarmerie, et de douane, publie au journal officiel le 05janvier 1993
48 Voir galement les textes : Dcret 95-613 du 5 mai 1995 relatif au contrle lexportation de biens doubleusage, JO du 7 mai 1995, page 7547 ; Arrt du 5 mai 1995 relatif au contrle lexportation vers les pays tiers etau transfert vers les tats membres de la Communaut europenne de biens double usage, Journal officiel du 7mai 1995, page 7561 ; Arrt du 5 mai 1995 dfinissant la licence gnrale de G.502 dexportation des moyens decryptologie et fixant les modalits dtablissement et dutilisation de cette licence, JO du 7 mai 1995, page 7578
49 WARUSFEL, Bertrand, contrle des exportations de technologie double usage : le droit franais ragit faceau march unique, in Droit de lInformatique & des Tlcoms, 1993/2, p83 et s.
30
- La DISSI fut cre par dcret le 3 mars 1986 et supprime en fvrier 1996. Elle fut
remplace par le SGDN (Secrtariat Gnral la Dfense Nationale50) dans ses
attributions. Elle tait comptente dans le domaine de la scurit des communications,
de la protection contre les rayonnements compromettant et la scurit logique (surtout
contre les intrusions). Ses fonctions taient la mise en uvre de la politique dfinie
par ltat, proposer des mesures dintrt gnrales et arbitrer les ventuels litiges en
la matire51.
- Le SCSSI tait le seul interlocuteur pour la procdure de demande dautorisation
pralable ou celle de la dclaration. Il apprciait le niveau de scurit des systmes,
valuait les procds cryptologiques et les autres procds (TEMPEST), faisait des
audits de scurit, formait des experts et entretenait des relations avec les industriels
concerns. En matire de cryptologie son rle fondamental tait surtout son
valuation de la teneur des procds de cryptographie52. Pour cela, le dclarant ou
demandeur devait prendre toutes les dispositions ncessaires afin que le SCSSI
puisse vrifier la concordance entre le dossier technique fourni est lobjet de la
dclaration ou de la demande.
En fonction de ce dossier et de ses annexes, le SCSSI dcidait davaliser ou non le
moyen objet de la demande. Mais les critres dacceptation ou de refus n'taient pas publics, ce
qui pouvait aboutir des refus abusifs de la part du SCSSI. Surtout quil semblerait que la
politique du SCSSI tait de nautoriser que des systmes de chiffrement peu fiables, afin
quune personne disposant de moyens importants puisse casser ce code et dchiffrer les
messages.
50 Le secrtariat du dpartement ministriel de la Dfense, dpendant directement du Premier ministre et duministre qui a la Dfense dans ses attributions
51MALHEY Bruno, Lgislation sur la cryptographie, http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt
52 article 14 du dcret du 28.12.1992
http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt
31
Quel que soit lobjet de la demande (dclaration ou demande), le dbut de la procdure
tait la mme. Dans les deux cas (articles 1 3 ou 4 9 du dcret 92-1358 du 28 dcembre
1992) un dossier tait dpos au SCSSI qui en dlivrait rcpiss. Ce dossier tait divis en
deux parties, une administrative et une technique. Toutes deux devaient tre fournies en quatre
exemplaires selon une forme et un contenu fix par un arrt du 28.12.1992 :
- La partie technique devait indiquer les objectifs de scurit et dcrire en dtails les
fonctions et les mcanismes de scurit.
- La partie administrative permettait de s'assurer de lidentit du dclarant ou du
demandeur.
la vue de ce dossier le SCSSI pouvait demander des informations complmentaires
pendant toute la procdure. Si tel tait le cas, le dclarant ou le demandeur tait tenu de
cooprer avec le SCSSI afin que celui-ci puisse vrifier que le moyen ou la prestation de
cryptographie tait bien conforme au dossier fourni (article 14 du dcret du 28 dcembre 1992).
La suite de la procdure diffrait selon la demande.
Pour le rgime de la dclaration obligatoire53, il existait trois types de dclarations
diffrentes selon que le but recherch tait lutilisation, lexportation ou la fourniture de
systme dencryption.
- En premier lieu, la dclaration de fourniture devait tre effectue une seule fois, un
mois avant la premire livraison du systme.
- Ensuite, la dclaration dutilisation devait tre effectuer par lutilisateur au moins un
mois avant la premire utilisation (article 2 alina 2). Mais un rgime de dclaration
simplifi a t institu par larticle 1er, alina 3 :
La dclaration de fourniture peut tre accompagne dune dclaration dutilisation gnrale54, quiprcise le domaine dutilisation prvu du moyen ou de la prestation ainsi que les ventuellescatgories dutilisateurs auxquelles le moyen ou la prestation est destine.
53Titre Ier du dcret 92-1358
32
Dans ce cas, la dclaration dutilisation gnrale dispensait lutilisateur dune
nouvelle dclaration.
- Enfin, la dclaration dexportation requerrait le dpt dun dossier de dclaration de
fourniture en vue dexportation, un mois au minimum avant la premire prestation.
Une copie du rcpiss de cette dclaration devait tre prsente lors de chaque
exportation, ladministration des douanes (article3). Pour certains produits, toute
dclaration de fourniture tenait lieu de dclaration dexportation temporaire dun
chantillon. Donc ils n'taient pas soumis cette procdure, de mme pour la
dclaration concernant un usage strictement personnel (article 13). En effet, ce rgime
drogatoire, sexpliquait par la ncessit pour lutilisateur de pouvoir voyager hors de
ses frontires avec son ordinateur personnel et de continuer lutiliser.
Pour le rgime de lautorisation pralable 55, il existait aussi une triple distinction suivant
qu'il tait recherch une utilisation, une exportation une fourniture de moyens de cryptage.
Ainsi, pour une autorisation de fourniture de moyens de cryptographie une
demande tait dpose auprs du SCSSI. Cette demande devait prciser la dure qui ne pouvait
excder cinq ans (article 4 du dcret du 28.12.1992). De plus la prestation fournie devait
satisfaire diverses obligations56 :
- Conformit aux normes nationales des interfaces avec les utilisateurs.
- Scurit de la gestion de la prestation.
- Conservation des lments secrets pendant 10 jours ouvrables pour une
communication prcise et ponctuelle, et 4 mois dans les autres cas.
- Amnagement de possibilits techniques pour faciliter les investigations judiciaires.
- Dclaration aux autorits de police judiciaire des accs illicites au systme de
gestion ou des atteintes sa scurit. Et dans ce dernier cas, le fournisseur devrait
aussi informer le SCSSI.
54 On entend par dclaration gnrale toute dclaration qui est formule par un fournisseur, a contrario de ladclaration individuelle, manant d'un particulier
55Titre II du dcret 92-1358 du 28 dcembre 1992
56Arrt du 28.12.92
33
Dans le cas de lautorisation dutilisation, la demande tait dpose auprs du
SCSSI mais ici, la dure tait de 10 ans au maximum (article 6 alina 1et 4). La demande
pouvait tre gnrale ou personnelle.
- Quand elle tait gnrale, elle tait formule par le titulaire de lutilisation de fourniture
(rgime simplifi). Ce systme constituait une simplification pour les futurs utilisateurs
car ils taient dispenss du dpt dune demande dautorisation. Mais uniquement s'ils
remplissaient les conditions de lautorisation dutilisation gnrale. Par exemple, une fois
lautorisation obtenue, le banquier, auquel le fournisseur avait vendu le produit, navait
plus besoin de redemander une autorisation pour utiliser le produit.
- Quand lautorisation tait individuelle, elle tait demande par lutilisateur. Ctait une
situation exceptionnelle pour le cas dune absence dautorisation gnrale. De cette faon,
la fabrication ou lexportation ne valait que pour lutilisateur demandeur. Cette
autorisation pouvait tre assortie de conditions pour rserver lutilisation de ces moyens
ou prestations certaines catgories dutilisateurs (tlphone de voiture, produits
bancaires comme des distributeurs de billets automatiques). Mais cette autorisation
pouvait galement tre retire, de faon temporaire ou dfinitive, en cas de fausse
dclaration, faux renseignements, de modifications, de non-respect des rglementations
ou obligations prescrites par lautorisation (article 8 du dcret du 28.12.1992).
Enfin, une autorisation dexportation pouvait tre attribue. Dans ce cas, le dossier
de demande devait, en plus de la partie technique et administrative, comporter une demande de
licence dexportation dpose auprs de ladministration douanire (SE.TI.C.E). Cette licence
n'tait dlivre quaprs accord du Premier ministre.
Les sanctions taient diffrentes selon que lon contrevenait au rgime de dclaration ou
dautorisation. Elles taient constitues d'amendes de quatrime ou cinquime classe et de
peine d'emprisonnement pouvant aller jusqu' 3 mois.
Enfin, des peines complmentaires ventuelles pouvaient tre possibles (confiscation des
moyens de cryptologie, interdiction de solliciter une nouvelle autorisation).
34
Au travers toutes ces procdures nous pouvons remarquer que la rglementation franaise
tait extrmement restrictive en ce qui concernait la cryptographie et que tous manquements
ces prescriptions taient svrement sanctionns (dcret 92-1358 du 28 dcembre 1992).
La rglementation communautaire :
La cryptologie fut rglement au niveau europen sous trois aspects diffrents. Elle fut
rglemente comme outil pour la scurit des systmes dinformations, comme instrument de la
criminalit informatique et comme bien double usage (civil et militaire).
- Laspect scurit des systme dinformations a t abord par le Conseil de lunion
europenne dans sa dcision adopt le 31 mars 1992 57. Cette dcision comprenait llaboration
de stratgies globales pour la scurit des systmes dinformation (plan daction) et la cration
dun groupe de hauts fonctionnaires (SOG-IS), dont le rle tait de conseiller la Commission
sur les actions entreprendre. Le but de cette dcision tait
la mise au point de stratgies permettant linformation de circuler librement lintrieur dumarch unique, tout en assurant la scurit de lutilisation des systmes dinformation danslensemble de la Communaut 58.
Par ce biais, le but tait de promouvoir une interoprabilit des systmes ainsi que rduire
les barrires existantes et viter lapparition de nouvelles entraves entre les tats membres et
les autres pays.
Avec laide du SOG-IS, la commission a pu mettre en place un plan daction cohrent qui
sest traduit par la publication de deux livres verts59. Au travers de ces documents, il apparat
que le but recherch est la protection adquate des informations et des personnes physiques et
non une volont de rglementer la cryptographie ou de rduire son application. Cette vision se
trouve conforte par la directive du 24 octobre 1995 relative la protection des personnes
57Dcision n 92/242/CEE en matire de scurit des systmes dinformations, JO L 123, 8 mai 1992, p19
58Dcision du Conseil du 31 mars 1992, JOCE 92/242/CEE
59 the Green Book on the Security of Information Systems (18 octobre 1993) et, the Green Paper on LegalProtection for Encrypted Services in the Single Market, (le 6 mars 1996) : http://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txt .
http://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txthttp://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txt
35
physiques lgard du traitement des donnes caractre personnel et la libre circulation de
ces donnes60. En effet, le but est la protection des personnes par la cryptographie, et par-l
mme permettre la libre circulation des donnes concernes par cette directive.
Mais afin de limiter lutilisation des fins criminelles de la cryptologie, un compromis
est recherch et il semble se diriger vers la mise en place dun rseau de tiers de confiance, de
certification charge de la gestion des cls, de la certification, de la constitution de
rpertoire,. 61. Cependant des divergences sont apparus au moment de dterminer qui seront
ces tiers de confiance. LAllemagne proposait un centralized escrow key from Brussel alors
que la France et le Royaume-Uni voyaient plutt des tiers privs. Choix qui a t privilgi par
la France62.
- Laspect criminalit informatique au travers de la cryptologie a t lobjet de la
recommandation du 11 septembre 1995 concernant les problmes de procdure criminelle dans
le domaine de la technologie et de linformation63. Ce texte recommande particulirement en
matire de cryptographie :
Measures should be considered to minimise the negative effects of the use of cryptography on theinvestigation of criminal offenses, whitout affecting its legitimate use more than is striclynecessary. 64
Au sein de cette recommandation il ny a aucune prcision sur les mesures ou sur
lquilibre quil faut trouver entre scurit publique et protection des individus. Selon le
Communication Weeks International , il faut interprter ce texte comme interdisant les
60Directive 95/46/Ce du Parlement europen et du Conseil du 24 octobre 1995 relative la protection despersonnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de cesdonnes, http://www2.echo.lu/legal/fr/dataprot/directiv/direct.html
61KOOPS, Bert-Jaap, Crypto Law Survey, http://cwis.kub.nl/~frw/people/koops/lawsurvy-html
62 voir supra
63Recommandation n R (95) 13 of the Commitee of Ministers to Member States concerning Problems of criminalProcedure Law connected with Infornation Technology,http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html
64Appendix to Recommandation n R (95)13, point V
http://www2.echo.lu/legal/fr/dataprot/directiv/direct.htmlhttp://cwis.kub.nl/~frw/people/koops/lawsurvy-htmlhttp://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html
36
moyens de cryptage trop performants, cest dire, ceux qui ne permettraient pas au
gouvernement daccder aux cls de cryptage65.
- Enfin, une rglementation sur la cryptographie envisage en tant que bien double
usage (cest dire comme une arme de guerre), dcoule de deux textes communautaires. Ces
textes rglementent lexportation de biens double usage. Il s'agit du rglement66 et de la
dcision du 19 dcembre 199467.
Le premier texte institue un rgime communautaire de contrle des exportations de biens
double usage et le second est relatif laction commune concernant le contrle des exportations
de biens double usage.
Le rglement dfinis les biens double usage comme :
les biens susceptibles davoir une utilisation tant civile que militaire 68
Le principe est que lexportation des biens double usage figurant sur l'annexe I de la
dcision du 19 dcembre 1994, est soumise autorisation individuelle. Celle-ci est octroye par
les autorits comptentes de ltat membre o est tabli l'exportateur (article 3 et 6). Mais les
tats membres peuvent accorder le bnfice de formalits simplifies dans diffrents cas :
- Une autorisation gnrale pour un bien ou un groupe de biens double usage.- Une autorisation globale un exportateur spcifique pour un bien ou un groupe de biens double usage qui peut tre valable pour les exportations destination dun ou de plusieurspays dtermins.- Des procdures simplifies dans le cas dune exigence dautorisation de la part dun tatmembre au titre de larticle 5.
A contrario, un tat membre pourrait interdire ou soumettre autorisation lexportation
des biens double usage qui ne figure pas sur la liste de lannexe I (article 5).
65Euro-clipper chip scheme proposed in Communications Week International, dat du 18 septembre 1995
66Rglement du conseil n3381/94 du 19 dcembre 1994, JO CE L367/1 du 31 dcembre 1994
67Dcision du conseil n94/942/PESC du 19 dcembre 1994, JO CE L 367 du 31 dcembre 1994 et notamment sesannexes I (pages 109 111) et IV (pages 156 et 157)
68Article 2, a) du rglement (ce) n 3381/94 du Conseil du 19 dcembre 1994, JOCE N L 367/1
37
De plus, pour garantir une application correcte de ce dernier, le rglement prvoit des
procdures douanires particulires lexportation de ces biens (articles 10 et 11) et des
mesures de contrles assez strictes (articles 14 et 15).
Enfin, un groupe de coordination est institu (compos dun reprsentant de chaque tat
et prsid par un membre de la Commission) afin dexaminer toute question concernant
lapplication du rglement ainsi que les mesures prendre pour informer les exportateurs de
leurs obligations (article 16).
Malgr tout, certains outils sont exclus du contrle communautaire par lannexe IV. Il
s'agit de tous les procds de cryptage utiliss dans des machines servant des transactions
bancaires ou montaires (distribution de billets automatiques.)69. De mme sont exclus les
radiotlphones portatifs ou mobiles, les quipements de contrle daccs et les quipements
dauthentification des donnes70.
tant donn que les instances europennes sont des institutions supranationales, le but
recherch au travers de la rglementation de la cryptographie, nest pas le mme que pour ses
tats membres. En effet, mme si ces instances considrent encore la cryptologie comme un
bien double usage, elles ne perdent pas de vue les liberts prsentes dans le trait de Rome ou
de Schengen notamment la libert de circulation (surtout en ce qui concerne les donnes). De
plus, mme si les instances europennes ne ngligent pas les dangers de la cryptologie, elles
noublient pas non plus limportance de lindividu et de ses droits au sein de lEurope.
Dailleurs en toute logique les rglementations franaises et belges devront saligner sur les
prescriptions europennes.
B- Les normes Nord-amricaines
Les normes Nord-amricaines ne sont pas uniformes dans leurs apprciations de la
cryptologie. Nous verrons principalement les tats-Unis et le Canada. Cela dit, et pour voquer
le cas du Mexique, cest linstitut du commerce extrieur qui rgit les importations et
69Annexe IV, JOCE, N L 367/157
70 Ib.
38
exportations mexicaine. Or, il nexiste actuellement aucun contrle sur limportation et
lexportation des technologie de cryptage au Mexique.71
Les tats-Unis
En 1996, la responsabilit de lexportation de la cryptographie fut transfre du
Dpartement dtat au Dpartement de commerce. Cela dit la NSA (National Sec