|
|||||||||||||||||||||||||||||||||||||||||||
Législation Cryptologie : Logiciels |
La réglementation française en matière de cryptologie
Textes issus du site http://www.scssi.gouv.fr/ mais récapitulés en une seule page.
En Juin 1998, le gouvernement a décidé d'assouplir la réglementation de la cryptologie afin :
Le présent document présente succinctement le nouveau dispositif réglementaire, qui résulte du régime défini par la loi de réglementation des télécommunications du 26 juillet 1996 et des décrets d'application correspondants. Il ne remplace en aucune manière les textes législatifs et réglementaire applicables, mais vise à en faciliter la compréhension. |
||||||||||||||||||||||||||||||||||||||||||
Préface Le gouvernement a décidé de faire de l’entrée de la France dans la société de l’information l’une des priorités de son action. Ce développement constitue en effet une occasion majeure pour créer de nouveaux emplois, ouvrir de nouveaux marchés et renforcer la compétitivité de notre économie. Le développement rapide des nouveaux systèmes de communication dans la société de l’information dépendra cependant de la confiance que les utilisateurs pourront leur accorder, notamment de la sécurité qu’ils apportent. A cet égard, le gouvernement a instauré un nouveau cadre réglementaire pour la cryptologie dont l’usage est une condition indispensable à la protection de la vie privée et à la sécurité des systèmes et des échanges d’information par voie électronique, notamment pour les transactions financières. Il constitue un compromis réaliste et efficace qui concilie les besoins légitimes de confidentialité des utilisateurs et les exigences de sécurité de l’Etat. Ce guide pratique présente succinctement le nouveau dispositif de réglementation française en matière de cryptologie. Il a pour objectif d’informer les entreprises sur la réglementation et de les guider dans leurs démarches administratives d’utilisation, de fourniture, d’importation ou d’exportation de moyens de cryptologie. Je forme le vœu que ce document constitue un support utile pour faciliter l’utilisation de la cryptologie par les entreprises et les particuliers et contribue ainsi au développement du commerce électronique qui constituera un enjeu économique important dans les prochaines années.
Christian
PIERRET
1. La nécessité de se protéger à bon escient... Les échanges d'informations (entre particuliers, entreprises, administrations,...), qui hier se faisaient sous forme papier, principalement courrier confié au service postal, sont aujourd'hui, et seront encore plus demain, de plus en plus dématérialisés sous forme électronique. Cette nouvelle forme d'échanges, si elle présente de nombreux avantages (rapidité, facilité de diffusion et de retraitement des informations, possibilité de traitement automatique, échange de volumes importants,...) comporte également un certain nombre de risques (divulgation à des tiers non autorisés d'informations ne devant être connues que par un nombre restreint et identifiés de correspondants, modification du contenu d'un échange sans que ni l'émetteur ni le destinataire ne s'en rendent compte, répudiation de l'échange par une des parties,...). Ces menaces ne sont pas spécifiques à un environnement électronique, mais elles sont amplifiées par le fait que de telles informations sont plus facilement et plus rapidement manipulables sous une forme numérique. Les menaces qui pèsent sur ces échanges varient bien évidemment en fonction des informations échangées et des acteurs concernés. Cela va de la menace ludique, qui relève davantage dans l'esprit des auteurs du jeu[1] , à l'espionnage d'État, effectué par les agences de renseignement, en passant par l'espionnage industriel, mené par des sociétés concurrentes. Pour chacune de ces menaces, les moyens mis en œuvre par les attaquants ne sont bien évidemment pas les mêmes. La sécurité, comme tout autre service, ayant un coût, les moyens à mettre en œuvre pour contrer les attaques doivent donc être adaptés à la nature de la menace et de l'information échangée : la réponse au problème ne peut être que proportionnée. On retrouve d'ores et déjà cette gradation dans le service postal : carte postale, lettre sous enveloppe ouverte, lettre sous enveloppe fermée, lettre recommandée, lettre recommandée avec avis de réception, pli par porteur... très peu de particuliers utilisent une lettre recommandée avec avis de réception pour transmettre leurs souvenirs de vacances. Ainsi, par exemple, l'envoi par courrier électronique des conditions de vente standards d'une entreprise ne nécessite en général qu'un faible niveau de protection, alors que la remise d'une proposition technique et commerciale spécifique dans le cadre d'un appel d'offres important doit être protégé contre toute tentative d'interception par une société concurrente. De même, une transaction commerciale doit être protégée contre la répudiation par l'une ou l'autre des parties. 2. ...tout en préservant l'ordre public Si les nouvelles technologies de l'information et de la communication permettent des gains considérables en efficacité et en productivité pour les personnes et les entreprises honnêtes, elles profitent également aux organisations criminelles ou terroristes. Dans le cadre de la protection des personnes et des biens, de la sécurité intérieure et de la défense nationale, l'État doit mettre en place les mesures nécessaires pour éviter que ces technologies ne facilitent, en toute impunité et en toute discrétion, le développement d'actions ou de trafics illégaux (petite et grande délinquance, terrorisme, mafia, pédophilie, blanchiments d'argent, fraudes financières, espionnage industriel,...). La protection de la vie privée et le respect du secret des correspondances sont garantis par la Constitution. Les législations protégeant les données à caractère personnel découlent de ce principe. Ces législations exigent l’utilisation de moyens de sécurité "conformes à l’état de l’art". Cependant, la loi du 10 juillet 1991 prévoit que le secret des correspondances émises par voie de télécommunication peut être levé dans le cadre d'une commission rogatoire ordonnée par un juge d'instruction ou d'une interception de sécurité ordonnée par le Premier Ministre. La réglementation française en matière de cryptologie établit un équilibre entre les besoins légitimes de protection des données privées et les missions publiques de protection des personnes, des biens et de la sécurité intérieure et extérieure. 3. Définitions et principes La cryptologie est un "ensemble de techniques qui permettent de protéger des informations grâce à un code secret". Elle étudie notamment les outils servant à sécuriser ces informations face à des menaces intentionnelles. Ces outils sont généralement issus de problèmes mathématiques très difficiles à résoudre si l'on ne dispose pas de ce "code"[2] . L'annexe 1 présente rapidement quelques principes de base en matière de cryptologie. La cryptologie permet la mise en œuvre des services de sécurité ci-dessous, qui ont pour objectif de protéger des données ou des transactions sous forme électronique. 3.1. Intégrité des données Le contrôle de l'intégrité d'une donnée consiste à s'assurer que cette donnée n'a pas été altérée accidentellement ou frauduleusement. Le plus souvent le contrôle de l'intégrité ne s'appuie pas à proprement parler sur un outil de cryptologie car son calcul ne requiert pas de convention secrète. 3.2. Authentification Elle peut être de deux natures :
En pratique, ce service permet principalement de s'assurer que le correspondant connecté est bien le correspondant annoncé ou de s'assurer du signataire de l'acte. 3.3. Non répudiation La non répudiation permet d’obtenir la preuve de l’émission d’une information ou la preuve de sa réception. L'émetteur ou le récepteur ne peut ainsi en nier l'envoi ou la réception. 3.4. Signature numérique La signature numérique est une technique qui permet la mise en œuvre à la fois de l'intégrité des données, de l'authentification et de la non répudiation. 3.5. Confidentialité La confidentialité permet de rendre la lecture de l'information inintelligible à des tiers non autorisés lors de sa conservation ou surtout de son de transfert. Le chiffrement des informations constitue la technique la plus utilisée pour répondre à ce service. 3.6. La tierce partie de confiance Une tierce partie de confiance est un organisme qui a la confiance de l'utilisateur et qui effectue, pour le compte de celui-ci, certaines opérations liées à la gestion des clés de confidentialité et/ou de signature numérique. Il convient de distinguer les fonctions de tiers de séquestre (des clés servant à la confidentialité) et les fonctions d'autorités de certification (AC) pour des clés publiques n'intervenant que dans des applications liées à la signature. Certains mécanismes sont communs aux deux fonctions, comme la certification de clés publiques, et rien n'empêche un organisme de remplir les deux fonctions (séquestre et AC). Cette confiance repose sur plusieurs éléments, notamment, les compétences de l'organisme, l'obtention éventuelle d'un agrément, le contenu du contrat liant l'organisme à l'utilisateur et les mesures mises en place par l'organisme pour assurer la protection des données et clés de l'utilisateur. 3.6.1. Tiers de séquestre Le tiers de séquestre est un organisme agréé par le Premier ministre après instruction de son dossier de demande d'agrément par le SCSSI[3] (cf. chapitre 4.4. ci-dessous). La fonction du tiers de séquestre consiste à conserver les clés secrètes des utilisateurs mises en œuvre à des fins de confidentialité afin de les remettre à ces mêmes utilisateurs s'ils les demandent et aux autorités judiciaires ou de sécurité. Dans cette seule fonction de séquestre, il n'intervient pas directement dans les échanges entre utilisateurs. Ainsi l'utilisateur peut-il s'appuyer sur un professionnel de la cryptologie qui lui permet d'utiliser librement des produits de cryptologie forte, tandis que l'État peut, dans le cadre des procédures prévues par la loi, accéder à une information. Le tiers de séquestre est soumis à deux types d'obligations :
3.6.2. Autorité de certification Son rôle est de produire et de gérer des certificats de clés publiques utilisées pour la signature numérique. L'objectif d'un certificat est de garantir à une personne qui utilise une clé publique pour vérifier une signature que cette clé publique appartient bien à qui elle est censée appartenir (non usurpation d'identité). Pour ce faire, un certificat garantit le lien entre la clé publique[4] et le détenteur de la clé secrète correspondante utilisée pour fabriquer la signature numérique (cf. annexe 1). L'AC vérifiera l'identité du demandeur, ou le pouvoir, et veillera à la non réutilisation de clé publique, par exemple en s'assurant que le demandeur détient bien la clé secrète. Ses tâches principales sont :
4. Législation 4.1. Cadre général du dispositif La liste des différents textes constituant le cadre législatif et réglementaire de la cryptologie figure en annexe 2. Ces nouveaux textes assouplissent et simplifient considérablement le cadre juridique qui réglementait jusqu'ici la cryptologie. Ce nouveau cadre juridique distingue différents régimes en fonction de la finalité des moyens ou prestations de cryptologie et du niveau correspondant : Finalités
Régimes Pour ces différentes finalités, les régimes possibles sont :
Application Pour chacune des opérations identifiées ci-dessus, l'application des différents régimes dépend bien évidemment du moyen ou de la prestation de cryptologie considérée, de sa finalité et de sa force. Par exemple, la liberté est totale d'utiliser des moyens de cryptologie dont la finalité est l'authentification, la garantie d'intégrité ou la signature numérique des transactions. Ceci est fondamental pour le courrier électronique ou le commerce électronique (non répudiation des commandes et des paiements notamment). La fourniture de tels moyens est soumise uniquement au régime de déclaration simplifiée. Les droits et obligations des utilisateurs (particuliers ou entreprises) et des fournisseurs de moyens ou de prestations de cryptologie sont présentés ci-après pour les cas les plus courants. Pour les cas particuliers, il est souhaitable de contacter directement le SCSSI (cf. chapitre 6). A noter que les produits "grand public", de type cartes à puce, DVD ou décodeur de télévision payante, font bien entendu l'objet d'un traitement très libéralisé, notamment en ce qui concerne leur utilisation[5] . 4.2. L'utilisateur Vous avez besoin d'utiliser un moyen ou une prestation de cryptologie : 1)Pour assurer des fonctions de signature, de non répudiation, d'authentification ou de contrôle d'intégrité. Votre fournisseur doit avoir déclaré le produit ou la prestation à l'administration dans les conditions prévues par la réglementation, et rappelées au chapitre 4.3 ci-après. Vous n'avez aucune formalité à accomplir et vous pouvez utiliser le produit ou la prestation librement. 2)Pour assurer une fonction de confidentialité, c'est à dire chiffrer le contenu d'un message ou d'un fichier.
Vous n'avez aucune formalité à accomplir et vous pouvez utiliser le produit librement.
Vous pouvez utiliser le produit librement s'il exploite des clés gérées par un tiers de séquestre. Une liste des tiers agréés vous sera communiquée par le fournisseur ou par le SCSSI. Vous devrez alors conclure un contrat avec le tiers que vous aurez choisi.
Si l'autorisation est une autorisation de fourniture en vue de l'utilisation générale ou en vue de l'utilisation collective, et que vous appartenez à une des catégories concernées par l'autorisation, vous n'avez aucune formalité à accomplir et vous pouvez utiliser le produit ou la prestation librement. Autrement, sauf cas particulier[8] , vous devez demander une autorisation d'utilisation personnelle. 4.3. Le fournisseur d'un moyen de cryptologie Vous souhaitez fournir, importer ou exporter un moyen de cryptologie : 1)Qui assure uniquement des fonctions de signature, d'authentification ou de contrôle d'intégrité. La fourniture est soumise à déclaration simplifiée, par laquelle vous vous engagez notamment à ce que ce moyen ne puisse absolument pas être utilisé pour des fonctions de confidentialité; l'importation et l'exportation sont libres. 2)Qui assure des fonctions de confidentialité.
La fourniture est soumise à déclaration, permettant notamment le contrôle de la force cryptographique de ce moyen; l'importation est libre; l'exportation reste soumise à demande d'autorisation (cf. réglementation européenne relative aux biens à double usage).
La fourniture, l'importation et l'exportation sont soumises à demande d'autorisation, sauf cas particuliers[9] . Vous souhaitez utiliser, à des fins exclusives de développement, de validation ou de démonstration, un moyen ou une prestation de cryptologie, quelque soit sa force : Vous devez simplement en informer par écrit le SCSSI au moins 2 semaines au préalable. 4.4. Le fournisseur d'une prestation de cryptologie L'expression "fourniture de prestations de cryptologie" recouvre les deux opérations suivantes : la mise en œuvre, au profit d'autrui, d'un moyen de cryptologie (par exemple, la mise en œuvre d'une messagerie chiffrante sur le réseau Santé); la fourniture d'éléments facilitant ou permettant la mise en œuvre de moyens de cryptologie (par exemple, la mise en œuvre d'une infrastructure de gestion de clés). Selon la nature des moyens mis en œuvre, une prestation de cryptologie relève de différents régimes : 1)Vous souhaitez être une autorité de certification pour des services de signature électronique : La fourniture de cette prestation est soumise à déclaration simplifiée[10] . 2)Vous souhaitez être tiers de séquestre : Vous devez effectuer auprès du SCSSI, dans les conditions prévues par la réglementation, une demande d'agrément. Le dossier de demande doit comporter l'ensemble des éléments décrits en annexe 7, y compris un exemplaire complété et signé du cahier des charges dont un modèle est donné en annexe 8. Les conditions et délais de traitement par le SCSSI d'une demande d'agrément sont identiques à ceux d'une demande d'autorisation[11] . 3)Vous souhaitez assurer un service global de cryptologie au profit de tiers : Pour assurer ce service, vous mettez en œuvre des moyens cryptologiques. Les moyens mis en œuvre doivent avoir été déclarés ou autorisés en fonction du régime dont ils relèvent. Quels que soient le moyen et le type de gestion de clés, vous devez être en mesure de satisfaire aux exigences de la loi du 10 juillet 1991 relative au secret des correspondances.
Synthèse du nouveau cadre législatif et réglementaire
Il est également important de noter que ces dispositions sont fortement tournées vers l'utilisateur, a priori non spécialiste du domaine, et font porter le poids de la réglementation sur les professionnels de la cryptologie. Ceux-ci doivent informer les pouvoirs publics des produits qu'ils mettent sur le marché. Ils doivent aussi demander un agrément s'ils veulent devenir tiers de séquestre. 6. Contacts
[1] Ceux-ci sont à la recherche d'une prouesse technique valorisante destinée à démontrer la fragilité d'un système, par exemple le contenu d'un Web ministériel. Leurs cibles privilégiées sont des organismes importants à leurs yeux. [2] Ces "codes" sont couramment appelés "clés" et sont désignés par l'expression "conventions secrètes" dans les textes législatifs et réglementaires. [3] Service Central de la Sécurité des Systèmes d'Information, qui dépend du Premier Ministre. [4] La clé publique est fournie par l'utilisateur qui a généré lui-même son bi-clé (clé publique / clé secrète) et qui ne doit jamais communiquer sa clé secrète. La génération peut-être assurée par l'AC, mais cela est en principe contraire au service de non répudiation, puisque dans ce cas l'utilisateur et l'AC ont connaissance de la clé secrète utilisée pour signée; l'AC doit alors s'engager à ne conserver aucune copie de la clé secrète. [5] Cf. listes en annexes 3 et 4. [6] Cette limite de 40 bits sera régulièrement réévaluée pour tenir compte des évolutions technologiques. Aujourd'hui, pour pouvoir décrypter dans un temps raisonnable (quelques heures) un message chiffré avec une clé de 40 bits, il est encore nécessaire de faire travailler plusieurs PC en parallèle. [7] Cf. chapitre 3.6. ci-dessus. [8] Cf. listes en annexes 3 et 4. [9] Cf. listes en annexes 3 et 4. [10] En France, aucune législation ne réglemente aujourd'hui cette activité. Toutefois, des travaux actuellement menés par le Conseil d'État et une directive européenne sur la signature électronique en préparation pourraient se traduire par un régime d'agrément spécifique. [11] Notamment, l'absence de notification de décision dans un délai de 4 mois à compter de la réception du dossier complet vaut agrément. [12] Déclaration simplifiée à faire préalablement. [13] Déclaration à faire préalablement au minimum 1 mois avant. [14] Délai de réponse de l'administration à toute demande d'autorisation : 4 mois maximum. [15] Service des Industries de Communication et de Service, dépendant du secrétariat d'État chargé de l'industrie. |
Contact : securinet@free.fr
Dernière mise à jour :