1. logo anssi - retour au site
  2. Chapitre ICryptologie : art ou science du secret ?
  3. Chapitre IICrypto sensu
  4. Chapitre IIISécurité, secret et légalité
  5. Chapitre IVBonus

Chapitre IIISécurité, secret et légalité

Intérêts militaires et commerciaux, influence et propagande, vie privée… À chaque milieu ses intérêts et convoitises, faisant de chaque utilisateur une cible potentielle qui (souvent) s’ignore. Il n’est pas rare en effet – même si la tendance tend à s’inverser – de voir certains usages minimiser l’incidence que peut avoir ce qui est de l’ordre du soi-disant « virtuel » sur le réel.

Un droit français

La notion même de secret a très tôt fait l’objet d’une attention et d’un encadrement spécifiques. En 1789, les articles 2 et 4 de la Déclaration des Droits de l’Homme et du Citoyen – qui font toujours référence dans la jurisprudence actuelle – énoncent entre autres droits fondamentaux la liberté et la sûreté, qui recouvrent évidemment le droit au secret pour chacun, pourvu que sa jouissance n’entrave pas la liberté d’autrui dans les mêmes termes.

 

articles 2 et 4 de la Déclaration des Droits de l’Homme et du Citoyen

Art. 1er. Les hommes naissent et demeurent libres et égaux en droits. Les distinctions sociales ne peuvent être fondées que sur l'utilité commune.

Art. 2. Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'Homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l'oppression.

Art. 3. Le principe de toute Souveraineté réside essentiellement dans la Nation. Nul corps, nul individu ne peut exercer d'autorité qui n'en émane expressément.

Art. 4. La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi, l'exercice des droits naturels de chaque homme n'a de bornes que celles qui assurent aux autres Membres de la Société la jouissance de ces mêmes droits. Ces bornes ne peuvent être déterminées que par la Loi.

Un siècle et demi plus tard, l’article 8 de la Convention Européenne des Droits de l’Homme énonce à son tour les grands principes du droit au respect de la vie privée et familiale et en précise les contours. Cet article, à l’instar de l’ensemble des dispositions de la Convention ratifiée par la France, devient directement invocable en droit français. C’est d’ailleurs pour cette raison que la France légiféra en 1991 sur les écoutes, après avoir été condamnée pour viol de l’article 8 suite à l’interception de communications, pratique alors jugée illégale en vertu de cet article.

 

Article 8 de la Convention Européenne des Droits de l'Homme

  1. 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
  2. 2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.

Les années 80

Dans la France des années 80, la réglementation en matière de moyens de cryptologie s’organise et apporte certaines nuances aux principes énoncés par les textes fondamentaux cités plus haut. La législation visait alors davantage à restreindre l’usage de tels moyens qu’à réellement le favoriser pour permettre aux services de sécurité de l’État d’accéder directement aux données claires en cas de besoin. A cette époque, la cryptologie était essentiellement réservée aux domaines militaires et diplomatiques, ainsi qu’à des secteurs sensibles comme par exemple le milieu bancaire. Les moyens de cryptologie étaient alors soumis à une autorisation accordée par l‘État au cas par cas, laissant peu de possibilités aux particuliers notamment de se protéger.

1990

Mais à partir des années 90, l’avènement d’Internet opère un tournant dans la manière d’appréhender l’usage des moyens de cryptologie. Les opérations en ligne se multiplient, le besoin de se protéger explose et la nécessité d’adapter la législation au contexte devient criante.

1996

C’est ainsi qu’en 1996, la loi n° 96-659 du 26 juillet sur la réglementation des télécommunications fait un premier pas vers un assouplissement du système d’autorisation à condition que les clés soient gérées par des tiers agréés par le Premier ministre. Ainsi, la loi tente de concilier deux objectifs contradictoires, à savoir le droit pour tout un chacun d’assurer la confidentialité du message transmis tout en permettant aux autorités d’en prendre connaissance en cas de besoin, capacité préservée par l’introduction de la notion de « tiers de confiance ».

1998

Deux années plus tard, les décrets n°98-101 et 98-102 du 24 février 1998 entérinent l’entrée en vigueur de la réglementation encadrant ces tiers de confiance et précisent leur périmètre d’action. Mais le système rencontre vite ses premières limites… Les organismes agréés étant souvent privés, subsistait la crainte pour l’utilisateur de voir ses clés gérées à mauvais escient en dépit de l’agrément de l’État ou fragilisées par le système de séquestre des clés en un lieu unique. De plus, la rigidité du système écartait de facto les produits de cryptologie étrangers dont les caractéristiques techniques ne pouvaient satisfaire les exigences françaises de séquestre, privant ainsi les utilisateurs de nombreuses solutions existantes.

1999

Conscient de ces difficultés, l’État, à travers son Premier ministre d’alors M. Lionel Jospin, prit dès 1999 de nouvelles dispositions décisives par le décret n°99-199 du 17 mars définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation. Ce décret, en autorisant l’utilisation de « matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme dont la clef est d'une longueur inférieure ou égale à 128 bits » ouvre ainsi l’accès à la plupart des solutions cryptographiques alors en circulation. L’objectif était alors de favoriser immédiatement l’utilisation et la fourniture de ces moyens au profit du public, sans attendre que soient prises les modifications législatives nécessaires pour abroger le système des organismes tiers de confiance.

2004

Ce fut chose faite en 2004, avec la loi n° 2004-575 du 21 juin pour la confiance dans l’économie numérique (LCEN) qui prend acte des décisions prises en 1999 en abrogeant les tiers de confiance et en énonçant dans l’article 30 :« L'utilisation des moyens de cryptologie est libre. »La LCEN, dont les dispositions sont toujours en vigueur aujourd’hui, régit tous les aspects de l’usage qui est fait des moyens de cryptologie à l’intérieur et à l’extérieur du territoire français. Elle donne ainsi une définition précise de ce que l’on entend en droit français par « moyen de cryptologie » et « prestation de cryptologie » (article 29) ; elle encadre l’utilisation, la fourniture, le transfert et l’import-export de tels moyens (article 30) ; elle soumet à simple déclaration la fourniture de moyens de cryptologie ; et elle prévoit sous quelles conditions s’exerce le droit de l’État à saisir des données pour en obtenir une version en clair (article 38).

 

La LCEN

On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.

Art. 29 de la LCEN

Dans ces conditions, la loi inscrit les moyens et prestations de cryptologie comme des outils participant directement à la confiance dans l’économie numérique. En résulte que depuis 2004, leur usage n’est plus soumis à un régime d’autorisation mais de déclaration auprès de l’ANSSI pour des besoins de fourniture, octroyant ainsi bien plus de souplesse aux utilisateurs, qu’il s’agisse de particuliers, d’entreprises ou d’administrations.

Déclarer un moyen de cryptologie auprès de l’ANSSI

En France, les moyens de cryptologie sont soumis à une règlementation spécifique. Si l’utilisation d’un moyen de cryptologie est libre et ne nécessite aucune démarche, la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont en revanche soumis, sauf exception, à déclaration ou à demande d’autorisation auprès de l’ANSSI par le fournisseur. Le régime applicable dépend des fonctionnalités techniques du moyen et de l’opération commerciale envisagée.

En savoir plus sur le contrôle réglementaire de la cryptographie

 

Une législation internationale plurielle

S’il vous arrive de vous déplacer à l’étranger pour motif professionnel ou personnel en emportant avec vous un moyen de cryptologie, sachez que si l’utilisation de telles solutions est libre en France, cela ne vaut pas pour tous les pays. Pour ne pas vous laissez surprendre par les demandes que pourraient vous formuler les autorités étrangères en cas de contrôle et voyager sereinement, rappelez-vous des quelques réflexes suivants.

Données confidentielles ou sensibles

Lorsque c’est possible, évitez ou limitez au maximum le stockage de données de ce type sur vos équipements. Recourez plutôt à des envois numériques sécurisés afin de pouvoir les récupérer une fois à destination.

Preuve de bon fonctionnement

En cas de demande de la part des autorités d’ouvrir votre session à titre de preuve du bon fonctionnement de votre matériel, n’oubliez pas de changer votre mot de passe à l’issue du contrôle.

Contrôle général de l’équipement

Les autorités de certains pays peuvent demander à contrôler la totalité de votre équipement et à accéder à vos données en clair. Dans une telle situation, fournissez les mots de passe et clés de chiffrement exigés et demandez à assister au contrôle. À l’issue de ce dernier, alertez le responsable de la sécurité des systèmes d’information (RSSI) de votre organisme ou votre service de sécurité.

Saisie de vos équipements

Obtempérez et demandez, dans la mesure du possible, à conserver vos cartes SIM et mémoire puis alertez votre RSSI ou votre service de sécurité.

Pour en savoir plus, consultez le Passeport de conseils aux voyageurs

Sécurité dans le Cloud et chiffrement homomorphe

Sécurité dans le Cloud et chiffrement homomorphe

Le Cloud computing (ou informatique en nuage) permet de délocaliser une partie de l’infrastructure informatique d’une entreprise qui achemine ainsi ses données – le plus souvent par Internet – jusqu’à des serveurs distants. Cette technologie d’une grande souplesse offre des perspectives intéressantes d’un point de vue pratique et économique. Mais quid de la sécurité ? Une frilosité demeure à cet égard, en dépit de tout l’intérêt pour l’outil. Pour la garantir au-delà de la mise en œuvre des règles de sécurité, des chercheurs travaillent à l’implémentation d’une nouvelle application cryptographique dont les contours se précisent petit à petit : le chiffrement homomorphe.

Il s’agirait pour un utilisateur (particulier, entreprise, etc.) de confier au Cloud des données préalablement chiffrées sans jamais que celui-ci ne soit amené à les déchiffrer. Grâce à des propriétés mathématiques spécifiques, le chiffrement homomorphe permettrait de réaliser des traitements sur les données chiffrées hébergées dans le Cloud et de disposer ainsi d’une capacité de stockage et de calcul externalisée.