Décrets sur la cryptographie :
La logique sécuritaire de la réglementation française demeure inchangée
Contact : Valérie Sédallian
Plus d'un an et demi après la loi du 26 juillet 1996 [1], les premiers décrets sur la cryptographie viennent d'être publiés (JO du 27 février 1998 [2]). Loin de témoigner de la libéralisation qui avait été annoncée, l'examen des décrets montre que la logique sécuritaire qui fonde la réglementation de la cryptographie en France demeure inchangée [3].
La loi du 26 juillet 1996 a introduit dans la loi française le système dit des tiers de confiance. La France est le premier pays au monde à se doter d'un tel système (et le seul jusqu'à présent).
Qu'est ce qu'un tiers de confiance ? Il s'agit d'un organisme, qui gère les clés privées de chiffrement (les conventions secrètes) utilisées pour garantir la confidentialité d'une information, qui les transmet à l'utilisateur, et qui doit remettre lesdites clés à l'autorité judiciaire ou aux services chargés des écoutes administratives dans les cas prévus par la loi. L'organisme devra être agréé par le Premier ministre, dans les conditions fixées par le décret n° 98-102 du 24 février 1998 [4] qui renvoie en réalité pour le détail des modalités pratiques à un arrêté et à un cahier des charges qui décrira les obligations de chaque organisme agréé.
Qui seront les organismes agréés ? Il s'agira de sociétés commerciales qui devront compter un nombre suffisant de personnes habilitées secret défense (article 4 du décret) et exercer leurs activités sur le territoire national (article II de la loi).
L'agrément pourra être refusé pour des motifs liés aux intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l'État. Il est probable, même si les références à la nationalité qui figuraient dans le projet ont été enlevées, que seules des entreprises françaises, en outre déjà agréées « secret-défense », pourront remplir les conditions exigées. Il sera sans doute difficile d'obtenir une autorisation de fourniture en dehors du système des tiers de confiance. En effet l'article 18 du décret n°98-101 [5] sur les conditions dans lesquelles sont accordées les autorisations concernant les moyens et prestations de cryptographie prévoit que : « Dans le cas où le moyen ou la prestation n'utilise pas exclusivement des conventions secrètes gérées selon les procédures et par un organisme agréé…, l'autorisation peut soumettre les conventions secrètes, les moyens ou les prestations au respect de dispositions particulières fixées par arrêté. ».
Alors que le système des tiers de confiance est un système lourd et complexe, dont on ignore encore dans quelles conditions pratiques il va être organisé, et que les sociétés en mesure de remplir les critères nécessaires seront peu nombreuses, la fourniture de produits de chiffrement à des fins de confidentialité, même autorisés dans d'autres pays partenaires de la France, restera de fait tout aussi difficile que par le passé.
Le décret sur les tiers de confiance est une illustration réelle des problèmes techniques et financiers que soulève ce type de système, problèmes évoqués dans un rapport rédigé par d'éminents cryptographes internationaux, « The Risks of key recovery, key escrow and trusted party Encryption », 27 mai 1997, et même dans une Communication de la Commission européenne en date du 8 octobre 1997, « Assurer la sécurité et la confiance dans la communication électronique », COM (97) 503. Les points critiques sont la vulnérabilité, la vie privée, les coûts et l'efficacité.
En France, L'ART (Autorité de Régulation des Télécommunications), dans un avis critique rendu le 8 octobre 1997 (JO du 28 février 1998 [2]) sur les projets de décrets, a souligné la complexité du système mis en place en France. Pour l'ART, « l'assouplissement du régime juridique applicable aux moyens et prestations de cryptologie, pour être réel, risque de s'avérer insuffisant au regard des intérêts économiques ». Elle suggère que soit engagée une large réflexion publique sur les enjeux de la cryptologie et les règles qui doivent la régir.
L'ART, dans son avis, s'est interrogée sur la viabilité économique du système mis en place : « Cette activité nouvelle de tierce partie de confiance qui n'existe pas dans la plupart des pays avec lesquels la France entretient des relations commerciales doit, pour constituer un véritable métier susceptible de s'exercer dans le secteur concurrentiel, être envisageable dans des conditions de responsabilités clairement déterminées et suppose donc des relations financières équilibrées ». L'ART ayant constaté « l'absence d'une étude de l'environnement économique de ces organismes et de leur conditions de viabilité » craint que cela ne prive en pratique les utilisateurs de l'innovation introduite par la loi.
Au niveau international, l'OCDE, dans ses « lignes directrices régissant la politique de la cryptographie » [6], recommande que soient « évalués avec soin les avantages mais aussi les risques d'utilisation abusive, le surcoût des éventuelles infrastructures de soutien requises, les risques de défaillance technique, et les autres postes de dépenses » d'une éventuelle politique de réglementation de la cryptographie par les États.
Quels sont les autres points critiques du système mis en place ?
C'est un système franco-français qui est organisé, inadapté aux échanges internationaux et aux communications sur Internet.
La question des obligations du tiers de confiance envers ses clients est évoquée de manière très générique dans le décret. Ce point ne fait même pas partie des éléments du cahier des charges. Le décret renvoie au contrat entre l'utilisateur et l'organisme. Il est seulement prévu que le contrat comprend un engagement de l'organisme relatif à la sécurité des conventions secrètes qu'il gère. La portée de cet engagement n'est pas précisée.
L'examen du décret sur les tiers de confiance montre que l'obligation principale qui pèse sur le tiers de confiance est d'assurer l'accès aux clés privées. Toute communication protégée par une convention secrète doit permettre d'identifier l'organisme agréé et l'utilisateur concerné. L'économie générale du décret sur les tiers de confiance est un sentiment de suspicion à l'égard de la confidentialité. Or, ce système qui touche à l'exercice de libertés publiques n'est pas transparent quant à son dispositif opératoire. Par exemple, les modalités pratiques de remise des clés privées aux autorités ou de leur mise en œoeuvre feront l'objet d'une annexe classifiée qui ne pourra donc pas être communiquée.
La réglementation française, qui ne prend aucunement en compte les besoins légitimes des citoyens en matière de chiffrement, ni même ceux des entreprises françaises qui restent défavorisées par une législation d'exception par rapport à leurs concurrentes étrangères (voir « Cryptography and Liberty : an international survey of encryption policy », 9 février 1998 : étude internationale des législations en matière de cryptographie [7] réalisée par l'association GILC (Global Internet Liberty Campaign), qui soulève des interrogations quant à sa compatibilité avec les engagements européens de la France, doit être revue, et réellement assouplie.
À l'initiative du gouvernement français, un débat national sur la cryptographie doit être engagé cette année. IRIS souhaite que ce débat débouche sur le réexamen complet du système des tiers de confiance, et par conséquent des textes juridiques et réglementaires l'ayant instauré.
IRIS - Le 11 mars 1998.
[1] Loi de réglementation des télécommunications du 26 juillet 1996 : http://www.telecom.gouv.fr/francais/activ/telecom/nloi1a5.htm.
[2] Journal Officiel : http://www.legifrance.gouv.fr.
[3] Cryptographie : pourquoi faut-il libéraliser totalement la loi française - IRIS - 31 octobre 1997 : http://www.iris.sgdg.org/documents/rapport-ce/annexe7.html.
[4] Décret n° 98-102 du 24 février 1998 : http://www.telecom.gouv.fr/francais/activ/telecom/deccrypto2.htm.
[5] Décret n° 98-101 du 24 février 1998 : http://www.telecom.gouv.fr/francais/activ/telecom/deccrypto1.htm.
[6] The OECD cryptography policy guidelines and the report on background and issues of cryptography policy - OCDE - mars 1997 : http://www.oecd.org/dsti/sti/it/secur/prod/crypto2.htm.
[7] Cryptography and Liberty : an international survey of encryption policy - GILC - 9 février 1998 : http://www.gilc.org/crypto/crypto-survey.html.
| (dernière mise à jour le 16/06/2019) - webmestre@iris.sgdg.org |  |