Or le 16 février dernier, dans le Federal Register (le JO américain), les normes ITAR ont été amendés pour permettrent à un individu de voyager avec un moyen de chiffrement puissant. Bonne nouvelle pour Phil Zimmermann, lui qui a été pêndant deux ans sous le coup d'une enquête : on lui reprochait d'avoir enfreint l'ITAR en ayant fabriqué PGP, qui s'est retrouvé à l'étranger en deux temps trois mouvements.
Phil Z n'a pas eu le temps de connaitre ces nouvelles dispositions ITAr avant de quitter son pays : depuis le début de la semaine, il est en Europe pour participer à une conférence. Il a appris la noiuvelle par hasard, quand je l'ai appelé dans sa chambre d'hotel pour arranger un entretioen. "Ah non, je ne savais pas... C'est effectivement une bonne nouvelle. Mais c'est seulement un pas en avant, puisque d'autres restrictions à l'export sont maintenues..."
La fin de l'histoire est un peu plus cocasse. Car devinez la destination de Zimmermann? La France. Après Nice, il a filé à Monaco pour participer au salon Imagina, ou il devait intervenir le 23 au matin. Et alors? L'usage de PGP en France, fait assez connu pour les habitués de ce bulletin, est interdit de facto. Aussi illégal que se ballader avec un Scud sous le bras : la crypto non-autorisée est illégale pour l'usage personnel, les dispositions à l'export étant un peu plus sévères. (Voir l'histoire suivante pour vous faire une idée).
Moralité : au moment où Phil Z, citoyen américain, devient libre de se déplacer avec son coffre-fort électronique, il devient virtuellement menoté par la loi française.
"Je sais que la France possède des règlementations encore plus sévères qu'aux Etats-Unis, réagit-il. Mais plus la situation est sévère, plus les chances de progrès sont grandes..." Je ne peux que saluer cet optimisme. Après tout, il est peut-être sous le charme : il visite la France pour la première fois. Bon séjour, Phil!
Le bonhomme ne perd pas de sa verve devant le journaliste. Il reconnait que pour être autorisé, le produit a du subir des affaiblissements dans son algorithme (la serrure informatique de tout système de cryptage).
Le logiciel, dit-il, "ne protège donc pas d'un service national du Chiffre - mais aussi bien, s'il le faisait, il serait interdit ! (...) L'algorithme, en soi, dans sa version non châtrée, est sain pour autant que je sache. Ce sont les limitations imposées par le SCSSI qui le rendent vulnérable."
Vulnérables, pas pour le commun des mortels, évidemment : l'un des attributs intéressants du logiciel en question, c'est de chiffrer "à la volée" ce qu'on écrit : utile pour cacher au patron ou aux collègues curieux les "logs" de cache de Netscape, par exemple. Et donc de ne pas laisser de traces sur notre "profil de connexion".
"Au total, il m'a semblé préférable de proposer au grand public français un produit autorisé, même s'il n'empêchera pas les barbouzes de décrypter. Au moins, de cette façon, il peut y avoir une prise de conscience de l'intérêt du chiffrement."
Conclusion sèche de ce croisé du chiffre: "En fait, le SCSSI continue à agir comme si la cryptographie ne pouvait intéresser que les militaires, les diplomates et quelques industriels dans des secteurs particulièrement sensibles. Mais ce n'est plus possible. Ils ont définitivement perdu la bataille sur le plan technique (je peux le démontrer), et à moins d'imposer des mesures tout à fait inaccept ables pour une démocratie, ils ne pourront pas s'imposer longtemps sur le plan politique."
NOTE - Je pense que le produit (qui sera payant, dans la limite du raisonnable) vaut vraiment le détour, seulement pour certaines applications. J'attend d'en savoir plus, et il est en cours de lancement (il devrait apparaitre sur des CD-Rom de la presse Mac), alors je me refuse pour l'instant à donner ni le nom de l'auteur ni le nom du produit.