bulletin lambda 2.12

5 décembre 1996


Un avant-goût sur les notaires électroniques français

Chiffrement des données : Une lettre du CLUSIF adressée au SCSSI révèle les premières facettes des futurs tiers de confiance


Cela fait maintenant des mois que les autorités françaises préparent le terrain des futurs notaires électroniques. Des décrets d'application (loi LRT, 27 juillet 1996) attendus pour janvier vont en effet déterminer les conditions de marché de ces officines, agréées pour garder les clés des coffre-forts informatiques. Et les tenir à la disposition d'un juge d'instruction. On les appelle aussi les tiers de confiance (TTP), ou "tiers de confidentialité", un terme avancé par le SCSSI pour mieux distinguer le chiffrement destiné au secret de la communication à celui destiné à l'intégrité du message (signature). Ce "tiers" sera responsable de ce qu'on appelle aussi le "sequestre des clés"

Personne ne sait exactement si ces notaires ressembleront à des commissaires aux comptes, à un groupement de cartes bancaires, ou à de discrètes filiales de groupes industriels...

Mais en attendant, le SCSSI, service officiel français pour les question de chiffrement, consulte - contrairement aux consignes - du côté des industriels, pour affiner les pré-décrets.

Voici un autre type "d'interception de sécurité", une lettre à "diffusion interne" qui est parvenu à la presse en novembre.

Adressée à

>Général Jean-Louis DESVIGNES
>SCSSI
>18, rue du Docteur Zamenhof
>92131 ISSY-LES-MOULINEAUX
Signée de
>Jean-Philippe Jouas
>Président du Club de la Sécurité Informatique Français

Ce groupe de pression demandait déjà en juin une audition aux gardiens du chiffre français. Certains de ses cadres en sécurité travaillent pour de gros poissons de l'industrie française, parfois des filiales de groupes publics (comme Bull ou Thomson), ou des consultants privés ayant parfois des contrats avec l'administration.

>Paris, le 18 novembre 1996

>N/Réf. : xxx/96xxx

>Mon Général,

>Vous avez bien voulu nous consulter sur le projet de décret concernant les tierces parties de confiance et nous vous en remercions.

>Il nous apparaît, à la lecture de ce projet, que des problèmes fondamentaux ne sont pas abordés : - la référence aux échanges internationaux, - les relations entre l'organisme et ses clients et les nombreux problèmes de confiance que ces relations soulèvent, - les procédures ou possibilités de recours.

>En ce qui concerne les échanges internationaux, qui représentent l'attente la plus importante des utilisateurs, il nous semble capital de laisser entrevoir, dans le décret, les solutions envisageables. En particulier, la possibilité pourrait être ouverte aux prestataires de rechercher des accords avec des partenaires d'autres pays afin de rendre possible des échanges internationaux, pourvu qu'ils respectent les obligations qui leur sont imposées par l'Etat Français. Dans cet ordre d'idée, l'article 5 fait véritablement apparaître le projet comme franco-français et va à l'encontre de l'objectif que nous évoquions plus haut.

>En ce qui concerne les relations avec les utilisateurs, le point le plus critique nous semble être celui de la certification des techniques ou prestations de sécurité offertes par l'organisme et du niveau de confiance que l'on peut lui accorder. C'est la clé de la confiance que pourront lui accorder les utilisateurs et il nous paraît fondamental que ce point soit abordé dans le décret. L'évaluation et la certification (au sens ITSEC) ne pourraient-elles pas faire partie, au moins à titre optionnel, du cahier des charges ?

>Enfin, nous notons qu'il n'est explicitement rien prévu en cas de litige et cela nous paraît nécessaire pour rassurer l'utilisateur sur ce qu'il adviendrait en cas de problème, par exemple entre utilisateur et tiers de confiance.

>En espérant que ces remarques pourront servir la cause que nous défendons tous, qui est celle de l'amélioration de la sécurité dans les échanges entre sociétés, nous vous transmettons, Mon Général, nos meilleurs souvenirs.

>Jean-Philippe Jouas
>Président du Club de la Sécurité Informatique Français

Et alors?
1/ Les problèmes d'échanges internationaux sont cruciaux pour que les communications entre Etats puissent se certifier mutuellement. Se pose aussi la question des filiales à l'étranger des groupes français (et vice-versa) -- devront-elles laisser aussi leurs clés à disposition des autorités françaises? Quels type d'accord doit-on attendre avec les TTP étrangers? Et quid de l'intégration française des discusions internationales, menés sous l'égide de l'OCDE?

2/ Concernant la certification des agents, c'est aussi crucial : l'utilisateur doit pouvoir être sûr que le TTP sera armé contre le vol, la copie ou la falsification de clés privées. Et les éventuels "litiges" doivent être prévus, comme par example dans le cas où un tiers de confiance se laisse soudoyer par un de vos concurrents commerciaux, ou encore si un officier de police judiciaire ne veuille mettre le nez dans votre courrier sans passer par la Commission de contrôle des interceptions de sécurité (CNCIS), comme l'exige la loi. Est-ce trop demandé?

En marge de ces calculs, nous avons pu apprendre de bonne source que ce dépot des clés ne serait pas "obligatoire". Ce qui laisse croire que l'usage de logiciels comme PGP ne sera pas contrôlée chez les particuliers. Comme il est vrai de dire qu'il ne vont pas mettre un flic derrière chaque citoyen! Mais l'usage du chiffrement sans licence aura toujours quelque chose d'illégal.

Stéphane Bortzmeyer, un des portes-paroles de l'AUI, a réagit à cette lettre, en reprochant au Clusif un ton trop consensuel. "Il faudrait bien plus que les quelques aménagements cités pour permettre une utilisation raisonnable de la crypto. Par exemple, le problème des échanges internationaux est simple : soit on autorise PGP et SSH, soit on ne peut même plus s'abonner aux listes CERT" - le CERT recommande chaudement de chiffrer ses communications, puisque certains faux avis CERT ont déjà été émis.

Le SCSSI pense faisable que les décrets soient prêts pour la fin de l'année (même si le Conseil d'Etat devra y jetter un oeil). Pari personnel : les décrets seront publiés le 27 décembre - la précedente loi de 1990 a été signée le 28 du même mois; et les décrets de 1992, le 29. La trève des confiseurs semble avoir la préférence des autorités. Tir groupé?


Notes rapides

  • OECD update : à propos du groupe d'experts sur le chiffrement appelé par l'OECD à établir des bases communes aux différents Etats, une fuite a permis de révéler le contenu des propositions secrètes qui a servi de base à la réunion de Paris les 26 et 27 septembre dernier. Le document a été depuis amendé, mais il donne une idée assez claire des âpres négociations.
    Lire aussi le compte-rendu de la conférence de l'EPIC (Paris, 25 septembre), en présence de nombreux experts internationaux.

  • EF-Sverige : un de nos abonnés nous informe de la création d'une association de défense des libertés en Suède, EF Sverige. Comme Citadel / EF-France, elle est indépendante de l'EFF américaine. Créé par deux journalistes : Anna-Mi Wendel , et Peppe Arninge.

    Retour vers la page d'acceuil. Home page.