Personne ne sait exactement si ces notaires ressembleront à des commissaires aux comptes, à un groupement de cartes bancaires, ou à de discrètes filiales de groupes industriels...
Mais en attendant, le SCSSI, service officiel français pour les question de chiffrement, consulte - contrairement aux consignes - du côté des industriels, pour affiner les pré-décrets.
Voici un autre type "d'interception de sécurité", une lettre à "diffusion interne" qui est parvenu à la presse en novembre.
>Général Jean-Louis DESVIGNESSignée de
>SCSSI
>18, rue du Docteur Zamenhof
>92131 ISSY-LES-MOULINEAUX
>Jean-Philippe Jouas
>Président du Club de la Sécurité Informatique Français
>Paris, le 18 novembre 1996>N/Réf. : xxx/96xxx
>Mon Général,
>Vous avez bien voulu nous consulter sur le projet de décret concernant les tierces parties de confiance et nous vous en remercions.
>Il nous apparaît, à la lecture de ce projet, que des problèmes fondamentaux ne sont pas abordés : - la référence aux échanges internationaux, - les relations entre l'organisme et ses clients et les nombreux problèmes de confiance que ces relations soulèvent, - les procédures ou possibilités de recours.
>En ce qui concerne les échanges internationaux, qui représentent l'attente la plus importante des utilisateurs, il nous semble capital de laisser entrevoir, dans le décret, les solutions envisageables. En particulier, la possibilité pourrait être ouverte aux prestataires de rechercher des accords avec des partenaires d'autres pays afin de rendre possible des échanges internationaux, pourvu qu'ils respectent les obligations qui leur sont imposées par l'Etat Français. Dans cet ordre d'idée, l'article 5 fait véritablement apparaître le projet comme franco-français et va à l'encontre de l'objectif que nous évoquions plus haut.
>En ce qui concerne les relations avec les utilisateurs, le point le plus critique nous semble être celui de la certification des techniques ou prestations de sécurité offertes par l'organisme et du niveau de confiance que l'on peut lui accorder. C'est la clé de la confiance que pourront lui accorder les utilisateurs et il nous paraît fondamental que ce point soit abordé dans le décret. L'évaluation et la certification (au sens ITSEC) ne pourraient-elles pas faire partie, au moins à titre optionnel, du cahier des charges ?
>Enfin, nous notons qu'il n'est explicitement rien prévu en cas de litige et cela nous paraît nécessaire pour rassurer l'utilisateur sur ce qu'il adviendrait en cas de problème, par exemple entre utilisateur et tiers de confiance.
>En espérant que ces remarques pourront servir la cause que nous défendons tous, qui est celle de l'amélioration de la sécurité dans les échanges entre sociétés, nous vous transmettons, Mon Général, nos meilleurs souvenirs.
>Jean-Philippe Jouas
>Président du Club de la Sécurité Informatique Français
Et alors?
1/ Les problèmes d'échanges internationaux sont cruciaux pour que les communications entre Etats puissent se certifier mutuellement. Se pose aussi la question des filiales à l'étranger des groupes français (et vice-versa) -- devront-elles laisser aussi leurs clés à disposition des autorités françaises? Quels type d'accord doit-on attendre avec les TTP étrangers? Et quid de l'intégration française des discusions internationales, menés sous l'égide de l'OCDE?
2/ Concernant la certification des agents, c'est aussi crucial : l'utilisateur doit pouvoir être sûr que le TTP sera armé contre le vol, la copie ou la falsification de clés privées. Et les éventuels "litiges" doivent être prévus, comme par example dans le cas où un tiers de confiance se laisse soudoyer par un de vos concurrents commerciaux, ou encore si un officier de police judiciaire ne veuille mettre le nez dans votre courrier sans passer par la Commission de contrôle des interceptions de sécurité (CNCIS), comme l'exige la loi. Est-ce trop demandé?
En marge de ces calculs, nous avons pu apprendre de bonne source que ce dépot des clés ne serait pas "obligatoire". Ce qui laisse croire que l'usage de logiciels comme PGP ne sera pas contrôlée chez les particuliers. Comme il est vrai de dire qu'il ne vont pas mettre un flic derrière chaque citoyen! Mais l'usage du chiffrement sans licence aura toujours quelque chose d'illégal.
Stéphane Bortzmeyer, un des portes-paroles de l'AUI, a réagit à cette lettre, en reprochant au Clusif un ton trop consensuel. "Il faudrait bien plus que les quelques aménagements cités pour permettre une utilisation raisonnable de la crypto. Par exemple, le problème des échanges internationaux est simple : soit on autorise PGP et SSH, soit on ne peut même plus s'abonner aux listes CERT" - le CERT recommande chaudement de chiffrer ses communications, puisque certains faux avis CERT ont déjà été émis.
Le SCSSI pense faisable que les décrets soient prêts pour la fin de l'année (même si le Conseil d'Etat devra y jetter un oeil). Pari personnel : les décrets seront publiés le 27 décembre - la précedente loi de 1990 a été signée le 28 du même mois; et les décrets de 1992, le 29. La trève des confiseurs semble avoir la préférence des autorités. Tir groupé?