bulletin lambda 3.01

19 mars 1997


Le logiciel douanier veille sur vous -- enfin un double tiers de confiance!
Le CDA en sursis : le précédent pro-citoyen de la Cour Suprême
Crypto update : France et OCDE


Vive les frontières!

LE LOGICIEL DOUANIER VEILLE SUR VOUS

 

Le 6 mars l'AFP rapportait que les autorités françaises venaient d'approuver un système de transactions financières sécurisées, le C-SET. Derrière l'annonce, ce sont tout simplement les frontières du monde réel qui reprennent forme dans l'espace numérique. On avait presque oublié que les frontières se rematérialisent lorsque le double enjeu de la sécurité nationale et de la vente à distance réapparaît. Le C-SET est en effet l'outil rêvé pour lancer une intermédiation légale lors du chiffrement des communications privées.

Le Chip-Secured Electronic Transaction est en fait une version française, préparée par les ingénieurs du Groupement des cartes bancaires, du protocole SET, lui-même censé être commun à toutes les plates-formes et compatible au niveau mondial avec les réseaux internationaux de cartes bancaires. Le C-SET apporte en plus une solution matérielle au SET standard. Ce dernier se contente de n'être exploitable que sous forme logicielle : il identifie une machine, pas un individu. Grâce à la puce qui intègre aujourd'hui l'énorme majorité des cartes bancaires en France, l'usager tape son code à quatre chiffres, et s'identifie. Dans son édition du 27 février, la revue confidentielle Le Monde du Renseignement a spéculé sur les réelles conséquences pratiques d'un tel système : le premier paiement électronique à douanier intégré.

"Le ministère des Finances n'a pas encore pris position sur ces taxes, mais avec C-SET c'est totalement possible d'envisager ce prélèvement", explique doctement Claude Megglé. "Cela permet aux États de conserver leur souveraineté sans entraver le commerce international."

Ce n'est qu'un des aspects, mais le plus parlant. Car pour être approuvé par le SCSSI, le service de sécurité réseaux de Matignon, il fallait que ce système soit compatible aussi avec le régime des tiers de confiance (TTP), en préparation en France depuis plus de sept mois (lire plus loin). Pour cela, il suffit qu'un organisme - une banque, par exemple - assure le relais entre tout utilisateur d'un moyen de chiffrement et l'État. Et C-SET utilise le chiffrement dans les deux sens : pour authentifier la transaction (code secret de la carte), mais aussi pour en protéger le contenu (prévu dans SET).

Ici, la banque qui émet la carte devient ce relais naturel. L'internaute se connecte sur un site et s'apprête à commander un produit. Il rentre sa carte dans un "PIN-pad" (un boîtier lecteur de carte avec clavier, produit par une filiale de Bull, qui sera vendu autour de 400 F, promet le GCB). En tapant son code, la transaction est relayée par un serveur distant, le "traducteur" comme l'a appelé Claude Megglé, le chef de l'audit sécurité du GCB. Ce traducteur est un serveur hébergé en France, propriété du tiers de confiance, la banque. C'est par ce serveur que la transaction s'effectue, qu'il se trouve chez lui ou n'importe qui dispose de ce boîtier portable. C'est donc, en un sens, le prototype du douanier logiciel, qui permettra à l'État d'y prélever une petite taxe, dans le cas bien sûr où le serveur d'origine est situé en territoire étranger dont les produits sont frappés de droits de douane.

Et il n'y a pas que les droits de douane. L'absence de TVA sur certains produits américains - les services de callback par exemple - a conduit le Conseil des ministres des finances de l'UE à réclamer des moyens pour récupérer l'obole perdue. En principe, ils seront servi avec C-SET. Le système - le GCB en collaboration avec un consortium de banques en Belgique, Banksys - vient d'ailleurs d'être retenue par la Commission européenne comme standard officiel.

L'autre attrait pour les autorités est de contrôler les transferts de fonds. Le "traducteur" servira d'intermédiaire pour toute enquête de police. Les agences nationales chargés de contrôler le blanchiment d'argent, la Tracfin en France, se sont réunit récemment avec pour seul mot d'ordre : clarifier les risques d'écoulement illégal de devises à travers l'Internet.

Au final, il est utile de préciser que l'acheteur aura son anonymat garanti... vis à vis du marchand. Mais la banque, elle, en tant que tiers de confiance, en sera informée. C-SET, en effet, chiffre la partie du message qui contient le type de produit acheté, le montant, et l'identité de l'acheteur. Nous avons pu apprendre que le SCSSI était, au départ, contre tout chiffrement à usage de confidentialité (message chiffré avec une clé DES de 56 bits; transmission de la clé assurée par une enveloppe RSA de 1024 bits; le tout étant réputé très solide).

Mais la carotte du TTP les a fait succomber : la clé restera en dépôt pour les besoins de la justice. Claude Megglé n'exclue pas que ce système serve aussi d'identifiant lorsque l'on voudra envoyer un message chiffré en toute "légalité". Le système saura qui vous êtes et saura aller chercher votre clé secrète ou celle de votre correspondant pour rester à l'écoute de vos problèmes quotidiens de contribuables.

C-SET doit aussi être testé au Royaume-Uni, en Belgique, en Suisse, au Portugal, en Espagne et en Allemagne. Votre actuelle carte bancaire à puce pourra être conservée, assure le GCB.


LES RÉFLEXES CITOYENS DE LA COUR SUPRÊME

 

Mercredi 19 mars, la Cour Suprême américaine devait examiner pendant une heure les arguments du ministère de la Justice qui met en jeu son Communications Decency Act devant sa plus haute juridiction. Le CDA, voté par le Congrès et signé par Clinton en février 96, a été une première fois jugé anticonstitutionnel par une cour fédérale en juin dernier, jugeant le texte contraire à la libre expression. Il prévoit une peine allant jusqu'à 2 ans de prison et/ou 250.000 dollars d'amende pour toute transmission via les réseaux électroniques de documents "offensants" ou "indécents".

David Sobel, l'avocat de l'EPIC, une des vingt organisations de défense des libertés qui se sont liées pour faire tomber le CDA, rappelle que les 9 sages de la Cour avaient déjà fait preuve d'acuité pour la vie privée et le respect de l'anonymat dans une affaire il y a deux ans.

"L'anonymat est un bouclier contre la tyrannie de la majorité", avait noté la cour. "Cela renforce la nécessité (...) du premier amendement (libre expression) : protéger des représailles les individus allant à l'encontre de la majorité populaire - et leurs idées contre la répression - face à une société intolérante."

David Sobel note en effet que l'application formelle du CDA reviendra à créer sur chaque serveur d'information public une mémoire servant à identifier l'âge des intervenants, à la classer et la tenir à jour en vue d'une vérification judiciaire. Cet arsenal, note Sobel, "constituerait une énorme violation des droits des américains à accéder à l'information de manière privée et anonyme".

Le décor est planté. Reste à convaincre les juges de 1997 que l'enjeu est similaire, et même démesurément plus important dans le cas du CDA.

Suivez la décision en quasi direct (mercredi 19 à partir de 17h30 hf -- 11.30 am, eastern time) à partir des pages
http://www.epic.org/cda/
http://www.aclu.org/issues/cyber/trial/appeal.html


CRYPTO UPDATE

Ou en sont les décrets? Attendre l'OCDE?

Les attentifs ont souligné que les décrets d'application de la loi de juillet 96 sur le chiffrement -- ceux instituants les fameux "tiers" ou TTP -- se font attendre. Prévus en janvier, rien n'a été publié à la mi-mars. En fait, le SCSSI et leurs supérieurs du SGDN (Secrétariat général de défense, le bras armé du Premier Ministre) seraient encore divisés sur certaines modalités.

Certains penchent pour une libéralisation partielle. Elle serait totale (sans nouvelle autorisation, sans dépôt de clés) pour les outils déjà approuvés, dont les systèmes de type RSA avec une limite de taille de clé de 40 bits : comme l'enveloppe SSL version export de Netscape qui permet en théorie d'acheter en toute sécurité des CD à la FNAC de chez soi. D'autres officiels du SCSSI s'opposeraient à cette mesure, en exigeant que tous les logiciels ou moyens de chiffrement vendus en France - sans exception - soient désormais vendus équipés d'un moyen de "recouvrement de clés". Ce qui reviendrait à rendre obligatoire le chiffrement sous TTP.

Autre pierre d'achoppement, qui aurait de réelles implications communautaires : un pré-décret du SCSSI, révélé par la presse en décembre dernier (lire lambda 2.13), précisait que le TTP devait être une société contrôlé à majorité par des capitaux d'origine française et par des dirigeants de nationalité française. Au SGDN, les dents grincent à l'idée que ces dispositions pourraient un jour être épinglées par Bruxelles pour entrave à la libre concurrence et à la libre circulation des biens et des personnes dans l'Union. Ça ferait mauvais genre.

Dans le même temps, l'OCDE a fait savoir début mars que le panel d'experts qui se réunit depuis 18 mois pour tenter d'émettre des propositions afin d'harmoniser les législations sur le chiffre dans le monde, passera en conseil des ministres sou peu. La France pourrait bien attendre ces recommandations officielles pour enfin signer ces décrets tant attendus.

 

Toujours d'actualité : le pré-décret du SCSSI intercepté par Planète Internet

Pour mémoire : une clé de 40 bits entre les mains d'une équipe de faussaires organisés est plus que vulnérable. C'est le résultat du défi lancé par RSA Data Security en février : des milliers de machines travaillant de concert l'ont cassé en 3 heures et demi. Une autre clé de 48 bits a succombé en 13 jours. Et leur prochaine cible : le DES, avec une clé de 100 bits, réputé bien plus inviolable que ces deux dernières.


Réactions