bulletin lambda 3.06

11 octobre 1997

LA LOUPE : chercher dans les archives du bulletin


Sommaire:

FRANCE : LE SÉNAT S'ÉNERVE
>
Le monopole des données publiques mis à l'index
> Monory crypto-citoyen?

EUROPE : GRANDES MANOEUVRES
> La Commission prépare un "plan d'action" sur le contrôle du contenu
> Ses propositions en matière de chiffrement rendues publiques

COURT-CIRCUITS
> Comment la police fait face aux donnés chiffrées? Une étude de cas américaine au coeur des instructions
> Netscape-Matra: la carpe et le serrurier


Le SÉNAT S'ÉNERVE

 

Dans deux interventions successives, les sénateurs français ont mis à l'index deux piliers du dogme français en matière de réseaux : le monopole de distribution des données publiques, et la frénésie anti-chiffrement.

Le monopole d'OR Télématique mis à l'index

"Le régime actuel de diffusion des données publiques n'est pas admissible."

C'est le rapport des sénateurs Joyandet, Herisson et Türk "Maitriser la société de l'information: Une chance pour la France", que les détails de l'aberration française sont dénoncée : la société OR Télématique a le monopole privé de diffusion électronique des données d'origine publiques (codes administratifs, lois et décrets, etc.) A 700 F de l'heure sur minitel. Impossible pour l'État de placer une texte de loi en ligne, sans être... hors la loi. Ce qui a placé le site Adminet, fondé par un fonctionnaire de l'Industrie, Christian Scherer, dans une triste situation l'an dernier (lambda 2.05).

"La diffusion du "service public des bases de données juridiques"", poursuit le rapport, "comprend tous les textes officiels de la République française, ... organisée par les décrets n° 84-940 du 24 octobre 1984 et n° 96-481 du 31 mai 1996. Ce dernier décret fait actuellement l'objet d'un recours pour excès de pouvoir devant le Conseil d'État, déposé par l'ordre des avocats, tendant à son annulation, qui est actuellement en cours d'instruction. L'arrêt devrait être rendu à l'automne 1997."

Monory crypto-citoyen?

A propos du chiffrement, le 9 octobre c'est Monory le président du Sénat qui y est allé de son couplé citoyen, fort étranger du discours officiel, une grande première sans aucun doute:

Dommage, pas trace de ce beau discours pendant les débats de juin et juillet 96 sur la loi de réglementation (27/7/96). Maintenant les decrets d'application sur le chiffrement sont pratiquement dans les mains du Conseil d'Etat. Et le Sénat n'y peut (plus) rien.


GRANDES MANOEUVRES À LA COMMISSION DE BRUXELLES

Un Plan D'action Sur Le Contrôle Du Contenu

La Commission Européenne va établir un "Plan d'Action pour l'Internet", a-t-on appris dans une "communication" (dans le jargon bruxellois, document à soumettre au Conseil Européen et au Parlement) sur la question du contrôle du contenu, l'autorégulation et l'entraide judiciaire sur la "criminalité informatique".

Le bulletin lambda a pu obtenir une version provisoire de ce document, ainsi qu'une proposition de résolution qui sera soumise au Conseil Européen.

Le plan d'action avance notamment -- comme il en est question au sein des travaux de l'OCDE -- le besoin de créer une "hot-line" d'envergure européenne relative au contenu "illégal et offensant". A l'image de ce qui existe déjà en Allemagne, en Grande Bretagne et aux Pays-Bas.

Danger: le spectre du protocole PICT (étiquetage du contenu pour filtrer les sites) est à nouveau brandi comme la solution incontournable, alors que les débats qui ont suivi la mort du CDA américain ont justement soulevé les incohérences pratiques que ce système de "rating" engendrerait (lambda 305).

Le document indique qu'un groupe de travail sur le "crime organisé" a débuté ses travaux; une entente est en cours sur la répression du crime informatique (localiser, identifier et appréhender les contrevenants dans l'espace européen; mieux former les forces de l'ordre):

La Commission Avance En Langage Chiffré

"On ne peut empêcher efficacement personne de chiffrer ses communications (criminels et terroristes compris), puisque l'on peut simplement télécharger des logiciels de cryptologie puissants sur l'Internet. Résultat, la restriction à l'usage du chiffrement pourrait très bien empêcher les citoyens et les entreprises qui respectent la loi à se protéger des attaques de criminels. Alors que dans le même temps, ces restrictions ne pourront pas empêcher totalement les criminels d'utiliser ces technologies."

C'est ainsi que la Commission Européenne résume le débat actuel sur le chiffrement, dans un document officiel rendu public le 8 octobre. Le document fait figure de lignes de conduites sur les "signatures numériques et le chiffrement". En jargon communautaire, c'est une "Communication" qui sera soumise au Conseil de l'UE ainsi qu'au Parlement.

Comme en mars dernier l'OCDE, la CE reconnaît aux États le droit souverain d'adopter leur propre politique en matière de chiffrement des données, conformément au principe que les questions de sécurité nationale ne sont pas du ressort des institutions européennes. Mais le texte prévient que "si des restrictions nationales sont mis en place, elles doivent être en conformité avec la loi communautaire". Et la CE "étudiera si ces restrictions ... sont totalement ou partiellement justifiées, au vu notamment des principes de libre circulation du Traité". La France peut se sentir visée : les décrets censés instituer les organes tiers de confiance (TTP), qui sont en cours d'examen précisément pour ces questions de conformité au Traité, avaient dans un premier temps été rédigé en excluant du cadre toute personne non française ou toute société au capital majoritairement étranger (lambda 2.12).

Les décrets, parvenus à Bruxelles les 27 et 28 juillet dernier, devaient rester 3 mois à l'étude avant une première notification (fin octobre donc).

Une large partie de cette "Communication" est consacrée au problème pratique de mettre en place le principe du dépôt des clés privés chez un tiers : contexte "controversé", celui de l'installation de régimes dits "key escrow" ou "key recovery" (Part III - n°3 du document). Une "entente est souhaitable sur ces points", note la Commission.

En résumé (en substance):



COURT-CIRCUITS

Etude de cas

COMMENT LA POLICE FAIT FACE AUX DONNÉES CHIFFRÉES

Une étude intitulée 'Encryption And Evolving Technologies As Tools Of Organized Crime And Terrorism', rendue publique le 15 mai dernier, révèle que les forces de l'ordre sont loin d'être dépassé dans leurs enquêtes lorsqu'ils rencontrent des pièces à conviction protégéEs par du chiffrement.

Les auteurs, Dorothy E. Denning (Computer Sciences, Georgetown University, Washington DC) et William E. Baugh, vice-president de la Science Applications International Corporation (SAIC, très lié au renseignement américain - lire lambda 1.01) sont réputés pour leur sens de la répartie -- et même pour un penchant pour un contrôle du chiffrement à des fins légales.

Ils ont donc mené une étude sur une vingtaine de cas concret ou la police (américaine, japonaise ou européenne) a eu affaire à des documents illisibles lors de leur instruction. Bilan : la plupart du temps, le document a pu être déverrouillé par les voies classiques, en demandant la clé au suspect ou en la dénichant sur l'ordinateur... Et encore, précisent les deux auteurs, aucun exemple traité par la NSA ou d'autres agences de renseignements n'a pu être recensé...

"C'est vrai, nous dit Dorothy Denning. Beaucoup de cas ont été résolus aussi parce que le code était faible et a pu être cassé. Mais qu'arrivera-t-il lorsque le chiffrement incassable, complètement intégré, facile d'usage, sera transparent d'un bout à l'autre?"

Elle reconnaît tout de même que sa vision a été modifiée par le contenu de cette étude, notamment sur le bien-fondé de l'actuelle loi américaine qui interdit l'exportation de systèmes de chiffrement puissant.

L'étude n'était jusqu'à présent disponible uniquement sous forme imprimée, vendue $10 par un organisme américain, le National Strategy Information Center --- document que nous nous sommes procuré par cette voie. Mais en titillant Mrs Denning, elle a finalement accepté de placer une partie de l'étude en ligne, précisément la série de cas détaillés, mise à jour le 7 octobre. Elle nous promet de mettre en ligne d'autres affaires policières, aussitôt qu'elle aura pu les vérifier totalement (lien vers le résumé de l'étude).

 

---------------

NETSCAPE-MATRA : LA CARPE ET LE SERRURIER

Le 3 octobre Netcape Communications et MatraNet, filiale intranet du groupe Lagardère, annoncaient leurs fiancailles futures dans une société qui vendra des solutions de sécurité pour entreprises (notamment du tunneling chiffré). La joint-venture reste encore à créer juridiquement.

Marriage de raison : l'américain pourra ainsi prendre pied sur un marché stratégique, protégé, où la présence étrangère - US surtout - est rare, et où Matra garde des positions privilégiés, vu que le régime de chiffrement est sur le point de changer. Matranet, de son côté, n'a encore aucune envergure sérieuse (10 MF de CA prévisionnel pour 97), et cherche avec Netscape à redorer son blason. La jv devait ne concerner que le marché français.

L'américain garde une vision du chiffrement très libre sur le marché US, et participe au lobbying intense du Congrès pour que la loi SAFE (libéralisation) donne aux entreprises le pouvoir de collaborer ou non avec les autorités. Alors qu'en France la société de Mountain View devra travailler dans un contexte particulier : le recours aux tiers de confiance sera de près ou de loin obligatoire. Lors de la conférence de presse du 3 octobre, le Général Desvignes, chef du SCSSI, était présent - "nous l'avons invité cordialement", a dit naturellement un cadre de Matranet.

Les décrets en charge de l'intronisation des "tiers" sont encore à Bruxelles pour examen. Ils ont atteri à la Commission fin juillet, et une première notification est attendu sous trois mois, fin octobre. (Quelques passages du document européen en fait, à mot couvert, allusion.)

La surprise est venu de Claude Goumy, un des patrons de Matra. Il na pas exclu la participation de son groupe au futur régime, notamment en devenant lui-même tiers de confiance. Les liens de Matra avec les marchés militaires français rassureront sans doute des compatriotes, mais risquent de faire reculer des filiales françaises de groupes étrangers, surtout américains ou japonais. Le nouveau rôle de "serrurier" qu'entend jouer Matra fait aussi saliver tous les groupes de high-tech liés aux budgets d'Etat : Thomson, Bull, Sagem, Alcatel, etc. Le marché est promis juteux.


Réactions