lambda 3.07

11 décembre 1997

LA LOUPE : chercher dans les archives du bulletin


Crypto
LA POLITIQUE FRANCAISE SUR LE GRILL
Le feu vert de Bruxelles est à double tranchant
L'HONNEUR DE PHIL Z
L'inventeur de PGP dans la tourmente du rachat de sa société

FRANCE: LE NET "CIRCONSTANCE AGGRAVANTE"
Une loi montre du doigt les réseaux télécoms

COURT-CIRCUITS
> XS4ALL refuse la perquise
> L'Europe sort son "plan de sûreté"
> Nouveau camouflet anti-filtrage
> Des nouvelles du GILC


Le

chiffre français

passé au crible


Pour ceux qui auraient raté les épisodes précédents, les ultimes décrets nécessaires au lancement de la nouvelle réglementation française sur le chiffrement sont presque mûrs. Mais, selon des éléments concordants, les fameux décrets ne seront pas publiés avant la fin de l'année. Et le projet français a été vertement critiqué au sein de l'Union européenne.

Les deux décrets sont restés 3 mois à Bruxelles pour examen de conformité avec le traité de l'Union Européenne. Fin octobre, ils sont partis à Paris rejoindre le Conseil d'État, avec le feu vert de la Commission.

Ces textes mettent en place le système d'agrément des tiers de confiance (TDC) et d'autorisation préalable de tout produit de chiffrement dit "puissants". Un autre arrêté devait être pris pour alléger le "régime déclaratif" des logiciels peu puissants (sous les 40 bits de taille de clé).

Le feu vert de Bruxelles est à double détente. Certains États, selon une bonne source proche des discussions à Bruxelles, se sont plaint. Comme les Pays-Bas, qui auraient jugé ces décrets "inacceptables". Un article de Communications Week a précisé par ailleurs que la CE avait obtenu des autorités françaises d'autoriser finalement des capitaux étrangers de détenir la majorité des parts d'un TDC en France (même si tout TDC devra être basé sur le territoire). Nous avions déjà souligné le risque d'une telle disposition (lambda 2.13).

En fait, d'après ce qu'a déjà écrit La Correspondance de la Presse, le feu vert de Bruxelles a été accompagné d'"observations" que le gouvernement français devra vraisemblablement prendre en compte. Certaines dispositions risqueraient d'"entraver" la libre circulation nécessaires des produits de chiffrement dans l'UE, mais aussi dans l'espace économique EEE, dont sont membres d'autres pays européens comme la Suisse ou la Norvège. L'instauration d'un régime spécifique en France pourrait aussi aller à l'encontre de la directive de 1995 sur la protection des données nominatives, qui exige une politique concertée en Europe sur la sécurité de ces données transmises sur les réseaux ouverts. Le régime des tiers de confiance, tel qu'il est proposé, risque aussi de compliquer l'application de cette directive.

Au final, les textes devraient faire à nouveau une navette par Bruxelles avant d'être promulgués à Paris. Mais le pouvoir de blocage des autres États membres n'est pas évident, puisque la France se tient prête à invoquer l'argument "sécurité nationale" pour rester souverain en la matière et avoir le dernier mot.

Fait nouveau: des industriels, comme Renault, AXA ou la BNP, regroupés dans l'Association des utilisateurs unix (AFUU), se sont ouvertement plaint dans un communiqué du manque de transparence autour de ces fameux décrets. Et d'après ce qu'il savent de ces textes, pour eux "la procédure ne pourra échapper à une certaine lourdeur administrative" et de plus est "en contradiction avec les objectifs fixés par le premier ministre". L'AFUU se base aussi sur l'avis consultatif de la CSSPPT, une commission parlementaire amenée à se prononcer sur tout projet lié aux télécoms. Cette Commission souhaite, dans son avis, que

  • "l'ensemble du dispositif (...) soit totalement revu et que son nouvel ordonnancement soit précédé d'une réflexion générale seule à même de fixer clairement, utililement et de manière cohérente, un système aux conséquences importantes pour le monde économique, la société civile et l'intégrité de l'État."


L'honneur
de
Phil Z
à rude épreuve

Philip Zimmermann est à deux doigts de manger son chapeau. L'un des partisans les plus acharnés de la liberté d'usage du chiffrement, a failli perdre totalement sa crédibilité.

La société qu'il a contribué à fonder,
PGP Inc, basée sur la forte popularité de son logiciel PGP, vient de se faire racheter par le groupe Network Associates, fruit de la fusion entre le fabricant d'anti-virus McAfee et la firme informatique Network General. Network Associates était en effet dans la liste des sociétés qui soutenaient l'initiative de la Key Recovery Alliance (KRA), organisation qui milite pour le principe de "recouvrement de clés" prôné par le gouvernement US. Ce système, alter-ego du "key escrow", serait partiellement volontaire et permettrait de laisser ses clés de chiffrement en dépôt en cas de perte. Des clés qui seraient aussi à la disposition de la justice, d'après les discussions actuellement en cours au Congrès.

On comprend mieux la position délicate dans laquelle s'est trouvé Zimmermann suite à ce deal financier - il n'est que directeur technique de PGP Inc -, lui qui a toujours été présenté, dans ce bulletin ou ailleurs (
lambda 2.06), comme le pape de l'intimité numérique et un militant actif de la cryptographie libre, sans contrôle extérieur des clés par le gouvernement - avec ou sans intermédiaire, key escrow ou key recovery.

Mais le 8 décembre, coup de théâtre: Network Associates s'est officiellement dissocié de la KRA, pour affirmer que sa position "consiste à encourager le gouvernement et les industriels à se diriger vers une politique qui permette l'exportation de systèmes de chiffrement puissants sans rendre obligatoire le recouvrement de clés."

Interrogé par Wired News, Zimmermann a salué cette annonce, prise apparemment sous la pression des dirigeants de PGP. Mais Zimmermann doit aussi faire face aux réalités du monde économique - il a passé plus de cinq ans à travailler bénévolement à l'élaboration de son logiciel, qu'il a ensuite décidé de livrer gratuitement à la communauté. En septembre, PGP Inc a en effet été sous le feu des critiques après avoir dévoilé une version spécialement dédiée aux entreprises, PGP for Business Security. Cette suite logicielle dispose en effet d'un module de "porte dérobée", permettant à l'entreprise de contrôler les échanges chiffrés de ses salariés. Zimmermann s'est justifié avec difficulté: "Nous avons en effet permis aux entreprises d'avoir accès aux fichiers chiffrés, c'est le marché qui le demandait. Mais j'ai élaboré cette option de manière à ce que ce soit sous le contrôle du client. Et notre option est la plus progressive du marché [en terme de key recovery], puisqu'elle nécessite le consentement des deux parties."

Malheureusement, ce consentement reste évidemment à vérifier dans la réalité. On imagine mal que sur le lieu de travail l'employeur ne rende pas cette procédure obligatoire, voire même qu'il n'aille pas interdire l'utilisation dans l'entreprise de toute version individuelle de PGP. Il existe bien des "sniffers" qui vont aller scanner tous les disques durs d'une société à la recherche de jeux vidéos ou autres "programmes contre-productifs".


France

"Circonstances aggravantes"

La loi Guigou relative à la "prévention et à la répression des infractions sexuelles", voté en première lecture par l'Assemblée et le Sénat fin octobre, attaque de front les réseaux en ligne. Selon le texte de loi, "l'utilisation ... d'un réseau de télécommunications" constituerait une "circonstance aggravante" pour tous les crimes sexuels commis sur des mineurs (article 9). Ce qui ferait passer la peine prévue dans le code pénal à 7 ans de prison, contre 5 ans auparavant, avec une amende de 700 KF contre 500 KF.

Le caractère arbitraire de ces dispositions est évident aux yeux des juristes de l'association IRIS: "Iris est hostile à ces lois spéciales, qui ne peuvent être que liberticides sans pour autant contribuer à lutter efficacement contre ce fléau [la pédophilie]". Agresser sexuellement quelqu'un dans la rue serait ainsi moins grave que de l'avoir abordé à distance...

Plusieurs articles du code pénal ont ainsi été modifiées. Exemples:

  • Article 227-22:
  • "Le fait de favoriser ou de tenter de favoriser la corruption d'un mineur est puni de cinq ans d'emprisonnement et de 500 000 F d'amende. Ces peines sont portées à sept ans d'emprisonnement et 700 000 F d'amende lorsque le mineur est âgé de moins de quinze ans ou lorsque le mineur a été mis en contact avec l'auteur des faits grâce à l'utilisation, pour la diffusion de messages à destination d'un public non déterminé, d'un réseau de télécommunications."
  • Article 227-23:
  • "Le fait, en vue de sa diffusion, de fixer, d'enregistrer ou de transmettre l'image d'un mineur lorsque cette image présente un caractère pornographique est puni d'un an d'emprisonnement et de 300 000 F d'amende. (...) Les peines sont portées à trois ans d'emprisonnement et à 500 000 F d'amende lorsqu'il s'agit d'un mineur de quinze ans ou lorsqu'il a été utilisé, pour la diffusion de l'image ou de la représentation du mineur à destination d'un public non déterminé, un réseau de télécommunications."
  • Peine aggravée pour une image diffusée par voie télématique, mais rien par la Poste...

    Ces belles dispositions s'inspirent totalement d'un rapport du sénateur (avocat dans le civil) Charles Jolibois, du groupe conservateur des Républicains indépendants et connu pour être un maniaque des entraves à la liberté de la presse au travers de ce que certains ont appelés "ses amendements Charlie Hebdo". Il trouve là une tribune politiquement correcte pour attaquer les nouvelles technologies. Ces dispositions ne concernent "que les mineurs", s'est-il félicité, afin de ne pas "jeter le discrédit sur le recours aux méthodes modernes de communication comme Internet ou le minitel" (sic).

    Autre innovation remarquée de ce texte: ce sont les agents du CSA qui seront amenés à faire les procès verbaux d'infraction et d' "informer les offreurs de sites Internet de la diffusion par leurs cocontractants d'images à caractère pédophile ou pornographique".

    Le texte est en deuxième lecture entre les mains de l'Assemblée. Il devrait réintégrer la machine parlementaire en janvier prochain.


    COURT-CIRCUITS

    XS4ALL refuse la perquise

    Le prestataire d'accès néerlandais, connu pour ses positions militantes en matière d'hébergement libre et de respect de l'intimité (voir lambda 3.03), a refusé le mois dernier de répondre à une injonction de la police judiciaire, qui lui demandait d'exercer une surveillance sur le compte d'un de ses abonnés. Il était question de contrôler ses échanges de courrier, ses parcours sur le Web, dans les newsgroups et sur l'IRC.

    La société a refusé de coopérer, considérant que les bases légales de cette requête n'étaient pas claires, et se dit prête à affronter la justice sur ce point. Il n'est pas exclut que les autorités ne lui imposent une amende.

    © xs4all Internet

     

    L'UE lance son plan de sûreté

    Comme nous le révélions en octobre (lambda 3.06), la Commission européenne a publié ses conclusions pour un "Plan d'action visant à promouvoir une utilisation sûre d'Internet". Dans ce document, amené à être avalisé par le Conseil des 15 gouvernements, revendique la création d'un réseau européen de hot-lines pour détecter les contenus illégaux, demande des "tests" relatifs aux procédés de filtrage et de classifications des sites et encourage les acteurs "à mettre en oeuvre les systèmes adéquats d'auto-réglementation".

     

    Nouveau camouflet anti-filtres

    Le groupe américain EPIC a testé en grandeur nature un moteur de recherche qui se présente comme "le mieux adapté [du Net] pour les familles", Net Shepherd Family Search. Ils ont mis à l'épreuve le système à la recherche de 25 écoles, 25 organismes caritatifs ou politiques, 25 centres éducatifs ou culturels, ainsi que 25 mots clés inoffensifs ("Christianity", "Bill of Rights", ou "eating disorders" ...). Dans chaque cas, d'après les résultats de l'étude publiés par l'EPIC, 90% des requêtes ont été refusées.

     

    GILC News Alert

    La Global Internet Liberty Campaign, organisation multinationale qui fédère les actions en matière de libertés publique sur les réseaux en ligne, vient de publier la 2ème édition mensuelle de sa lettre d'information. Quelques extraits en vrac:

    - Le GILC a fait partie d'un séminaire organisé par la commission des Droits de l'homme des Nations Unies, "Rôle de l'Internet à propos de la Convention internationale sur l'élimination de toute forme de discrimination raciale (ICEAFRD)". Lire les conclusions de ce séminaire.

    - Une organisation qui milite pour la liberté d'expression, IFEX, a condamné, dans une lettre ouverte, les pays de la zone Asie-Pacifique membres de l'APEC (Australie, Chine, Indonésie, Malaysie, Japon, Singapour, USA, Philippines et Thaïlande), pour leurs tentations de "contrôler la libre circulation de l'information ainsi que la liberté d'expression sur l'Internet, dans leurs pays respectifs".

    - CDA II, le retour. Le GILC encourage tout citoyen américain à protester contre le projet de loi S.1482, présenté par le sénateur républicain de l'Indiana Dan Coats, qui tendrait à interdire la diffusion en ligne de documents, textes ou images pouvant être "dangereux pour les mineurs" de moins de 17 ans. Coats est l'un des promoteurs du Decency Act (CDA), loi invalidée en juillet dernier pour inconstitutionnalité. Le CDA cherchait à criminaliser tout échange en ligne de propos "indécents". Le projet S.1492 prévoit une peine de six mois de prison et $50.000 d'amende.
    Senator Dan Coats, 404 Russell Senate Office Building, Washington, D.C. 20510 Tel + 1 202 224-5623.
    Sénateur Patrick Leahy (l'un des 15 sénateurs sur 100 à avoir voté contre le CDA): senator_leahy@leahy.senate.gov
    Le projet de loi

     


    Réactions I Home