un miroir FTP trop gênant
L'université de technologie de Compiègne (UTC) a joué avec le feu il y a quelques semaines. Cette école d'ingénieurs a en effet hébergé pendant plus d'un mois un serveur de téléchargement du logiciel Pretty Good Privacy, l'arme maudite des services français chargés de veiller à la sécurité informatique. Pour l'UTC, il s'agissait innocemment de fournir, comme cela se fait dans tous les autres pays de l'Union européenne, des moyens d'authentification - lorsque l'échange de clés de chiffrement sert de signature électronique. Or, la loi en France vient de changer, dans laquelle une large "libéralisation" vient d'être décrétée, qui exempte de toute formalité administrative l'utilisation ou la fourniture d'outils de chiffrement à des fins de signature.
Le problème, bien sûr, c'est que PGP est surtout fabriqué pour assurer l'autre fonction cruciale du chiffrement : la confidentialité. Le logiciel conçu par Philip Zimmermann en 1991, vendu aujourd'hui par Network Associates Inc., offre en effet un niveau particulièrement élevé de sécurité, au point de tomber indéniablement dans la gamme des produits devant être approuvées pour être distribués en France -- assorti, selon les nouveaux textes réglementaires publiés ces derniers mois, d'un dépôt de clé obligatoire pour les usagers. Et sans ces conditions, tout le monde sait que PGP n'a aucune chance d'obtenir un quelconque tampon officiel en France, comme ce bulletin l'a souvent rappelé. Le Service central chargé du dossier a Matignon, le SCSSI, reste inflexible sur ce point.
Au sein de l'école d'ingénieurs de Compiègne, il semble que l'effet 'double tranchant' de PGP ait été sous-estimé. Nous disposons d'une lettre, un message électronique, envoyée par l'un des sysops de Compiègne à tous les opérateurs de serveur-relais du domaine pgp.net. Cette lettre, écrite en anglais le 27 avril dernier, précise que l'UTC s'est vue "notifiée par le SCSSI" qu'il était "absolument interdit d'utiliser et même de distribuer ce type de matériel de chiffrement en France". La lettre poursuit:
"En fait, nous devons obtenir une autorisation
pour le distribuer, mais, jusqu'à présent, cette autorisation
n'a été accordée seulement qu'à de grandes organisations
travaillant sur des projets militaires.
"Le SCSSI peut nous accuser de distribution illégale de technologies
réservées à la défense, et les responsables
de l'UTC risquent d'être arrêtés si nous ne stoppons
pas immédiatement de distribuer PGP à partir de notre serveur
FTP."
Contacté par le Lambda, M. Claisse, chef du service informatique de l'UTC, n'a pas désiré commenter cet épisode, qu'il considère définitivement clos. Tout juste a-t-il été possible de vérifier oralement le message du 27 avril.
Séquestre obligatoire, mode d'emploi
Cette histoire est en tous cas révélatrice des limites à la "libéralisation" de la loi française, depuis la publication d'une batterie d'arrêtés et de décrets d'application à la loi du 26 juillet 1996. Certes, pour les systèmes de chiffrement inoffensifs ou peu puissants, les formamités ont été assouplies --une simple déclaration se substitue maintenant à une autorisation préalable--, mais au delà le secteur est encore sous contrôle, avec l'arrivée en force des fameuses "tierces parties de confiance" qui assureront le "séquestre des clés" à des fins de contrôle judiciaire ou d'écoutes administratives.
Mais dans le cas de PGP, la loi n'a rien changé, ou presque. En 1995, par exemple, le Conservatoire national des arts et métiers (CNAM), à Paris, avait demandé officiellement au SCSSI de lui accorder l'autorisation d'utiliser PGP en interne, demande dont "l'objet" était l'authentification des messages. La réponse négative du SCSSI, parvenue au CNAM le 23 janvier 1995, précisait que "vos demandes citées en objet ne sont pas recevables, le logiciel PGP constituant un seul et même moyen de cryptologie malgré les différentes options accessibles."
Pour les afficionados des textes officiels, tout le monde est convié à se rendre sur le site d'info du gouvernement, qui reproduit les quatre décrets d'application et les six arrêtés s'y afférent.
Une synthèse réalisée par le secrétariat à l'Industrie et le SCSSI -- Cryptologie, mode d'emploi -- permet d'y voir un peu plus clair. Surtout grâce a un tableau que nous avons reproduit pour l'occasion :
Synthèse du nouveau cadre législatif et réglementaire | ||||
Finalités |
Fonctions offertes | |||
Authentification, signature, intégrité, non répudiation |
Confidentialité | |||
<= 40 bits |
> 40 bits | |||
Avec séquestre |
Sans séquestre | |||
Utilisation |
LIBRE |
LIBRE |
LIBRE |
Soumise à autorisation |
Fourniture |
Soumise à déclaration simplifiée |
Soumise à déclaration |
Soumise à autorisation |
Soumise à autorisation |
Importation |
LIBRE |
LIBRE |
Soumise à autorisation |
Soumise à autorisation |
Exportation |
LIBRE |
Soumise à autorisation |
Soumise à autorisation |
Soumise à autorisation |
- "Il est également important de noter que
ces dispositions sont fortement tournées vers l'utilisateur, a priori
non spécialiste du domaine, et font porter le poids de la réglementation
sur les professionnels de la cryptologie. Ceux-ci doivent informer les
pouvoirs publics des produits qu'ils mettent sur le marché. Ils
doivent aussi demander un agrément s'ils veulent devenir tiers de
séquestre."
- >> Référence
- >> Référence
Sous les 40 bits de taille de clé, on peut donc utiliser librement mais la fourniture de moyens est encore soumise à déclaration; et pour exporter il faut aussi passer par un tampon officiel d'autorisation. Seule solution pour se protéger décemment (au dessus des 40 bits) : cocher l'option "avec séquestre de clés". L'usage "libre" qui en découle a plutôt des accents de contraintes. Sans séquestre, bien sur, les autorités exigent que l'on obtienne une autorisation après avoir déposé un dossier circonstancié -- comme lors du bon vieux régime en vigueur depuis début 1993 (loi de décembre 1990).
Subtil : cette formule tend à rendre obligatoire la mise sous séquestre pour un utilisateur lambda voulant se protéger avec un logiciel de 56 bits, voire 128, comme le peut tout autre citoyen européen. C'est le "mandatory key escrow", le dépôt de clé obligatoire, tant redouté de l'autre côté de l'Atlantique. Les Américains en rêvent, les Français l'ont fait.
TIERS DE MÉFIANCE
Quelques commentaires subsidiaires sur la nouvelle politique française
Pour s'y retrouver dans cette marre réglementaire, citons l'analyse de Valérie Sédallian, avocat et membre d'IRIS, un groupe de défense des libertés.
- "Alors que le système des tiers de confiance est un système lourd et complexe (...) et que les sociétés en mesure de remplir les critères nécessaires seront peu nombreuses, la fourniture de produits de chiffrement à des fins de confidentialité, même autorisés dans d'autres pays partenaires de la France, restera de fait tout aussi difficile que par le passé."
- "C'est un système franco-français (...), inadapté aux échanges internationaux et aux communications sur Internet." "L'économie générale du décret sur les tiers de confiance est un sentiment de suspicion à l'égard de la confidentialité. Or, ce système qui touche à l'exercice de libertés publiques n'est pas transparent quant à son dispositif opératoire. Par exemple, les modalités pratiques de remise des clés privées aux autorités ou de leur mise en oeuvre feront l'objet d'une annexe classifiée qui ne pourra donc pas être communiquée."
On sait juste une chose : l'écoute électronique coûtera la bagatelle de 400 francs au contribuable. C'est écrit noir sur blanc dans l'un des derniers arrêtés pris le 13 mars, celui "fixant le tarif forfaitaire pour la mise en oeuvre des conventions secrètes au profit des autorités", mise en oeuvre "facturée au prix forfaitaire de 400 F (TTC) à l'autorité concernée". En l'occurrence, au SCSSI, seul habilité en l'état actuel de la loi.
"Il est aujourd'hui plus facile de détenir un 357 magnum qu'un logiciel de chiffrement sérieux", a ainsi résumé Patrick Forsans, président du groupe pro-crypto Citadel-EF France, au lendemain de la publication de la première salve des décrets, en février.
Forsans met aussi l'accent sur le risque d'étouffement en France de la cryptographie à clé publique (ou CCP), à la base de PGP et "particulièrement adaptée aux échanges massifs sur l'Internet puisqu'elle ne nécessite pas d'échange de clé [secrète]".
- "Le sort de la cryptographie à clé publique n'est pas clairement indiqué [dans les décrets]", poursuit-il, "puisque l'utilisation de ce type de produit n'est pas réglé par le dépôt des clés chez un tiers de confiance: dans un tel système on utilise la clé publique de son destinataire pour chiffrer le message qui ne peut être décodé qu'avec la clé privée du dit destinataire. Il va de soi qu'un étranger ne déposera certainement pas sa clé privée en France !"
Mais faisons confiance aux ingénieurs pour adapter le concept de CCP aux besoins d'interception des communications. Le plus connu est le protocole dit "Royal Holloway", un système de gestion des clefs défendu par un groupe d'experts britanniques (Communications Electronics Security Group), qui pourrait être applicable dans un environnement intra-communautaire.
Il y a aussi un (autre) moyen sûr d'intercepter un message sortant, destiné par exemple à un usager lambda situé au Japon. Pour éviter d'avoir à obtenir la clé secrète du destinataire japonais (option encore irréaliste pour les flics français), la solution serait d'obliger les systèmes à CCP à surchiffrer le message avec la clé publique de l'expéditeur, et pas seulement avec celle du destinataire. Conséquence : pour lire le message envoyé à notre amis japonais, la clé secrète du lambda français (accessible, selon la loi), serait suffisante.
Quelques mots également sur la "clé de session". Ce principe pourrait être expérimenté par le RSS, le Réseau social santé, après une longue intermédiation entre la CNIL, la commission informatique et libertés, le SCSSI et le ministère de l'Emploi. C'est une clé unique et éphémère: elle se forme lors de l'envoi du message et se détruit aussitôt ensuite. Cette clé unique permettrait, à l'image d'un passe-partout, de reconstituer le message d'origine sans avoir à passer par les clés privées. Reste à savoir dans quelles conditions, et dans quelles proportions, les clés de session du Réseau Santé pourront être capturées "à la volée" par les autorités compétentes. On envisage aussi des clés de session partagées entre plusieurs autorités; chacune en conserverait un morceau, et il faudrait l'aval de tous pour reconstituer le message.
Crypto
tourisme
La France se distingue dans une étude
mondiale sur l'état des législations sur le chiffrement.
The Global Internet Liberty Campaign (GILC) a envoyé des questionnaires dans toutes les ambassades enregistrées à Washington, pour obtenir un bilan officiel, recoupé par d'autres sources, des lois en la matière. Cette étude du GILC recense 80 pays (ou régions autonomes), et sa publication en février 98 a précédé de quelques jours le changement de réglementation en France.
Le cas français ne devrait pas changer de catégorie, puisqu'il figure déjà parmi les pays les plus restrictifs. Le GILC a classé les pays en fonction de trois couleur -- vert, jaune, rouge. Les pays désignés par un feu vert considèrent le chiffrement comme totalement libre et souvent garant du droit à la confidentialité. Le feu orange désigne ceux qui commencent, ou sont sur le point, d'exercer un contrôle limité (usage, fourniture ou exportation). Le feu rouge (interdiction quasi totale) est plutôt rare : Belarus, Chine, Israël, Pakistan, Russie et Singapour. La France partage sa note salée ("Jaune/Rouge") avec les Etats-Unis, l'Inde et la Corée du Sud. Pas trop dur pour le gouvernement français, puisqu'il faut rappeler qu'aux États-Unis, il n'existe aucun contrôle réel sur le simple usage de produits de chiffrement. Seules les contraintes à l'exportation de fourniture sont encore strictement encadrées (limitées aux systèmes de mois de 56 bits).
Une étude qui mériterait donc une petite mise à jour sur le cas français. Mais aucune chance de passer en zone verte ni jaune, pour les raisons expliquées plus haut.
Ce petit guide crypto-touristique permet de faire un tour du côté de Campione d'Italia, une enclave italienne en Suisse, classé "Feu vert" par le GILC. "Une société de services en cryptologie qui s'installerait dans cette anomalie féodale ("feudal anomaly", sic) ne devrait pas se voir imposer de restrictions à l'exportation, puisque ses frontières avec la Suisse restent ouvertes (comme vers le Liechtenstein), alors que les lois suisses ne s'appliquent pas à l'enclave. Accès complet à l'internet par le réseau de Swiss PTT. ... L'Italie ne préfère pas appliquer ses lois dans le territoire."
PGP se rematérialise en Europe
Ou comment contourner légalement les restrictions américaines à l'export.
La société Network Associates Inc. (NAI) a choisit la Suisse. NAI, fruit de la fusion entre Network General et McAffee, a racheté cette année PGP Inc., la société de développement fondée par Phil Zimmermann. NAI s'est d'abord implanté aux Pays-Bas pour commercialiser la suite PGP en Europe, la filiale se nomme d'ailleurs PGP International. Or, pour contourner les règles à l'export, il a fallu jouer fin.Pour cela, selon la version officielle, NAI a dû recourir aux services de CnLab Software, une société suisse de logiciels de sécurité. Mission: scanner le code-source de PGP à partir ... d'une version imprimée sur du papier. "Il a ensuite été scanné en dehors des États-Unis, configuré pour les besoins de NAI et recompilé", raconte au bulletin Lambda Paul Schoebi, directeur général de Cnlab. Car s'il est interdit d'exporter sans licence une disquette contenant PGP, en revanche tout document imprimé, même le code-source, peut passer la frontière américaine. "Faire ce travail par une société du groupe NAI n'aurait pas été possible", ajoute Schoebi. "La construction du code devait être réalisé par un intervenant extérieur à Network Associates." Aucun interlocuteur de NAI n'a désiré répondre à nos questions, mais par ailleurs NAI affirme être en règle en utilisant les mêmes arguments.
La version de PGP vendu par NAI à partir de sa filiale néerlandaise assure un degrés de sécurité de 128 bits de taille de clé. Au vu de la lettre d'observation envoyée par Bruxelles à Paris à propos des décrets spécial crypto (cf. Lambda 3.08), il serait logique que des produits de chiffrements approuvés dans d'autres pays de l'UE soient acceptés sans autre conditions en France. Et comme PGP peut s'adapter au système de "séquestre de clés" (cf. Lambda 3.07), il n'est finalement pas impossible que PGP reçoive un jour le tampon du SCSSI. PGP, ou plutôt une version passablement modifiée et sans commune mesure avec celle qui peut être utilisé librement partout en Europe, sans risquer la taule, une grosse prune et une petite place dans un des fichiers de la DST.
Manoeuvres de contournement
Apres avoir tenté de faire pression sur l'OCDE
pour faire passer l'idée d'un contrôle plus strict du chiffrement,
le gouvernement américain a utilisé aussi l'accord nord-américain
de libre-échange pour que le Mexique et le Canada adoptent la position
américaine. Une thèse attestée par des documents du
Département au Trésor, obtenus par l'EPIC de Washington en
vertu d'une loi sur la liberté d'information. Les documents ne sont
pas encore publiés, mais Le Monde du Renseignement apporte des précisions
: à l'origine il s'agissait de faire adopter aux trois pays "des
procédures douanières communes, sur la base d'échanges
électroniques normalisés, via l'Internet". Pour ce faire,
les Américains ont mis au point "des ensemble logiciels"
qui "comprennent des systèmes de récupération
de clé". La note précise que les entreprises canadiennes
et mexicaines seront encouragées à déposer leurs clés
dans un organisme central dépendant des américains.
>>Document
bientôt archivé par l'EPIC
- Au Canada justement, la loi est sur point de changer.
Des cryptographes canadiens se sont élevé contre toute tentative
du gouvernement d'imposer un système de key escrow, annonce l'Electronic
Frontiers Canada. C'est une réaction à un document du ministère
de l'industrie qui dresse plusieurs scénarii à l'adresse du
chiffrement, et évoque celui d'interdire tout logiciel ne pouvant
pas assurer les fonctions d'échange de clés.
>>
Reference
>>
Projet d'Industrie Canada
- Une étude d'un think-tank américain (The Economic Strategy Institute) estime à 35 milliards de dollars sur 5 ans le coût que devrait payer l'économie américaine si elle devait se conformer aux restrictions sur la cryptographie (key recovery) souhaitées par l'administration Clinton.
Source: San Jose Mercury News, 1/04/98.