lambda 4.03

14 décembre 1998

PGP RELÉGUÉ
DES SITES FTP?

Image du film « Police spéciale » (1963)

Les derniers amendements apportées aux accords de Wassenaar le 3 décembre mettent à l'index la libre diffusion de logiciels de chiffrement puissants comme Pretty Good Privacy. "La diplomatie américaine s'est pas mal débrouillée", s'est réjouit le général Jean-Louis Desvignes, chef du service du chiffre en France. Reste à avaliser cette mesure bureaucratique par les parlements nationaux.

Paris, 14 décembre 1998 -- D'habitude à Vienne ces dernières années on signe des traités de paix. Le 3 décembre c'était plutôt une déclaration de guerre -- ou une grosse provocation.

A la suite d'une entente entre les représentants de 33 pays, dont les plus industrialisés, tous les produits de chiffrement en libre accès à partir de sites FTP qui dépassent les 56 bits de taille de clés, sont théoriquement interdits d'exister, et les serveurs libres d'échange de PGP vont devoir fermer.

A ce sujet, une "grève" est prévue aux États-Unis ce lundi 14 décembre, appel lancé par des professionnels de l'informatique.

Concrètement, les signataires vont rejoindre l'exception française, où le dernier miroir FTP livrant PGP n'a duré que quelques semaines. L'autre point de l'accord qui aura des applications concrètes concerne le seuil légal de déclaration des produits crypto à l'export: il passe de 56 à 64 bits. Pour les américains, qui pratiquent depuis toujours des contrôles à l'export, la pilule a donc des saveurs de libéralisation.

L'entente -- qui reste à entériner par chaque parlement national -- s'est déroulé dans le cadre des Accords de Wassenaar (ex-COCOM), qui harmonise les procédures d'exportation de matériels sensibles, dont les produits à double usage (civils et militaires). La coalition de défense des libertés GILC était intervenue auparavant pour que le chiffrement soient précisément exempté de Wassenaar, par son aspect défensif.

Les dessous d'une annonce médiatique

Tout cela, pour l'instant, reste de la pure théorie administrative: il est difficile pour les gouvernements de pays très libéraux en la matière, comme le Danemark, les pays scandinaves ou même l'Allemagne, de voter une loi qui s'appliquerait en faisant le ménage dans les sites FTP des grandes universités. La filiale de Network Associates, PGP International, basée à Amsterdam, n'aura plus qu'à revoir ses ambitions : elle s'est installé en Europe pour éviter d'avoir à satisfaire les règles US à l'export. Le code source des produits PGP délivrés par PGP-I a été scanné à partir de documents papiers... (cf. lambda 4.01).

Que sait-on exactement de cet accord? Pas grand chose dans le communiqué du secrétariat de Wassenaar. Il faut s'en tenir à la déclaration faite en fanfare par le 'tsar crypto' de Clinton, David Aaron, et relayée par Reuter le 3 décembre. Côté français, pas de document à nous mettre sous la dent, mais le chef du SCSSI, l'agence gouvernementale chargée du chiffrement, s'est mouillé en personne. Général Jean-Louis Desvignes:

"Les pays qui ont signé ne peuvent plus autoriser l'exportation par téléchargement de logiciels [comme PGP]. On n'a plus le droit [à partir de ces pays] de mettre en ligne ce type de produits. ... La diplomatie [américaine] s'est pas mal débrouillée. Ce qui était libre avant va devenir contrôlé [à l'exportation]. Des pays comme le Canada ou l'Australie, par exemple, qui ont pris l'habitude d'exporter du chiffrement fort, vont être obligés d'empêcher de le faire. Il y a un aspect libéralisation, puisque la taille de clé autorisée sans restriction [passe à 64 bits]. Mais, certes, un contrôle sur les logiciels de masse va s'exercer. David Aaron peut être satisfait."

Cependant, selon la dernière livraison du Monde du Renseignement, cette annonce était un peu prématurée:

"Selon des sources gouvernementales américaines bien placées, ... le vice-président Al Gore n'a pas apprécié que cette déclaration soit faite sans qu'il en ait été informé. Plusieurs pays ont fait remarquer de leur côté que "l'arrangement" de Wassenaar ne peut imposer aucune mesure obligatoire, et que l'accord qu'a mentionné David Aaron ne figurait pas dans le communiqué final, rendu public après la réunion des 2 et 3 décembre."

Rappelons aussi que l'administration américaine entreprend depuis des années un lobbying forcené auprès de ses partenaires occidentaux pour renforcer les contrôles ou imposer un régime de tiers de confiance. Dernièrement, des pays scandinaves et les pays baltes se sont plaint de lourdes insistances américaines.

RESSOURCES CRYPTO

+ Freecrypto.org : A l'occasion du 50ème anniversaire de la Déclaration de 1948, une campagne relayée par l'EPIC qui permet de faire pression sur les parlementaires et les gouvernements. Une page de formulaire automatique à envoyée par fax à partir d'une page web.

+ Un débat intéressant qu'il est conseillé de suivre sur le forum fr.misc.cryptologie : comment concilier la loi sur le séquestre des clés (obligataoire pour tout système de chiffrement "sérieux") pour des professions sensibles?

Arguments de Maître Emilio Oriente.

 

"Les textes en vigueur ne prévoient pas d'exception au profit des personnes auxquelles la loi impose le secret professionnel absolu (c'est-à-dire opposable à tous, y compris à l'autorité judiciaire): les prêtres, les médecins et les avocats. En clair, cela signifie que la loi interdit aux avocats de protéger le secret professionnel qu'une autre loi leur prescrit de conserver sous peine de lourdes sanctions."

 

Il serait surtout impossible, dans l'état actuel de la loi, d'obliger les avocats à déposer leurs clés secrètes dans une officine agréé par l'Etat. Seul le bâtonnier en aurait le pouvoir. Oriente:

 

"En l'état actuel des textes, le bâtonnier lui-même ne pourrait pas être institué "tiers de séquestre" en raison des obligations de remise imposées à ces organismes.

 

Si donc le bâtonnier intervenait en tant que "tiers" il serait obligé par la loi de remettre les clés soit à l'autorité judiciaire, soit aux services de renseignement. Ces obligations sont absolument contraires aux obligations légales de secret absolu et à la déontologie des avocats. Or, le bâtonnier n'est lui-même rien d'autre qu'un avocat, soumis aux mêmes obligations que ses confrères.

 

Pour cette raison, il ne peut pas -en tant que tel- être habilité secret défense, dont le maintien ou la levée dépend en dernière instance de la seule volonté du Gouvernement. C'est pourquoi ni le bâtonnier, ni son représentant, ne peut être institué "tiers", car alors il n'aurait le choix qu'entre deux violations de la loi: ou bien il respecte son serment d'avocat et les dispositions pertinentes du Code pénal, et il viole alors ses obligations de "tiers", ou bien il respecte les obligations de "tiers", et il viole alors ses obligations légales et professionnelles d'avocat. Il n'y a pas d'autre issue actuellement.

---

ORWELL REVISITÉ

Votre vénérable correspondant a été envoyé à Londres fin octobre pour couvrir une cérémonie hors du commun: les Big Brother Awards, organisés dans la bonne humeur par Privacy International. Son directeur, Simon Davies, a demandé à un panel de consultants, d'activistes et d'avocats, pour délivrer à des organismes britanniques (publics ou privés) 5 prix pour leur contribution généreuse à l'espionnage électronique des citoyens de Sa Majesté, comme de dissidents étrangers.

[ci-contre : Simon Davies, fondateur de Privacy international]

La palme du mauvais goût est revenue à Procurement Services International (PSI), qui a fournit à la police indonésienne toute l'armada nécessaire au contrôle et au fichage des opposants du Timor Oriental, région annexée et sous l'étau de l'ère Suharto depuis 1975. Parmi les produits de PSI qui ont fait fureur pendant les manifs de Dili : le canon à eau Tactica, que les flics indonésiens utilisaient avec un mélange d'acide et de produits corrosifs. D'autres camions blindés de PSI ont été livré au Kopassus, une unité de mercenaires à la mode des Tonton Macoute...

L'un des résistants de Timor, Jose Ramos-Horta, a obtenu le prix Nobel de la Paix en 1996. Il a accepté, pour l'émission World In Action (produit par Granada TV et diffusé en Grande-Bretagne en juin 1997), de se faire passer pour un vulgaire client de PSI lors d'une séance de caméra cachée.

Devant Horta, Nicholas Oliver, directeur général de PSI, a reconnu être le premier exportateur de produits militaires au régime de Suharto. Il s'est même permis de remettre en cause les atteintes aux droits de l'homme à Timor (traduction à partir de la transcription écrite de l'émission):

"Il y a des articles, des organisations, qui affirment qu'il y a eu 20 ou 30.000 morts à Timor Est. Je ne crois pas qu'on arrive un jour à le prouver. Je ne pense pas que ce soit le cas, je suis allé sur place plusieurs fois. En visite dans des unités de la police en action. ... Franchement, ils ont tué plus de monde en Irlande du Nord en dix ans qu'à Timor Est. La différence, c'est qu'à Timor ils font ça par bloc de 200 personnes (sic), alors qu'en Irlande du Nord, ils le font au rythme de un ou deux par jour."

PSI a obtenu son dernier visa d'exportation en Indonésie à l'automne 1996 (gouvernement de John Major).

+ Lire aussi le reportage complet en anglais

+ Le palmarès final (en anglais) : l'article de la BBC (Oct 27. 1998)

+ Quelques photos

+ Archives: un rapport de 1995 de Privacy sur le commerce des armes de surveillance dans les pays en développement: déjà couvert par le lambda il y a deux ans (1.09)

PROXYFLIC
UPDATE

L'université de Franche-Comté de Besançon, déjà en vedette dans notre bulletin 4.01, récidive dans sa charte d'utilisation de son serveur cache, utilisé pour filtrer le contenu jugé 'non académique'. L'institut de Génie Informatique semble aller plus loin en bloquant l'accès aux sites de références en relation avec la sécurité informatique.

"Ce ne sont pas 'que' les sites 'underground' qui sont interdits, mais bien TOUTES LES SOURCES D'INFORMATIONS, même OFFICIELLES, traitant de SECURITE des RESEAUX", témoigne un étudiant. "Au hasard: le site du CLUSIF, ou bien les FAQ introduction To Network Security, etc.... Sans oublier le 'conseil' que l'on a eu de se désabonner du forum fr.comp.sécurité. (...) Le sysadm [m'a confirmé] en personne: 'c'est vrai que c'est préjudiciable à votre formation', m'a-t-il expliqué lorsque je lui ai demandé (refus) de continuer mes recherches en vue de créer un site sur les bases de la sécurité informatique."

Attitude difficilement conciliable avec la charte de Renater dans laquelle il est proclamé que ses membres doivent ne pas entraver la communication scientifique et technique.

Par ailleurs, de l'autre côté de l'atlantique, deux procédures judiciaires sont venu jeter un trouble sur les tentatives de contrôle du contenu. D'abord un juge fédéral a invalidé courant décembre une décision d'un comté de Virginie, quant à l'obligation d'installer des filtres logiciels aux accès Internet fournis dans les bibliothèques publiques. Ensuite la justice a retardé l'application d'une loi du Congrès baptisée CDA-II par les défenseurs des libertés, le Children Online Protection Act (COPA).

+ De nouvelles réactions au proxy de Besançon...(Dont une intervention remarquée d'un prof de l'université de Genève - remarquablement claire.)

+ Lire aussi la version anglaise de ce bulletin, plus détaillée

+ Autres références dans la lettre EPIC Alert 5.18 de l'ONG de Washington:

AUTRES RESSOURCES

L'organisation Human Rights Watch, à l'occasion de son rapport annuel 1999, publie une section spéciale Internet pour dénoncer les attitudes de méfiance et/ou de censure de l'expression publique sur les réseaux en ligne.

lambda / arQuemuse
décembre 98
Réactions I Home