Des têtes vont-elles tomber à la DISSI? Fin décembre, l'administration française semblait prête à changer d'approche dans sa politique de chiffrement. Le première victime pourrait-être Jacques Vincent-Carrefour en personne, le délégué interministériel à la sécurité des systèmes d'information. La DISSI, rappelons-le, a sous sa tutelle le SCSSI, le service central pour la sécurité installé au fort d'Issy les Moulineaux, l'organe à l'origine de l'interdiction de PGP, qui distribue au compte-gouttes les autorisations de cryptage de données pour les entreprises et les particuliers.
Le 1er décembre, Libération annonçait en effet que le vent allait tourner, notamment en faisant passer ce délicat dossier entre les mains du SGDN. C'est désormais le Secrétariat général pour la défense nationale qui aura désormais la tutelle sur la DISSI (voir aussi l'ancien organigramme officiel, archivé sur le gopher du GRECC de l'ENS).
Le changement de politique s'estétait déjà manifesté, avec un détail anodin : la mention dans le long rapport de Fillion dernierement que certaines dispositions seraient allégées : celles visant du chiffrement "limitée" aux numéros de cartes de crédit envoyés sur le réseau. Une brêche dans laquelle s'était déjà, et bien avant, engouffré le consortium Globe Online pour vendre sa solution de commerce électronique.
Ce changement de mains est accueilli avec espoir dans le monde industriel, qui estime la position française trop rigide pour protéger les communications d'ordre professionnel. D'après Libération, le sort de M. Vincent-Carrefour (JVC pour les intimes), semblait scellé : "il devrait rejoindre son administration d'origine", soit le corps des ingénieurs des télécommunications. L'insistant mais discret lobbying de groupes comme le CLUSIF ou l'AFUTT (l'association des usagers du téléphone et des télécoms, qui vient de se doter d'une cellule chargée de la sécurité informatique) semble avoir fait pencher la balance. Les industriels ont également fait pression auprès du ministère de l'Industrie. (Un responsable me confiait dernièrement que le service de l'Industrie chargée de la sécurité, appelé je crois le SERICS, aurait manifesté un certain empressemùent (pour ne pas dire agacement) à la ligne dure et cloisonnée de JVC et des influents agents du SCSSI.)
Le rôle de la DISSI et de JVC n'est pas vraiment en cause, ce serait surtout la position rigide des agents du SCSSI, y compris à l'encontre des industries de pointe françaises, qui a été vigoureusement dénoncé ces derniers mois. Certains ayant insisté pour avoir le droit de communiquer avec PGP, standard de fait pour les échanges avec nos filiales." "Si ça peut rassurer le SCSSI, on pourrait développer en France un système de chiffrement basé sur la technologie RSA, en donnant des autorisations de chiffrement (selon les tailles de clés) plus ou moins "fortes" selon les utilisateurs", propose un haut cadre d'une multinationale française. Le chiffrement à la carte, ou plutôt "à deux vitesses", puisqu'il pourrait laisser le citoyen lambda sur la touche.
Car les applications individuelles du chiffrement ont besoin de toilettage. Pas seulement contre l'Etat, mais aussi contre des concurrents, des providers indélicats et curieux qui seraient tentés de scanner votre boite -- et pour nous journalistes, pour protéger nos sources, un détail qui est inscrit dans nos statuts et dans les rares chartes déontologiques.
Et surtout, je rappelle que le véritable changement politique est prévu pour 1996 dans chaque état européen (UE + AELE) : la création d'agences de tiers de confiance, des notaires électroniques (à tutelle non étatique, c'est nouveau), chargés de récolter les clés de chiffrement des citoyens et des entreprises. Notaires devant être bien-sûr agréés (comme un modem) et qui confierait vos clés à la police munie d'une commission rogatoire. C'est pour élargir les écoutes informatiques aux procédures prévues dans la loi de 1991 sur les interceptions de sécurité. Parions que le recours à ces notaires sera obligatoire, sinon fortement encouragé. Comme quand vous vendez un appart...
Alors bien-sûr, ceux que ça gonfle pourront continuer à utiliser PGP sans en féférer à leur "notaire habituel". Mais ils resteront dans l'illégalité.
Ce débat étant résumé par une pensée de JVC, que je ne mettrai pas entre guillements, mais de mémoire :
Nous n'allons pas règlementer le chiffrement sous les ordres de la Constitution américaine. Elle place la liberté d'expression au dessus du gouvernement, au détriment de sa sécurité. Alors que le droit français est basé sur le rôle (souverrain) de l'Etat qui a en charge d'assurer sa sécurité, pour le bien des citoyens.