Il faut passer devant un parc pour enfants, contourner un club de pétanque et traverser un parking. Le quartier est tranquille, nous sommes à Issy-les-Moulineaux, au détour d'une rue bordée de jardins de cette banlieue chic du sud-ouest de Paris. L'adresse correspond à celle du Service central pour la sécurité des systèmes d'information (SCSSI), un organe civil placé sous la tutelle du Premier ministre. Mais un panneau lumineux indique que l'on s'avance vers un fort militaire, propriété de la Délégation générale pour l'armement. La visite s'arrête là : l'accès reste interdit aux journalistes.
Ce service très secret est chargé du contrôle de la cryptologie, ce que les initiés nomment aussi "le chiffrement" (voir mots clés). Un contrôle qui place le SCSSI au centre d'un féroce bras de fer institutionnel. D'un côté le citoyen, le chercheur et l'industriel : le citoyen désireux de passer un coup de fil sans risquer d'être écouté par la police; l'industriel ou le chercheur voulant transmettre un contrat ou un brevet sur un réseau informatique sans qu'il soit intercepté par un concurrent. De l'autre, au nom de la "sécurité intérieure de l'État", le SCSSI se charge de contrôler sévèrement l'usage de ces systèmes de cryptage. Objectif : conserver le pouvoir suprême d'écouter un coup de fil ou toute communication confidentielle.
La cryptologie possède un lourd héritage militaire : assurer la transmission secrète des ordres stratégiques et des opérations de combat. Mais depuis quelques années, le télétravail et les réseaux d'information incitent les acteurs économiques à réclamer, à leur tour, le droit de poser des "serrures". Car avec le chiffrement, c'est un peu comme si vous disposiez d'une grosse serrure ou d'un coffre-fort pour protéger vos communications. Le réseau Internet, par exemple, permet à des millions de personnes de s'échanger des données, via les lignes téléphoniques, à partir de leurs ordinateurs. Problème : ce type de réseau "ouvert" n'est pas à l'abri des grandes oreilles informatiques : il est facile d'intercepter un message, de se l'approprier ou de le modifier. Le chiffrement est donc une solution de sécurité, pour ne pas laisser "en clair" des informations à caractère stratégique et confidentiel.
Mais la France est le seul pays du bloc occidental où le droit à la confidentialité est encore verrouillé. Des logiciels de chiffrement (comme le célèbre PGP, qui crypte le courrier électronique) utilisés légalement dans tous les autres pays de l'Union Européenne, sont interdit d'usage en France. La BSI, l'équivalente du SCSSI en Allemagne, encourage même tout un chacun de chiffrer toute information sensible qui passe par l'Internet. Tous nos partenaires du G7 ont décidé de libérer l'usage individuel et le commerce national de ces serrures d'un nouveau genre -- seuls les contrôles à l'exportation ont été maintenus. "La France possède les mêmes restrictions que l'Irak, la Syrie, et dernièrement la Russie", insistent de nombreux experts en sécurité informatique.
Officiellement, le SCSSI, placé sous la tutelle d'une Délégation interministérielle (la DISSI), n'interdit rien, et reste même chargé de "libéraliser" le secteur. Son rôle consiste à délivrer des "autorisations préalables" -- l'équivalent d'un permis de port d'armes -- à toute personne ou entreprise désirant utiliser du chiffrement. Et ce conformément à une loi (1), votée par le gouvernement Rocard fin 1990 et appliquée sous Bérégovoy début 1993. (Lire aussi la brochure officielle sur les règlements en cours, en date de mai 1993.)
Une réglementation imposée, à l'époque, par le SGDN, l'oeil militaire de Matignon. "Dans l'esprit, il s'agissait d'en finir avec un régime de prohibition, et le principe d'autorisation me semble approprié", confirme aujourd'hui Paul Quilès, l'ex-ministre des télécoms qui présenta le texte devant le parlement. suite -->
La course au permis de chiffrer
D'aprè;s les changements de tutelle annoncés par Libération le 1/12/95.
* -> 1. Premier Ministre
* -> 2. SGDN, Secrétariat Général de la Défense Nationale.
* L'oeil militaire du gouvernement.
* -> 3. DISSI, Délégation interministérielle pour la sécurité.
* des systèmes d'information, chargé de la politique générale en
* matière de cryptologie)
* A délégation de signature du Premier Ministre pour délivrer les autorisations.
* -> 4. SCSSI (Service central pour la sécurité des systèmes d'information,
* organe technique de la DISSI, héritier du Service du
* Chiffre du ministère de la Défence, il instruit les demandes d'autorisation et de
* déclaration pour tout moyen de cryptologie.
* Lire aussi les organigrames détaillés -- ANTERIEURS A 1995 -- de la DISSI et du SCSSI * (documents officiels).
suite --> Libéralisation? Pas vraiment, affirment de nombreux témoins qui ont été en contact direct avec ce service. Selon eux, toute demande portant sur du cryptage trop "difficile à casser" est refusée, la demande devant être ensuite revue à la baisse. "Seule la cryptologie enfantine, laissant la possibilité à l'Etat d'écouter les communications, est autorisée." En clair, toute serrure est déclarée hors-la-loi si elle ne s'ouvre pas avec les passe-partout du SCSSI, sacré par ses détracteurs de "Grand Serrurier de la République".
Pas facile de savoir pourquoi la libéralisation annoncée n'est pas appliquée. Un coup de fil au SCSSI déclenche des questions inquisitrices. Le silence règne auprès des rares fonctionnaires civils ayant participer à la rédaction de la loi. Enfin, le Conseil d'Etat, qui a fixé, par décret, les conditions de contrôle du SCSSI, n'a pas désiré s'exprimer. "L'application, c'est l'affaire du Premier Ministre", tranche Paul Quilès. Et Matignon, comme toute autre administration, relance les curieux sur un seul homme : Jacques Vincent-Carrefour, le chef de la DISSI qui nous a finalement reçu. Pour lui, tout message chiffré qui peut être dissimulé à la police rendrait impossible la lutte contre la fraude et le grand banditisme. "La cryptologie, dit-il, c'est un peu comme une serrure infaillible. Elle ne doit pas entraver la perquisition d'un juge d'instruction."
Cet argument irrite certains cercles industriels. Le sentiment était présent lors d'une rencontre entre le chef de la DISSI et des experts en sécurité réunis début juillet à l'Atelier au siège de la Compagnie Bancaire. Grief principal : "il est choquant qu'un organe d'inspiration militaire parle ainsi au nom de la Justice, et reste notre seul interlocuteur pour des dossiers à finalité civile". En outre, les décisions du SCSSI ne sont pas motivées et ses critères de jugement ne sont jamais rendus publics. Détail étrange pour un service dépendant du Premier ministre... Par ailleurs, le CLUSIF, un groupe de pression spécialisé en sécurité informatique (un "club" qui réunit des cadres de Bull, Thomson, Sagem ou l'Aérospatiale), remarque que les serrures qui restent à la portée de l'État le sont aussi pour les services secrets étrangers ou les organisations criminelles. "Le SCSSI ne joue pas assez bien son rôle de promoteur du chiffrement, en tant que sécurité des biens industriels", dit-on chez Bull. "C'est de la prohibition déguisée", accuse un juriste du CLUSIF.
La CNIL, l'autorité qui veille à ce que l'informatique reste "au service du citoyen", a les mains liées : elle ne peut s'opposer à la loi. Pourtant le chiffrement est un moyen pour protéger la vie privée, un droit pourtant inscrit dans de nombreuses conventions internationales. Pourtant, si une écoute téléphonique doit, depuis 1991, passer par un juge et être examinée par la Commission des interceptions de sécurité (CNCIS), ce n'est pas le cas d'un message électronique. "Ce qui passe par l'Internet n'est pas concerné", affirme la secrétaire générale de la CNCIS. En clair, sans la présence d'un juge, l'État pourrait espionner légalement toute donnée électronique.
Ce vide juridique pousse les industriels -- soucieux d'éviter une brouille avec les services de l'Etat -- à militer pour la création d'un service de "notariat électronique". Une agence semi-privée qui récolterait les clés de chiffrement, pour les confier à la police judiciaire en cas d'enquête. La DISSI, a priori, y serait favorable. Mais pas question de diminuer les pouvoirs de contrôle des agents du fort d'Issy.
-----------
(1) Articles 28 et 29 de la loi du 29 décembre 1990 sur la "réglementations des télécommunications". Toute infraction est passible de contraventions de 5ème classe (de 3.000 à 6.000 F et/ou 10 jours à 1 mois; 6.000 à 12.000 F et/ou 1 à 2 mois de prison si récidive).