Faut-il s'entendre sur une politique internationale et concertée sur la protection des données qui circulent sur l'Internet? C'est la question qui agite depuis des mois le milieu fermé de la sécurité informatique -- les industriels, les gouvernements et les organisations de défense du citoyen.
L'enjeu primordial, rappelons-le, est de connaitre l'avenir qui sera réservé au chiffrement, une méthode qui permet à la fois de cacher le contenu du message, comme de le "signer". Cela permet à la fois de s'assurer qu'une lettre n'a pas été lu par autrui, ou qu'une transaction financière provient bien de l'expéditeur déclaré. La technologie est si sophistiquée qu'un message brouillé par un simple logiciel est quasiment indéchiffrable.
Toute cette petite cuisine inquiète les gouvernements, qui lèvent le spectre du crime organisé, cherchent aussi à ne pas devenir aveugle et sourd face aux messages à caractère stratégique qui transitent sur leur sol. Bref, qui va contrôler les clés de ces serrures informatiques? Faut-il un régime de "tierces partis de confiance" (TPC ou TTP), lequel et dans quelles conditions? Les citoyens auront-ils le droit de communiquer en toute confidentialité?
Sur ce sujet, c'était l'effervescence, à Paris, la dernière semaine de septembre. Les 26 et 27, l'Organisation de coopération et de développement économique réunissait ses délégués nationaux (28 pays au total) pour poursuivre les discussions de son groupe d'experts ad hoc sur la cryptographie, créé depuis mars dernier. Réunion à huit-clos teintée d'ambiguité : les Etats membres ne sont en rien contraint d'adopter les mesures qui sortiront des réunions de l'OCDE, comme l'a reconnu le secrétariat de l'organisation dans une note à la presse début octobre.
Néanmoins, les enjeux méritaient une audience publique. Ce fut le but de l'Electronic Privacy Information Center, le 25 septembre, en organisant avec Planète Internet une table-ronde au Centre Kléber. "Les gouvernements de Chine ou de Russie utiliseront tout principe de restriction du chiffrement (établi par les pays riches) pour interdire ces méthodes dans leur propre pays. L'OCDE doit envoyer des signaux positifs aux populations du monde en développement ", ont répété les experts. Ajouté aux scientifiques et aux juristes, l'EPIC avait surtout convaincu des officiels de l'OCDE à venir s'exprimer (initiative plutôt rare) comme des délégués nationaux (Canada et Allemagne notamment) à jouer les modérateurs des débats. Bel effort de lobbying.
Ce plateau a attiré des observateurs aussi avisés que Philippe Dejean, un agent du SCSSI, le service spécialisé de Matignon: il fut le lendemain en tête de ligne de la délégation française. Fut remarquée aussi la présence discrète du britannique David Herson, président du SOG-IS, le groupe d'experts sur la cryptographie auprès de la Commission européenne, qui travaille aussi à l'élaboration d'une politique concertée au sein de l'UE (il a pu discuter en privé avec un Phil Zimmermann prudent mais captivé.) Quant aux TCP, leur viabilité technique a été beaucoup remis en doute, notamment par les cercles industriels, jaloux de protéger leurs données.
Quid de la réunion de l'OCDE? (Voir d'abord le draft qui s'est discuté àhuit-clos, une fuite révélée en octobre 96). Selon des délégués, le matin du jeudi, un nouveau texte est arrivé sur la table, sans prévenir, ce qui a créé une cacophonie parmi les petites délégations (texte revu, sans explication, par la division juridique de l'OCDE). Des délégués ont confirmé la présence d'un "bloc des trois" (France, Etats-Unis et Royaume-Uni), qui ont été les plus pointilleux sur le principe des tiers de confiance (TCP). Des pays comme la Suède s'y seraient clairement opposé. La délégation japonaise (a priori opposée aussi) est restée, selon un délégué, curieusement silencieuse. Point âprement discuté: les conditions légales d'accès aux documents chiffrés (lawful access), face à la pression de l'aspect "vie privée". La délégation espagnole nous a confirmé qu'elle avait le vendredi élaboré un pre-rapport de compromis. Depuis, l'OCDE a envoyé un texte de synthèse aux délégations (envoyé par e-mail, non sécurisé!) qui sera rediscuté en décembre à Paris, pour se finaliser, si tout va bien, d'ici février 97.
Deux déçus parmi les intervenants du 25: Whitfield Diffie, chercheur renommé de Sun Microsystems, et Phil Zimmermann de PGP Inc. Ils étaient à Paris dans l'espoir d'intégrer la délégation américaine à l'OCDE -- aux côtés d'officiels de la NSA, l'agence ultra-secrète américaine. Niet, ont répondu ces derniers. Puis, de Washington, est venu le coup de massue: Clinton a annoncé une nouvelle mouture de son projet Clipper qui vise à imposer le TPC ("key escrow" en jargon local) sur le sol américain. L'OCDE méritait-elle toutes ces pressions, puisque les gouvernements restent seuls souverains pour décider de leur politique de sécurité?