Richard's biomunition

Perl for ever

Dernière modif : 21 dec 1995

Richard White est citoyen américain, californien, et n'a aucun problème avec les brigades qui chassent les clandestins mexicains ou d'autres citoyens du monde en "situation irrégulière". Mais Richard est fou de tatouage, et a décidé de donner l'exemple, en imprimant sur son bras droit, côte à côte avec sa tête de mort fétiche, ce code bizarre:

#!/bin/perl -s-- -RSA-Algorithm-PERL
($k,$n)=@ARGV;$m=unpack(H.$w,$m."\0"x$w),$_=`echo "16do$w2+4Oi0$d*-^1 [d2%Sa2/d0(X+d*La1=z\U$n%0] SX$k"[$m*] \EszlXx++p|dc`,s/^.|\W//g, print pack('H*',$_)while read (STDIN,$m, ($w=2*$d-1+length($n)&~1)/2)

C'est une suggestion joviale à ses frères "clandestins", puisque logiquement, avec ce code sur le bras, l'expulsion hors du territoire américain devrait avorter. Cela devrait s'appliquer également pour les "clandestins" français. Sauf si les flics-douaniers ignorent la loi...

Cette idée, qui prend plus l'ampleur d'une boutade que d'une réelle incitation subversive, est pourtant fondée. Ce code est une commande du langage Perl, qui permet une mise en oeuvre complète et fonctionnelle de l'algorithme de chiffrement RSA, utilisé partiellement dans Pretty Good Privacy, le populaire logiciel d'encryptage de courrier électronique. Rentré sur une machine UNIX, "tu peux crypter et decrypter n'importe quel fichier," m'explique Stéphane Bortzmeyer, un administrateur système qui travaille sous Unix.

Bref, pour les non initiés, ce mini-programme (dont certaines variantes existent aussi pour marcher sous DOS) est un "moyen de cryptologie". En France, cela rentre sous le coup de la loi 90-1170, votée en 1990 et appliquée depuis début 1993. Selon ces textes, tous moyens de cryptologie, notamment ceux destinés à garantir le secret d'une information, est soumis à "autorisation". C'est un peu comme un permis de port d'arme -- et ce permis est très rarament délivré après enquête du SCSSI (Service central de la sécurité des systèmes d'information), organe très secret qui dépend, par délégation, du Premier ministre (lire "Le SCSSI, grand serrurier de la République")

Pour revenir à notre tatouage, le SCSSI devrait (si l'on prend la loi à la lettre) se prononcer sur l'expulsion. Car la loi concerne 1) l'usage, 2) la fourniture et 3) l'exportation de moyens de cryptologie. Expulser un clandestin tatoué peut s'apparenter à une exportation illégale... Certes, ça a peu de chances de décourager le Ministre français de l'Intérieur, qui veut accélérer la cadence des charters d'expulsion. En fait, seul ce code sur une disquette informatique peut-être vraiment considéré comme un danger.

William Knowles va peut-être changer la chose : ce photocompositeur américain (sa boite se nomme "Graphically Explicit") a dans l'idée de fabriquer des tatouages temporaires, ces motifs lavables qui ressemblent à un vrai tatouage, sans en avoir les inconcénients. Le motif sera encore plus subversif que celui de White, puisqu'il prévoit d'y imprimer le code-barre qui permettrait, avec un stylo optique, de lire automatiquement le programme perl pour le rentrer dans une machine. S'il est lavable, cela n'aura bien sûr plus aucun risque d'inquiéter les douaniers. Mais le fun est garantie...

"Je me voyais mal me faire refuser de voyager pour cette histoire, m'a a-t-il déclaré dans un mail. Alors c'est comme ça que j'ai pensé au "temp tatoo". Je pourrai fabriquer les films ici, mais l'imprimeur à qui je pense ne sais toujours pas de quoi je parle... Bien sûr, je testerai le code-barre avant de passer à la production. Question prix, je pense qu'on pourrait se baser sur 1,50 dollars l'unité. Vendu en pack de 5 ou de 10." A suivre, William...


le shirt selon nova Le véritable produit subversif et jovial qui illustre aussi le côté stratégique du chiffrement, c'est un t-shirt 100% coton d'origine américaine, sur lequel est imprimé le fameux code perl. Nouveauté : si le tissu n'est pas un support informatique, le code-barre ci-dessous en est un. Un stylo-optique, et hop, le code est à vous. (--> © Nova Magazine, novembre 1995).

Et oui, la cryptologie, aux Etats-Unis, n'est contrôlée "que" dans sa phase d'exportation (le tatouage ferait aussi l'affaire), alors que l'usage privé et le commerce national reste (pour l'instant) libre pour tout un chacun. Mais selon les règles de l'ITAR (International Traffic in Arms Regulations), la "mise à disposition (orale ou visuelle) de données techniques à un citoyen étranger, sur le sol américain ou non" nécessite une licence. Logiquement (le gag) : le port du t-shirt est interdit, car il est susceptible d'être "vu" (1). Si bien que les revendeurs américains se sont engagés à ne pas satisfaire une demande provenant hors de la zone USA/Canada. L'image qui reproduit le code sur leur site web a même été bridé!

Citoyens du Vieux Continent (et d'ailleurs), réjouissez-vous : Adam Back, un étudiant cryptographe anglais (de Okehampton, dans le Devon), a repris le format pour faire imprimer une version européenne. Les commandes sont bienvenues (8,5 livres l'unite, frais d'envoi compris). Alerté récemment par les restrictions françaises en matière de cryptologie, Adam Back devait rajouter la mention :

Crypto is banned in France penalty of up to 500.000 FF and/or 1 to 3 mths jail
(Loi numéro 90-1170 parue au Journal Officiel du 30 Décembre 1990).
Do you have permission from SCSSI to own this shirt?

Là encore, il suffit de relire la loi et de l'interpréter à la lettre. Les peines de prisons et l'amende sont prévues pour une fourniture ou une exportation de systèmes "sans autorisations". Le décret de 1992 ne parle plus que d'une contravention de 5ème classe pour une "distribution gratuite" sans autorisation (2). "Dans la lettre de la loi, porter ce t-shirt peut être considéré comme une fourniture gratuite", tranche un avocat spécialisé dans les délits informatiques. Et il faudrait donc un tampon du SCSSI pour l'avoir dans sa garde-robe, comme pour le porter sur les Champs-Elysées -- à fortiori, impossible de le vendre et de passer une frontière avec.

Combien de blames pour ce modeste bulletin qui l'a diffusé auprès de millions de lecteurs potentiels?

-----------------------------------------

(1) Section 120.17(4) des régulations ITAR:

"Disclosing (including oral or visual disclosure) or transferring technical data to a foreign person, whether in the United States or abroad ..." est soumis à licence. Peines maximum prévues : $1,000,000 d'amende et 10 ans de prison "per count of export".

(2) Décret du 28/12/92 (JO du 30/12/92), art. 15 :

"Sera puni des peines d'amendes prévues pour les contraventions de 5è classe quiconque aura fourni, notamment en les ayant fabriqués, détenus en vue de la vente, mis en vente, ou distribués à titre gratuit ou onéreux, des moyens de cryptologie sans l'autorisation prévu par l'article 28 de la loi du 29 décembre 1990."
Définition d'une contravention de 5ème classe : de 3000 à 6000 F d'amende, et/ou 10 jours à 1 mois de prison. En cas de récidive : 6000 à 12000 F et/ou 1 à 2 mois de prison.

Autres sources:

  • La page d'info sur le chiffrement de Stephane Bortzmeyer.
  • L'étude "Crypto in Europe - Markets, Law and Policy", sur le site de Ross Anderson, un cryptographe du Computer Laboratory de l'université de Cambridge
  • Une étude internationale sur les législations en matière de chiffrement recensée aux Pays-Bas.
  • Follow-up vers l'enquête Le SCSSI, grand serrurier de la République.
    Retour vers la page d'acceuil de netizen.