Les règles juridique concernant la cryptographie en France

Les règles juridique concernant la cryptographie en France

 

De tous temps, l’Homme a souhaité communiquer secrètement, que ce soit des discussions personnelles, pour sa protection ou celle de son territoire. La cryptographie s’est souvent imposée comme un moyen assez sûr de transmettre des informations confidentielles. Encore aujourd’hui, que ce soit pour stocker des informations bancaires par exemple, des mots de passe ou des transmissions militaires, la cryptographie fait partie des systèmes de sécurité.

La cryptographie a évolué en fonction des technologies, notamment l’informatique et les mathématiques qui ont donné lieu à des algorithmes de cryptage de plus en plus complexes. C’est à partir des années 90 et la démocratisation d’Internet que la cryptographie s’oppose pour la protection des opérations en ligne qui se multiplie.

On abordera dans un premier temps ce qu’est la cryptographie, les principes de base ainsi que son utilisation à travers les âges et jusqu’à nos jours.

Nous verrons aussi qu’il y a de nombreuses menaces autour de communications et l’intérêt d’utiliser la cryptographie.

Enfin, nous nous intéresserons aux règles juridiques concernant la cryptographie dans le monde mais aussi plus précisément en France ainsi qu’aux impacts qu’ont de telles règles.

 

1       – Les principes fondamentaux

La cryptographie est une technique d’écriture que l’on utilise pour communiquer avec l’utilisation de codes secrets, de cryptage ou encore pour protéger des données. Elle est employée dans différents domaines : l’informatique notamment mais aussi militaire ou privé.

Tout d’abord, il est nécessaire de distinguer les différents termes liés à la cryptographie. Le mot cryptographie en lui-même vient du grec kruptos « caché » et graphein « écrire », il reprend le principe même de ces termes.

La cryptographie fait partie d’un ensemble de disciplines dont la cryptologie qui est définie comme la science du secret en assurant la confidentialité, l’authenticité ainsi que l’intégrité d’une information.

La cryptanalyse permet de déjouer les protections cryptographiques mises en place en analysant des textes chiffrés pour retrouver des informations dissimulées. Enfin, la cryptographie qui est l’étude des mécanismes destiné à rendre une information inaccessible aux personnes qui n’auront pas la clé pour la décoder et la comprendre.

Il est aussi important de distinguer la cryptographie de la stéganographie. Là où un message crypté en utilisant des techniques de stéganographie dans un document anodin comme une image ou un son sera invisible, la cryptographie pourra être visible sans pour autant être lisible.

En utilisant la stéganographie, on fond le message sans pour autant modifier le document. On utilise plutôt les informations de ce document, par exemple en utilisant les informations de la bourse dans un journal pour transmettre des chiffres que seul le destinataire pourra lire. Cependant, il y a toujours le risque que quelqu’un puisse lire le message puisque celui-ci reste lisible.

On peut citer, par exemple, l’encre sympathique visible uniquement en plaçant le message au-dessus d’une flamme ou la correspondance de George Sand et Alfred de Musset qui renferme un tout autre message lorsqu’on sait le lire.

En préférant l’utilisation de la cryptographie, on crypte un message qui devient illisible mais il est quasiment évident qu’il renferme un message. Il s’agira de mêler différentes techniques de cryptographie pour dissimuler la donnée que l’on souhaite garder secrète.

 

1       – A travers les âges

Les premières méthodes de chiffrements remontent à l’Antiquité. Des archéologues ont retrouvé des tablettes de terre en Irak datant XVIième siècle avant J-C gravées d’une recette secrète. Un potier y avait écrit un message en supprimant des consonnes mais aussi en modifiant l’orthographe des mots, la rendant lisible uniquement par celui qui avait la technique de lecture gardant ainsi son message secret.

Des utilisations de la cryptographie ont été retrouvés à l’époque de César qui utilisait effectivement une méthode de chiffrement pour ses communications. Cette technique donnera naissance à la méthode de substitution-monoalphabétique qui consiste à remplacer chaque lettre de l’alphabet par une autre lettre puis à construire son message avec ce nouvel alphabet.

Dans le cas de l’utilisation de Jules César, on ne remplace pas les lettres au hasard mais avec la lettre + 3. C’est-à-dire qu’on effectue un décalage vers la gauche de 3 lettres, le A devient E, le B devient F et ainsi de suite.

Par exemple, « BONJOUR » devient « ERQMRXU » avec ce mode de chiffrement.

C’est pendant la Seconde Guerre Mondiale que les besoins cryptographiques explosent avec la nécessité de communiquer discrètement sans se faire prendre par l’ennemi et si, par malheur, le message est intercepté la personne ne pourrait pas le comprendre.

L’Allemagne nazie et ses alliés ont notamment utilisé la machine de chiffrement Enigma pour leur communication militaire. Si cette série de machine était réputée pour être indéchiffrable, de nombreux messages ont tout même été décrypté. C’est par ailleurs le thème du film Imitation Game de Morten Tyldum qui met en scène le mathématicien et cryptologue Alan Turing. On a aussi souvent vu des techniques de cryptographie dans la pop culture, au cinéma, dans la littérature ou les jeux vidéo.

 

2       – Les différentes utilisations

Par ailleurs, les utilisations de la cryptographie sont multiples et dans des domaines très variés. Elle a pris une place importante dans les techniques de sécurisation des données, pour la protection du territoire mais aussi a protection de la vie privée ou encore commerciale.

Généralement, basée sur un algorithme mathématique pour coder les données et les rendre impossible à lire par celui que ne possède pas la clé de cryptage sans lequel on ne peut pas déchiffrer les données.

Par le passé, la cryptographie était complexe à utiliser et n’était pas accessible à tous, cependant aujourd’hui elle l’est de plus en plus. Il est même évident parfois de l’utiliser pour des particuliers ou des entreprises compte tenu de ces avantages.

Aujourd’hui, ces algorithmes mathématiques sont devenus très complexes grâce à l’informatique et la puissance des ordinateurs actuels

Aussi, à la vue des volumes considérables de données que l’on stocke actuellement, on se préoccupe de plus en plus de leur confidentialité, plus particulièrement concernant l’administration ou les données personnelles.

 

II – Le fonctionnement

1 – Quelques bases

Là encore, il est important de connaître quelques notions de vocabulaire propre à la cryptographie.

Le canal public : C’est un endroit où chacun peut communiquer, les ondes radio, internet, le téléphone ou même le ciel avec la communication amérindienne et les signaux de fumée.

Un message clair : C’est un texte que n’importe qui pourrait lire, ici ce sera l’information que l’on souhaite transmettre

Une clé de chiffrement : C’est le processus de transformation d’un message clair pour le rendre illisible.

Une clé de déchiffrement : Cette fois-ci c’est le processus inverse pour aller du message chiffré vers le message clair.

Ces deux dernières sont basées respectivement sur des fonctions de chiffrement et de déchiffrement pour générer le message chiffré ou retrouver le message clair.

On retrouve, entre autre, deux systèmes cryptographiques : les clés secrètes ou symétriques.

 

2  – La cryptographie à clé secrète

La cryptographie à clé secrète ou symétrique, contrairement à la cryptographie à clé publique ou asymétrique que nous verrons par la suite, est la méthode la plus ancienne de chiffrement. Dans ce cas, on utilise la même formule ou la même clé pour chiffrer et déchiffrer un message. On a vu précédemment la méthode de substitution-monoalphabétique qu’utilisait Jules César qui est effectivement un type de cryptographie à clé secrète.

Cependant, on n’utilise pas forcément une clé pour une méthode de chiffrement. Le ROT13 n’a pas de clé, il s’agit cette fois d’une rotation de 13 lettres pour crypter son message et inversement.

Dans ce cas, « BONJOUR » devient « OBAWBHE ».

On remarquera cependant que cette méthode n’est pas sans danger, elle est même facilement déchiffrable si on a un message suffisamment long avec plusieurs répétitions de lettres. Aussi, on est obligés de retirer les symboles et la ponctuation, ce qui est assez gênant pour la compréhension du texte. On retire aussi les chiffres mais ça a moins d’impact puisque l’on peut les écrire en toutes lettres.

 

3 – La cryptographie à clé publique

C’est au milieu des années 70 que le concept de clé publique est apparu, comme son nom l’indique, il permet l’échange de données et d’informations sans avoir à se transmettre aussi la clé puisque l’avantage est qu’elle sera déjà connue. Pour ce système il n’y aura pas seulement une clé secrète mais une publique qui servira à chiffrer les données et sa privée correspondante qui reste secrète. Si un message est chiffré avec une clé publique, il ne peut être déchiffré qu’avec sa clé correspondante, alors le message reste bien confidentiel.

C’est notamment avec le développement d’Internet et ses réseaux ouverts, des technologies de l’information ainsi que les réseaux de communication que les clés publiques ont joué un rôle majeur. On peut évoquer la sécurité des paiements ainsi que la signature électronique, les clés publiques sont une grande aide en permettant l’authentification de l’identité de l’utilisateur.

Il reste cependant un souci : prouver qu’une clé publique appartient bien à la personne concernée pour prévenir le risque d’usurpation d’identité. Si les deux parties se connaissent mutuellement, le problème ne se pose pas sinon, il est nécessaire d’établir un système pour certifier la clé en instaurant un réseau de confiance.

 

4 – La signature électronique

La signature électronique est révélée si le document est modifié après signature. Aussi, elle atteste que le document a bien été signé par l’auteur authentique. Elle est utile pour prouver la propriété intellectuelle d’un document. Aussi, elle garantit qu’une personne peut ou non utiliser une œuvre mais aussi que celle-ci n’a subi aucune modification.

 

5 – Les différents types de menaces autour de la communication

Lors d’un transfert de message, on s’expose plus ou moins au risque d’être écouté. Ça ne peut avoir aucun impact dans la vie quotidienne sauf si les informations sont confidentielles.

On peut rencontrer plusieurs types d’attaques. Celles qui restent passives, la personne se contente d’écouter ou lire l’information, elle menace donc la confidentialité de l’information mais ne la modifie pas.

Les plus dangereuses sont celles qui sont actives et menacent l’intégrité même de l’information si la personne arrive à modifier le contenu des messages échangées.

D’où l’intérêt de protéger ses communications si celles-ci concernent des informations confidentielles en utilisant différents moyens de cryptage par exemple.

Il peut exister des usages légitimes de la cryptographie aussi bien par le gouvernement que par des particuliers mais, comme toutes autres choses, mises entre les mains de personnes malveillantes, elle peut devenir très dangereuse.

Les usages illégaux peuvent rapidement affecter la sécurité publique, le respect des lois, la vie ou encore la protection de chacun.

 

III – L’importance d’un cadre juridique

La cryptographie est réglementée dans une majorité des pays, il est effectivement important d’imposer un cadre juridique pour éviter au maximum les dérives. Notamment pour éviter la communication au sein des réseaux terroristes. Il est cependant complexe d’imposer un cadre dans un domaine difficile à gérer comme la cryptographie.

Effectivement, dès qu’il y a une notion de secret, la technologie fait l’objet d’une réglementation particulière. On peut d’emblée faire référence aux articles 2 et 4 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 qui énonce les droits fondamentaux de liberté mais surtout du droit au secret pour chacun tant que qu’il n’entrave pas la liberté de l’autre.

Dans certains pays, c’est l’import ou l’export des technologies cryptographiques qui sont restreintes, l’import de données chiffrés ou encore l’utilisation totale des techniques de cryptographie.

 

1 – Une technologie à double usage

La cryptographie est une technologie dites à double-usage. Ce sont de technologies qui peuvent être utilisés à des fins militaires mais aussi civiles. On peut citer par exemple certains types d’armements ou le domaine nucléaire où le détournement de la technologie est le plus important mais aussi le plus médiatisées.

On a pu voir précédemment que la cryptographie pouvait être utilisée à des fins personnelles ou pour la défense du territoire par exemple, elle entre donc bien dans cette catégorie.

De fait, le gouvernement utilise cette technologie mais voit d’un assez mauvais œil son utilisation à titre privé puisque c’est autoriser une communication presque incontrôlable au sein de son territoire. Si ces conversations peuvent être anodines, elles peuvent aussi venir de personnes malveillantes.

Cependant, on peut se poser la question de la protection de la liberté d’expression ainsi que de la vie privée si le gouvernement contrôle une manière de communiquer comme celle-ci.

En France, le Service des biens double usage est chargé de délivrer les licences d’utilisation de ces technologies.

 

2 – Cadre juridique en France

               2.1 – La loi de 1990

En France, on se rapporte jusqu’en 2004 temps à l’article 28 de la loi du 29 décembre 1990 sur la réglementation des télécommunications. L’article définit dans un premier temps ce qu’est la cryptologie et impose immédiatement des règles concernant son utilisation.

Elle restera libre si son utilisation est faite pour des opérations qui n’assurent pas la confidentialité et si elle dans les normes d’un organisme agréé et/ou soumise à l’autorisation du Premier ministre. Son importation est, elle-aussi, soumise à une autorisation si elle assure des fonctions de confidentialité.

Par ailleurs, importer une technologie de cryptographie d’un pays hors européen ou bien l’exporter sans autorisation préalable mentionnée précédemment ou qui ne répond pas aux conditions d’utilisations est passible d’une peine de six mois d’emprisonnement ainsi que 30 000 euros d’amende.

Aussi, fournir une technologie de cryptographie pour la préparation d’un crime est puni de trois ans d’emprisonnement et 75 000 euros d’amende.

On peut remarquer que la réglementation tend à aller vers un assouplissement mais les clés doivent être gérées par le Premier ministre. On est donc entre la volonté d’assurer la confidentialité d’un message mais, uniquement, si le gouvernement peut y avoir accès.

On inclut à ce moment la notion de tiers de confiance, sur internet il s’agit d’une personne morale ou physique qui met en œuvre des signatures électroniques. Il existe trois types de certifications :  L’autorité de certification qui définit une certaine politique de certification, l’autorité d’enregistrement qui vérifie que le demandeur de signature est bien la personne en question, enfin, l’opérateur de certification qui assure la fourniture et de la gestion de certificats électronique.

En France, c’est l’Agence nationale de la sécurité des systèmes d’information qui gère l’attribution des certificats.

 

2.2 – La Loi de la Confiance dans l’Economie Numérique

On se réfère maintenant à la Loi pour la Confiance dans l’Economie Numérique pour parler du droit de l’Internet de 2004, que ce soit à propos du commerce, de la protection de la vie privée ou des communications électroniques. Elle définit notamment des mots communs utilisés sur Internet comme « courrier électronique » ou « commerçant électronique » mais aussi « moyen de cryptologie » ou « prestation de cryptologie ». Le projet de loi a été adopté en mai 2004 par l’Assemblée nationale.

En juin 2004, le premier chapitre de la loi pour la confiance dans l’économie numérique intitulé « De la sécurité dans l’économie numérique » énonce de nombreuses dispositions juridiques applicables à la cryptographie en France.

Le paragraphe fait référence à l’article 1er de la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication notamment la communication par voie électronique au public.

Cette dernière est libre et ne peut être limité uniquement par le respect de la liberté mais aussi de propriété de l’autre mais aussi par le respect d’autrui. Surtout, elle peut être limitée par des contraintes de sécurité du territoire afin de protéger l’ordre public.

Il est important de préciser que cet article appui sur le terme « communication publique » c’est- à-dire les voies de communication électronique mise à disposition du public que ce soit avec des signes, signaux, des écrits, des images, des sons ou des messages de quelques natures qu’il soit.

Ce cadre juridique qui pose des principes clairs concernant l’utilisation de la cryptographie a été modifiée par la suite par de nombreux décrets rendent l’article 28 de la loi de 1990 obsolète, celui-ci est donc abrogé. La règlementation juridique de la cryptographie en France suivra désormais le régime de la loi du 22 juin 2004.

L’utilisation des technologies de cryptologie est libre, aucune démarche n’est à faire pour son usage. Cependant, en ce qui concerne l’importation, l’exportation, le transfert ou la fourniture sont soumis à déclaration et/ou demande d’autorisation à l’Agence nationale de la sécurité des systèmes d’information.

L’autorisation dépend des fonctionnalités du moyen de cryptographie et doit être validé au cas par cas.

L’article 30 déclare enfin « L’utilisation des moyens de cryptologie est libre ».

 

3 – L’Arrangement de Wassenaar

A la vue des usages grandissant de la cryptographie mais aussi des autres technologies à double usage, 33 pays se sont accordés sur certains principes politiques en mai 1996 réuni sous le nom d’Arrangement de Wassenaar ou du nom complet « Arrangement de Wassenaar sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage ». Aujourd’hui, il compte plus de 40 pays adhérents dont la France.

Il s’agit notamment de « contribuer à la sécurité et à la stabilité régionales et internationales en favorisant la transparence et une plus grande responsabilité dans le transfert d’armes conventionnelles et bien à double usage ».

L’Arrangement de Wassenaar a permis de calibrer en quelques sortes l’utilisation de la cryptographie. La longueur des clés symétriques peuvent jusqu’à 56 bits tandis que les asymétriques peuvent aller jusqu’à 512 bits sans restriction à l’exportation.

L’utilisation de la cryptographie en Europe reste très libre au sein du marché intérieur mais, l’exportation de ces produits est restreinte. Effectivement, au sein de l’Union Européenne est possible, restreinte pour quelques pays hors Union Européenne avec des exceptions où la réglementation est plus souple comme les Etats-Unis, la Suisse, le Japon ou encore la Nouvelle-Zélande.

 

4 – Les impacts d’une telle réglementation

Une telle réglementation va immédiatement limiter une partie des entreprises qui travaillent sur des marchés européens et internationaux. Notamment celles qui souhaitent utiliser la cryptographie comme protection de leurs données personnelles. Le contrôle de l’exportation désavantage un grand nombre d’entreprise face à leurs concurrents.

Il ne s’agit pas seulement du monde de l’informatique mais aussi le marché des Technologies de l’Information et Communication ainsi que des sociétés de services qui dépendent de la cryptographie.

On peut aussi citer la problématique du e-commerce où les clients hésiteraient bien plus à commander sur Internet si leurs informations personnelles ne seraient pas bien sécurisées, plus particulièrement leurs informations bancaires.

Si l’utilisation de la cryptographie est limitée, le développement même du marché du pays est limité.

Cet accord a d’ailleurs été modifié en 2012 et 2013 pour couvrir aussi le piratage informatique, la surveillance sur Internet et prévenir des logiciels d’espionnage.

 

5 – La sécurité des systèmes d’information liée à la cryptographie

Tout comme dans le monde réel où tout peut être volé ou presque, falsifié ou contrefait, le monde virtuel n’est pas totalement sûr. Les possibilités de fraudes dans le monde numérique sont considérables. L’évolution des techniques informatiques et de cryptographie qui ont évolué pour devenir de plus en plus complexes sont devenues une composante importante dans la sécurité des données ainsi que des systèmes d’informations.

 

Conclusion

               A travers cette analyse, nous avons pu comprendre l’importance de la cryptographie, sa puissance, ses faiblesses mais surtout pourquoi elle est tant contrôlée et redoutée. La cryptographie a pris plusieurs visages jusqu’à nos jours en évoluant selon les technologies pour devenir une arme très complexe.

Mise entre de mauvaises mains, elle peut justement devenir une arme très puissante et avoir de graves conséquences. La liberté de communiquer librement sans être au vu et au su de tous est pourtant une liberté fondamentale que souhaite contrôler le gouvernement. Nous avons pu voir que, depuis 2004, l’utilisation de la cryptographie est libre en France. Elle est cependant soumise à une règlementation spécifique, l’importation, l’exportation et le transfert reste soumis à une déclaration et une autorisation de l’Agence nationale de la sécurité des systèmes d’information.

Aujourd’hui, il suffit de quelques connaissances en informatiques pour utiliser des algorithmes de cryptographie allant du plus simple au très compliqué. Quelques astuces peuvent même parfois suffire pour garder ses communications secrètes en utilisant le chiffrement de César ou le ROT13 par exemple.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *