Droit de la cryptographie: une approche pour la …strategique.free.fr/analyses/cryptographie.pdf · Section du CNU : 01 Droit privé et sciences criminelles. ... laissant guider

Universit Montpellier I

Facult de Droit, des Sciences conomiques et de Gestion

Institut de Recherche et d'tude pour le Traitement de l'Information Juridique

Droit de la cryptographie :

une approche pour la protection des informations

sur linternet

Mmoire de D.E.A Informatique et Droit

Sous la direction de M. le professeur J. FRAYSSINET

Par Yannick Spegels et Hughes-Jehan Vibert

Formation doctorale : Informatique et Droit

quipe de Recherche Informatique et Droit (E.A 718)

Section du CNU : 01 Droit priv et sciences criminelles.

71 Science de l'information et de la communication.

Universit de Montpellier 1

IRETIJ

39 rue de l'universit 34060 Montpellier CEDEX

Nous tenons remercier Monsieur le professeur Jean Frayssinet de l'Universitd'Aix en Provence pour avoir accept d'tre le directeur de notre mmoire, ainsi

que pour ses conseils.

Nous remercions galement Monsieur le professeur Michel Bibent de l'UniversitMontpellier I ainsi que tous les enseignants et chargs de cours pour l'excellente

anne que nous avons pass dans le cadre du DEA Informatique et Droit de lafacult de droit de Montpellier

Monsieur le Professeur Daniel Poulin de l'Universit de Montral nous a donndes conseils bibliographiques et nous l'en remercions vivement en regrettant de

ne pas avoir pu le rencontrer Montral.

Nous avons une pense particulire pour Romaric et Nicolas qui nous ontgentiment permis de bnficier de leurs connexions l'internet.

Nous remercions Quicklaw system Inc. pour nous avoir permis dutiliser sesbases de donnes juridiques au Canada ainsi que celles

de Westlaw pour les tats-Unis

Enfin, merci lUniversit du Qubec Montral et sa Facult de droit pour laformation dispense par ses diffrents enseignants,

notamment en informatique juridique.

Sophie

Table des matires

Chapitre introductif 1

Section I- La cryptographie : une approche historique 3

I Dune cryptographie rudimentaire 3A- Cryptographie naissante 3B- Cryptographie applique 4

II une cryptographie plus tablie 5A- La modernit naissante 5

B- La modernit en marche 6

Section II- La cryptographie: une approche "computerise" 8

I Le cryptage symtrique 8A- Le DES (Data Encryption Standard) 8B- L'IDEA (International Data Encryption) 11II La cryptographie asymtrique 12A- L'exemple du RSA 12B- L'exemple du PGP 16

Chapitre I- La protection des informations face la raison dtat 20

Section I - la cryptologie considre comme une arme de guerre 21

I Des rglementations pour un contrle absolu 21A- Les normes europennes 23 - La Belgique 23 - La France 27 - LEurope 34

B Les normes Nord-amricaines 37

- Les USA 38 - Le Canada 41II face des revendications libertaires 42A- La crainte du Big Brother 43B- Et la recherche dune protection 44 - PGP et Zimmermann 45 - Les groupes de pressions 49

Section II- Le prsent : Les antagonismes en prsence 51

I La protection de ltat 51A- La scurit extrieur 52B- La scurit intrieure 53

II La protection de lindividu 56A- La vie prive 57B- La privacy 67

Section III- Le futur : La protection de le vie priv 70

I Laboutissement des nouvelles orientations normatives 71A- Une libralisation totale 71B- Une limitation persistante 80 - une rglementation communautaire 80 - l'arrangement de Wassennaar 84II Les nouveaux rles de ltat 87A- Vers des modes de contrle revisits 87B- Vers une coordination mondiale 95

Chapitre II- La protection des informations face la raison commerciale 99

Section I- Avant lmergence dun besoin : une cryptographie usageconfidentiel 99I Le secret lpreuve dune informatique mergente 100A- la circulation du cryptographe : 100B- La circulation des informations : 104 - une protection ncessaire 104 - une protection satisfaisante 105II La preuve confronte une informatique mergente 106A- Un contrat papier privilgi 107B- La preuve (civile et commerciale) 110

Section II- La cryptographie, un outils ncessaire au dveloppement d unbesoin nouveau : le commerce lectronique 113

I Le secret lpreuve dune informatique installe 113A- Lois franaises par rapport aux normes europenne 114B- Les enjeux de la cryptographie en question ? 117II La preuve confronte une informatique installe 123A- La ncessit dune preuve lectronique 123B- Susciter la confiance des utilisateurs 129

Section III- Une libert totale de la cryptographie : une solution adapte aucommerce lectronique. 132

I La libert du commerce et de lindustrie reconquise. 133A- Les moyens de signature et la problmatique de leurs diffusions 133B- Une solution d'autres problmes juridiques 137II Des outils probatoires pertinents 143A- Lautorit de certification 144Pour un commerce scuris et anonyme 145

Conclusion 148

Rien nest plus digne dun capitaine que de savoir deviner les desseins de lennemi.

Machiavel,

Discours sur la premire dcade de Tite-Live

Livre troisime, chapitre XVIII

1

Chapitre introductif

Au nom de la raison dtat, Machiavel prconisait tout un arsenal de recettes utiles au

Prince pour que ce dernier se prserve et par l mme prserve sa principaut. Les

conspirations intrieures, les guerres furent autant de faits menaant la permanence de ltat et

ce, quelque soit son statut. Tout naturellement, les dmocraties comme les dictatures ont alors

dvelopps un arsenal pour se prserver. Se prserver pour elles mmes, contre les autres,

contre les menaces intrieures et extrieures. Le secret est devenu ainsi la cl de vote de tout

un arsenal militaire et administratif. Le secret est donc un enjeu pour les uns et un obstacle

pour les autres : un obstacle quil sagira, pour ces derniers, de renverser pour une stratgie qui

restera toujours la mme : sassurer un monopole, quelquil soit (savoir, pouvoir, religion).

Ds que les changes dinformation apparurent, le cryptage est devenu le plus sr moyen

de sassurer du secret entre deux personnes ou deux groupes de personnes, contre les tiers.

Notre sujet est relatif la cryptologie, du grec kryptos (cach) et logos (science), ce terme peut

tre assimil la science du secret 1 ou lart de coder un message de faon le rendre

incomprhensible sauf pour son destinataire. Si ce mmoire traitera de la cryptologie sous le

prisme dune rflexion juridique, il sera ncessaire de donner dans cette introduction une large

part une tude historique et contemporaine de la cryptographie (du grec graphein, crire), de

ces critures secrtes qui sont la base de cette cryptologie dont lactualit souligne

limportance. Cette tude faite, il sera galement utile de dcrire les moyens de cryptographie

moderne afin de pouvoir donner au lecteur tous les lments pour saisir laspect juridique de la

cryptologie. La science du secret est aussi un domaine modulable selon les objectifs

atteindre, dailleurs pour Bruce Schneier,

il existe deux types de cryptographie dans le monde : la cryptographie qui empchevotre petite sur de lire vos fichiers, et la cryptographie qui empche les principauxgouvernements de lire vos fichiers 2

1 STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, 204 pages

2 SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2me d., International Thomson Publishing France,1997, 846 pages pour ldition francophone.

2

En effet, quelque soient les moyens utiliss, cest lobjectif de secret qui donne la

cryptographie tout son sens, la personne devant rester dans lignorance importe peut. Il existe

de multiples moyens pour sassurer du secret. Les chuchotements, les gestes, une connaissance

des langues trangres, ou mme les sanglots longs de la BBC avant le dbarquement

Allis en Normandie, sont autant de moyens qui nous loignent de limage du cryptanalyste qui

dcortique pniblement une masse de documentation illisible. Et pourtant nous sommes bien

devant une succession de faits, volontaires ou non, qui rendent linformation opaque ceux qui

en coute la reprsentation crypte .

Pour revenir notre propos, et selon lencyclopdie Universalis,

Tout systme de cryptage est compos dun algorithme de codage plus ou moins compliquutilisant ou non une ou plusieurs cls de scurit et il est, en principe, conu de manire treinviolable. En fait, un code peut tre cass soit par la technique dessai et erreur en selaissant guider par certaines caractristiques du message cod, soit en tentant de retrouverlalgorithme et/ou les cls utiliss pour le codage. Pour casser un code, un trs grand nombrede tentatives doivent tre effectues et, depuis lutilisation dordinateurs par les casseurs decode, on peut dire quaucun code nest inviolable, sauf ncessiter un nombre de tentatives telque le plus puissant des ordinateurs mettrait plusieurs centaines ou plusieurs milliers dannes les raliser.

Bref, la cryptologie est un jeux qui se joue deux.

Nous verrons dans ce chapitre introductif la cryptologie sous une approche historique

(Section I) pour traiter ensuite dune approche moderne, une approche computerise

(Section II)

3

Section I : La cryptographie : une approche historique3

Historiquement la cryptographie peut sapprhender de plusieurs faon. En effet nous

sommes pass dune cryptographie tenant aux divinits une cryptographie tenant aux intrts

personnels et, plus tard tatiques; mais nous sommes galement passs dune cryptographie

mcanique une cryptographie mathmatique, ces lments se combinant parfois. Cela dit,

nous respecterons des rgles chronologiques classiques quand lapproche des sciences et

techniques, nous sparerons cette historique la fin de moyen ge pour voir que nous sommes

pass dune cryptologie rudimentaire (I), une cryptologie plus labore (II)

I - Dune cryptographie rudimentaire

Des lments pouvant se rapporter la cryptologie se retrouvent au cours de toute

lhistoire de lhumanit. Lart dinterprter les mystres, et donc de dcrypter le sens donn

tel ou tel vnement fantastique est le fondement de toutes les religions ayant accompagn

ltre humain dans son volution. Cette volution finalement conduit, les tats naissant

dvelopper leurs propres mystres pour leur scurit, une scurit parfois assure par

lagression. Nous passerons donc chronologiquement dune cryptographie naissante (A) une

cryptographie applique

A- Cryptographie naissante

Il ne semblerait pas absurde de faire remonter la cryptographie lre des hiroglyphes dont

certains furent utiliss sur des tombeaux alors que parfaitement inusits. Car le hiroglyphe

galement un aspect symbolique, et le sens donn certain signe nous chappe mais, semble

til chappait galement aux contemporains de ceux qui marquaient ainsi les pierres. Nous

entrons ainsi dans la phase mystique de la cryptologie. Le secret est en effet mystrieux et les

religions se nourrissent de mystre. La boucle est ainsi boucle.

3 Pour une approche historique complte voir KAHN, David, La guerre des codes secrets, Paris Interditions,1980

4

Il nest donc pas surprenant de voir certains moyens de cryptographie repris dans la

Bible, ainsi la substitution qui par un systme hbraque traditionnel (le Atbash), permet de

remplacer chaque lettre le lalphabet par celle qui est dans le mme ordre si lon rcite

lalphabet lenvers (a=z, b=y, etc.), SHESHAK devenant ainsi BABEL.

Dans la Chine antique ont avait recours la stganographie qui vise dissimuler le

message secret. Les Chinois recouvraient de cire des messages que le porteur dissimulait sur lui

ou avalait. Ce procd se retrouvait galement en Grce o lon pouvait tout aussi

ingnieusement cacher lexistence dun message en tondant un hraut sur le crne duquel on

tatouait linformation. Une fois la repousse des cheveux faite, une seconde tonte tait

ncessaire pour que le destinataire du message soit inform. Les encres sympathiques furent

galement un autre moyen de dissimulation du message quil est inutile de dtailler ici.

B- Cryptographie applique

Cest sans doute Sparte que lon doit la premire utilisation militaire4 de la

cryptographie grce la scytale. Ce systme consistait en un axe de bois autour duquel on

enroulait, de faon le recouvrir, un ruban. Le texte tait crit dans la hauteur de l'axe sur le

ruban qui tait ensuite droul tel quel par le destinataire. Ce dernier renroulait la bande sur un

bton de mme diamtre que le premier et le message se reformait. Que le bton soit trop large

ou trop troit et le message devenait illisible. En dautre terme, cette scytale est une cl sans

laquelle il est impossible de dchiffrer un message, une cl la disposition des gnraux et haut

magistrats : nous sommes au cinquime sicle avant Jsus-Christ et cette cryptographie

rudimentaire est dj un symbole de pouvoir.

Jules Csar utilisait quant lui un procd de substitution rudimentaire : chaque lettre de

lalphabet tait dcale de 3 caractres par rapport lalphabet. Il sagit ici dun systme simple

qui sapparente nos cryptages modernes dans le sens o

[cette substitution] traite un message sous forme symbolique, cest dire comme une suitede lettres, et quelle dfini une transformation sur ces lettres, que lon nomme unchiffrement 5

4 Nous dvelopperons cet aspect militaire dans la partie consacre la raison dtat (I)5 STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, page 25

5

II - une cryptographie plus labore

La cryptologie est une science qui respecte son temps, cest donc tout naturellement que

la fin du moyen-ge annona larrive dune cryptographie entrant dans lre de la modernit.

On pourra remarquer que cette modernit fut dabord le fait dindividus alors que les initiatives

de lpoque contemporaine proviennent plutt des tats. Le caractre stratgique de la

cryptographie ne fut pourtant jamais ignor, cest en fait lacclration des progrs techniques

appliqus la guerre qui suscita ce dveloppement, littralement exponentiel en puissance, de

la cryptographie, un dveloppent suivant les mmes rgles que celui de larmement. Cest donc

toujours avec la mme approche chronologique que nous aborderons la priode de la modernit

naissante (A), pour voir ensuite celle de la modernit en marche (B)

A- La modernit naissante

Jusquau moyen ge lintrt pour la cryptographie nvolua pas et finalement, cest avec

une certain respect pour lair du temps quen 1477 un italien, Leon Batista Alberti, fit voluer

la science des critures secrtes en inventant la substitution polyalphabtique, procd

permettant la correspondance de nombreux alphabets crypts en un seul clair.

figure 1 : Le cadrant chiffrant dAlberti

Le procd consiste utiliser 2 disques : lun est mobile lautre tant fixe. Lutilisateur

recours une lettre indice prise dans le cercle interne mobile (ici x=v), il suffit de faire

communiquer les autre lettres entre elles. Il faut convenir d'une lettre indice dans le cercle

interne, k, avec le correspondant puis l'on peut dbuter le cryptogramme par la lettre de

6

l'anneau place en face de la lettre indice. Mais l o Alberti engage la cryptographie sur la

voie de la complexit, est quand il crit : Aprs avoir crit 3 ou 4 mots, je peux changer la

position de la lettre indice en tournant le disque de faon que k soit, par exemple, sous le D.

Donc dans un message, j'crirai un D majuscule et partir de ce point k ne signifiera plus B

mais D et toutes les lettres du disque fixe auront de nouveaux quivalents.

Alberti ira plus loin quand il compltera]sa dcouverte par une autre inventiondterminante dans l'histoire de la cryptologie : le surchiffrement codique. En effet ilconstitua un rpertoire de 336 groupes de mots reprsents par toutes les combinaisonsallant de 11 4444. Mais le gnie d'Alberti tait trop en avance sur son temps et ce n'est que400 ans plus tard que les puissances mondiales utiliseront ce procd de surchiffrementcodique mais bien plus simplement. 6

Les procds cryptographiques volurent pour arriver deux sicles plus tard faire de la

cryptologie une science de mathmaticiens

B- La modernit en marche

Cest un mathmaticien milanais, Jrme Cardant, qui le premier, dveloppa au XVIme

sicle, lide du systme de lautoclave qui consiste considrer le message en lui mme

comme la cl. On pourrait galement traiter de la substitution polyalphabtique mais il sera

plus intressant de se rfrer directement louvrage de David Kahn7 et, de la mme faon,

nous ferons un bond chronologique jusqu notre sicle puisque le rel dveloppement de la

cryptologie est venu avec le ncessaire traitement de donns transmettre en

quantitindustrielles : comme toutes les sciences, la cryptologie est troitement lie lair du

temps.

Lentre dans la modernit sest dveloppe de faon remarquable lissue des deux

conflits mondiaux. Chaque guerre apportant les enseignements ncessaires pour prparer la

suivante. Ainsi la clbre machine Enigma fut utilise (et casse) lors de la seconde guerre

mondiale et prpare lissue de la premire. La chance fut dans le camps de allie

puisquavant de saborder un sous-marin allemand quasiment dtruit, les anglais eurent la

prsence desprit de le visiter. Un exemplaire de la machine secrte fut trouv facilitant ainsi le

dcryptage des communications allemandes.

6 MARIE, Fabrice, Histoire de la cryptologie, http://wwwmutimania.com/marief

http://wwwmutimania.com/marief

7

La machine Enigma ressemble une machine crire et fonctionne sur le principe du

rotor o 26 contacts apparaissent sur la face interne et sur la face externe et sont relies les uns

aux autres, elle est de plus compose de 3 rotor choisis parmi 5 ce qui permettait de dvelopper

un cryptage de plus dun millions de combinaisons. Le dcryptage consistant utiliser un

cheminement inverse.

Figure 2 : La machine Enigma

La guerre froide dvelopp tous ces systmes mcaniques et linformatique militaire

amlior les possibilits et la rapidit des outils de cryptographie.

7 KAHN, David, op. cit.

8

Section II - La cryptographie : une approche computerise 8

Computerise cest dire (vous excuserez langlicisme) que le cryptage ne peut plus

dsormais se passer dune utilisation de la puissance et rapidit de calcul des ordinateurs. Nous

sommes entr, dans cette matire aussi, dans un domaine qui dpasse les capacit danalyse de

ltre humain. La numrisation, en transformant toutes les informations (textes, images, sons)

en 1 et en 0 permet de rationaliser la cryptographie en donnant le mme outils pour toutes les

sortes de communication. Deux systmes de cryptage constituent la base de la cryptologie

moderne les cryptographies symtriques et asymtriques visent un change de cls.

Les cls de chiffrement sont bases sur la difficult de factoriser des grands nombres, il

est donc logique de voir ici que plus la cl est longue, plus le dcryptage devient complexe.

Nous allons dtailler ces notions grce aux deux grands systmes de cryptage : il sagit des

systmes de cryptage symtrique (I) et de type asymtrique (II). Diffrents, ces deux systmes

peuvent nanmoins tre complmentaires, il sagit prsent de les tudier.

I- Le cryptage symtrique

Deux exemples servirons dcrire cette forme de cryptage, ils obissent dailleurs aux

mmes rgles mais offrent des garanties de scurit diffrentes. Nous verrons ainsi

successivement le DES (A) et lIDEA (A)

A- DES (Data Encryption Standard)

Nous sommes au dbut des annes 1970, cette poque seule la cryptographie militaire

droit des budgets consquents. Cela dit pour des raisons de secret, rien ne transparaissait et

la cryptographie tait un espace protg. LAgence nationale de scurit amricaine (NSA pour

National Securiy Agency) nexistait mme pas pour le public, cet organisme navait donc

8 En plus dautre sources, louvrage de rfrence sera ici sans conteste celui de Schneier qui lavantage dtreassez accessible pour celles et ceux qui ne sont pas mathmaticiens :SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2me d., International Thomson Publishing France,1997, 846 pages pour ldition francophone.

9

aucune existence officielle. La cryptographie non militaire tait quant elle parpille, il

nexistait aucune norme ou quasi norme dans ce domaine et, surtout, aucune garantie quant la

relle scurit de ces procds cryptographique. Selon un rapport du gouvernement des tats-

Unis,

Les implications profondes du lien entre les diffrentes variantes de mcanismes de clefs,ainsi que les principes de fonctionnement et la force relle des quipements de chiffrement etdchiffrement taient, et sont encore, virtuellement inconnus de presque tous les acheteurs, et ilest trs difficile de faire des choix bien informs quant au type dquipement en ligne, horsligne, gnration de clef, etc.- qui satisfassent les besoins en scurit des acheteurs. 9

Il fut donc lanc un appel doffre pour dvelopper un algorithme standard de

cryptographie unique, susceptible de protger les donnes numrises tant lors de leurs

transmissions que lors de leurs stockages. Les conditions pour valider un tel standard devaient

tre un haut niveau de scurit, une facilit dutilisation, disponible tous les utilisateurs, une

scurit dpendant de la cl, adaptabilit diverses application (messageries, transferts

financiers), efficacit, exportabilit, rentable conomiquement.

Cest finalement IBM qui fut charg du dveloppement du DES par la NSA et le DES fut

adopt au niveau fdral le 23 novembre 1976. Le DES est un systme de cryptographie

symtrique cl secrte unique. Cette mme cl permet la fois de crypter et de dcrypter un

message.

Pour donner une brve description technique, le DES permet de dcouper un message en

tranches traits sparment. Contrairement un systme de type Enigma, lintrt est que le

programme de chiffrement nest pas secret, loutil importe peu car cest de la cl que dpend le

secret (et nous nous rapprochons finalement du systme de la scytale lacdmonienne dont le

secret dpendait du bton utilis). La confidentialit de ce systme repose sur lutilisation

dune cl secrte de 64 bits dont 56 sont utiliss lors de nombreuses oprations de manipulation

de donnes . [Le DES opre dabord un dcoupage du texte clair en segments de 64 bits].

lintrieur de ce segment, il permute les 32 premiers bits avec les 32 suivants 10, suivent alors

de multiples permutations qui rendent le dcryptage impossible.

9 DAVIS, R.M., The Data Encryption Standard in perspective , Computer Security and the Data EncryptionStandar. National Bureau of Standards , Washington DC, fevrier 1978. Special publication 500-27, cit parSchneier page 282.

10 Voir Pirate mag, hors srie n1, juillet 1999, p.17

10

Le DES est capable de rsister la plupart des attaques et en 1993 on estimait un cot

de un millions de dollars US le dveloppement dun ordinateur capable de casser la cl DES en

3 heures et demi. Le cot dun tel systme est donc prohibitif et ne rend le dcryptage possible

quaux tats ou aux grandes compagnies.

figure 3 : le systme DES

Reste quil faut sinterroger sur la fiabilit du DES de nos jours. Des rumeurs persistent

affirmer que la NSA aurait cach une brche secrte dans lalgorithme. Peut-tre Cela dit,

selon des estimations de 199711, sil fallait trois millions de dollars amricains pour casser le

DES en 1993, les cots sont diviss par 5 tous les 10 ans. cela sajoute la rapidit croissante

des ordinateurs qui permettront rapidement de casser la protection des documents; enfin la

possibilit de mettre les ordinateurs en rseaux permettent damliorer encore ce rsultat. Il

nen demeure pas moins que le DES est une assez bonne protection contre les individus et

11 SCHNEIER, Bruce, op. cit., p 318

11

compagnies au budget plus modestes. Enfin, il est toujours possible de dmultiplier les

algorithmes.

En effet, la solution du triple DES semble satisfaisante, il sagit de chiffrer chaque bloc

du message sous 2 (deux) cls diffrentes de 56 bits : on chiffre par la premire, applique le

dchiffrement correspondant la seconde, et chiffre de nouveau avec la cl initiale 12. Cela

tant de grands problmes demeures dans ce systme cl unique et ce quelque soit sa force:

- lchange des cls est ncessaire comme pralable toute communication scurise

dun secret

- Cet change se dmultiplie quant il sagit de communiquer plusieurs secrets diffrents

plusieurs personnes diffrentes. Dans ce cas il y a un srieux problme dans la gestion

des cls, moins de donner tous la mme cl au risque de tuer le secret, ce qui devient

absurde.

Contre les attaques plus puissantes, il est gnralement admis que le DES est prim ou,

tout au moins en voie de ltre. Pour Philip Zimmermann,

Mme les trs bons logiciels, qui utilisent le DES dans le mode dopration correct prsentent encoredes problmes. Le standard DES utilise une cl de 56- bit, ce qui est trop petit pour les normes actuelles, etpeut maintenant tre aisment casse par des recherches exhaustives de la cl sur des machines ultrarapides spciales. Le DES a atteint la fin de sa vie utile, et voil pourtant encore des logiciels qui y fontappel. 13

Les systmes de cryptage asymtrique visent rgler ces problmes, mais un algorithme

comme IDEA rgle avec efficacit lobsolescence du DES

B- L'IDEA (International Data Encryption)

Si lIDEA est beaucoup moins populaire que le DES ou le RSA, il nen demeure pas

moins quil semble tre lalgorithme de cryptage le plus puissant et le plus sr14. Son utilisation

est dailleurs popularise par PGP qui lutilise dans sa fonction de chiffrement. Pour lhistoire il

a t invent en 1990 par Xuejia Lai et James Massey. Si lon tarde pour remplacer le DES

12 STERN, Jacques, op. cit., page 17613 ZIMMERMANN, Philip, Mode demploi de PGP freeware version, document pdf disponible cette adresse,http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm14 Tout au moins selon Bruce Schneier, op. cit. p 339

http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm

12

pour lIDEA cela tient au fait quil soit brevet et ncessite une licence pour ses applications

commerciales

LIDEA dispose dune cl de 128 bits ce qui suppose 2128 chiffrements pour retrouver la cl15 :

Concevez une puce qui peut tester un milliard de cls par secondes et mettez en un milliard la tche, cela prendrait 1013 annes, cest plus que lge de lunivers. Une matrice de 1024

puces pourrait trouver la cl en un jour mais il ny a pas assez datomes de silicium danslunivers pour construire une telle machine. 16

Il sagit donc dun des algorithmes les plus puissant qui soit. Il semble ainsi dmontr que

le cryptage sapproche dune certaine perfection puisque le dcryptage deviendrait impossible.

II- La cryptographie asymtrique (exemples du RSA et de PGP)

Lobjectif ayant conduit au cryptage asymtrique est de rgler le problme du transfert

des cls. Nous lavons vue implicitement plus haut : avec une mme cl symtrique il est

possible de dchiffrer et de dchiffrer. Aussi, Whitfield Diffie et Martin Hellman dcouvrirent

une solution simple : en cryptologie lintrt dest pas vraiment dempcher lennemi de

chiffrer (encore que, nous le verrons, les limitations lexportation des algorithmes de

chiffrement reviennent cette solution); en fait lintrt de cryptage est seulement dempcher

le seul dchiffrage. Nous dtaillerons donc le systme RSA qui reprend ce principe (A), pour

voir ensuite le systme PGP qui ne comprend pas seulement du chiffrement asymtrique mais

quil fallait toutefois dcrire puisquil semble constituer une norme de fait sur linternet.

A- L'exemple du RSA

Le systme RSA fut dvelopp lorigine aprs que ses auteurs saperurent quils

narriveraient pas dmontrer linfaillibilit de la thorie de Diffie et Hellman Le cryptage

asymtrique RSA (des professeurs Rivest, Shamir et Adelman) fonctionne sur le principe de

factorisation dentiers par des entiers premiers (divisibles uniquement par 1 et eux-mmes).

Globalement le systme de cryptage du RSA repose sur un postulat simple : sil est facile de

dterminer que 52 X 84 = 4368, il devient complexe de dterminer quels nombres aboutissent

15 peut prs 340 282 366 920 938 463 463 374 607 431 770 000 000 de chiffrements

16 SCHNEIER, Bruce, op. cit., p. 342

13

ce rsultat, qui plus est en factorisant des nombre premiers difficiles retrouver dans le cas de

grand nombres Pour la description technique il serait utile encore une fois de consulter les

documentations pertinentes17. Nous dcrirons par contre concrtement le fonctionnement de ce

systme

Alice18 dsire communiquer avec Robert. Pour que leurs correspondances soient cryptes,

elle informe Robert de lexistence dune cl publique grce laquelle Robert pourra crypter son

message. Alice recevra le message crypt par la cl publique et le dcryptera grce sa cl

prive qui reste, quant elle, confidentielle.

Le systme fonctionne donc avec 2 cls complmentaires :

Figure 4 : le systme des cls RSA

Le procd reste confidentiel car la seule utilit de cette cl est de crypter un message.

Une fois en possession de la cl publique Robert na plus qu lutiliser pour transmettre un

message (figure 5) et, si possible, en profiter pour y insrer sa propre cl publique pour

quAlice puisse lui rpondre son tour en toute confidentialit :

17 SCHNEIER, Bruce, op. cit., p. 491, ou encore Pirate Mag, Hors-Srie n1, juillet 1999 qui reprend les mmesexplications pour seulement 12 francs18 Parmi tous les ouvrages consults les prnoms Alice et Robert (ou Bob) reviennent systmatiquement. Nousserons plus original la prochaine fois.

14

Lavantage du systme utilisant des cls asymtriques rside dans le fait que la cl prive

na pas besoin dtre connue par celui qui envoie un message. Il sagit donc dune srieuse

amlioration par rapport au systme DES. Par contre ce systme est lourd grer pour des

fichiers de grande taille ,

titre de comparaison, install sous forme de logiciel, le DES permet de raliser desfonctions 100 fois plus rapidement que le logiciel RSA, alors que dans le cas du hardware ,le DES savre cette fois de 1000 10000 fois plus rapide. 19

figure 5 : le systme RSA

Devant ces lenteurs, la solution consisterait utiliser conjointement les deux formats de

protection. En effet, il peut tre utile de combiner les avantages du RSA sur le secret des clefs

et ceux du DES (ou triple DES) pour la rapidit dexcution. Ainsi rien nempche de transfrer

une cl DES grce au RSA et de crypter ensuite le message grce lalgorithme DES. Ce

19 RSA, RSA, http://www.rsa.com/rsalabs/faq/faq_rsa.html, cit par Pierre Trudel : Trudel, Pierre et autres, Droitdu cyberespace, Montral, ditions Thmis, 1997, chap. 19, page 20

http://www.rsa.com/rsalabs/faq/faq_rsa.html

15

systme sappelle lenveloppe numrique . Cest dailleurs le type de systme quutilise

PGP en combinant lIDEA avec le RSA.

Mais le systme RSA permet galement une authentification de lexpditeur du message :

si Alice dcide de coder la signature de son message laide dun autre jeux de cls, elle sera la

seule pouvoir crypter des messages avec une cl de dchiffrage, il suffira alors aux

destinataires de vrifier lauthenticit de la signature laide de le cl de dcryptage que seul

Alice peut leur avoir donn. Les deux cls sont bel et bien complmentaires.

Lauthentification garantie, il importe galement de s'assurer que le document envoy na

pas t corrompus. En effet dans ce mmoire, nous traiterons de la cryptologie la lumire du

droit. La preuve lectronique entre tout naturellement dans le cadre de ce travail car la

cryptographie, laide des cls asymtriques, permet dempcher toute modification des

documents et ce dune faon plus sre quavec le format papier.

Lintgrit du document est assure grce la fonction de hachage qui tablit une

correspondance entre une chane binaire de longueur arbitraire et une chane binaire de

longueur fixe et qui a les proprits suivantes :

- il est impossible sur le plan calcul de trouver une donne d'entre qui correspond une

donne de sortie prtablie;

- il est impossible sur le plan calcul de trouver deux donnes d'entre distinctes qui

correspondent la mme donne de sortie.20

Par le hachage il est impossible de modifier un document sans modifier lemprunte du

message. Lintgrit du document est ainsi vrifie sans le moindre doute. Le systme

sapparente la cl des cartes bancaires qui se contente dattribuer une courte valeur la chane

20 Groupe de travail sur le commerce lectronique Industrie Canada, Politique cadre en matire de cryptographieaux fins du commerce lectronique, Pour une conomie et une socit de linformation au Canada Politiquecadre en matire de cryptographie aux fins du commerce lectronique Fvrier 1998, http://strategis.ic.gc.ca/crypto

Lire aussi RIVEST, R.L., The MD4 Message digest Algorithm. , Advances in cryptology, CRYPTO90Proceedings, p. 303-311 propos du logiciel MD4, spcifique au hachage par emprunte de la source de 128 bits

http://strategis.ic.gc.ca/crypto

16

des chiffres composant le numro de la carte. Cette fonction est par contre amliore par la

fonction de hachage puisqu un document correspond une valeur de hachage bien prcise.

B- Le cas de PGP : Pretty Good Privacy (assez bonne confidentialit)

PGP tient sa principale qualit de sa grande popularit : il semble de facto tre devenu

une norme dans tout ce qui concerne lchange de courrier lectronique. Son fonctionnement

est semblable celui du RSA pour ce qui est de la gestion des cls :

PGPfreeware est bas sur un systme de cryptographie cl publique largement accept ethautement prouv, comme montr dans la Figure 5, par lequel vous et les autres utilisateurs dePGP gnrez une paire de cls consistant en une cl prive et une cl publique. Comme son nomlimplique, vous tes le seul avoir accs votre cl prive, mais de faon correspondre avecles autres utilisateurs de PGP vous avez besoin dune copie de leur cl publique, et eux besoindune copie de la vtre. Vous utilisez votre cl prive pour signer les messages e-mail et lesfichiers attachs que vous envoyez aux autres et pour dcrypter les messages et fichiers quilsvous envoient. Inversement, vous utilisez les cls publiques des autres pour leur envoyer un e-mail crypt et vrifier leurs signatures numriques. 21

PGP comprend galement un algorithme de cryptage sinspirant dIDEA, ce logiciel

crypte galement la cl priv de lutilisateur en utilisant plutt quun mot de passe une phrase

de passe Enfin, PGP dispose dune mthode originale de certification des cls distribues :

chaque utilisateur contribue promouvoir la certification des cls distribues (voir la figure 6)

La puissance de PGP semble dsormais admise : elle est considrable.

Si tous les ordinateurs personnels du monde 260 millions taient mis travailler sur un seul messagecrypt avec PGP, cela prendrait encore un temps estim 12 millions de fois l ge de lunivers, enmoyenne, pour casser un simple message.

William Crowell, Directeur dlgu, National Security Agency, 20 Mars 1997.

21 Mode demploi de PGP freeware, disponible cette adresse :http://wwwcl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm

http://wwwcl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm

17

Figure 6 : le systme de certification des cls publiques par PGP

18

Nous avons vu que la cryptographie est un jeux qui se joue deux. PGP est un logiciel

ouvertement destin contrer les attaques puissantes (et notamment gouvernementales). Nous

profitons donc de cette partie consacre ce logiciel pour parler de cette autre versant de la

cryptologie : le dcryptage agressif. Si aucun algorithme de cryptographie nest incassable, le

temps ncessaire dtruire sa rsistance est par contre un srieux lment de dissuasion. La

solution au dcryptage forc nest donc pas raisonnablement un seul travail de cryptographe.

Des moyens dtourns existent comme la contamination dun logiciel de cryptage par un

virus afin de pouvoir rcuprer les mots de passe de lutilisateur. Un autre moyen intressant

est le Tempest22 qui permet de capter distance les champs lectromagntique de tout appareil

lectrique. Ces appareils mettent des parasites, par exemple lcran de lordinateur se met

ainsi scintiller avant mme que la sonnerie dun tlphone cellulaire ne tinte. Lordinateur

rayonne comme un metteur radio. Il semble alors inutile de dpenser des fortunes et des

sicles dcrypter ce que lon peut lire en clair la source ou chez le destinataire, le cryptage

nest en effet quune phase intermdiaire23. Des protections existent (tout local revenant

raliser une cage de Faraday) mais elles sont onreuses, de plus les fils lectriques constituent

autant dantennes propageant les signaux lectro-magntiques Toutes ces raisons sont

rsums par le nom mme de PGP, qui nassure quune assez bonne confidentialit dans le

cryptage pur, en attendant quun jour un cryptanalyste nen casse la cl.

-----BEGIN PGP PRIVATE KEY BLOCK-----

Version: PGPfreeware 6.0 for non-commercial use

LQFvBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJF

mAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G

4QKZYAg02wiFndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NhfWHuGppbA1y4cbaSmnGAn6me3DZiKgBn/Gh

0ZfjHMC/Asu41TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3

fU4SmwA1100NZMl0YjlD6Ncsg2aRBsJjMR3LfejdkGNmEpEepv8DAwIKoFAfj5rZV2BzHNFZ5UssZZqT9XxZ3BPgFPdOO73ws88CQt8

TefJ/PbQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6dAQQEN4iFlBADAQEErx02pZsgEoJLDUV4PQ0QkgXYJ2hnqUC0

sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UHmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8AAgIC/0cFCM

+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hIS

ACdAE1Grz2oLiB9096v8DAwLR+Lf6eLNCnmAxJrT8PO+O8RvX+noiU94H9Sfckm5GTDQyWeUxeUWSND3nbkuSIayB3w===fpfV

-----END PGP PRIVATE KEY BLOCK-----

22 Transient Electromagnetic Pulse Emanation Surveillance Technology (Technique de surveillance des impulsionslectromagntique transitoires), voir le dossier sur le Hors srie de Pirates Mag op. cit, p. 10

23 Lire ltude de Ross J. Anderson, finance par Microsoft dans le but de pouvoir vrifier distance la validit deslicences des logiciels utiliss, http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf, visionn le 20 juillet 1999

http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf

19

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: PGPfreeware 6.0 for non-commercial use

MQFCBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJ

FmAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G4QKZYAg02wi

Fndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NHfWHuGppbA1y4cbaSmnGAn6me3DziKgBn/Gh0ZfjHMC/Asu4

1TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3fU4SmwA1100NZMl0YjlD6Ncsg2

aRBsJjMR3LfejdkGNmEpEeprQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6JAEsEEBECAAsFAjeIhYMECwIDAQAKCRAHqW7IP8u1f

tDKAJ4mTnCsEyJ3T6ATCJcMZ0q/LhBkMgCePLq0zgKCNznA+1G90Q5FdqfPBVu5AM4EN4iFlBADAQEErx02pZsgEoJLDUV4PQ0Qk

gXYJ2hnqUC0sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UhmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8A

AgIC/0cFCM+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1

ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hISACdAE1Grz2oLiB9096okARgQYEQIABgUCN4iFlAA

KCRAHqW7IP8u1fnObAKDtMx+Nza/mDRNejN9TvePCekrpjQCgukc/5/e2brKsVIZvmMbTyGf8H5w==sjJo

-----END PGP PUBLIC KEY BLOCK-----

Figure 6 : Format de cls publique et prive PGP 768 bits

Dans ce long chapitre introductif nous avons dtaill la cryptographie dans toutes ses

approches, principalement historiques et techniques. Depuis une trentaine dannes la

cryptographie nest plus un domaine spcifiquement rserv aux gouvernements, les enjeux

commerciaux ont galement dvelopp la recherche du secret. Le dveloppement du commerce

lectronique et la mise disposition de linternet au grand public ont incontestablement cr un

besoin de confidentialit pour les donnes changes. Il apparat alors que deux ralits se

prsentent dans toute approche contemporaine de la cryptologie. En effet, la seule raison dtat

nest plus suffisante pour justifier un monopole gouvernemental dans lutilisation et le

dveloppement de moyens cryptographiques. La raison commerciale est dsormais une

justification devenue lgitime. Pour James Massey, 24

Ce nest que depuis 10 ans, en fait, que la recherche cryptographique ouverte (non militaire,non secrte) se rpand. Il y a eu, et il continuera dy avoir, des conflits entre les deuxcommunauts de recherche. La recherche ouverte est une qute commune de la connaissance quidpend de faon vitale du libre-change des ides par le biais des prsentations lors desconfrences ou des publications dans les journaux scientifiques .

Une opposition sinstalle alors entre les intrts privs et les intrt gouvernementaux.

La cryptogologie est la science visant protger le secret des informations, aussi dans ce

mmoire, nous porterons notre intrt sur la protection des informations afin dexplorer le

double aspect raison dtat (chapitre I) et raison commerciale (chapitre II), le tout pris

dans une approche chronologique.

20

Chapitre I : La protection des informations face la raison

d'tat

Les annes 1990 sont marques par l'entre de la socit de l'information. Les rseaux

gnrent un grand nombre de donnes. Ces gisements dinformation, considrables et dtaills,

peuvent tre utiliss l'insu des personnes pour constituer des profils individuels ou surveiller

la navigation d'un internaute. L'exploitation des informations circulant sur Internet, ainsi que la

mmorisation des donnes peut transformer l'internaute en objet de surveillance, le citoyen en

individu pi.

"Peut-on admettre que le monde de l'Internet renvoie celui des Incas o portes et fentresdevaient tre en permanence ouvertes pour que les inspecteurs puissent voir tout instant ce quise passait l'intrieur des foyers ?25"

Face ces caractristiques, s'oppose l'intrt de la nation. Le dsire d'couter tout

ce qui peut ce dire, prvenir l'imprvisible et protger l'tat contre toute agression.

La science du chiffrement est fortement marque par un pass militaire. D'ailleurs,

l'origine, il a t invent et dvelopp pour et par ces institutions militaires. La marque

du "secret-dfense" est prsente dans toutes rglementations concernant la cryptologie

(section I). Mais la communication des individus, se fait de plus en plus par

l'intermdiaire de rseaux complexes que l'individu ne matrise plus. Aussi, il ne peut

avoir confiance en ce qui se passe sur ces rseaux. Donc, il recherche un moyen de

protection adapt ces nouvelles circonstances et naturellement il se tourne vers la

cryptologie. Malheureusement, son utilisation par des particuliers n'est pas

favorablement perue par tous les Etats (section II). Mais, la protection de la sphre

prive de chacun passe par une ncessaire confidentialit (section III).

24 MASSEY, J.L., An introduction to contempory cryptology. Proceedings of the IEEE, vol. 76, n5, mai 1988, p.533

21

Section I : La cryptologie considre comme une arme de guerre

Un des rles de l'tat est la dfense voire la promotion de certaines valeurs, mais aussi

assur le maintien des intrts de la scurit nationale. Contre cet intrt national, la cryptologie

reprsente un vritable danger. En effet, issu des mthodes militaires, popularis par le

dveloppement fulgurant de la puissance des ordinateurs, le cryptage garantit si bien la

confidentialit des changes qu'il met la police et les services de renseignement en difficult.

Trop puissant, il rend indchiffrable de manire exploitable, les messages lectronique.

En revanche, pour le particulier, la cryptologie constitue le premier outil de protection

efficace de sa vie prive. De mme, pour celui ayant des intentions malveillantes, c'est une

aubaine. La cryptologie permet d'chapper aux fameuses coutes et autres interceptions.

Aussi, rglementer la cryptologie met en prsence deux intrts antagonistes. Mais toute

rglementation est ncessairement un compromis entre les besoins de protection demands par

les utilisateurs des nouvelles technologies (II) et les ncessits de la scurit publique qui

rclame un contrle absolu (I).

I - Des rglementations pour un contrle absolu

Devenus accessibles au plus grand nombre, les outils cryptographiques sont trs vite

apparus comme le vhicule dune opposition entre ceux que lon appelle les crypto-anarchistes

(favorable une libert de laccs et de lutilisation des outils cryptographiques) et les autres,

plutt favorables un maintient de la tutelle tatique. Les lois et dcrets concernant la

cryptographie de tous les pays du monde sont devenus caractristiques dune certaine idologie

des tats ou de leurs responsables politiques.

Globalement trois grands soucis proccupent les partisans de la raison dtat ou, tout au

moins de la restriction dans lusage et dans la dissmination des outils cryptographiques. Dune

part, il y a principalement des raisons de scurit nationale, en effet, il y a un contrat social

entre ltat et ses sujets, ces derniers attendant de leur Lviathan paix, ordre et scurit. Or, si

25 18me rapport d'activit de la CNIL.

22

elle est libralise, la cryptographie, en empchant la lecture et lanalyse des communications

interceptes, rend le rle de ltat difficile tenir : le contrat social risque de ntre plus assur.

Dautre part, libraliser la cryptographie cest peut tre aussi le risque de voir se dvelopper

plus encore les cas de trafics financiers, de blanchiment dargent, lespionnage ou le

terrorisme ; nous pouvons dailleurs noter sur ce point que ces risques sont ceux gnralement

points du doigts lorsque lon traite habituellement des problmes tenant lapplicabilit du

droit sur linternet. Enfin, et dans une optique plus interne aux tats, la libralisation des outils

cryptographiques serait aussi le moyen de crer un crypto-terrorisme ou un crypto-chantage

contre les projets scientifiques publiques ou privs, en effet on peut imaginer une intrusion dans

certains systmes et un cryptage agressif des disques dur des ordinateurs. Tous ces cas ne sont

pas thoriques,

For exemple the Italian Mafia apparently uses PGP, as did an employee of a softwarecompagny who has been accused of stealing multimillion-dollar software. Also, Aldrich Ames,while spying for the Soviet Union, used very weak encryption which was easily cracked 26.

Les mmes auteurs donnent dailleurs sept autres exemples notamment celui de lattentat

de la secte Aun au gaz Sarin dans le mtro de Tokyo. Dans cette affaire les autorits japonaises

ont russis dcrypter des informations prvoyant un massif dploiement darmement contre le

Japon et les tats-Unis. Il est toutefois des cas o le dcryptage pose des problmes. Selon

Louis J Freeh27, le directeur du FBI, il ny eu que peut de cas o le cryptage empch la

justice doprer, cela dit nous sommes dans un sujet sensible o le secret est la rgle.

Pour traiter des rglementations nationales, nous avons artificiellement dcoup cette

section entre lEurope (A) et lAmrique du Nord (B) du fait que ces deux zones regroupent

lessentiel des intermdiaires prenant part linternet. Il est noter que larticle de Wayne

Madsen pour lElectronic Privacy Information Center28 est une source intressante sur ltat du

droit en matire de cryptage, il donne ainsi un bref tat de la situation dans 76 tats du monde

en ajoutant un code de couleurs :

26 Pour des cas concrets : DENNING, D.E . et W.E. Baugh JR, Cases Involving encryption in crime and terrorism,http://guru.cosc.georgetown.edu/~denning/crypto/cases.html, visionn le 20 juillet 1999

27 Cit par ACKERMAN, Wystan M., Encryption : a 21st century national security dilemma , Internationalreview of law computer & technologie, volume 12, number 2, pages 371-394, 1998

28 http://www.epic.org

http://guru.cosc.georgetown.edu/~denning/crypto/cases.htmlhttp://www.epic.org

23

a "green" designation signifies that the country has either expressed support for the OECDguidelines on cryptography (nous en reparlerons), which genaraly favor unnhindered legal useof cryptography, or has no cryptography control. A "yellow" designation signifies that thecountry has proposed new cryptography controls, including domestic use controls, or has showna willingness to treat cryptographic-enabled software as a dual-use item under the WaasenaarArrangement. A "red" designation denotes countries that have instituted sweeping controls oncryptography, including domestic controls. Some countries do not fit neatly into one of the threecathgories, but trends may show them as being bordeline, i.e., "yellow/red ". 29

A- Les normes europennes

Les mthodes cryptographique utilises ltaient surtout par des militaires ou des

diplomates 30. Cest ce caractre darmes de guerre qui a valu la cryptographie dtre

rglemente de faon trs svre, notamment en France et au niveau europen. En revanche,

pour la Belgique, lapproche fut moins draconienne31.

La rglementation belge :

Le 21 dcembre 1994, le lgislateur belge a vot une loi portant sur des dispositions

sociales et diverses32. Au sein de cette loi, trois articles, assez nbuleux, taient censs

rglementer la matire de la cryptographie en Belgique.

Grce ces trois articles, la loi du 21 dcembre 199133, dite loi portant rforme de

certaines entreprises publiques conomiques , a t enrichie dun nouvel article 70bis. Dautre

part, ce dernier est venu complter larticle 95 alina premier de cette mme loi. Cette dernire

rglemente le cadre lgal de toute la matire des tlcommunications diffuses partir

29 MADSEN, Wayne et aut, Cryptography and liberty : an international survey of encryption policy , The JohnMarshall Journal of computer & information law, Chicago, spring 1998, p. 48230 SYX, D : Vers de nouvelles formes de signature ? le problme de la signature dans les rapports juridiqueslectroniques, in Droit de linformatique, 1986/3, p133 et s.

31 BALTHAZAR Graldine, application et rglementation de la cryptologie en Belgique et en France Wintersemester 1996-1997-seminarabeit.

32 Loi du 21 dcembre 1994, moniteur belge du 23 dcembre 1994 ; BONAVENTURE Olivier : encryptage enBelgique : La loi , http://pgp.netline.be/cryptage/loi.html .

33 Loi du 21 mars 1991, MB du 27.03.1991 pp 6196-6197 et pp 6202-6203

http://pgp.netline.be/cryptage/loi.html

24

dappareils terminaux34. Certains politiciens ont considr que cette loi sappliquait galement

aux logiciels informatiques et par consquent linternet.

La loi du 21 mars 1991 a vu son article 95 alina 1 complt comme suit :

Le Ministre peut, sur proposition de lInstitut [Belge des services postaux et destlcommunications - IBPT] retirer un agrment ou imposer une interdiction de maintenir leraccordement linfrastructure publique de tlcommunications lorsquil savre que(...)5 lappareil terminal rend inefficace les moyens permettant, dans les conditions prvues auxarticles 88bis et 90ter 90decies du Code dinstruction criminelle, le reprage, les coutes, laprise de connaissance et lenregistrement des tlcommunications prives .

De ce fait, l'IBTP peut proposer des cls de cryptage au gouvernement. Donc, il na quun

rle de conseiller du gouvernement.

Le nouvel article 70bis fut rdig comme suit :

Le Roi fixe, par arrt dlibr en conseil des ministres, les moyens techniques par lesquelsBelgacom et les exploitants des services non rservs35 quil dsigne doivent permettre, le caschant, ventuellement conjointement, le reprage, les coutes, la prise de connaissance etlenregistrement des tlcommunications prives dans les conditions prvues par la loi du 30juin 1994 relative la protection de la vie prive contre les coutes, la prise de connaissance etlenregistrement de communications et tlcommunications prives .

De cette faon, cet article prvoit que, moyennant un arrt dapplication dlibr en

conseil des ministres, lutilisation de dispositifs de cryptage, pourrait tre totalement interdite.

Donc, le gouvernement a le pouvoir d'interdire lutilisation dun mcanisme de cryptage, et ce

quel quil soit, quelque moment que ce soit et selon son bon vouloir.

tant donn les incertitudes engendres par cette loi, lIBTP36, suivis par quelques auteurs37, a

interprt cet article comme ne sappliquant pas aux logiciels. Mais ce nest quune

34 Dfinis dans la loi du 21 mars 1991 comme toutes installation qui peut tre raccorde directement linfrastructure de tlcommunication par un point de raccordement pour transmettre, traiter ou recevoir lesinformations vises au 4 .

35 Selon les articles 83 et 87 de la loi du 27 mars 1991, les services non rservs sont dfinis comme tant tous lesservices de tlcommunications qui ne sont pas les services de tlphonie, les services de tlex, de mobilophonie etde radiomessagerie, les services de commutation de donnes, le service tlgraphique et enfin, la mise disposition de liaisons fixes.

36 IBTP, Avenue de lAstronomie, 14, B-1030 Bruxelles

37 DUMORTIER, jos, Cryptogrfie is niet verboden , http://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu.htm .

http://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu.htmhttp://www.kuleuven.ac.be/ck/archief/ck-7-3/forum/fforu/htm

25

interprtation doctrinale conforte par aucun texte lgal. En effet, aucun arrt dapplication na

t pris depuis la promulgation de la loi.

Face cet aspect flou de larticle 70 bis, la classe politique a interrog directement le

ministre de la justice belge, sur lventualit dune prohibition totale de la cryptographie38. Ce

dernier a rpondu que :

Rendre obligatoire le dpt des cls des terminaux auprs des autorits de manire pouvoirlire en cas denqute des messages crypts ne rsoudra pas tous les problmes , dautant quelinterdiction de la cryptographie sest avre irralisable sur les plans juridique et techniquedans dautres pays 39.

Ici, le ministre cest montr prudent. Au regard des enjeux conomiques, auxquels nuirait

linterdiction de tous procds de cryptage, et en pratique, cette interdiction est peu raliste sauf

si elle est suivis au niveau mondial. tant donn que linternet est un phnomne international,

sans une certaine cohrence entre les politiques nationales aucun rsultat tangible nest

ralisable. De plus, des arrts permettant daccder des informations touchant

essentiellement des liberts individuelles seraient contraire la constitution belge. Tout ceci

pourrait expliquer linterprtation de cette loi, selon laquelle elle ne sapplique pas aux

logiciels.

Mais, mme si lide dune prohibition totale de la cryptologie est exclue (pour des

raisons pratiques et juridiques), la rglementation de son utilisation reste une faon dviter des

abus ou au moins de les minimiser.

Pour cela, diverses propositions furent lances dont une pouvant apporter une solution

satisfaisante.

Parmi les propositions avances par les parlementaires, une envisageait la suppression

des articles posant problmes, en y substituant un nouveau rgime. Celle-ci adoptait lide

dune accessibilit maximale aux cls de cryptage. Mme Bribosia ( lorigine de cette

proposition) proposait de complter les dispositions du code dinstruction criminelle Belge, afin

38 Question pose au snat le 9 mai 1996, par Mme Bribosia-Picard (PSC) M. De Clerck, ministre de la justicebelge, http://pgp.netline.be/crytpage/question-complte-bribosia.html

39Ibidem

http://pgp.netline.be/crytpage/question-complte-bribosia.html

26

de prvoir un cadre lgal laccs par les autorits judiciaires aux informations sur le rseau

Internet40. Ce systme ressemblait fortement celui prvu en matire dcoutes tlphoniques,

mais adapt l'internet.

Ainsi, le juge dinstruction pourra obliger toute personne susceptible de laider le faire, dans

la mesure o cette aide est ncessaire pour son investigation. Il est ncessaire quil y ait des

indices srieux dune infraction grave et que les autres moyens dinvestigation ne suffisent pas

la manifestation de la vrit. Bien videmment, laide ne pourra tre demande et ordonne

qu lgard des messages envoys ou par des personnes souponnes, sur la base dindices

prcis, davoir commis linfraction, et lgard des messages envoys ou par des personnes

prsumes, sur la base de faits prcis, tre en communication rgulire avec un suspect.

Toute personne susceptible de laider sera donc cite en justice et sera tenue de

comparatre, dfaut de quoi elle se verra infliger une amende.

Les conditions du dcryptage seront trs strictes ; le juge ne pourra en faire usage que pour

procder au dcryptage des messages faisant lobjet de linstruction. Son mandat, cest--dire

son accs un site, ne sera valable que pour une priode dtermine qui ne pourra jamais

dpasser six mois. La conservation des messages ne pourra se faire que sous les conditions trs

strictes de larticle 90septies du Code dinstruction criminelle et le juge sera oblig de dtruire

la cl de cryptage une fois la priode de surveillance passe.

Dans lhypothse o la surveillance concerne des personnes ayant la qualit de mdecin

ou davocat, le respect du secret professionnel devra tre garanti. Dautre part, le btonnier ou

le reprsentant de lordre des Mdecins devra en tre averti. (Articles 91septies et 91octies)

Les sanctions qui toucheront les personnes refusant de cooprer seront des peines pnales

svres : emprisonnement dun cinq ans ou amende de 100 5.000 FB41.

40BONAVENTURE Olivier, Question pose par Mme Bribosia-Picard (PSC) M De Clerck, Ministre de laJustice, question pose au snat le 9 mai 1996, http://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.html

41 Au regard des peines demprisonnement qui sont galement prvues dans cet article, le montant des amendespeut paratre drisoire mais il faut savoir que les montants des amendes pnales en droit belge doivent tre majorsde 1990 dcimes, montant prvu par une loi du 5 mars 1952, modifie la dernire fois par une loi du 24 dcembre1993. En ralit donc, les peines varient dun montant denviron 20.000 FB 1.000.000 FB

http://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.htmlhttp://pgp.netline.be/cryptage/proposition-Bribosia-100696-bribosia.html

27

Ainsi, la proposition de Mme Bribosia semblait une alternative srieuse mme si elle ne

prvoyait pas le cas dune fuite dinformation au niveau de ltat ou encore si le nom de la

personne susceptible daider le juge dinstruction tait lui-mme crypt. Mais cette proposition

nest toujours pas vote, et on peut supposer que la Belgique attend de consulter la position

europenne en la matire afin daligner ses textes sur celle-ci. Dans ce cas, il est fort probable

que la future rglementation belge sur la cryptographie sera certainement plus librale.

La rglementation franaise :

Depuis un dcret du 18 avril 1939, une prohibition de principe de la cryptographie tait

dicte. Mais, il prvoyait galement des possibilits dobtenir des drogations administratives

ponctuelles42.

Face lapparition et au dveloppement de l'internet, cette lgislation s'est rvle

insuffisante (surtout au vu de la lourdeur administrative du rgime et de laccroissement de la

demande prive en produit de scurit). Aussi, une loi du 29 dcembre 199043, est venu

simplifier et largir les procdures antrieures.

Mme si cette loi a t dicte dans le but de simplifier la procdure, larticle 28.I de cette

mme loi soumet lutilisation de toutes techniques de chiffrement des conditions trs

prcises : toutes utilisations, fournitures et exportations dun moyen de cryptographie devaient

tre prcdes de lobtention dune autorisation pralable, hormis certains cas prcis o une

dclaration pralable tait exige. Ces principes taient tellement stricts que la loi rservait ces

techniques aux militaires, policiers et dans une certaine limite aux banquiers. Le simple

citoyen, luniversit ou la petite entreprise taient exclus des utilisateurs potentiels, car pour

chaque utilisation de procd de cryptage, il tait ncessaire de passer par une procdure

administrative aussi rbarbative que dissuasive.

42MEILLAN Eric, le contrle juridique de la cryptographie, Droit de linformatique & des tlcoms, 1993/1,pp78 et s.

43BORTMEYER Stphane, LUtilisation du chiffrement en France, http://web.cnam.fr/Network/Crypto/(dcembre 1996); Loi 90-1170 du 29 dcembre 1990, Journal Officiel du 30 dcembre 1990 ; loi modifie par laloi 91-648 du 11 juillet 1991, Journal Officiel du 13.7.91

http://web.cnam.fr/Network/Crypto/

28

Larticle 28 de cette loi dictait que les moyens ou prestations de cryptographie ayant

pour but dtre fournis ou utiliss par des particuliers, utiliss par des banques ou exports

ltranger taient soumis une dclaration pralable ou une autorisation pralable :

- La dclaration pralable tait requise quand le moyen ou la prestation de cryptage

navait pour objet que dauthentifier une communication ou assurer lintgrit du message

transmis (exemple du code secret bancaire).

- Lautorisation pralable, du Premier ministre, tait ncessaire dans les autres cas.

Cest dire pour tout ce qui sort du champ dapplication de lalina premier de larticle 28 de la

loi du 29 dcembre 199044. (Exemple de particulier qui souhaite crypter ses messages.).

Mais certains outils de cryptage navaient pas besoin de dclaration ou dautorisation

pralable pour tre mis en circulation. Ainsi les cartes microprocesseur ne permettant pas le

chiffrement par elles-mmes taient totalement libres dusage. De mme pour les techniques

conues spcialement pour les logiciels qui ne permettent pas le chiffrement. Ils n'taient pas

considrs comme des moyens de cryptologie car, dans ces cas le codage nest connu que par le

fabricant (la cryptologie suppose une codification tenant lieu de convention secrte). Enfin, en

raison du caractre non rtroactif de la loi de 1990, les moyens qui taient permis, par

lintermdiaire dautorisations dlivres avant la publication de la loi taient dispenses dune

autorisation pralable. Elles conservaient leurs effets jusqu' lexpiration de leurs termes prvus

initialement.

A linverse, dautres outils de cryptographie ne pouvaient bnficier de ce rgime parce

quils taient interdits ou soumis dautres rglementations. Ainsi, aucune autorisation ntait

accorde pour un usage destin dissimuler la teneur des communications obtenues partir des

installations radiolectriques libres ou amateurs et des postes metteurs rcepteurs fonctionnant

sur des canaux banaliss (article 11 du dcret 92-135845).

44Loi n 90-1170, Journal Officiel de la Rpublique franaise, 30 dcembre 1990, p16439,http://www.urec.fr :80/Ftp/securite/Lois.France/90.12.30.crypto.txt

45 Dcret franais n92-1358 du 28 dcembre 1992, JO du 30 dcembre 1990

http://www.urec.fr :80/Ftp/securite/Lois.France/90.12.30.crypto.txt

29

De plus, lexportation de matriel de cryptographie pouvait parfois tre rgie par un

systme autre que celui de la loi de 1990. Les moyens de cryptographie qui taient

spcialement conus ou modifis pour permettre ou faciliter lutilisation ou la mise en uvres

des armes relevaient du rgime visant le matriel de guerre, armes et munitions, prvu par les

articles 12 et 13 du dcret-loi du 18 avril 193946.

Enfin, un rgime particulier tait dict pour les exportations des biens pouvant avoir une

utilisation civile et militaire (dit biens double usage). La loi du 31 dcembre 199247 a, dans

son article 2, trait du transfert de produits et technologie double usage au sein de la CEE48.

Il y tait prcis que ces produits et technologies seraient soumis une autorisation pralable et

devraient toujours tre prsents aux douanes avant leurs expditions (article 2). Ici, le but

recherch tait de maintenir un contrle intrieur qui pouvait tre ventuellement assouplis49.

Il existait donc trois rgimes distincts dexportation des moyens de cryptologie sous

lempire de la loi de 1990 (dclaration pralable, autorisation pralable et autorisation

dexportation de matriel de guerre).

Sous cette loi de 1990, deux institutions taient comptentes: la DISSI (Dlgation

Interministrielle pour la Scurit des Systmes dInformation) et le SCSSI (Service Central de

la Scurit des Systmes dInformations).

46Dcret toujours en vigueur ; WARUSFEL Bertrand, exportation de cryptologie : des rgimes juridiquesdifficiles concilier, Droit de lInformatique & des Tlcoms, 1993/1, pp.72 74 ; Article 2, 4d du dcret 95-598 du 6 mai 1995

47 loi n92-1477 du 31 dcembre 1992 relative aux produits soumis certaines restrictions de circulation et lacomplmentarit entre les services de police, de gendarmerie, et de douane, publie au journal officiel le 05janvier 1993

48 Voir galement les textes : Dcret 95-613 du 5 mai 1995 relatif au contrle lexportation de biens doubleusage, JO du 7 mai 1995, page 7547 ; Arrt du 5 mai 1995 relatif au contrle lexportation vers les pays tiers etau transfert vers les tats membres de la Communaut europenne de biens double usage, Journal officiel du 7mai 1995, page 7561 ; Arrt du 5 mai 1995 dfinissant la licence gnrale de G.502 dexportation des moyens decryptologie et fixant les modalits dtablissement et dutilisation de cette licence, JO du 7 mai 1995, page 7578

49 WARUSFEL, Bertrand, contrle des exportations de technologie double usage : le droit franais ragit faceau march unique, in Droit de lInformatique & des Tlcoms, 1993/2, p83 et s.

30

- La DISSI fut cre par dcret le 3 mars 1986 et supprime en fvrier 1996. Elle fut

remplace par le SGDN (Secrtariat Gnral la Dfense Nationale50) dans ses

attributions. Elle tait comptente dans le domaine de la scurit des communications,

de la protection contre les rayonnements compromettant et la scurit logique (surtout

contre les intrusions). Ses fonctions taient la mise en uvre de la politique dfinie

par ltat, proposer des mesures dintrt gnrales et arbitrer les ventuels litiges en

la matire51.

- Le SCSSI tait le seul interlocuteur pour la procdure de demande dautorisation

pralable ou celle de la dclaration. Il apprciait le niveau de scurit des systmes,

valuait les procds cryptologiques et les autres procds (TEMPEST), faisait des

audits de scurit, formait des experts et entretenait des relations avec les industriels

concerns. En matire de cryptologie son rle fondamental tait surtout son

valuation de la teneur des procds de cryptographie52. Pour cela, le dclarant ou

demandeur devait prendre toutes les dispositions ncessaires afin que le SCSSI

puisse vrifier la concordance entre le dossier technique fourni est lobjet de la

dclaration ou de la demande.

En fonction de ce dossier et de ses annexes, le SCSSI dcidait davaliser ou non le

moyen objet de la demande. Mais les critres dacceptation ou de refus n'taient pas publics, ce

qui pouvait aboutir des refus abusifs de la part du SCSSI. Surtout quil semblerait que la

politique du SCSSI tait de nautoriser que des systmes de chiffrement peu fiables, afin

quune personne disposant de moyens importants puisse casser ce code et dchiffrer les

messages.

50 Le secrtariat du dpartement ministriel de la Dfense, dpendant directement du Premier ministre et duministre qui a la Dfense dans ses attributions

51MALHEY Bruno, Lgislation sur la cryptographie, http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt

52 article 14 du dcret du 28.12.1992

http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt

31

Quel que soit lobjet de la demande (dclaration ou demande), le dbut de la procdure

tait la mme. Dans les deux cas (articles 1 3 ou 4 9 du dcret 92-1358 du 28 dcembre

1992) un dossier tait dpos au SCSSI qui en dlivrait rcpiss. Ce dossier tait divis en

deux parties, une administrative et une technique. Toutes deux devaient tre fournies en quatre

exemplaires selon une forme et un contenu fix par un arrt du 28.12.1992 :

- La partie technique devait indiquer les objectifs de scurit et dcrire en dtails les

fonctions et les mcanismes de scurit.

- La partie administrative permettait de s'assurer de lidentit du dclarant ou du

demandeur.

la vue de ce dossier le SCSSI pouvait demander des informations complmentaires

pendant toute la procdure. Si tel tait le cas, le dclarant ou le demandeur tait tenu de

cooprer avec le SCSSI afin que celui-ci puisse vrifier que le moyen ou la prestation de

cryptographie tait bien conforme au dossier fourni (article 14 du dcret du 28 dcembre 1992).

La suite de la procdure diffrait selon la demande.

Pour le rgime de la dclaration obligatoire53, il existait trois types de dclarations

diffrentes selon que le but recherch tait lutilisation, lexportation ou la fourniture de

systme dencryption.

- En premier lieu, la dclaration de fourniture devait tre effectue une seule fois, un

mois avant la premire livraison du systme.

- Ensuite, la dclaration dutilisation devait tre effectuer par lutilisateur au moins un

mois avant la premire utilisation (article 2 alina 2). Mais un rgime de dclaration

simplifi a t institu par larticle 1er, alina 3 :

La dclaration de fourniture peut tre accompagne dune dclaration dutilisation gnrale54, quiprcise le domaine dutilisation prvu du moyen ou de la prestation ainsi que les ventuellescatgories dutilisateurs auxquelles le moyen ou la prestation est destine.

53Titre Ier du dcret 92-1358

32

Dans ce cas, la dclaration dutilisation gnrale dispensait lutilisateur dune

nouvelle dclaration.

- Enfin, la dclaration dexportation requerrait le dpt dun dossier de dclaration de

fourniture en vue dexportation, un mois au minimum avant la premire prestation.

Une copie du rcpiss de cette dclaration devait tre prsente lors de chaque

exportation, ladministration des douanes (article3). Pour certains produits, toute

dclaration de fourniture tenait lieu de dclaration dexportation temporaire dun

chantillon. Donc ils n'taient pas soumis cette procdure, de mme pour la

dclaration concernant un usage strictement personnel (article 13). En effet, ce rgime

drogatoire, sexpliquait par la ncessit pour lutilisateur de pouvoir voyager hors de

ses frontires avec son ordinateur personnel et de continuer lutiliser.

Pour le rgime de lautorisation pralable 55, il existait aussi une triple distinction suivant

qu'il tait recherch une utilisation, une exportation une fourniture de moyens de cryptage.

Ainsi, pour une autorisation de fourniture de moyens de cryptographie une

demande tait dpose auprs du SCSSI. Cette demande devait prciser la dure qui ne pouvait

excder cinq ans (article 4 du dcret du 28.12.1992). De plus la prestation fournie devait

satisfaire diverses obligations56 :

- Conformit aux normes nationales des interfaces avec les utilisateurs.

- Scurit de la gestion de la prestation.

- Conservation des lments secrets pendant 10 jours ouvrables pour une

communication prcise et ponctuelle, et 4 mois dans les autres cas.

- Amnagement de possibilits techniques pour faciliter les investigations judiciaires.

- Dclaration aux autorits de police judiciaire des accs illicites au systme de

gestion ou des atteintes sa scurit. Et dans ce dernier cas, le fournisseur devrait

aussi informer le SCSSI.

54 On entend par dclaration gnrale toute dclaration qui est formule par un fournisseur, a contrario de ladclaration individuelle, manant d'un particulier

55Titre II du dcret 92-1358 du 28 dcembre 1992

56Arrt du 28.12.92

33

Dans le cas de lautorisation dutilisation, la demande tait dpose auprs du

SCSSI mais ici, la dure tait de 10 ans au maximum (article 6 alina 1et 4). La demande

pouvait tre gnrale ou personnelle.

- Quand elle tait gnrale, elle tait formule par le titulaire de lutilisation de fourniture

(rgime simplifi). Ce systme constituait une simplification pour les futurs utilisateurs

car ils taient dispenss du dpt dune demande dautorisation. Mais uniquement s'ils

remplissaient les conditions de lautorisation dutilisation gnrale. Par exemple, une fois

lautorisation obtenue, le banquier, auquel le fournisseur avait vendu le produit, navait

plus besoin de redemander une autorisation pour utiliser le produit.

- Quand lautorisation tait individuelle, elle tait demande par lutilisateur. Ctait une

situation exceptionnelle pour le cas dune absence dautorisation gnrale. De cette faon,

la fabrication ou lexportation ne valait que pour lutilisateur demandeur. Cette

autorisation pouvait tre assortie de conditions pour rserver lutilisation de ces moyens

ou prestations certaines catgories dutilisateurs (tlphone de voiture, produits

bancaires comme des distributeurs de billets automatiques). Mais cette autorisation

pouvait galement tre retire, de faon temporaire ou dfinitive, en cas de fausse

dclaration, faux renseignements, de modifications, de non-respect des rglementations

ou obligations prescrites par lautorisation (article 8 du dcret du 28.12.1992).

Enfin, une autorisation dexportation pouvait tre attribue. Dans ce cas, le dossier

de demande devait, en plus de la partie technique et administrative, comporter une demande de

licence dexportation dpose auprs de ladministration douanire (SE.TI.C.E). Cette licence

n'tait dlivre quaprs accord du Premier ministre.

Les sanctions taient diffrentes selon que lon contrevenait au rgime de dclaration ou

dautorisation. Elles taient constitues d'amendes de quatrime ou cinquime classe et de

peine d'emprisonnement pouvant aller jusqu' 3 mois.

Enfin, des peines complmentaires ventuelles pouvaient tre possibles (confiscation des

moyens de cryptologie, interdiction de solliciter une nouvelle autorisation).

34

Au travers toutes ces procdures nous pouvons remarquer que la rglementation franaise

tait extrmement restrictive en ce qui concernait la cryptographie et que tous manquements

ces prescriptions taient svrement sanctionns (dcret 92-1358 du 28 dcembre 1992).

La rglementation communautaire :

La cryptologie fut rglement au niveau europen sous trois aspects diffrents. Elle fut

rglemente comme outil pour la scurit des systmes dinformations, comme instrument de la

criminalit informatique et comme bien double usage (civil et militaire).

- Laspect scurit des systme dinformations a t abord par le Conseil de lunion

europenne dans sa dcision adopt le 31 mars 1992 57. Cette dcision comprenait llaboration

de stratgies globales pour la scurit des systmes dinformation (plan daction) et la cration

dun groupe de hauts fonctionnaires (SOG-IS), dont le rle tait de conseiller la Commission

sur les actions entreprendre. Le but de cette dcision tait

la mise au point de stratgies permettant linformation de circuler librement lintrieur dumarch unique, tout en assurant la scurit de lutilisation des systmes dinformation danslensemble de la Communaut 58.

Par ce biais, le but tait de promouvoir une interoprabilit des systmes ainsi que rduire

les barrires existantes et viter lapparition de nouvelles entraves entre les tats membres et

les autres pays.

Avec laide du SOG-IS, la commission a pu mettre en place un plan daction cohrent qui

sest traduit par la publication de deux livres verts59. Au travers de ces documents, il apparat

que le but recherch est la protection adquate des informations et des personnes physiques et

non une volont de rglementer la cryptographie ou de rduire son application. Cette vision se

trouve conforte par la directive du 24 octobre 1995 relative la protection des personnes

57Dcision n 92/242/CEE en matire de scurit des systmes dinformations, JO L 123, 8 mai 1992, p19

58Dcision du Conseil du 31 mars 1992, JOCE 92/242/CEE

59 the Green Book on the Security of Information Systems (18 octobre 1993) et, the Green Paper on LegalProtection for Encrypted Services in the Single Market, (le 6 mars 1996) : http://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txt .

http://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txthttp://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txt

35

physiques lgard du traitement des donnes caractre personnel et la libre circulation de

ces donnes60. En effet, le but est la protection des personnes par la cryptographie, et par-l

mme permettre la libre circulation des donnes concernes par cette directive.

Mais afin de limiter lutilisation des fins criminelles de la cryptologie, un compromis

est recherch et il semble se diriger vers la mise en place dun rseau de tiers de confiance, de

certification charge de la gestion des cls, de la certification, de la constitution de

rpertoire,. 61. Cependant des divergences sont apparus au moment de dterminer qui seront

ces tiers de confiance. LAllemagne proposait un centralized escrow key from Brussel alors

que la France et le Royaume-Uni voyaient plutt des tiers privs. Choix qui a t privilgi par

la France62.

- Laspect criminalit informatique au travers de la cryptologie a t lobjet de la

recommandation du 11 septembre 1995 concernant les problmes de procdure criminelle dans

le domaine de la technologie et de linformation63. Ce texte recommande particulirement en

matire de cryptographie :

Measures should be considered to minimise the negative effects of the use of cryptography on theinvestigation of criminal offenses, whitout affecting its legitimate use more than is striclynecessary. 64

Au sein de cette recommandation il ny a aucune prcision sur les mesures ou sur

lquilibre quil faut trouver entre scurit publique et protection des individus. Selon le

Communication Weeks International , il faut interprter ce texte comme interdisant les

60Directive 95/46/Ce du Parlement europen et du Conseil du 24 octobre 1995 relative la protection despersonnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de cesdonnes, http://www2.echo.lu/legal/fr/dataprot/directiv/direct.html

61KOOPS, Bert-Jaap, Crypto Law Survey, http://cwis.kub.nl/~frw/people/koops/lawsurvy-html

62 voir supra

63Recommandation n R (95) 13 of the Commitee of Ministers to Member States concerning Problems of criminalProcedure Law connected with Infornation Technology,http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html

64Appendix to Recommandation n R (95)13, point V

http://www2.echo.lu/legal/fr/dataprot/directiv/direct.htmlhttp://cwis.kub.nl/~frw/people/koops/lawsurvy-htmlhttp://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html

36

moyens de cryptage trop performants, cest dire, ceux qui ne permettraient pas au

gouvernement daccder aux cls de cryptage65.

- Enfin, une rglementation sur la cryptographie envisage en tant que bien double

usage (cest dire comme une arme de guerre), dcoule de deux textes communautaires. Ces

textes rglementent lexportation de biens double usage. Il s'agit du rglement66 et de la

dcision du 19 dcembre 199467.

Le premier texte institue un rgime communautaire de contrle des exportations de biens

double usage et le second est relatif laction commune concernant le contrle des exportations

de biens double usage.

Le rglement dfinis les biens double usage comme :

les biens susceptibles davoir une utilisation tant civile que militaire 68

Le principe est que lexportation des biens double usage figurant sur l'annexe I de la

dcision du 19 dcembre 1994, est soumise autorisation individuelle. Celle-ci est octroye par

les autorits comptentes de ltat membre o est tabli l'exportateur (article 3 et 6). Mais les

tats membres peuvent accorder le bnfice de formalits simplifies dans diffrents cas :

- Une autorisation gnrale pour un bien ou un groupe de biens double usage.- Une autorisation globale un exportateur spcifique pour un bien ou un groupe de biens double usage qui peut tre valable pour les exportations destination dun ou de plusieurspays dtermins.- Des procdures simplifies dans le cas dune exigence dautorisation de la part dun tatmembre au titre de larticle 5.

A contrario, un tat membre pourrait interdire ou soumettre autorisation lexportation

des biens double usage qui ne figure pas sur la liste de lannexe I (article 5).

65Euro-clipper chip scheme proposed in Communications Week International, dat du 18 septembre 1995

66Rglement du conseil n3381/94 du 19 dcembre 1994, JO CE L367/1 du 31 dcembre 1994

67Dcision du conseil n94/942/PESC du 19 dcembre 1994, JO CE L 367 du 31 dcembre 1994 et notamment sesannexes I (pages 109 111) et IV (pages 156 et 157)

68Article 2, a) du rglement (ce) n 3381/94 du Conseil du 19 dcembre 1994, JOCE N L 367/1

37

De plus, pour garantir une application correcte de ce dernier, le rglement prvoit des

procdures douanires particulires lexportation de ces biens (articles 10 et 11) et des

mesures de contrles assez strictes (articles 14 et 15).

Enfin, un groupe de coordination est institu (compos dun reprsentant de chaque tat

et prsid par un membre de la Commission) afin dexaminer toute question concernant

lapplication du rglement ainsi que les mesures prendre pour informer les exportateurs de

leurs obligations (article 16).

Malgr tout, certains outils sont exclus du contrle communautaire par lannexe IV. Il

s'agit de tous les procds de cryptage utiliss dans des machines servant des transactions

bancaires ou montaires (distribution de billets automatiques.)69. De mme sont exclus les

radiotlphones portatifs ou mobiles, les quipements de contrle daccs et les quipements

dauthentification des donnes70.

tant donn que les instances europennes sont des institutions supranationales, le but

recherch au travers de la rglementation de la cryptographie, nest pas le mme que pour ses

tats membres. En effet, mme si ces instances considrent encore la cryptologie comme un

bien double usage, elles ne perdent pas de vue les liberts prsentes dans le trait de Rome ou

de Schengen notamment la libert de circulation (surtout en ce qui concerne les donnes). De

plus, mme si les instances europennes ne ngligent pas les dangers de la cryptologie, elles

noublient pas non plus limportance de lindividu et de ses droits au sein de lEurope.

Dailleurs en toute logique les rglementations franaises et belges devront saligner sur les

prescriptions europennes.

B- Les normes Nord-amricaines

Les normes Nord-amricaines ne sont pas uniformes dans leurs apprciations de la

cryptologie. Nous verrons principalement les tats-Unis et le Canada. Cela dit, et pour voquer

le cas du Mexique, cest linstitut du commerce extrieur qui rgit les importations et

69Annexe IV, JOCE, N L 367/157

70 Ib.

38

exportations mexicaine. Or, il nexiste actuellement aucun contrle sur limportation et

lexportation des technologie de cryptage au Mexique.71

Les tats-Unis

En 1996, la responsabilit de lexportation de la cryptographie fut transfre du

Dpartement dtat au Dpartement de commerce. Cela dit la NSA (National Sec

Documents

Droit de la cryptographie: une approche pour la …strategique.free.fr/analyses/cryptographie.pdf · Section du CNU : 01 Droit privé et sciences criminelles. ... laissant guider