Expertises n° 214 - Cryptologie

Cryptologie

Les textes réglementaires enfin publiés

Enfin, ils sont publiés ! Avec plus d'un an de retard, les décrets d'application des dispositions de la loi du 26 juillet 1996 de réglementation des télécommunications sur la cryptologie sont enfin parus au Journal officiel (25 février 1998) : le premier concerne les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations, le second prévoit les conditions d'agrément des tiers de confiance.

Le premier décret reprend la pyramide de procédures prévue par la loi. Il commence par la dispense de formalité qui concerne les produits ne procurant pas de fonctions de confidentialité, à l'exception de ceux qui utilisent des conventions secrètes gérées par un tiers de confiance.

Ce texte organise ensuite le régime de déclaration préalable qui s'applique à la fourniture, l'importation ou l'exportation d'un moyen ou d'une prestation de cryptologie n'assurant pas de fonctions de confidentialité. Un régime simplifié de déclaration est par ailleurs prévu pour les produits de signature ou de chiffrement des mots de passe dont "l'impossibilité d'assurer des fonctions de confidentialité ne résulte pas d'un simple dispositif de verrouillage".

Autre simplification, le texte prévoit la possibilité de soumettre à déclaration des produits assurant des fonctions de confidentialité qui doivent normalement faire l'objet d'une autorisation, à condition qu'un décret fixe les catégories concernées. "Dans le cadre de cet article, il est d'ores et déjà acquis que les logiciels de chiffrement comportant une clé à 40 bits passeront en régime déclaratif, comme l'a annoncé Lionel Jospin", explique Bertrand Warusfel, conseil en propriété industrielle et spécialiste en réglementation de cryptologie. Est-ce satisfaisant ? Selon lui, "Ce niveau de force est bien sûr insuffisant pour les systèmes gérant des données sensibles mais il convient tout à fait aux opérations courantes et notamment aux transactions en ligne d'un faible montant". Ce seuil pourrait même atteindre les 56 bits d'après Jean-Noël Tronc, conseiller technique auprès de Lionel Jospin, chargé de la technologie et de la société de l'information. Reste le problème de l'interopérabilité entre les produits qui seront utilisés de manière limitée en France et ceux employés à l'étranger de manière non bridée.

Quant à l'utilisation, la fourniture, l'importation ou l'exportation de produits assurant des produits de confidentialité, l'autorisation reste la règle, sauf l'utilisation non opérationnelle, comme les tests, qui est dispensée de formalités.
Un des grands intérêts de ce décret consiste à prévoir des délais : un mois pour les déclarations et quatre mois pour les autorisations, passé ce délai le défaut de notification valant accord. "Il s'agit d'une avancée importante par rapport au régime actuel qui n'en prévoit pas. Aujourd'hui on peut voir en effet des dossiers traîner en longueur. Dans le nouveau système, le fournisseur dispose d'une plus grande sécurité juridique", constate Bertrand Warusfel.

Mais la grande nouveauté, qui est du reste inscrite dans la loi, revient à l'introduction d'un système de liberté de crypter des messages si les conventions secrètes sont gérées par des tiers agréés. Afin de conjuguer la nouvelle liberté de chiffrement avec les nécessités de sécurité publique qui rendent nécessaires le décodage et l'écoute de messages suspects par les autorités judiciaires, le législateur de 1996 a imaginé un régime de liberté à condition que l'utilisateur se serve d'un produit dont les clés sont déposées chez un tiers de confiance.

Un deuxième décret pris le 24 février dernier prévoit désormais les conditions dans lesquelles vont être agréés les organismes gérant des conventions secrètes pour le compte d'autrui. Les candidats doivent respecter un cahier des charges contraignant. "Pour remplir les conditions, l'organisme devra forcément disposer de moyens techniques et humains importants. Et comme cette activité ne sera pas forcément lucrative, surtout au début, les organismes intéressés seront sans doute des prestataires de services qui disposent déjà d'une infrastructure appropriée, tels que les banques ou les SSII orientées sécurité et qui seront intéressées à développer une activité en matière de signature électronique", estime Bertrand Warusfel.

Le décret a par ailleurs prévu des dispositions de transparence destinées à établir un rapport de confiance entre l'utilisateur et l'organisme agréé. Parmi les nouveaux droits de l'utilisateur, peut-on citer la communication du cahier des charges, l'établissement d'un contrat ou l'accès aux clés en cas de perte. On a également voulu rassurer l'utilisateur en exigeant qu'une partie du personnel de l'organisme tiers de confiance soit soumis au secret professionnel. On lui impose également une obligation de sécurité, à l'instar de la loi "Informatique, fichiers et libertés".

A part un décret qui doit fixer les catégories de produits passant en régime déclaratif, les arrêtés viennent d'être publiés (voir p. 91) ; le système est désormais opérationnel. Reste la question de l'existence de produits adaptés. "Il faut maintenant convaincre les fournisseurs de modifier leurs produits afin qu'ils puissent entrer dans ce nouveau cadre", conclut Bertrand Warusfel, qui reste optimiste sur la viabilité du système. Pour lui donner toutes les chances de succès, le gouvernement va organiser une vaste consultation publique des acteurs concernés, à l'automne prochain.

[Retour au sommaire] [Textes des décrets du 24 février 1998]