12 septembre 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#120 [technique] chiffrement #2 législation et perspectives

#120 [technique] chiffrement #2 législation et perspectives

[mis à jour le 12 septembre 2017] Vous étiez resté(e) sur votre faim avec la présentation sur les concepts de la cryptographie ? Avant d’attaquer une série de présentations sur le protocole blockchain (avec « Le dernier Troyen » de Valérie Mangin et Thierry Démarez), il est nécessaire de jeter un oeil sur la législation qui encadre la fourniture de moyens ou de services de cryptographie… le droit du chiffrement. Pourquoi le droit français seulement ? Parce que cette législation reste essentiellement nationale, l’Union Européenne n’ayant pas compétence en la matière, bien qu’elle en promeuve officiellement l’usage, comme c’est le cas dans la GDPR 2016/679.
Cette science permettant de rendre un message inintelligible (« chiffrer ») sauf pour celle/celui qui possède la clé secrète (« déchiffrer ») a été longtemps considéré comme l’apanage des militaires et des diplomates (déjà, Jules César et le fameux Bâton de Plutarque, relisez un récent Blake et Mortimer dont c’est le titre…), Pour celles et ceux qui s’en souviennent, jusqu’en 1990, la France considérait juridiquement les solutions de chiffrement comme des armes de guerre (le grand décret-loi de 1937 sur les armes, toujours partiellement en vigueur).

Les trois fonctions du chiffrement

Oui, j’insiste… Il faut repartir des 3 utilisations possibles du chiffrement, car le droit du chiffrement encadre en France la fourniture de moyens ou la prestation de service de crypto autours de ces trois fonctions. C’est en ligne sur ce blog.

Un  droit du chiffrement qui se méfie de la confidentialité

C’est au Gouvernement Jospin que nous devons le droit du chiffrement avec la loi sur la confiance dans l’économie numérique (LCEN) n°2004-575 du 21 juin 2004 qui encadre toujours en 2017 les moyens et les services de cryptographie (ceux qui nous intéressent le plus, ceux qui conçoivent des protocoles de chiffrement). Ceux qui tentent de casser les codes (« décrypter ») font de la cryptanalyse, je vous le rappelle…

Et le principe à retenir est simple : si une prestation de chiffrement est destinée à assurer, même partiellement, une fonction de confidentialité, les codes sources du logiciel permettant cette prestations doivent être remis à l’ANSSI à première demande.
La liberté en réalité concédée aux professionnels concerne les seules prestations de chiffrement à des fins d’authentification ou de contrôle d’intégrité des contenus.
Si le professionnel a respecté ces contraintes légales de déclaration, l’usage des solutions de chiffrement est libre.
Emporté par votre élan vers le droit du chiffrement, vous ne manquerez pas de lire le décret n°2007-663 du 2 mai 2007 ainsi que sa modification par le décret n°2009-834 du 7 juillet 2009 portant création de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information).

Loi Renseignement et droit du chiffrement

Evidemment, dans la loi « Renseignement » de 2015 (modifiée par la loi n°2016-987 du 21 juillet 2016), le Gouvernement Valls n’a pas oublié de donner aux Services spécialisés de renseignement le pouvoir de se faire remettre les « conventions secrètes » utilisées lors des échanges de communications électroniques…

Les sanctions (toutes) pénale autour du chiffrement

C’est l’héritage de l’origine militaire du droit du chiffrement : tout non-respect est sanctionné pénalement (bien que la jurisprudence sur le sujet soit manifestement confidentielle).
Même les crimes et les délits de droit commun voient les peines quasi-doublée en cas d’utilisation de chiffrement.

Doit du chiffrement et impact contractuel

Bref, contractuellement, si votre prestation – au hasard, un service logiciel en mode SaaS avec prestation de chiffrement parce que la GDPR l’impose au titre de l’obligation de sécurité – prévoit de chiffrer AU MOINS A FROID / AU REPOS les data de vos clients, c’est le moment de leur offrir des garanties contractuelles (assez légitimes). Ne cherchez plus, ça devient un standard du business à 9 mois de l’entrée en vigueur de la GDPR. Et les entreprises qui font l’économie (?) de cette technique vont devoir envisager concrètement au moins une pseudonymisation des bases de données qu’ils manipulent.
Que celles et ceux qui ne me croient pas (victimes de la théorie de la peur pour que les Avocats et les cabinets d’audit génèrent des honoraires), attendez le résultat technique de vos audits de compliance GDPR.
On verra bien qui vous l’avait dit.

Les perspectives du droit du chiffrement


Evidemment, dans un état à tradition jacobine comme la France, il faut s’inquiéter de ne pas pouvoir espionner ses citoyens, potentiellement « contre-révolutionnaires« . C’est dans l’ADN de nos politiques depuis toujours pour ce qui est du chiffrement. Le plus grand des ennemis, c’est sûr, c’est le chiffrement, celui qui empêche l’espionnage si facile des réseaux de communications électroniques massivement utilisés par 60 millions de Français.
Alors, si un attentat n’a pu être prédit (donc empêché),c’est parce qu’une brochette d’illuminés meurtriers kamikazes ont utilisé une application disponible gratuitement sur Androïd / iPhone qui permet de chiffrer ses communications.
La faute à qui, tous ces innocents assassinés ? La faute au chiffrement et à lui seul. Evidemment.
Et lorsqu’un camion fauche des innocents dans une ville d’Europe ? Le gouvernement du pays concerné interdit les camions ? Non. Mais le chiffrement, c’est compliqué, ça fait peur. Alors c’est suspect. Chiffrement « à froid », « de bout en bout », « chiffrement applicatif »… c’est bien compliqué (donc suspect). Un des  ennemis traditionnels de James Bond ne s’appelait pas « Le Chiffre » ?
Voila le niveau du débat chez nos politiques. Heureusement, les pro de l’ANSSI savent – eux – de quoi ils parlent. On commence d’ailleurs à médire sur l’ampleur du budget de cette Agence Nationale qui paie bien ses « opérateurs » et provoque une pénurie de cerveaux pour les entreprises.

Les perspectives techniques


Là, quelques slides, vraiment pour info. Il faut alors s’intéresser aux principes du chiffrement quantique. C’est stratégique au niveau mondial, ça c’est certain. La Chine a fait savoir en aout 2016 (il y a un an…) qu’elle savait envoyer un signal composé de photons (un laser ?) depuis une station terrestre vers une autre, via un satellite spatial. Les Etats-Uniens doivent également s’intéresser de près à cette technologie vu le budget du Pentagone. Les Européens, discrets, ont un projet de recherche (civil bien sûr) depuis une dizaine d’années sur le sujet.
Mais je suis déjà à la limite de mes capacités de compréhension sur ce sujet technique. J’ai juste compris que le chiffrement quantique, c’est autre chose que du chiffrement numérique traditionnel…

Le chiffrement #3 la pratique

Jef Mathiot et moi vous préparons quelques slides sur les protocoles hybrides de chiffrement, le système des PKI (et ses déboires récents) avec des explications sur les idées de base du protocole TLS / SSL très utilisé. Bientôt…


Merci encore aux éditions Delcourt, à Lucie Massena et à Sébastien Le Foll pour ce droit d’utiliser les dessins du superbe « Masqué » en 4 volumes de Maître Serge Lehman et Seigneur Stéphane Créty. De la SF créative, puissante et profonde. La marque Delcourt.





 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ