Journal La cryptologie (enfin?) encadrée (?) en France

Posté par Olivier Guerrier le 11 juin 2007 à 10:39.

Étiquettes :

juin

2007

Un article sur reseaux-telecoms[1] nous apprend que le décret d'application et l'arrêté à propos des dispositions de la LCEN (Loi (française) pour la Confiance et l'Economie Numérique), concernant le cryptage sont parus.

J'ai du mal a interpréter ces textes, donc je ne vous dirais pas si c'est bien ou mal, j'ai juste une méfiance hypertrophiée ces derniers temps...

Quelques extraits choisis:

La Loi sur la Confiance dans l'Economie Numérique (LCEN) prévoyait [...] un régime déclaratif obligatoire [...] pour tous les procédés de cryptographie autres que [...] la signature électronique. [...] La simple utilisation d'un procédé non-déclaré dans les formes n'est pas sanctionnée par la LCEN. Cependant, l'importation, même sans revente, d'une telle solution l'est par un an d'emprisonnement et 15000 euros d'amende.[1]

C'est quoi importation ? apt-get install cryptsetup, c'est de l'importation ou pas ? Quand je me fais livrer un CD ubuntu, c'est de l'importation ?

Le passage suivant est réservé à ceux ayant pris leur dose d'aspirine préventive:

L'arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent être prévues dans les autorisations de fourniture d'un moyen ou d'une prestation de cryptologie, l'arrêté du 13 mars 1998 définissant le modèle de notification préalable par le fournisseur de l'identité des intermédiaires utilisés pour la fourniture de moyens ou prestations de cryptologie soumis à autorisation, l'arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes, l'arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant recevoir dépôt des conventions secrètes, l'arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en oeuvre des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications et l'arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie sont abrogés.[2]

Bref, si quelqu'un maîtrise le sujet, un résumé m'intéresse au plus haut point.

Et je n'ai pas trouvé le texte du décret sur legifrance. La recherche me donne cette page:
http://www.legifrance.gouv.fr/WAspad/Focus?cid=427492&in(...)
mais il n'y a pas le texte, juste une présentation de 3 lignes.

[1] http://www.reseaux-telecoms.net/actualites/lire-la-cryptolog(...)
[2] http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=PRM(...)

# Pas de réponse, mais un complément de références...

Posté par Ellendhel (site web personnel) le 11 juin 2007 à 10:51. Évalué à 4.

Je ne me risquerai pas à expliquer les textes mais il existe des récapitulatifs qui sont peut-être (?) plus clair sur le site de la sécurité des systèmes d'information du gouvernement :

Serveur Thématique Sécurité des Systèmes d'Information
http://www.ssi.gouv.fr/fr/index.html

Réglementation de la cryptologie
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto

Tableau de synthèse
http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html
# saimal

Posté par Nicolas Schoonbroodt le 11 juin 2007 à 10:59. Évalué à 2.

C'est quoi importation ? apt-get install cryptsetup, c'est de l'importation ou pas ?

Utiliser des miroirs dans d'autres pays*, saimal !

(enfin, sauf s'ils sont plus proche dans le réseau que les miroirs nationaux)
- [^] # Re: saimal
  
  Posté par ThesmallgamerS le 11 juin 2007 à 12:43. Évalué à 1.
  
  A part traceroute (même pas certain qu'il puisse servir a ça), existe t-il un moyen simple de connaître la longueur d'un point A a un point B sur le réseau ?
  
  Merci d'avance.
  - [^] # Re: saimal
    
    Posté par Toto le 11 juin 2007 à 13:21. Évalué à 4.
    
    La 'longueur' d'un point A à un point B sur un réseau n'a pas de sens en tant que tel. En effet, tu peux n'avoir à effectuer qu'un saut entre A et B mais avec une liaison 56k, ou 3 avec une liaison Gbit. De meme avec les latences.
    
    Pour connaitre le nombre de saut, tu as comme tu le cite, traceroute, et les outils equivalent qui vont tenter de passer par du tcp/udp plutot que l'icmp (qui peut etre bloqué).
# Législation et application

Posté par Beretta_Vexee le 11 juin 2007 à 11:07. Évalué à 2.

Dans les faits les législations sur le cryptages n'ont jamais été suivit d'effet, l'état notamment, mais aussi les universités, etc utiliser des cryptages de hauts niveaux quand ceux-ci était encore interdit en France (SSL, etc.).

Donc je ne me fait pas trop de soucis a son sujet.
- [^] # Re: Législation et application
  
  Posté par Thomas DAVID le 11 juin 2007 à 11:20. Évalué à 9.
  
  En même temps, si notre seule consolation est dans le fait que la loi ne sera pas appliquée, on peut à la fois se faire du souci pour nous si jamais elle est suivie d'effet et ensuite sur le rapport qu'entretiennent les Français avec leurs textes législatifs.
- [^] # Re: Législation et application
  
  Posté par psychoslave__ (site web personnel) le 11 juin 2007 à 11:22. Évalué à 9.
  
  Ouais, c'est sur, moi aussi je m'en branle d'être passible de un an d'emprisonnement et 15000 euros d'amende si je protège une partie de ma vie privé.
  
  J'avoue que ce genre de réflexions et autres «si on a rien à se reprocher, on à rien à cacher» me pète sévèrement les burnes. J'invite prestement tout ceux y osent tenir un tel discours à installer des caméras partout chez eux et à nous balancer tout ça en streaming sur le net.
  - [^] # Re: Législation et application
    
    Posté par Beretta_Vexee le 11 juin 2007 à 12:36. Évalué à 3.
    
    Bon avant de s'alarmer, ce décret d'application fixe les détails d'application d'une loi qui est déjà voté, la LCEN.
    
    http://www.ssi.gouv.fr/fr/reglementation/art_29_40_lcen.pdf
    
    Si tu lie cette fameuse loi, ou l'on peut lire que
    
    III. - La fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l'importation d'un moyen de cryptologie
    n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable
    auprès du Premier ministre, sauf dans les cas prévus au b du présent III. Le fournisseur ou la personne procédant au transfert ou à
    l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de
    cryptologie, ainsi que le code source des logiciels utilisés. Un décret en Conseil d'Etat fixe :
    
    b) Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts
    de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, leur fourniture, leur transfert depuis un Etat membre de la
    Communauté européenne ou leur importation peuvent être dispensés de toute formalité préalable.
    
    La liste de ces moyens n'est pas exhaustive mais en gros, tous ce qui est accessible au grand publique sans passer par une société qui bosse dans la défense est dans cette catégorie. Cela va de la téléphonie mobile, au payement par internet en passant par les DRM, la télé par satellite et le Wifi.
    
    Si l'on lie le texte on s'aperçoit bien que la loi, limite les utilisations touchant aux services de cryptographie comme les autorité de certification racine et les utilisations relevant de la sécurité national et que si cela vient d'un pays non membre de l'UE.
    
    Donc non tu ne risque rien a crypter ton DD, au pire si tu participe a des activités illégales ont accusera de dissimulation de preuves, d'entrave a la justice et autre qui sont bien plus lourdement punie si tu refuse de donner ton pass. Voila rassuré ?
    - [^] # Re: Législation et application
      
      Posté par psychoslave__ (site web personnel) le 11 juin 2007 à 14:12. Évalué à 2.
      
      Rassuré, oui, un peu.
- [^] # Re: Législation et application
  
  Posté par Éric (site web personnel) le 11 juin 2007 à 14:48. Évalué à 2.
  
  > quand ceux-ci était encore interdit en France (SSL, etc.).
  
  OpenSSL et GnuPG avaient reçu une autorisation explicite, demandée par je ne sais plus quel organisme ou université proche de l'open source. Un dossier bien fait suffit généralement pour ce qui est légitime et qui n'a rien de militaire.
  - [^] # Re: Législation et application
    
    Posté par Beretta_Vexee le 11 juin 2007 à 15:10. Évalué à 2.
    
    Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas. Avec la LCEN le législateur à été un peu plus malin que d'habitude et n'a pas donner de limite chiffrée et c'est pas plus mal.
    - [^] # Re: Législation et application
      
      Posté par lolop (site web personnel) le 11 juin 2007 à 15:21. Évalué à 1.
      
      Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas.
      Je crois bien que Putty (client ssh sous Windows) avait une version spéciale 'france', avec cette limite... pas sûr que grand monde ait installé la version bridée à la place de la complète.
      Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
    - [^] # Re: Législation et application
      
      Posté par Xavier Teyssier (site web personnel) le 11 juin 2007 à 16:28. Évalué à 3.
      
      Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas
      
      En es tu bien sûr ?
      
      Il me semblait que, justement, la démarche faite par la FSF France permettait l'utilisation de GnuPG et openSSL pour n'importe quelle taille de clef.
      Et que tous autres outils étaient autorisés du moment qu'ils utilisent des clefs inférieures aux tailles sus-cités.
      
      D'ailleurs, les autorisations étaient valable jusqu'au 12 juillet 2007. Il se passe quoi ensuite ?
      
      Voir par là : http://fsffrance.org/dcssi/dcssi.fr.html
      - [^] # Re: Législation et application
        
        Posté par Beretta_Vexee le 11 juin 2007 à 16:56. Évalué à 1.
        
        D'ailleurs, les autorisations étaient valable jusqu'au 12 juillet 2007. Il se passe quoi ensuite ?
        
        Selon la nouvelle LCEN aucune idée, mais je suis prés a parier gros sur "Rien". Il y a de chance pour que des outils de crypto deviennent dangereux pour la sécurités de l'état en vieillissant.
    - [^] # Re: Législation et application
      
      Posté par jcs (site web personnel) le 12 juin 2007 à 09:50. Évalué à 5.
      
      Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas. Avec la LCEN le législateur à été un peu plus malin que d'habitude et n'a pas donner de limite chiffrée et c'est pas plus mal.
      
      En fait la loi n'a jamais donné de longueur de clés. Les tailles étaient fixées par d'autres textes (décrets, règlements...). En outre depuis 1999 l'utilisation des moyens de cryptographie est libre en France, indépendamment de la taille des clés. Je dis bien l'utilisation car la loi différencie plusieurs cas tels que la fourniture, l'importation, l'exportation dans et en dehors de l'UE.
      
      Sur la question de l'utilisation la chose est entendue dans l'article 30 de la LCEN :
      
      L'utilisation des moyens de cryptologie est libre.
      
      Pour les autres cas, se reporter au décret n°2007-663 du 2 mai 2007 qui détaille les régimes de déclaration et d'autorisation.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.