Journal La cryptologie (enfin?) encadrée (?) en France

Posté par .
Tags : aucun
0
11
juin
2007
Un article sur reseaux-telecoms[1] nous apprend que le décret d'application et l'arrêté à propos des dispositions de la LCEN (Loi (française) pour la Confiance et l'Economie Numérique), concernant le cryptage sont parus.

J'ai du mal a interpréter ces textes, donc je ne vous dirais pas si c'est bien ou mal, j'ai juste une méfiance hypertrophiée ces derniers temps...

Quelques extraits choisis:
La Loi sur la Confiance dans l'Economie Numérique (LCEN) prévoyait [...] un régime déclaratif obligatoire [...] pour tous les procédés de cryptographie autres que [...] la signature électronique. [...] La simple utilisation d'un procédé non-déclaré dans les formes n'est pas sanctionnée par la LCEN. Cependant, l'importation, même sans revente, d'une telle solution l'est par un an d'emprisonnement et 15000 euros d'amende.[1]
C'est quoi importation ? apt-get install cryptsetup, c'est de l'importation ou pas ? Quand je me fais livrer un CD ubuntu, c'est de l'importation ?

Le passage suivant est réservé à ceux ayant pris leur dose d'aspirine préventive:
L'arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent être prévues dans les autorisations de fourniture d'un moyen ou d'une prestation de cryptologie, l'arrêté du 13 mars 1998 définissant le modèle de notification préalable par le fournisseur de l'identité des intermédiaires utilisés pour la fourniture de moyens ou prestations de cryptologie soumis à autorisation, l'arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes, l'arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant recevoir dépôt des conventions secrètes, l'arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en oeuvre des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications et l'arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie sont abrogés.[2]


Bref, si quelqu'un maîtrise le sujet, un résumé m'intéresse au plus haut point.

Et je n'ai pas trouvé le texte du décret sur legifrance. La recherche me donne cette page:
http://www.legifrance.gouv.fr/WAspad/Focus?cid=427492&in(...)
mais il n'y a pas le texte, juste une présentation de 3 lignes.

[1] http://www.reseaux-telecoms.net/actualites/lire-la-cryptolog(...)
[2] http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=PRM(...)
  • # Pas de réponse, mais un complément de références...

    Posté par (page perso) . Évalué à 4.

    Je ne me risquerai pas à expliquer les textes mais il existe des récapitulatifs qui sont peut-être (?) plus clair sur le site de la sécurité des systèmes d'information du gouvernement :

    Serveur Thématique Sécurité des Systèmes d'Information
    http://www.ssi.gouv.fr/fr/index.html

    Réglementation de la cryptologie
    http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto

    Tableau de synthèse
    http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html
  • # saimal

    Posté par . Évalué à 2.

    C'est quoi importation ? apt-get install cryptsetup, c'est de l'importation ou pas ?

    Utiliser des miroirs dans d'autres pays*, saimal !

    (enfin, sauf s'ils sont plus proche dans le réseau que les miroirs nationaux)
    • [^] # Re: saimal

      Posté par . Évalué à 1.

      A part traceroute (même pas certain qu'il puisse servir a ça), existe t-il un moyen simple de connaître la longueur d'un point A a un point B sur le réseau ?

      Merci d'avance.
      • [^] # Re: saimal

        Posté par . Évalué à 4.

        La 'longueur' d'un point A à un point B sur un réseau n'a pas de sens en tant que tel. En effet, tu peux n'avoir à effectuer qu'un saut entre A et B mais avec une liaison 56k, ou 3 avec une liaison Gbit. De meme avec les latences.

        Pour connaitre le nombre de saut, tu as comme tu le cite, traceroute, et les outils equivalent qui vont tenter de passer par du tcp/udp plutot que l'icmp (qui peut etre bloqué).
  • # Législation et application

    Posté par . Évalué à 2.

    Dans les faits les législations sur le cryptages n'ont jamais été suivit d'effet, l'état notamment, mais aussi les universités, etc utiliser des cryptages de hauts niveaux quand ceux-ci était encore interdit en France (SSL, etc.).

    Donc je ne me fait pas trop de soucis a son sujet.
    • [^] # Re: Législation et application

      Posté par . Évalué à 9.

      En même temps, si notre seule consolation est dans le fait que la loi ne sera pas appliquée, on peut à la fois se faire du souci pour nous si jamais elle est suivie d'effet et ensuite sur le rapport qu'entretiennent les Français avec leurs textes législatifs.
    • [^] # Re: Législation et application

      Posté par (page perso) . Évalué à 9.

      Ouais, c'est sur, moi aussi je m'en branle d'être passible de un an d'emprisonnement et 15000 euros d'amende si je protège une partie de ma vie privé.

      J'avoue que ce genre de réflexions et autres «si on a rien à se reprocher, on à rien à cacher» me pète sévèrement les burnes. J'invite prestement tout ceux y osent tenir un tel discours à installer des caméras partout chez eux et à nous balancer tout ça en streaming sur le net.
      • [^] # Re: Législation et application

        Posté par . Évalué à 3.

        Bon avant de s'alarmer, ce décret d'application fixe les détails d'application d'une loi qui est déjà voté, la LCEN.

        http://www.ssi.gouv.fr/fr/reglementation/art_29_40_lcen.pdf

        Si tu lie cette fameuse loi, ou l'on peut lire que


        III. - La fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l'importation d'un moyen de cryptologie
        n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable
        auprès du Premier ministre, sauf dans les cas prévus au b du présent III. Le fournisseur ou la personne procédant au transfert ou à
        l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de
        cryptologie, ainsi que le code source des logiciels utilisés. Un décret en Conseil d'Etat fixe :



        b) Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts
        de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, leur fourniture, leur transfert depuis un Etat membre de la
        Communauté européenne ou leur importation peuvent être dispensés de toute formalité préalable.


        La liste de ces moyens n'est pas exhaustive mais en gros, tous ce qui est accessible au grand publique sans passer par une société qui bosse dans la défense est dans cette catégorie. Cela va de la téléphonie mobile, au payement par internet en passant par les DRM, la télé par satellite et le Wifi.

        Si l'on lie le texte on s'aperçoit bien que la loi, limite les utilisations touchant aux services de cryptographie comme les autorité de certification racine et les utilisations relevant de la sécurité national et que si cela vient d'un pays non membre de l'UE.

        Donc non tu ne risque rien a crypter ton DD, au pire si tu participe a des activités illégales ont accusera de dissimulation de preuves, d'entrave a la justice et autre qui sont bien plus lourdement punie si tu refuse de donner ton pass. Voila rassuré ?
    • [^] # Re: Législation et application

      Posté par (page perso) . Évalué à 2.

      > quand ceux-ci était encore interdit en France (SSL, etc.).

      OpenSSL et GnuPG avaient reçu une autorisation explicite, demandée par je ne sais plus quel organisme ou université proche de l'open source. Un dossier bien fait suffit généralement pour ce qui est légitime et qui n'a rien de militaire.
      • [^] # Re: Législation et application

        Posté par . Évalué à 2.

        Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas. Avec la LCEN le législateur à été un peu plus malin que d'habitude et n'a pas donner de limite chiffrée et c'est pas plus mal.
        • [^] # Re: Législation et application

          Posté par (page perso) . Évalué à 1.

          Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas.
          Je crois bien que Putty (client ssh sous Windows) avait une version spéciale 'france', avec cette limite... pas sûr que grand monde ait installé la version bridée à la place de la complète.

          Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

        • [^] # Re: Législation et application

          Posté par (page perso) . Évalué à 3.

          Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas

          En es tu bien sûr ?

          Il me semblait que, justement, la démarche faite par la FSF France permettait l'utilisation de GnuPG et openSSL pour n'importe quelle taille de clef.
          Et que tous autres outils étaient autorisés du moment qu'ils utilisent des clefs inférieures aux tailles sus-cités.

          D'ailleurs, les autorisations étaient valable jusqu'au 12 juillet 2007. Il se passe quoi ensuite ?

          Voir par là : http://fsffrance.org/dcssi/dcssi.fr.html
          • [^] # Re: Législation et application

            Posté par . Évalué à 1.

            D'ailleurs, les autorisations étaient valable jusqu'au 12 juillet 2007. Il se passe quoi ensuite ?


            Selon la nouvelle LCEN aucune idée, mais je suis prés a parier gros sur "Rien". Il y a de chance pour que des outils de crypto deviennent dangereux pour la sécurités de l'état en vieillissant.
        • [^] # Re: Législation et application

          Posté par (page perso) . Évalué à 5.

          Les outils était peut être légal mais les clés de plus de 40 ou 56bit, ne l'était pas. Avec la LCEN le législateur à été un peu plus malin que d'habitude et n'a pas donner de limite chiffrée et c'est pas plus mal.


          En fait la loi n'a jamais donné de longueur de clés. Les tailles étaient fixées par d'autres textes (décrets, règlements...). En outre depuis 1999 l'utilisation des moyens de cryptographie est libre en France, indépendamment de la taille des clés. Je dis bien l'utilisation car la loi différencie plusieurs cas tels que la fourniture, l'importation, l'exportation dans et en dehors de l'UE.

          Sur la question de l'utilisation la chose est entendue dans l'article 30 de la LCEN :
          L'utilisation des moyens de cryptologie est libre.


          Pour les autres cas, se reporter au décret n°2007-663 du 2 mai 2007 qui détaille les régimes de déclaration et d'autorisation.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.