Droit et cryptologie : une histoire de codes (1/2)
Les moyens de cryptologie et leur utilisation ont historiquement une place à part, tant sur le plan juridique que politique, qui tient à la raison d’Etat. Inutile d’être un ardent lecteur de Sun Tzu pour savoir que le secret est au cœur de l’art de la guerre. Les dernières révélations sur la NSA qui saurait déjouer le chiffrement des télécommunications (y compris HTTPS et SSL ?!) le montrent bien. En outre, rien ne doit pouvoir échapper à l’Etat qui veut être en mesure, en vertu de ses pouvoirs régaliens, d’avoir accès à la compréhension de tout échange passant par son territoire.
Je ne reviendrai pas sur l’époque romaine ou sur Enigma pour plutôt privilégier une approche juridico-historique nationale et quasi-contemporaine.
Du cassage de code juridique
On entend et on lit souvent que l’utilisation de moyens de cryptage en France était prohibée jusqu’à la loi sur la confiance en l’économie numérique de 2004, étant considérés comme des matériels de guerre. Toutefois, une première recherche google ne donne que des résultats non sourcés ou insuffisamment. Vraisemblablement les moyens de cryptage auraient été classés comme matériels de guerre par le décret-loi du 18 avril 1939.
Ce texte devrait pourtant être facile à trouver. Toutefois, il a fait l’objet d’une abrogation et peut-être de modifications. Cela implique qu’il y a lieu d’être prudent quant à au caractère originelle du texte par exemple disponible sur Legifrance.
L’idéal serait un fac-similé de l’édition du Journal Officiel. Pourtant, alors qu’il est disponible pour de nombreux textes, il ne l’est pas pour celui-ci, la numérisation s’arrêtant à 1947.
Par ailleurs, la version d’origine n’est pas disponible non plus en version texte sur Legifrance (qui bugge d‘ailleurs beaucoup en ce moment).
Ma recherche sur le droit de la cryptographie s’annoncerait-elle opaque ?
Faute de legifrance, on mange des google… Décret du 18 avril 1939 filetype :pdf…. and then Société de Tir de la Miotte.
Excellente idée de mettre le décret sur leur site. Qu’ils en soient remerciés ! Cliquez sur le lien et dites moi si vous voyez une quelconque référence au cod*, cach*, crypt*, chiffr*, trav*, dégui*, transfo*, substit*. Je n’en ai pas trouvées, y compris en allant au-delà du ctrl+f, et en survolant le texte. Ca parle armes à feu, armes blanches, canons, importation, exportation, autorisation, etc. Mais pas d’enigma !
Comme je n’ai pas des heures à consacrer à cette recherche historique, je me promets d’y revenir.
Dans un premier temps, restons-en donc à une histoire plus contemporaine.
Définition légale des prestations de cryptologie
A la connaissance, la première définition donné par le législateur français de la cryptologie se trouve dans la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications.
Cette dernière précisait notamment que :
« On entend par prestations de cryptologie toutes prestations visant à transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet. » (Alinéa 1er)
J’invite donc vivement les lecteurs à lire cet article que je n’ai pas envie de reproduire ci-dessous, et encore moins de paraphraser.
Pour les plus fainéants d’entre vous, et certainement les moins intéressés, sachez que l’utilisation, l’offre ou l’exportation de prestations de cryptologie était réglementée.
Le non respect de ses dispositions était sanctionné pénalement.
La prise en considération de la finalité du dispositif de cryptologie
Par ailleurs, on constate dès cette loi que le législateur tient compte de la finalité du moyen de cryptage selon que celui-ci ne peut avoir ou non d’autre objet que d’authentifier une communication ou d’assurer l’intégrité du message transmis.
En d’autres termes, si le système de cryptage employé permettait aussi de garantir le caractère secret du message, son utilisation, son offre, et son exportation étaient soumis à autorisation. Si ce n’était pas le cas, une simple déclaration préalable suffisait.
Plusieurs modifications ont depuis été apportées à ces dispositions.
Principalement, la loi du 27 juillet 1996 est venue assouplir la réglementation (tout en aggravant un peu les peines prévues).
Deviennent libres les prestations de cryptologie qui étaient auparavant soumises à déclaration préalable. Cette loi fait également apparaître le tiers de confiance, rôle qui ne peut être tenu que par des organismes agréés mais auxquels il peut être librement fait appel pour établir des communications sécurisées.
En tout état de cause, la réglementation relative au cryptage est prise au visa de la préservation des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat.
Préservation des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat
La loi dispose toutefois également qu’un décret devra prévoir :
« c) La dispense de toute formalité préalable pour les opérations portant sur des moyens ou des prestations de cryptologie, dont les caractéristiques techniques ou les conditions d’utilisation sont telles que ces opérations ne sont pas susceptibles de porter atteinte aux intérêts mentionnés au deuxième alinéa ; »
Un décret n° 98-101 est intervenu que là encore je ne reproduirai pas ici.
L’aspect matériel de guerre n’est en outre pas oublié. Ainsi, les demandes d’autorisation d’importation et les demandes d’autorisation d’exportation d’un moyen de cryptologie spécialement conçu ou modifié pour permettre ou faciliter l’utilisation ou la mise en œuvre des arme sont soumis à une procédure prévue par le fameux décret du 18 avril 1939.
Je vous fais grâce de l’influence de l’Union européenne (qui n’était encore à l’époque qu’une Communauté), de la législation de cette dernière sur les biens et technologies à double usage. En fait, le droit de la cryptologie, si on creuse, on en fait une thèse. Mais c’est pour tout pareil. Les pelotes du droit peuvent être déroulées à l’infini dès lors qu’on y appelle la dimension temporelle.
Tout ça n’est je vous le rappelle qu’un bref aperçu historique récent du droit applicable en la matière.
Donc de tout ça tabula rasa.
En effet, la fameuse LCEN par ses articles 29 et suivants a abrogé tout ça et à ce titre, c’est judicieusement que 0x0c vous y a renvoyés.
L’article 29 donne une définition plus large mais relativement similaire à ce que l’on connaissait précédemment.
Légalisez la cryptomania
La Loi le dit ! L’utilisation de moyens de cryptologie est libre. Par contre, pour le reste (exportation, importation, fourniture) l’objet du système de cryptage est toujours pris en considération selon qu’il sert seulement à l’authentification et au contrôle d’intégrité ou qu’il permet également de rendre secrets des échanges.
Cette vieille distinction selon la finalité est donc conservée.
Dans ce dernier cas, l’importation et la fourniture sont soumis à déclaration préalable. Si s’agit d’exporter, c’est une autorisation qui est nécessaire.
En tout cas, out le tiers de confiance agréé puisque le cryptage est légalisé.
La loi distingue également entre la fourniture d’un moyen de cryptologie et celle d’une prestation de cryptologie. Et c’est là que nous raccordons au billet d’0x0c.
L’article 31 prévoit que la fourniture de prestations de cryptologie est soumise à déclaration préalable au Premier Ministre.
Le décret d’application est le décret n° 2007-663. C’est lui qui concrètement vient indiquer – par exemple- les opérations techniques auxquelles le régime de dispense de toute formalité préalable trouve à s’appliquer. Il faut se référer à ses annexes.
Ainsi, selon ma lecture de l’annexe I et de l’article 3-3° dudit décret, celui qui offre une prestation de stockage crypté comme ce fameux SecuCloud, est soumis à déclaration préalable.
Cette dernière n’est pas grand-chose. Seulement un petit dossier et le silence de l’administration. Pour l’exportation, sauf s’il s’agit de moyens listés dans l’annexe I, c’est une autorisation qui est nécessaire.
A savoir : une autorisation, un refus, le silence gardé sur une déclaration, ou le refus de celle-ci sont des actes administratifs faisant grief susceptibles d’être attaqués devant le Tribunal administratif et d’engager ainsi la responsabilité pécuniaire de l’Etat si le magistrat considère l’acte illégal
A noter en outre que si le moyen de cryptage permet de faciliter l’usage d’une arme, la procédure qui s’applique est celle prévue par le code de la défense, articles L 2335-1 et suivants, et ce en application de l’article 2 du décret n° 2007-663 précité. Par exemple, j’imagine, concernant un système de guidage radio crypté d’un quelconque missile, on exporte pas ça sans autorisation vers la Syrie !
Voilà pour la première partie de ce billet. La seconde répondra, ou du moins tentera de le faire, au cas pratique d’0x0c. Il sera question du RGS.
Pour se détendre un peu et ceux qui seront arrivés au bout l’auront bien mérité.
Saviez-vous que l’article 132-79 du code pénal augmente considérablement les peines pour tous les crimes et délits qui seraient commis à l’aide d’un moyen de cryptologie ?
C’est vrai que tuer quelqu’un avec de tels moyens, c’est assez abusé. Normal que ce soit plus sévèrement puni. Les auteurs de ce blog risquent de très gros problèmes si vous mourrez d’ennui.
