|
"
Il est vraiment douteux que l'ingéniosité humaine puisse
créer une énigme de ce genre dont l'ingéniosité humaine
ne vienne à bout par une application suffisante. "
Edgar
Allan Poe
|
Introduction
1. Secrets
et cryptage
Très
tôt, les forces militaires romaines ont eu recours à certaines
techniques d’écriture afin d’échanger des messages
codés incompréhensibles pour l’ennemi 1.
En germe depuis l’antiquité, la cryptographie n’a
cessé d’évoluer 2 jusqu’à devenir
une véritable science 3. Concrètement, elle
désigne les "processus de transcription d’une
information intelligible en une information inintelligible par
l’application de conventions secrètes dont l’effet
est réversible." 4 Employée pour
la protection des secrets militaires ou diplomatiques, la cryptographie
est longtemps restée l’apanage des gouvernements. Mais
à l’ère des réseaux numériques, elle est également devenue
un outil indispensable au service des entreprises et des particuliers,
notamment au regard de la protection de la vie privée et du
commerce électronique.
2. Procédés
cryptographiques
De
nombreux procédés cryptographiques permettent aujourd’hui
de protéger et d’authentifier l’échange d’informations.
L’on peut recourir à deux techniques principales.
a.-
la cryptographie dite " à clé secrète "
ou " symétrique " permet de chiffrer
et de déchiffrer des données à l’aide d’une clé
unique. Un problème se pose alors : sans méthode de cryptage
préalable, les acteurs devront recourir à d’autres
moyens pour procéder secrètement à l’échange des clés.
La seconde méthode pallie à cet inconvénient.
b.-
la cryptographie " à clé publique "
ou " asymétrique " propose un système
mettant en scène deux clés. Celle qui permet l’encodage
des données est mise à la disposition du public. La personne,
ou l’entreprise destinataire du document ainsi crypté
est en possession de la seconde clé dite " privée ",
destinée à décoder le contenu des messages.
3.
Le dilemme
L’utilisation
civile de ces procédés n’est pas sans inquiéter les gouvernements.
En favorisant les communications secrètes entre des individus
malintentionnés, elle représente un risque potentiel pour la
sécurité intérieure de l’une ou l’autre nation. Mais,
en voulant garder le contrôle sur les procédés cryptographiques,
les gouvernements se heurtent alors aux principes consacrés
de la protection de la vie privée et de la liberté d’expression.
En outre, la promotion du commerce électronique exige que de
tels procédés puissent être librement utilisés par le secteur
privé.
C’est
à ces enjeux politiques, juridiques et économiques que font
face les nations nord américaines. Dès lors, elles doivent composer
entre les exigences de la sécurité nationale et celles des intérêts
privés (I), sans ignorer les impératifs du commerce électronique
(II).
Au
travers de notre développement, nous analyserons les différences
fondamentales existant entre la politique des Etats-Unis et
celle du Canada en matière de cryptographie.
I.
La sécurité des Etats confrontées aux intérêts privés
La
protection de la sécurité nationale au moyen du développement
des techniques de chiffrement présente un caractère machiavélique.
Développé dans les laboratoire d’IBM, le Data Encryption
Standard (DES) a été adopté par la National Security
Agency (NSA) américaine en 1977. Outil indispensable pour
la sécurité nationale, ce système de cryptographie à clé symétrique
permet d’assurer la confidentialité des communications
civiles et commerciales à l’intérieur du territoire américain
5. Mis à la disposition du publique, le DES
n’a pas résisté à sa diffusion mondiale. Ses principes
algorithmiques ont rapidement été découverts et imités. A la
solde des activités criminelles et terroristes, par un retour
des faits, cette technique menaçait alors la sécurité des Etats-Unis
6. Les autorités américaines n’ignorent
pas l’ambivalence des enjeux politiques de la cryptographie :
satisfaire les intérêts privés tout en assurant la sécurité
nationale et l’intégrité du territoire.
Nous
identifierons ces enjeux au travers des restrictions à l’importation
des moyens de chiffrement (A) et du contrôle de leur utilisation
(B).
A.
Protéger l’intégrité du territoire : la problématique
des restrictions à l’exportation de la cryptographie
Les
politiques de restrictions à l’exportation des moyens de
chiffrements visent à éviter que les systèmes cryptographiques
ne tombent entre les mains des nations étrangères, susceptibles
de les utiliser contre les pays desquels ils émanent. Le contrôle
à l’exportation empêche également qu’une nation étrangère
puisse utiliser un système cryptographique d’origine américaine
pour se prémunir contre une écoute militaire. Dans ce cadre,
les Etats-Unis et le Canada sont signataires de l’Arrangement
de Wassenaar 7.
Au-delà
des enjeux liés à la défense nationale et à l’intégrité
du territoire, les Etats-Unis et le Canada doivent tenir compte
du fait que les entreprises et les particuliers utilisent des
produits cryptographiques puissants, facilement disponibles
sur le marché, destinés à sécuriser et authentifier leurs communications
internationales. La demande existe bel et bien et de nombreux
groupes de pressions insistent pour que les Etats assouplissent
leurs réglementations 8.
Depuis
le 24 décembre 1996, pour une période d’essai prolongée
jusqu'au 30 juin 1998, le Canada autorise l'exportation, vers
un certain nombre de pays, de logiciels de chiffrement personnalisés
de 56 bits. Les produits de signature numérique peuvent être
librement exportés, ainsi que les logiciels à grande diffusion
ou de logiciels du domaine public utilisés à des fins de chiffrement 9.
Remarquons au passage que l’exportation des systèmes de
signature électronique ne représentent pas une véritable menace
pour les états. Enfin, dans sa "politique cadre en matière
de cryptographie aux fins du commerce électronique", le
Canada s’apprête à réévaluer son système réglementaire.
L’éventualité d’une plus grande répression n’est
pas à écarter 10.
Plus
restrictive, la politique des Etats-Unis s’est néanmoins
assouplie depuis le 15 novembre 1996. Portant autrefois sur
des clés de 40 bits, l’interdiction d’exporter des
clés cryptographiques se limite maintenant à celles de plus
de 56 bits, lorsqu’elles sont utilisées pour l’échange
de données confidentielles 11. En outre, un
nouveau projet de loi bien plus libéral a été récemment déposé
par les Sénateurs John Ashcroft et Patrick Leahy 12.
Rejoignant la réglementation canadienne, le E-PRIVACY Act
(S 2067) permettrait la libre exportation des systèmes de cryptage
considérés comme "généralement disponibles" sur le
marché international.
Ainsi,
les états d’Amérique du Nord s’acheminent timidement
vers une libéralisation accrue, répondant ainsi aux intérêts
privés. Rien n’est joué cependant, car il s’agit essentiellement
de politiques expérimentales pouvant aboutir à nouveau vers
plus de restrictions.
L’ambivalence
de la cryptographie se manifeste par ailleurs au niveau du contrôle
interne des produits cryptographiques.
B.
Contrôler l’utilisation des moyens de chiffrement :
l’exemple du "Clipper Chip"
A
maintes reprises, le FBI a été amené à décrypter des messages
émanant de personnes impliquées dans des affaires de meurtre,
de pédophilie, de drogue, ou d’espionnage industriel 13.
Jusqu’alors l’utilisation des procédés cryptographiques
jouissait d’une relative liberté. Mais le constat est clair :
l’utilisation de procédés cryptographiques par la gente
criminelle menace de plus en plus l’efficacité des investigations
policières. D’un autre côté, les entreprises restaient
à l’affût d’un moyen technique efficace pour assurer
la confidentialité de leurs communications 14.
Il incombait donc au gouvernement américain de transiger entre
la demande des entreprises et la sécurité nationale.
En
avril 1993, l’Administration Clinton annonçait un programme
destiné à promouvoir un nouveau procédé de cryptage, l’Escrow
Encryption Standard (ESS), qui n’empêcherait pas l’interception
légale des communications. Il s’agissait d’un système
de chiffrement inscrit sur une puce électronique, le Clipper
Chip, devant être introduite dans la plupart des moyens
de télécommunication. L’ESS utilise une clé algorithmique
de 80 bits permettant la même utilisation qu’une clé symétrique,
tout en laissant la possibilité aux autorités américaines de
déchiffrer comme bon leur semble tout message chiffré à l’aide
du Clipper Chip.
Soulignant
les atteintes à la liberté d’expression 15,
au droit à la vie privée et au droit à la protection contre
les fouilles, perquisitions et saisies abusives 16,
un important mouvement de contestation s’est élevé contre
la loi devant entraîner la standardisation de ce procédé dans
les outils de télécommunication 17. Mais un
nouveau projet de loi pourrait bien réapparaître dans un avenir
proche.
Même
s’il n’existe pas au Canada et au Québec d’obstacles
juridiques déterminants à l’adoption d’une telle loi,
le Comité consultatif sur l’autoroute de l’information
a indiqué qu’il n’était pas opportun d’imiter
la solution proposée par le gouvernement américain 18.
Il
n’en demeure pas moins que, sur réception d'une ordonnance
du tribunal, les entreprises de télécommunications restent tenues
d'aider les autorités canadiennes à déchiffrer les communications
cryptées qui transitent par leurs installations.
Mais
plutôt que de s’attarder sur les aspects sécuritaires,
le Canada a vraisemblablement choisi d’aborder les enjeux
de la cryptographie sous l’angle de la promotion du commerce
électronique.
II.
Les impératifs du commerce électronique
Au cours
de la première partie, nous avons pu constater que pour des
raisons ayant trait à la sécurité nationale, les intérêts individuels
et commerciaux étaient confrontés à ceux des états nord-américains.
Sous cet angle de vue, l’attitude des gouvernements consistait
essentiellement en une tentative de conciliation à coloration
plus ou moins sécuritaire.
Nous
abordons maintenant les enjeux économiques de la cryptographie.
Ceux-ci s’apprécieront au travers de l’analyse des
impératifs du commerce électronique et des politiques envisagées.
Il s’agira notamment d’assurer la sécurité des transactions
commerciales (A), sans quoi l’on ne pourrait promouvoir
efficacement le commerce électronique (B).
A.
Assurer la sécurité des transactions commerciales
La
promotion du commerce électronique est devenu l’un des
enjeux économiques majeurs du XXIème siècle. Encore faut-il
lui assurer un cadre d’évolution adéquat. Valérie Sédallian
exprime cette idée dans la formule suivante : "dans
le contexte d’une société ou les échanges d’informations
numériques se développent, il est indispensable de pouvoir bénéficier
de systèmes sécurisés pour protéger les données à caractère
personnel ou confidentiel, assurer la sécurité des transactions
financières et commerciales, passer des contrats en l’absence
de support papier." 19
Le
développement d’un véritable marché électronique répond
essentiellement à des exigences de sécurité et d’authentification.
La sécurité sera assurée par un système efficace de chiffrement,
et l’authentification par des techniques de signatures
électroniques, requérant également l’utilisation d’un
algorithme cryptographique.
Les
acteurs du commerce électronique souffrent constamment des incertitudes
liées à la dématérialisation des échanges de données. L’écrit
n’existe plus et les moyens de s’assurer de l’identité
de son partenaire commercial sont encore peu fiables. Quand
bien même l’on procèderait à un échange de données cryptées
par le biais d’un système de clés asymétriques, comment
s’assurer que le destinataire des messages soit effectivement
l’utilisateur légitime de la clé privé ?
En
proposant l’établissement d’une infrastructure à clé
publique (ICP), le Livre Blanc du Gouvernement du Canada
envisage de répondre directement à ce genre de problèmes :
"Les retombées économiques et sociales de l’autoroute
de l’information ne pourront jamais se concrétiser pleinement
s’il n’y a pas une infrastructure de sécurité sous-jacent."
Notons qu'avant de s'ouvrir aux acteurs strictement privés,
cette infrastructure n'aura d'utilité qu'à l'intérieure même
des services administratifs.
B.
Promouvoir le commerce électronique
Notons
que le projet Canadien se distingue nettement du projet américain
Capstone. Certes, le Capstone Chip aurait pu s’inscrire
dans le cadre d’une politique favorisant l’émergence
du commerce électronique. Son algorithme EES de 80 bits apparaissait
plus sécurisant que celui du DES. A terme, cette puce électronique
devrait intégrer un algorithme de signature (le DSS), une fonction
de hachage (le SHS), ainsi qu’un protocole d’échange
de clés. Enfin, les puces Capstone présentent le gros
avantage d’être exportables, même si leur clé dépasse les
80 bits, favorisant ainsi la sécurité des échanges transnationaux
entre acteurs privés 20. Mais le Capstone
Chip, tout comme le Clipper Chip, portaient en leur
sein les "oreilles" des autorités américaines. Ils
faisaient par trop valoir leurs origines gouvernementales. Vraisemblablement,
les Etats-Unis devront abandonner leur attitude sécuritaire
qui, loin d’être sécurisante, ne peux satisfaire les acteurs
du commence électronique.
De
nombreuses compagnies américaines proposent aujourd’hui
de nouveaux systèmes de clés commerciales avec "tiers de
confiance". Ceux-ci doivent encore être certifiées par
l’Etat.
De
son côté, le Canada propose de mettre en place une ICP qui aura
pour missions principales d’assurer :
1.-
la compatibilité de l’ensemble des technologies utilisées
à des fins commerciales,
2.-
la sécurité des transactions électroniques et l’échange
de renseignements sensibles au moyen de clés cryptographiques
et de certificats,
3.-
de gérer la production des paires de clés publiques et privées
et de diffuser la clé publique sous forme de certificats.
L’ICP
veillera ainsi à ce que les clés publiques spécifiques soient
associées à des clés privées correspondantes et, surtout, à
l’identité des parties en possession d’un jeu de clés
publique et privée. Enfin, par le système d’autorité de
certification (AC), le projet entend gagner définitivement la
confiance entre les acteurs de commerce électronique. Véritables
passeports électroniques, les certificats garantissent l’identité
des tiers correspondant. Les certificats sont à leur tour signés
par l’AC afin d’attester que la clé appartient bien
à ce correspondant.
Plébiscité
par le secteur privé, la société Entrust a été choisie par le
gouvernement Canadien pour la fourniture de produits cryptographiques.
Il s’agit là encore d’un "petit plus" permettant
de gagner la confiance des acteurs.
Nous
remarquerons au passage que l’ICP sera chapeautée par une
Autorité de Gestion de la Politique (AGP), un comité interministériel
présidé par le Secrétariat du Conseil au Trésor.
Visiblement,
le Gouvernement Canadien a voulu s’assurer le contrôle
du fonctionnement de l’ICP. En présentant son projet sur
le thème de la confiance entre les acteurs du commerce électronique,
n’a-t-il pas omis de préciser ses ambitions de "surveillance"
sur les contenus jugés suspects ?
Conclusion
Confrontés
aux mêmes enjeux, les Etats-Unis et le Canada mènent des politique
sensiblement différentes. Au regard de notre développement,
il serait facile de conclure que le Canada opère une politique
plus libérale que les Etats-Unis. Néanmoins, nous nous garderons
de l’affirmer. Il ressort de notre analyse que la plupart
des politiques menées jusqu’alors sont soumises à l’incertitude
de l’avenir. En outre, l’attitude Canadienne pourrait
s’avérer bien plus pernicieuse que celle des Etats-Unis.
Dans ses "options en matière de politiques", le groupe
de travail sur le commerce électronique envisage la possibilité
de l'adoption d'une loi "faisant obligation à toute
autorité de certification qui fournit des clés aux fins du chiffrement
de communications en temps réel (par ex., téléphone Internet
chiffré, Telnet chiffré) d'aider à déchiffrer des communications
si une ordonnance d'un tribunal le demande". Nous
l’avons vu dans le projet du Livre Blanc, les autorités
de certification sont, dans une certaines mesure, sous le contrôle
du gouvernement. La combinaison de tout ces facteurs nous amènerait
à pensez que voici habilement reconstitué l’ambition du
Clipper Chip. Les systèmes sont différents, mais l’esprit
pourrait être le même. Peu importe le flacon, pourvu qu’on
ait l’ivresse...
L
T.
Bibliographie
-
Groupe
de travail sur le commerce électronique, "Politique
cadre en matière de cryptographie aux fins du commerce électronique",
Strategis, fevrier 1998, http://strategis.ic.gc.ca/SSGF/cy00008f.html
-
Ad
Hoc Group of Cryptographers and Computer ScientistsThe Risks
of Key Recovery, "Key Escrow, rusted Third Party and
Encryption", Center for Democracy and and Technology,
http://www.cdt.org/crypto/risks98/
-
Bert-Jaap
Koops, Overview per country, Crypto Law Survey, June
1998, http://cwis.kub.nl/~frw/people/koops/cls2.htm#co
-
Susan
Ladau et al., "Codes, Keys and Conflicts : Issues
in U.S. Crypto Policy", Report of a special Panel
of the ACM U.S. Public Policy Committee (USACM), June
1994, pp. 24.
-
Pierre
Trudel, France Abran, Karim Benyekhlef, et Sophie Hein,
Droit du cyberespace, Les Editions Thémis, 1997,
chapitre 19.
Notes
1.
Une telle méthode d’encodage reçoit une très bonne explication
dans le roman de Frédéric Tristan, Le secret du Vatican.
L’histoire aborde la découverte d’un étrange manuscrit
situé dans les rayons de la bibliothèque vaticane. Il pourrait
s’agir d’un texte crypté, suivant d’antiques
méthodes romaines, émanant du KGB dans le but de déstabiliser
sa sainteté...
2.
Pour une histoire de la cryptographie, voir Claude Crépeau,
" La Cryptographie : pour que les secrets le
restent ", Québec - Science, 8 juin 1997, http://www.cybersciences.com/cyber/4.0/dec_jan98/net.htm.
3.
Le ministère de l’Industrie du Canada la définie ainsi :
" science qui a pour but de protéger le caractère
confidentiel d'une information donnée ", Groupe de
travail sur le commerce électronique, " Politique
cadre en matière de cryptographie aux fins du commerce électronique ",
Strategis, fevrier 1998, http://strategis.ic.gc.ca/SSGF/cy00008f.html.
4.
Cette définition est proposée par Maître Valérie Sédallian,
avocate au barreau de Paris. Valérie Sédallian, "Les enjeux
et l’état de la législation française", La Lettre
de L’Internet Juridique, 31 juillet 1997, http://www.argia.fr/lij/etatcrypto.html.
5.
Voir Susan Ladau et al., " Codes, Keys and
Conflicts : Issues in U.S. Crypto Policy ", Report
of a special Panel of the ACM U.S. Public Policy Committee (USACM),
June 1994, pp. 24.
6.
Voir Dorothy E. Denning, "The Future of Cryptography",
Georgetown University, January 1996, http://www.guru.cosc.geortown.edu/~denning/crypto.
7.
Cette entente exige le contrôle des exportations des marchandises
"à double usage", c’est à dire civiles et militaires,
dont la cryptographie fait partie. L’Arrangement de Wassenaar
relatif au contrôle multilatéral des exportations pour les armes
conventionnelles et les marchandises et technologies à double
usage vise à fournir un cadre conventionnel destiné à faire
face aux nouvelles menaces à la sécurité dans le monde occidental.
Voir : Bert-Jaap Koops, Overview per country, Crypto
Law Survey, June 1998, http://cwis.kub.nl/~frw/people/koops/cls2.htm#co.
8.
La Global Internet Liberty Campagn (GILC), à laquelle
participent de nombreuses associations de tous les pays, se
préoccupe de près de l’évolution des politiques réglementaires
en matière de cryptographie. Voir http://www.gilc.org/crypto/.
9.
Voir Groupe de travail sur le commerce électronique, "Politique
cadre en matière de cryptographie aux fins du commerce électronique",
Op. Cit.
10.
Voir la partie 4 (Options en matière de politique) de la
"Politique cadre en matière de cryptographie aux fins du
commerce électronique", http://strategis.ic.gc.ca/SSGF/cy00011f.html.
Face à l’éventualité d’une politique restrictive,
la GILC a immédiatement réagit en réaffirmant les nécessités
d’une assouplissement au regard des principes de protection
de la vie privée, de liberté d’expression et d’association,
voir http://www.gilc.org/crypto/canada/gilc-crypto-comments-498.html.
11.
Notons que la permission d’exporter des clés de moins de
56 bits prendra fin le 1er Janvier 1999. Après deux
ans, les Etats-Unis reviendront à l’ancien système, à savoir
la prohibition de l’exportation des clés de plus de 40
bits (des exceptions sont prévues pour les institutions financières).
12.Voir
http://www.epic.org/crypto/legislation/epriv_analysis.html.
13.Voir
Dorothy E. Denning, "The Future of Cryptography",
Op. Cit.
14.
N’oublions pas de mentionner les pressions effectuées par
la pléthore d’associations militant pour le respect des
droits fondamentaux (protection de la vie privée, liberté d’expression…).
Parmi les plus connues, citons l’Electronic Frontier Fondation
(EFF) ou l’American Civil Liberty Union (ACLU).
15.
1er Amendement des Etats-Unis.
16.
Définit dans les 4ème et 5ème Amendements
des Etats-Unis.
17.
Pour une critique générale sur la politique américaine, voir
Ad Hoc Group of Cryptographers and Computer ScientistsThe Risks
of Key Recovery, "Key Escrow, rusted Third Party and Encryption",
Center for Democracy and and Technology, http://www.cdt.org/crypto/risks98/.
18.
Pierre Trudel, France Abran, Karim Benyekhlef, et Sophie Hein,
Droit du cyberespace, Les Editions Thémis, 1997, chapitre
19, pp. 18.
19.
Valérie Sédallian, les enjeux et l’état de la législation
française, Op. Cit.
20.
Voir Dorothy E. Denning, " The Future of Cryptography ",
Op. Cit.
Voir également
sur Juriscom.net :
- Les
apports des décrets du 25 février et 23 mars 1998 en matière
de cryptographie
(Espace "Professionnels"), d'Alexandre Menais ;
- La
crypto encore au fond du trou (Espace "Internautes"),
de Lionel Thoumyre ;
- Interview
de Maître Valérie Sédallian (Espace "Professionnels"),
par Lionel Thoumyre.
|
