Crypto-News
2000-1
Les nouvelles postérieures
au 30 avril 2000 sont ici
L'Union
Européenne assouplit les règles d'exportation de cryptographie
2000/04/30
Selon un magazine américain,
l'Union Européenne a accepté d'assouplir les règles
d'exportation de produits cryptographiques ("biens à double usage")
en dehors de l'Union, donnant ainsi aux entreprises des Quinze un nouvel
avantage sur leurs concurrents américains.
Voir aussi l'article de Multimedium.
Echelon
: les directeurs de la NSA et de la CIA jurent qu'ils n'espionnent pas
les entreprises européennes
2000/04/30
Témoignant devant le Congrès américain, les directeurs
de la NSA et de la CIA ont démenti pratiquer l'espionnage économique
de pays tiers par le biais du réseau Echelon.
Extraits :
"With respect to allegations of industrial espionage,
the notion that we collect intelligence to promote American business interests
is simply wrong. We do not to target foreign companies to support American
business interests.
- First, our business is to gather information vital
to the national defense and foreign policy of the US
(...)
- Second, if we are to maintain good relations with
our allies, they have to know they can trust us not to become involved
in missions that are not directly related to national security. That is
important for us, and it is important to them as they justify their cooperation
with us to their own people.
- Third, if we did this, where would we draw the line?
Which companies would we help? Corporate giants? The little guy? All of
them? I think we quickly would get into a mess and would raise questions
of whether we are being unfair to one or more of our own businesses."
Rumeur
à propos d'une interdiction européenne des remailers anonymes
2000/04/28
Selon un magazine anglais cité par le journaliste spécialisé
Declan McCullagh dans Wired,
le Parlement Européen projetterait d'interdire les remailers anonymes.
Les motifs invoqués seraient, comme jadis pour la cryptographie,
l'utilisation que des criminels peuvent faire de ces outils.
La
RedHat 6.2 contient GnuPG
2000/04/26
RedHat, la distribution Linux la
plus répandue dans le monde, contient dans sa nouvelle version
6.2 le logiciel de chiffrement fort GnuPG 1.0.1. La distribution SuSE
6.4 le contient également.
Publication
des licences américaines pour l'exportation de cryptographie
2000/04/24
Un tableau récapitulant les licences
américaines d'exportation de cryptographie est publié.
A noter la catégorie TSU - §740.13 "Unrestricted
encryption source code (open source code)" pour laquelle une simple notification
des services administratifs américains est requise.
Voir notre brève du 15 janvier
Nouvelle
version beta de PGP for EPOC
2000/04/20
Une nouvelle version beta de PGP for EPOC est disponible, distribuée
dorénavant par SGSoftware.
PGP for EPOC fonctionne sur les machines Psion Series 5/5mx, Psion Revo,
Psion Series 7 & netBook, Ericsson MC218, Geofox One, etc.
Un
mois après son lancement, Gnutella a construit un réseau
privé de partage de fichiers
2000/04/15
Lancé le 14 mars dernier, le logiciel libre sous licence GNU
GPL Gnutella est devenu un phénomène
en moins d'un mois. Il reprend le principe de Napster, le logiciel de recherche
de fichiers musicaux MP3, mais sur un mode décentralisé et
pas uniquement pour la musique. Gnutella permet le partage entre les utilisateurs
de fichiers de tous formats, ce qui entraîne la mise en place d'une
espèce de réseau privé, un Internet bis : le Gnutella-net,
dont en quelque sorte les sites sont les propres machines des internautes
reliées entre elles.
Voir le site Gnutellafrance
A noter que tout comme le projet FreeNet, Gnutella est
critiqué
par certains qui dénoncent un outil destiné au trafic de
fichiers illégaux.
Voir notre brève du 23 mars
L'affaire
du "mot de passe secret" fait peser le doute sur les logiciels Microsoft
livrés sans code-source
2000/04/15
Selon le Wall
Street Journal, Microsoft a admis que certains de ses programmeurs
ont placé à son insu un "mot de passe secret" parallèle
permettant de contourner le mot de passe de l'utilisateur dans un de ses
logiciels pour site web (FrontPage 98). Le "master password" en question
serait "Netscape engineers are weenies!" [les ingénieurs de Netscape
sont des minus!].
Voir aussi l'article de CNET.
Par ailleurs, on a appris récemment qu'un responsable de la
NSA a admis publiquement que des négociations
avaient été menées avec Bill Gates et Lou Gerstner
en personne (respectivement présidents de Microsoft et IBM) en vue
de l'affaiblissement cryptographique des logiciels diffusés par
les deux entreprises.
L'année dernière, une première affaire, moins
grave, avait déjà fait douter de la sécurité
des logiciels de Microsoft dont le code-source n'est pas publié
(voir notre brève
du 5 septembre 1999).
Débats
sur la cryptographie lors de la Xe conférence "Freedom & Privacy"
2000/04/14
Un article du webzine Salon
, "Twilight of crypto-geeks", relate les débats sur la cryptographie
qui se sont tenus lors de la Xe conférence "Freedom & Privacy".
Echelon
: l'enquête du Parlement Européen pourrait s'enliser
2000/04/14
Selon le webzine ZDNet.fr, l'enquête sur Echelon projetée
par certains parlementaires européens a été allégée
par les présidents de groupe qui lui ont préféré
une "commission temporaire".
Voir l'article
de Jérôme Thorel.
OpenBSD
2.7 supportera la cryptographie matérielle (hardware)
2000/04/14
OpenBSD 2.7 supportera la cryptographie
matérielle (hardware), notamment la puce HiFn 7751.
Une
clef à courbes elliptiques de 109 bits est cassée par une
équipe internationale coordonnée depuis l'INRIA
2000/04/14
Une clef à courbes
elliptiques de 109 bits a été cassée par une équipe
internationale coordonnée par Robert Harley, Damien Doligez, Daniel
de Rauglaudre et Xavier Leroy, de l'INRIA français. La même
équipe avait déjà cassé une clef de ce type
mais moins longue en 1999.
A noter que la réglementation anti-export américaine
limitait il y a encore peu à 112 bits la longueur des logiciels
à courbes elliptiques autorisés à l'exportation (voir
notre brève du 24 novembre 1999).
Extrait du communiqué de presse :
"Le résultat obtenu démontre le niveau
élevé de sécurité que permet cette méthode
de cryptographie même avec des clés bien plus petites que
celles de la méthode RSA. En même temps, il met en évidence
la relative fragilité de certaines courbes elliptiques ayant des
propriétés particulières et confirme que pour avoir
une sécurité optimale il faut choisir des courbes quelconques,
sans caractéristiques spéciales.
(...)
Pour les chercheurs de l'INRIA, de telles expérimentations
sont très importantes : elles permettent de confirmer par l'expérience
l'évaluation théorique de la sécurité des systèmes
cryptographiques. On réalise ainsi le test à grande échelle
de leur résistance aux attaques et on contribue donc à améliorer
leur sécurité, de même que les tests de collision des
constructeurs automobiles améliorent la sécurité passive
des véhicules. "
Seahorse
0.40, interface graphique pour GnuPG (Unix)
2000/04/12
Sortie de la version 0.40 de Seahorse,
l'interface graphique pour GnuPG, la version libre
de PGP.
Un
plugin PGP pour Lotus Notes
2000/04/11
Sortie de PGPNotes 1.0,
un plugin commercial pour Lotus Notes, disponible pour PGP 5.5.x et PGP
6.x.
Le
Parlement Européen voit dans l'espionnage électronique une
atteinte aux Droits de l'Homme
2000/04/10
Selon un article du journaliste Duncan Campbell, spécialiste
du réseau d'espionnage électronique Echelon, publié
par Telepolis,
la Commission des libertés et des droits des citoyens, de la justice
et des affaires intérieures du Parlement Européen prépare
des propositions pour une nouvelle définition des Droits de l'Homme
intégrant la protection de l'intimité de la vie privée.
Les écoutes des communications seraient réduites au strict
minimum et soumises à un contrôle de proportionnalité.
Extraits :
" According to the five page proposal, all future
interceptions must 'have a legal basis, be in the public interest and be
strictly limited to the achievement of the intended objective'.
'Any form of systematic interception cannot be regarded
as consistent with that principle, even if the intended aim is to fight
against international crime'.
'Any Member State operating such a system should cease
to use it' . "
-
Commentaire de "PGP en français" : Le secret des communications
est un Droit de l'Homme. C'est ce principe que le Parlement Européen
pourrait d'ici quelques années inscrire dans la Convention Européenne
des Droits de l'Homme. Les conséquences au niveau de la procédure
pénale sont considérables. Un tel Droit signifie qu'il ne
peut y avoir d'atteinte au secret des communications sans que la personne
écoutée en ait été informée préalablement,
ce qui est déjà le cas par exemple pour la surveillance des
salariés dans le droit du Travail. Une telle obligation supprime
en pratique 90% des écoutes téléphoniques effectuées
par les juges d'instruction, pour ne laisser que quelques cas très
limités comme le respect d'un contrôle judiciaire. Sur cette
question du Droit au secret des communications, la France part avec un
handicap psychologique certain par rapport à ses partenaires européens,
ce qui nécessitera de la part de tous les citoyens une prise de
conscience progressive de ce Droit nouveau. Souvenons-nous qu'il y a encore
trois siècles, lors des instructions pénales la pression
physique modérée était non seulement autorisée,
mais aussi considérée comme indispensable à l'établissement
de la vérité ; aujourd'hui, il est heureusement admis dans
nos démocraties que lorsqu'un suspect, voire un prévenu que
tout accable, ne parle pas, son aveu ne peut être forcé par
la torture. Il faudra accepter le fait que les écoutes téléphoniques
sans information préalable de la personne écoutée
ne constituent pas une pratique loyale au regard des principes généraux
du droit. La libre-circulation sur Internet puis l'autorisation des outils
cryptographiques ont été les deux premières étapes
d'une réduction des écoutes téléphoniques sans
information préalable. Il est ironique que ce soit à présent
le réseau anglo-saxon Echelon qui pose la question du secret des
communications en tant que Droit de l'Homme reconnu par les grandes Déclarations
internationales.
Le
rapport "Cryptography & Liberty 2000" accorde à la France la
note "orange/vert"
2000/04/08
Le rapport "Cryptography & Liberty 2000" (An International Survey
of Encryption Policy) publié par l'EPIC est disponible
en ligne.
Comme tous les ans, chaque pays a été noté selon
sa législation et son attitude face à la cryptographie. Entre
1999 et 2000, on note quelques évolutions.
En l'absence de la loi de libéralisation totale pourtant promise
depuis un an, la France stagne avec la même note "orange/vert" que
l'année dernière. Les Etats-Unis, qui ont assoupli leurs
contrôles à l'exportation, passent de "orange" à "orange/vert".
Sont notés "vert", entre autres : l'Allemagne,
le Canada, la Suisse et les pays du nord de l'Europe.
Sont notés "rouge" : la Chine, l'Irak, l'Iran,
le Pakistan, la Russie.
A remarquer : le Royaume-Uni qui passe de "orange/vert"
en 1999 à "orange" cette année en raison du projet de loi
RIP sur l'obligation de déchiffrement, et l'Inde qui continue à
être notée "orange/rouge".
Un
juge américain reconnaît que les codes-sources cryptographiques
sont protégés par le 1er Amendement
2000/04/05
Dans une décision
intervenant au cours de l'affaire Junger, un juge a estimé que les
codes-sources informatiques étaient concernés par les dispositions
constitutionnelles protégeant la liberté d'expression.
Par ailleurs, dans l'affaire Bernstein, similaire et toujours pendante,
le gouvernement
américain a laissé entendre que la récente libéralisation
des restrictions à l'exportation de cryptographie rendait à
présent ce procès inutile.
Extrait :
"Because computer source code is an expressive means
for the exchange of information and ideas about computer programming, we
hold that it is protected by the First Amendment."
Publication
du rapport "Cryptography & Liberty 2000"
2000/04/04
Le rapport "Cryptography &
Liberty 2000" est publié aux USA par l'Electronic Privacy Information
Center (EPIC).
Pour obtenir des informations mises à jour plusieurs
fois par an sur les législations cryptographiques dans le monde,
on peut aussi consulter le Crypto
Law Survey de Bert-Jaap Koops.
Echelon
: Le Monde publie à nouveau une enquête
2000/03/30
Un mois après avoir consacré sa Une à Echelon,
le journal Le
Monde (numéro daté 30 mars) publie à nouveau une
enquête sur le réseau anglo-saxon d'écoutes, sous le
titre "La sainte alliance de l'espionnage".
Echelon
: des internautes français déposent une plainte
2000/03/27
Selon le journal Le Figaro (24 mars 2000), une plainte contre X pour
violation du secret des correspondances, visant le réseau d'écoutes
électroniques Echelon, a été déposée
par une association d'internautes nommée Akawa.
Extrait :
" « Nous comptons nous opposer systématiquement
au contrôle des réseaux quand il y a atteinte grave aux libertés
individuelles », soulignent les responsables d'Akawa, soulignant
que « ce ne sont pas seulement les Etats-Unis et Echelon qui sont
en cause mais l'ensemble d'un système qui se met en place. »
"
GnuPG
: un patch pour FreeBSD 4.0
2000/03/27
Les développeurs de FreeBSD fournissent un patch
pour compiler GnuPG sous FreeBSD 4.0.
BestCrypt
0.4b-2 pour Linux
2000/03/25
Une version 0.4b-2 (beta) de BestCrypt
pour Linux est disponible. Parmi les nouveautés : le support
du fichier de swap. BestCrypt est un logiciel freeware pour le chiffrement
transparent du disque dur.
Le
nouveau directeur de la DCSSI se donne pour objectif la protection des
services publics, des entreprises et des citoyens
2000/03/24
Dans un entretien
accordé au webzine ZDNet.fr, le nouveau directeur de la DCSSI (ex-
SCSSI), M. Henri Serres, considère que dans le domaine du chiffrement
la priorité de son administration est la protection des services
publics,
des entreprises ou des citoyens, plutôt que la cryptanalyse (le cassage
des codes) qui "relève des services de sécurité
de l'Intérieur ou de la Défense".
Par ailleurs, il souhaite que la DCSSI contribue aux travaux européens
en matière d'expertise sur la sécurité informatique.
Voir notre brève du 16 mars
L'hébergement
pseudo-anonyme de sites web en France pourrait être remis en cause
2000/03/24
Valentin Lacambre, responsable du site de communautés "Altern.org",
dénonce
une nouvelle disposition législative actuellement en discussion
à l'Assemblée.
PGP
7.0 est en préparation
2000/03/23
Les développeurs de PGP signent leurs e-mails avec une version
s'identifiant comme "PGP 7.0 (Build 142 Alpha)".
PGP 7.0 devrait être une mise à jour majeure mais aucune
date de sortie n'a encore été annoncée.
Freenet,
un réseau basé sur l'anonymat et la liberté
2000/03/23
Le projet FreeNet (Free
Network), lancé par Ian Clarke, un étudiant de l'Université
d'Edimbourg, vise à mettre en place un système de publication
de l'information similaire au Web, mais conçu pour permettre aux
opinions et idées d'être publiées et lues sans crainte
de la moindre censure. Freenet n'aura aucune forme de contrôle ou
d'administration centralisée; il sera virtuellement impossible de
retirer par la force un morceau d'information sur Freenet; les auteurs
et les lecteurs de l'information stockée sur ce système pourront
rester anonymes s'ils le souhaitent. Freenet est un projet "open source"
et sera gratuit.
A noter que le projet est critiqué
dès son lancement, notamment par certains responsables de la police.
Voir l'article en français de NoSpoon.
La
liste de discussion "PGP-Users" redémarre
2000/03/22
La liste de discussion "PGP-Users" (pgp.rivertown.net), que son propriétaire
Fred Ringel avait dû interrompre en février pour raisons personnelles,
est réactivée par Dave del Torto, un ancien développeur
de PGP Inc., sur le site CryptoRights.
PGP-Users est une liste d'environ 3000 membres et elle
constitue avec le groupe de discussion alt.security.pgp
le principal lieu de débat sur PGP.
On peut s'y abonner librement en envoyant un message à pgp-users-listbot@cryptorights.org
avec le mot "subscribe" dans le corps du message (sujet laissé vide).
PGP
Security Inc. met en avant ses produits anti-intrusion
2000/03/21
Depuis hier, la page d'accueil www.pgp.com
contient une animation "Shockwave Flash" faisant la promotion de Cybercop.
Cybercop
est un outil de sécurité protégeant contre les intrusions,
et sa fonction principale n'est pas de garantir la confidentialité
ou l'authenticité à l'aide de cryptographie à clef
publique. Cybercop est intégré à un ensemble nommé
"PGP Total Network Security" qui comprend par exemple des logiciels pare-feu
(firewall).
PGP Security Inc. est une filiale de Network
Associates Inc., qui a racheté en décembre 1997 PGP Inc.
créé par Philip Zimmermann en 1996.
Voir l'histoire de PGP.
Le
projet de loi libéralisant totalement la cryptologie devrait être
présenté à l'automne
2000/03/20
Le Secrétaire d'Etat à l'Industrie, Christian PIERRET,
a
déclaré à l'occasion de la "Fête de l'Internet"
que la Loi sur la Société de l'Information (LSI) serait présentée
au Parlement à l'automne 2000. C'est cette loi qui doit contenir
les dispositions achevant la libéralisation complète de la
cryptologie entamée début 1999.
Voir notre brève du 7 février
Extrait du communiqué de presse :
"L'ensemble des questions juridiques posées
par Internet doit être abordé dans un texte global, un projet
de loi sur la société de l'information que Christian PIERRET
présentera en Conseil des Ministres à l'automne avec Christian
Sautter. Ce projet de loi aura trois lignes de force : la liberté
des communications en ligne, l'accès de tous aux réseaux
ainsi que la sécurité et la loyauté des transactions
sur internet."
Le
nouveau directeur du SCSSI-DCSSI est un civil
2000/03/16
Le Conseil des ministres du 15 mars a nommé
M. Henri Serres comme directeur chargé de la sécurité
des systèmes d'information (SCSSI). Il remplace à ce poste
le Général Jean-Louis Desvignes. Il est à noter que
M. Serres est ingénieur général des télécommunications.
Par ailleurs, le SCSSI (Service Central de la Sécurité
des Systèmes d'Information) va se transformer en "DCSSI" (Direction
centrale de la sécurité des systèmes d'information),
une Direction de plein exercice du SGDN (Secrétariat Général
pour le Défense Nationale).
Le communiqué officiel met en avant la volonté de "protéger
la confidentialité des échanges et la vie privée."
La menace que font peser les systèmes d'écoutes est également
évoquée avec le réseau "Echelon".
Un renforcement des moyens de cryptanalyse est aussi prévu.
Voir les commentaires de Jérôme Thorel,
sur ZDNet.fr
Extraits du communiqué du SCSSI :
"Cette mesure intervient dans le cadre de la politique
de sécurité qu'entend promouvoir le Gouvernement, parallèlement
au développement accéléré des outils de la
société de l'information dans l'administration et les services
publics. Cette politique, au service du citoyen et de l'entreprise, doit
aussi permettre de protéger la confidentialité des échanges
et la vie privée.
Elle s'inscrit dans le prolongement des décisions
annoncées dans ce domaine par le comité interministériel
pour la société de l'information du 19 janvier 1999 et le
discours d'Hourtin du Premier ministre le 26 août 1999. La première
concrétisation a été la mise en place et la montée
en puissance du centre d'alerte et de réponse aux attaques informatiques
pour l'administration (CERT/A) à la fin de l'année 1999 et
au début de l'année 2000.
(...)
L'existence du réseau mondial d'écoute
électronique ECHELON, ou la mise en cause de certains produits "grand
public", ont mis au premier plan de l'actualité les préoccupations
liées aux nouvelles menaces et la nécessité d'assurer
la protection de nos réseaux.
---
Cryptographie et cryptanalyse : l'exigence d'excellence
(...)
Les études menées par les équipes
du laboratoire de cryptographie du SCSSI ont permis d'établir deux
records :
- le premier consiste à compter les points
sur une courbe elliptique plus grande que toutes celles étudiées
jusque là. Cela constitue un préalable indispensable à
l'utilisation cryptographique d'une telle courbe ;
- le second est le plus grand calcul de logarithme
discret réalisé à ce jour. Cela a permis d'améliorer,
au moins théoriquement, les capacités de cryptanalyse des
systèmes fondés sur l'utilisation du logarithme discret."
La
loi du 13 mars 2000 accepte le principe de la signature électronique
2000/03/15
Publication au J.O. du 14 mars de la loi
n° 2000-230 du 13 mars 2000 "portant adaptation du droit de la
preuve aux technologies de l'information et relative à la signature
électronique".
Cette loi accepte le principe de la signature numérique telle
qu'elle est utilisée par exemple dans PGP, mais elle n'en précise
pas les modalités pratiques.
Le
gouvernement chinois est obligé d'admettre la cryptographie grand
public
2000/03/14
Après avoir édicté en janvier 2000 une réglementation
restreignant l'utilisation de cryptographie, les autorités chinoises
font marche arrière. En cherchant à interdire explicitement
toute cryptographie, la Chine s'est retrouvée obligée d'autoriser
certains types de logiciels aux standards internationaux.
La nouvelle réglementation
lève les restrictions concernant la cryptographie grand public tels
que les navigateurs Internet ou l'OS Windows 2000.
Voir la dépêche Reuters
Voir aussi l'article de ZDNet.fr
A noter que la Chine est un Etat actuellement mis en cause
par les ONG de défense des Droits de l'Homme (voir par exemple Human
Rights in China ou Amnesty
International).
Extrait de la dépêche Reuters :
"The restrictions now ``only limit specialized hardware
and software for which encryption and decoding operations are core functions,''
the State Encryption Management Commission wrote. ``Other products, including
wireless telephones, Windows software, browser software, etc, are not included
in the scope,'' it said.
(...)
Analysts said the clarification reflected pressure
from foreign business and governments."
Mozilla
128 bits est disponible (Windows, Linux)
2000/03/10
Mozilla contient une cryptographie
128 bits dans sa nouvelle version beta (M14 crypto). Les codes-sources
sont fournis.
A noter qu'il faut récupérer après installation
un module PSM sur le site IPlanet
pour pouvoir utiliser la crypto.
Mozilla est la version sous licence "open source" du futur Netscape
5.0.
Version
Windows
Version
Linux
Fortify
pour Netscape 4.72 est disponible
2000/03/01
Le patch Fortify pour Netscape
4.72 (56 bits) est disponible pour Windows, Linux/Unix et Mac.
Contrairement à la version 128 bits originale de Netscape, les
sources de Fortify sont disponibles.
Les
parlementaires français enquêtent sur le réseau américain
Echelon
2000/03/01
La Commission
de la Défense de l'Assemblée Nationale créé
une mission d'information parlementaire sur le réseau d'écoutes
américain Echelon.
Extraits de la dépêche AFP :
"La commission de la Défense de l'Assemblée
nationale a décidé mardi à l'unanimité la création
d'une mission d'information parlementaire sur les 'systèmes de surveillance
et d'interception électronique pouvant mettre en cause la sécurité
nationale'.
Le président de la commission, Paul Quilès
(PS, Tarn), a reconnu que cette mission visait 'principalement' le système
Echelon dont la puissance est 'sans commune mesure' avec tous les systèmes
actuels.
L'ancien ministre de la Défense a précisé
à l'AFP que le rapporteur serait Arthur Paecht (UDF, Var) choisi,
a souligné M. Quilès, par ses collègues en raison
de ses connaissances en la matière.
MM. Quilès et Paecht ont présenté
il y a trois mois une proposition de loi sur la création de délégations
parlementaires pour contrôler les services de renseignements et de
contre-espionnage français. M. Quilès a précisé
à l'AFP que cette proposition de loi serait mise à l'ordre
du jour de l'Assemblée 'avant la fin de l'année'. "
Des
parlementaires américains s'inquiètent des répercussions
de l'espionnage militaire sur la vie privée des citoyens
2000/02/29
Dans une lettre adressée
au directeur de la NSA, un membre du Congrès américain
s'inquiète des menaces que l'espionnage militaire peut involontairement
faire peser sur la vie privée des citoyens américains. Il
souligne le fait que dans un monde d'interconnexion globale des ressources
informatiques, écouter des étrangers revient à risquer
d'écouter des américains, ce que la législation interdit
explicitement à la NSA.
Extraits :
"For example, there is debate about the precise meaning
of the phrase "persons, houses, papers, and effects," which helps define
the perimeters of the Fourth Amendment. As American citizens
begin to use an array of new technologies to communicate, it is incumbent
on our federal government to make sure communications such as e-mail, faxes,
and telephone calls receive the same protections the Founders clearly sought
for written mail.
Further, as more domestic communications cross international
borders, the Intelligence Community has a responsibility to ensure they
are accorded the same protection as other communications that begin and
end in the United States, without crossing an international border in the
process."
Apparition
de PC incluant un chiffrement matériel
2000/02/29
IBM va vendre en dehors des USA des PC incluant un processeur
de chiffrement à clef symétrique de 256 bits. La firme
a déclaré que le gouvernement américain lui avait
accordé l'autorisation d'exporter ces matériels en application
des nouveaux textes sur l'exportation de cryptographie.
A noter que le chiffrement "matériel" (par opposition à
"logiciel"), qu'il s'agisse des processeurs pour PC ou des cartes à
puces, pose des problèmes de sécurité considérables
chaque fois que l'utilisateur ne peut pas en vérifier lui-même
la conception et la fabrication, ainsi que des problèmes de liberté
de disposition (fourniture et gratuité des sources).
Overwrite
0.3, logiciel de wipe pour Unix
2000/02/29
Overwrite 0.3
est un utilitaire Unix pour l'effacement sécurisé.
"Echelon"
: les Verts européens réclament une commission d'enquête
2000/02/24
Selon ZDnet.fr,
le groupe des Verts du Parlement européen souhaite une commission
d'enquête parlementaire sur l'affaire du réseau d'espionnage
Echelon.
Deux journées de débats
sur le sujet avaient lieu les 22 et 23 février au Parlement européen.
Par ailleurs, le bulletin Lambda
(flash numéro 6.02) publie des informations recueillies à
Bruxelles au cours de ces débats.
Extrait du bulletin "Lambda" :
"Les officiels de la Commission, dont certains parlaient
encore, la veille, de "rumeurs", ont été vertement critiqué
pour leur "laisser-faire" sur ce dossier. Les Etats membres, de leur côte,
ont semble-t-il manqué à leur devoir d'information, et ont
tardé à demander des explications à leurs partenaires
et alliés de l'alliance "UKUSA"."
Netscape
4.72 est disponible en version 128 bits
2000/02/23
La nouvelle version de Netscape, Communicator ou Navigator 4.72, est
librement téléchargeable
en version US 128 bits.
Le
Monde consacre sa Une à "Echelon"
2000/02/22
Le quotidien Le Monde titre à
la Une de son édition datée mercredi 23 février :
"Comment
les Etats-Unis vous espionnent". Le dessin de Plantu ainsi que l'éditorial
du journal sont consacrés au réseau d'espionnage "Echelon".
En pages internationales, un long dossier fait le point sur le sujet.
A noter que le sous-titre de Une précise : "La Grande-Bretagne
y joue un rôle central".
Voir notre brève du 29 janvier
2000
Plug-in
PGP pour Netscape (chiffrement seulement)
2000/02/22
Netscape PGP half-Plugin
0.14 est un "demi-plugin" PGP pour Netscape 4.7 et PGP 6.5.x (Windows
seulement).
Il remplace la DLL "sp3240.dll" contenue dans le répertoire
".../Netscape /Program /spellchk". En cliquant sur le bouton orthographe
("Check Spelling") de Netscape/Messenger, et en double-cliquant sur les
mots proposés "sig" ou "encrypt", il chiffre et/ou signe. Le déchiffrement/vérification
n'est pas inclus.
Le
NIST américain met en ligne les codes-sources des algorithmes finalistes
pour l'AES
2000/02/19
Le NIST (National Institute of Standards and Technology) publie sur
son site web les codes-sources
des 5 algorithmes finalistes pour la désignation de l'algorithme
AES (Advanced Encryption Standard), futur standard cryptographique officiel
américain : MARS, RC6, Rijndael, Serpent, et Twofish.
Voir notre brève du 9
août 1999
Mise
à jour du "Crypto Law Survey"
2000/02/18
Bert-Jaap Koops publie la Version 17.0, February 2000 de son
"Crypto
Law Survey" qui fait le point sur les législations cryptographiques
dans le monde.
Plus
de 10.000 téléchargements de PGP 6.5.1fr en un mois
2000/02/17
Sur le site anglais
de PGP 6.5.1fr, ainsi que sur le site de la logithèque
de ZDNet-France le distribuant, respectivement 3.600 et 5.700 téléchargements
du logiciel ont été effectués depuis le 17 janvier
dernier. La page web listant les miroirs a elle
reçu 4.500 visites durant la même période. Par ailleurs
le site FTP de la International
PGP Home page diffuse PGP 6.5.1fr en Norvège et dans le monde
entier depuis le 8 février.
Seahorse
0.34, interface graphique pour GnuPG (Unix)
2000/02/16
Sortie de la version 0.34 de Seahorse,
l'une des interfaces graphiques ("shell" ou frontal) les plus en pointe
pour utiliser avec GnuPG, la version libre de PGP,
et écrite par Anthony Mulcahy.
Nouveautés :
* An GTK text widget has been added to the main window
and encrypted / decrypted output is directed here. The contents of
this widget can be edited, selected, cleared and the current selection
can be pasted into it. It is not a complete text editor, but it offers
some basic operations which may be useful for making small changes to text
before encrypting.
* Seahorse can now detect whether the gnupg directory
exists and will start a "druid" (the Gnome equivalent of a Windows wizard)
to help the user generate a key if the directory isn't found.
* A patch to enable the GnuPG interface to handle passphrases
and clipboard strings of arbitrary length has been added.
* More functions have been added to the Key Manager and
the interface has been improved.
Le
"patch" 128 bits d'Internet Explorer 5.0 (Windows) est téléchargeable
depuis le site américain de Microsoft
2000/02/16
Le navigateur Internet Explorer 5.0 (pour Windows) peut être
sécurisé en 128 bits grâce à la rustine ("patch")
officielle de Microsoft, librement téléchargeable
depuis les USA.
Pour Netscape, voir Fortify.
Le
député Georges Sarre interpelle le gouvernement à
propos du réseau "Echelon"
2000/02/12
Selon le site ZDNet, le député
Georges Sarre a décidé d'interpeller le gouvernement par
une "question
écrite" officielle, au sujet du réseau d'espionnage américain
Echelon.
Georges Sarre est député de Paris, membre de la Commission
des Affaires étrangères de l'Assemblée et responsable
du MDC (Mouvement des Citoyens), le parti politique créé
par Jean-Pierre Chevènement, l'actuel ministre de l'Intérieur.
Voir notre brève du 29 janvier
2000
Le
gouvernement britannique cherche à limiter l'utilisation effective
de la cryptographie
2000/02/10
Selon la BBC, le gouvernement britannique veut faire voter une
loi obligeant à révéler ses clefs de déchiffrement
en cas d'enquête de police. Le projet de loi prévoit des peines
de prison pour les personnes incapables de fournir leurs clefs (par exemple
en cas de perte de celles-ci), créant de ce fait une insécurité
juridique autour de l'utilisation et la détention de cryptographie.
Voir le site de la FIPR (Foundation
for Information Policy Research), une organisation non-gouvernementale
de défense des libertés.
Extraits de l'article de la BBC :
"The Regulation of Investigatory Powers Bill covers
the monitoring and the interception of communications by law enforcement
and security agencies. (...) It also regulates the authorities' access
to the codes that encrypt data sent over the net.(...) The Bill proposes
that the police or the security services should have the power to force
someone to hand over decryption keys or the plain text of specified materials,
such as e-mails, and jail those who refuse. "
La
libéralisation complète de la cryptologie en France pourrait
être repoussée à 2001
2000/02/07
Le secrétaire d'Etat à l'Industrie Christian Pierret
a laissé entendre que le projet
de loi sur la Société de l'Information (LSI) ne serait
probablement pas discuté au Parlement avant 2001. C'est dans cette
loi que devaient être intégrées les dispositions sur
la libéralisation complète de la cryptologie.
BCWipe
0.1 beta pour Linux
2000/02/07
Jetico Inc. publie BCWipe 0.1
beta pour Linux, un nettoyeur de disque dur.
Eraser
4.0
2000/02/07
Le nettoyeur ("wipe") de disque dur Eraser(pour
Windows 95/98/NT), écrit par Sami Tolvanen, est disponible dans
une nouvelle version
4.0.
Une
traduction française intégrale des manuels de PGP 6.5 est
disponible
2000/02/05
Les manuels de PGP 6.5.x ont été intégralement
traduits en français
par la société suisse CN Lab.
PGP
6.5.1int version française est disponible (sans le code-source)
2000/02/05
La filiale européenne
de Network Associates publie des versions allemande et française
de PGPfreeware 6.5.1int pour Windows 95/98/NT. Ces versions ont été
compilées en Suisse par le CN
Lab. A noter cependant que le code-source n'est pas fourni.
PGP
6.5.1 freeware version française "int" (15 Mo)
Ståle
Schumacher Ytteborg annonce que le projet PGPi va continuer
2000/02/05
Ståle Schumacher Ytteborg, qui maintient en Norvège la
International
PGP Home Page, a mis à jour la Foire Aux Questions sur PGPi.
Il y annonce que le projet international PGPi va continuer malgré
la levée des interdictions d'exportation américaines, et
qu'il se concentrera dorénavant sur le développement, le
portage, la traduction et la localisation.
FAQ française de PGPi
L'IETF
publie un "draft" refusant les protocoles de surveillance sur Internet
2000/02/03
L'IETF(Internet Engineering Task Force), un des organismes chargés
de la mise au point des standards d'Internet, publie un "draft"
sur les protocoles conçus pour faciliter les surveillances et interceptions.
L'organisme les refuse.
Extrait :
"The IETF has been asked to take a position on the
inclusion into IETF standards-track documents of functionality designed
to facilitate wiretapping. This memo explains what the IETF thinks the
question means, why its answer is "no", and what that answer means."
Voir nos brèves
des 10 et 13 novembre 1999
Future
loi sur la cryptologie : l'AFUU accepte un contrôle a posteriori
des produits cryptographiques
2000/02/01
L'Association française des utilisateurs d'Unix et des systèmes
ouverts (AFUU) publie un Livre
blanc sur la cryptographie intitulé "Cryptologie : Vers la
fin de l'exception française ? Une opportunité pour la société
de l'information".
Ce Livre blanc estime que notre droit "doit modifier radicalement l'approche
réglementaire adoptée jusqu'à présent".
Parmi les propositions faites : substituer à la logique de contrôle
des outils de cryptologie avant toute mise sur le marché, une logique
de contrôle a posteriori.
Livre blanc au
format PDF (zippé)
Extraits :
"Cette réforme doit, afin de répondre
aux nouveaux besoins économiques sans enlever aux pouvoirs publics
les moyens d'assurer le respect des lois et de l'ordre public :
- Supprimer les procédures de déclaration
et d'autorisation préalables à la mise sur le marché
français de ces outils;
- Substituer à la logique de contrôle
des outils de cryptologie avant toute mise sur le marché, une logique
de contrôle a posteriori;
- Renforcer l'arsenal juridique lorsque cela s'avère
nécessaire, afin de permettre à l'administration et à
l'autorité judiciaire d'obtenir les textes en clair lorsque la loi
les y autorise."
-
Commentaire de "PGP en français" : Le débat sur la réforme
de la législation française en matière de cryptologie
est donc lancé. L'Association française des utilisateurs
d'Unix et des systèmes ouverts publie un 'Livre blanc' qui fait
le point sur la législation française et les techniques de
cryptologie et se révèle très intéressant et
assez complet.
L'AFUU plaide pour une libéralisation totale, mais semble considérer
que la cryptologie doit encore faire l'objet d'une législation particulière.
Surtout, elle estime que quand on parle de cryptologie, on doit aussi évoquer
la sécurité et l'ordre public.
De notre côté, nous pensons au contraire que la cryptologie
est une technologie comme une autre qui n'a pas ou très peu de rapports
avec la notion de sécurité publique. La simple utilisation
de cryptographie est incapable à elle seule d' "enlever aux pouvoirs
publics les moyens d'assurer le respect des lois et de l'ordre public".
Plus largement, toute réglementation spécifique de la cryptologie
contient des implications dangereuses pour les Libertés Fondamentales.
Le
Ministère allemand de l'Economie alimente les rumeurs sur la sécurité
de PGP
2000/01/30
Selon la lettre d'information "Le
Monde du Renseignement", des responsables du Ministère allemand
de l'Economie et de la Technologie laissent entendre que PGP est piégé.
Màj : voir le message posté sur la liste PGP-users
le 07/05/2000 et citant le texte allemand
exact.
A noter que le Ministère de l'Economie allemand soutient l'effort
du projet GnuPG (voir notre brève
du 20 novembre 1999), perçu par certains comme un concurrent
de PGP.
Extrait :
"Des responsables du ministère fédéral
de l’Economie et de la Technologie (Bundesministerium der Wirtschaft und
Technologie, BMWi), contactés par Le Monde du Renseignement, suspectent
le logiciel de cryptographie Pretty Good Privacy (PGP) de contenir des
passages secrets réservés à la communauté du
renseignement américaine."
-
Commentaire de "PGP en français" : Ces temps-ci, le dernier snobisme
semble être de déclarer que PGP est "peut-être
piégé par les américains". Il y a de quoi se lasser
de répéter encore ceci : les versions freeware de PGP sont
fournies avec leur code-source, et tous les binaires de toutes les versions,
commerciales comprises, sont signés avec la clef privée de
NAI ou PGP Security Inc., clef détenue par l'équipe des programmeurs
historiques de PGP. Dire que les dernières versions de PGP sont
chères, parfois bugguées, ou lourdes à utiliser, admettons;
mais laisser entendre que Phil Zimmermann ou Will Price mettent intentionnellement
des "portes dérobées" dans les binaires qu'ils compilent,
ça n'a aucun sens. Mieux vaut en rire. Et lire, pour information,
cette mise au point sur les rumeurs.
Selon
"Le Soir", un Etat de l'Union Européenne, le Royaume Uni, participe
au réseau d'espionnage informatique Echelon
2000/01/29
Selon le quotidien belge "Le
Soir", un rapport d'expert sur le réseau d'espionnage informatique
Echelonqui
doit être remis fin février au Parlement Européen,
met en cause le Royaume-Uni, Etat membre de l'Union Européenne.
Netscape
128 bits est en libre téléchargement aux USA
2000/01/28
Les versions avec chiffrement 128 bits de Netscape 4.7 sont en libre
téléchargement aux USA.
Par ailleurs, le responsable du projet Fortify
se félicite de la libéralisation des exportations et annonce
que ses rustines restent encore disponibles pour le moment.
Télécharger la version
française 128 bits de Netscape.
PGPfreeware
6.5.3 est disponible
2000/01/28
Une version PGP
6.5.3 freeware (Windows) est disponible.
Les
versions internationales de Windows 2000 contiendront un chiffrement de
128 bits (mais sans le code-source)
2000/01/21
Microsoft annonce
qu'en application de la nouvelle réglementation américaine
sur les exportations de cryptographie, Windows 2000 sera livré dans
le monde entier avec un chiffrement de 128 bits. Cependant, le code-source
de Windows 2000 n'étant pas livré, rien ne garantit que ce
chiffrement est réellement de 128 bits ou qu'il n'est pas piégé
par le gouvernement américain.
Extrait du communiqué de presse :
"Microsoft worked closely with U.S. government regulators
to obtain the necessary approvals to ship Windows 2000 with strong encryption
to worldwide customers, irrespective of industry or application."
NAI
met PGP en libre téléchargement (versions d'évaluation)
2000/01/20
Le site américain de PGP Security Inc, la nouvelle filiale de
NAI, a mis les versions d'évaluation de PGP en téléchargement
libre pour les utilisateurs internationaux. Mais le MIT
continue de réserver la version freeware aux américains et
canadiens
Exportations
américaines de cryptographie, suite
2000/01/19
Une série de questions-réponses a été mise
en ligne par le bureau américain des exportations dans le but
de d'expliciter la nouvelle réglementation.
Extraits :
"15. - Can an academic who creates an encryption source
code program make it available on the Internet, for example to students
or academic colleagues, without restriction on access?
- Yes, under the revised regulations, encryption source
code that would be publicly available (and posting to the Internet itself
would make it publicly available), and which is not subject to an express
agreement for the payment of a licensing fee or royalty for the commercial
production or sale of any product developed using the source code, would
be eligible under License Exception TSU for "unrestricted" source code.
Under this policy, the software may be exported without prior submission
to the government for technical review (although concurrent notification
of the export is required).
(...)
46. - Will the U.S. update its encryption policy sooner
if the European Union implements an EU license-free zone?
- A number of companies have expressed concern that
the European Union (EU) may implement a general authorization permitting
encryption items to be exported freely within the EU and other specified
countries. If and when the EU implements such an authorization, the Administration
will take the necessary steps to ensure U.S. exporters are not disadvantaged.
"
PGP
6.5.1fr pour Windows 95/98 est diffusé par ZDNet.fr
2000/01/18
Le site ZDNet.fr a intégré
à sa logithèque
en ligne PGPfreeware 6.5.1fr pour Windows 95/98.
A lire également l'article
de Jérôme Thorel qui a recueilli la réaction du SCSSI
à propos de PGP 6.5.1fr.
PGP
6.5.1fr version française (freeware) est disponible pour Windows
95/98, avec plug-in Outlook Express 5.0 français
2000/01/18
La version française freeware de PGP 6.5.x est disponible :
PGPfreeware 6.5.1fr (version Windows 95/98 seulement - sous Windows NT,
l'installation de cette version échoue; une version compatible Windows
NT devrait être disponible prochainement). Elle est basée
sur le code-source anglais de la "International
PGP Home Page" traduit par Fabien
Petitcolas (aidé de Raphaël Quoilin). Voir l'annonce
officielle.
Le code-source est disponible
et intégralement lisible et compilable.
Des extensions courrier (plug-in) MS Outlook Express 5.0 et Qualcomm
Eudora 3.x et 4.x sont incluses.
Les bugs éventuels doivent être signalés à
l'adresse <PGP651fr@netcourrier.com>.
Attention : PGP 6.5.1fr est une version freeware, et est donc strictement
réservée à une utilisation non commerciale. Pour toute
utilisation commerciale (même une simple évaluation), vous
devez vous servir de la version commerciale officielle vendue par Network
Associates France (50 rue de Londres, Paris 75008, France, Tel.: 01-44-908-737,
ou 01-44-699-800, Fax.: 01-45-227-554).
Voir la page de présentation générale
(avec des captures d'écran).
Les versions françaises pour
MacOS, PGP F6.5.2a et PGP F6.5.1Int, ont déjà été
traduites grâce au travail de Jean-Pierre Kuypers.
Les
sites permettant le libre téléchargement de cryptographie
se multiplient aux Etats-Unis
2000/01/16
Depuis la parution au "Federal Register" des nouvelles réglementations
américaines sur l'exportation de cryptographie, plusieurs sites
localisés aux Etats-Unis permettent le libre téléchargement
de cryptographie.
Ainsi : la librairie Crypto++,
le logiciel Speak Freely (voir
l'explication
de son auteur), le livre "Cracking
DES" de l'EFF.
Par ailleurs, le responsable du site Cryptome,
John Young, qui a mis PGP 6.5.2a (Windows et Mac) en libre téléchargement
depuis son site new-yorkais, estime que les nouveaux textes sont si flous
qu'il ne sait pas s'il risque ou non quelque chose (voir l'article de Wired
à ce sujet).
La page "International Cryptography
Freedom" tient la liste de ces nouveaux sites américains libres
(miroir)
Distributed.net
a cassé le Challenge CSC
2000/01/16
Distributed.net a trouvé le message
du Challenge CSC à 06:26:52 le 16/01/2000.
La clef secrète était : "00438EF36FE3FC21" et le message
disait : "The secret message is: CS-Cipher a ete presente en mars a
Fast Software Encryption (PARIS). Congratulations to the winner!"
Le Challenge avait été commencé par Distributed.net
le 17 novembre 1999 à 00:00 mais l'équipe a rencontré
des problèmes (voir plus bas sur cette page).
Voir notre brève
du 9 novembre 1999
Sortie
d'une version commerciale PGP 6.5.3
2000/01/15
Une nouvelle version PGP
6.5.3 (Windows) est disponible aux USA et au Canada (72 $, 72 euros,
470 FF). Quelques bugs mineurs ont été résolus.
NAI
accorde l'autonomie à "PGP Security Inc."
2000/01/15
Network Associates Inc. (NAI) a décidé de se
diviser en six petites sociétés. PGP est ainsi dorénavant
développé et vendu par PGP Security
Inc., une société s'occupant de chiffrement, firewalls
et VPN, et indépendante des autres activités de NAI comme
les anti-virus McAfee.
La
libéralisation américaine reste incomplète
2000/01/15
La nouvelle réglementation américaine permet l'exportation
de cryptographie dans la plupart des cas, mais soumet encore celle-ci à
une déclaration a priori. Le cas de la circulation de l'information
scientifique sur la cryptographie n'est pas réglé.
Trois des plus grandes organisations non-gouvernementales américaines,
l'ACLU, l'EFF et l'EPIC considèrent que l'on est loin de la promesse
de libéralisation faite par l'Administration Clinton en septembre.
Communiqué
de presse ACLU, EFF, EPIC : "Civil Liberties Groups Say New Encryption
Export Regulations Still Have Serious Constitutional Deficiencies"
-
Commentaire de "PGP en français" : En refusant de retirer la
partie "Cryptographie" des textes régissant l'exportation des biens
et services en dehors des USA, l'Administration Clinton a clairement indiqué
qu'elle ne souhaitait pas promouvoir la libre-circulation des outils de
sécurité informatique que sont les logiciels et matériels
cryptographiques. Le principe n'est toujours pas la liberté d'exportation
pour la cryptographie. Ceci précisé, il semble qu'il ne reste
plus grand chose à contrôler : les codes-sources sont totalement
libres, y compris pour téléchargement, et les logiciels grand
public de même. Dans la plupart des cas, seules demeurent des obligations
de "déclaration" (parfois par un simple e-mail d'information) dont
on peut supposer qu'elles ont pour seul but de permettre à la NSA
d'entretenir sa base de connaissances. Cette libéralisation américaine
incomplète est l'occasion de ramener nos regards vers la France
et rester vigilant sur la loi de libéralisation prévue pour
ce semestre : elle doit être une abrogation pure et simple des textes
consacrés à la cryptographie. L'utilisation de cryptographie
aux fins de commission d'un délit ou d'un crime peut être
puni par le droit pénal et la procédure pénale communs
(en aménageant ces derniers au besoin). Le mot "cryptographie" ne
devra plus figurer davantage dans la législation française
que ne le fait par exemple le mot "philatélie". Alors seulement,
la France sera un pays aussi libre que l'Allemagne.
PGP
6.5.2 est en téléchargement libre depuis les USA
2000/01/14
Le site Cryptome, localisé
à New York, a mis vendredi midi 14 janvier (heure de Paris) PGP
6.5.2 en téléchargement libre, et ce en application de la
nouvelle réglementation US sur l'exportation.
PGPfreeware
6.5.2a pour Windows
PGPfreeware
6.5.2a pour Mac
Le
texte de la nouvelle réglementation cryptographique américaine
est publié
2000/01/14
Le "Federal Register" américain publie la nouvelle
réglementation sur les exportations de cryptographie.
Extraits :
"The EAR is amended as follows:
1. In Sec. 734.2, Important EAR
Terms and Principles, unrestricted encryption source code under Sec. 740.13(e),
commercial encryption source code under Sec. 740.17(a)(5)(i) and retail
products under Sec. 740.17(a)(3) are exempted from Internet download screening
requirements in Sec. 734.2 (b)(9)(iii). A revised screening mechanism for
other encryption products exported to government end-users is added. Please
note that Sec. 734.2(b)(9) contains the relevant definitions for the export
of encryption source code and object code software. In addition, cross-referencing
changes are made to Secs. 734.7, 734.8, and 734.9.
2. In Sec. 740.13, Technology and
Software Unrestricted, changes are made to reflect amendments to the Wassenaar
Arrangement. Specifically, encryption software is no longer eligible for
mass market treatment under the General Software Note. Encryption commodities
and software are now eligible for mass market treatment under the new Cryptography
Note in Category 5--Part 2 of the CCL. This Note multilaterally decontrols
mass market encryption commodities and software up to and including 64-bits.
Such products, after review and classification by BXA, are classified under
Export Commodity Control Numbers (ECCNs) 5A992 or 5D992, thereby releasing
them from ``EI'' (Encryption Items) and ``NS'' (National Security) controls,
and making them eligible for export and reexport to all destinations (see
Sec. 742.15(b)(1)(iii) of the EAR). Once mass market
encryption software and commodities are released from ``EI'' controls they
may be eligible for de minimis and publicly available treatment (see part
734 of the EAR).
3. Also in Sec. 740.13, to, in
part, take into account the ``open source'' approach to software development,
unrestricted encryption source code not subject to an express agreement
for the payment of a licensing fee or royalty for commercial production
or sale of any product developed using the source code can, without review,
be released from ``EI'' controls and exported and reexported under License
Exception TSU. Intellectual property protection (e.g.,
copyright, patent, or trademark) would not, by itself, be construed as
an express agreement for the payment of a licensing fee or royalty for
commercial production or sale of any product developed using the source
code. To qualify, exporters must notify BXA of the Internet location (e.g.,
URL or Internet address) or provide a copy of the source code by the time
of export. These notifications are only required for the initial export;
there are no notification requirements for end-users subsequently using
the source code. Notification can be made by e-mail to crypt@bxa.doc.gov."
Les
codes-sources cryptographiques sont libres d'export depuis les USA
2000/01/13
Le Département
du Commerce américain a publié les grandes lignes de
la nouvelle réglementation US pour l'exportation de cryptographie.
Les codes-sources "libres" types GNU GPL peuvent dorénavant être
librement exportés sans examen technique préalable.
Extraits :
"Global Exports of Unrestricted Encryption Source Code :
Encryption source code which is available to the public and which
is not subject to an express agreement for the payment of a licensing fee
or royalty for commercial production or sale of any product developed with
the source code may be exported under a license exception without a technical
review. The exporter must submit to the Bureau of Export Administration
a copy of the source code, or a written notification of its Internet location,
by the time of export. Foreign products made with the unrestricted source
code do not require review and classification by the U.S. Government for
reexport. This license exception should apply to exports of most 'open
source' software."
Réglementation
US à l'export : le "draft" final est disponible
2000/01/13
Le "draft"(papier
préparatoire) final de la réglementation américaine
des exportations de cryptographie, daté du 10 janvier, est publié
par l'organisation non-gouvernementale CDT.
Voir notre brève
du 14 décembre 1999
Distributed.net
perd son travail dans le Challenge CSC
2000/01/10
Le groupe Distributed.net a annoncé
que sa recherche dans le Challenge de cassage de clefs CSC avait dépassé
100 % sans trouver la clef du message. La raison est une erreur dans son
système de distribution des blocs de clefs. Une grande partie du
travail est perdue pour Distributed.net qui s'excuse auprès des
dizaines de milliers de bénévoles qui l'aident.
Extrait du communiqué de presse :
"The bad news: for a period of time, the keymaster was generating
blocks with corrupted contest information, making those blocks invalid.
Thankfully, the error only affected the CSC contest and not the RC5-64
contest data. However, the minor error had a major impact on CSC. Roughly
25% of the CSC keyspace was affected by the block corruption."
Voir notre brève
du 9 novembre 1999
Législation
française : mise à jour d'un arrêté sur l'exportation
de cryptographie
2000/01/05
Parution au J.O. du 4 janvier
2000 (n° 2, page 112) de l'arrêté du 23 décembre
1999 modifiant l'arrêté du 5 mai 1995 relatif au contrôle
à l'exportation vers les pays tiers et au transfert vers les Etats
membres de la Communauté européenne de biens à double
usage.
Extraits :
"Art. 4. - Le troisième alinéa de l'article 17 de
l'arrêté du 5 mai 1995 susvisé est remplacé
par le texte suivant :
« Pour les biens de cryptologie, tels que définis à
l'annexe IV de la décision du Conseil susvisée, la délivrance
de la licence d'exportation est subordonnée à l'obtention
de l'autorisation d'exportation prévue à l'article 12 du
décret du 24 février 1998 susvisé, délivrée
selon la procédure décrite aux articles 13 et 14 de ce même
décret. »
Art. 5. - L'arrêté du 5 mai 1995 définissant
la licence générale G. 502 d'exportation des moyens de cryptologie
et fixant les modalités d'établissement et d'utilisation
de cette licence est abrogé.
Mise à jour : avril 2000
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com
|