Voir le sommaire des archives des news.
Débat sur la surveillance électronique : le Conseil Constitutionnel
choisit de laisser les mains libres au législateur
2001/12/28
Saisi de manière indirecte de certains articles de la LSQ au
terme d'une procédure juridique complexe, le Conseil Constitutionnel
n'a pas utilisé cette opportunité pour examiner les conditions
dans lesquelles la surveillance électronique se met en place dans
les sociétés modernes. Il a
notamment estimé"qu'il appartient au législateur d'assurer
la conciliation entre, d'une part, l'exercice des libertés constitutionnellement
garanties et, d'autre part, la prévention des atteintes à
l'ordre public" .
Pour mémoire, le
Conseil Constitutionnel s'est imposé comme un acteur incontournable
du droit français en 1971, lorsqu'à la surprise générale
il décida d'annuler une loi qui limitait la liberté d'association.
Voir l'analyse du juriste Benoit Tabaka :
"La loi, la collecte des données de connexion et la constitutionnalité"
Voir l'article de Jérome Thorel sur ZDNet.fr :
"Pas de censure-ricochet pour la loi sécurité"
Un décret du 13 décembre 2001 sur les biens "à
double usage" trahit le fossé entre une certaine vision administrative
du monde et la réalité de l'utilisation quotidienne
de cryptographie
2001/12/15
Le
décret n° 2001-1192 du 13 décembre 2001
"relatif au contrôle à l'exportation, à l'importation
et au transfert de biens et technologies à double usage", publié
au J.O. du 15 décembre, précise la liste des outils de cryptologie
autorisés en France.
Ce faisant, il rappelle que la vente de ces outils cryptographique
reste soumise sur le territoire français à des textes habituellement
réservés aux armements. Pourtant, en France, des millions
d'utilisateurs d'un ordinateur personnel ont la possibilité de se
procurer gratuitement, mais également librement, des logiciels
tels PGP, GnuPG, OpenSSH ou OpenSSL.
Les biens dits
"à double usage" recouvrent des biens susceptibles
d'être utilisés à des fins aussi bien civiles que
militaires ; cela concerne principalement le domaine de l'armement ou
du nucléaire. Dans les années 1980, les parlementaires
français ont, pour une raison inconnue, inclus dans la liste
de ces biens les outils de cryptographie.
Il faut préciser que la totalité de la législation
française sur la cryptologie, législation extrêmement
restrictive et probablement en contradiction avec la Convention européenne
des droits de l'Homme, pourrait éventuellement ne pas s'appliquer
aux logiciels libres de type GNU GPL ou BSD dans la mesure où ils
ne sont pas vendus mais distribués gratuitement comme un service
offert par la communauté bénévole des informaticiens
(voir aussi les
réserves à propos des "logiciels du domaine public"
faites par l'Accord de Wassenaar sur les biens à double usage).
"Surveiller qui écrit à qui et qui consulte quoi"
: IRIS dénonce une nouvelle fois la LSQ et attire l'attention
sur un piège en trois volets contre les libertés des citoyens,
au niveau national, européen, et international
2001/12/13
L'association d'internautes IRIS met en
perspective les profonds bouleversements législatifs
intervenus après les attentats du 11 Septembre aux Etats-Unis.
IRIS attire l'attention sur "un piège en trois volets" au niveau
national, européen, et international.
En outre, pour l'association, la LSQ française, en imposant
la conservation des données de communication par les fournisseurs
d'accès à Internet, créé une mesure qui
"permet de surveiller qui écrit à qui et qui consulte
quoi sur Internet, au mépris des libertés garanties par
les textes fondamentaux français et européens."
IRIS considère également que "les dispositions
adoptées concernant le déchiffrement des données
cryptées portent atteinte aux garanties qu'un citoyen est en
droit d'attendre d'une justice loyale et équitable et d'un État
démocratique, ainsi qu'au secret garanti par certaines professions
réglementées. "
IRIS avait déjà publié une longue analyse
critique du projet de Loi sur la Société de l'Information
(LSI), puis du texte de la Loi sur la Sécurité Quotidienne
(LSQ) reprenant certaines dispositions de la LSI.
A noter que les dispositions anti-terroristes de la LSQ
concernant les écoutes numériques au sens large (surveillance
du trafic Internet des particuliers ou entreprises) ont été
discrètement étendues il y a quelques jours à
d'autres infractions (voir le site
RAJF).
Constitutionnalité de la loi LSQ du 15 novembre 2001
: des associations rendent public un texte de "saisine citoyenne"
symbolique du Conseil Constitutionnel
2001/12/11
Pour prouver la déficience du contrôle constitutionnel
français des lois votées par le Parlement constatée
lors de la promulgation de la loi LSQ du 15 novembre 2001, le collectif
LSIjolie publie
un long texte de "saisine citoyenne" du Conseil Constitutionnel.
Voir le texte de la
saisine citoyenne concernant la loi LSQ
L'algorithme AES devient officiellement le standard
de chiffrement fort américain
2001/12/05
L'algorithme AES (Advanced Encryption Standard),
créé par les belges Joan Daemen et Vincent Rijmen
sous le nom de "Rijndael", est devenu officiellement le
standard de chiffrement fort américain et
remplace le DES créé en 1977 par IBM.
On remarquera que DES avait été volontairement
affaibli (longueur de clefs limitée à 56 bits) par la
NSA pour permettre à cette dernière de pratiquer des
écoutes numériques, alors qu'AES est un algorithme reconnu
par la communauté internationale comme très résistant
et qu'il a été créé au terme d'un débat
public international et d'une compétition entre chercheurs qui
a vu finalement la victoire d'une équipe européenne.
Malgré la législation française,
OpenBSD 3.0, un système d'exploitation gratuit contenant
de la cryptographie forte, est librement disponible en France
2001/11/29
La version 3.0 d'
OpenBSD est disponible.
Malgré la législation française
qui réprime sévèrement toute distribution
de produit cryptographique qui n'aurait pas été
préalablement autorisé par la
DCSSI , le système OpenBSD est diffusé
librement sur de nombreux serveurs FTP français (dont
l'
Université de Paris 6 et le fournisseur d'accès
à Internet
Club-Internet) et librement vendu sous
forme de CD-ROM
par correspondance depuis la France.
La libre disponibilité en France d'OpenBSD,
un système d'exploitation contenant de la cryptographie
forte (ainsi que les programmes GnuPG et OpenSSH), met en lumière
le choix du gouvernement français de ne pas appliquer
la législation française actuelle limitant la diffusion
et l'utilisation de chiffrement à l'intérieur du
territoire français.
Une fois passé le cap un peu délicat de son
installation, OpenBSD offre la plupart des programmes habituels
de GNU/Linux, notamment l'environnement graphique KDE 2.2.1, avec
une très grande sécurité contre les intrusions.
Le chiffrement du disque et/ou du swap est possible grâce à
vnconfig ou
TCFS . Pour obtenir une aide en français sur
l'installation d'OpenBSD, consulter le forum de discussion
fr.comp.os.bsd ou le site
http://openbsd.bcnix.com .
Ecoutes numériques : le FBI effectuerait
des perquisitions sur les ordinateurs des suspects à
l'insu de ces derniers
2001/11/21
Selon un article du webzine MSNBC, citant
une "source anonyme", le FBI utiliserait un système
d'écoutes numériques appelé "Magic Lantern"
consistant à perquisitionner l'ordinateur du suspect
sans en informer celui-ci lors du commencement de la perquisition.
Le but serait de voler, grâce à l'utilisation d'un
virus ou d'une vulnérabilité connue, les clefs secrètes
des logiciels de chiffrement utilisés par le suspect
pour utiliser ensuite ces clefs contre lui dans le cadre du procès.
L'article ne précise pas si "Magic Lantern" peut
opérer sur un système d'exploitation non Windows,
ni s'il est efficace contre les systèmes OpenBSD ou
SELinux.
Voir l'article de MSNBC :
"FBI software cracks encryption wall"
.
La loi n° 2001-1062 du 15 novembre
2001 limitant l'usage libre de cryptographie a été
promulguée sans contrôle de constitutionnalité
2001/11/16
La loi sur la sécurité
quotidienne (LSQ) n° 2001-1062 du 15 novembre 2001 a
été promulguée par le Président
de la République et parait au
Journal Officiel du 16 novembre
.
Cette loi contenant des dispositions
disparates, et dont la possible inconstitutionnalité
a été admise publiquement par plusieurs parlementaires,
réglemente la fourniture de "prestations de cryptologie"
et prévoit une obligation de déchiffrement des
messages chiffrés qui fait peser un risque d'arbitraire,
non seulement sur tous les utilisateurs de logiciels de cryptographie
à clef publique, mais également sur les utilisateurs
de dialectes rares ou inconnus (toute "convention secrète",
informatique ou non).
Voir les
dispositions de la nouvelle loi.
La Ligue des droits de l'homme, le GISTI, Reporters Sans
Frontières, le MRAP, l'association d'internautes IRIS,
le Syndicat de la Magistrature, le Réseau Voltaire,
et de nombreuses autres ONG, associations et collectifs, avaient
dénoncé les dispositions du texte, mis en garde
les parlementaires, et solennellement demandé la saisine
du Conseil Constitutionnel.
A noter que dans une déclaration involontairement
humoristique, le Président
Jacques Chirac
a précisé qu'il avait renoncé à
saisir les juges constitutionnels après avoir lui-même
vérifié que le texte de loi était conforme
à la Constitution.
Constitutionnalité de la LSQ :
un premier recours devant les tribunaux
2001/11/09
Benoit Tabaka, juriste dans un cabinet
d'avocats parisien et responsable du site Rajf.org, a déposé
un recours devant le Conseil d'Etat visant à ce
que, puisque la loi est manifestement inconstitutionnelle,
le Conseil d'Etat oblige le Président de la République
à saisir le Conseil Constitutionnel. Le
Conseil d'Etat a rejeté la demande
de M. Tabaka.
Ce recours juridique contre la LSQ est probablement le
premier d'une longue série, les associations de défense
des droits de l'homme considérant le contenu de la
loi comme une anomalie dans la législation française.
Les auteurs de Scramdisk et E4M se sont
concertés pour tenter de faire disparaître
les outils de chiffrements sûrs du disque dur sous Windows
2001/11/07
Mi-octobre, les sites webs de
Scramdisk et
E4M , les deux seuls logiciels de chiffrement
fort sûrs du disque dur existant pour Windows, ont simultanément
interrompu le téléchargement libre de leur
programme pour rediriger les internautes vers le site de
DriveCrypt , un logiciel commun qu'ils
présentent comme le successeur de Scramdisk et E4M,
mais dont le code-source est gardé secret.
Tout en affirmant continuer à
distribuer librement les anciennes versions freeware
de Scramdisk pour Windows 95/98/Me et E4M pour Windows NT/2000/XP,
Shaun Hollingworth (aussi connu sous le nom de "Aman", ex-Scramdisk)
et Paul Le Roux (ex-E4M) demandent aux internautes de fournir
leur adresse e-mail, adresse à laquelle leur est ensuite
envoyée l'URL de téléchargement des anciennes
versions freeware.
(La version Linux de Scramdisk
n'est pas concernée et son développement
continue sur
http://www.scramdisklinux.org sous licence
GNU GPL).
Sam Simpson, qui avait participé
au lancement de Scramdisk en 1999 et en gérait le
site web original, s'est
publiquement démarqué de
la décision de Shaun Hollingworth.
Bien que tous ces événements ne soient
pas reliés entre eux, cette tentative de faire disparaître
les deux seuls logiciels de chiffrement fort du disque dur
sous Windows intervient au moment où les gouvernements
tentent de restreindre la libre utilisation de chiffrement,
et où des entreprises comme NAI ou Zero-Knowledge System
arrêtent le développement de leurs programmes PGP
et Freedom, et aussi alors que Microsoft sort Windows XP qui
intègre un chiffrement du disque (EFS) dont le code-source
est gardé secret.
Nouvelle
adresse de téléchargement libre
de Scramdisk 3.x freeware (et de son code-source).
A noter que l'utilisation de DriveCrypt
est fortement déconseillée pour des raisons
évidentes de sécurité (code-source gardé
secret).
Une nouvelle version du plug-in GnuPG pour MS-Outlook
Express 5 et 6 (Windows)
2001/11/03
GPGOE 0.2.0
est disponible. Une
documentation a aussi été
mise en ligne.
GPGOE est un plug-in GnuPG pour MS-Outlook
Express 5.0, 5.5, 6.0 (Windows 95/98/Me, NT/2000, XP) qui permet
de signer, chiffrer, vérifier, déchiffrer
en quelques clics de souris dans Outlook Express. La
licence est GNU GPL.
En dépit des mises en garde
des associations de défense des droits de l'homme,
l'Assemblée nationale a adopté définitivement
la LSQ -
En réprimant sévèrement
l'obligation de déchiffrement et la fourniture
de prestation de cryptologie, la Loi sur la sécurité
quotidienne crée l'insécurité pour
les utilisateurs de chiffrement
2001/11/01
Le Parlement a
définitivement adopté
mercredi par un ultime vote de l'Assemblée
nationale le projet de Loi sur la sécurité
quotidienne (LSQ). Le PS, le PRG et le MDC ont voté pour,
la droite a voté pour les amendements anti-terroristes
(dont la cryptologie et Internet), le PCF s'est abstenu, les
Verts ont voté contre.
Plusieurs lettres ouvertes et pétitions (IRIS,
LSIjolie, LDH, MRAP, RSF) avaient pourtant
mis en garde le Parlement sur les dangers des dispositions
du projet LSQ.
Les deux articles portant sur la cryptologie font dorénavant
peser des menaces importantes sur tous les utilisateurs
de cryptologie, particuliers comme entreprises, que le
logiciel utilisé soit un outil de chiffrement fort comme
OpenPGP, ou qu'il s'agisse d'un logiciel fourni sans son code-source.
Un article punit de peines de
prison le fait de ne pas remettre les clefs de déchiffrement
lorsqu'une telle demande est effectuée par l'autorité
compétente, mais il n'a pas envisagé le cas
du changement très fréquent et de l'effacement automatique
de ces clefs, habituel lors de sessions chiffrées
à distance (OpenSSH), ni celui d'une perte, d'une réinstallation
complète avec destruction des anciennes clefs, ou d'un
oubli du mot de passe.
L'autre article punit également
de peines de prison le fait de fournir une prestation de
cryptologie sans en avoir obtenu l'autorisation, mais il
n'a pas envisagé la situation des informaticiens bénévoles
développant des logiciels pour la communauté
GNU/Linux et BSD, ni celui des personnes qui fourniraient des
exemples de scripts Unix de chiffrement ou une simple aide
à l'utilisation de chiffrement fort comme les rédacteurs
de notre site web.
Au final, le caractère
illogique, inefficace et inapplicable
de ces dispositions fait peser un risque d'arbitraire
sur toute personne s'intéressant de près ou
de loin à ce qui n'est rien d'autre qu'un logiciel
informatique de chiffrement.
Voir le texte adopté de la LSQ (format PDF) :
partie 2 et
partie 3.
Voir l'article de ZDNet.fr :
"La LSQ adoptée après
un débat précipité"
Voir l'article de 01net :
"La LSQ contre le chiffrement"
Voir l'article du Monde :
Interview de Danièle Lochak,
professeur de Droit
Voir la réaction de l'association IRIS
:
"Union sacrée contre la
démocratie et les libertés"
Copyright (c) 1997-2002, pplf <pplf@geocities.com>
Verbatim copying and distribution of this entire article is permitted
in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article
est permise sur n'importe quel support d'archivage, pourvu que cette notice
est préservée.
accueil | présentation | sommaire | histoire | version française | mode d'emploi | news | autre crypto