Crypto-News 2001 (novembre-décembre)
 

  Voir le sommaire des archives des news.
 
 


Débat sur la surveillance électronique : le Conseil Constitutionnel choisit de laisser les mains libres au législateur
2001/12/28
Saisi de manière indirecte de certains articles de la LSQ au terme d'une procédure juridique complexe, le Conseil Constitutionnel n'a pas utilisé cette opportunité pour examiner les conditions dans lesquelles la surveillance électronique se met en place dans les sociétés modernes. Il a notamment estimé"qu'il appartient au législateur d'assurer la conciliation entre, d'une part, l'exercice des libertés constitutionnellement garanties et, d'autre part, la prévention des atteintes à l'ordre public" .
Pour mémoire, le Conseil Constitutionnel s'est imposé comme un acteur incontournable du droit français en 1971, lorsqu'à la surprise générale il décida d'annuler une loi qui limitait la liberté d'association.
Voir l'analyse du juriste Benoit Tabaka : "La loi, la collecte des données de connexion et la constitutionnalité"
Voir l'article de Jérome Thorel sur ZDNet.fr : "Pas de censure-ricochet pour la loi sécurité"


Un décret du 13 décembre 2001 sur les biens "à double usage" trahit le fossé entre une certaine vision administrative du monde et la réalité de l'utilisation quotidienne de cryptographie
2001/12/15
Le décret n° 2001-1192 du 13 décembre 2001 "relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage", publié au J.O. du 15 décembre, précise la liste des outils de cryptologie autorisés en France.
Ce faisant, il rappelle que la vente de ces outils cryptographique reste soumise sur le territoire français à des textes habituellement réservés aux armements. Pourtant, en France, des millions d'utilisateurs d'un ordinateur personnel ont la possibilité de se procurer gratuitement, mais également librement, des logiciels tels PGP, GnuPG, OpenSSH ou OpenSSL.
Les biens dits "à double usage" recouvrent des biens susceptibles d'être utilisés à des fins aussi bien civiles que militaires ; cela concerne principalement le domaine de l'armement ou du nucléaire. Dans les années 1980, les parlementaires français ont, pour une raison inconnue, inclus dans la liste de ces biens les outils de cryptographie.
Il faut préciser que la totalité de la législation française sur la cryptologie, législation extrêmement restrictive et probablement en contradiction avec la Convention européenne des droits de l'Homme, pourrait éventuellement ne pas s'appliquer aux logiciels libres de type GNU GPL ou BSD dans la mesure où ils ne sont pas vendus mais distribués gratuitement comme un service offert par la communauté bénévole des informaticiens (voir aussi les réserves à propos des "logiciels du domaine public" faites par l'Accord de Wassenaar sur les biens à double usage).


"Surveiller qui écrit à qui et qui consulte quoi" : IRIS dénonce une nouvelle fois la LSQ et attire l'attention sur un piège en trois volets contre les libertés des citoyens, au niveau national, européen, et international
2001/12/13
L'association d'internautes IRIS met en perspective les profonds bouleversements législatifs intervenus après les attentats du 11 Septembre aux Etats-Unis. IRIS attire l'attention sur "un piège en trois volets" au niveau national, européen, et international.

En outre, pour l'association, la LSQ française, en imposant la conservation des données de communication par les fournisseurs d'accès à Internet, créé une mesure qui "permet de surveiller qui écrit à qui et qui consulte quoi sur Internet, au mépris des libertés garanties par les textes fondamentaux français et européens."
IRIS considère également que "les dispositions adoptées concernant le déchiffrement des données cryptées portent atteinte aux garanties qu'un citoyen est en droit d'attendre d'une justice loyale et équitable et d'un État démocratique, ainsi qu'au secret garanti par certaines professions réglementées. "

IRIS avait déjà publié une longue analyse critique du projet de Loi sur la Société de l'Information (LSI), puis du texte de la Loi sur la Sécurité Quotidienne (LSQ) reprenant certaines dispositions de la LSI.
A noter que les dispositions anti-terroristes de la LSQ concernant les écoutes numériques au sens large (surveillance du trafic Internet des particuliers ou entreprises) ont été discrètement étendues il y a quelques jours à d'autres infractions (voir le site RAJF).


Constitutionnalité de la loi LSQ du 15 novembre 2001 : des associations rendent public un texte de "saisine citoyenne" symbolique du Conseil Constitutionnel
2001/12/11
Pour prouver la déficience du contrôle constitutionnel français des lois votées par le Parlement constatée lors de la promulgation de la loi LSQ du 15 novembre 2001, le collectif LSIjolie publie un long texte de "saisine citoyenne" du Conseil Constitutionnel.
Voir le texte de la saisine citoyenne concernant la loi LSQ


L'algorithme AES devient officiellement le standard de chiffrement fort américain
2001/12/05
L'algorithme AES (Advanced Encryption Standard), créé par les belges Joan Daemen et Vincent Rijmen sous le nom de "Rijndael", est devenu officiellement le standard de chiffrement fort américain et remplace le DES créé en 1977 par IBM.
On remarquera que DES avait été volontairement affaibli (longueur de clefs limitée à 56 bits) par la NSA pour permettre à cette dernière de pratiquer des écoutes numériques, alors qu'AES est un algorithme reconnu par la communauté internationale comme très résistant et qu'il a été créé au terme d'un débat public international et d'une compétition entre chercheurs qui a vu finalement la victoire d'une équipe européenne.


Malgré la législation française, OpenBSD 3.0, un système d'exploitation gratuit contenant de la cryptographie forte, est librement disponible en France
2001/11/29
La version 3.0 d' OpenBSD est disponible.
Malgré la législation française qui réprime sévèrement toute distribution de produit cryptographique qui n'aurait pas été préalablement autorisé par la DCSSI , le système OpenBSD est diffusé librement sur de nombreux serveurs FTP français (dont l' Université de Paris 6 et le fournisseur d'accès à Internet Club-Internet) et librement vendu sous forme de CD-ROM par correspondance depuis la France.

La libre disponibilité en France d'OpenBSD, un système d'exploitation contenant de la cryptographie forte (ainsi que les programmes GnuPG et OpenSSH), met en lumière le choix du gouvernement français de ne pas appliquer la législation française actuelle limitant la diffusion et l'utilisation de chiffrement à l'intérieur du territoire français.

Une fois passé le cap un peu délicat de son installation, OpenBSD offre la plupart des programmes habituels de GNU/Linux, notamment l'environnement graphique KDE 2.2.1, avec une très grande sécurité contre les intrusions. Le chiffrement du disque et/ou du swap est possible grâce à vnconfig ou TCFS . Pour obtenir une aide en français sur l'installation d'OpenBSD, consulter le forum de discussion fr.comp.os.bsd ou le site http://openbsd.bcnix.com .


Ecoutes numériques : le FBI effectuerait des perquisitions sur les ordinateurs des suspects à l'insu de ces derniers
2001/11/21
Selon un article du webzine MSNBC, citant une "source anonyme", le FBI utiliserait un système d'écoutes numériques appelé "Magic Lantern" consistant à perquisitionner l'ordinateur du suspect sans en informer celui-ci lors du commencement de la perquisition. Le but serait de voler, grâce à l'utilisation d'un virus ou d'une vulnérabilité connue, les clefs secrètes des logiciels de chiffrement utilisés par le suspect pour utiliser ensuite ces clefs contre lui dans le cadre du procès.
L'article ne précise pas si "Magic Lantern" peut opérer sur un système d'exploitation non Windows, ni s'il est efficace contre les systèmes OpenBSD ou SELinux.
Voir l'article de MSNBC : "FBI software cracks encryption wall" .


La loi n° 2001-1062 du 15 novembre 2001 limitant l'usage libre de cryptographie a été promulguée sans contrôle de constitutionnalité
2001/11/16
La loi sur la sécurité quotidienne (LSQ) n° 2001-1062 du 15 novembre 2001 a été promulguée par le Président de la République et parait au Journal Officiel du 16 novembre .
Cette loi contenant des dispositions disparates, et dont la possible inconstitutionnalité a été admise publiquement par plusieurs parlementaires, réglemente la fourniture de "prestations de cryptologie" et prévoit une obligation de déchiffrement des messages chiffrés qui fait peser un risque d'arbitraire, non seulement sur tous les utilisateurs de logiciels de cryptographie à clef publique, mais également sur les utilisateurs de dialectes rares ou inconnus (toute "convention secrète", informatique ou non).
Voir les dispositions de la nouvelle loi.
La Ligue des droits de l'homme, le GISTI, Reporters Sans Frontières, le MRAP, l'association d'internautes IRIS, le Syndicat de la Magistrature, le Réseau Voltaire, et de nombreuses autres ONG, associations et collectifs, avaient dénoncé les dispositions du texte, mis en garde les parlementaires, et solennellement demandé la saisine du Conseil Constitutionnel.

A noter que dans une déclaration involontairement humoristique, le Président Jacques Chirac a précisé qu'il avait renoncé à saisir les juges constitutionnels après avoir lui-même vérifié que le texte de loi était conforme à la Constitution.


Constitutionnalité de la LSQ : un premier recours devant les tribunaux
2001/11/09
Benoit Tabaka, juriste dans un cabinet d'avocats parisien et responsable du site Rajf.org, a déposé un recours devant le Conseil d'Etat visant à ce que, puisque la loi est manifestement inconstitutionnelle, le Conseil d'Etat oblige le Président de la République à saisir le Conseil Constitutionnel. Le Conseil d'Etat a rejeté la demande de M. Tabaka.
Ce recours juridique contre la LSQ est probablement le premier d'une longue série, les associations de défense des droits de l'homme considérant le contenu de la loi comme une anomalie dans la législation française.


Les auteurs de Scramdisk et E4M se sont concertés pour tenter de faire disparaître les outils de chiffrements sûrs du disque dur sous Windows
2001/11/07
Mi-octobre, les sites webs de Scramdisk et E4M , les deux seuls logiciels de chiffrement fort sûrs du disque dur existant pour Windows, ont simultanément interrompu le téléchargement libre de leur programme pour rediriger les internautes vers le site de DriveCrypt , un logiciel commun qu'ils présentent comme le successeur de Scramdisk et E4M, mais dont le code-source est gardé secret.
Tout en affirmant continuer à distribuer librement les anciennes versions freeware de Scramdisk pour Windows 95/98/Me et E4M pour Windows NT/2000/XP, Shaun Hollingworth (aussi connu sous le nom de "Aman", ex-Scramdisk) et Paul Le Roux (ex-E4M) demandent aux internautes de fournir leur adresse e-mail, adresse à laquelle leur est ensuite envoyée l'URL de téléchargement des anciennes versions freeware.
(La version Linux de Scramdisk n'est pas concernée et son développement continue sur http://www.scramdisklinux.org sous licence GNU GPL).
Sam Simpson, qui avait participé au lancement de Scramdisk en 1999 et en gérait le site web original, s'est publiquement démarqué de la décision de Shaun Hollingworth.

Bien que tous ces événements ne soient pas reliés entre eux, cette tentative de faire disparaître les deux seuls logiciels de chiffrement fort du disque dur sous Windows intervient au moment où les gouvernements tentent de restreindre la libre utilisation de chiffrement, et où des entreprises comme NAI ou Zero-Knowledge System arrêtent le développement de leurs programmes PGP et Freedom, et aussi alors que Microsoft sort Windows XP qui intègre un chiffrement du disque (EFS) dont le code-source est gardé secret.

 Nouvelle adresse de téléchargement libre de Scramdisk 3.x freeware (et de son code-source).

A noter que l'utilisation de DriveCrypt est fortement déconseillée pour des raisons évidentes de sécurité (code-source gardé secret).


Une nouvelle version du plug-in GnuPG pour MS-Outlook Express 5 et 6 (Windows)
2001/11/03
GPGOE 0.2.0 est disponible. Une documentation a aussi été mise en ligne.
GPGOE est un plug-in GnuPG pour MS-Outlook Express 5.0, 5.5, 6.0 (Windows 95/98/Me, NT/2000, XP) qui permet de signer, chiffrer, vérifier, déchiffrer en quelques clics de souris dans Outlook Express. La licence est GNU GPL.


En dépit des mises en garde des associations de défense des droits de l'homme, l'Assemblée nationale a adopté définitivement la LSQ -
En réprimant sévèrement l'obligation de déchiffrement et la fourniture de prestation de cryptologie, la Loi sur la sécurité quotidienne crée l'insécurité pour les utilisateurs de chiffrement

2001/11/01
Le Parlement a définitivement adopté mercredi par un ultime vote de l'Assemblée nationale le projet de Loi sur la sécurité quotidienne (LSQ). Le PS, le PRG et le MDC ont voté pour, la droite a voté pour les amendements anti-terroristes (dont la cryptologie et Internet), le PCF s'est abstenu, les Verts ont voté contre.
Plusieurs lettres ouvertes et pétitions (IRIS, LSIjolie, LDH, MRAP, RSF) avaient pourtant mis en garde le Parlement sur les dangers des dispositions du projet LSQ.

Les deux articles portant sur la cryptologie font dorénavant peser des menaces importantes sur tous les utilisateurs de cryptologie, particuliers comme entreprises, que le logiciel utilisé soit un outil de chiffrement fort comme OpenPGP, ou qu'il s'agisse d'un logiciel fourni sans son code-source.
Un article punit de peines de prison le fait de ne pas remettre les clefs de déchiffrement lorsqu'une telle demande est effectuée par l'autorité compétente, mais il n'a pas envisagé le cas du changement très fréquent et de l'effacement automatique de ces clefs, habituel lors de sessions chiffrées à distance (OpenSSH), ni celui d'une perte, d'une réinstallation complète avec destruction des anciennes clefs, ou d'un oubli du mot de passe.
L'autre article punit également de peines de prison le fait de fournir une prestation de cryptologie sans en avoir obtenu l'autorisation, mais il n'a pas envisagé la situation des informaticiens bénévoles développant des logiciels pour la communauté GNU/Linux et BSD, ni celui des personnes qui fourniraient des exemples de scripts Unix de chiffrement ou une simple aide à l'utilisation de chiffrement fort comme les rédacteurs de notre site web.

Au final, le caractère illogique, inefficace et inapplicable de ces dispositions fait peser un risque d'arbitraire sur toute personne s'intéressant de près ou de loin à ce qui n'est rien d'autre qu'un logiciel informatique de chiffrement.

Voir le texte adopté de la LSQ (format PDF) : partie 2 et partie 3.
Voir l'article de ZDNet.fr :
"La LSQ adoptée après un débat précipité"
Voir l'article de 01net : "La LSQ contre le chiffrement"
Voir l'article du Monde : Interview de Danièle Lochak, professeur de Droit
Voir la réaction de l'association IRIS : "Union sacrée contre la démocratie et les libertés"



 


 



Mise à jour : janvier 2002
Publié sous licence OpenContent

Copyright (c) 1997-2002, pplf <pplf@geocities.com>

Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
La reproduction exacte et la distribution intégrale de cet article est permise sur n'importe quel support d'archivage, pourvu que cette notice est préservée.


accueil   |  présentation  |  sommaire  |  histoire  |  version française   |  mode  d'emploi news  |  autre crypto