Underground - Cryptologie/Cryptographie

Virus
- Historique
- Types
- Solutions
-------------
Hacking
- Historique
- Types
- Solutions
-------------
News
-------------
Dossiers
-------------
Forum
-------------
Contact

Législation :

Jusqu'en 1990 les systèmes cryptographiques étaient considérés comme du matériel de guerre. Grâce à un décret du 28 décembre 1992, un double régime de déclaration et d'autorisation a été mis en place. On a alors commencé à différencier le chiffrement pour l'authentification (Régime de déclaration), et pour la confidentialité (Régime d'autorisation).

L'article 17, de juillet 1996, completera la loi de décembre 1990 (loi n°90-1170 du 29 décembre 1990), en différenciant la prestation du moyen cryptographique. Le décret Numéro 92-1358, du 28 décembre 1992 (Journal Officiel

Journal Officiel du 30 décembre 1992), permettra de faire la distinction entre la cryptographie d'éléments d'authentification (comme les codes de Carte Bleu par exemple), et la cryptographie d'information et les matériels ou logiciels associés. De même l'article permettra de faire la différence entre la protection contre le piratage et la cryptographie... uniquement si cette protection, même tenue secrète, ne chiffre pas tout ou partie du logiciel.

Dans le décret

décret 92-1358, on voit apparaître dans l'article 9, le SCSSI SCSSI (Service Central de la Sécurité des Systèmes d'Informations).

Art.9 - En cas d'incertitude du demandeur sur l'appartenance d'un moyen ou d'une prestation à la catégorie des moyens ou prestations de cryptologie, l'avis du service central de la sécurité des systèmes d'informations est demandé.

Clairement le SCSSI SCSSI est chargé d'apprécier le niveau de protection des systèmes d'information (cryptologie, sécurité informatique, protection contre les signaux parasites compromettants) et d'agréer les produits traitant les informations classifiés défense.

Ce même organisme forme les spécialistes dont l'Etat a besoin, sensibilise les responsables des administrations et secteurs privés à l'importance de la sécurité des SI. Il joue un rôle de conseil auprès des administrations.

On n'oubliera pas que les critères de sélections des autorisations restent secrets...

On retrouvera les textes législatifs concernant la création et la mission du SCSSI

SCSSI dans les décrets n°86-318 du mars 1996, n°93-209 du 15 février 1993 et n° 96-67 du 29 janvier 1996.

SCSSI
18 rue du Docteur Zamenhof
92190 ISSY LES MOULINEAUX.

Bref, la loi de juillet 1996 est très importante car elle signifie que l'on peut transmettre de l'information en clair, mais que cette information peut utiliser la cryptographie pour la signature électronique ou pour garantir de l'intégrité des messages. Cela constituait un pas énorme pour le courrier ou le courrier électronique par exemple.

Les décrets d'application des différentes lois précitées n'apparaîtront qu'un an et demi plus tard au J.O. Numéro 47 du 25 février 1998.

Le décret n°98-101 du 24 février 1998 définit les conditions dans lesquelles sont souscrites les déclarations. Il précisera aussi dans quelles conditions sont accordées les autorisations concernant les moyens et prestations de cryptologie.

Le décret n°98-102 du 24 février définit les conditions dans lesquelles sont agrées les organismes gérant pour autrui des conventions secrètes de cryptologie.

Ce dernier décret fait apparaître des organismes appelés Tiers de Confiance

Tiers de Confiance (TC), qui ont pour charge de "garder" les clés utilisées pour chiffrer. Cela permettrait de chiffrer toute information à condition d'avoir préalablement déclaré les méthodes et clés utilisées à un organisme sous contrôle de l'état. Cette possibilité permet de simplifier les procédures d'autorisations, mais laisse quand même un sentiment de frustration vis-à-vis de la faille de sécurité engendrée par l'existence obligatoire de ce tiers.

Les Décrets n°98-207 et n°96-206 du 23 mars 1998, ainsi que l'arrêté du 13 mars 1998, viennent cerner les droits d'utilisation de la cryptographie. Ainsi les moyens cryptographiques dont le "déchiffrement d'un message ou d'un fichier au moyen du parcours systématique de toutes les clés possibles ne requiert pas plus de 2 40 essais sur un test d'arrêt simple", sont dispensées de toute déclaration pour l'utilisation ou l'importation. De même un tableau récapitulatif ( Annexe 1) recense les obligations de déclaration ou non des différents moyens et prestations cryptographiques. Les esprits critiques n'oublieront pas de remarquer que l'on est autorisé à crypter, à condition que l'état puisse facilement retrouver l'information originale (Ce qui est le cas pour la cryptographie à clés inférieures à 56 bits).

(sources Sébastien HERVET)

Retour | Haut