Cryptologie : le décret enfin publié La cryptologie permet de protéger des messages selon trois objectifs :

– Être assuré de l’intégrité du message, c’est-à-dire être certain qu’aucune altération du message n’est survenue ;

– Être assuré de la confidentialité de la transmission du message, c’est-à-dire être certain qu’aucune autre personne que le destinataire convenu n’a pu être en mesure de comprendre le contenu du message ;

– Être assuré de l’authenticité du message, c’est-à-dire être certain que le message provient bien de la personne prétendant en être l’auteur.

Les solutions actuelles de chiffrement ont principalement recours soit à des algorithmes symétriques (à clés secrètes : l’émetteur et le destinataire doivent tous deux posséder à l’avance les clés permettant de chiffrer ou déchiffrer le message) ou à des algorithmes asymétriques (l’un des deux détient une clé accessible à tous et dite « publique » et l’autre détient une clé « privée »).

La cryptologie, plus largement répandue à partir du début des années 1990, a fait l’objet de deux lois de « libéralisation » (26 juillet 1996 et 21 juin 2004) qui tour à tour ont contribué à assouplir les conditions permettant l’utilisation et le commerce de techniques permettant de chiffrer des données. Toutefois, à défaut de décret d’application, l’avancée issue des articles 30, 31, et 36 de la loi du 21 juin 2004 restait lettre morte. Avec la publication du décret du 2 mai 2007, la dernière étape de libéralisation va pouvoir prendre une forme concrète.

Pour apprécier si telle situation bénéficie du régime de liberté, de déclaration préalable ou d’autorisation préalable, il convient de prendre en compte trois paramètres :

– S’agit-il d’un moyen de cryptologie ou d’une prestation de cryptologie ?

– Quelle est la fonction assurée par le moyen ou la prestation de cryptologie (authentification, intégrité, autre ?)

– Quelle est l’opération envisagée (fourniture, importation, exportation, transfert vers ou depuis l’Union Européenne ?)

Un régime unique pour les prestations de cryptologie

La loi dispose que constitue un moyen de cryptologie « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. » Tout simplement, une prestation de cryptologie consiste en toute opération visant à la mise en oeuvre, pour le compte d’autrui, de moyens de cryptologie.

Toutes les opérations de prestations de cryptologie sont soumises en principe à déclaration préalable auprès du Premier ministre.

La fourniture, l’importation, exportation ou le transfert vers ou depuis un État membre de l’Union européenne sont soumises à des régimes différents résumés dans le tableau ci-dessous.

Toutefois, la loi du 21 juin 2004 (art. 30 III.b, 30 IV.b et 31 I) a ouvert la porte à dérogations à ces régimes pour certains moyens de cryptologie d’usage courant et « dont les caractéristiques techniques ou les conditions d’utilisation sont telles » qu’ils peuvent bénéficier d’un régime plus souple.

Nombreux assouplissements instaurés par le décret

C’est l’un des principaux intérêts du décret du 2 mai 2007 qui vient non seulement préciser les conditions opérationnelles présidant au dépôt d’une déclaration ou d’une demande d’autorisation mais aussi inventorier certains moyens de cryptologie qui peuvent bénéficier d’un régime encore plus souple que celui prévu par la loi.

Les opérations dispensées de toute formalité sont celles déjà autorisées au titre des articles 2335-1 et 2335-3 du Code de la défense (importation et exportation d’armes de guerre) ainsi que la plupart des opérations portant sur des moyens intégrés à des objets grand public tels que des cartes à microprocesseur personnalisées, des équipements de réception de télévision, des équipements de téléphonie ou encore les protections censées assurer la protection de logiciels contre la copie. Les mêmes dérogations s’appliquent quant aux prestations de service associées à ces moyens.

Visées au chapitre II du décret (article 3 à 8), certaines opérations qui devraient naturellement faire l’objet d’une autorisation préalable peuvent faire l’objet d’une simple déclaration auprès de la Direction centrale de la sécurité des systèmes d’information (DCSSI).

Il s’agit, en règle générale, de systèmes de cryptage de données puissants ayant la capacité d’aller au-delà de la simple authentification et permettant d’assurer la confidentialité des données. Visées à l’annexe 2, ces opérations concernent, par exemple, celles qui font intervenir des moyens de cryptographie « n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité et mettant en œuvre un algorithme cryptographique symétrique employant une clé de longueur supérieure à 56 bits » et qui pourraient générer « un code d’étalement de fréquences y compris un code de saut de fréquences ou permettant de générer un code de découpage en canaux, un code de brouillage, ou un code d’identification de réseau, pour des systèmes de modulation ultra-large bade et présentant une bande passante supérieure à 500 MHz ».

Tout un programme !