Un troisième et quatrième décrets sont intervenus le 23 mars 1998, (décret n° 98-206 du 23.03.1998 et n° 98-207 publié au JORF du 25/03/1998 p. 4448 et 4449) afin de définir les différentes catégories de moyens et prestations de cryptologie dispensées de toute formalité préalable et pour lesquelles la procédure de déclaration préalable est substituée à celle d’autorisation.

Que peut-on dégager de ces décrets ?

I. La première innovation réside dans l’instauration d’un régime de dispense de formalités pour certaines catégories de moyens et de prestations de cryptologie qui sont désignées par le 3ème décret :

Ainsi :

- est libre l’utilisation des moyens ou des prestations de cryptologie qui ne permettent pas d’assurer des fonctions de confidentialité.

Il s’agit notamment des systèmes et/ou des prestations qui permettent de protéger des mots de passe, des codes d’identifications personnels ou des données d’authentification similaires utilisés pour contrôler l’accès à des données, à des ressources, à des services ou des locaux, sous la seule réserve qu’ils ne permettent de chiffrer que les fichiers de mots de passe ou de codes d’identification et les informations nécessaires au contrôle d’accès.

Donc : on peut librement crypter un accès mais il ne saurait être question de crypter librement les contenus et les données elle mêmes.

- est libre l’utilisation des procédés ou prestations qui permettent d’élaborer ou protéger une procédure de signature, une valeur de contrôle cryptographique, un code d’authentification de message ou une information similaire, pour vérifier la source des données, prouver la remise des données au destinataire, ou bien détecter les altérations ou modifications subreptices portant atteinte à l’intégrité des données, sous la seule réserve qu’ils ne permettent de chiffrer que les informations nécessaires à l’authentification ou au contrôle d’intégrité des données concernées.

Donc : l'utilisation de tout système qui aura pour vocation d’assurer l’authentification de l’échange et des correspondants sera libre ainsi que les moyens permettant d’assurer l’intégrité des messages transmis d’un bout à l’autre de la chaîne de diffusion (attention là encore il ne saurait être question de crypter les contenus diffusés).

Pour Internet

Le texte est claire et ne fait pas obstacle à l’usage libre de tels moyens et prestations sur le net.

Seule restriction : article 9 (décret 98-101) " les moyens mentionnés au a) de l’article 1er et destinés aux transactions et formalités réalisées par voie électronique bénéficient d’un régime simplifié sous réserve que le déclarant certifie que l’impossibilité d’assurer des fonctions de confidentialité ne résulte pas d’un dispositif de verrouillage " (Pour le régime de déclaration simplifié voir ci après).

L’utilisation des techniques de déchiffrement qui ont une fonction de confidentialité est libéralisée sous réserve de gestion des conventions par "des tiers de confiance" agréés (dans les conditions définies par la loi du 29.12.1990) :

•La confidentialité est utilisable que par des logiciels employant des clés de petite taille (40 bits).
•Pour décrypter au delà de 40 bits, il faudra déposer des clés chez un tiers de confiance (voir déf. plus loin). Concrètement l’utilisateur bénéficiera d’une ou plusieurs paires de clés :

     •Une dite publique qui permet à ses interlocuteurs de chiffrer les messages qu’il souhaitent lui faire parvenir ;
     •L’autre secrète permettant de déchiffrer.

Un exemplaire de la clé secrète devra être remise au tiers de confiance chargé de la conserver dans le cas d’une éventuelle remise en justice.

" Les tiers de confiance " :

Le décret a fixé les conditions suivantes à remplir pour assumer le rôle de " tiers de confiance " :

•Compter dans ses effectifs un nombre " suffisant " de personnes habilitées par l’Etat " secret défense " : soit au minimum six personnes nonobstant la disponibilité 24H/24H de deux personnes pour retirer les clés en cas de besoin.
•Disposer d’une infrastructure de sécurité forte définie dans un cahier des charges : art 8 du décret n° 98-102 ( locaux et matériels sécurisés, logiciels agrées par le SCSSI comme adaptés à la solution de confidentialité…).
•Le titre II du décret définie les obligations à la charge de l’organisme agréé. Notamment le contenu du contrat passé entre ce dernier et l’utilisateur pour la gestion de ses conventions secrètes. Le fait que cet organisme constitue et tient à jour une liste de ses clients.
•Faculté pour cet organisme au bout de 4 ans de se libérer de ses obligations au profit d’un autre organisme avec accord de l’utilisateur.
•Existence d’une procédure de retrait de l’agrément (titre III du décret 98-102).

Leur dossier sera soumis à examen et l’agrément doit être notifié par le 1er ministre. Pour les conditions de l’agrément le 1er ministre a pris trois arrêtés organisant:

•La forme et le contenu du dossier de demande d’agrément des organisme gérant pour le compte d’autrui des conventions secrètes ;
•La liste des organismes agrées pouvant recevoir dépôts des convention secrètes ;
•Le tarif forfaitaire pour la mise en œuvre des conventions secrètes au profit des autorités mentionnées dans la loi de 1990 sur la réglementation des télécommunications

S’agissant de la relation entre l’utilisateur et le tiers de confiance elle doit faire l’objet d’un contrat écrit qui doit notamment comporter un engagement de l’organisme relatif à la sécurité des conventions secrètes qu’il gère pour le compte de l’utilisateur.

Enfin on note que la fonction de remise des clés est considérée gratuite par l’Etat en revanche facturation des mises en œuvre des conventions secrètes une indemnité forfaitaire (400 francs ttc) aux autorités qui souhaiteraient pratiquer des écoutes ou accéder à des messages cryptés.

II. Dispense pour l’utilisateur des formalités déclaratives ou d’autorisation lorsque son fournisseur aura déjà lui même procédé à une déclaration de fourniture en vue d’une utilisation générale ou bénéficie d’une autorisation de fourniture en vue d’une utilisation générale ou collective destinée à une catégorie d’utilisateurs à laquelle appartient l’utilisateur.

III. En dehors de ces hypothèses, les techniques de chiffrement restent soumises à un régime de contrôle du Service des Systèmes d’Information (SCSSI), le dispositif se décline, comme auparavant, en un régime de déclaration et un régime d’autorisation :

Comment doivent dorénavant procéder les entreprises pour remplir les formalités déclaratives ou d’autorisation ?

Le 1er ministre a pris un arrêté en date du 13 mars 1998 qui définie la forme et le contenu du dossier concernant les déclarations relatives aux moyens et prestations de cryptologie :

Sur la base par ailleurs du décret du 24 février, le dossier devra être adressé au SCSSI au moins un mois avant l’action projetée. La réception de ce dossier fait courir un délai de un mois à l’expiration duquel et en cas de silence du SCSSI le déclarant peut procéder librement aux opérations faisant l’objet de la déclaration.

Les conditions de dépôt du dossier de demande d’autorisation et de déclaration sont identiques.

1. Déclaration préalable

Elle est requise pour la fourniture, l’importation et l’exportation (hors UE) de moyens de cryptologie qui n’assurent pas la confidentialité. Un régime de déclaration simplifiée est institué.

Le régime de déclaration simplifiée ne concerne que les produits de signature ou de chiffrement de mots de passe dont l’impossibilité d’assurer des fonctions de confidentialité ne résulte pas d’un simple dispositif de verrouillage. Il permet au déclarant d’utiliser ou de mettre à la disposition du public son moyen ou sa prestation de cryptologie après avoir adressé par lettre AR ou par dépôt direct au SCSSI la seule partie administrative (cf. ci après) du document utilisé dans le cadre de la procédure de déclaration préalable (cf. infra) et reçu le récépissé de son envoi.

Rappelons que sont visées dans le régime de déclaration les opérations de cryptologie ayant pour effet :

- d’authentifier une communication

- assurer l'intégrité du message transmis

Sont concernés les moyens conçus pour protéger (mots de passe, codes d’identifications personnels ou données d’authentification similaire) et les moyens conçus pour élaborer ou protéger (procédure de signature, valeur de contrôle cryptographique, code authentification de message ou information similaire).

Le quatrième décret est venu définir les catégories et moyens de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d’autorisation.

2. Autorisation préalable

Le régime d’autorisation pour la confidentialité prévu par le 1er ministre subsiste pour la fourniture, l’importation et l’exportation de moyens de cryptologie dite forte (cad soumise au régime de déclaration nous rappelons que sont visées entre autre les opérations ayant pour but d’assurer la conservation des données et des communications conservées en mémoire). Ainsi l’autorisation de fourniture d’un moyen ou d’une prestation de cryptologie mentionne le type de procédure de gestion des conventions secrètes. L’autorisation de fourniture valant dans les mêmes conditions autorisations pour les intermédiaires que les fournisseurs chargent de la diffusion du moyen ou de la prestation sous réserve de notification de l’identité de ces intermédiaires au SCSSI.

Le dossier de déclaration ou de demande d’autorisation concernant un moyen ou une prestation de cryptologie comporte une partie administrative et une partie technique

La partie administrative est un document type annexé à l’arrêté du 13 mars 1998, document à déposer au SCSSI (18 rue du Docteur Zaménhof 92131 Issy-les-Moulineaux cedex).

La partie technique comprend une description conforme à un modèle annexé qui devra être déposé au SCSSI.
Cette partie technique doit comprendre les informations suivantes :

•Ref. commerciale du produit (nom, numéro de version) ;
•Description générale du produit, manuel utilisateur ;
•Description des fonctions de cryptologie offerte par le produit ;
•Description complète des procédés de cryptologie employés sou la forme d’une description mathématique et d’une simulation dans un langage de haut niveau (C ou pascal ou autre système sous réserve accord SCSSI) ;
•Sortie de référence du produit effectuée (à partir texte clair +clé délivrée par SCSSI pour vérifier conformité) ;
•Sortie de référence du procédé de chiffrement (à partir texte clair +clé délivrée par SCSSI pour vérifier conformité) ;
•Description complète de la gestion des clés mise en œuvre par le moyen incluant au moins :
     •Mode de distribution ;
     •Intégration au procédé de chiffrement ;
     •Architecture des clés employés ;
     •Procédé de génération des clés ;
     •Fréquence de changement des clés ;
     •Format de conservation si il y lieu.
•Description du dispositif de dépôt et de récupération de clés inclues, dans le cas ou la gestion des clés du moyen ou de la prestation est effectuée par un organisme agrée ;
•Description des mesures techniques mises ne œuvre pour empêcher l’altération du procédé de chiffrement ou de la gestion de clés associée ;
•Description des pré-traitements subis par des données claires avant leur chiffrement (compression, formatage…) ;
•Description des post-traitements des données chiffrées après leur chiffrement (ajout d’un en-tête, formatage…).
•Pour l’utilisation, la fourniture, l’importation et l’exportation de produit de confidentialité, si comme il est indiqué ci dessus l’autorisation est la règle il existe une dérogation pour l’utilisation non opérationnelle, comme les tests qui sont dispensés de formalités.

Etablissement d’un délai de réponse pour Les services du premier ministre : 1 mois pour la déclaration et 4 mois pour l’autorisation. Passé ce délai le défaut de notification vaut accord.

Deux articles méritent encore d’être mentionnés (décret 98-101) : articles 15 et 16

•Article 15 prévoit que l’utilisation par un fournisseur à des fins exclusives de développement, de validation ou de démonstration d’un moyen ou d’une prestation de cryptologie relevant normalement du régime d’autorisation est exemptée de la procédure contraignante décrite ci avant. Cette exemption est accordée à la double condition d’en informer le SCSSI deux semaines à l’avance et si dans ce délai il ne lui a pas été notifié par le 1er ministre de se soumettre à des conditions particulière et/ou la procédure normale d’autorisation.
•L’article 16 pour sa part rappelle qu’aucune autorisation ne sera accordée pour un usage destiné à dissimuler la teneur des communications établies à partir d’installations radioélectriques d’amateurs, des installations destinées aux radiocommunications de loisirs et de postes émetteur - récepteur fonctionnant sur les canaux banalisés.

Enfin, sur les professionnels de l’Internet et éditeurs informatiques, il pèse une obligation qui sera de mentionner dans le contrat ou la licence d’utilisation du système de cryptologie ou de tout système informatique comprenant un moyen de cryptologie (ex. navigateurs Internet), une disposition indiquant le régime juridique auquel est soumis ce moyen ou cette prestation.