Avec un chiffre d'affaires total de 400 millions de francs en 1998, le décollage du commerce Deux mois. C'est le temps qu'il a fallu au Premier ministre pour concrétiser l'annonce du 19 janvier dernier, lors du deuxième conseil interministériel pour la société de l'information. La libéralisation de la cryptographie devient réalité. Négociant un virage à 180 degrés quant à la politique française en matière de cryptographie, le Premier ministre vient d'annoncer, lors de la fête de l'Internet, la signature de deux décrets qui libéralisent en effet le cryptage des données sur Internet. Le premier (99-199) précise que la fourniture de logiciels utilisant des clés inférieures ou égales à 40 bits est désormais soumise à déclaration, et non plus à autorisation auprès du Service central de sécurité des systèmes d'information. Il en est de même pour la fourniture, l'utilisation et l'importation de logiciels utilisant des clés de 40 à 128 bits (longueur des clés de chiffrement qui détermine la puissance de l'algorithme de cryptage). Le second décret (99-200) définit quels outils et quelles prestations de cryptographie sont dispensés de toute formalité préalable.
L'objectif du gouvernement est clair : lever les entraves qui pèsent sur les citoyens soucieux de protéger la confidentialité de leurs échanges et sur le commerce électronique interentreprises. " Ces deux décrets permettent à la France de s'aligner sur les textes européens. Cela dit, une évolution majeure consisterait à libéraliser entièrement la cryptographie ", explique Sébastien Gioria, responsable sécurité de France Net, un spécialiste de l'hébergement de sites Web. " Ces décrets sont loin de lever toutes les restrictions, tempère Hervé Schauer à l'Observatoire de la sécurité des systèmes d'information et des réseaux (l'Ossir). Mais ils constituent une mesure réaliste pour un usage pratique d'une cryptographie libéralisée. "
Favoriser les échanges internet
Ces mesures auront-elles l'effet escompté ? Rien n'est moins sûr. " Certes, les cyber-consommateurs jugeront que la sécurité s'est améliorée, mais il sera difficile d'en mesurer l'impact sur le commerce électronique ", poursuit Sébastien Gioria de France Net. Pour les particuliers, le chiffrement TLS (SSL) 128 bits présent dans les navigateurs courants, Netscape Navigator et Internet Explorer, n'est accessible qu'aux sites agréés par le gouvernement américain. En revanche, ces décrets devraient faciliter les échanges entre les entreprises : elles pourront ainsi utiliser, pour la téléadministration, la version internationale de SSH (Secure Shell), protocole qui permet de transmettre toutes les données de manière chiffrée. " L'apparition de produits de chiffrement standards, comme IPsec, va aider à une meilleure sécurisation des réseaux et des données des entreprises ainsi qu' à la protection du patrimoine national. Une longueur de clé de 128 bits représente actuellement un bon niveau de sécurité. Beaucoup de produits de sécurité du monde Internet ont recours à cette taille de clé en standard ", explique Hervé Schauer à l'Ossir.
S'il est évident que cette libéralisation constitue une avancée, elle augmente aussi la vulnérabilité des entreprises face aux actes de malveillance. Par exemple, à l'intérieur même de l'entreprise, un employé pourrait crypter abusivement les documents faisant ainsi du décodage une tâche insurmontable. De plus, l'avancée dans la législation française ne répond pas aux questions que se posent les multinationales.
De nouveaux risques surgissent
Comment protéger les communications d'une entreprises ayant des sites répartis dans des pays aux législations différentes en matière de cryptographie ? Malgré le développement des utilisations civiles et commerciales de ces techniques, la cryptographie est un procédé d'origine militaire. Pour certains gouvernements, elle reste un enjeu de sécurité intérieure et extérieure. De plus, il existe des limites au développement de ces technologies. " Elles tiennent à l'intégration de ces solutions dans les produits standards du marché. Des progrès doivent être réalisés en matière de normalisation. Il n'est toujours pas facile, par exemple, de changer des algorithmes de chiffrement dans une carte à puce ", explique Jean-Marc Honoré, directeur des technologies de CS Communications & Systems, qui vient de mettre au point, avec l'École normale supérieure, la solution CS-Cipher, un algorithme de chiffrement symétrique à clés de longueur variable (40 à 128 bits) censé concurrencer les solutions américaines (DES, RC5, etc.).
"Au-delà de la libéralisation de la cryptographie, nous attendons que les solutions de sécurité se standardisent", confirme Patrick Dumetz, le responsable du site Web de La Redoute. Parallèlement, outre la standardisation, il faut souhaiter que la libéralisation de la cryptographie annoncée par le Premier ministre aille plus loin. La publication de ces deux décrets n'est qu'un premier pas vers une libéralisation totale de la cryptographie en France.
La loi de 1996 qui instituait un contrôle très restrictif de la cryptographie, y compris pour les particuliers, devrait être modifiée à plus ou moins brève échéance. Le Premier ministre s'y est engagé lors de la fête de l'Internet, mais peut-être ce projet nécessitera-t-il plus de deux mois.
PiB
26/03/1999
|
Sur le terrain
|
|
L'extérieur, une menace constante
|
 Cette mesure de libéralisation n'est pas une révolution
"Chez France Net, nous utilisons ce qui est autorisé : serveurs Web Netscape, ou IIS de Microsoft avec des clés de cryptage 40 bits. Pour les entreprises, la libéralisation de la cryptographie ne change pas grand-chose. Les logiciels supportant 128 bits ne sortent pas des États-Unis. En revanche, le relèvement du seuil à 128 bits nous permettra de recourir à des serveurs Apache utilisant une couche SSL 128 bits, le principal protocole de sécurisation sur Internet, développée hors des États-Unis. Dans le cas de boîtiers de chiffrement, cela ne convient pas à notre métier d'hôte. Il faudrait demander au client voulant se connecter sur un de nos sites de disposer d'un boîtier permettant le déchiffrement du dialogue. Donc le chiffrement 128 bits, oui, mais avec des solutions ouvertes."
|
|
La libéralisation de la cryptographie permet de sécuriser les échanges interentreprises. Un point d'autant plus important que, si aujourd'hui, quelque 60% des fraudes informatiques sont réalisées en interne, la moitié des infractions proviendront de l'extérieur en l'an 2000, selon le Meta Group. Les entreprises commencent à réagir. Témoin, l'évolution de leurs dépenses. Lesquelles, selon le Meta Group, devraient augmenter de 18% ces douze prochains mois et atteindre en moyenne 2,8 millions de dollars par entreprise. Reste que, si 70% des entreprises considèrent la sécurité comme un impératif, la plupart réagissent plus qu'elles n'anticipent. Il ne s'agit plus de s'équiper de pare-feu, mais de considérer la sécurité comme un risque permanent. Pour le Meta Group, les systèmes de sécurité seront de plus en plus des membranes perméables et sélectives. D'où la nécessité de crypter l'ensemble des échanges.
|
