bUg <BR>Oth3r | Sécurité | vie privée | RE:vue de web |     | vie-privee.org | Big Brother Awards France | RenseignementsGeneraux.net
Fichier extrait de la mémoire cache de Bb) et -donc- des archives de bUg<BR>Oth3r, et +- nettoyé pour impression par rapport à sa VO sise à http://france.fsfeurope.org/dcssi/dcssi.fr.xhtml le 5 mai 2002 (la page a peut-être été modifiée depuis).

Bb) n'est ni affilié aux auteurs de cette page ni responsable de son contenu.

Cryptologie et DCSSI
Dixit :

FSFE France - DCSSI
ATTENTION: CECI EST UN GUIDE EN COURS DE CONSTRUCTION

Cryptologie et DCSSI

Avertissement

Ce guide n'est pas un document de la DCSSI. Il est écrit et mis à disposition par la FSFE France. Nous avons tenté de le rendre aussi précis et argumenté que possible mais seules des demandes d'Autorisation effectivement envoyées et aboutissant à l'obtention d'autorisations valideront sa pertinence.

Comment faire une démarche, pas à pas

En cas de doute, téléphoner à la DCSSI au 01 71 75 82 75 pour les questions sur la partie administrative et le 01 71 75 82 68 pour les questions sur la partie technique ou par e-mail (indifférement technique ou administratif) à ssi41@wanadoo.fr.
Déterminer la démarche
La description caractéristiques des démarches permet de savoir si, pour ce logiciel et cette version particulière il faut une Autorisation, une Déclaration ou bien une Déclaration simplifiée. Les tableaux catégorisant les diverses sortes de logiciels de cryptographie servent de référence.

Obtenir les formulaires
Autorisation ou Déclaration: Déclaration simplifiée:

Remplir les formulaires
Prendre exemple sur la demande faite pour GnuPG. Les éléments techniques requérant une forte compétence en cryptographie sont aussi disponibles en anglais, ce qui facilite le dialogue avec un auteur de Logiciel Libre non francophone.

Rassembler les éléments requis par les formulaires
Prendre exemple sur la demande faite pour GnuPG. Dans le cas du Logiciel Libre, les seul éléments additionels strictement nécessaires sont la distribution source et la licence Logiciel Libre.

A noter que dans le cas de la Déclaration simplifiée, il n'y a pas d'éléments additionels car il n'y a pas de partie technique.

Constituer le dossier
Le dossier de demande est constitué des formulaires remplis et des éléments requis.

Envoyer le dossier
En trois exemplaires à l'adresse suivante:
	      Secrétariat général de la défense nationale
	      DCSSI - Relations industrielles
	      51, boulevard de Latour-Maubourg
	      75700 PARIS 07 SP
	      FRANCE
	    

Attendre le récépissé
A réception du dossier, la DCSSI envoit un récépissé attestant du dépot du dossier.

Attendre une demande de complément
Il est très improbable que le dossier soit complet, la réponse est donc en général une demande de complément d'information. La DCSSI a un mois à compter de la date mentionée sur le récépissé pour faire une demande de compléments.

A noter que la Déclaration simplifiée ne contenant pas d'élément techniques, une demande de complément ne porterait que sur les éléments administratifs.

Corriger le dossier et le renvoyer
Cette étape se répète autant de fois qu'il est nécessaire pour que le dossier soit complet.

Le dossier est complet
A partir de ce moment, la DCSSI doit répondre dans un délai qui dépend de la démarche:
  • Autorisation: 4 mois
  • Déclaration: 1 mois
  • Déclaration simplifiée: 1 mois

Réception des autorisations
Une ou plusieurs autorisations sont fournies, pour les demandes d'Autorisation uniquement et non pour la Déclarations ou la Déclaration simplifiée. Lorsque les autorisations sont reçues, en faire copie et la faire certifier conforme (? quel organisme).

Le délai est dépassé
Dans le cas d'une Déclaration simplifiée uniquement, si la DCSSI ne répond pas dans le temps impartit, cela signifie que la Déclaration simplifiée est acceptée. Autrement dit, un récipissé attestant d'un dépot de dossier pour une Déclaration simplifiée qui a plus d'un mois fait office de preuve que la déclaration a été faite et constatée par la DCSSI.

Si le délai est dépassé pour une Déclaration ou une Autorisation, cela n'entraine pas le même effet.

Diffusion des autorisations ou déclarations
Faire savoir par tous les moyens possibles que les autorisations ont été obtenues ou qu'une Déclaration simplifiée a été constatée et en fournir copie à qui le demande.

Pourquoi faire une démarche ?

En France, les moyens et prestations de cryptologie sont soumis à un contrôle gouvernemental. La fourniture, l'utilisation (dans le cas de clés de plus de 128 bits), l'importation et l'exportation de logiciels de cryptologie est autorisée à la condition expresse qu'une démarche gratuite ait été faite auprès de la DCSSI.

Lorsque la démarche appropriée a été effectuée avec succès (Autorisation, Déclaration ou Déclaration simplifiée), cela entraine la permission de faire un certain nombre d'actes avec le moyen (le logiciel dans le cas du Logiciel Libre) ou de fournir certaines prestations. Ce qu'il est possible de faire dépend de la démarche et des conclusions de la DCSSI. Voir les tableaux synthétiques couvrant les cas possibles.

La conclusion d'une démarche auprès de la DCSSI (autorisations, constat de déclaration) porte sur une version précise du produit. Ainsi, faire une démarche pour GnuPG-1.0.4 n'implique pas automatiquement que les conclusions s'appliquent à GnuPG-1.0.1 ou GnuPG-1.0.7.

Les autorisations

Lorsqu'une demande d'Autorisation est acceptée par la DCSSI, elle délivre une ou plusieurs autorisations. Les autorisations délivrées dépendent en partie des cases cochées dans le dossier (de fourniture pour une durée de et d'exportation pour une durée de voir par exemple la demande faite pour GnuPG). In fine, c'est la DCSSI qui détermine quelles autorisations sont appropriées pour une demande donnée.

L'autorisation d'exportation grand public et l'autorisation de fourniture générale sont les plus larges et sont les mieux adaptées aux Logiciels Libres.

L'autorisation de fourniture générale (AFG).
Elle concerne le territoire français. Elle permet d'utiliser, d'importer et de fournir le produit (le logiciel dans le cas des Logiciels Libres).

L'autorisation d'exportation.
Permet l'exportation du produit hors de France. Il est nécessaire de faire une démarche, l'autorisation à elle seule ne suffit pas. Cette démarche est soit d'une déclaration, soit d'une autorisation selon les destinations (UE, un des 10 pays "amis", qui sont listés, et hors UE). Ce qui varie, c'est la nécessité d'une "licence d'exportation". C'est un document qui explique quel produit est exporté, par qui et vers qui, et cela pour chaque exportation.

L'autorisation d'exportation grand public.
L'acte d'exportation ne demande aucune formalité supplémentaire, l'autorisation se suffit à elle même.

Un point délicat soulevé dans le cas des Logiciels Libres doit être éclaircit. Une condition nécessaire pour que le logiciel soit considéré grand public est: La fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur. (Décret no 2001-1192, article 10, 5 b)).

Dans le cas d'un logiciel propriétaire, les éléments de l'équation sont une personne physique ou morale, un objet binaire (le produit). Dans le cas d'un Logiciel Libre, le code source vient s'ajouter. On peut donc légitimement s'interroger sur les conséquences pour la facilité avec laquelle l'utilisateur peut modifier la fonctionnalité cryptographique.

Qu'on dispose des sources ou du binaire, il est toujours possible de modifier au hasard, grâce à un éditeur de texte, le binaire ou les sources. C'est un processus facile pour tout utilisateur mais on s'accorde à dire que le seul résultat serait de rendre le logiciel non fonctionel. Même s'il est possible de qualifier une telle modification de facile et concernant les fonctionalités cryptographiques, elle s'appliquerait alors à tout logiciel. C'est un cas absurde et nous sommes en fait intéressés par le cas d'un logiciel qui permettrait une modification facile de ses fonctionalités cryptographiques tout en restant fonctionel.

Pour envisager de modifier les fonctionalités cryptographiques, l'utilisateur doit tout d'abord disposer de notions mathématiques et une connaissance approfondie du domaine de la cryptographie. Sans ce bagage théorique, il a toutes les chances de tenter des modifications qui rendront le logiciel inopérant. Hors disponibilité des sources ou du binaire seul, ce bagage théorique est une précondition qui constitue à lui seul un obstacle qui rend la tâche difficile.

En l'absence de bagage théorique, l'utilisateur peut tenter une modification en suivant à la lettre et aveuglément des instructions fournies par un tiers. Dans le cas d'un logiciel de cryptologie sous forme binaire les instructions peuvent prendre la forme d'un petit programme automatisant ces modifications. Il existe de nombreux programmes de ce genre, en général disponible sur le web. Dans le cas d'un logiciel de cryptologie disponible sous forme source, il s'agirait d'un patch s'appliquant sur les sources. Il s'agit essentiellement du même principe. Dans le cas du patch cependant, l'utilisateur doit en plus avoir la capacité technique de reconstruire une version binaire du logiciel de cryptologie, c'est donc un peu moins aisé. Comme dans le cas des modifications aléatoires rendant le logiciel inopérant, la possibilité de suivre aveuglément des instructions existant pour tous les logiciels de cryptologie (Logiciel Libre ou non), elle ne peut constituer un critère qualifiant la modification des fonctionalités cryptographiques de facile.

Supposons qu'une personne dispose du bagage théorique nécessaire et qu'elle entreprenne de modifier les fonctionalités cryptographiques sans appliquer des instructions aveuglément. En présence d'un binaire seul, la personne doit disposer d'une solide formation en assembleur, d'outils de décompilation et d'une expérience de reverse engineering. En présence d'un code source, la personne doit disposer d'une solide formation dans le langage de programmation visé, d'outils de compilation. En bref, elle doit avoir suivit une formation en informatique pour tenter effectivement une modification. Acquerir le bagage informatique nécessaire est dans tout les cas un processus difficile.

Enfin, le produit peut, par choix de conception, permettre une modification facile des fonctionalités de cryptographie. Le produit peut, par exemple, contenir une interface homme machine dont l'objet est de permettre à l'utilisateur de modifier les fonctionnalités cryptographiques. Il peut s'agir d'une interface graphique ou d'une interface ligne de commande, et cela implique que le logiciel a été expréssément conçu pour offrir cette possibilité. Il est alors facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Mais c'est un choix de conception qui n'a pas de lien avec la disponibilité du code source du logiciel de cryptologie.

En conclusion, l'accès au code source n'implique pas en soit qu'il est facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Il s'agit avant tout d'un choix de conception délibéré qui doit être jugé au cas par cas, Logiciel Libre ou non. La disponibilité du code source fait qu'il devient possible pour une personne ayant la volonté de franchir les difficiles étapes menant aux connaissances requises mais certainement pas facile pour l'utilisateur de modifier les fonctions cryptographiques. C'est la, uniquement, que réside la différence.

Diffusion des autorisations

Les autorisations fournies ne sont pas exclusives. Plusieures personnes physiques ou morales peuvent demander une autorisation pour la même version du même logiciel.

Les autorisations émises ne sont pas toujours rendues publiques. Lorsque le demandeur en donne l'autorisation expresse, une page est ajoutée dans la liste des produits cryptologiques libres d'utilisation sur le site de la DCSSI. L'information se limite au nom du produit et au nom de la personne physique ou morale ayant fait la demande. La version du produit ou la nature des autorisations accordée ne sont pas spécifiées.

Les autorisations peuvent être publiées dans leur intégralité par le demandeur s'il le souhaite, rien ne s'y oppose. Le demandeur peut aussi demander à (quel organisme ?) de certifier conforme des copies des autorisations ou des constats de déclaration afin de les fournir aux personnes physiques ou morales qui en font la demande.

Les contrôles

Ils sont au nombre de quatre:

  • à l'exportation
  • à la fourniture (en général, il s'agit d'une vente mais dans le cas du Logiciel Libre, le téléchargement peut s'apparenter à une fourniture)
  • à l'importation (télécharger un Logiciel Libre à partir d'un site étranger peut être une importation)
  • sur l'utilisation mais une fois que le logiciel a été déclaré (ou autorisé) , la procédure n'est plus nécessaire (procédure annexe dans les faits)

Caractéristiques des démarches

La plus complexe est l'Autorisation. Elle peut être utilisée pour tous les logiciels qui doivent faire l'objet d'une démarche auprès de la DCSSI. Mais il existe des démarches plus légères dans le cas de logiciels présentant des caractéristiques techniques infèrieures (moins de 128 bits, signature de document mais pas chiffrement etc.).

Se reporter au tableaux catégorisant les diverses sortes de logiciels de cryptographie et les démarches qui s'y appliquent pour une information complète.

Références

Dossier de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
Le même dossier doit être remplit pour une demande d'Autorisation, une Déclaration ou une Déclaration simplifiée. Partie administrative (aussi en PDF). Partie technique (éléments techniques disponibles en anglais). Pour référence voir aussi Constitution d'un dossier sur le site de la DCSSI, qui contient les même informations.

Exemple de demande d'Autorisation
Pour GnuPG: http://france.fsfeurope.org/dcssi/gnupg.fr.html

Contact SGDN / DCSSI
	      SGDN / DCSSI
	      18, rue du docteur Zamenhof
	      92131 Issy-les-Moulineaux Cedex
	      
	      Téléphone : 01 71 75 82 65 (Secrétariat Général)
	      Téléphone : 01 71 75 82 75 (partie administrative)
	      Téléphone : 01 71 75 82 68 (partie technique)
	      E-mail: ssi41@wanadoo.fr
	      Web: http://www.scssi.gouv.fr/
	    
Comment s'y rendre

Adresse où envoyer les dossiers de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
	      Secrétariat général de la défense nationale
	      DCSSI - Relations industrielles
	      51, boulevard de Latour-Maubourg
	      75700 PARIS 07 SP
	      FRANCE
	    

GnuPG
The GNU Privacy Guard http://www.gnupg.org/

OpenSSL
http://www.openssl.org/

Mcrypt
http://mcrypt.hellug.gr/

GnuTLS
http://www.gnu.org/software/gnutls/

loop-AES
http://loop-aes.sourceforge.net/

Liste non exhaustive des produits ayant obtenu une autorisation
http://www.scssi.gouv.fr/fr/reglementation/liste_cat/index.html

Guide à propos de la réglementation sur la cryptologie
http://www.scssi.gouv.fr/fr/reglementation/regl_crypto.html

FAQ Infrastructures de gestion de clés
http://www.scssi.gouv.fr/fr/faq/faq_igc.html

FAQ Décret relatif à la signature électronique
http://www.scssi.gouv.fr/fr/faq/faq_sigelec.html

Décret no 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage
L'article 10, 5 en particulier. http://admi.net/jo/20011215/ECOX0100059D.html

Article 28 de la loi n°90-1170 du 29 décembre 1990 (tel que modifié par la loi du 26 juillet 1996 sur les télécommunications)
http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr4.html

Arrété du 17 mars 1999
Définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie. http://france.fsfeurope.org/dcssi/arrete-17-mars-1999.fr.html

Décret n°99-199 du 17 mars 1999
Définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation. http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr1.html

Décret n°98-101 du 24 février 1998
Définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie. http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr5.html

Décret n°99-200 du 17 mars 1999
Définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable. http://www.scssi.gouv.fr/fr/reglementation/lois/lois_fr2.html

Updated: $Date: 2002/05/03 09:58:16 $ $Author: loic $