Technique et droit du chiffrement (Master 2 PRO DMI « droit du numérique » Panthéon-Assas 13 décembre 2018)

[13 décembre 2018] Technique et droit du chiffrement ? Pour un jeudi matin lorsqu’on est étudiant en Master 2 PRO, même spécialisé dans le droit du numérique, ça s’annonce difficile. Mais lorsque l’on est un (presque) pro du droit de la data numérique, si on veut pouvoir parler « signature électronique » ou « blockchain », impossible de faire l’impasse sur certains aspects techniques. C’est pour cela qu’il faut parler d’abord des techniques de chiffrement. Après, quand on aura tout compris (???), on regardera les textes légaux. Et dire que nous n’avons que 3 heures pour tout ça…


Technique et droit du chiffrement : chiffrer / déchiffrer / décrypter

Chiffrer, c’est une opération réversible par laquelle une personne (aidée par un logiciel) rend incompréhensible le contenu d’un fichier numérique. Quel type de fichier numérique ? TOUT TYPE de fichier, pourvu qu’il soit numérique : messagerie instantanée, voix (protocole 3G, 4G et bientôt 5G), films (pensez à la « chaine cryptée »), photos, musique, emails, pièces jointes transmises par courrier électronique, que sais-je encore…

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 002


Seule la personne (aidée du même logiciel) qui dispose de la clé de chiffrement peut alors rendre compréhensible le même fichier en procédant à l’opération inverse, le « déchiffrement » qui donne accès « en clair » au contenu du fichier.

Celui qui tente d’accéder au fichier chiffré sans disposer de la clé secrète (la « convention secrète » pour les juristes) ne fait pas du déchiffrement, mais du « décryptage ». Si l’art de chiffrer s’appelle la « cryptographie », l’art d’accéder à un contenu chiffré -sans la clé secrète- s’appelle la « cryptanalyse ». Cryptographie et cryptanalyse forment ensemble la « cryptologie ». C’est ce terme global que retient aujourd’hui la législation sur le chiffrement.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 003


Technique et droit du chiffrement : les 3 fonctions de la cryptographie

Commençons par le commencement. Chiffrer, c’est bien mais savoir d’abord à quoi ça sert, c’est mieux. C’est d’autant plus important que la législation française repose sur une distinction subtile entre les fonctions auxquelles sont destinées les « moyens » ou les « prestations » de chiffrement. Ceci dit, c’est pas très compliqué.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 004


Rendre un message « secret » pour toute autre personne que son destinataire, c’est la fonction première et la plus connue de la cryptographie : c’est la fonction de confidentialité.

La deuxième fonction, l’authentification, combine le plus souvent chiffrement et hachage : comment s’assurer que le destinataire est bien la personne à laquelle je souhaite adresser mon fichier numérique ? Le destinataire peut se poser la même question à propos de la personne dont elle reçoit un message : mon expéditeur est-il bien la personne qu’il prétend être ?

La troisième fonction de la cryptographie, le contrôle de l’intégrité d’un fichier, est assurée par le hachage : on réalise une empreinte (un « hash », un « condensat ») d’un fichier avant son transport sur un réseau de communication électronique et le destinataire réalise une empreinte du fichier reçu. Si le fichier n’a pas été modifié pendant son transport, le « hash » (l’empreinte) réalisé par le destinataire sera forcément identique à celui réalisé par l’expéditeur.

Commençons par regarder la hachage cryptographique.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 005


Le hachage cryptographique est une fonction à sens unique qui permet de « convertir » un fichier numérique en une empreinte unique, appelée « hash » ou « # » ou « condensat ». Cette fonction mathématique est de nos jours bien évidemment mise en oeuvre par un logiciel (de hachage, vous l’aurez deviné) et s’applique à TOUT fichier numérique, quel que soit sa taille, son format, etc. Le hachage permet de « résumer » le fichier numérique en une sorte de numéro identifiant unique. Le même fichier haché par le même algorithme (oui, on y revient encore…), avec les mêmes « primitives » cryptographique, donnera TOUJOURS la même empreinte. C’est l’intérêt même du hachage. Pour le dire autrement, le hachage est une sorte de compression, à la différence près que la compression par hachage cryptographique est irréversible.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 006


Technique et droit du chiffrement : le hachage est une fonction volontairement irréversible

La différence fondamentale entre chiffrement et hachage ? Une fois haché, il est impossible de reconstituer / restaurer / retrouver / etc. le fichier numérique d’origine. « Impossible » en mathématique, ça veut dire très, très difficilement, avec une probabilité de succès proche de zéro. « Impossible » en hachage cryptographique, ça veut dire impossible sauf – peut-être – pour la N.S.A. et quelques rares autres agences de renseignement dotées de très très grosses capacités de stockage et de calcul…

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 007


Technique et droit du chiffrement : la cryptographie par chiffrement symétrique

Après le hachage cryptographique, passons à un sujet plus « léger » : la technique du chiffrement symétrique. Lorsque vous rentrez chez vous ou que vous en sortez, vous utilisez la même clé (physique ou magnétique) pour fermer ou ouvrir votre porte. La même clé permet les deux usages. En chiffrement, la même clé (symétrique, donc) permet de chiffrer ET de déchiffrer. C’est simple, non ?

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 008


—> hachage et crypto symétrique en BD dans le slider ci-dessous



 

Le chiffrement asymétrique : une clé privée indissociable de sa clé publique

Le chiffrement symétrique, c’est une seule et même clé qui permet à la fois de chiffrer et de déchiffrer. Le chiffrement asymétrique repose sur deux clés indissociables : avec une première clé (secrète : c’est la clé « privée »), un logiciel permet de générer une seconde clé, dite « publique ».

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 009


Technique de chiffrement et droit du chiffrement : la clé publique est générée par une fonction mathématique irréversible

La fonction de génération de la clé publique n’est pas réversible, j’insiste sur ce point technique. A partir de la clé publique, il est IMPOSSIBLE de reconstituer la clé privée d’origine. Impossible en mathématique, ça veut dire très, très difficile (ou très très long en puissance de calcul…). Bref, ce qu’il faut retenir : en cas de perte ou de compromission d’une « clé privée », c’est la paire « clé privée et clé publique » qu’il faut invalider et changer….

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 010


chiffrement asymétrique à clé privée et clé publique : pourquoi 2 clés ?

C’est tout le génie du système : on peut se servir de l’une des deux clés pour chiffrer. Et on ne peut alors déchiffrer qu’avec l’autre clé.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 011


Technique et droit du chiffrement : la diffusion de la clé asymétrique publique

L’intérêt du chiffrement asymétrique, c’est que la « clé publique » soit… publique, c’est-à-dire qu’elle puisse effectivement être utilisée. Par qui ? Par ceux qui veulent vous écrire, par exemple.

Pour faire plus simple, il est possible de confier la diffusion de cette clé publique à un tiers « de confiance » (voir sur ce point « la-crypto-expliquee-a-mon-voisin » sur le site web du Forum Atena). Nous n’insisterons pas sur ce point.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 012


Technique et droit du chiffrement : utiliser la clé publique de son destinataire

Vous voulez assurer la confidentialité d’un échange écrit (ou verbal d’ailleurs, du moment que le contenu à chiffrer soit numérique…) avec un destinataire de votre choix ? Utilisez la clé publique de votre destinataire pour chiffrer votre envoi à son attention. Une fois chiffré avec la clé publique du destinataire, personne ne pourra déchiffrer le message. SAUF… le destinataire, qui lui seul détient la clé privée (qui a permis de générer la clé publique que vous avez utilisé pour chiffrer). Vous suivez ?

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 013


Technique et droit du chiffrement : si je chiffre avec MA clé privée ?

Déja, il est peu probable qu’une personne puisse chiffrer avec la clé privée d’une autre personne… (sinon, la clé privée n’est plus secrète). Le postulat de départ est donc qu’une personne détient seule « sa » clé privée et secrète et qu’il ne la confie à personne.

Imaginons qu’à partir de votre clé privée secrète, vous ayez généré votre clé publique. Juste là, tout va bien. Vous décidez d’envoyer un mail chiffré avec votre clé privée secrète à un destinataire de votre choix (que nous l’appellerons – avec une rare originalité – « le destinataire »). Ce destinataire ayant accès à votre clé publique pourra déchiffrer le message avec votre clé publique.

Ce n’est donc pas la fonction de confidentialité qui est interessante dans cet usage de la crypto asymétrique (puisque la clé « publique » de déchiffrement est librement disponible), mais le fait que TOUS les destinataires sauront que le message vient bien de vous, car vous seul – unique détenteur de la clé privée – aurez chiffré le message. Le contenu du message importe peu dans un chiffrement initial par clé privée. En revanche, la fonction « d’authentification » de l’expéditeur est ici remplie : si vous avez chiffré avec votre clé privée, tous les destinataires sont certains que le message vient bien de vous, et de vous seul !

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 014


Technique et droit du chiffrement : combiner confidentialité avec la clé publique et authentification avec la clé privée

C’est ça qui est pratique avec le chiffrement asymétrique, on peut associer deux fonctions dans un même message : l’authentification ET la confidentialité.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 015


 

—> chiffrement asymétrique, échange de clé Diffie-Hellman et chiffrement en oignon du réseau Tor ? Tout les slides dans la présentation en BD ci-dessous



 

Technique et droit du chiffrement : quelle législation ?

Maintenant que vous avez compris les concepts, voyons le Droit. Commençons par la réglementation applicable aux professionnels qui fournissent des « moyens » ou des « prestations » de cryptologie. Car telle est la ligne de démarcation posée par les textes légaux. Et tordons immédiatement le cou à une idée reçue (si bien marketée par le gouvernement de l’époque…) : oui, l’usage du chiffrement en France est libre. Ce que l’on a soigneusement oublié de vous préciser, c’est que cette liberté a un corollaire sanctionné pénalement : que le professionnel montre d’abord patte-blanche à l’Autorité de contrôle. Cette autorité, c’est l’A.N.S.S.I. (Agence nationale de la sécurité des systèmes d’information) par délégation du Premier ministre. Car si le « moyen » de chiffrement n’est pas mis licitement sur le marché, son utilisation collective n’est pas « libre » comme le déclare (avec des trompettes) l’article 30 I de la Loi pour la Confiance dans l’Economie Numérique et peut faire l’objet d’un retrait du marché…

Les dispositions techniques encadrant le chiffrement sont toutes contenues dans le Décret de 2007 (dont les fameuses annexes 1 et 2, qu’il faut voir lues au moins une fois dans sa vie…) et le (nouvel) arrêté de 2015 pris en application des articles 30 et suivants de la LCEN. Il nous faut donc commencer par les définitions légales de ce que sont les « moyens » et les « prestations » de chiffrement.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 016


Technique et droit du chiffrement : fournir un moyen de chiffrement ?

les « moyens » de chiffrement ? Ce sont les matériels et/ou (surtout aujourd’hui) les logiciels. Facile ! (qu’on me montre aujourd’hui un moyen de chiffrer des data numériques qui se passe de logiciel…). Fournir un moyen de chiffrement, c’est pour un professionnel commercialiser ce type de matériel / logiciel, ou, en tout cas, en assurer la distribution auprès du public.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 017


Technique et droit du chiffrement : fournir une « prestation » de chiffrement

Le prestataire qui fournit une « prestation » de chiffrement ? C’est un professionnel qui utilise un « moyen » de chiffrement « pour le compte », à la demande de ses clients. Si à l’occasion d’un service en mode SaaS (Software as a Service), il y a chiffrement de tout ou partie des données du client, le prestataire accomplit une « prestation » de chiffrement.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 018


Technique et droit du chiffrement : l’obligation de déclaration préalable

Le discriminant commun autours duquel s’articule la LCEN est [inspirez !] un moyen de cryptologie assurant au moins partiellement des fonctions de confidentialité [soufflez !]. En fait, la formulation légale repose sur une négation : « moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité ».

Pour encadrer tout ça, le régime de droit commun, c’est l’obligation pour le professionnel de procéder à une déclaration préalable (avec formulaire obligatoire) à l’ANSSI.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 019


Technique et droit du chiffrement : par exception, la dispense de déclaration préalable

Le principe est donc « déclaration obligatoire » SAUF SI… avec beaucoup de chance, vous bénéficiez d’une des 15 dispenses à déclaration (en réalité près de 23 cas différents).

Je vous rassure, si vous bénéficiez d’une des 15 dispenses visées dans l’annexe du Décret de 2007, c’est que l’industrie concernée a déjà négocié avec l’ANSSI, et que vous profitez de l’accord trouvé entre eux (qui a dû passer par une mise à disposition des codes source de tous ces moyens de chiffrement à l’ANSSI ou sa capacité à les décrypter sans trop de problème…).

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 020


Technique et droit du chiffrement : synthèse pour les professionnels

Je vous passe ici le détail du régime – le plus restrictif – de demande d’autorisation préalable qui s’applique principalement en cas d’exportation de certains moyens ou de certaines prestations de chiffrement…

En résumé, voici les 3 options offertes aux professionnels qui soit exploitent des moyens, soit assurent des prestations de crypto (ça fait pro d’utiliser l’abréviation « crypto »…).

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 021


Technique et droit du chiffrement : un régime de responsabilité spécifique

La spécificité du régime de responsabilité du prestataire de chiffrement « à des fins de confidentialité » est simple à retenir. C’est au professionnel de démontrer qu’il n’a pas commis de faute dans la fourniture de ses prestations contractuelles de confidentialité. C’est donc un régime d’obligation de moyens renforcée qui ne choque pas : qui, à part le professionnel, peut apporter ce type de preuve ? Attention, ce régime de preuve n’est pas aménageable contractuellement (c’est le « nonobstant »…).

Vous noterez au passage les critères « d’intégrité, de confidentialité et de disponibilité » des données que l’on retrouve à l’article 32 GDPR (obligation de sécurisation des traitements de données à caractère personnel) et dans la loi du 26 février 2018 « SRSI » sur l’obligation de sécurisation des réseaux et systèmes d’information qui pèse sur les Opérateurs de Service Essentiel et les Fournisseurs de Service Numérique.

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 022


Technique et droit du chiffrement : les sanctions administratives

Si l’administration découvre que vous n’avez pas fait votre déclaration préalable de prestation ou que vous exportez des moyens de crypto avant d’avoir obtenu son autorisation préalable, l’ANSSI peut se fâcher. Cette fâcherie s’appelle « obligation de retrait du marché« . Et le non respect de cette sanction administrative est sanctionné pénalement. SAUF ? Sauf pour les logiciels mis à disposition gratuitement de la communauté des utilisateurs (vive l’Open Source !).

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 023


Technique et droit du chiffrement : les sanctions pénales

Que serait la France sans sa batterie de sanctions pénales, je vous le demande ? Sans oublier les circonstances aggravantes…

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 024


Technique et droit du chiffrement : l’obligation de remettre les conventions secrètes aux services d’enquête judiciaire

Si la science du chiffrement progresse, son utilisation par les criminels de tout poil aussi. Alors, l’Etat renforce son arsenal juridique et permet depuis une loi du 3 juin 2016 aux services d’enquête judiciaire d’imposer la remise des clés de déchiffrement, sous peine de sanctions pénales spécifiques. Cette loi a été validée par le Conseil Constitutionnel (arrêt du 30 mars 2018 « Malek B. »).

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 025


—> l’intégrale de la présentation sur le droit du chiffrement expliqué en BD ? dans le slider ci-dessous !!!



 

Technique et droit du chiffrement [Ledieu-Avocats] droit du numérique et des nouvelles technologies 026


Technique et droit du chiffrement : merci aux éditions Delcourt / Soleil !!!