Upstream University
[ Français ]

Cryptologie et DCSSI

Avertissement

Ce guide n'est pas un document de la DCSSI. Il est écrit et mis à disposition par la FSF France.

Comment faire une démarche, pas à pas

En cas de doute, téléphoner à la DCSSI au 01 71 75 82 75 pour les questions sur la partie administrative et le 01 71 75 82 68 pour les questions sur la partie technique ou par e-mail (indifférement technique ou administratif) à ssi41@wanadoo.fr. Voir aussi une description de la procédure dans le Décret correspondant.
Déterminer la démarche
La description caractéristiques des démarches permet de savoir si, pour ce logiciel et cette version particulière il faut une Autorisation, une Déclaration ou bien une Déclaration simplifiée. Les tableaux catégorisant les diverses sortes de logiciels de cryptographie servent de référence.

Obtenir les formulaires
Autorisation ou Déclaration: Déclaration simplifiée:

Remplir les formulaires
Prendre exemple sur la demande faite pour GnuPG. Les éléments techniques requérant une forte compétence en cryptographie sont aussi disponibles en anglais, ce qui facilite le dialogue avec un auteur de Logiciel Libre non francophone. La partie technique remplie pour est aussi disponible en anglais et permet d'avoir une idée des réponses attendues.

Rassembler les éléments requis par les formulaires
Prendre exemple sur la demande faite pour GnuPG. Dans le cas du Logiciel Libre, les seuls éléments additionels sont la distribution source et la licence Logiciel Libre.

A noter que dans le cas de la Déclaration simplifiée, il n'y a pas d'éléments additionels car il n'y a pas de partie technique.

Lettre d'accompagnement
Elle sert a préciser des souhaits qui n'entrent pas dans le cadre proposé par le dossier formel. Par exemple:
Constituer le dossier
Le dossier de demande est constitué des formulaires remplis et des éléments requis.

Envoyer le dossier
En trois exemplaires à l'adresse suivante: 
	      Secrétariat général de la défense nationale
	      DCSSI - Relations industrielles
	      51, boulevard de Latour-Maubourg
	      75700 PARIS 07 SP
	      FRANCE

Attendre le récépissé
A réception du dossier, la DCSSI envoit un récépissé attestant du dépot du dossier.

Attendre une éventuelle demande de complément
Si le dossier n'est pas complet, ce qui se produit parfois, la réponse est une demande de complément d'information. Dans le cas du Logiciel Libre, la disponibilité des sources permet à la DCSSI de palier les insuffisances du dossier technique et réduit encore le risque de demande de complément d'information. La DCSSI a un mois à compter de la date mentionée sur le récépissé pour faire une demande de compléments.

A noter que la Déclaration simplifiée ne contenant pas d'élément techniques, une demande de complément ne porterait que sur les éléments administratifs.

Corriger le dossier et le renvoyer
Cette étape se répète autant de fois qu'il est nécessaire pour que le dossier soit complet.

Le dossier est complet
A partir de ce moment, la DCSSI dispose d'un délai de réponse variant selon la nature de la démarche:
  • Autorisation: 4 mois
  • Déclaration: 1 mois
  • Déclaration simplifiée: sans objet

Réception des autorisations
Une ou plusieurs autorisations sont fournies, pour les demandes d'Autorisation uniquement. Pour les Déclarations, la DCSSI adresse un accusé de réception de déclaration dès qu'elle reçoit le dossier. La DCSSI n'envoie pas d'autres documents, le déclarant peut alors procéder librement, au bout d'un mois, aux opérations faisant l'objet de la déclaration. Pour la déclaration simplifiée, on peut considérer que la réception de l'accusé clôt la procédure.

Le délai est dépassé
Si la DCSSI ne répond pas dans les délai, l'autorisation ou la déclaration est tacitement accordée.

Diffuser les autorisations pour en partager le bénéfice

Dans le cas des Logiciels Libres, il est de l'intérêt de tous (individus, gouvernement, associations, entreprises) que le bénéfice des autorisations et déclarations obtenues soient partagées. Les autorisations et déclarations sont nominatives mais leurs effets peuvent se propager si le logiciel est obtenu auprès du détenteur des autorisations et déclarations. Devenir un intermédiaire ne requiert aucune démarche dans le cas du Logiciel Libre, pour peu que le détenteur des autorisations et déclaration se donne la peine de suivre la méthode ci dessous. Chaque personne physique ou morale a ainsi le droit d'utiliser, de fournir, d'importer et d'exporter le programme visé.

On suppose ici que le programme a été qualifié de grand public (déclaration) et qu'une autorisation de fourniture générale a été obtenue.

Publication
  • Scanner l'autorisation
  • Scanner la déclaration
  • Créer un site de téléchargement sur le net utilisant des ressources appartenant à la personne physique ou morale et localisé sur le territoire français (ci-après dénomé site).
  • Signer éléctroniquement la version source (binaires) du programme, l'autorisation et la déclaration
  • Installer la version source (binaires) du programme
  • Installer le scan de l'autorisation
  • Installer le scan de la déclaration
  • Installer les signatures
  • Permettre l'accès au site sans condition

Importation
La personne ayant obtenu l'autorisation de fourniture générale peut importer la version du programme pour laquelle une autorisation de fourniture générale a été obtenue depuis un pays étranger. Elle est seule à avoir ce droit. En plaçant le programme sur le site elle permet à quiconque sur le territoire français de disposer d'une copie importée en accord avec la DCSSI.

Utilisation
Une personne physique ou morale souhaitant utiliser le programme peut le télécharger depuis le site. il y a alors fourniture d'un programme ayant été autorisé (autorisation de fourniture générale) par la DCSSI. De ce fait, la personne qui en dispose a le droit de l'utiliser.

Fourniture
Une personne physique ou morale souhaite à son tour fournir le programme. Elle souhaite aussi prouver qu'elle peut légitimement le faire en vertu de l'autorisation de fourniture générale. En téléchargeant le programme depuis le site et en le distribuant à son tour, elle devient alors un intermédiaire et peut à ce titre bénéficier de l'autorisation de fourniture générale. La signature du programme et de de l'autorisation lui permet de prouver à des tiers que la version du programme est effectivement celle qui a fait l'objet d'une autorisation et qu'elle agit donc en qualité d'intermédiaire.

Exportation
Une personne physique ou morale souhaite exporter le programme. Elle souhaite aussi prouver qu'elle peut légitimement le faire en vertu de la qualité grand public du programme. En téléchargeant le programme depuis le site et en l'exportant (par le net ou sur support physique), elle devient alors un intermédiaire et peut à ce titre bénéficier de la classification du programme en produit grand public qui entraîne la possibilité de l'exporter (sans besoin de demander une licence d'exportation). La signature du programme et de la lettre établissant que le programme est grand public lui permettent de prouver à des tiers que la version du programme est effectivement celle qui a été autorisée et qu'elle agit donc en qualité d'intermédiaire.

Pourquoi faire une démarche ?

En France, les moyens et prestations de cryptologie sont soumis à un contrôle gouvernemental. La fourniture, l'utilisation (dans le cas de clés de plus de 128 bits), l'importation et l'exportation de logiciels de cryptologie est autorisée à la condition expresse qu'une démarche gratuite ait été faite auprès de la DCSSI.

Lorsque la démarche appropriée a été effectuée avec succès (Autorisation, Déclaration ou Déclaration simplifiée), cela entraîne la permission de faire un certain nombre d'actes avec le moyen (le logiciel dans le cas du Logiciel Libre) ou de fournir certaines prestations. Ce qu'il est possible de faire dépend de la démarche et des conclusions de la DCSSI. Voir les tableaux synthétiques couvrant les cas possibles.

La conclusion d'une démarche auprès de la DCSSI (autorisations, déclaration) porte sur une version précise du produit. Ainsi, faire une démarche pour GnuPG-1.0.4 n'implique pas automatiquement que les conclusions s'appliquent à GnuPG-1.0.1 ou GnuPG-1.0.7.

Les autorisations

Lorsqu'une demande d'Autorisation est acceptée par la DCSSI, elle délivre une ou plusieurs autorisations. Les autorisations délivrées dépendent en partie des cases cochées dans le dossier (de fourniture pour une durée de et d'exportation pour une durée de voir par exemple la demande faite pour GnuPG). In fine, c'est la DCSSI qui détermine quelles autorisations sont appropriées pour une demande donnée.

La qualification de grand public (voir Décret no 2001-1192, article 10, 5) et l'autorisation de fourniture générale sont les mieux adaptées aux Logiciels Libres.

L'autorisation de fourniture générale (AFG).
Elle concerne le territoire français. Elle permet d'utiliser, d'importer et de fournir le produit (le logiciel dans le cas des Logiciels Libres).

L'autorisation d'exportation.
Permet l'exportation du produit sous réserve de l'obtention d'une licence individuelle ou globale.

L'autorisation d'exportation d'un programme grand public.
L'acte d'exportation ne demande aucune formalité supplémentaire, l'autorisation se suffit à elle même.

Un point délicat soulevé dans le cas des Logiciels Libres doit être éclaircit. Une condition nécessaire pour que le programme soit considéré grand public est: La fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur. (Décret no 2001-1192, article 10, 5 b)).

Dans le cas d'un logiciel propriétaire, les éléments de l'équation sont une personne physique ou morale, un objet binaire (le produit). Dans le cas d'un Logiciel Libre, le code source vient s'ajouter. On peut donc légitimement s'interroger sur les conséquences pour la facilité avec laquelle l'utilisateur peut modifier la fonctionnalité cryptographique.

Qu'on dispose des sources ou du binaire, il est toujours possible de modifier au hasard, grâce à un éditeur de texte, le binaire ou les sources. C'est un processus facile pour tout utilisateur mais on s'accorde à dire que le seul résultat serait de rendre le logiciel non fonctionel. Même s'il est possible de qualifier une telle modification de facile et concernant les fonctionalités cryptographiques, elle s'appliquerait alors à tout logiciel. C'est un cas absurde et nous sommes en fait intéressés par le cas d'un logiciel qui permettrait une modification facile de ses fonctionalités cryptographiques tout en restant fonctionel.

Pour envisager de modifier les fonctionalités cryptographiques, l'utilisateur doit tout d'abord disposer de notions mathématiques et une connaissance approfondie du domaine de la cryptographie. Sans ce bagage théorique, il a toutes les chances de tenter des modifications qui rendront le logiciel inopérant. Hors disponibilité des sources ou du binaire seul, ce bagage théorique est une précondition qui constitue à lui seul un obstacle qui rend la tâche difficile.

En l'absence de bagage théorique, l'utilisateur peut tenter une modification en suivant à la lettre et aveuglément des instructions fournies par un tiers. Dans le cas d'un logiciel de cryptologie sous forme binaire les instructions peuvent prendre la forme d'un petit programme automatisant ces modifications. Il existe de nombreux programmes de ce genre, en général disponible sur le web. Dans le cas d'un logiciel de cryptologie disponible sous forme source, il s'agirait d'un patch s'appliquant sur les sources. Il s'agit essentiellement du même principe. Dans le cas du patch cependant, l'utilisateur doit en plus avoir la capacité technique de reconstruire une version binaire du logiciel de cryptologie, c'est donc un peu moins aisé. Comme dans le cas des modifications aléatoires rendant le logiciel inopérant, la possibilité de suivre aveuglément des instructions existant pour tous les logiciels de cryptologie (Logiciel Libre ou non), elle ne peut constituer un critère qualifiant la modification des fonctionalités cryptographiques de facile.

Supposons qu'une personne dispose du bagage théorique nécessaire et qu'elle entreprenne de modifier les fonctionalités cryptographiques sans appliquer des instructions aveuglément. En présence d'un binaire seul, la personne doit disposer d'une solide formation en assembleur, d'outils de décompilation et d'une expérience de reverse engineering. En présence d'un code source, la personne doit disposer d'une solide formation dans le langage de programmation visé, d'outils de compilation. En bref, elle doit avoir suivit une formation en informatique pour tenter effectivement une modification. Acquerir le bagage informatique nécessaire est dans tout les cas un processus difficile.

Enfin, le produit peut, par choix de conception, permettre une modification facile des fonctionalités de cryptographie. Le produit peut, par exemple, contenir une interface homme machine dont l'objet est de permettre à l'utilisateur de modifier les fonctionnalités cryptographiques. Il peut s'agir d'une interface graphique ou d'une interface ligne de commande, et cela implique que le logiciel a été expréssément conçu pour offrir cette possibilité. Il est alors facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Mais c'est un choix de conception qui n'a pas de lien avec la disponibilité du code source du logiciel de cryptologie.

En conclusion, l'accès au code source n'implique pas en soit qu'il est facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Il s'agit avant tout d'un choix de conception délibéré qui doit être jugé au cas par cas, Logiciel Libre ou non. La disponibilité du code source fait qu'il devient possible pour une personne ayant la volonté de franchir les difficiles étapes menant aux connaissances requises mais certainement pas facile pour l'utilisateur de modifier les fonctions cryptographiques. C'est la, uniquement, que réside la différence.

Diffusion des autorisations

Les autorisations fournies ne sont pas exclusives. Plusieures personnes physiques ou morales peuvent demander une autorisation pour la même version du même logiciel. Cependant elles sont nomminatives: une personne X ne peut pas automatiquement bénéficier de l'autorisation obtenue par une personne Z, même si la version du programme est identique.

Les autorisations émises ne sont pas toujours rendues publiques. Lorsque le demandeur en donne l'autorisation expresse, une page est ajoutée dans la liste des produits cryptologiques libres d'utilisation sur le site de la DCSSI. L'information se limite au nom du produit et au nom de la personne physique ou morale ayant fait la demande. La version du produit ou la nature des autorisations accordée ne sont pas spécifiées.

Les autorisations peuvent être publiées dans leur intégralité par le demandeur s'il le souhaite, rien ne s'y oppose.

Les contrôles

Ils sont au nombre de quatre:

  • à l'exportation
  • à la fourniture (en général, il s'agit d'une vente mais dans le cas du Logiciel Libre, le téléchargement peut s'apparenter à une fourniture)
  • à l'importation (télécharger un Logiciel Libre à partir d'un site étranger peut être une importation)
  • sur l'utilisation mais une fois que le logiciel a été déclaré (ou autorisé) , la procédure n'est plus nécessaire.

Caractéristiques des démarches

La plus complexe est l'Autorisation. Elle peut être utilisée pour tous les logiciels qui doivent faire l'objet d'une démarche auprès de la DCSSI. Mais il existe des démarches plus légères dans le cas de logiciels présentant des caractéristiques techniques infèrieures (moins de 128 bits, signature de document mais pas chiffrement etc.).

Se reporter au tableaux catégorisant les diverses sortes de logiciels de cryptographie et les démarches qui s'y appliquent pour une information complète.

  • L'Autorisation

    • Obligatoire pour les logiciels permettant un chiffrement de plus de 128 bits de clé secrète.

  • La Déclaration

    • Obligatoire pour les logiciels permettant un chiffrement jusqu'à 128 bits de clé secrète.

  • La Déclaration simplifiée

    • Obligatoire pour les logiciels qui permettent uniquement la signature, l'authentification et la vérification de l'intégrité du document (en aucun cas le chiffrement)

Les dossiers acceptés

GnuPG

Mis à disposition sur http://fsffrance.org/crypto/.

OpenSSL

Mis à disposition sur http://fsffrance.org/crypto/.

Références

Dossier de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
Le même dossier doit être remplit pour une demande d'Autorisation, une Déclaration ou une Déclaration simplifiée. Partie administrative (aussi en PDF). Partie technique (éléments techniques disponibles en anglais ainsi que la partie technique de GnuPG). Pour référence voir aussi Constitution d'un dossier sur le site de la DCSSI, qui contient les même informations.

Exemples de demande d'Autorisation
Pour GnuPG: http://fsffrance.org/dcssi/gnupg.fr.html (partie technique en anglais http://fsffrance.org/dcssi/gnupg.en.html)

Pour OpenSSL: http://fsffrance.org/dcssi/openssl.fr.html (partie technique en anglais http://fsffrance.org/dcssi/openssl.en.html)

Adresse où envoyer les dossiers de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
	      Secrétariat général de la défense nationale
	      DCSSI - Relations industrielles
	      51, boulevard de Latour-Maubourg
	      75700 PARIS 07 SP
	      FRANCE

	      Téléphone : 01 71 75 82 65 (Secrétariat Général)
	      Téléphone : 01 71 75 82 75 (partie administrative)
	      Téléphone : 01 71 75 82 68 (partie technique)
	      E-mail: ssi41@wanadoo.fr
	      Web: http://www.ssi.gouv.fr/

GnuPG
The GNU Privacy Guard http://www.gnupg.org/

OpenSSL
http://www.openssl.org/

Kerberos
http://web.mit.edu/kerberos/www/index.html

lsh
http://www.net.lut.ac.uk/psst/

Mcrypt
http://mcrypt.hellug.gr/

GnuTLS
http://www.gnu.org/software/gnutls/

loop-AES
http://loop-aes.sourceforge.net/

Liste non exhaustive des produits ayant obtenu une autorisation
http://www.ssi.gouv.fr/fr/reglementation/liste_cat/index.html

Guide à propos de la réglementation sur la cryptologie
http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html

FAQ Infrastructures de gestion de clés
http://www.ssi.gouv.fr/fr/faq/faq_igc.html

FAQ Décret relatif à la signature électronique
http://www.ssi.gouv.fr/fr/faq/faq_sigelec.html

Arrété du 17 mars 1999
Définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie. http://fsffrance.org/dcssi/arrete-17-mars-1999.fr.html

Décret no 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage
L'article 10, 5 en particulier. http://admi.net/jo/20011215/ECOX0100059D.html

Article 28 de la loi n°90-1170 du 29 décembre 1990 (tel que modifié par la loi du 26 juillet 1996 sur les télécommunications)
http://www.ssi.gouv.fr/fr/reglementation/lois/lois_fr4.html

Décret n°98-101 du 24 février 1998
Définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie. http://www.internet.gouv.fr/francais/textesref/cryptodecret98101.htm

Décret n°99-199 du 17 mars 1999
Définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation. http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm

Décret n°99-200 du 17 mars 1999
Définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable. http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm

Magali Julin, Loïc Dachary

 
Sections
Accueil
Actualités
Soutenir
Intervenants
À propos
Guides techniques
Contact
Projets
Gna!
Ferme GCC
Contrats
Liens
April
FSF
   bonjour@fsffrance.org
Copyright (C) 2003-2011, FSF France, 12 boulevard Magenta, 75010 Paris, France
La reproduction exacte et la distribution intégrale de cet article sont permises sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.
Le présent site a fait l'objet d'une déclaration a la CNIL sous le numéro 1134545. Conformément à la législation française en vigueur et plus particulièrement à la loi du 6 janvier 1978 Informatique et liberté, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression sur ces données que vous pouvez exercer en écrivant à l'adresse de courriel suivante bonjour@fsffrance.org ou au siège social de l'association. 		 
Updated: $Date: 2004-08-18 17:57:50 +0200 (Wed, 18 Aug 2004) $ $Author: wikifr $