César en fiction, la cryptographie et le droit pour les nuls


Par Constantin Yamkoudougou | Publié le 29 avril 2019
Print Friendly, PDF & Email

Partagez à vos contacts :
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Jusqu’à la seconde guerre mondiale, la cryptographie a d’abord été réservée aux militaires. Bruce Scheiner expliquait1 que la National Securty Agency aux Etats Unis avait investi des milliards de dollars pour protéger ses communications dans le monde ; on peut dire que l’affaire Snowden en a révélé l’ampleur. La cryptographie a ensuite rejoint le monde civil ou elle sécurise nos échanges de mail, nos achats sur l’Internet, etc. Dans les entreprises il est difficile de parler de sécurité informatique sans que des objets associés à la cryptographie comme les certificats, ou que des protocoles particuliers2 ne soient évoqués. A l’instar de tous les faits de société, la cryptographie et ses usages n’ont pas échappé au législateur. Nous aborderons les concepts de base (1) ; puis son rapport avec le droit (2)

  1. César, la cryptographie et les certificats

Cryptographie à clé symétrique

Le téléphone rouge établit entre la Maison Blanche et le Kremlin lors de la guerre froide pour échanger des messages confidentiels, nécessitait au préalable de convenir d’un secret (encore appelé clé) qui permettait aux américains et aux russes de crypter (ou de chiffrer) et de décrypter (ou de déchiffrer) les messages échangés. Bien avant cette époque Jules César (100 à 44 av. J.C) utilisait une technique d’écriture des messages par décalage des lettres de l’alphabet. Si César convenait de 3 comme secret avec ses généraux dans un espace d’alphabet restreint à 26 lettres (a, b,…z), a était chiffré en d, b en e, …., y en b et z en c, etc. Les généraux de César déchiffraient les messages en faisant un décalage arrière de trois lettres. Ce procédé césarien comporte de multiples inconvénients. Non seulement il aurait fallu choisir des généraux fiables qui ne trahiraient pas le secret commun une fois qu’il était choisi mais il aurait été aussi nécessaire à l’époque de rencontrer les généraux pour le partage de nouveaux secrets (changement de clé à 4, 5, ..). Le cas échéant il aurait probablement fallu disposer de soldats capables de préserver et d’acheminer le secret.

Cryptographie à clé publique

Une innovation majeure en 1977 apportée par les mathématiciens Rivest, Shamir et Adleman (RSA) allait permettre de ne plus devoir partager de secret pour assurer le chiffrement de la communication. Mieux encore l’algorithme allait permettre d’identifier l’émetteur du message et d’en contrôler l’intégrité. L’algorithme met en œuvre deux clés, dont l’une peut être déduite de l’autre par un effort considérable de calcul3. La connaissance de l’une des clé, appelée clé publique permet ainsi de crypter un message à destination de son propriétaire qui ne doit pas divulguer l’autre clé (privée) pour être certain d’être (quasiment au sens mathématique) le seul à pouvoir le lire.. Avec l’algorithme RSA4 du nom de ses inventeurs, César et ses généraux n’auraient plus besoin de se rencontrer. Lui et chacun de ses généraux disposeraient chacun d’un couple de clés tirés au hasard mais avec des contraintes5 particulières. Pour envoyer un message à César, il aurait fallu le chiffrer avec sa clé publique. Lorsque César enverrait un message crypté par sa clé privé ; tous les généraux pourraient le lire avec sa clé publique et l’identifier comme émetteur ; les généraux seraient en outre capable d’en contrôler l’intégrité et pourraient dire outre le chiffrement qu’il a « signé » son message.

Le problème de la confiance

Dans l’exemple précédent de l’empire romain que l’on considère désormais muni d’une technologie de cryptographie à clé publique avec l’algorithme RSA (aujourd’hui de plus en plus à base de courbes elliptiques), comment être sûr qu’une clé publique appartient à son propriétaire ? Si un truand générait un couple de clés, il pourrait se faire passer pour César ou pour l’un quelconque de ses généraux en remplaçant dans le registre des clés publiques des armées romaines, la clé publique du romain dont il veut intercepter les messages par la sienne. Il pourrait ainsi prendre le commandement de l’empire si par exemple la clé qui fait l’objet de la fraude est celle de César.

Et ainsi les certificats naquirent

Compte tenu du problème d’identification du propriétaire d’une clé publique décrit précédemment, on peut imaginer que César décida d’estampiller à travers un certificat chacune des clés publiques de ses généraux afin d’empêcher quiconque d’usurper sa propre identité ou celle d’un général. Le contenu du certificat pour chaque général pourrait se résumer à un numéro qui aiderait à l’ordonner dans le registre, à son nom, sa clé publique. L’estampille serait l’apposition du résultat du chiffrement du certificat par la clé privée de César. L’authenticité du certificat pourrait être vérifiée avec la clé publique du certificat de César. Le risque d’usurpation d’une clé publique en serait réduit et la confiance aux écrits assurée en ce que l’identification de leurs émetteurs serait a priori sans équivoque.

  1. la cryptographie et le droit

Ecrit papier, écrit numérique, crypto-équivalents

En matière d’écrit, dans la vie contemporaine et notamment en France, l’article 1366 du code civil énonce que l’écrit parfait est équivalent à l’écrit électronique à condition que puisse être identifiée la personne qui en est l’auteur et que son intégrité soit garantie par les conditions de sa réalisation et de sa conservation. Cette équivalence probatoire est satisfaite lorsque la signature électronique définit à l’article 1367 al.2 du code civil est mise en œuvre par « un procédé fiable  d’identification garantissant son lien avec l’acte auquel elle s’attache». Tous les certificats à clé publique dont ceux de César ne sont pas éligibles en application du procédé dit fiable. En l’occurrence la suite de l’article1367 du code civil et son décret d’application n°2017-1416 du 28 septembre 2017 énoncent que le certificat doit être « qualifié » au sens du règlement n°910/2014.

La cryptographie tous azimuts

Les domaines d’application de la cryptographie sont variés, notamment en matière contractuelle , l’article 1359 du code civil dispose que « l’acte juridique portant sur une somme ou une valeur excédent un montant [1500 €] fixé par décret doit être prouvé par écrit sous signature privée ou authentique … » ; la conséquence pratique est qu’en commerce électronique la preuve portant sur la conclusion du contrat devra revêtir le sceau de la signature électronique au sens de l’article 1367 code civil lorsqu’un montant minimum de 1500€ est en jeu.

De même un acte unilatéral authentique instrumenté par un officier public lorsqu’il est dématérialisé va requérir la signature électronique. C’est le cas à titre d’exemple des actes accomplis par les notaires. On peut aussi penser à des procès-verbaux dématérialisés de saisie-contrefaçons de logiciel ou d’atteinte à un doit privatif réalisés par un huissier.

Dans le domaine des relations sociales au sein des entreprises, dans le cadre du vote électronique consacré par la loi travail du 8 aout 2016, la cryptographie n’est pas en reste ; le scellement des urnes, le cloisonnement et la confidentialité des traitements des listes d’électeurs et des bulletins reposent sur des mécanismes à base de chiffrement à clé publique ; il en de même des innovations récentes en en matière de blockchain. Les exemples sont pour ainsi dire innombrables.

Compte tenu de ce vaste champ d’application, on ne peut que s’interroger sur la nature du contentieux de la cryptographie.

La cryptographie et la jurisprudence

Dans les prétoires les débats pour trancher les situations litigieuses portent très rarement sur une mise en cause de la cryptographie en elle-même. Cela peut se comprendre compte tenu du cadre formel des mathématiques, des standard des protocoles de l’Internet mais aussi du cadre légal strict (règlement eIDAS, référentiel RGS6) .

En 1999 dans l’affaire Himpuch7 , l’avocat du GIE Carte Bancaire par voie de presse8 déclarait que « C’est l’intégrité de tout le système de protection des cartes bancaires qui est menacé par la découverte » ; on aurait pu penser avec la résonance du mot « intégrité » que l’affaire allait être traitée au fond sur les mécanismes cryptographiques. En réalité, les juges du fond dans cette affaire devaient statuer sur deux chefs d’accusation : d’une part la contrefaçon de carte bancaire, et de l’autre l’accès et l’introduction frauduleuse de données dans le système de traitement de données automatisé du GIE Carte Bancaire. Les avocats du prévenu informaticien plaidaient notamment « l’absence d’intention délictueuse et donc d’élément moral de l’infraction et qu’il n’y avait pas lieu de faire application de l’article L 121-3 du code pénal » ; des arguments qui n’avaient pas suffi à convaincre le tribunal.

Dans l’affaire Malek X9, c’est le droit au silence du prévenu suite à la demande « de la convention secrète de déchiffrement » par les autorités judiciaires qui est à l’origine de question prioritaire de constitutionnalité jugée sérieuse par la Cour de cassation. Il s’agissait de la demande au prévenu de la mise à disposition de son code de déverrouillage pour l’accès aux informations stockées sur son téléphone10 dont il faut noter que ce sésame n’a pas en général pour effet direct de produire un chiffrement des données.

Dans l’affaire ayant opposé la société Swisscom11 à la société Magiq Technologies, il s’agissait d’une action en nullité de la partie française d’un brevet consacré à un dispositif industriel en plug and play de cryptographie quantique.

En conclusion dans la plupart des affaires avec des faits relevant du domaine de la cryptographie, on pourrait s’attendre à des discussions sur les faiblesses d’implémentation, des cassages de clés, des algorithmes inappropriés, etc. Statistiquement, on remarque que l’examen au fond repose presque toujours sur des éléments extrinsèques donc sur des faits distincts de la cryptographie.

Références :

Sécuriser ses échanges électroniques avec une PKI – solution technique et aspects juridiques T. Autret – l. Bellefin – Marie-laure Oble -Laffaire

Bruce Scheiner – Cryptographie appliquée, algorithmes, protocoles et codes sources en C

Cryptographie  théorie et pratique – Douglas Stinson – Traduction de Serge Vaudenay

https://www.legalis.net/actualite/affaire-humpich/?page=jurisprudence-decision&id_article=1200

https://www.lexpress.fr/informations/carte-bleue-l-homme-qui-a-trouve-la-faille_634290.html

https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-13eme-ch-correctionnelle-jugement-du-25-fevrier-2000/

1 Bruce Scheiner – Cryptographie appliquée, algorithmes, protocoles et codes sources en C

4 La tendance est de plus en plus à l’usage de systèmes à base de courbes elliptiques compte tenu des tailles de clé plus courtes https://link.springer.com/content/pdf/10.1007/3-540-39799-X_31.pdf

6 Référentiel Général de Sécurité  sous l’égide du Premier Ministère

10 Communication Commerce électronique n° 9, Septembre 2018, comm. 69, L’obligation légale de remettre la clé de déchiffrement est conforme à la Constitution Éric A. Caprioli

11 TGI, Paris, 3e chambre, 2e section, 30 Janvier 2009 – n° 05/10587

Auteur de l’article : Constantin Yamkoudougou

Constantin YAMKOUDOUGOU, alumni ENST Paris, est ingénieur sécurité des systèmes d'information dans le secteur public.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.