aunt Ext Fert
REPUBLIQUE FRANCAISE
HIER MINISTRE
Secretariat genéral Paris, le 24 mars 2016
ergata con ACESIANSSUDG-
et de ja sécurité nationale Nac
Agonce nationale de la sécunté
des systémies d information
NOTE
a
destinataires in fine
Objet Evolution des mesures Iégislatives relatives a la cryptographic
Les. attaques informatiques sont en ts forte progression, tant en nombre qu’en niveau de
sophistication, Les motivations des attaquants sont muntiples : gain financier, revendication politique
ou religicuse, espionnage 4 toutes fins ef, dans les cas les plus graves, volonté de déteuire par des
moyens informatiques des infrastructures critiques. Lorigine des attaquants est tout
simples individus isoles, groupes constitués, criminalité organisée ou encore entités ératiques dotées
de moyens considsrables.
Face A cetie trés forte menace pour notte sécurité nationale, notte économie et nos eoncitoyens, la
sécurité du numérique, condition de la confiance et gage de réussite de la transition numérique, est
considérée comme une priorité en France, Parmi les outils de protection indispensables figurent au
premier rang les moyens de cryptographic et notamment les technologies de chiffrement de
Finformation, Fux seuls permeitent d'assurer une sécurité au juste niveau lors de ka transmission, du
stockage ot de |
‘cds aux données numériques sensibles. Les applications sont (és nombreuses
hanges converts par le secret de la défense nationale, données de santé ou de professions
réglementées, données techniques, acontmerciales et stratégiques des entreprises, données
personnelles des citoyens,.. Le développement et I'usage généralisé de ces moyens détensifs doivent
par conséquent étre_systématiqu voir régles
situations les plus critiques.
ichtairement imposés dans les
nent encourage:
La loi frangaise donne explicitement la liberté d'usage des moyens de eryptotogie. Par ailleurs, te
code pénal et le code de la séeurité intérieure prevoient et encadrent kt possibilité dexiger le
concours des prestataires de eryptologie afin d’aider au contoumement des mécanismes de sécurité
lorsque ceci est possible et nécessaire, En pratique, il s'agit en général a
chiffiement si elles sont disponibles ou bien de neutraliser des mécanismes de contrite d'acees par un
aceés physique aux équipements sécurisés. 1a logique mi Wee est celle dune « obligation de
moyen » encourageant fe développement de solutions sécurisées robustes tout en permettant, autant
que possible, leur contournement en eas de besoin,
ibtenir les clés de
eenToute evolution de la legislation vers une mesure générale « Uobligation de résultat » visant a
garantir la possibilité daccéder & des informations protégées aurait pour effet désastreux d'imposer
aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes
cryplographiques employés. Or il est techniquement impossible d'assurer que ce dispositif ne
benéliciera yu'aux personnes autorisées. Bien au contraire, Mensemble des experts. dont ceux de
VANSSI, autorité nationale de défense et de sécurité des systémes d'information, s'accordent sur le
fait que l'affaiblissement des mécanismes cryptographiques ou bien introduction volomtaire de
mécanismes de contoumement sont systématiquement susceptibles ¢étre exploités par des attaguants
AUX protils variés,
Enfin, il convient de noter que les technologies robustes de cryptographic, longtemps réservées & une
communaute tres restreinte, sont aujourd'hui largement diffusées et relativement aisées & mettre en
suvre, Le développement de logiciels non contrbtables, faciles & distribuer et offrant un niveau de
sécurité trés élevé est par conséquent a la portée de nimporte quelle organisation criminetle
Imposer un affaiblissement généralisé des moyens eryptographiques serait attentatoice & la sécurité
numérique et aux libertés de limmense mujorité des ulilisateurs respectucux des
rapidement inefficace vis-a-vis de la minorité ciblée
Pour atteindre des objectits opérativanels Wacees 4 des données chifTtées, la coopération judiciaire
avec les fournisseurs de produits ot de services sécurisés reste fa procédure 4 privilégier.
approche devait & Vexpéricnce se révéler insulfisante, la seule démarche effivace, bien que complex
‘1 cofiteuse, consisterait & développer les techniques d’intercep\
ot déja prévues et entcadées par la loi