Jump to content

Signature numérique et logiciels de chiffrement en Algérie


Recommended Posts

Bonjour à tous et à toutes,

 

A travers ce sujet que je lance dans rubrique juridique et administrative de ForumDZ, je voudrais attirer votre attention sur deux sujets qui me semblent intéressants d'étudier du point de vu juridique, technique et économique.

 

Si l'on se réfère au : Décret exécutif n° 09-410 du 23 Dhou El Hidja 1430 correspondant au 10 décembre 2009 fixant les règles de sécurité applicables aux activités portant sur les équipements sensibles on peut lire sur la page 09 du journal Officiel de la RADP n°73 du 13 décembre 2009 :

 

Annexe I >> Sous section 3 : Les équipements et logiciels d'encryption (bien qu'il y a eu faute avec le mot encryptions) :

 

equipements-et-logiciels-d-encryption-algerie.png

 

Ce qui revient à dire que pour pouvoir acquérir un logiciel d'encryption, il faut demander une autorisation à l’État algérien et au autorités compétentes. Et cette histoire ne s'arrête pas là puisque elle touche à ce qui existe déjà.

 

Je m'explique, je suis utilisateur GNU/Linux comme beaucoup d'entre vous et j'ai toujours eu recours au cryptage, là où le fallait. Exemple, cryptage d'une discussion sur Gajim lorsque je discute sur un serveur Jabber (tans pis pour ceux qui utilisent MSN de se retrouver fâce à Micro$oft qui voient toutes leurs discussions en clair).

 

J'utilise le cryptage GPG pour crypter mes emails aussi et bien évidemment, nous avons eu tous recours au moins une fois à l'usage d'un certificat SSL autosignés ou signés par une CA (Autorité de Certification) pour des sites Web à titre d'exemple. Google.dz utilise aussi un accès sécurisé (donc crypté) sur https://www.google.dz, et il n'est pas le seul vu que le CERIST aussi utilise aussi ces méthodes de cryptage.

 

Et bien savez vous que cette loi, votée et passée presque ... je dis presque inaperçue, interdit à tout citoyen algérien d'utiliser tout moyen de cryptage y compris les outils Libres et Open Source que sont GPG, OpenSSL (donc OpenSSH), PGP bien qu'une multitude de ces outils se retrouvent implémentées dans nos équipements de communication modernes de tout les jours. Vos routeurs/routeurs Wi-Fi sont équipés d'un service de cryptage ... WEP, WPA, WPA2 (TKIP-AES) ou autre que vous le vouliez ou pas, c'est intégré ! Mais il est à se demander si les fabriquants et/ou les entreprises (Algérie Télécom) qui commercialisent ce type d'équipement comprenant cryptage paient ou pas pour l'obtention d'une autorisation !?

 

Si j'ai à crypter un mail, je le fais non pas par paranoïa mais pour préserver mon intimité et ma vie privée. J'utilise le cryptage because dans la vie réelle je cache ma lettre dans une enveloppe fermée sinon j'aurais pu envoyé mon message au clair dans le dos d'une carte postal pour rembourser mon crédit à un ami ! Sinon à quoi servent les soumissions sous emballage/pli scellés ?

 

Petit extrait de Wiki :

 

En France,l'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l'Internet, a longtemps été interdit en France, car considéré jusqu'en 1996 comme une arme de guerre de deuxième catégorie. La législation française s'est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation.

 

D'ailleurs, j'ai fouiné un peu profond sur la toile et figurez-vous que c'est grâce à la FSFE que l'utilisation de GPG et OpenSSL fût possible en France. Je vous invite à lire ce document :

 

http://fsffrance.org/dcssi/dcssi.fr.html

 

Et voici des captures des documents :

 

GnuPG :

 

http://fsffrance.org/dcssi/gnupg-recepisse.jpg

http://fsffrance.org/dcssi/gnupg-afg-import.jpg

 

OpenSSL :

 

http://fsffrance.org/dcssi/openssl-export.jpg

http://fsffrance.org/dcssi/openssl-recepisse.jpg

 

Le reste des documents sur cette page :

 

http://fsffrance.org/dcssi/

 

Évidemment à partir de 2004 l'Etat français a décidé de libérer l'utilisation de ces moyens de cryptologie.

Il faut savoir que les distributions GNU/Linux intègrent à l'origine des outils de cryptage, faut il alors demander aux autorités une autorisation pour pouvoir utiliser son propre système d'exploitation ?

 

Un autre article intéressant parlant de la cryptographie dans le monde : http://www.linux-france.org/article/these/guide_linux/03_chapitre_12_section.html

 

Et puis un accord dont on a peu entendu parlé "l'Arrangement Wassenaar": http://fr.wikipedia.org/wiki/Arrangement_de_Wassenaar

 

http://www.un.org/fr/disarmament/instruments/wassenaar.shtml

 

Mais voici un petit avis de la Free Software Foundation à propos de l'arrengement de Wassenaar :

http://www.gnu.org/philosophy/wassenaar.fr.html

 

Tiens ... en tant de guerre, l'armée algérienne utilisera quel type de cryptage d'ailleurs ? GPG/PGP ou bien la matos des deux armées américaines et russes (afin que leurs messages soient interceptées dès le départ par la NSA ?! ... un peu comme l'histoire du remboursement de mon crédit via ma carte postale ! heuh !).

 

Une petite biographie que je vous invite à lire : http://fr.wikipedia.org/wiki/Philip_Zimmermann

petit extrait :

 

Philip Zimmermann ... a été le premier à mettre à la disposition du public un logiciel de chiffrement facilement utilisable fondé sur la technique de la clé asymétrique (ou clé publique). Cela lui valut une enquête criminelle de trois ans de la part des Douanes américaines. Le gouvernement lui reprochait d'avoir violé les restrictions sur l'exportation de logiciels de cryptographie en diffusant PGP dans le monde entier (PGP avait été publié en 1991 sur le web comme logiciel libre).

 

Après le classement sans suite de la procédure par le gouvernement début 1996, Zimmermann fonda PGP Inc ...

 

D'ailleurs, vous trouverez en bas de la page Wiki qui lui est dédiée, sa citation la plus connue en parlant de cryptage et de vie privée :

 

« If privacy is outlawed, only outlaws will have privacy »,

soit, en français : « Si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. »

 

Et enfin, une petite présentation par Mme BOUDER Hadjira, chercheur en Droit des TIC au CERIST ... qui nous dis à demi-mot que l'ARPT en tant que régulateur ou administration autonome neutre ne peut pas être une organisme de régulation et en même temps une Autorité de Certification (CA).

Et nous emmène à dire que selon la loi algérienne, la signature électronique est en quelque sorte légalisée (à demi-mots) mais non encore définie clairement.

 

http://www.cerist.dz/Dtic/S4C3.PDF

 

Alors, sommes-nous des hors la loi ? ou bien importons-nous des lois from dehors ? Sans savoir pourquoi ?

 

A part ça ... tout va bien.

Merci de m'avoir lu !

Edited by Yoplalache
Link to post
Share on other sites
  • Administrators

[HS: ON]

C'est peut être pour sa que Algérie télécom n'utilise jamais de certificat SSL sur ses sites ? lol

[HS: OFF]

 

Plus sérieusement, tu pense réellement que le gouvernement mesure la portée de cette loi ? :stupid:

Link to post
Share on other sites
[HS: ON]

C'est peut être pour sa que Algérie télécom n'utilise jamais de certificat SSL sur ses sites ? lol

[HS: OFF]

 

Salut R. Lyès,

 

Si tu veux mon avis de petit citoyen, je dirais qu'Algérie Télécom peut utiliser, si elle le désire un certificat reconnu à la Verisign et compagnie, mais je pense qu'elle est en stand by et attends plutôt qu'une autorité de certification algérienne voit le jour pour qu'elle puisse intégrer un certif. SSL et passer au SSL chiffré xxxxbits.

 

Ceci dit, il faut d'abord gagner la confiance des navigateurs et faire preuve de sérieux si l'on veut que le fameux certificat serveur algérien soit adopté dans Mozilla Firefox, Opera ou Internet Explosé ! Ceci étant un autre débat. => le même que celui qui se déroule chez nos amis tunisiens sur ce lien : http://forum.thd.tn/threads/a-quand-un-certificat-reconnu-par-les-navigateurs.9815/

 

Plus sérieusement, tu pense réellement que le gouvernement mesure la portée de cette loi ? :stupid:

 

:) Pour "mesurer" il ne faut pas penser directement à "outil de mesure" mais au préalable aux personnes qualifiés "en mesure" de prendre des mesures :), ce n'est pas parcequ'on a appris à mesurer avec une règle de 30 centimètres qu'on peut prendre des mesures au décamètre ou avec le truc-machin des topographes ;) ... hum tiens ça ce voit que je ne suis pas topographe :p.

 

Merci de m'avoir lu ;)

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...