|
Université Gaston Berger de Saint
Louis
------------------------------------
UFR de Sciences Juridiques et Politiques
Master 2 Pro Droit du Cyberespace
MEMOIRE
Présenté par :
Mawaba BOTSSI
Sous la direction de :
M. Diabouré Roland GOULLA
Enseignant-chercheur en Droit privé
Université Gaston BERGER de
Saint-Louis
TITRE :
CRYPTOGRAPHIE ET TRANSACTIONS
ÉLECTRONIQUES
· REMERCIEMENTS
La rédaction de ce mémoire n'aurait pas
été possible sans la contribution de nombreuses personnes. En
premier lieu et avant tout, je tiens à remercier mon directeur de
mémoire M. Diabouré Roland GOULLA pour
avoir accepté d'encadrer ce travail.
Je tiens à exprimer ma gratitude à Jean Marie
NOAGBODJI, PDG de CAFE Informatique et communications ainsi qu'à Kido
NOAGBODJI, Directeur Technique de CAFE Informatique et communications pour la
connexion Internet haut débit à domicile.
Aussi à mes amis de toujours qui ont été
très encourageants et utiles pour leur appui à tout moment, quand
les temps étaient difficiles pour moi, je dis merci.
Je tiens à exprimer ma reconnaissance au Pasteur
Siradji Maliourou pour son soutien financier sans lequel je n'aurais pas pu
m'inscrire en Master ainsi que pour ses prières continuelles en ma
faveur.
J'aimerais aussi exprimer ma gratitude de façon
particulière à Bala, Serge et Blandine pour avoir
été de très bons amis en tout temps.
En dernier point mais non le moindre, les mots ne suffisent
pas pour remercier mes parents pour leur soutien mentale, financier et
émotionnel. Sans leur attention de tous les jours, je ne serais pas
l'Homme que je suis aujourd'hui!
· SIGLES ET ABRÉVIATIONS
AES : Advenced Encryption Standard
BCEAO : Banque Centrale des Etats de
l'Afrique de l'Ouest
CEDEAO : Communauté Economique des
Etats de l'Afrique de l'Ouest
Cf. : Confère
CNUDCI : Commission des Nations Unies pour
le Droit Commercial International
DES : Data Encryption Standard
DSA : Digital Signature Algorithm
GSM : Global System for Mobile
communications, historiquement Groupe Spécial Mobile
GSMA : Groupe Special Mobile
Association
ICP : Infrastructure à
Clés Publiques
ISO : International Standards Organisation
LCEN : Loi pour
la Confiance dans l'Économie Numérique
OCDE : Organisation pour la
Coopération et le Développement Économique
OHADA : Organisation pour
l'Harmonisation en Afrique du Droit des Affaires
PGP : Pretty Good Privacy
PKI : Public Key Infrastructure
RCCM : Registre du Commerce et du
Crédit Mobilier
SET : Secure Electronic Transaction
TIC : Technologies de l'Information et de
la Communication
UA : Union Africaine
UE : Union
Européenne
UEMOA : Union Économique et
Monétaire Ouest-Africaine
UIT : Union Internationale des
Télécommunications
· TABLE DES MATIÈRES
REMERCIEMENTS
2
SIGLES ET ABRÉVIATIONS
3
TABLE DES MATIÈRES 5
INTRODUCTION
6
PARTIE I. LA
CRYPTOGRAPHIE LIBÉRALISÉE: UN ATOUT DANS LA SECURISATION DES
TRANSACTIONS ÉLECTRONIQUES
12
CHAPITRE I. LA SÉCURITÉ
DU COMMERCE ÉLECTRONIQUE
13
Section I - Le chiffrement des
données, une garantie de la sécurité technique
13
Section II - L'authentification et le
contrôle d'intégrité: des outils pertinents au service de
la preuve électronique
19
CHAPITRE II. LA PROTECTION DE LA VIE
PRIVEE
27
Section I - La protection des
données personnelles lors de leur transmission par le réseau
27
Section II - La protection des
données personnelles stockées sur un ordinateur connecté
au
réseau
32
PARTIE II. LA CRYPTOGRAPHIE
ENCADRÉE : UN IMPÉRATIF DE LA CONFIANCE NUMÉRIQUE
35
CHAPITRE I. LA PROTECTION DU
CYBERCONSOMMATEUR
36
Section I - Les obligations du
prestataire de services de cryptologie
36
Section II - La responsabilité
du prestataire de services de cryptologie
40
CHAPITRE II. LA PROTECTION DE L'ETAT
45
Section I - Les restrictions à
la circulation des moyens et à l'offre de prestations de cryptologie
45
Section II - Le contrôle de
l'utilisation des moyens et prestations de cryptologie
48
CONCLUSION GÉNÉRALE
52
BIBLIOGRAHIE
54
WEBOGRAPHIE
57
· INTRODUCTION
Avec l'expansion impressionnante du réseau internet, le
commerce électronique a connu un développement fulgurant à
tel point qu'il est aujourd'hui devenu une pièce maîtresse dans la
globalisation et dans l'interaction des échanges économiques
à travers le monde, créneau majeur du concept de la
mondialisation1(*). Le
commerce électronique et, plus généralement les
transactions électroniques sont une réalité dans les pays
développés depuis plusieurs décennies, mais commencent
à peine à s'intégrer dans l'environnement
économique de la majorité des pays africains.
Les transactions électroniques se présentent
aujourd'hui comme un élément essentiel du développement de
l'économie. Elles ont un réel potentiel de croissance dans les
pays africains et sont à la base d'un ensemble d'opportunités
à saisir. Il suffit pour s'en convaincre de jeter un regard sur
l'engouement que suscitent les technologies de payement par mobile
auprès des consommateurs africains. Selon une étude de 2011 du
GSMA, l'Association des opérateurs mobiles utilisant le GSM, 80% des
transactions effectuées sur mobile ont pour origine les pays d'Afrique
de l'Est. La même association a publié cette année une
autre étude évaluant à 2,8 milliards d'euros le montant
total des transferts effectués rien qu'au Kenya avec le système
de payement par téléphone mobile M-Pesa2(*).
Toutefois, le développement des transactions
électroniques est confronté à un problème de taille
: celui de leur sécurisation. En effet, un des préalables majeurs
des transactions électroniques concerne la sécurité.
À cet égard, le développement du réseau internet
n'a pas contribué à diminuer l'importance de cette
problématique.
La sécurité est un enjeu fondamental qui touche
à la confiance dans les transactions électroniques, et plus
particulièrement du commerce électronique.
Pendant de nombreuses années, les internautes se sont
montrés méfiants vis-à-vis du canal électronique
dont les dangers ont été sans cesse décriés par les
médias.
Le manque de confiance exprimé à l'égard
des transactions électroniques résulte non seulement de la
structure même d'internet conçu comme un réseau universel
ouvert qu'aucun organisme n'a vocation à contrôler globalement,
favorisant ainsi des actes de cybercriminalité; mais surtout du fait,
pour les pays africains, que les technologies de l'information et de la
communication ne font pas encore l'objet d'une législation
adéquate.
Si les questions de sécurité existent bien et
constituent un défi permanent pour les entreprises de commerce
électronique et les utilisateurs des réseaux électroniques
de façon générale, certaines techniques permettent de
sécuriser les transactions tout comme le paiement en ligne.
Une technologie de pointe en particulier peut apporter des
solutions et permettre des transactions électroniques en toute
sécurité : il s'agit de la cryptographie, d'où le
choix de notre sujet portant sur « cryptographie et transactions
électroniques ».
Mais auparavant, il est important de définir les termes
de ce sujet.
D'abord, la notion de transaction électronique.
Selon l'Agence Wallonne des Télécommunications,
« une transaction électronique est un ensemble
cohérent d'échanges d'informations relatifs à une
même idée ou à un même acte, entre deux ordinateurs
à travers un réseau informatique. L'objet
d'une transaction électronique peut être une interrogation d'un
stock, l'envoi d'une facture, un achat avec ou sans transfert d'argent,
etc. ».3(*)
L'OCDE définit le commerce électronique comme
étant « la vente ou l'achat de biens ou de services,
effectué par une entreprise, un particulier, une administration ou toute
autre entité publique ou privée, et réalisé au
moyen d'un réseau électronique ».
Cette définition inclut non seulement les achats et
ventes réalisés sur un site Internet, mais également les
achats par minitel, par un système téléphonique interactif
(type Audiotel) ou encore, entre les entreprises, par le biais de relations
directes et automatisées d'ordinateur à ordinateur tel que les
Échanges de Données Informatisées (EDI).
Ensuite, le terme la cryptographie : la
cryptographie est une science très ancienne.
Il faut d'abord préciser que le recours à la
cryptographie est une pratique ancienne. Il convient donc, dans un premier
temps, de définir la notion et la placer dans son contexte historique.
Le Larousse définit la cryptographie comme
l' « ensemble des techniques de chiffrement qui
assurent l'inviolabilité de textes et, en informatique, de
données. »
D'après l'Agence française de la
sécurité des systèmes d'information, « la
cryptographie est une science visant à transformer à l'aide de
conventions secrètes appelées clés, des informations ou
signaux clairs en informations ou signaux inintelligibles pour des tiers
n'ayant pas la connaissance du secret, ou à réaliser
l'opération inverse grâce à des moyens, matériels ou
logiciels conçus à cet effet »4(*).
Du grec « kruptos » (caché) et
« graphein » (écrire) le mot
« cryptographie » peut être assimilé
à « étude des écritures secrètes
». La cryptographie, c'est l'art de dissimuler ses intentions ou ses
instructions à ses ennemis et de les transmettre à ses amis au
moyen d'un texte chiffré5(*).
Apparue en même temps que la cryptographie, la
cryptanalyse désigne la technique qui étudie les moyens de
chiffrement et recherche les méthodes permettant de décrypter ;
plus généralement, c'est la science qui étudie la
sécurité des procédés cryptographiques. Cette
technique est généralement employée dans le but de briser
le code avec lequel le message a été crypté.
Ensemble, la cryptographie et la cryptanalyse forment la
cryptologie6(*).
Le législateur français ne définit pas la
notion elle-même et préfère citer les prestations et moyens
de cryptologie. Selon l'art. 28 I, premier alinéa, de la loi no 90-1170
du 29 septembre 19907(*) ,
« on entend par prestations de cryptologie toutes prestations visant
à transformer à l'aide de conventions secrètes des
informations ou signaux clairs en informations ou signaux inintelligibles pour
des tiers, ou à réaliser l'opération inverse, grâce
à des moyens, matériels ou logiciels conçus à cet
effet ».
Le texte définit ensuite le moyen de cryptologie :
« On entend par moyen de cryptologie tout matériel ou logiciel
conçu ou modifié dans le même objectif ». Une
série de dispositions juridiques viennent par la suite former le
régime légal de la cryptologie.
La cryptologie est définie dans la loi
sénégalaise n° 2008 - 41 du 20 août 2008 sur la
cryptologie comme étant la « science relative à la
protection et à la sécurité des informations notamment
pour la confidentialité, l'authentification, l'intégrité
et la non répudiation des données transmises ». Elle
est composée de la cryptanalyse qui consiste à rendre
intelligible une information cryptée sans connaître le moyen
utilisé pour la crypter et de la cryptographie qui est «
l'étude des moyens et produits de chiffrement permettant de rendre
illisibles des informations afin de garantir l'accès à un seul
destinataire authentifié ».
La cryptologie est donc une pratique et une science anciennes.
Ses premières utilisations se rapportent il y a 4000 ans en
Égypte8(*).
Durant plusieurs siècles, l'écriture
secrète sera exploitée uniquement à de fins politiques et
militaires et évoluera faiblement.
Avant Internet, le télégraphe
révolutionnera la cryptographie. Les travaux qui ont incontestablement
révolutionné la cryptologie ont été publiés
en 1976 par Whitfield DIFFIE et Martin HELLMAN.9(*)
Avec l'expansion des transactions électroniques
à partir des années 1990 et l'apparition de menaces liées
à celles-ci, la cryptographie devient l'outil indispensable pour en
assurer la sécurité.
Du point de vue du consommateur, le commerce
électronique et les transactions électroniques se basent sur la
confiance. Celui-ci doit être convaincu que les transactions en ligne ne
comportent pas de risque pour lui si bien qu'on est actuellement en
présence d'une véritable mutation, d'un passage d'une science du
secret à la science de la confiance.
Ce constat suscite une interrogation importante :
Quelle politique de la cryptographie faut-il adopter pour favoriser
l'édification de la confiance des consommateurs africains dans les
transactions électroniques?
Un cadre juridique harmonieux de la cryptographie suffisamment
protecteur du consommateur africain devrait permettre d'effacer ses craintes
légitimes vis-à-vis du canal électronique. A l'instar de
l'Union Européenne ou de la France, la démarche passera par
l'adoption d'une politique libérale de la cryptographie. Il
faudra néanmoins un encadrement rigoureux de cette technologie.
En effet, la cryptographie est nécessaire à la
sécurisation technique et juridique des transactions
électroniques : la cryptographie grâce à des
algorithmes complexes permet d'assurer les fonctions de confidentialité,
d'intégrité, d'authentification et de non-répudiation des
messages électroniques. En cela, elle apparaît comme la
méthode la plus efficace et la plus sure pour protéger les
informations échangées sur les réseaux
numériques10(*). La
reconnaissance juridique de la valeur probante de l'écrit
électronique, la consécration de la signature électronique
comme moyen d'authentification de celui-ci et le recours au tiers certificateur
confère aux transactions électroniques la confiance tant
recherchée.
L'équation n'est pas si simple cependant. D'abord, les
garanties de sécurités offertes par la cryptographie ne sont pas
absolues. En effet, certaines conventions secrètes (clés
cryptographiques secrètes) peuvent être
« cassées » relativement facilement11(*); ou alors, une
défaillance dans les logiciels cryptographiques pourrait permettre le
vol de ces conventions secrètes par des cybercriminels. La faille de
sécurité heartbleed12(*) découverte récemment dans le logiciel
cryptographique openSSL en est un exemple parlant. Il se pose dès lors
la question de la gestion des clés cryptographiques et de la
responsabilité en cas de défaillance des prestataires de
services de cryptographie. Ensuite, l'utilisation de la cryptographie peut
parfois constituer un obstacle à la justice. C'est le cas par exemple de
l'utilisation de la cryptographie par des cybercriminels empêchant la
justice d'avoir accès à certaines informations dans le cadre
d'une investigation judiciaire. D'où la nécessité d'un
encadrement rigoureux de la cryptographie.
Les États gardaient un contrôle étroit de
la cryptographie pour des raisons de sécurité intérieure
et extérieure. Mais face à un besoin nouveau, celui de la
sécurisation du commerce électronique, la tendance est de plus en
plus à la libéralisation de cette technologie13(*).
En France, la libéralisation de la cryptologie par la
Loi n° 2004-575 du 21 juin 2004 pour la Confiance dans l'Économie
Numérique (LCEN) a permis l'essor du commerce électronique.
Dans l'UEMOA, la question de la cryptographie n'a pas encore
été règlementée14(*) ; ce qui fait tout l'intérêt de ce
thème.
Les États de la CEDAO ont récemment fait des
efforts s'agissant de la réglementation des transactions
électroniques. La Communauté ayant en effet élaboré
un instrument juridique15(*) allant dans ce sens et dont les dispositions ont
été déjà intégrées dans
l'ordonnancement juridique de certains États membres. Cet instrument
renvoie16(*) à des
textes spécifiques à venir, le rôle de définir le
régime juridique de la cryptologie.
Ayant pris conscience du « potentiel de
croissance »17(*) des transactions électroniques et compte tenu
de l'indispensable recours à la cryptographie pour la
sécurisation de celles-ci, il est improbable que les législateurs
dans l'espace de la CEDEAO consacrent une solution différente de celle
du législateur français, c'est-à-dire le principe de la
liberté d'utilisation des moyens et prestations de cryptologie.
C'est d'ailleurs en partie la solution adoptée par le
Sénégal dans sa loi n° 2008-41 du 20 août 2008 sur la
cryptologie. Ce texte prévoit en son article 12 la libre utilisation des
moyens et prestations de cryptologie mais uniquement à des fins
d'authentification et de vérification de l'intégrité des
messages ou documents électroniques.
En nous appuyant sur la doctrine ainsi que sur la
législation française sur la cryptologie, qui transpose les
directives de l'Union Européenne en la matière, et sur la loi
sénégalaise, nous essayerons de relever, dans un premier temps,
les arguments en faveur de l'adoption d'une politique libérale de la
cryptographie. Nous tenterons, ensuite, de déterminer les domaines dans
lesquels un encadrement semble nécessaire.
Notre démarche consistera à démontrer
que, si la confiance des utilisateurs des réseaux numériques est
indispensable au développement des transactions électroniques, la
cryptographie apporte des garanties de sécurité technique. Sa
libéralisation se présente alors comme une
nécessité du développement des transactions
électroniques (Première partie). Mais, la cryptographie en tant
que réponse technique aux vulnérabilités inhérentes
aux communications sur un réseau ouvert, n'est pas un sésame et
constitue parfois elle-même un facteur du problème. Un encadrement
judicieux de la cryptographie permettra d'assurer la sécurité
juridique des transactions électroniques et d'asseoir ainsi la confiance
des consommateurs (Seconde partie).
· PARTIE I.
LA
CRYPTOGRAPHIE LIBÉRALISÉE: UN ATOUT DANS LA SECURISATION DES
TRANSACTIONS ÉLECTRONIQUES
La confiance des consommateurs est primordiale à la
promotion des transactions électroniques18(*). La cryptographie est une réponse
technologique à ce besoin de confiance19(*). Elle permet en effet d'assurer la
sécurité du commerce électronique (Chapitre I) et la
protection de la vie privée sur les réseaux numériques
(Chapitre II)
· CHAPITRE I.
LA
SÉCURITÉ DU COMMERCE ÉLECTRONIQUE
A cause de sa nature transfrontière, le commerce
électronique aura un impact important sur l'économie mondiale. Il
crée de nouveaux marchés ou étend ceux déjà
existant au-delà des frontières traditionnelles20(*). Les États africains
peuvent s'appuyer sur ce nouveau créneau pour accroître leurs
revenus. Pour cela, ils doivent prendre des mesures susceptibles de permettre
le développement du commerce électronique.
Les exigences du développement d'un véritable
marché électronique se traduisent essentiellement en terme de
sécurité et d'authentification. La sécurité
s'obtient par l'utilisation d'un moyen de chiffrement performant (Section I).
La signature et le certificat électronique basée sur la
cryptographie dite asymétrique permettent l'authentification (Section
II).
Section I - Le
chiffrement des données, une garantie de la sécurité
technique
Il n'est pas rare que la presse fasse état d'actes de
piratage et de vol d'informations confidentielles sur des serveurs ou sites de
commerce électronique. Il en résulte, chez le consommateur, une
réticence à fournir, par exemple, son numéro de carte
bancaire sur internet. Comme le fait remarquer Lorentz « le
développement du commerce électronique est subordonné
à l'utilisation des techniques
cryptographiques »21(*). C'est que, la cryptographie moderne (Paragraphe I)
est suffisamment avancée pour assurer efficacement la
sécurité d'informations sensibles en ligne (Paragraphe II).
· Paragraphe I - Les techniques
cryptographiques modernes
La cryptographie moderne se fonde sur la notion de clé.
Une clé est une valeur mathématique utilisée pour chiffrer
et déchiffrer des messages. Elle est aussi utilisée dans la
signature électronique. La longueur de la clé, qu'on exprime en
bits, détermine le niveau de protection fourni par un système de
chiffrement22(*).
Selon qu'on utilise une seule clé pour le chiffrement
et le déchiffrement ou qu'on ait recours à une clé
différente pour chacune des deux opérations, on distingue deux
types de systèmes de chiffrement : les systèmes de
chiffrement à clé secrète (A) et les systèmes de
chiffrement à clé publique (B).
· A - Le
chiffrement à clé secrète
Les algorithmes de chiffrement à clef secrète ou
symétriques ou encore conventionnels sont ceux pour lesquels
l'émetteur et destinataire d'un message électronique partagent
une même clef, autrement dit, les clés de chiffrement et de
déchiffrement sont identiques. L'emploi d'un algorithme à clef
secrète lors d'une communication nécessite donc l'échange
préalable d'un secret entre les deux parties à travers un canal
sécurisé ou au moyen d'autres techniques cryptographiques. Dans
le cas du chiffrement à clé secrète, la même
clé (ou une copie de cette clé) est utilisée pour chiffrer
et déchiffrer les données.
Le chiffrement à clé secrète peut
être utilisée pour chiffrer des données, pour les stocker
ensuite sur un support électronique (disquette ou disque dur) ou les
transmettre à un proche associé. Toutefois, cette méthode
présente un inconvénient majeur. Elle ne convient pas à la
diffusion générale sur des réseaux publics entre
utilisateurs qui ne se connaissent pas23(*). On reconnaît généralement que
les principaux problèmes que rencontre le chiffrement à
clé secrète sur les réseaux ouverts ont trait à la
distribution des clés. Non seulement il existe un risque de
détournement de la clé secrète lors de sa distribution,
mais aussi, chaque utilisateur est obligé de communiquer sa clé
à chacun de ses interlocuteurs. Ce qui pourrait permettre à une
personne de lire des messages qui ne lui sont pas destinés.
Un paramètre essentiel pour la sécurité
d'un système à clef secrète est la taille des clés.
En effet, il est toujours possible de mener sur un algorithme de chiffrement
une attaque dite exhaustive pour retrouver la clef. Cette attaque consiste
simplement énumérer toutes les clés possibles du
système et à essayer chacune d'entre elles pour décrypter
un message chiffré. Une telle attaque devient donc hors de portée
dès que l'espace des clés (le nombre de valeurs de clé
possibles) est suffisamment grand.
Au vu de la puissance actuelle des ordinateurs, on
considère qu'une clef secrète doit comporter au moins 64 bits (ce
qui représente en moyenne 263 possibilités de
clés pour une attaque exhaustive). Actuellement, la
règlementation en France comme au Sénégal limite la taille
de la clé à 128 bits. Une clé d'une telle taille est
virtuellement impossible à « casser ».
Jusqu'à très récemment, le système
de chiffrement à clé secrète le plus célèbre
et le plus utilisé était le DES (Data Encryption Standard). Il a
été adopté comme standard américain en 1977
(standard FIPS 4624(*))
pour les transactions commerciales), puis par l'ANSI en 1991. Le DES
opère sur des blocs de 64 bits et utilise une clef secrète de 56
bits. Il est donc désormais très vulnérable aux attaques
exhaustives. C'est pourquoi la plupart des applications l'utilisent maintenant
sous la forme d'un triple DES à deux clés, constituées de
trois chiffrements DES successifs avec deux clés secrètes. Plus
précisément, pour chiffrer avec le triple DES, on effectue
d'abord un chiffrement DES paramétré par une première clef
de 56 bits, puis un déchiffrement DES paramétré par une
seconde clef, et à nouveau un chiffrement DES avec la première
clef. Seules deux clés sont utilisées dans la mesure où
l'emploi de trois clés secrètes différentes ne permet pas
d'accroître la sécurité de l'algorithme. Le triple DES
à deux clés a notamment été adopté dans les
standards ANSI X9.17 et ISO 8732. Il est extrêmement utilisé pour
les applications bancaires.
L'AES (Advanced Encryption Standard) est le nouveau standard
de chiffrement à clef secrète. Il a été choisi en
octobre 2000 parmi les 15 systèmes proposés en réponse
à l'appel d'offre lancé par le NIST (National Institute of
Standards and Technology). Cet algorithme initialement appelé RIJNDAEL a
été conçu par deux cryptographes belges, V. Rijmen et J.
Daemen. Il opère sur des blocs de message de 128 bits et est disponible
pour trois tailles de clef différentes : 128, 192 et 256 bits. Les
spécifications de ces trois versions ainsi que plusieurs
implémentations sont disponibles sur la page Web du NIST25(*).
· B - Le chiffrement à
clé publique
L'objectif ayant conduit au chiffrement à clé
publique ou chiffrement asymétrique est de régler le
problème du transfert des clés. Dans le cas du chiffrement
à clé publique, il existe deux clés différentes,
quoique connexes, et ce qui a été chiffré à l'aide
de l'une ne peut être déchiffré qu'à l'aide de
l'autre.
Chaque utilisateur détient une clé privée
et une clé publique. La clé privée demeure confidentielle
et n'est connue que de l'utilisateur; l'autre clé peut être rendue
publique et être transmise à chaque correspondant par l'entremise
du réseau ou mieux encore, publiée dans un annuaire sûr,
qui est presque l'équivalent électronique d'un annuaire de
téléphone. Pour utiliser ce système, l'émetteur
chiffrerait un message à l'aide de la clé publique du
destinataire, qui pourrait le déchiffrer uniquement à l'aide de
sa clé privée. La cryptographie à clé publique
permet donc la transmission de données en toute sécurité
sur des réseaux ouverts, comme Internet, sans qu'il soit
nécessaire d'échanger une clé secrète au
préalable. Les parties qui ne se connaissent pas peuvent ainsi
échanger et authentifier des informations et mener des affaires en toute
sécurité.
La notion essentielle sur laquelle repose le chiffrement
à clef publique est celle de fonction à sens unique. Une fonction
est appelée à sens unique si elle est facile à calculer
mais impossible à inverser. Impossible signifie ici infaisable en un
temps réaliste avec une puissance de calcul raisonnable. On
considère comme étant impossible, par exemple, un calcul qui
reparti sur un milliard de processeurs en parallèle,
nécessiterait un milliard d'années.
Outre la capacité de chiffrer les données pour
protéger leur caractère confidentiel, certaines formes de
cryptographie à clé publique permettent également aux
détenteurs de la clé d'authentifier par la suite leurs documents
à l'aide d'une clé privée qui crée une signature
numérique. Cette technique garantit également
l'intégrité des documents et permet aux destinataires de
déterminer rapidement si un message a été modifié
de quelque façon que ce soit pendant la transmission.
Bien que la cryptographie à clé publique
comporte des avantages certains par rapport à la cryptographie à
clé secrète en ce qui a trait à l'utilisation sur des
réseaux publics ouverts, la cryptographie à clé
secrète possède ses propres qualités qui sont
indispensables pour une variété d'applications. Les
cryptographies à clé publique et à clé
secrète seront utilisées conjointement pour protéger des
informations sensibles stockées dans les ordinateurs et transmises par
l'intermédiaire de réseaux de communication.
En général, la cryptographie à clé
secrète est plus rapide que la cryptographie à clé
publique. La méthode courante consiste donc à tirer parti de cet
avantage en employant la cryptographie à clé secrète pour
chiffrer un document et en utilisant par la suite la cryptographie à
clé publique pour chiffrer uniquement la clé secrète.
Cette approche est satisfaisante si une personne peut
échanger sa clé publique directement avec un ami ou un proche
associé. La confiance commence à s'estomper lorsque les
clés publiques sont échangées avec des amis d'amis. Par
exemple, certaines personnes joignent en annexe à leur message
électronique une copie de leur clé publique qu'ils affichent dans
une tribune publique, comme les groupes de discussion Usenet26(*)
Ainsi, plusieurs systèmes cryptographiques ont vu le
jour pour répondre à des besoins spécifiques. Tous ces
systèmes poursuivent un objectif commun : celui de la protection en
ligne d'informations sensibles.
· Paragraphe II - La protection en
ligne d'informations sensibles
Dans l'univers des réseaux ouverts et dans un
environnement de plus en plus caractérisé par l'incertitude et la
concurrence économique mondiale, le chiffrement permet aux
sociétés de se protéger contre la collecte de
renseignements touchant la concurrence et contre les menaces cybercriminelles;
elle leur permet aussi de protéger l'information et les communications
sensibles contre toute consultation non autorisée ou utilisation
malveillante. S'agissant des transactions électroniques, le chiffrement
s'applique à la protection de la propriété intellectuelle
dans l'environnement numérique (A) et à la sécurité
des payements en ligne (B).
· A - La
protection de la propriété intellectuelle sur les réseaux
numériques
Il devient de plus en plus fréquent de mettre
directement à la disposition des consommateurs, par
l'intermédiaire de réseaux ouverts, des informations et des
produits culturels ainsi que des logiciels. La télévision par
satellite, la télévision payante par câble, l'écoute
ou le téléchargement payant de musique en ligne sont des
exemples.
Or, le commerce électronique est aussi
caractérisé par le fait qu'il fragilise les droits de
propriété intellectuelle. L'oeuvre
dématérialisée peut être reproduite de façon
parfaite27(*) à des
coûts dérisoires puis librement distribuée sur les
réseaux numériques. Pourtant, une part importante du commerce
électronique transitant par l'Internet concerne des produits
protégés par les droits de propriété
intellectuelle.
Le fait que les contenus soient distribués librement
à travers un réseau ouvert pose de nouveaux problèmes
uniques en leur genre parmi lesquels celui du partage/piratage.
En guise de solution, des mesures techniques de protection ont
été développées. Certaines mesures telles que les
DRM (Digital Rights Management) font appel à des techniques
cryptographiques et peuvent être appliquées aussi bien comme
mesures techniques d'accès (1) que comme mesures techniques de
contrôle de copie (2).
1 - Le
contrôle d'accès à l'oeuvre
Dans le cadre de la protection du droit d'auteur la
cryptographie permet non seulement de sécuriser la transmission des
oeuvres sur les réseaux numériques mais aussi de réduire
la liberté de mouvement des utilisateurs en organisant l'accès
conditionnel aux oeuvres et aux prestations.
La directive européenne du 20 novembre 1998 concernant
la protection juridique des services à accès conditionnels et des
services d'accès conditionnel28(*), définit l'accès conditionnel comme
« toute mesure et/ou tout dispositif technique subordonnant
l'accès au service sous forme intelligible à une autorisation
préalable visant à assurer la rémunération de ce
service ».
L'accès à l'oeuvre sous sa forme
décryptée peut être subordonné au paiement d'un
prix, à la fourniture d'un mot de passe ou à la l'observation
d'autres procédure d'authentification et d'identification. Par
conséquent on peut envisager que l'accès soit limité
à certaines heures, à certaines parties des oeuvres et des
prestations, ou encore à certaines personnes.
À titre d'exemple, on citera le système du
« pay per view » qui permet l'obtention d'un code d'accès
à une oeuvre pour une durée déterminée et moyennant
le paiement d'un prix forfaitaire. Ce code d'accès est
contrôlé et décrypté par un logiciel qui
vérifie que l'identité de l'utilisateur correspond bien à
celle du souscripteur au « pay per view », l'oeuvre
décryptée est alors librement accessible à cette
personne.
2 - Le
contrôle de l'utilisation de l'oeuvre
Le titulaire de droits ayant autorisé l'accès
à l'oeuvre peut encore en restreindre les utilisations. En effet il peut
interdire toute copie ou en limiter le nombre. Comme mesure technique
contrôlant l'accès et empêchant les reproductions, nous
pouvons citer le CSS (Content Scramble Systems) qui est le dispositif
de cryptage des DVD. Le CSS requiert l'utilisation de matériel
spécialement adapté, permettant de décrypter et de
visionner les fils fixés sur support DVD. La clé de
décryptage étant insérée dans le dispositif de
lecture.
Nous remarquerons que ce dispositif a déjà
montré ses faiblesses. En effet il a été
déjoué en 1999, par un étudiant norvégien qui
désirait visionner ses DVD sur le système d'exploitation Linux,
sans conclure une telle licence. Il a découvert l'algorithme du CSS en
décompilant le logiciel de lecture de DVD.
Les techniques de cryptographie connaissent donc certaines
limites à cet égard quant à leur robustesse.
Elles sont néanmoins « sans conteste une des
voies techniques les plus efficaces pour assurer le monopole de l'auteur sur
son oeuvre. Les auteurs disposant ainsi des outils nécessaires au
contrôle de l'accès et de l'usage de leurs oeuvres
»29(*).
· B - La
sécurité des payements en ligne
L'enjeu du commerce électronique est celui
d'acquérir la confiance des consommateurs pour développer le
marché. Mais la confiance en matière de transaction
électronique transite principalement par la sécurité du
mécanisme de paiement, or deux vulnérabilités
méritent en particulier d'être soulignées : l'absence
d'identification formelle des parties impliquées dans la transaction qui
peut créer des risques de fraudes importantes et le risque de vol des
informations personnelles du consommateur.
Le manque de sécurité des instruments de
paiement constitue un frein certain à la décision d'achat sur
Internet. C'est la raison pour laquelle des protocoles de paiements
sécurisés utilisant la cryptographie sont mis en place.
Les protocoles de sécurité établissent
des mécanismes de communication qui garantissent la
confidentialité des données. Ils existent plusieurs protocoles
mais nous allons nous intéresser ici à deux protocoles
particulièrement reconnus. Le protocole SSL (1) et le protocole SET
(2).
1 - Le protocole SSL (Secure Sockets Layers).
Le protocole SSL Consiste au cryptage des
informations sensibles pour les rendre incompréhensibles de ceux qui ne
disposent pas des éléments nécessaires pour les
décrypter. Dans ce cas, lors d'un paiement sécurisé les
informations bancaires du client parviennent directement au marchand sous forme
cryptée.
Dans le protocole SSL via un organisme bancaire, la gestion
des paiements se fait via l'Extranet proposé par la banque et l'acheteur
envoi ainsi directement ses informations bancaires sur le site de la banque du
marchand. Le marchand ne voit jamais transiter les numéros de carte
bancaire et informations associées. Ce protocole connaît cependant
une faille, c'est que le marchand n'a aucune garantie concernant
l'identité du client car l'utilisation de certificats
électroniques permettant d?identifier aussi le client et pas seulement
le marchand n'est pas pris en compte par SSL. Cette limite a conduit à
la création du protocole SET.
2 - Le protocole SET (Secure Electronic Transactions
).
Ce protocole utilise le protocole SSL avec en plus la
particularité d'identifier de manière précise le
possesseur de la carte de crédit. De plus, ce protocole confie la
gestion de la transaction entre le vendeur et l'acheteur à un
intermédiaire (comme une banque par exemple). Ceci a l'avantage
d'éviter au consommateur de communiquer au site marchand, son
numéro de carte bancaire. Un mécanisme de paiement
sécurisé confié à un tiers est
apprécié également par le vendeur car ce
procédé le dégage e toute responsabilité en cas de
piratage de ces numéros, puisqu'il n'a accès à aucun
moment aux données bancaire du client.
Concrètement, la confidentialité consiste en un
cryptage/décryptage des données échangées par le
navigateur de l'internaute et le serveur du marchand. Lorsque cette
sécurité existe, le navigateur impliqué dans cette
opération peut en informer l'internaute en affichant, le plus souvent,
l'icône d'un cadenas fermé qui indique également la taille
de la clé de cryptage [algorithme permettant de rendre une information
intelligible] utilisée. Cette icône étant produite par le
navigateur, il n'existe pas de faille connue permettant de la falsifier : elle
est le reflet exact de la sécurité transactionnelle
utilisée pendant l'échange des données de la page en
cours. Il est donc possible à tout internaute de vérifier le
niveau de sécurité d'un site simplement avec son navigateur.
Mais à la cryptographie, se joignent d'autres
procédés permettant d'identifier avec plus de précision et de fiabilité les interlocuteurs c'est la signature
numérique et la certification.
Section II -
L'authentification et le contrôle d'intégrité: des outils
pertinents au service de la preuve électronique
Internet a permis la mise en place du commerce
électronique. Cependant, les acteurs du commerce électronique
souffrent constamment des incertitudes liées à la
dématérialisation des échanges de données.
L'écrit physique n'existe plus et il est difficile de s'assurer de
l'identité de son partenaire commercial. La signature
électronique est une solution au problème (Paragraphe I). Elle
est souvent utilisée pour valider des documents tels que les certificats
électroniques dont la mise en oeuvre implique l'intervention d'un tiers
de confiance (Paragraphe II).
· Paragraphe I - La signature
électronique
En décidant que « [l]'écrit sous forme
électronique est admis en preuve au même titre que l'écrit
sur support papier et a la même force probante que celui-ci [...]
» (cf. art. 19, Règlement n° 15/2002/CM/UEMOA, 1316-1 et
1316-3, Code civil), le législateur à jeté les bases de la
confiance numérique. L'écrit électronique a cependant
besoin de la signature électronique. La signature électronique
permet en effet l'authentification des personnes et des données sur les
réseaux numériques (A) ainsi que le contrôle de
l'intégrité des messages électroniques (B).
· A -
L'authentification
Les vols d'identité dans le cyberespace et d'autres
abus en tout genre augmentent le besoin d'identification des personnes sur les
réseaux numériques.
En effet, l'immatérialité des communications
électroniques ne permet pas de déterminer avec certitude
l'identité d'une personne sur le réseau. Or, il est
nécessaire, pour la prospérité de l'économie
numérique, de pouvoir imputer une opération ou une action
donnée à une personne donnée30(*). L'authentification
grâce à la signature électronique permet de vérifier
l'identité dont une entité (homme ou machine) se
réclame.
L'authentification est le « mécanisme de
sécurité qui permet de s'assurer de l'authenticité de
l'émetteur ou du récepteur d'un message. L'authentification peut
être simple (utilisation d'un mot de passe) ou complexe (recours au
chiffrement).»31(*)
Ainsi, l'authentification peut être obtenue par la
simple association d'un identifiant et d'un mot de passe. Il pourrait se poser
alors la question du niveau de sécurité offert par une telle
technique d'authentification.
D'après la jurisprudence, les fournisseurs de produits
et services électroniques sont tenus de satisfaire aux normes techniques
et sécuritaires généralement admises et
proportionnées aux risques liés à leurs produits et
services.
C'est ce que laisse entendre une décision du Tribunal
de l'Illinois, dans une affaire Shames Yeakel vs Citizen Financial Bank en date
du 21 août 2009 (Case 07 C 5387), les juges ont accueilli favorablement
la plainte d'une victime d'une cyber-attaque sur son compte bancaire en ligne,
déposée contre l'établissement bancaire. Ce jugement
remettait en cause l'authentification à facteur unique (un seul canal
d'identification comme l'identifiant/mot de passe) pour protéger
l'accès aux comptes bancaires en ligne. Le jugement en question fournit
par ailleurs, une liste des méthodes mises en place par ces institutions
financières afin de procéder à l'authentification de leurs
clients.
Cette liste comprend notamment l'utilisation de mots de passe,
de numéros personnels d'identification (PINs), de certificats
électroniques, de supports physiques tels que les smart cards ou les
clés USB, de mots de passe uniques (OTPs) ou d'autres types de «
tokens », des procédés biométriques, etc.
En France, la Cour d'appel de Versailles le 18 novembre
201032(*) a eu à
juger une question de sécurité connexe pour engager la
responsabilité d'une banque. Dans cette affaire, on peut constater que
l'authentification, plus qu'un simple moyen de vérification de
l'identité d'une personne, doit être considérée
comme une véritable mesure de sécurité pour la gestion des
accès).
La signature électronique, dès lors qu'elle
repose sur des procédés fiables, est admise comme méthode
d'authentification.
Différentes méthodes d'authentification pour les
signatures électroniques ont été mises au point au fil des
années visant à satisfaire des besoins spécifiques,
à conférer des niveaux de sécurité
différents correspondant à des exigences techniques distinctes.
Ces méthodes peuvent être classées en trois
catégories :
· celles qui sont fondées sur la
connaissance de l'utilisateur (mot de passe, numéro
d'identification personnel etc.),
· celles qui sont fondées sur les
caractéristiques physiques de l'utilisateur (comme la
reconnaissance biométrique) et,
· celles enfin qui sont fondées
sur la possession d'un objet par l'utilisateur
(carte, clé USB, token, etc.)33(*).
Ces catégories qui peuvent se cumuler pour aboutir
à l'authentification forte, reposent sur le triptyque classique de la
sécurité : ce que je connais, ce que je suis et ce que je
possède34(*).
· B -
L'intégrité et la non-répudiation
La preuve d'un acte juridique dans le cyberespace est cruciale
au développement du e-commerce et le Code civil autorise la mise en
preuve de documents électroniques, lesquelles remplacent de plus en plus
les actes juridiques traditionnels constatés par écrit. Un
document électronique doit présenter des garanties suffisamment
sérieuses pour s'y fier. La protection du document électronique
contre les altérations est une condition indispensable. La signature
électronique joue un rôle primordial dans ce sens car elle assure
l'intégrité des messages ou documents électroniques et
permet de la vérifier.
La signature électronique assure également une
fonction de non-répudiation, c'est-à-dire qu'elle permet
d'assurer que l'expéditeur a bien envoyé le message (autrement
dit elle empêche l'expéditeur de nier avoir expédié
le message).
Cependant la signature numérique a ses limites car rien
n?atteste que celui qui nous donne la clé publique n?a pas
détourné la clé privé correspondante et se fait
passer pour quelqu?un qu?il n?est pas afin de soutirer des informations.
L'utilisation d'un certificat électronique permet de combler cette
faille.
Le certificat à la fonction qu?un passeport aurait dans
le monde matériel car il comporte des informations qui identifient
l'auteur d?une clé et déclare qu'une autre personne a
confirmé cette identité.
Il contient des informations (associées à la
clé publique d'une personne), aidant d'autres personnes à
vérifier qu'une clé est authentique ou valide.
Il permet de contrecarrer les tentatives de substitution de la
clé d'une personne par une autre.
Renforcer l?authentification en utilisant des certificats
numériques, entraîne d?avoir recours à un tiers de
confiance ou à une société d?authentification.
· Paragraphe II - Le tiers de
confiance
La confiance dans les communications électroniques est
liée de prime abord à la sécurité technique.
Celle-ci est incarnée par le tiers de confiance35(*).
Les techniques mises en place afin de gagner la confiance des
utilisateurs d'Internet impliquent généralement le recours
à un tiers (autorité de certification, horodateur, archiveur,
médiateur ou arbitre électronique). Son rôle est de
créer un contexte dans lequel les transactions peuvent s'opérer
en toute confiance et de manière sécurisée. L'on voit
ainsi se développer ce que certains ont baptisés les «
nouveaux métiers de la confiance »36(*).
Les autorités de certification ou prestataires de
services de certification sont une catégorie particulière de
tiers de confiance dont l'activité se voit règlementée.
Ils jouent le plus souvent un double rôle : Ils assurent la
certification de la signature électronique (A) et la distribution des
clés publiques (B).
· A - La certification de la
signature des clés publiques
Un des problèmes inhérents à la
cryptographie asymétrique concerne l'authenticité des clés
publiques. En effet, il n'est pas possible de relier de manière
intrinsèque à une paire de clés un signataire
éventuel.
Pour résoudre ce problème, un prestataire de
services de certification (ou autorité de certification) délivre
un certificat, enregistrement électronique qui indique la clef publique
ainsi que le nom du titulaire du certificat identifié comme
« sujet » de ce certificat et qui peut confirmer
que le signataire éventuel identifié dans le certificat
détient la clef privée correspondante. La fonction essentielle
d'un certificat est d'associer une clef publique à un signataire
précis. Un « destinataire » du certificat souhaitant
se fier à une signature numérique créée par le
signataire indiqué dans le certificat peut utiliser la clef publique
figurant dans le certificat pour vérifier que la signature
numérique a bien été créée avec la clef
privée correspondante. Si cette vérification est positive, le
destinataire est dans une certaine mesure techniquement assuré que le
signataire a créé la signature numérique et que la portion
du message utilisé pour la fonction de hachage (et, par
conséquent, le message de données correspondant) n'a pas
été modifiée depuis qu'on y a apposé la signature
numérique. Afin d'assurer l'authenticité du certificat, pour ce
qui est tant de son contenu que de sa source, le prestataire de services de
certification y appose une signature numérique.
Celle-ci peut être vérifiée au moyen de la
clef publique de ce prestataire figurant sur un autre certificat
délivré par un autre prestataire (qui peut, mais ne doit pas
nécessairement, être une autorité hiérarchiquement
supérieure), et cet autre certificat peut à son tour être
authentifié par la clef publique figurant sur un autre certificat
encore, et ainsi de suite, jusqu'à ce que la personne devant se fier
à la signature numérique soit convaincue de son
authenticité. Un autre moyen possible de vérifier une signature
numérique consiste à enregistrer cette signature numérique
sur un certificat délivré par le prestataire de services de
certification (parfois appelé «certificat source»).
Dans chaque cas, le prestataire de services de certification
délivrant le certificat peut apposer une signature numérique sur
son propre certificat pendant la période de validité de l'autre
certificat utilisé pour vérifier sa signature numérique.
Selon la législation de certains États, on pourrait inspirer la
confiance dans la signature numérique du prestataire de services de
certification en publiant dans un journal officiel la clef publique de celui-ci
ou certaines données se rapportant au certificat source (par exemple,
une « empreinte digitale numérique »).
Une signature numérique correspondant à un
message, qu'elle soit créée par le signataire pour authentifier
un message ou par un prestataire de services de certification pour authentifier
son certificat, devrait généralement être horodatée
de manière fiable pour permettre au vérificateur de
déterminer si elle a bien été créée pendant
la période de validité indiquée dans le certificat, et si
le certificat était valable (par exemple, ne figurait pas sur une liste
de révocation) au moment considéré, ce qui est l'une des
conditions de la vérifiabilité d'une signature numérique.
Pour qu'une clef publique et son association à un
signataire spécifique soient aisément vérifiables, le
certificat peut être publié dans un répertoire ou mis
à disposition par d'autres moyens. Généralement, les
répertoires sont des bases de données en ligne regroupant des
certificats et d'autres informations pouvant être appelés et
utilisés pour vérifier les signatures numériques.
Une fois délivré, un certificat peut se
révéler sujet à caution, par exemple si le signataire a
donné une fausse identité au prestataire de services de
certification. Dans d'autres cas, un certificat peut être fiable au
moment où il est délivré, mais perdre sa fiabilité
par la suite. Si la clef privée est compromise, par exemple parce que
son signataire en a perdu le contrôle, le certificat peut perdre sa
fiabilité et le prestataire de services de certification (à la
demande du signataire ou même sans son consentement, selon les
circonstances) peut alors suspendre (interrompre provisoirement la
période de validité) ou révoquer (annuler
définitivement) le certificat. On peut attendre du prestataire de
services de certification que, peu après cette suspension ou cette
révocation, il publie une notification de la révocation ou en
avise les personnes qui l'interrogent ou dont il sait qu'elles ont reçu
une signature numérique vérifiable par référence
à un certificat qui n'est pas fiable.
De même, le cas échéant, on devrait
également examiner s'il y a eu révocation du certificat du
prestataire de services de certification, ainsi que du certificat émis
pour la vérification de la signature de l'autorité
d'horodatage37(*) et du
certificat du prestataire de services de certification qui a émis le
certificat de l'autorité d'horodatage.
Les autorités de certification pourraient être
des organismes relevant de l'État ou des prestataires de services
privés. Dans quelques pays, on envisage, pour des raisons d'ordre
public, que seuls des organismes publics soient autorisés à
assurer la fonction de certification. Toutefois, dans la plupart des pays, soit
les services de certification sont entièrement laissés au secteur
privé, soit les organismes gérés par l'État
coexistent avec des prestataires de services privés. Il y a aussi des
systèmes de certification fermés, dans lesquels de petits groupes
établissent leur propre prestataire de services de certification.
Dans certains pays, les organismes relevant de l'État
émettent des certificats uniquement à l'appui des signatures
numériques utilisées par l'administration publique. Quelle que
soit l'option retenue, et que les autorités de certification aient ou
non besoin d'une licence pour fonctionner, une infrastructure à clef
publique comprend généralement plusieurs prestataires de services
de certification. Ce qui est particulièrement important est la relation
entre les différentes autorités de certification,
Il peut incomber au prestataire de services de certification
ou à l'autorité source de veiller à ce que ses
prescriptions soient systématiquement respectées. Si la
sélection des autorités de certification peut se faire sur la
base d'un certain nombre de facteurs, dont la solidité de la clef
publique utilisée et l'identité de l'utilisateur, la
fiabilité d'un prestataire de services de certification peut
également dépendre de la façon dont il applique les normes
de délivrance des certificats et de la fiabilité de son
évaluation des données communiquées par les utilisateurs
qui demandent ces certificats. Le régime de responsabilité qui
s'applique à tout prestataire de services de certification est d'une
importance cruciale eu égard à son respect des prescriptions en
matière de politique générale et de sécurité
édictées par l'autorité source ou par le prestataire de
services de certification de niveau plus élevé, ou de toute autre
prescription applicable, et ce de manière permanente.
· B - La distribution et l'archivage
des clés publiques
Si la cryptographie à clé publique doit
fonctionner à grande échelle aux fins du commerce
électronique, l'un des principaux problèmes à
résoudre concerne la distribution des clés publiques. Certains
logiciels, comme le PGP (« Pretty Good Privacy »), qui est
facilement accessible sur Internet, obligent les utilisateurs à
distribuer leur clé publique à d'autres utilisateurs, approche
qui fonctionne bien dans de petits groupes fermés. Toutefois, un
annuaire sûr et accessible est indispensable à la distribution de
clés publiques à grande échelle -- notamment quand elles
sont associées à des procédures visant à assurer
que telle clé publique appartient vraiment à tel utilisateur.
Pour y parvenir, on peut, entre autres, avoir recours à
une autorité de certification pour gérer la distribution des
clés publiques ou des certificats contenant ces clés.
Étant donné les différences entre les
fonctions de signature numérique (authentification,
non-répudiation et intégrité) et la fonction de
chiffrement (confidentialité), de nombreux systèmes
cryptographiques requièrent deux paires de clés : une paire pour
les signatures numériques et l'autre pour assurer le chiffrement pour
des raisons de confidentialité. Faute d'infrastructure auxiliaire des
autorités de certification, l'utilisateur doit générer les
paires de clés publique et privée pour les signatures
numériques et la confidentialité. Avec une infrastructure
auxiliaire, il existe différentes options.
Les paires de clés requises pour les signatures
numériques devraient être générées par
l'application de l'utilisateur et la clé publique devrait être
signée par l'autorité de certification et distribuée aux
fins d'utilisation. Pour limiter le risque de fraude, la clé de
signature privée ne devrait jamais quitter l'application de
l'utilisateur.
Souvent, la paire de clés requises aux fins de
confidentialité est générée par l'autorité
de certification, qui doit posséder une copie de sauvegarde, de
façon à ce qu'on puisse récupérer les
données chiffrées en cas de perte de la clé privée
ou d'atteinte à son intégrité.
La réalisation d'une copie de sauvegarde de la
clé secrète (que l'on appelle également archivage des
clés) est l'une des nombreuses méthodes dont on dispose pour
assurer un accès légitime au texte clair. Mentionnons
également comme méthodes d'accès ou de «
récupération des clés », l'encapsulage de la
clé (par exemple, une clé de session ou une clé de
chiffrement de longue durée est elle-même chiffrée à
l'aide de la clé publique d'un agent de récupération des
clés) ou des techniques de dérivation des clés (par
exemple, l'approche proposée au Royal Holloway College de Londres, qui
permet la régénération de la clé secrète
à l'une des extrémités de la communication avec les tiers
de confiance ayant fourni au départ les éléments
mathématiques utilisés pour générer la
clé).
Tout utilisateur entretiendra probablement des centaines,
voire des milliers de relations dont le niveau de sécurité requis
variera; en conséquence, ce qu'il faut, c'est une liste de toutes les
personnes avec lesquelles un utilisateur désirera peut-être
communiquer ou faire affaire, en quelque sorte, un genre d'annuaire
téléphonique.
Étant donné que le certificat dans son ensemble
constitue un document électronique qui a été signé
de façon numérique par l'autorité de certification (par
exemple un résumé du message du certificat est chiffré
à l'aide de la clé privée de l'autorité de
certification), aucun changement non autorisé ne peut être
apporté au certificat sans que la modification ne soit
décelée (c'est-à-dire que toute modification engendrerait
une valeur de hachage différente).
L'« archivage des clés » est une
expression générale désignant l'entreposage d'une copie de
sauvegarde des clés de chiffrement (ou de parties de clé lorsque
chaque clé de chiffrement est divisée et détenue par plus
d'une entité). Entre autres méthodes d'archivage des clés,
mentionnons l'entiercement des clés, qui consiste à entreposer
les clés ou des parties de clé directement chez un ou plusieurs
dépositaires légaux (c'est-à-dire une entité autre
que le propriétaire de la clé). Selon le modèle, le
dépositaire pourrait être un fournisseur de services du secteur
privé ou un organisme public.
Dans plusieurs pays, ces autorités de certification
s'organisent de façon hiérarchique en ce que l'on appelle souvent
une « Infrastructure à Clefs Publiques »
(ICP). Les autorités de certification appartenant à une
infrastructure à clés publiques peuvent être
organisées en une structure hiérarchique dans laquelle certaines
autorités de certification ne font qu'en certifier d'autres, qui
fournissent directement des services aux utilisateurs. Dans une telle
structure, certaines autorités de certification sont donc
subordonnées à d'autres.
Une infrastructure à clés publiques (ICP) ou
infrastructure de gestion de clés (IGC) ou encore Public Key
Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs,
des équipements cryptographiques logiciels ou matériel ou encore
des cartes à puces), de procédures humaines
(vérifications, validation) et de logiciels (système et
application) en vue de gérer le cycle de vie des certificats
numériques ou certificats électroniques.
Créer une infrastructure à clef publique est un
moyen d'inspirer confiance dans le fait que:
la clef publique de l'utilisateur n'a pas été
falsifiée et correspond effectivement à sa clef privée et
que les techniques de cryptologie utilisées sont fiables.
Pour inspirer confiance, une ICP peut offrir un certain nombre
de services, dont les suivants:
· gérer les clés cryptographiques
utilisées pour les signatures numériques;
· certifier qu'une clef publique correspond bien
à une clef privée;
· fournir des clés aux utilisateurs finaux;
· publier des informations sur la révocation des
clés publiques ou des certificats;
· gérer des objets personnalisés (par
exemple des cartes à puce) capables d'identifier l'utilisateur au moyen
d'éléments d'identification qui lui sont spécifiques ou
capables de créer et de garder en mémoire les clés
privées d'un individu;
· vérifier l'identité des utilisateurs
finaux et leur offrir des services;
· offrir des services d'horodatage;
· gérer les clés cryptographiques
utilisées pour le chiffrement de confidentialité lorsque le
recours à cette technique est autorisé.
Créer une infrastructure à clés publiques
est donc une façon efficace de promouvoir les transactions
électroniques dans la mesure où elle permet de rassurer les
consommateurs sur la sécurité du réseau. Mais une autre
raison qui peut justifier la réticence des ces derniers à
recourir aux transactions électroniques a trait à l'utilisation
que les entreprises de commerce électronique font des données
personnelles des consommateurs. La protection de la vie privée sur les
réseaux électroniques numériques est une question
importante qui mérite de s'y pencher.
· CHAPITRE II.
LA PROTECTION DE
LA VIE PRIVEE
Le commerce électronique soulève de nombreuses
questions en matière de respect de la vie privée. La crainte de
voir ses informations personnelles utilisées à mauvais escient
constitue un frein à la croissance du commerce
électronique38(*).
Dans la majorité des cas, les technologies mises en
oeuvre pour la protection de la vie privée sur Internet utilisent le
chiffrement. Une petite connaissance des techniques est nécessaire
à leur exploitation ; il est évident que, dans la
société de l'information, la connaissance devient indispensable.
Par ailleurs, le droit s'avère indispensable s'agissant de la protection
de la vie privée.
Les techniques et les règles de droits qui existent
protègent aussi bien les données transmises (volontairement) par
le réseau (Section I), que celles stockées sur un terminal
connecté au réseau (Section II).
Section I -
La protection des données personnelles lors de leur transmission par le
réseau
La vie privée du consommateur est exposée chaque
fois qu'il navigue sur Internet. Ses données personnelles peuvent
être collectées, à son insu, par des personnes plus ou
moins dangereuses. Il peut s'agir de ses habitudes et préférences
sur le réseau, de son identité, ou même du contenu de ses
messages.
Le commerce électronique soulève de nouvelles
préoccupations par rapport à la vie privée parce que la
portée et la précision des données personnelles
rassemblées sur les consommateurs dépassent de loin le cadre
général des informations rassemblées dans l'environnement
traditionnel hors ligne. La précision des informations collectées
permet aux entreprises d'établir un profil du consommateur (A). Plus
grave encore, certaines entreprises ou individus n'hésitent pas
à s'introduire dans la vie privée des consommateurs, soit par
l'interception du contenu de leurs messages, soit par le biais de messages non
sollicités (B).
· Paragraphe I - Le profilage sur le
réseau
Grâce à l'Internet, les entreprises peuvent
collecter, analyser et traiter avec précisions les informations
personnelles de leurs clients, et ceci plus facilement et plus efficacement,
que jamais auparavant. Cela ouvre de grandes perspectives en ce qui concerne le
stockage, la comparaison et le couplage des données pour dresser le
profil détaillé du client. Si la manière dont les
entreprises utilisent les données personnelles a toujours
été inquiétante (B), elle l'est d'autant plus aujourd'hui
que l'Internet facilite la collecte et la manipulation de ces informations (A).
· A - La
collecte des données personnelles
Les entreprises de commerce électronique se servent de
méthodes diverses pour identifier le consommateur et suivre son
cheminement dans le site. Actuellement, l'un des procédés les
plus courants est la mise en place d'un cookie39(*), petit fichier déposé par le site Web
sur le disque dur de l'usager et contenant un code unique
généré par le site Web. D'habitude composé d'une
série de chiffres et de lettres qui ne sont intelligibles qu'au site, le
code peut également inclure le nom du compte de l'usager et son mot de
passe ou son adresse Internet.
Avec un peu d'expérience, on peut paramétrer
notre navigateur pour qu'il trie les cookies et nous permettre de choisir quel
cookie accepter ou non. Malheureusement, certains sites refusent
l'accès ou s'affichent mal si on n'accepte pas tous les cookies.
Il appartient à l'internaute de faire son choix. Il
faut quand même savoir que de nombreux sites commerciaux vendent les
informations recueillies à des fins notamment publicitaires. On peut
recevoir par la suite des courriers électroniques non sollicités.
Il se pose donc la question de la légalité des cookies, qui
constituent sans doute une atteinte à la vie privée. En revanche,
les cookies de session (session cookies), qui servent à l'identification
instantanée sur un site sont inoffensifs car ils ne se sauvegardent pas
pas dans le disque dur.
La Directive du Parlement Européen et du Conseil du 12
juillet 2002 « vie privée et communications
électroniques » s'appuie sur le fondement de la vie
privée et règlemente l'usage des « cookies ». Elle pose
dans son article 5.3, le principe selon lequel, dans le respect de la Directive
95/46/CE, le stockage d'information dans l'équipement terminal d'un
internaute n'est possible qu'à la condition que celui-ci soit clairement
et complètement informé quant à la finalité des
cookies et qu'il ait le droit de refuser un tel traitement.
La directive consacre ainsi l'obligation d'information claire
et complète de l'internaute sur l'utilisation d'un fichier cookie, ainsi
que le droit de s'opposer de façon permanente ou temporaire à un
tel traitement. C'est l'option d'adhésion (opt-in)40(*). La directive précise
cependant que « cette disposition ne fait pas obstacle à un
stockage ou à un accès techniques visant exclusivement à
effectuer ou à faciliter la transmission d'une communication par la voie
d'un réseau de communications électroniques, ou strictement
nécessaires à la fourniture d'un service de la
société de l'information expressément demandé par
l'abonné ou l'utilisateur ». Par conséquent, cette
obligation ne prend effet que lorsque l'utilisation de ces données se
fait dans une optique de profilage à défaut lorsque l'objectif du
dispositif de traitement est exclusivement technique, il échappe ainsi
à la règlementation susvisée.
La directive 2002/22/CE « service universel
»41(*) a
été transposée en droit français par le nouvel
article 32 de la loi du 6 janvier 1978 informatique, fichiers et
libertés42(*),
modifiée par la loi 2004-801 du 6 août 200443(*).
Le droit français tout comme le droit de l'Union
Européenne consacre une obligation d'information préalable,
claire et précise, quant à la finalité des cookies,
visée à l'article 32.II de la loi de 1978, ainsi que le droit
d'opposition consécutif « sans frais à ce que les
données soit utilisées à des fins de prospection
commerciale » (article 38 de cette même loi) qui s'exerce en
effectuant des choix dans les logiciels de navigation.
Selon la Commission Nationale de l'Informatique et des
Libertés (CNIL) en France, l'instrument de la régulation des
cookies étant le navigateur, il incombe alors aux éditeurs de
logiciels de navigation « tous américains » une obligation
technique de permettre aux internautes de manifester leur consentement ou refus
d'installation de fichier cookies sur leur équipement terminal. Il
s'agit par conséquent de la mise en place d'un régime
d'interdiction des cookies.
Si la collecte des données personnelles pose
déjà un problème, l'utilisation que peuvent faire les
entreprises de ces informations est encore plus inquiétante.
· B -
L'utilisation des données personnelles
L'utilisation des cookies est devenue beaucoup plus
répandue lorsqu'il s'est avéré qu'un seul cookie pouvait
servir à « tracer » l'internaute à travers
toute une variété de sites, en expédiant le cookie
à partir d'un seul site tiers. Cela fomenta le développement
d'entreprises de publicité sur réseau qui suivent les
cheminements de l'usager pour déterminer les sites qui l'attirent et
déduire ses habitudes de consultation d'après la gamme de sites
visités. Ensuite ces entreprises se servent des informations
collectées pour cibler des publicités spécifiques.
Au regard du commerce électronique, la protection de la
vie privée implique la mise en place de règlements et de limites
pour contrôler la collecte, le traitement et l'utilisation des
données personnelles rassemblées par les entreprises et autres
organismes lors de leur interaction avec les consommateurs. C'est ce que l'on
appelle dans le langage courant « la protection des
données ».
Dans l'espace de la CEDEAO, l'Acte additionnel A/SA.1/01/10 du
16 février 2010 relatif à la protection des données
à caractère personnel, crée un cadre pour la protection
des données à caractère personnel. Ce texte institue deux
régimes applicable à la collecte, au traitement ainsi qu'à
l'utilisation des données ayant un caractère personnel: un
régime de la déclaration, un régime de l'autorisation.
C'est la nature des données traitées qui déterminera le
régime applicable (les formalités nécessaires au
traitement).
Il faut rappeler que, constitue une donnée à
caractère personnel, « toute information relative à une
personne physique identifiée ou identifiable, directement ou
indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments propres
à son identité physique, physiologique, génétique,
psychique, culturel, économique »44(*).
De façon général, le traitement des
données à caractère personnel par une personne physique ou
morale est soumise à une déclaration préalable
auprès d'une autorité de protection45(*).
Dans les cas plus spécifiques d'un traitement portant
sur des données génétiques ou biométriques, sur les
infractions, condamnations ou mesures de sûreté, sur un
numéro d'identification national, etc, une autorisation de
l'autorité de protection est requise.
L'ordre dans lequel l'on consulte les sites web, les
préférences que l'on sauvegarde dans ses sites
préférés, l'acceptation des cookies, l'utilisation de la
boîte aux lettres sans prendre de précautions, l'existence dans
certains ordinateur de programmes espions et les traitements « invisibles
» permettent aux sociétés de publicité d'envoyer de
courriers électroniques non sollicités, technique connue sous le
nom de spamming. Les spam mails sont des publicités, censées
correspondre aux besoins du consommateur. Ceux-ci constituent en
réalité une véritable intrusion dans la vie privée
des consommateurs
· Paragraphe
II - L'intrusion dans la vie privée
L'envoi de messages publicitaires non sollicités (A)
voir parfois, l'interception du contenu des messages du consommateur (B) sont
les techniques utilisées par certaines entreprises de commerce
électronique pour s'introduire dans la vie privée des
consommateurs.
· A - Les
messages publicitaires non sollicités
Le courrier électronique non sollicité -
« spam » ou « spamming » en langage
courant - démontre clairement l'intrusion de l'Internet dans la vie
privée. Ce déluge quotidien de millions de communications
constitue une nuisance majeure pour les consommateurs.
Les messages non sollicités encombrent les boîtes
à lettres électroniques des consommateurs et les gênent
lorsqu'ils essayent de localiser les messages importants. Pour échapper
au problème, de nombreux consommateurs choisissent de changer d'adresse
e-mail ou de prestataires de services, voir cesser définitivement
d'utiliser l'Internet. Pour comble d'ironie, ces messages indésirables
coûtent chers aux consommateurs. Dans plusieurs parties du monde, les
consommateurs doivent payer à la minute les frais de communication
téléphonique ou le fournisseur d'accès à
l'Internet. En outre, nombreux parmi ces fournisseurs doivent engager des
capitaux considérables pour embaucher le personnel et acheter
l'équipement supplémentaire nécessaire pour traiter un
déluge quotidien de courrier électronique - aussi, ces
coûts sont ils répercutés sur les clients. D'après
America Online (AOL), environs un tiers des communications reçues par
ses serveurs - entre 10 et 24 millions de messages par jour - est non
sollicité.
Les techniques du marketing se servent également des
messages non sollicités pour suivre le cheminement des usagers dans le
site. Les « spams » envoyés dans le format html et
lus par des utilisateurs, peuvent envoyer des messages à des
réseaux publicitaires, reliant ainsi les adresses e-mail des
consommateurs avec leurs cookies. Dans le futur, les publicitaires se proposent
de développer leurs techniques de marketing pour y intégrer un
moyen de localiser avec exactitude les téléphones portables. Ceci
leur permettrait de joindre l'utilisateur mobile à tout moment pour lui
signaler des occasions « à ne pas manquer » par
exemple, en passant devant certains restaurants ou magasins d'articles
sportifs. Encore plus fréquent, les messages non sollicités
véhiculent des offres de projets frauduleux ou de matériel
pornographique.
Le spamming constitue une atteinte à la vie
privée46(*), non
seulement parce qu'il nécessite une certaine surveillance de
l'activité des consommateurs sur le réseau de la part des
entreprises de commerce électronique, mais aussi à cause du
volume de ces courriers électroniques que l'on peut recevoir
Certaines sociétés vont plus loin et
n'hésitent pas, toujours à des fins publicitaires, à
intercepter le contenu des messages échangés sur les
consommateurs sur les réseaux numériques.
· B -
L'interception du contenu des messages
Certaines méthodes de protection de la vie
privée exposées réduisent les risques et peuvent souvent
suffire à elles-mêmes. Cependant le contenu de messages sur les
réseaux numériques reste accessible aux tiers souhaitant
l'intercepter. La solution la plus efficace est donc le chiffrement du
message. La méthode la plus efficace est le PGP (Pretty Good Privacy),
nom qu'on peut traduire par « assez bonne confidentialité ».
Le PGP est un programme de chiffrement des messages. Malgré des
rumeurs qui ont circulé en 1998, que la NSA47(*) pouvait lire ces messages
grâce à un backdoor48(*), le PGP reste encore un des moyens les plus
sûrs pour crypter une information. Le PGP est une méthode de
cryptage asymétrique. Développé par un chercheur
américain, Phil Zimmerman, il appartient actuellement à Network
Associates, une alliance entre Cisco et Lucent technologies. Son fonctionnement
est similaire au SSL.
L'expéditeur utilise la clé publique du
destinataire du message qui le décrypte ensuite avec sa clé
privée. Seul le destinataire détient la clé privée,
il devient donc impossible pour un pirate qui intercepte le message de le
déchiffrer.
Le courrier électronique dévient ainsi beaucoup
plus sûr que le courrier traditionnel. Par ailleurs, le feu vert officiel
français a été donné pour l'utilisation du PGP open
source, GnuPG (sous licence GPL). En outre, le simple utilisateur peut à
tout moment modifier sa version de GnuPG et en faire profiter les autres; il
devient donc, potentiellement, un « fournisseur».
On voit clairement que protéger ses messages
électroniques du regard indiscret des sociétés de commerce
électronique ou des pirates, requiert un minimum de connaissance
nécessaire à la manipulation d'un logiciel de cryptographie. Ceci
est d'autant plus vrai lorsqu'il s'agit de protéger les données
personnelles stockées sur un ordinateur connecté au
réseau.
Section II -
La protection des données personnelles stockées sur un ordinateur
connecté au réseau
Le simple fait d'être connecté au réseau
internet, même lorsque l'on ne transmet aucune information, peut
constituer un risque. En effet, dès lors qu'un ordinateur est
connecté à Internet, les intrusions sont possibles. Le risque
vient des traitements invisibles et des logiciels installés dans cet
ordinateur qui transmettent des informations (Paragraphe I). Le remède
consiste essentiellement à employer les techniques de chiffrement
(Paragraphe I).
· Paragraphe I
- L'émission de données personnelles à l'insu du
consommateur
Certains logiciels que l'on installe dans l'ordinateur sont en
effet des spywares (programmes espions)49(*). Ils effectuent les tâches souhaitées,
mais en marge, à insu de l'utilisateur, envoient via le réseau
des informations personnelles ou concernant la configuration du système
utilisé.
Les logiciels espions sont souvent inclus dans des logiciels
gratuits et s'installent généralement à l'insu de
l'utilisateur. Certaines pages Web peuvent, lorsqu'elles sont chargées,
installer à l'insu de l'utilisateur un logiciel espion,
généralement en utilisant des failles de sécurité
du navigateur de la victime.
Les traitements invisibles constituent un sujet d'irritation
pour les internautes. Il s'agit de traitements qui restent cachés
à l'utilisateur mais perçus par les entreprises
concernées. Contrairement aux spywares, certains programmes espions sont
déjà dans l'ordinateur de l'utilisateur lorsqu'il est
livré. On pense ici au système d'exploitation de Microsoft,
Windows. Microsoft s'est en effet octroyée le droit, lorsque l'on
utilise son service de mise à jour du système ou de
dépannage à distance, d'explorer notre ordinateur, sa
configuration, de répertorier les logiciels installés et
vérifier les licences correspondantes. Et s'il paraît obligatoire
de détenir les licences des logiciels installés, la constitution
par Microsoft de bases de données sur nos habitudes porte sans doute
atteinte à notre vie privée. Microsoft avait promis en 1998 de
retirer ce mouchard pour les prochaines versions de Windows. Cependant, les
récentes versions de Windows (XP, 7, 8) possèdent sans doute
beaucoup plus de flexibilité d'exploration et il est possible qu'elles
envoientt50(*) des
informations personnelles même si l'on utilise jamais les services du
site de Microsoft.
Il existe cependant des solutions techniques conçues
pour bloquer les actions des logiciels espions et pour prémunir les
consommateurs contres les traitements invisibles.
· Paragraphe
II - Les solutions techniques
Dans un premier temps, il revient à l'internaute de
choisir les logiciels qu'il installe avec précaution. Il ne doit pas
télécharger de programmes dont il ne connaît pas la
provenance ou la qualité. Quant au système d'exploitation, notre
sort est dans les mains de Bill Gates51(*), à moins que l'on installe un système
d'exploitation alternatif tel que Linux.
Une autre mesure qui peut être prise au niveau des
intranets (réseaux locaux) est l'utilisation d'un pare-feu. Un pare-feu
(appelé aussi coupe-feu, garde-barrière ou firewall en anglais),
est un système permettant de protéger un ordinateur ou un
réseau d'ordinateurs des intrusions provenant d'un réseau tiers.
Le pare-feu est un système permettant de filtrer les paquets de
données échangés avec le réseau, il s'agit ainsi
d'une passerelle filtrante52(*).
À un niveau plus global, à l'échelle
d'Internet, le protocole d'adressage IPv653(*) adopté en remplacement de son
prédécesseur IPv4 vient avec une fonction de
sécurité basée sur le chiffrement. Son mécanisme de
sécurité standardisé à l'Internet Engineering Task
Force (IETF) se nomme Secure Neighbor Discovery (SEND). Il s'appuie à la
fois sur l'utilisation d'identifiants cryptographiques qui sont
générées à partir d'une paire de clés
publique/privée, et sur des certificats électroniques54(*).
Si la protection du système n'est pas une tâche
facile pour le simple utilisateur, il est pour autant d'une importance
fondamentale lorsqu'il s'agit de protéger la vie privée. Cela est
dû au fait que des informations personnelles se trouvent dans le
système entier et il est techniquement impossible de crypter tout ce
qu'un ordinateur ou un terminal contient. Dans un deuxième temps, le
chiffrement des données personnelles le plus importantes paraît
plus simple lorsque l'on utilise des logiciels conçus à cet
effet.
Les mots de passe constituent enfin une solution facile (mais
peu fiable).
Les difficultés que les techniques présentent
pour le simple utilisateur, la méconnaissance des solutions les plus
efficaces ainsi que les failles dans les logiciels spécialisés,
conduisent à un moment ou un autre à la révélation
de certains aspects de la vie privée du consommateur. Il est donc normal
que le droit vienne au secours du citoyen, en prévoyant des dispositions
protectrices de la vie privée. Malgré un certain retard
constaté quant à son adaptation aux nouvelles technologies, il
reste l'ultime source de protection efficace.
Le droit pour être efficace dans cette mission de
protection, doit par exemple pouvoir protéger l'internaute contre les
défaillances que pourraient présenter les solutions techniques
censées protéger sa vie privée sur les réseaux
numériques, en établissant clairement la responsabilité
des prestataires de ces solutions techniques. Ainsi, la cryptographie qui se
présente comme la meilleure solution technique de la protection de la
vie privée, doit être rigoureusement encadrée par le droit.
· PARTIE II.
LA CRYPTOGRAPHIE
ENCADRÉE : UN IMPÉRATIF DE LA CONFIANCE NUMÉRIQUE
Nous avons vu que le cryptage libre est
susceptible de constituer un levier déterminant pour le
développement du commerce électronique. Certains auteurs sont
favorables à une libéralisation totale de la
cryptographie55(*).
Mais, dans l'élaboration d'une politique de la
cryptologie aux fins du commerce électronique, les États sont
confrontés à la difficulté suivante : trouver un
juste équilibre entre les questions fondamentales liées à
la protection des données à caractère personnel et aux
intérêts commerciaux, et l'obligation pour l'État d'assurer
sa protection et celle de ses citoyens contre les diverses menaces pesant sur
la sécurité publique.
La nécessité de concilier ces contraintes
contradictoires n'est pas nouvelle, mais elle a pris une nouvelle dimension
aujourd'hui, en raison des récentes évolutions technologiques et
de la nécessité de promouvoir le commerce
électronique56(*).
La règlementation de la cryptologie aux fins du
commerce électronique vise à assurer une protection solide au
cyberconsommateur (Chapitre I) sans nuire à celle de l'État
(Chapitre II)
· CHAPITRE I.
LA PROTECTION DU
CYBERCONSOMMATEUR
La promesse de la cryptographie est de combler les
défaillances inhérentes à la
dématérialisation des opérations sur les réseaux
numériques. Elle apporte, pour ce faire, des garanties de
sécurité technique des transactions électroniques en
assurant les fonctions de sécurité que sont la
confidentialité, l'intégrité, l'authentification et la
non-répudiation. L'éventualité d'une défaillance de
la cryptographie à tenir cette promesse est source de craintes pour
les consommateurs qui pourraient alors subir des dommages irréversibles.
Les tiers de confiance que sont les prestataires de service de
cryptologie sont les garants de cette sécurité dans la mesure
où ce sont eux qui ont la charge de la gestion des clés
cryptographiques. C'est pourquoi, dans l'optique de consolider la confiance des
consommateurs, la loi a astreint les prestataires de services de cryptographie
à de nombreuses obligations (Section I). Elle a aussi renforcé
les conditions de mise en jeu de leur responsabilité au profit des
utilisateurs (Section II).
Section I -
Les obligations du prestataire de services de cryptologie
Le prestataire de services de cryptologie a certaines
obligations vis-à-vis des utilisateurs qui lui confient la gestion de
leurs conventions secrètes (Paragraphe I) et d'autres vis-à-vis
de l'État (paragraphe II)
· Paragraphe I - Les obligations du
prestataire vis-à-vis de l'utilisateur
Vis-à-vis des utilisateurs, le prestataire de services
de cryptologie a l'obligation d'assurer la sécurité des
conventions secrètes qui lui sont confiées (A). Il est, en outre,
tenu au secret professionnel (B).
· A - La
sécurité des conventions secrètes
La préservation de la sécurité des
conventions secrètes incombe aux prestataires de cryptologie aux termes
de la loi française. Ainsi, ils doivent non seulement les conserver
eux-mêmes pendant une durée minimale de quatre (4) ans à
compter de la signature du contrat avec l'utilisateur, mais aussi, ils doivent
veiller à ce qu'elles ne puissent être altérées,
endommagées, détruites, consultées ou communiquées
à des tiers non autorisés. Les prestataires sont enfin tenus de
prendre connaissance de toutes dispositions utiles notamment contractuelles,
vis-à-vis de leurs employés, de leurs partenaires, de leurs
clients et de leurs fournisseurs afin que soit respectée la
confidentialité des informations relatives à l'utilisation des
conventions secrètes. Ceci ne les dispense pas de l'obligation de se
conformer à la règlementation sur la protection des
données à caractère personnel.
Les prestations des organismes ne sont pas
réservées qu'à leurs seuls clients. Ils ont aussi
l'obligation de mettre en oeuvre des conventions secrètes au profit des
autorités administratives ou judiciaires compétentes ou de les
remettre directement aux dites autorités.
La loi sénégalaise sur la cryptographie
prévoit pratiquement les mêmes obligations à la charge des
prestataires de services de cryptologie et les précise.
Ceux-ci doivent fournir, par voie écrite ou
électronique, dans une langue compréhensible, une information
correcte sur l'ensemble des services qu'ils proposent. Il doit être
clairement précisé les termes et conditions contractuels,
spécialement les procédures de réclamation et de
règlement des litiges.
Les prestataires ont l'obligation de signer avec les
utilisateurs, un contrat pour la gestion des conventions secrètes. Le
contrat doit nécessairement indiquer la référence de
l'agrément accordé au prestataire par l'État, sa
durée et sa date d'expiration et toute information utile contenue dans
le cahier des charges. Il doit comporter une clause par laquelle, l'organisme
s'engage relativement à la confidentialité ou à la
sécurité des conventions secrètes qu'il gère et
doit préciser les modalités selon lesquelles, il est possible,
pour l'utilisateur ou son mandataire, d'obtenir délivrance d'une copie
des conventions secrètes.
· B -
Le secret professionnel
Les prestataires de cryptologie sont tenus au secret
professionnel.
En cas de violation du secret professionnel en France, les
prestataires de cryptologie encourent, en vertu de l'article 226-13 du Code
pénal, une peine d'un an d'emprisonnement et de 15 000 euros
d'amende.
Avant 2004, les prestataires de cryptologie étaient
assujettis à une obligation de collaboration avec les pouvoirs publics,
ce qui permettait à l'État d'exercer un contrôle sur
l'utilisation de la cryptologie. Le secret professionnel devait céder
face à une demande des autorités administratives ou judiciaires
(par exemple dans le cadre de l'interception des
télécommunications prévue par la loi du 10 juillet
1991).
Aujourd'hui la loi elle-même proclame que les
prestataires de cryptologie sont soumis au secret professionnel. Une telle
précision vise à rassurer les utilisateurs et à conforter
leur confiance dans l'économie numérique. L'article 14
alinéa 3 de la loi sénégalaise sur la cryptographie
dispose à cet effet : « les prestataires de
services de cryptologie sont assujettis au secret
professionnel. »
· Paragraphe II - Les obligations
du prestataire vis-à-vis de l'État
Le prestataire de services de certification
électronique, nommé encore tiers certificateur, est défini
comme toute personne qui délivre des certificats électroniques ou
fournit d'autres services en matière de signature électronique.
Ce prestataire privé doit satisfaire à des exigences
précises énumérées par l'article 27 du
Règlement n° 15/2002/CM/UEMOA (rapp. article 6, II, du
décret français n° 2001-272 du 30 mars 2001 pris pour
l'application de l'article 1316-4 du Code civil).
Pour permettre aux autorités publiques de
vérifier s'il répond aux exigence légales, le prestataire
doit se soumettre à une formalité d'agrément ou de
déclaration préalable (A). Il doit en outre leur réserver
un accès aux conventions secrètes dont il assure la gestion
(B).
· A -
L'agrément ou la déclaration préalable
C'est l'article 16 de la loi sur la cryptologie du
Sénégal qui prévoit que « Les organismes
exerçant des prestations de cryptologie doivent être
agréés». Les conditions de délivrance de
l'agrément sont précisées par le décret
d'application de la loi sur la cryptologie. L'article 46 dudit décret
énonce que, le demandeur à l'agrément, adresse un dossier
à la Commission Nationale sur la Cryptologie57(*) qui sera chargé de
préciser son contenu. Pour obtenir l'agrément, le prestataire
doit justifier d'un nombre suffisant de personnes agréées par la
Commission pour lui permettre de remplir ses obligations en matière de
gestion des conventions secrètes.
L'agrément peut être refusé pour
non-respect de la législation en matière de cryptologie ou pour
des raisons liées à la défense nationale, à la
sûreté intérieure ou extérieure de l'État.
Initialement, sur le territoire de l'UEMOA, la BCEAO devait
jouer le rôle d'organisme d'accréditation (cf. art. 28,
Règlement n° 15/2002/CM/UEMOA en cours de révision) mais
cette orientation a évolué notamment pour les raisons que
l'accréditation n'est pas un métier de la banque ; c'est une
activité qui doit être prise en charge par une entité
complètement indépendante, pour des raisons
d'impartialité.
En outre, le schéma d'accréditation prévu
dans le cadre du Règlement n° 15/2002/CM/UEMOA comporte, certains
inconvénients à savoir :
· qu'il n'existe pas d'organismes d'accréditation
dans la zone ;
· qu'il n'existe pas d'organismes de qualification des
prestataires de services de certification électronique dans la zone)
;
· qu'il n'y a pas (encore) de prestataire de services
certification électronique créé dans l'Union.
Par conséquent, un nouveau dispositif est en cours de
mise en oeuvre (révision du Règlement n° 15/2002/CM/UEMOA et
adoption d'une nouvelle instruction sur la preuve électronique). Ce
dispositif est axé sur un schéma qui se décline comme
suit :
· reconnaissance par la BCEAO d'organismes
d'accréditation situés hors de l'Union ;
· agrément des organismes d'évaluation
étrangers à l'Union (Convention d'agrément) qui auront
été accrédités par les organismes reconnus par la
BCEAO ;
· acceptation/qualification et surveillance de
prestataires services de certification électronique étrangers
à l'Union (Accord d'acceptation) pour intervenir dans l'espace UEMOA
;
· acceptation/qualification et surveillance de
certificats émis par ces prestataires de services de certification
électronique.
En France, aux termes de la loi du 21 juin 2004, la fourniture
de prestations de cryptologie doit être déclarée
auprès du premier ministre. Le tiers de confiance n'est donc plus soumis
à la très lourde procédure de l'agrément que la loi
lui imposait antérieurement. Il devra simplement effectuer une
déclaration préalable dont les modalités sont
fixées par décret. Il peut même être dispensé
de cette formalité si les prestations fournies ne constituent pas un
danger pour l'ordre public ou pour la sécurité intérieure
ou extérieure de l'État.
En outre, cette obligation de déclaration
préalable concerne uniquement la fourniture de prestations de
cryptologie sur le territoire français. Cela signifie a contrario que
l'importation ou l'exportation de ces prestations est libre.
En plus de la formalité de déclaration
préalable ou d'agrément dont il a l'obligation de s'acquitter, le
prestataire doit ouvrir la possibilité aux autorités publiques
d'accéder aux conventions secrètes.
· B -
L'accès des autorités publiques aux conventions
secrètes
Les réseaux informatiques ont créé de
nouvelles possibilités en ce qui concerne les communications
personnelles et commerciales, mais ça n'a pas été sans
répercussions néfastes sur la capacité des organismes
d'application de la loi de protéger le public. La nouvelle technologie a
également produit de nouvelles formes d'activité criminelle, de
nouvelles façons de commettre d'anciens crimes et de nouvelles
façons de dissimuler des preuves. L'utilisation
généralisée de la cryptographie soulève des
inquiétudes dans ce contexte, car elle peut créer des obstacles
importants à la détection des activités criminelles et
nuire aux enquêtes. À cela s'ajoutent les menaces pour la
sécurité ainsi que la nécessité d'inspecter
certains documents pour vérifier la conformité aux exigences
commerciales, fiscales, environnementales et à d'autres exigences
légales et règlementaires.
Dans de nombreux cas, la rapidité d'accès
à l'information est indispensable pour mener à bien des
enquêtes, car les mesures adoptées par la suite dépendent
de l'information et ne peuvent être efficaces si elles sont prises trop
tard. Cette observation est particulièrement valable pour les
systèmes informatiques, qui peuvent être utilisés pour
déplacer, dissimuler ou effacer d'importantes quantités
d'informations par une simple pression sur une touche. Dans certains cas, c'est
la rapidité d'action qui peut permettre d'empêcher qu'un crime ou
un acte terroriste soit commis.
C'est pour ces différentes raisons que loi
sénégalaise aménage un accès à l'État
aux conventions secrètes dont un prestataire de cryptologie a la
gestion. Cet accès est réservé aux seuls enquêteurs
de la Commission Nationale de Cryptologie et aux autorités
administratives et judiciaires dans les conditions prévues par le Code
de Procédure Pénale.
Les prestataires de cryptologie sont tenus dans ce sens de
constituer et de tenir à jour une liste de leurs clients et un registre
mentionnant toutes les demandes formulées par les autorités
administratives et judiciaires compétentes concernant la mise en oeuvre
des conventions secrètes. Le registre est signé par l'agent qui
procède à la demande et par l'employé du prestataire qui
effectue la mise en oeuvre ou la remise des conventions secrètes.
Au cas où le prestataire de cryptologie ne respecterait
pas ses obligations, autant vis-à-vis de l'État que
vis-à-vis de l'utilisateur, il engage sa responsabilité.
Section II
- La responsabilité du prestataire de services de cryptologie
La loi française du 21 juin 2004 pour la confiance dans
l'économie numérique définit la prestation de cryptologie
comme « toute opération visant à la mise en oeuvre, pour
le compte d'autrui, de moyens de cryptologie ». Un contrat lie ce
prestataire à un utilisateur à qui il transmet des clés de
chiffrement qui lui permettront de crypter ses messages. Le rôle du
prestataire de cryptologie est de détenir et de gérer les
clés de chiffrement.
S'il vient à manquer aux exigences légales qui
lui sont imposées dans le cadre de cette fonction, le prestataire de
service de cryptologie est susceptible d'engager sa responsabilité
civile (Paragraphe I). Dans les cas les plus graves, des sanctions
administratives et pénales sont prévues (Paragraphe II).
· Paragraphe I - La
responsabilité civile des prestataires de services de cryptologie
Autant en droit français qu'en droit
sénégalais, la responsabilité des prestataires de service
de cryptologie est présumée (A). Cette présomption de
responsabilité est cependant limitée à des cas bien
spécifiques (B).
· A -
La présomption de responsabilité du prestataire de service de
cryptologie
Dans le but de renforcer la confiance des utilisateurs dans
les prestations de cryptologie, et, plus généralement, dans
l'économie numérique, la loi française du 21 juin 2004 met
en place une présomption de responsabilité des prestataires de
moyens de cryptologie à des fins de confidentialité.
Avant l'intervention de cette loi, la règlementation de
l'activité des prestataires de services de certification, passait sous
silence la question de leur responsabilité. C'est donc le droit commun
de la responsabilité civile qui s'appliquait, ce qui obligeait les tiers
victimes à démontrer, sur le fondement des articles 1382 et 1383
du Code civil, à la fois la faute du prestataire, le préjudice
subi et le lien de causalité entre ces deux
éléments58(*). La loi du 21 juin 2004 pour la confiance dans
l'économie numérique a changé la donne. Ce texte instaure
en effet une présomption de responsabilité des tiers
certificateurs au bénéfice des personnes qui ont subi un
préjudice en se fiant aux certificats présentés comme
qualifiés.
En droit sénégalais, c'est l'article 18 de la
loi n° 2008 - 41 du 20 août 200859(*) sur la cryptologie qui consacre cette
présomption de responsabilité du prestataire de service de
cryptologie.
Très favorable à l'utilisateur cette disposition
signifie que la responsabilité du prestataire sera automatiquement
engagée en cas d'atteinte à l'intégrité, à
la confidentialité ou à la disponibilité des
données transformées à l'aide des conventions
secrètes gérées par le prestataire. Le prestataire de
cryptologie devra alors indemniser les utilisateurs qui ont subi un
préjudice. Le seul moyen pour lui de s'exonérer de sa
responsabilité et d'échapper à l'obligation
d'indemnisation est de lui-même démontrer qu'il n'a commis aucune
faute ou négligence60(*).
Ce régime a pour but d'atténuer les
réticences dans l'usage de la signature électronique et ainsi de
favoriser le développement de l'économie numérique. C'est
également cet objectif qui explique que la loi ait assorti ce
régime de responsabilité de mesures visant à garantir la
solvabilité des prestataires de services de certification. La loi
prévoit en effet que les tiers certificateurs doivent justifier d'une
garantie financière suffisante ou d'une assurance garantissant les
conséquences pécuniaires de leur responsabilité civile
professionnelle.61(*)
La loi précise que cette présomption de
responsabilité est valable nonobstant toute stipulation contractuelle
contraire. Cela signifie que si le prestataire a intégré dans le
contrat une clause l'exonérant de toute responsabilité en cas
d'atteinte aux données cryptées, ou limitant les conditions
d'engagement de sa responsabilité, cette clause ne sera pas valable et
n'aura aucun effet. Les dispositions de la loi prévaudront sur celles du
contrat.
La présomption de responsabilité du prestataire
ne joue cependant pas dans tous les cas.
· B -
Le champ d'application de la présomption de responsabilité du
prestataire de service de cryptologie
Le champ d'application de ce régime se limite en
principe aux prestations de cryptologie à des fins de
confidentialité62(*).
Cependant, un régime spécifique de
responsabilité est prévu à l'article 21 de loi
française LCEN pour les personnes qui fournissent des prestations de
cryptologie ayant seulement une fonction d'authentification ou de
contrôle de l'intégrité de données. Cet article
institue, dans des hypothèses spécifiques, une présomption
de responsabilité dans un champ limité d'application : ce
régime ne s'appliquerait qu'en présence de certificats dits
« qualifiés » ou, tout au moins,
présentés comme tels par le fournisseur.
D'après la loi, la présomption de
responsabilité des personnes qui fournissent des prestations de
cryptologie ayant seulement une fonction d'authentification ou de
contrôle de l'intégrité de données jouera dans cinq
situations :
· lorsque les informations contenues dans le certificat,
à la date de sa délivrance étaient inexactes,
· lorsque les données prescrites pour que le
certificat puisse être regardé comme qualifié
étaient incomplètes,
· lorsque la délivrance du certificat n'a pas
donné lieu à la vérification que le signataire
détient la convention privée correspondant à la convention
publique de ce certificat,
· lorsque les prestataires n'ont pas, le cas
échéant, fait procéder à l'enregistrement de la
révocation du certificat et tenu cette information à la
disposition des tiers ;
· lorsque le prestataire n'a pas enregistré la
révocation du certificat et n'a pas tenu informé les tiers de ce
fait.
La responsabilité des certificateurs qui
délivrent des certificats ordinaires est soumise au droit commun.
Toutefois, les prestataires de services de certification ne seront pas
responsables du préjudice causé par l'usage d'un certificat
dépassant les limites fixées à son utilisation, ou
à la valeur des transactions pour lesquelles il peut être
utilisé, à condition que ces limites aient été
clairement portées à la connaissance de l'utilisateur dans le
certificat63(*).
Lorsque la responsabilité du prestataire est
établie et qu'il s'agit d'un cas grave de manquement grave de ses
obligations, celui-ci engage sa responsabilité administrative ou
pénale.
· Paragraphe II - La
responsabilité administrative et pénale des prestataires de
service de cryptologie
La loi prévoit des sanctions administratives (A) ou
pénales (B) en cas de manquement par un prestataire de services de
cryptologie à ses obligations légales.
· A -
Les sanctions administratives
Au Sénégal c'est l'article 19 de la loi sur la
cryptologie qui prévoit les sanctions administratives. Il s'agit de
l'interdiction d'utiliser ou de mettre en circulation un moyen de cryptologie,
du retrait, pour une durée de trois (3) mois ou définitif d'une
autorisation ou d'un agrément accordé et des amendes
fixées en fonction de la gravité des manquements commis et en
relation avec les avantages ou profits tirés de ces manquements. Les
sanctions sont applicables à tous les prestataires, même à
ceux agissant à titre gratuit.
Il faut noter que le retrait d'une autorisation ou d'un
agrément, peut être prononcé même en l'absence de
faute. Il suffit qu'il y ait risque d'atteinte à l'ordre public,
à la sécurité intérieure ou extérieure de
l'État, cessation de l'activité autorisée ou encore que
les conditions de délivrance de l'autorisation ne soient plus
remplies.
En France, l'article 22 de la loi pour la confiance dans
l'économie numérique institue un mécanisme de sanction
administrative à l'encontre du fournisseur de moyens de cryptologie qui
n'aurait pas respecté ses obligations. L'autorité
compétente pour prononcer des sanctions administratives à
l'encontre des prestataires qui n'auraient pas satisfait à leurs
obligations est le Premier ministre. Les sanctions administratives s'appliquent
aux prestataires qui auraient omis de déclarer ou de solliciter une
autorisation préalable, selon le cas et les modalités
définies par l'article 18, pour la fourniture, l'importation,
l'exportation, le transfert depuis ou vers un autre État membre de la
Communauté européenne de moyens de cryptologie.
La sanction qui peut être prononcée au titre de
l'article 22 LCEN est unique : une mesure d'interdiction de mise en
circulation du moyen de cryptologie concerné.
La loi fait obligation aux personnes physiques ou morales qui
fournissent des prestations de cryptologie visant à assurer une fonction
de confidentialité de remettre aux agents compétents les
conventions permettant le déchiffrement des données
transformées au moyen des prestations qu'elles ont fournies. Le fait de
ne pas déférer à cette demande étant
considéré comme une infraction (prévues à l'article
23).
Au sein de l'UEMOA, c'est l'article 30 du Règlement
n° 15/2002/CM/UEMOA qui énonce les sanctions administratives.
Cet article dispose :
« Le contrôle du respect par les prestataires
de services de certification des exigences prévues à l'article 26
peut être effectué d'office ou à l'occasion de toute
réclamation mettant en cause un prestataire de services de
certification, par les services de la BCEAO chargés de la
sécurité des systèmes d'information ou par des organismes
désignés par eux.
Lorsque ce contrôle révèle qu'un
prestataire n'a pas satisfait à ces exigences, les services de la BCEAO
chargés de la sécurité des systèmes d'information
assurent la publicité des résultats de ce contrôle. Dans le
cas où le prestataire a été reconnu comme qualifié,
ils en informent l'organisme de qualification.
La Banque Centrale fixe par Instruction les sanctions
pouvant être prononcées à l'encontre des prestataires
défaillants. Ces sanctions, pouvant aller jusqu'à l'interdiction
d'exercer l'activité de prestataire de services de certification, seront
prononcées par les services compétents de la BCEAO. Toute
sanction prononcée devra faire l'objet de publication dans un journal
habilité à recevoir des annonces légales ou selon les
modalités fixées par instruction de la Banque Centrale.
Les mesures prévues à l'alinéa 2
ci-dessus doivent faire l'objet, préalablement à leur adoption,
d'une procédure contradictoire permettant au prestataire de
présenter ses observations ».
L'application des sanctions administratives n'exclut pas les
sanctions pénales.
· B -
Les sanctions pénales
Le législateur sénégalais distingue les
sanctions pénales principales de celles complémentaires. Les
sanctions principales sont l'emprisonnement pour une durée pouvant aller
de six (6) mois à cinq (5) ans et l'amende dont le montant varie entre
400.000f CFA et 30.000.000f CFA64(*). Les sanctions complémentaires sont : la
confiscation des outils ayant servi à la commission de l'infraction ou
qui en sont le produit, l'interdiction d'exercer une fonction publique ou une
activité professionnelle liée à la cryptologie, la
fermeture de l'un ou des établissements de l'entreprise ayant servi
à commettre l'infraction et l'exclusion des marchés publics.
Elles ne peuvent être prononcées pour une durée
supérieure à cinq (5) ans.
La loi sénégalaise sur la cryptologie
sanctionne l'absence de communication à la Commission Nationale sur la
Cryptologie d'une description des caractéristiques techniques d'un moyen
de cryptologie. Elle réprime d'une part, l'importation ou la fourniture,
sans déclaration préalable, d'un moyen de cryptologie soumis
à l'obligation de déclaration et l'exportation, sans autorisation
préalable, d'un moyen de cryptologie soumis à une autorisation
préalable et d'autre part, la fourniture, sans l'obtention
préalable d'un agrément, d'une prestation de cryptologie. Elle
punit la mise à disposition d'un moyen de cryptologie ayant fait l'objet
d'une interdiction d'utilisation ou de mise en circulation. Mais aussi celui
qui aura fait obstacle au déroulement des enquêtes menées
par la Commission Nationale sur la Cryptologie ou refusé de fournir les
informations et documents y afférents. Enfin, elle sanctionne la mise en
place d'un accès dérobé à des données ou
à un système d'informations, sans l'autorisation de l'utilisateur
légitime.
Le non respect des formalités, dans les cas où
elles sont exigées, est aussi sanctionné pénalement en
France. Alors que, dans le droit antérieur, l'absence de
déclaration n'était pas sanctionnée pénalement, la
loi du 21 juin 2004, aujourd'hui applicable, est plus sévère :
elle punit d'un an d'emprisonnement et de 15 000 euros d'amende le fait de ne
pas satisfaire à l'obligation de déclaration. Le contrevenant
encoure également des peines complémentaires telles que, par
exemple, l'interdiction d'émettre des chèques et d'utiliser des
cartes de paiement, l'interdiction d'exercer, pendant cinq ans une fonction
publique ou l'activité professionnelle ou sociale dans l'exercice de
laquelle la déclaration préalable a été omise, la
fermeture de l'établissement, l'exclusion des marchés publics
pour une durée de cinq ans... En raison de la
sévérité des peines encourues, les fournisseurs de moyens
de cryptologie ayant des fonctions de confidentialité ne doivent donc
pas négliger la formalité de déclaration préalable.
La loi du 21 juin 2004 aussi durci le régime des sanctions applicables
en cas de défaut d'autorisation, puisque ne pas satisfaire à
l'obligation d'autorisation est puni de deux ans d'emprisonnement (alors que le
droit antérieur prévoyait seulement six mois d'emprisonnement) et
de 30 000 euros d'amende. Ce dispositif répressif est assorti de peines
complémentaires qui sont les mêmes que celles prévues pour
l'omission de déclaration préalable.
L'article 23 de la loi pour la confiance dans
l'économie numérique puni aussi désormais «le
fait de détenir, d'offrir, de céder ou de mettre à
disposition un équipement, un instrument, un programme informatique ou
toute donnée conçue ou spécialement
adaptés», pour commettre des infractions dans des
systèmes de traitement automatisé de données. Cet article
donne un cadre juridique, non plus aux seules actions frauduleuses, mais
également aux outils qui servent à les commettre.
· CHAPITRE II.
LA PROTECTION DE
L'ETAT
La libéralisation de la cryptographie reflète la
volonté des États de promouvoir les transactions
électroniques. Mais une autre de leurs préoccupations majeures en
matière de cryptologie est relative à la nécessité
d'assurer la sécurité intérieure et extérieure
ainsi que l'ordre public. Ces considérations se traduisent dans la
règlementation de la cryptologie par un certain nombre de restrictions.
Celles-ci concernent la circulation des moyens de cryptologie d'une part
(Section I) et l'utilisation des moyens de chiffrement d'autre part (Section
II)
Section I -
Les restrictions à la circulation des moyens et à l'offre de
prestations de cryptologie
Ces restrictions touchent la fourniture des moyens et
prestations de cryptologies d'une part (Paragraphe I) ainsi que l'importation
et l'exportation des moyens de cryptologie d'autre part (Paragraphe II)
·
Paragraphe I - La fourniture de moyens et prestations de cryptologie
Nous distinguerons entre la fourniture de moyens de
cryptologie (A) et la fourniture de prestations de cryptologie (B)
· A -
la fourniture de moyens de cryptologie
En France, en vertu de la loi du 21 juin 2004, le principe de
liberté est appliqué à la fourniture de moyens et
prestations de cryptologie. Mais, la liberté concerne « la
fourniture de moyens de cryptologie assurant exclusivement des fonctions
d'authentification ou de contrôle d'intégrité ».
Sortir de ce cadre, c'est-à-dire fournir des moyens de cryptologie
à des fins de confidentialité, fait entrer dans le régime
de déclaration préalable auprès du Premier
ministre65(*).
Cette procédure de déclaration aujourd'hui
applicable connaît aussi des exceptions. En effet, la loi de 2004 a
prévu des dispenses de déclaration pour certaines
catégories de moyens de cryptologie qui ne représentent pas un
danger au regard des intérêts de la défense nationale et de
la sécurité intérieure ou extérieure de
l'État. Sont classés dans cette catégorie les
systèmes d'identification des cartes bancaires, les décodeurs de
télévision grand public, les logiciels conçus pour assurer
la protection des logiciels contre la copie ou l'utilisation illicite, les
machines automatiques de distribution de billets de banque, les imprimantes en
libre service...
Malgré ces exceptions, la règle demeure celle de
la déclaration préalable et son défaut est
sévèrement punit par la loi.
La déclaration est aussi exigée au
Sénégal pour la fourniture de moyens de cryptologie assurant une
fonction de confidentialité66(*). Cependant la fourniture de moyens de cryptologie
mettant en jeux de clés cryptographiques d'une valeur supérieure
à 128 bits est soumise à l'autorisation préalable de la
Commission nationale de cryptographie.
· B -
la fourniture de prestations de cryptologie
Quant à la fourniture de prestations de cryptologie,
elle doit être déclarée auprès du Premier
ministre67(*). Le
décret du 2 mai 2007 et l'arrêté du 25 mai 200768(*) définissent les
conditions de cette déclaration et ses exceptions - prestations dont les
caractéristiques techniques ou les conditions de fourniture sont telles
que, au regard des intérêts de la défense nationale et de
la sécurité intérieure ou extérieure de
l'État, cette fourniture peut être dispensée de toute
formalité préalable.
La loi française actuelle a allégé la
règlementation puisque, avant 2004, la loi exigeait dans ce cas une
autorisation du premier ministre, formalité beaucoup plus contraignante
que la déclaration préalable.
Au Sénégal, la déclaration est faite
auprès de la Commission nationale de cryptologie. Elle concerne
uniquement la fourniture de prestations de cryptologie n'assurant pas
exclusivement de fonctions d'authentification et de contrôle
d'intégrité.
·
Paragraphe II - L'importation et l'exportation de moyens de cryptologie
Le droit français et
sénégalais règlemententent l'importation et l'exportation
des moyens de cryptologie.
Sous la pression des nécessités du commerce
international, la France a assoupli sa législation avec la loi du 21
juin 2004 pour la confiance dans l'économie numérique. Les
importations (A) et les exportations (B) de moyens de cryptologie ne sont pas
pour autant totalement libres ; elles demeurent soumises à une
règlementation précise.
· A -
L'importation de moyens de cryptologie
D'un point de vue terminologique, la loi française
distingue parmi les opérations d'importation celles effectuées
depuis les états membres de la communauté européenne qui
sont qualifiées de transferts, et celles effectuées depuis des
pays n'appartenant pas à la communauté européenne qui sont
dénommées importations. Malgré cette différence de
qualification, le régime juridique applicable aux transferts et aux
importations de moyens de cryptologie est aujourd'hui similaire.
Les transferts ou les importations de moyens de cryptologie
sont libres si le chiffrement assure exclusivement des fonctions
d'authentification ou de contrôle d'intégrité.
En revanche, si le moyen de cryptologie revêt des
fonctions de confidentialité, son transfert ou son importation est
soumis à une déclaration préalable auprès du
premier ministre.
La règlementation française actuelle a choisi
d'harmoniser le régime juridique des importations et celui des
transferts. En effet, avant 2004, si les transferts depuis un état
membre de la communauté européenne étaient totalement
libres, les importations étaient, quant à elles, assujetties au
régime beaucoup plus rigoureux de l'autorisation du premier ministre.
Aujourd'hui, toutes ces opérations sont soumises à la
formalité unique de la déclaration préalable. Il convient
néanmoins de préciser que cette formalité ne sera pas
exigée dans tous les cas. En effet, la loi de 2004 a prévu des
dispenses de déclaration pour certaines catégories de moyens de
cryptologie qui ne représentent pas un danger au regard des
intérêts de la défense nationale et de la
sécurité intérieure ou extérieure de l'État.
La liste de ces moyens est fixée par décret69(*).
Lorsque la déclaration préalable est
obligatoire, ce qui reste le principe, la loi punit rigoureusement son
omission.
L'importation de moyens de cryptologie n'assurant pas
exclusivement des fonctions d'authentification et de contrôle
d'intégrité est soumise à la déclaration au
Sénégal. Lorsque les moyens cryptographiques concernés
utilisent des clés cryptographiques de plus de 128 bits de longueur, une
autorisation est requise.
· B -
l'exportation de moyens de cryptologie
De la même manière que pour les importations, la
loi française distingue parmi les opérations d'exportation celles
effectuées vers les états membres de la communauté
européenne qui sont qualifiées de transferts, et celles
effectuées vers des pays n'appartenant pas à la communauté
européenne qui sont dénommées exportations. Ici encore,
malgré la différence terminologique, le régime juridique
des transferts et celui des exportations sont unifiés. La
réglementation applicable est en revanche conditionnée par la
fonctionnalité du moyen de cryptologie exporté.
Si le moyen de cryptologie assure exclusivement des fonctions
d'authentification ou de contrôle d'intégrité, son
transfert et son exportation sont libres. Avant 2004, de telles
opérations nécessitaient une déclaration préalable
auprès du premier ministre.
Ce n'est que lorsque le moyen de chiffrement a des fonctions
de confidentialité que son transfert ou son exportation est assujettie
au régime le plus rigoureux : une autorisation obligatoire du premier
ministre, dont les modalités sont fixées par décret. Sur
ce point, la loi de 2004 n'a pas modifié le droit antérieur. La
sévérité reste donc de mise même si la loi a
prévu des dispenses d'autorisation pour certaines catégories de
moyens de cryptologie qui ne représentent pas un danger au regard des
intérêts de la défense nationale et de la
sécurité intérieure ou extérieure de
l'État.
Tout comme en France, l'exportation des moyens de cryptologies
assurant des fonctions de confidentialité est soumise à
l'autorisation de la Commission nationale de cryptologie au
Sénégal.
Dans le contexte de la mondialisation, le commerce ne
connaît pas de frontières. Or, différents pays
étudient différentes politiques de chiffrement. Il est donc
impératif d'examiner attentivement la voie qu'emprunteront les pays avec
lesquels il existe des relations commerciales ainsi que les grands blocs
commerciaux tels que l'Union européenne, notamment, afin de ne pas
ériger d'obstacles inutiles au commerce mondial, et veiller à ce
que les intérêts économiques ne soient pas
désavantagés.
Actuellement, on ne sait pas avec certitude comment la plupart
des pays régleront le problème du contrôle des exportations
et des contrôles intérieurs. Certains ont instauré des
contrôles intérieurs des importations et de l'utilisation, tandis
que d'autres étudient la question. Si certains se prononcent en faveur
du contrôle des exportations de façon à influer directement
sur les types de produits mis en marché sur leur territoire, d'autres
semblent peu disposés à imposer des contraintes au marché
du chiffrement. Il est indéniable que le contexte international aura une
influence sur la politique adoptée par chaque État au plan
national.
Toute position de principe nationale qui serait totalement en
désaccord avec celle des pays partenaires risquerait de nuire aux
relations en matière de sécurité. La politique en
matière de cryptographie est un enjeu de taille, car les logiciels de
chiffrement évolués et les ordinateurs portatifs suffisamment
puissants pour faire fonctionner ces logiciels sont devenus courants. Comme
toute autre donnée, le logiciel de chiffrement se transfère
facilement d'un endroit ou d'un pays à l'autre à l'aide
d'Internet, ce qui rend les contrôles à l'importation et à
l'exportation difficiles.
Section II -
Le contrôle de l'utilisation des moyens et prestations de cryptologie
En vue d'assurer la sécurité intérieure
de l'État, la loi impose des restrictions dans l'optique d'un
contrôle de l'utilisation de la cryptologie. Il y a parfois dans ce sens
une obligation de confier la gestion de ses conventions secrètes
à un tiers de confiance agréé (paragraphe I). D'autres
mesures visent à empêcher l'utilisation de la cryptologie à
des fins criminelles (Paragraphe II)
· Paragraphe I - L'obligation de
recourir à un tiers de confiance agréé
La loi impose de recourir aux services d'un tiers de confiance
agréé dans deux cas de figures. Le premier concerne les moyens et
prestations de cryptologie assurant des fonctions de confidentialité
(A). le seconde porte sur l'utilisation de clés cryptographiques
dépassant une certaine longueur (B).
· A -
Le cas des moyens et prestations de cryptologie assurant des fonctions de
confidentialité
En droit sénégalais, l'utilisation des
conventions secrètes lorsqu'elles offrent des fonctions de
confidentialité, n'est autorisée que si celles-ci sont
gérées par un organisme agréé70(*).
Ainsi, le régime de la cryptologie repose sur la
distinction entre deux types de prestations: d'une part, les moyens
conçus pour protéger un mode d'accès ou une
authentification, et d'autre part, les moyens conçus pour assurer la
confidentialité des communications ou des données
conservées en mémoire.
Nous rappelons que dans de nombreuses communications, la
confidentialité71(*) des données importe peu mais il est
nécessaire de s'assurer de leur provenance et de leur
intégrité, c'est-à-dire de vérifier qu'elles n'ont
pas été modifiées lors de la transmission.
Avant 2004 en France, le recours aux services d'un tiers de
confiance était obligatoire pour utiliser un moyen de cryptologie
assurant des fonctions de confidentialité. L'utilisateur pouvait
librement choisir tel ou tel prestataire à condition que ce dernier ait
obtenu un agrément délivré par le premier ministre. Les
conditions d'obtention de cet agrément étaient relativement
rigoureuses. En particulier, le tiers de confiance devait remplir un cahier des
charges très précis et compter parmi son personnel des personnes
habilitées « secret défense ».
Cette spécificité française qui imposait
de faire appel, dans certains cas, aux services du tiers de confiance
était vivement critiquée. Facteur de complexité, de
lenteur et de surcoût, elle était considérée comme
un handicap économique, frein au développement du commerce
électronique.
La loi du 21 juin 2004 pour la confiance dans
l'économie numérique affirme désormais que l'utilisation
des moyens de cryptologie est libre ; le recours à un prestataire de
cryptologie n'est donc pas une obligation. L'emploi des moyens et prestations
de cryptologie peut s'opérer aussi bien à des fins
d'authentification que pour assurer la confidentialité des
communications.
· B -
Les restrictions liée à la longueur de la clé
cryptographique
À côté du régime de liberté,
la loi sénégalaise a aménagé un régime de
l'autorisation qui concerne, non seulement l'exportation des moyens et
prestations de cryptologie assurant des fonctions de confidentialité
mais aussi, toutes les opérations de chiffrement utilisant une
clé de chiffrement supérieure à 128 bits, de même
que la cession, sous quelque forme que ce soit, ou la vente d'un moyen ou d'une
prestation de cryptologie.
En France, La loi de 2004 (LCEN) modifie substantiellement la
partie de la loi du 26 juillet 1996 consacrée à la cryptologie et
qui limitait la longueur autorisée des clés cryptographique pour
une utilisation libre à 128 bits. La nouvelle loi libéralise sans
réserve l'utilisation des moyens de cryptologie, définies comme
"tout matériel ou logiciel conçu ou modifié pour
transformer des données, qu'il s'agisse d'informations ou de signaux,
à l'aide de conventions secrètes ou pour réaliser
l'opération inverse avec ou sans convention secrète".
Le critère de la longueur des clés
cryptographiques a donc été abandonné.
· Paragraphe II - L'utilisation de
la cryptologie à des fins cybercriminelles
S'il est vrai qu'aujourd'hui, en France comme au
Sénégal, l'utilisation des moyens de cryptologie est libre,
cette permissivité a un corollaire. En effet, le droit se montre
extrêmement sévère avec les personnes qui abuseraient du
régime libertaire et verraient dans l'usage de la cryptologie un moyen
efficace de dissimuler leurs activités frauduleuses (A). Dans le
même sens, le refus de déchiffrer un moyen de cryptologie
utilisé à des fins criminelles est également
sanctionné (B).
· A -
L'aggravation des peines
L'essor des télécommunications mondiales a
créé de nouvelles possibilités d'infractions ainsi que de
nouveaux obstacles à l'efficacité des contrôles. La
possibilité d'avoir recours à des
télécommunications protégées facilitera toute forme
d'activité illégale qui requiert des efforts coordonnés ou
concertés de la part de nombreuses personnes situées à des
endroits différents.
Pour prévenir l'utilisation de la cryptologie à
des fins criminelles, le législateur a mis en place un mécanisme
d'aggravation des peines.
Ainsi, l'utilisation de moyens de cryptologie intervenant pour
préparer ou commettre un crime ou un délit ou faciliter ces actes
est une circonstance aggravante. Le maximum des peines privatives de
liberté encourues s'en trouve augmenté. L'autorité
judiciaire a le pouvoir de recourir à une personne physique ou morale
capable de mettre au clair des données saisies ou obtenues au cours
d'une enquête, ainsi que, dans le cas où un moyen de cryptologie a
été utilisé, la convention secrète de
déchiffrement.
L'article 132-79 du Code pénal français
sanctionne plus sévèrement que l'infraction elle-même le
fait d'utiliser un moyen de cryptologie pour préparer ou commettre un
crime ou un délit ou en faciliter la commission. La loi du 21 juin 2004
a également renforcé les moyens d'investigation et étendu
les pouvoirs des agents de l'État afin de lutter contre la
cybercriminalité. La loi place ainsi les utilisateurs de moyens de
cryptologie devant leurs responsabilités.
· B -
Le refus de déchiffrement d'un moyen de cryptologie utilisé
à des fins criminelles
En France, le Code pénal réprime le fait, pour
quiconque ayant connaissance de la convention secrète de
déchiffrement d'un moyen de cryptologie susceptible d'avoir
été utilisé pour préparer, faciliter ou commettre
un crime ou un délit de refuser de remettre cette convention aux
autorités judiciaires ou de la mettre en oeuvre, malgré les
réquisitions des autorités. Un tel acte est puni de 3 ans
d'emprisonnement et de 45.000€ d'amende (article 434-15-2 CP). La sanction
prévue au Sénégal sera une peine d'emprisonnement d'un (1)
an à cinq (5) ans ou une amende de 1 000 000 francs à
20.000.00072(*)
Aussi, le Code pénal français prévoit que
lorsqu'il apparaît que des données, saisies ou obtenues au cours
d'une enquête ou instruction, ont été cryptées, les
autorités saisies de l'affaire peuvent désigner un expert afin
qu'il déchiffre les informations litigieuses (article 230-1 Code
pénal).
C'est pour assurer cet accès que certaines
législations limitent l'utilisation de produits cryptographiques
à ceux qui peuvent être déchiffrés et lus au
besoin.
Depuis toujours, les atteintes à la vie privée
par l'État sous la forme de fouilles, de saisie ou de surveillance
électronique ont été justifiées par le fait que
l'organisme compétent possédait une preuve concrète de
méfait ou qu'il avait de bonnes raisons de croire que la personne
visée était impliquée dans un délit. Ce sont ces
critères qu'appliquent les tribunaux lorsqu'ils ont à
décider entre protection de la vie privée et intérêt
de l'État.
Les mêmes principes s'appliqueraient à
l'information chiffrée, mais le déchiffrement de l'information
n'est pas identique aux précédents que l'on connaît,
à savoir saisir des preuves en appliquant un mandat de perquisition ou
intercepter des communications moyennant une autorisation judiciaire. Si le
déchiffrement requiert l'accès à des clés, leur
saisie en application d'un mandat ordinaire préviendrait le destinataire
qu'il fait l'objet d'une enquête. Dans un système où les
clés seraient détenues par une tiers de confiance et où
l'on pourrait se les procurer, l'expéditeur et le destinataire qui sont
les cibles de la surveillance ne seraient pas alertées. Toutefois, cela
suppose que tous deux fournissent les clés, même s'il n'y a pas de
surveillance, de soupçon ou d'enquête judiciaire suite à un
délit. Dans ces cas, l'enquête judiciaire devrait être
menée au moment même de l'utilisation des clés de
chiffrement, ce qui ne serait fait que pour l'infime minorité de
messages et de clés auxquels l'État aurait cherché
à avoir un accès légitime. Il faudrait donc trouver
d'autres protections pour la majorité des clés.
· CONCLUSION
GÉNÉRALE
Le potentiel indéniable des transactions
électroniques et du commerce électronique dans un contexte de
mondialisation étant connu, il revient aux États d'adopter les
stratégies et politiques à même de les propulser dans
l'ère de l'économie numérique.
La confiance des utilisateurs des réseaux
numériques dans les transactions électroniques reste un
paramètre important à prendre en compte. La confiance des
utilisateurs est basé avant tout sur la sécurité
technique, or, celle-ci nécessite dans sa mise en oeuvre le recours
à la cryptographie.
La libéralisation de la cryptographie est donc un
passage obligé pour les États qui souhaitent promouvoir le
commerce électronique.
La confiance, nous l'avons vu, ne sera pas que le produit de
la sécurisation technique. Elle est aussi subordonnée à
l'existence d'un environnement qui élimine tout risque
d'insécurité juridique. Un environnement juridique propice
recouvre certaines caractéristiques en ce sens qu'il doit
être prévisible ; organisé, protecteur,
sécurisé et intégré à l'ordre
international.
Pour faciliter le commerce électronique à
l'échelle mondiale, l'infrastructure à clé publique (si
elle est mise en oeuvre) , y compris les procédures et ses composantes
physiques, devrait être conçue de façon à assurer
l'interopérabilité entre les utilisateurs desservis par les
autorités de certification de pays différents ayant des
politiques nationales différentes.
Un autre défi stratégique consiste à
trouver des solutions qui limitent les pratiques criminelles sans nuire aux
intérêts légitimes, qu'ils soient commerciaux,
institutionnels ou individuels. Les États sont, de toute
évidence, tenu de protéger leurs citoyens contre les
activités criminelles et illégales. En outre, on ne saurait nier
les avantages économiques concurrentiels et sociaux qui découlent
d'une société civile sécuritaire.
La sécurité publique, la lutte contre la
criminalité, la sécurité nationale et la conformité
aux règlements, tous ces domaines exigent des organismes
compétents une participation rapide et efficace à la collecte de
données exactes et de preuves sur les activités des criminels. Au
nombre des organismes qui jouent un rôle de premier plan, mentionnons les
services de police, les services de renseignement, les services des
impôts, et douanes etc. Ces organismes sont chargés de
déceler les menaces et de détecter les activités
criminelles, depuis le terrorisme, les crimes violents et les infractions
contre les biens jusqu'aux fraudes touchant les systèmes financiers et
commerciaux nationaux et internationaux, de mener leur enquête et
d'engager des poursuites.
L'efficacité de ces organismes à détecter
l'activité criminelle, à mener leur enquête et à
poursuivre les délinquants dépend souvent de leur capacité
d'assurer une surveillance électronique des communications et de
perquisitionner dans des endroits où de l'information pertinente est
peut-être conservée.
Dans l'élaboration de leurs
politiques en matière de transactions électroniques et de
cryptographie, les États peuvent s'appuyer sur les instruments
juridiques et techniques élaborés par des organismes
spécialisés tels que l'OCDE et le CNUDCI.
Par exemple, la Commission des Nations unies pour le droit du
commerce international (CNUDCI) a élaboré un cadre tant
technique que juridique qui peut servir de base aux États sur notamment
les questions relatives à la signature électronique. Les
« lignes directrices régissant la politique de
cryptographie » du Conseil de l'organisation de coopération et
de développement économique (OCDE) constituent elles aussi un
cadre de référence dans la mise en oeuvre d'une politique de la
cryptologie.
· BIBLIOGRAHIE
Lois et jurisprudence
Règlement n°15/2002/CM/UEMOA du 23 mai 2002
relatif aux systèmes de paiement dans les états membres de
l'Union Économique et Monétaire Ouest Africaine (UEOMA);
Acte additionnel A/SA.1/01/10 du 16 février 2010
relatif à la protection des données à caractère
personnel;
Acte additionnel A/SA.2/01/10 du 16 février 2010 sur
les transactions électroniques.
Directive européenne du 20 novembre 1998 sur la
protection juridique des services à accès conditionnels et des
services d'accès conditionnel,
Loi sénégalaise n° 2008 - 41 du 20
août 2008 sur la cryptologie ;
Loi n° 2004-575 du 21 juin 2004 pour la Confiance dans
l'Économie Numérique (LCEN) ;
Directive 2002/22/CE du Parlement européen et du
Conseil du 7 mars 2002 concernant le service universel et les droits des
utilisateurs au regard des réseaux et services de communications
électroniques (directive "service universel") ;
Loi française du 6 janvier 1978
« informatique, fichiers et libertés » ;
Décret n° 2010-1209 du 13 Septembre 2010 relatif
à la loi n° 2008-41 du 20 Août 2008 sur la Cryptologie au
Sénégal ;
décision du Tribunal de l'Illinois, dans une affaire
Shames Yeakel vs Citizen Financial Bank en date du 21 août 2009 (Case 07
C 5387) ;
Décision N° 09/06634, Marie-Maure C. épouse
A. c/ SA Natixis Interepargne
Ouvrages et doctrine
A. KERCHOFFS : La cryptographie militaire, Journal des
sciences militaires, vol. IX, pp. 5-38, Janvier 1883, pp. 161-191 et
Février 1883.
C. SHANNON : The communication theory of secrecy systems,
article parut à l'origine dans un rapport confidentiel intitule « A
Mathematical Theory of Cryptography » daté du 1 septembre 1945,
aujourd'hui déclassifié.
D. Kahn, La guerre des codes secrets, Paris, InterEditions,
1980.
D. Mougenot, « La preuve », Larcier, 2002.
E. Caprioli « dispositifs techniques et droit d'auteur
dans la société de l'information », p. 7
F. LORENTZ, « La nouvelle donne du commerce
électronique : réalisations et perspectives », Les
éditions de Bercy, Paris, 1999.
J. Stern, La science du secret, Editions Odile Jacob, 1997.
M. H. Sherif : Paiements électroniques
sécurisés, 2007, p. 209.
P. Chantepie, « Mesures techniques de protection
des oeuvres & DRMS : un état des lieux » -
janvier 2003
R.L. Rivest, A. Shamir, L.M. Adleman : A method for
obtaining digital signatures and public-key cryptosystems, Communications
of the ACM, 21 (1978), pp. 120-126.
S. Fdida, Brigitte Vallée : La cryptologie : enjeux
et perspectives, Phong Q.Nguyen, Jacques Stern, Editions Lavoisier, 2005.
Chapitre 6.
S. Lacour, « La sécurité
aujourd'hui dans la société de l'information »,
l'Harmattan, nov. 2007, p. 171.
S. Vaudenay, « La fracture
cryptographique », PPUR Presses polytechniques, 2011.
W. Diffie, M.E. Hellman, « New directions in
cryptography », IEEE Transactions on Information Theory, 22 (1976),
pp. 644-654.
W. D. Kabre, « La conclusion des contrats
électroniques: Étude de droits africains et
européens », Editions L'Harmattan, 1 mai 2013.
Articles et publications
C. Guerrier, « La cryptologie entre
sécurité et liberté ». Disponible à
l'adresse :
http://www.ostic.info/docs/04_Cryptologie.pdf
[Validele 15/06/2013]
CNUDCI, « Promouvoir la confiance dans le
commerce électronique : questions juridiques relatives à
l'utilisation internationale des méthodes d'authentification et de
signature électroniques », United Nations publication,
Vol. 8. mars 2009.
E. A. Caprioli, « Sécurité et
confiance dans le commerce électronique », JCP éd
G, n°14, 1 avril 1998.
F. Perigaud, « De l'utilisation de la
biométrie pour l'authentification forte », In
http://www.zdnet.fr/actualites/de-l-utilisation-de-la-biometrie-pour-l-authentification-forte-39712200.htm
[Valide le 12/05/2014]
H. Kludze, « Le rôle de
la confiance dans le commerce électronique : une analyse
stratégique », revue internationnale de gestion, 2002/5
(vol. 27) HEC Montréal, p. 108.
Industrie Canada, Politique cadre en matière de
cryptographie aux fins du commerce électronique : Pour une
économie et une société de l'information au Canada,
Février 199. In
https://www.ic.gc.ca/eic/site/ecic-ceac.nsf/fra/gv00367.html
M. ANTOINE, D. GOBERT set A. SALAÜN, «Le
développement du commerce électronique: les nouveaux
métiers de la confiance », in Droit des technologies de
l'information, regards prospectifs, Cahiers du CRID, n° 16, Bruxelles,
Bruylant, 1999, pp. 3 et suiv.
M. Marzouki et F. Sauterey, « Cryptographie : la
confidentialité est un droit et non un
privilège », In
http://www.iris.sgdg.org/documents/art-terminal0299.html.
M. Cahen « La responsabilité des
prestataires de services informatiques en sécurité
informatique » In
http://www.murielle-cahen.com/publications/p_prestataire_informatique.asp
[Valide le 21/05/2014]
OCDE, « Les incidences économiques et
sociales du commerce électronique », OECD publishing,
1999.
· WEBOGRAPHIE
http://www.awt.be/contenu/tel/res/res,fr,fic,010,000.pdf
http://fr.wikipedia.org/wiki/Non-r%C3%A9pudiation
http://www.osiris.sn///IMG/pdf/moussathioye.pdf
http://www.uncitral.org/pdf/french/texts/electcom/08-55699_Ebook.pdf
http://www.math.unicaen.fr/~nitaj/cryptoconfiance.pdf
http://www.ic.gc.ca/eic/site/ecic-ceac.nsf/fra/h_gv00120.html
http://www.village-justice.com/articles/Decryptage-nouvelle-legislation,13829.html
http://siteresources.worldbank.org/INTRANETTRADE/Resources/EcomSen.pdf
http://unctad.org/fr/Pages/PressReleaseArchive.aspx?ReferenceDocId=2474
http://www.di.ens.fr/~bresson/P12-M1/P12-M1-Crypto_6.pdf
http://fr.wikipedia.org/wiki/Authentification#cite_note-Authentification.2C_autorisation.www.besoindaide.com-2
http://www.g9plus.org/interface/CR_SSI_090608_final.pdf
http://www.enssib.fr/bibliotheque-numerique/documents/59-mesures-techniques-de-protection-des-oeuvres-et-drms-un-etat-des-lieux.pdf
http://www.en-droit.com/ouvrages/Memoire_DESS_Laurent_Badiane.pdf
* 1 In
http://
www.congovision.com/science/bilolo_kalonji1.html
* 2 M-Pesa (M pour mobile, Pesa pour
argent en swahili) est un système de transfert d'argent par
téléphonie mobile et un service de micro-finance lancé par
Safaricom et Vodacom, les plus grands opérateurs de réseaux
mobiles au Kenya et en Tanzanie. Actuellement, le système de paiement
mobile le plus développé dans le monde, M-Pesa permet aux
utilisateurs disposant d'une carte d'identité nationale ou passeport
à déposer, retirer et transférer facilement de l'argent
avec un appareil mobile.
* 3 Définition de l'Agence
Wallonne des Télécommunications disponible à l'adresse:
http://www.awt.be/contenu/tel/res/res,fr,fic,010,000.pdf
[Consultée le 12/04/2013]
* 4
http://www.securite-informatique.gouv.fr/gp_article10.html
[Consulté le 12/04/2013]
* 5 In
http://fr.wikipedia.org/wiki/Cryptographie
[Consulté le 12/04/2013]
* 6 D. Mougenot, « La
preuve », Larcier, 2002, p. 172.
* 7 Texte tel que modifié par
l'art. 17 de la loi 96-659 du 26 juillet 1996 sur la réglementation des
télécommunications.
* 8 Dans la ville égyptienne
Menet Khufu. Les égyptiens utilisaient des hiéroglyphes moins
connus ou compliqués à la place des hiéroglyphes
ordinaires. Le texte résultant était assez facile à
décrypter, mais l'inscription contenait quand même le premier
élément essentiel de la cryptographie : une modification
volontaire de l'écriture. Les chinois ont aussi pratiqué la
stéganographie à l'aide de papier ou de soie qu'ils roulaient en
boule et recouvraient de cire. Cette boule était ensuite
dissimulée ou avalée par le porteur du message pour assurer la
sécurité lors du transport
* 9 Ils ont théorisé pour
la première fois la cryptographie à clé publique en
prenant le soin de déterminer avec toute la clarté requise, les
propriétés de ce système. Sa mise en pratique se fera en
1978 grâce à Ronald RIVEST, Adi SHAMIR et Leonard ADLEMAN avec
l'algorithme RSA nommé par les initiales de ses trois inventeurs.
* 10 E. A. Caprioli « dispositifs
techniques et droit d'auteur dans la société de l'information
», p.7
* 11 C. Guerrier, « La
cryptologie entre sécurité et liberté ».
Disponible à l'adresse :
http://www.ostic.info/docs/04_Cryptologie.pdf
[Consulté le 15/06/2013]
* 12 Heartbleed est une
vulnérabilité logicielle présente dans la
bibliothèque de cryptographie open source OpenSSL depuis mars 2012, qui
permet à un « attaquant » de lire la mémoire
d'un serveur ou d'un client pour récupérer, par exemple, les
clés privées utilisées lors d'une communication avec le
protocole Transport Layer Security (TLS). Découverte en mars 2014 et
rendue publique le 7 avril 2014, elle concerne de nombreux services Internet.
Ainsi 17 % des serveurs web dits sécurisés, soit environ un
demi-million de serveurs, seraient touchés par la faille au moment de la
découverte du bogue. Cf.
http://fr.wikipedia.org/wiki/Heartbleed
* 13 C. Guerrier, Op. Cit. No. 11.
* 14 Seul le Sénégal dans
la zone UEMOA, à notre connaissance, a dans son système
réglementaire, un texte spécifique destiné à
encadrer le recours à la cryptologie. La question est sommairement
abordée dans la nouvelle loi togolaise n° 2012-018 du 17/12/2012
sur les communications électroniques.
* 15 Il s'agit de l'acte additionnel
A/SA.2/01/10 de la CEDAO portant transactions électroniques,
adopté le 16 février 2010.
* 16 Article 36 de l'acte additionnel
A/SA.2/01/10 de la CEDAO portant transactions électroniques.
* 17 Dans l'exposé des motifs
l'acte additionnel A/SA.2/01/10 de la CEDAO portant transactions
électroniques.
* 18 OCDE, Les incidences
économiques et sociales du commerce électronique, OECD
publishing, 1999. p. 163.
* 19 S. Vaudenay, « La
fracture cryptographique », PPUR Presses polytechniques, 2011. p.
85.
* 20 OCDE, op. Cit. No 8, p. 122.
* 21 F. LORENTZ, La nouvelle donne
du commerce électronique : réalisations et perspectives,
Les éditions de Bercy, Paris, 1999.
* 22 In
http://fr.wikipedia.org/wiki/Clé_de_chiffrement.
* 23 M. H. Sherif , Paiements
électroniques sécurisés, PPUR presses polytechniques,
2007, p. 78.
* 24
http://csrc.nist.gov/cryptval/des.htm
* 25
http://csrc.nist.gov/encryption/aes/rijndael/
* 26 Usenet est un système en
réseau de forums inventé en 1979. Il devient accessible depuis
Internet grâce à l'utilisation du protocole NNTP. Il est encore
régulièrement utilisé au aujourd'hui.
* 27 Reproduite sans perte de
qualité.
* 28 Directive 98/84/CE du Parlement
européen et du Conseil du 20 novembre 1998 concernant la protection
juridique des services à accès conditionnels et
des services d'accès conditionnel, J.O.C.E, n°L320 du 28/11/1998
p. 54-57
* 29 E. A. Caprioli, Op. Cit. no.
10.
* 30 E. A. Caprioli,
« Sécurité et confiance dans le commerce
électronique », JCP éd G, n°14, 1 avril
1998, I, 123.
* 31 In Dictionnaire de
l'informatique, sous la direction de Pierre Morvan, Larousse, 1996,
V°Authentification (en anglais : authentication).
* 32 Décision N° 09/06634,
Marie-Maure C. épouse A. c/ SA Natixis Interepargne.
* 33 Voir le rapport du Groupe de
travail sur le commerce électronique sur les travaux de sa
trente-deuxième session, tenue à Vienne du 19 au 30 janvier 1998
(A/CN.9/446, paragraphes 91).
* 34 F. Perigaud, « De
l'utilisation de la biométrie pour l'authentification forte »,
In
http://www.zdnet.fr/actualites/de-l-utilisation-de-la-biometrie-pour-l-authentification-forte-39712200.htm
[Valide le 12/05/2014]
* 35 E. A. Caprioli, « La
confiance dans les communications électroniques », In
http://www.caprioli-avocats.com
* 36 M. ANTOINE, D. GOBERT set A.
SALAÜN, «Le développement du commerce électronique: les
nouveaux métiers de la confiance », in Droit des technologies de
l'information, regards prospectifs, Cahiers du CRID, n° 16, Bruxelles,
Bruylant, 1999, pp. 3 et suiv.
* 37 Le principe de l'horodatage est
d'associer de façon la plus sure possible une date et une heure à
des données.
Avoir une garantie cryptographique de l'heure permet par
exemple :
· de prouver l'existence de certaines données
à partir d'une certaine date,
· à cette garantie d'existence on peut joindre
des garanties de possession,
· de certifier des heures et dates de signature,
· de renforcer les fonctions de non-répudiation
associées à la signature, puisque lors d'une signature classique
la date de signature n'est pas forcement fiable, et peut donc être
contestée,
· de garantir les heures et dates de validité des
documents électroniques. Si par exemple on souhaite vérifier une
signature électronique longtemps après qu'elle ait
été faite, on devra entre autres s'assurer que le certificat qui
était associé à la clé privée qui a
signé n'était pas révoqué.
* 38 OCDE, 1999. Op. Cit. No 18, p.
164.
* 39 Crées à l'origine
par la société Netscape, serveur et navigateur Internet, les
cookies accroissent les capacités des sites Web de suivre le
cheminement de l'usager lors de chacune de ses visites. Ils peuvent
également notifier le site lorsque l'usager est de retour et ainsi
permettre aux sites de suivre son cheminement lors de plusieurs visites.
* 40 Opt In (en français option
d'adhésion) est un terme marketing ou légal pouvant concerner les
adresses courriel, ou plus globalement les services informatiques.Une adresse
courriel. Opt In active a fait l'objet d'un consentement préalable (case
à cocher, défilement d'une liste déroulante...) du
propriétaire, pour utilisation de cette adresse dans un cadre
précis. Le consentement peut être obtenu par validation
écrite ou électronique. Cf.
http://fr.wikipedia.org/wiki/Opt_in
* 41 Directive 2002/22/CE du Parlement
européen et du Conseil du 7 mars 2002 concernant le service universel et
les droits des utilisateurs au regard des réseaux et services de
communications électroniques (directive "service universel"), Journal
officiel n° L 108 du 24/04/2002 p. 0051 - 0077
* 42 Loi n°78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, JORF du
7 janvier 1978 p. 227
* 43 Loi n° 2004-801 du 6
août 2004 relative à la protection des personnes physiques
à l'égard des traitements de données à
caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, JORF
n°182 du 7 août 2004 p. 14063 texte n° 2
* 44 Article premier de Acte
additionnel A/SA.1/01/10 du 16 février 2010 relatif à la
protection des données à caractère personnel.
* 45 Autorité nationale
indépendante administrative chargée de veiller à ce que le
traitement des données à caractère personnel soit mis en
oeuvre conformément au disposition de l'Acte additionnel. Cf article
premier dudit texte.
* 46 L'article 11 de l'acte additionnel
A/SA.2/01/10 de la CEDAO « Dans l' espace CEDEAO, il est
interdit la prospection directe par envoi de message au moyen d'un automate
d'appel, d'un télécopieur, d'un courrier électronique ou
tout autre moyen de communication électronique utilisant, sous quelque
forme que ce soit, les coordonnées d'une personne physique qui n'a pas
exprimé son consentement préalable à recevoir des
prospections directes par ce moyen. »
* 47 Agence de renseignements
américaine.
* 48 L'accès
dérobé désigne un accès permettant au concepteur
d'un logiciels d'accéder à certaines informations de
l'utilisateur.
* 49 Un logiciel espion (aussi
appelé mouchard ou espiogiciel ; en anglais spyware) est un logiciel
malveillant qui s'installe dans un ordinateur dans le but de collecter et
transférer des informations sur l'environnement dans lequel il s'est
installé, très souvent sans que l'utilisateur en ait
connaissance. L'essor de ce type de logiciel est associé à celui
d'Internet qui lui sert de moyen de transmission de données. Cf.
http://fr.wikipedia.org/wiki/Logiciel_espion
* 50
http://www.windowsutilities.net/astuces/supprimer-lespion-de-microsoft.html
* 51 William Henry Gates III, dit Bill
Gates, est un informaticien, un entrepreneur américain. Son entreprise
Microsoft est en situation de quasi-monopole mondial.
* 52
http://www.commentcamarche.net/contents/992-firewall-pare-feu
* 53
http://fr.wikipedia.org/wiki/IPv6
* 54
http://actu-des-tic.telecom-sudparis.eu/2012/09/utilisation-didentifiants-cryptographiques-pour-la-securisation-ipv6/
* 55 M. Marzouki et F. Sauterey,
« Cryptographie : la confidentialité est un droit et non
un privilège », In
http://www.iris.sgdg.org/documents/art-terminal0299.html
* 56 Industrie Canada,
« Politique cadre en matière de cryptographie aux fins du
commerce électronique : Pour une économie et une
société de l'information au Canada », Février
199. In
https://www.ic.gc.ca/eic/site/ecic-ceac.nsf/fra/gv00367.html
* 57 Organe créé et
rattachée au Secrétariat général de la
Présidence de la République par la loi sur la cryptologie au
Sénégal et qui a pour mission de recevoir et d'examiner les
demandes et déclarations en matière de cryptologie.
* 58 In
http://www.picsi.org/parcours_impression_6.html
[Valide le 21/05/2014]
* 59 Texte disponible à
l'adresse
http://www.jo.gouv.sn/spip.php?article7197
[Valide le 21/05/2014]
* 60 M. Cahen « La
responsabilité des prestataires de services informatiques en
sécurité informatique » In
http://www.murielle-cahen.com/publications/p_prestataire_informatique.asp
[Valide le 21/05/2014]
* 61 Art. 21 LCEN ; Art 62
Décret n° 2010-1209 du 13 Septembre 2010 relatif à la loi
n° 2008-41 du 20 Août 2008 sur la Cryptologie au
Sénégal.
* 62 Art. 18 de la loi n° 2008 -
41 du 20 août 2008 du Sénégal et art. 20 LCEN en
France )
* 63 D. Mougenot, op. cit. No 6. p.
203.
* 64 Art. 20 de loi
sénégalaise n° 2008-41 du 20 août 2008 portant sur la
cryptologie.
* 65 LCEN, art 30.
* 66 Art 14 loi n° 2008-41 du 20
août 2008 portant sur la Cryptologie au Sénégal.
* 67 LCEN, art 31.
* 68 Décret n°2007-663 du 2
mai 2007 pris pour l'application des articles 30, 31 et 36 de la loi n°
2004-575 du 21 juin 2004 pour la confiance dans l'économie
numérique et relatif aux moyens et aux prestations de cryptologie.
* 69 Décret n°2007-663 du 2
mai 2007 op. Cit.
* 70 Cf . Art 12 de la Loi
n° 2008-41 du 20 août 2008 portant sur la Cryptologie au
Sénégal.
* 71 Bien que le recours à la
cryptographie soit l'une des principales caractéristiques des signatures
numériques, le simple fait qu'une signature numérique soit
utilisée pour authentifier un message électronique ne doit pas
être assimilé à l'utilisation plus générale
de la cryptographie à des fins de confidentialité. Dans un
certain nombre de pays, la loi restreint l'utilisation de la cryptographie
à cette fin pour des raisons d'ordre public qui peuvent comporter des
considérations de défense nationale. Cependant, l'utilisation de
la cryptographie aux fins d'authentification par la création d'une
signature numérique n'implique pas nécessairement le recours au
chiffrement pour la confidentialité d'une communication, étant
donné que la signature numérique codée peut être
tout simplement jointe à un message non codé.
* 72 Art. 20 de la loi
sénégalaise sur la cryptologie. Op. Cit.
| 
