Prestations de cryptologie pour les réseaux sans fil : les modalités de contrôle

Avec l’assouplissement du contrôle sur les produits sans fil [1], on pouvait penser que les prestations effectuées grâce à des réseaux sans fil et qui emploient des techniques cryptographiques allaient être libéralisées. Non seulement ce n’est pas le cas, mais elles font l’objet d’un contrôle distinct et plus rigoureux que celui des produits [2,3]. Ce contrôle est spécifiquement prévu par l’article 31 de la loi n° 2004-575 du 21 juin 2004 [4] pour la confiance en l’économie numérique (LCEN).

Définir les prestations de cryptologie, utilisant les réseaux sans fil, susceptibles d’être contrôlées

L’article 29, alinéa 2 de la LCEN tente de définir la prestation de cryptologie. Il s’agit des « opérations visant à la mise en œuvre pour le compte d’autrui de moyens de cryptologie ». Une prestation contrôlée est spécialement définie par le décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code civil et relatif à la signature électronique : elle consiste à émettre des certificats électroniques de signature électronique qualifiés pour permettre d’apposer des signatures présumées fiables sur des documents électroniques. Hors ce cas de figure, une prestation de cryptologie contrôlée consiste en l’opération suivante : le prestataire se voit remettre par son client des données claires. Il les chiffre pour le compte de son client et les conserves, ou les remet aux destinataires que le client lui a indiqués. La définition de la prestation de cryptologie reste large et on peut se demander quelles prestations fournies sur les réseaux sans fil impliquent la cryptographie et pourraient être réglementées.

La première prestation qui vient à l’esprit concerne les réseaux de téléphonie sans mobiles. L’utilisateur appellant, confie des données claires, que l’opérateur va chiffrer et remettre à l’appelé qui est le destinataire indiqué par l’appellant. Mais le décret n° 2007-663 du 2 mai 2007 annexe 1 catégorie 15 et 4 prévoit que les prestations mettant en œuvre des téléphones mobiles sont exemptées de contrôle. On peut se demander si les prestations d’accès aux réseaux sans fil en utilisant une infrastructure à base de produits répondant aux normes 802.11x pourraient faire l’objet de la déclaration prévue par l’article 31 de la LCEN.

Le cas d’espèce concerne aussi bien les entreprises qui déploient des réseaux sans fil en recourant à des prestataires externes que les opérateurs de télécommunications qui installent des hot spot dans des lieux publics. L’annexe 1 catégorie 15 du décret 2007-663 n’exempte pas expressément les prestations mettant en œuvre ces matériels.Pour autant, le contrôle ne doit pas toucher une prestation qui se limite à fournir et mettre en service un moyen de cryptologie (en l’occurrence les bornes d’accès et routeurs) ou à en assurer la maintenance et l’administration. Ce type de prestation relèverait de la simple mise à disposition. Or la fourniture de produits réseaux basés uniquement sur les normes 802.11 a, b ou g est dispensée de déclaration par l’annexe 1 catégorie 11 du décret 2007-663. De plus, les usagers ne font qu’utiliser ces réseaux pour accéder à Internet, à l’intranet de leur entreprise ou à leur courrier électronique. Et l’article 30 I de la LCEN dispose précisément que l’utilisation de moyen de cryptologie est libre. En conséquence, les prestations qui mettent simplement en œuvre des produits réseaux aux normes 802.11x ne seront pas soumis à déclaration.

En revanche, une prestation de fourniture de certificats électroniques par des réseaux sans fil, sur carte à puce ou sur carte RFID relèvera de l’article 31 de la LCEN et devra être déclarée. Dans ce cas le réseau sans fil sera le vecteur et cette prestation devra être déclarée en raison de son objet et pas seulement à cause du vecteur qu’elle utilise.Cependant si le prestataire choisi ce mode de distribution il doit s’acquitter de la déclaration préalable.

Modalités de déclaration de prestations de cryptologie

Le décret n°2007-663 du 2 mai 2007 et l’arrêté du 25 mai 2007 [4] organisent la procédure de déclaration des prestations de cryptologie. Le déclarant doit envoyer son dossier à la direction centrale de la sécurité des systèmes d’information (DCSSI) deux mois avant de commencer sa prestation. Le dossier à envoyer, décrit à l’annexe II (DP) de l’arrêté du 25 mai 2007, se compose d’une partie administrative et d’une partie technique et est téléchargeable sur le site de la DCSSI [5].  En plus du dossier administratif, des éléments techniques doivent être décrits dans la déclaration de prestation :

1. les services offerts aux utilisateurs de la prestation ;
2. les fonctions cryptologiques mises en œuvre par le prestataire ;
3. les locaux utilisés pour mettre en œuvre la prestation ;
4. le matériel et des logiciels informatiques et notamment des moyens de cryptologie utilisés par le prestataire ;
5. les systèmes de protection physique et de contrôle d’accès aux locaux et aux systèmes informatiques du prestataire ;
6. lorsque la prestation consiste en la gestion de clés cryptographiques ou de certificats électroniques au profit des utilisateurs :

• la procédure de génération des clés et des certificats ;
• la procédure de distribution et de remise des clés et des certificats aux utilisateurs ;
• les mesures techniques et organisationnelles mises en œuvre pour la protection et la conservation des clés ;
• la procédure de recouvrement des clés (uniquement pour le service de confidentialité) ;
• les références des moyens de cryptologie mis en œuvre par les utilisateurs de la prestation lorsque ces moyens sont spécifiquement conçus pour fonctionner avec les clés ou les certificats délivrés par ce prestataire.

La DCSSI enregistre et donne un numéro au dossier. S’il est complet, elle peut délivrer une attestation confirmant au prestataire déclarant qu’il s’est acquitté de son obligation de déclaration. A défaut, le silence de la DCSSI durant deux mois (articles 5 et 8, alinéa 1 du décret du 2 mai 2007) délivre le prestataire déclarant de son obligation déclarative. Si le dossier est incomplet, la DCSSI dispose d’un délai de deux mois (article 8, alinéa 1 du décret) pour inviter le déclarant à fournir les pièces complémentaires. Tant que le dossier de déclaration est incomplet, le déclarant ne peut pas commencer à fournir sa prestation. Une fois la réponse reçue par la DCSSI, celle-ci peut faire une nouvelle demande dans un délai de deux mois, délivrer l’attestation, ou bien conserver le silence pendant deux mois. Dans ces deux derniers cas, la déclaration est considérée comme complète et la fourniture de la prestation peut commencer.

Sanctions

L’article 13 du décret du 2 mai 2007 prévoit que la fourniture de prestation sans déclaration préalable est punie d’une contravention de cinquième classe, soit 1 500 euros d’amende. Ces infractions peuvent se cumuler, ainsi le fait de fournir plusieurs prestations multipliera l’infraction. En revanche, seule la jurisprudence pourra dire si le fait de fournir la même prestation à plusieurs clients est susceptible de multiplier la contravention. Enfin, seule la fourniture de prestation est soumise a déclaration. L’importation, les transferts intracommunautaires et les exportations de prestations de cryptologie ne sont pas réglementés.

Nicolas Magnin, Juriste spécialiste de la Sécurité des Systèmes d’Informations

Pour aller plus loin

[1] Cf lettre Réseaux sans fil n° 12, Editions Techniques de l’Ingénieur, (Mars-avril 2008)
[2] http://www.ssi.gouv.fr
[3] MAGNIN N. – Réglementation en matière de cryptologie, Editions Techniques de l’Ingénieur, base documentaire Sécurité des systèmes d’information, H 5060 traité (2008).
[4] http://www.legifrance.gouv.fr pour consulter les textes de la LCEN, du décret n° 2007-663 et de l’arrêté du 25 mai 2007.
[5] http://www.ssi.gouv.fr/fr/reglementation/dossier.html