0-Modèle

Histoire du CTA, et de sa création… on verra plus tard 🙂

Loi sur la Sécurité Quotidienne (LSQ)du 15 novembre 2001 : au terme de ce texte plusieurs articles du CPP sont créés dans un chapitre unique intitulé « de la mise au clair des données nécessaires à la manifestation de la vérité ».

Décret du 7 août 2002 en application de la LSQ : porte création de l’organisme et lui donne un nom : le Centre Technique d’Assistance (CTA).

Loi du 18 mars 2003 sur la Sécurité intérieure (LSI) : pérennise la procédure de mise au clair des données. Dans son article 31, cette loi modifie l’article 22 de la loi de 2001 en énumérant limitativement les dispositions faisant l’objet d’une limitation dans la durée. A contrario les autres articles de la LSQ ne connaissent pas de limitation dans le temps.

L’application de l’article 31 de la loi du 18 mars 2003 entraîne l’abrogation de la limitation de durée qui pesait sur le chapitre V de la LSQ et notamment sur son article 30, pérennisant par voie de conséquence tant la modification du CPP que le décret instituant le CTA.

Loi du 21 juin 2004 pour la confiance en l’économie numérique (LCEN) : Cette Loi mets en place le mode de saisine judiciaire du CTA (art 230-1 à 230-5 du CPP).

Cette Loi sera modifiée en 2014 pour permettre au OPJ sur instruction de leur magistrat de saisir le CTA et en 2016 pour autoriser le CTA à briser les scellés judiciaires.

Décret du 09 mai 2014 : Ce décret place le CTA sous l’autorité du Directeur Général de la Sécurité intérieure.

Loi du 03 juin 2016 renforçant la lutte contre la GCO : dans son article 17, cette Loi modifie l’article 230-2 et permet au CTA de briser lui même les scellés judiciaires confiés. Cette même Loi permet également au CTA d’être saisi directement par le requérant sans passer par l’OCLCTIC.

SECRET DEFENSE :

La confidentialité des informations détenues par le CTA, les moyens mis en œuvre par le CTA sont soumis au secret de la défense nationale. La loi précise que les données protégées à ce titre ne peuvent être communiquées que dans les conditions prévues par la loi n°98-567 du 8 juillet 1998 constituant une commission consultative du secret de la défense nationale. Seuls les personnels du CTA ont accès aux moyens qui permettent l’obtention de la version en clair des données ayant fait l’objet d’opérations de transformation.

Pour la CNIL, la reconnaissance légale des logiciels espions par la LOPPSI2 constitue une « importante exception » aux principes de la loi du 6 janvier 1978 relative à la protection des données personnelles. Ces atteintes doivent donc être « proportionnées au but poursuivi ». En Allemagne, la cour constitutionnelle fédérale a limité, en 2008, les intrusions policières à des situations de menace concrète » en matière d’enlèvement, de meurtre ou d’atteinte aux intérêts fondamentaux de la nation.

L’Homme a perçu le besoin de cacher, de dissimuler des informations personnelles ou confidentielles, cela bien avant l’ère de l’informatique. Ainsi est apparue la cryptographie, puis la cryptologie.

La cryptographie (ou écriture secrète) semble être née spontanément dès que, dans un pays, une partie importante de la population a su lire.

Historiquement, la cryptographie s’est surtout développée en Orient, et ensuite en Occident (République de Venise, en France sous Louis XIV avec Antoine ROSSIGNOL concepteur du « grand chiffre », en Angleterre avec Francis BACON)

Entre 1800 et 1970, on assiste à l’essor des communications. Les nouvelles techniques (moyens de transport rapide, les journaux, le télégraphe, la télégraphie sans fil) donnent une nouvelle impulsion à la cryptologie. Les guerres modernes utilisent abondamment les télécommunications ; l’interception devient simple et le décryptement des messages devient vital : la cryptologie entre dans son ère industrielle. En 1918, Arthur SCHERBIUS fait breveter sa machine à chiffrer ENIGMA, qui sera ensuite reprise par l’Allemagne nazie.

Pendant la seconde guerre mondiale, les messages allemands furent régulièrement décryptés (notamment par Alan TURING) par l’équipe de scientifiques basée à Bletchley Park au profit des services de renseignement anglais. A la même époque, l’américain William Frederick FRIEDMAN (honoré comme le père de la cryptanalyse américaine) qui dirige une équipe au sein du SIS (Signal Intelligence Service) réussit le décryptement de la machine à chiffrer japonaise PURPLE.

Les ordinateurs et le réseau Internet font entrer la cryptologie dans son ère moderne. La grande invention de ces dernières années fut la cryptographie à clé publique. Le futur sera peut-être la cryptographie quantique, définitivement indéchiffrable.

En 1976, Whitfield DIFFIE et Martin HELLMAN publient « new direction in cryptography » et introduisent l’idée de cryptographie à clé publique (une solution innovante pur l’échange des clés) ; ils avancent également celle d’authentification à l’aide d’une fonction à sens unique.

1976 voit aussi l’émergence de l’algorithme à clé privée DES (Data Encryption Standard) qui sert à la cryptographie et à l’authentification de données. Il a été étudié intensément et est devenu l’algorithme le mieux connu et le plus utilisé dans le mande à ce jour. Certaines entreprises utilisent le « triple DES » qui n’est rien d’autre que l’algorithme DES appliqué trois fois, avec trois clés privées différentes.

En 1977, apparaît l’algorithme à clé publique RSA (Rivest, Shamir, Adleman) qui sert aussi bien à la cryptographie de documents qu’à l’authentification. En 1990, c’est au tour de la cryptographie quantique (associée à la fibre optique). En 1991, Phil ZIMMERMANN sort sa première version de PGP en réponse à la menace du FBI d’exiger l’accès aux messages en clair des citoyens. PGP offre une haute sécurité au citoyen et cela gratuitement (freeware). La philosophie qui sous-tend la diffusion du logiciel est que tout individu a droit à la confidentialité, notamment les organisations des droits de l’Homme dans des pays soumis à la dictature. Cette mise à disposition lui a valu de sérieux ennuis avec la justice américaine, car les logiciels de cryptages sont considérés comme du matériel de guerre et sont interdits à l’exportation.

En 2000, l’algorithme de chiffrement symétrique AES (Advanced Encryption Standard) remporte le concours que la NIST avait lancé en 1997 (National Institute of Standards and Technology) et devient le nouveau standard de chiffrement pour les organisations du gouvernement des USA. Il a également été approuvé par la NSA pour le traitement des information ‘top secret ». Dès lors, l’AES remplace le DES.

Le nouveau système d’exploitation « Windows Vista » de Microsoft, dans ses versions Enterprise (édition entreprise) et Ultimate (édition intégrale) implémente une nouvelle fonctionnalité appelée « BitLocker Drive Encryption ».
Quand cette fonction est activée sur un ordinateur, l’intégralité des données du disque dur est chiffrée en temps réel de manière totalement transparente pour l’utilisateur.
De plus, le processus de vérification d’intégrité du matériel qui démarre en premier permet de garantir que le déchiffrement des données n’est possible que si l’architecture de l’ordinateur n’a pas été modifiée. En d’autres termes, il vérifie que le disque dur chiffré se trouve bien dans l’ordinateur d’origine (cas d’un ordinateur équipé d’une puce TPM).
La clé utilisée par le système pour déchiffrer les données du disque est stockée sur le disque dur et est chiffrée elle-même par une clé qui est enregistrée soit :
– directement dans la puce TPM
– dans le couple puce TPM + clé USB
– directement dans une clé USB pour les ordinateurs ne disposant pas d’une TPM.
Ainsi, en présence d’un ordinateur de ce type la simple copie bit à bit du disque dur est inexploitable en l’état, il conviendra donc de faire parvenir au CTA l’unité centrale dans son intégralité avec si nécessaire les clés USB associées.

SYSTÈME DE CHIFFREMENTEXTENSIONS
PGP.pgp, .skr, .pkr, .asc, .pgd
GnuPG.gpg
Bestcrypt.jbc
Security – Box.box,
.sbox
Axcrypt.axx
Kremlin – Encry

Étymologiquement la cryptologie c’est la science du secret. Art ancien, on retrouve la cryptologie à toutes les époques (ex : chiffre de César et plus proche de notre époque la machine ENIGMA utilisée par l’Allemagne nazie).

Il est une constante de cette science ou cet art comme l’on préfère : elle a toujours été liée au pouvoir.

En France, la cryptologie a longtemps été considérée comme une arme de guerre. Le décret de 1930 la classait comme une arme de 2ème catégorie. Le régime n’évolua pas jusqu’en 1990, année au cours de laquelle fût promulguée la loi de réglementation des télécommunications (LRT). Il s’ensuit que la cryptologie n’est plus le domaine réservé des militaires et que les usages civils deviennent possibles.

C’est également à cette époque que la distinction essentielle entre authentification, intégrité et confidentialité apparaît.

Cette évolution ne doit pas masquer la réalité de la volonté de l’État de poursuivre un contrôle étroit de cette question. Cela se manifeste avec la politique restrictive menée par le SCSSI (Secrétariat Central de la Sécurité des Systèmes d’Information), organisme de contrôle directement rattaché au Premier ministre (responsable de la Défense) qui cherche à endiguer les utilisations civile et commerciale des moyens de chiffrement.

Le législateur de 1990 voulait préserver les intérêts de la Défense nationale et de la sécurité intérieure et extérieure de l’État. En liant la cryptologie à la Défense nationale, la loi de 1990, crée un régime inadapté (identique à celui de la Chine, de la Corée du nord ou encore de l’Iran) que la loi de 1996 tentera d’assouplir.

La loi sur les télécommunications de 1996 pose le principe du libéralisme. Il n’en demeure pas moins que l’État n’entend pas abandonner toutes ses prérogatives. Il en résulte un régime, certes en partie libéral, mais très complexe. Pas moins de six cadres sont créés. Personne ne s’y retrouve. Sur certains aspects le contrôle demeure très strict. C’est notamment le cas des clés de chiffrement limitées à 64 bits. Les décrets de 1999 assouplissent cette disposition en portant la limite à 128 bits. En réalité, l’État ne veut voir en circulation que des biens chiffrés contrôlables (détention de la clé de chiffrement, ou capacité de casser le chiffre avec une puissance de calcul raisonnable). Peine perdue : l’effet PGP, le développement exponentiel des NTIC, les progrès de la protection de la vie privée, la volonté des particuliers de la protéger, poussent l’État français à ce qu’il ne voulait pas : libéraliser quasi complètement la cryptologie. C’est la LCEN (Loi sur l’Économie Numérique) qui aboutit à ce résultat.

La création du CTA est la conséquence directe de l’avènement du nouveau régime des biens de cryptologie (image du miroir inversé).

Publié par Mysteris