Interview de Ghislaine Labouret

Comment utiliser la norme IPsec, compte tenu de la législation française en matière de cryptographie
Ghislaine Labouret, consultante en sécurité informatique chez HSC

Network News : La norme IPsec annonce-t-elle la fin des solutions propriétaires de cryptage dans les RPV ?

Ghislaine Labouret : À terme, les solutions propriétaires sont vouées à disparaître car elles ne font pas le poids face à des solutions basées sur une norme, lesquelles solutions présentent deux avantages de taille : une garantie d’interopérabilité entre les équipements de différents fournisseurs et une sécurité reconnue. La libéralisation de la cryptographie, en enlevant toute raison d’être aux solutions franco-françaises, devrait accélérer l’évolution naturelle vers des solutions basées sur des normes.

N.N. : En France, dans quel cadre peut-on utiliser des produits IPsec ?

G.L. : La législation française en vigueur avant la parution des récents décrets n’empêche pas complètement l’utilisation d’IPsec dans la mesure où ce dernier peut être fourni et utilisé avec des algorithmes présentant une longueur de clé maximale de 40 ou 56 bits. Il existe déjà actuellement plusieurs produits incluant IPsec qui ont obtenu une autorisation de fourniture en France, comme Firewall-1 de Check Point. En revanche, il est certain que cette législation a freiné l’utilisation d’IPsec et des produits de VPN en général dans la mesure où les restrictions et les démarches imposées ont empêché le marché de se développer. La libéralisation actuelle, en atténuant les obstacles, devrait pousser les fournisseurs à s’intéresser de plus près au marché français et favoriser l’usage en France de ces technologies qui connaissent une véritable explosion aux États-Unis.

N.N. : Justement, que permettent exactement les nouveaux décrets ? Reste-t-il encore des freins à l’utilisation de la cryptographie ?

GL : La loi prévoit trois procédures : demande d’autorisation, déclaration préalable ou dispense de formalités. Pour les entreprises et les particuliers situés en France, l’importation et l’utilisation de moyens de chiffrement utilisant des clés d’une taille inférieure ou égale à 40 bits sont totalement libres, seule la fourniture requiert une déclaration préalable ; cette taille de clé est cependant largement insuffisante de nos jours.
Entre 40 et 128 bits, l’importation et l’utilisation sont désormais libres pour un usage privé par une personne physique ou, si le produit a fait l’objet d’une déclaration préalable, par son fournisseur ou par un importateur. Cela devrait conduire à l’apparition sur le marché français de produits qui, parce qu’ils ont fait l’objet d’une déclaration de la part de leur fournisseur, pourront être utilisés sans formalité par les entreprises.
Compte tenu du fait qu’une longueur de clé de 128 bits représente actuellement un bon niveau de sécurité et que la plupart des produits d’usage courant dans le monde de l’Internet ont recours à des clés de cette taille, les décrets du 17 mars, s’ils ne lèvent pas toutes les restrictions, constituent néanmoins une libéralisation réaliste et adéquate pour un usage pratique de la cryptographie.

N.N. : Que conseillez-vous aux entreprises qui veulent utiliser un "cryptage fort" ?

GL : Les États-Unis ne sont pas la seule source de produits incluant du chiffrement. En outre, certains fournisseurs basés aux États-Unis peuvent obtenir des autorisations d’exportation pour des produits incluant du chiffrement avec des clés de plus de 56 bits. Certains choisissent même de développer leurs produits hors des États-Unis. Enfin, il ne faut pas oublier les nombreux logiciels libres développés, disponibles sans restrictions hors des États-Unis (PGP, SSH, etc.). Les possibilités d’utiliser du "cryptage fort" sont donc réelles.