Discussion :

[DegubError]

Bonjour, voila je développe actuellement un logiciel de télédistribution dans le but de monter ma société. Pour protéger ce logiciel je crypte mes communications (RSA + de 512bits, SHA1 et AES128). J'ai lu sur le site du gouvernement (français) que dans le cadre du chiffrement de communication (cad établir un canal sécurisé), on était sousmis à aucune régle en matière de taille de clef et qu'il n'était pas nécessaire de déclarer le produit. Cela fait plus d'un mois que je leur ai envoyé un courrier afin de vérifier que j'avais bien compris les indications de leur site (un peu flou), sans nouvelle .. si quelqu'un, s'y connaissant bien dans le domaine, pourrait me renseigner à ce sujet, ça serait très gentil.

[Cyr1c]

Je ne suis pas expert, mais l'utilisation d'outils de crypto n'est pas sousmise a une declaration, seule la creation d'outils est sousmise a une declaration. Car faut savoir que les outils de cryptos sont considérés comme des armes et relevent directement avec le service du ministere de la defense (et faut leur livrer l'outil de decryptage associé).

Par contre, il est preferable que tu utilises un outil francais (la liste est dispo sur le site du ministere de la defense) de facon a eviter que les systemes d'espionnage industriels (americains principalement) tels que Echelon puissent decrypter tes communications (vu que les outils de cryptos sont ricains, ils possedent les outils de decryptages).

Tout depend le niveau de confidentialité, mais si tu transmet des donnees tres sensibles (donnees sur des brevets, technologies en recherche et developments, donnees commerciales sensibles, donnees ministerielles etc...) le mieux est de contacter les services de la DST (c'est gratuit apparement)

[subtil311]

Je ne suis pas expert, mais l'utilisation d'outils de crypto n'est pas sousmise a une declaration, seule la creation d'outils est sousmise a une declaration. Car faut savoir que les outils de cryptos sont considérés comme des armes et relevent directement avec le service du ministere de la defense (et faut leur livrer l'outil de decryptage associé).

Par contre, il est preferable que tu utilises un outil francais (la liste est dispo sur le site du ministere de la defense) de facon a eviter que les systemes d'espionnage industriels (americains principalement) tels que Echelon puissent decrypter tes communications (vu que les outils de cryptos sont ricains, ils possedent les outils de decryptages).

Tout depend le niveau de confidentialité, mais si tu transmet des donnees tres sensibles (donnees sur des brevets, technologies en recherche et developments, donnees commerciales sensibles, donnees ministerielles etc...) le mieux est de contacter les services de la DST (c'est gratuit apparement)

De quels outils de decryptage tu parles? Les algorithmes de chiffrement sont publics donc a partir du moment ou tu es le seul a connaitre la clé je vois pas comment il peut y avoir des outils de decryptage sans que l'algorithme soit cassé. A moins que le soft garde un log des clés privées mais c'est un peu gros quand meme Oo.

[DegubError]

En effet je n'utilise que des algorithmes public qui sont parfaitement connus. Le but dans mon soft est simplement de chiffrer les communications pour éviter toute attaque de type "man in the middle" où quelqu'un tenterait de se faire passer pour le serveur (ou son relais) de télédistribution et déployerait des applications non autorisés. Concernant les outils je n'en utilise aucun, vu que j'ai tout développé moi même, partant des informations données sur les algorithmes. Sachant qu'ils sont tous dans le domaine public (RSA, AES & SHA1) je peux utiliser leur implémentation sans problème. Mais pour éviter tout problème ultérieur j'ai cherché à vérifier si la loi française n'imposer pas la divulgation de clef (qui serait difficile pour moi, car les clef RSA sont générée à l'install et les clef AES sont généré aléatoirement à chaques communications pour chaque client) [en qqsorte du SSL sur une base de crypto pré-établi]. Apparemment d'après ce que j'ai compris le chiffrement des communications dans le but d'établir un canal sécurisé entre 2 machines ne serait sousmis à aucune déclaration.

J'ai bien tenté de les contacter par mail mais sans réponse, je voulais simplement avoir une confirmation d'une société, d'un juriste ou simplement de quelqu'un dans le même cas que moi avant de me lancer définitevement.

[Cyr1c]

De quels outils de decryptage tu parles? Les algorithmes de chiffrement sont publics donc a partir du moment ou tu es le seul a connaitre la clé je vois pas comment il peut y avoir des outils de decryptage sans que l'algorithme soit cassé. A moins que le soft garde un log des clés privées mais c'est un peu gros quand meme Oo.

Je t'avoues que moi aussi je suis sceptique par rapport a ca, mais c'est un capitaine de la DST qui a bien insisté la dessus lors d'un seminaire sur la securité et l'espionnage industriel (l'intelligence economique pour employer le terme exact). Le type nous a d'ailleurs indiqué qu'il etait preferable de ne pas crypter ses donnees plutot que de les crypter avec un logiciel non francais, car ca indiquerait aux systemes d'espionnage que les informations sont justement utiles.

D'un autre cote, il ne faut pas etre naif, l'espionnage industriel, meme pour une pme ca existe, le gars nous a sorti des dizaines d'exemples. le pire etant les drafts de brevets qui circulent par email, Echelon ce n'est pas de la science fiction hein... la quasi totalite des echanges electroniques sont captes (mais seuls 30% sont traites si mes souvenirs sont bons) et les cables trans-atlantique pour les communication internet sont cribles de sondes espionnes.

Mais pour en revenir au probleme, si tu implementes toi meme des algorithmes existants, il faudrait que tu verifies en effet. Je n'ai pas plus d'infos si ce n'est que chaque logiciel de cryptographie est considere comme une arme et sousmis a la juridiction du ministere de la defense. Apres, concernant les algos publics, je pense que ca rentre en compte, car ces algorithmes proviennent justement d'appels d'offres du gouvernement americain (AES est justement issu d'un appel d'offre du gouvernement americain)

Je pense que tu es deja aller voir, mais il y a beaucoup d infos sur le site de la Direction centrale de la sécurité des systèmes d'information http://www.ssi.gouv.fr/fr/dcssi/

et ca pourrait peut etre t'aider : http://www.ssi.gouv.fr/fr/reglementa...gl_crypto.html