Première
Précédente
ARCHIVÉE — Partie 2 : La politique actuelle en matière de cryptographie au Canada
Information archivée dans le Web
Information identifiée comme étant archivée dans le Web à des fins de consultation, de recherche ou de tenue de documents. Elle n’a pas été modifiée ni mise à jour depuis la date de son archivage. Les pages Web qui sont archivées dans le Web ne sont pas assujetties aux normes applicables au Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez la demander sous d’autres formes. Ses coordonnées figurent à la page « Contactez-nous »
Politique cadre en matière de cryptographie aux fins du commerce électronique : Pour une économie et une société de l'information au Canada
Industrie Canada
Février 1998
- Pour une nouvelle politique en matière de chiffrement
- Infrastructure à clé publique du gouvernement du Canada
- Examen de la politique canadienne en matière de chiffrement
Par le passé, la cryptographie était presque exclusivement la chasse gardée des gouvernements. Elle était employée afin de protéger les secrets militaires ou diplomatiques et était généralement intégrée au matériel. La politique cadre actuelle du Canada a été instaurée dans ce contexte et c'est pourquoi elle se limite à des contrôles d'exportation de cryptographie.
Le Canada est l'un des 33 pays signataires d'une entente (l'Arrangement de Wassenaar)14, qui exige le contrôle des exportations d'une longue liste de « marchandises à double usage » 15, y compris la cryptographie. Le Canada a tenu compte de cet arrangement dans son régime national16, qui limite l'exportation de matériel ou de logiciels de chiffrement personnalisés. Le règlement canadien sur le contrôle des exportations est destiné à empêcher la circulation de certains produits susceptibles de nuire aux intérêts stratégiques du Canada ou de ses alliés.
Jusqu'à tout récemment, les produits matériels ou logiciels de chiffrement personnalisés à clé de 40 bits ou moins pouvaient être exportés. Les institutions bancaires et financières étaient autorisées à exporter des produits DES de 56 bits. Le 24 décembre 1996, le Canada a modifié sa politique pour une période d'essai de 12 mois, et autorisé l'exportation, vers la plupart des pays, de logiciels de chiffrement personnalisés de 56 bits et de matériel comportant un logiciel de chiffrement. Cette période a été prolongée jusqu'au 30 juin 1998.
Le Canada ne limite pas l'exportation de produits de signature numérique et, à l'instar de la plupart des signataires de l'Arrangement de Wassenaar, il permet l'exportation de logiciels à grande diffusion ou de logiciels du domaine public utilisés à des fins de chiffrement17, de n'importe quelle puissance. Le Canada autorise l'exportation vers les États-Unis de toute quantité de logiciels de chiffrement personnalisés ou de matériel comportant un logiciel de chiffrement intégré (comme le font les États-Unis à l'égard du Canada), et aucune licence d'exportation n'est requise.
Il n'existe, au Canada, aucun obstacle à l'importation ou à l'utilisation de produits cryptographiques. Les particuliers et les entreprises y sont libres d'utiliser et de vendre des logiciels de chiffrement de n'importe quelle puissance. L'exportation de produits cryptographiques aux fins d'utilisation par des citoyens canadiens ou des firmes canadiennes à l'étranger, quoique contrôlée, est habituellement autorisée.
Pour une nouvelle politique en matière de chiffrement
Compte tenu des changements dans l'offre et la demande mondiales de produits cryptographiques, il est impératif de revoir la politique. Aujourd'hui, les entreprises et les particuliers utilisent de plus en plus de produits cryptographiques puissants qu'on peut se procurer sous forme de logiciels scellés à grande diffusion ou de logiciels du domaine public offerts sur Internet. La demande mondiale de produits cryptographiques augmente, et de nombreux pays commencent à en concevoir et à en fabriquer. Simultanément, les autorités policières et les services de sécurité nationale s'inquiètent des profondes répercussions qu'aura, sur leurs enquêtes, l'utilisation généralisée de produits de chiffrement puissants leur interdisant toute forme d'accès. Nombreux sont les pays qui revoient leur politique en matière de cryptographie à la lumière de ces pressions et du rôle de ces technologies dans le commerce électronique.
Devant ces pressions, le gouvernement fédéral a demandé au Comité consultatif sur l'autoroute de l'information (CCAI) de lui fournir un avis sur les mesures requises afin de satisfaire aux exigences en matière de sécurité propres au commerce électronique.
Dans son rapport de septembre 199518, le Comité a vu le besoin d'adopter une technologie et une structure juridique garantissant la protection et la confidentialité des renseignements personnels, financiers et sensibles, qu'ils soient conservés dans des bases de données ou transmis par des réseaux publics. Le Comité a demandé :
- la tenue de consultations publiques, afin de déterminer la meilleure façon de concilier l'utilisation et la circulation légitimes de données, la protection des renseignements personnels, les droits civils, les droits de la personne, l'application de la loi et les intérêts en matière de sécurité nationale dans une politique sur la sécurité nationale;
- un niveau de sécurité de base sur l'autoroute de l'information qui garantisse l'intégrité et l'authentification des messages, ainsi que des mesures raisonnables quant à la protection des communications à caractère privé et à la protection des renseignements personnels;
- un examen public des algorithmes et des normes de chiffrement, et la liberté de les choisir;
- un partenariat entre le gouvernement fédéral, les provinces et territoires, le secteur privé et d'autres intervenants afin d'établir des normes de sécurité acceptables pour tous et d'essayer de les faire reconnaître au Canada et à l'étranger par les partenaires commerciaux du Canada;
- un rôle de premier plan pour le gouvernement fédéral, qui mettra au point des services assurant la protection des renseignements personnels, leur intégrité et leur authentification sur l'autoroute de l'information, en créant une infrastructure à clé publique uniforme répondant à ses besoins.
Le gouvernement fédéral a donné sa réponse initiale en mai 1996 dans un rapport intitulé La société canadienne à l'ère de l'information : Pour entrer de plain-pied dans le XXIe siècle19. Il y souligne l'importance du commerce électronique, moyen qu'il préfère entre tous pour faire des affaires, à l'interne et à l'extérieur. Il s'y engage également à travailler en étroite collaboration avec le secteur privé, les autres pouvoirs publics et d'autres intervenants afin d'élaborer et de mettre en œuvre des politiques, des normes et des protocoles en vue de la création d'un système de commerce électronique étendu et fonctionnant sans accroc.
Infrastructure à clé publique du gouvernement du Canada
L'Infrastructure à clé publique (ICP) du gouvernement du Canada20 est au centre de cette initiative. En effet, c'est elle qui servirait de base à l'utilisation des signatures numériques et au déroulement sécuritaire des transactions électroniques internes et externes. Plusieurs ministères et organismes gouvernementaux participent activement à la mise au point de l'ICP et à l'implantation de ses technologies de base. Chaque ministère utilise les technologies de l'ICP et établit des autorités de certification afin d'assurer la protection de ses fichiers et de ses communications par réseau aux fins d'applications commerciales électroniques telles que le courrier électronique, l'échange de données, l'accès aux bases de données et les interactions sur le Web. L'ICP du gouvernement du Canada sera entièrement opérationnelle à la fin de 1998.
Cette ICP reliera le secteur privé et les ICP institutionnelles adhérant aux mêmes normes de protection des renseignements personnels, d'intégrité et de sécurité, afin d'assurer aux Canadiens des transactions électroniques sûres, faciles et ininterrompues. La meilleure façon d'y parvenir consistera à travailler en partenariat avec l'industrie et d'autres paliers de gouvernement, et à respecter les normes et pratiques reconnues à l'échelle internationale.
Si l'on veut que l'ICP remplisse ses fonctions tant pour le gouvernement fédéral que pour les particuliers qui veulent accéder aux services fédéraux, il faut instaurer un cadre juridique qui régira les signatures numériques. Le gouvernement examine les modifications qu'il faudra apporter à la législation fédérale pour reconnaître l'utilisation des signatures numériques et des dossiers électroniques et lever les obstacles juridiques à la prestation de services électroniques.
Examen de la politique canadienne en matière de chiffrement
Le gouvernement est en train d'examiner la politique en matière de cryptographie en vigueur au Canada et surtout la question du chiffrement aux fins de confidentialité. Les observations du public au sujet du présent document de discussion seront donc du plus haut intérêt pour l'orientation de cet examen.
Le gouvernement s'engage à élaborer un cadre stratégique harmonieux, conforme aux lignes directrices de l'OCDE régissant la politique de cryptographie21, qui protège l'information vitale de nature économique et financière détenue par le secteur privé canadien, assure la protection des renseignements personnels et la liberté d'expression, et préserve la sécurité publique et la sécurité nationale.
La version révisée de la politique en matière de cryptographie devrait en particulier :
- permettre de bénéficier des avantages économiques et sociaux qui découleront d'un commerce électronique mondial devenu plus sûr grâce à la cryptographie;
- donner aux entreprises et au public confiance dans les autorités de certification, les autres fournisseurs de services cryptographiques et les fournisseurs de produits cryptographiques au Canada;
- résoudre les problèmes posés par la demande d'accès légitime aux communications chiffrées en temps réel et aux données chiffrées stockées;
- résoudre le problème auquel se heurtent les organismes nationaux de sécurité chargés de la collecte de données, en raison de la diffusion internationale de produits de cryptographie puissants.
Les sections qui suivent présentent les principaux facteurs dont il faudra tenir compte dans l'élaboration de la nouvelle politique. Sont ensuite exposées trois séries de solutions aux fins d'évaluation et de commentaires.
14 Les lignes directrices du Canada portant sur le contrôle des exportations ont été adoptées sous la forme d'un régime national conforme aux obligations internationales du Canada précisées par le Comité de coordination du contrôle des échanges stratégiques (COCOM), dont le Canada est membre depuis 1950. Le COCOM avait au départ pour mandat de préserver la supériorité technologique de l'Occident en réduisant l'exportation des technologies militaires, nucléaires et à double usage des nations industrielles occidentales vers l'Union soviétique et d'autres pays communistes. Le COCOM a été aboli le 31 mars 1994 et remplacé par une entente modifiée. L'Arrangement de Wassenaar relatif au contrôle multilatéral des exportations pour les armes conventionnelles et les marchandises et technologies à double usage (d'après la ville du même nom située à proximité de La Haye, où cinq séries de négociations ont eu lieu entre 1993 et 1995), vise à fournir un cadre permettant de faire échec aux nouvelles menaces à la sécurité dans le monde de l'après-guerre froide.
15 Les produits à double usage ont des applications militaires et civiles.
16 Les pouvoirs légaux ont été conférés en vertu de la Loi sur les licences d'exportation et d'importation de 1947. L'alinéa 3d) de la Loi, « mettre en œuvre un accord ou un engagement intergouvernemental », est invoqué afin d'ajouter des articles à la Liste des marchandises d'exportation contrôlée, qui est un règlement. L'Arrangement de Wassenaar, y compris les articles sur la cryptographie, constitue l'« accord intergouvernemental » en question mis en œuvre en vertu de la Loi susmentionnée.
17 La note générale sur les logiciels, formulée en vertu du COCOM dans les années 1980, est intégrée à la liste de contrôle de l'Arrangement de Wassenaar, bien qu'elle ait pour but d'exclure certains articles de l'Arrangement (c'est-à-dire les soustraire aux contrôles). L'effet de cette note, en ce qui a trait à la cryptographie, est d'exclure des contrôles tous les logiciels de grande diffusion et du domaine public, seule l'exportation d'applications logicielles personnalisées et de matériel étant sujette au contrôle. Certains analystes affirment que la Note a été formulée à une époque où peu de gens avaient conscience du rôle prépondérant que joueraient les logiciels de cryptographie de masse ou du domaine public. Cinq pays, dont les États-Unis et le Royaume-Uni, dérogent à la Note et contrôlent l'exportation de ces logiciels.
18 Contact, communauté, contenu : Le défi de l'autoroute de l'information. Rapport du Comité consultatif sur l'autoroute de l'information, septembre 1995. Disponible à l'adresse suivante : (http://strategis.ic.gc.ca/CCAI).
19 La version intégrale du rapport peut être consultée à l'adresse suivante : (http://strategis.ic.gc.ca/CCAI).
20 Livre blanc sur l'Infrastructure à clé publique du gouvernement du Canada, Centre de la sécurité des télécommunications, mai 1997 (http://www.cse-cst.gc.ca/cse/francais/gov.html).
21 Le Canada a participé en 1997 à l'élaboration des lignes directrices de l'OCDE régissant la politique de cryptographie (http://www.oecd.org/dsti/sti/it/secur/index.htm). Il s'agit d'une série de huit principes dont les pays devraient tenir compte en élaborant leur cadre stratégique.
- Date de modification :
