Les outils de chiffrement face à la déclaration à l'ANSSI, une exception française

Aspirine et dictionnaire de français 25
Accès libre
image dediée
Crédits : seb_ra/iStock/Thinkstock
Securité
Par
le lundi 13 mars 2017 à 15:30
Guénaël Pépin

Pour apparaître sur l'App Store français, les applications de chiffrement doivent être déclarées à l'ANSSI. Une démarche en apparence simple, devenue une barrière pour les petites équipes, comme celle de ChatSecure. Derrière cet arbre, se cache une forêt de mécontentement face à de la paperasse jugée très française.

Les applications de messagerie chiffrée sont à la mode, au grand dam du ministère de l'Intérieur, qui voudrait contrôler cet obstacle à ses enquêtes. Elles se multiplient, notamment sur mobile, où elles remplacent peu à peu le bon vieux SMS, à force d'intégration de protocoles de chiffrement dans des outils aussi populaires que Facebook Messenger ou WhatsApp. Pourtant, certaines ne passent pas la frontière française.

C'est le cas de l'application ChatSecure pour iOS, un client de messagerie XMPP chiffrée, qui n'a pas encore mis les pieds sur l'App Store français d'Apple. La raison ? Apple réclame une attestation de déclaration à l'ANSSI, l'Agence nationale de sécurité des systèmes d'information. Depuis plus de trois ans, cette formalité bloque son concepteur américain, Chris Ballinger, qui nous explique ne pas être capable d'accomplir seul cette démarche.

« À l'origine, les formulaires et le site étaient uniquement disponibles en français et demandaient un envoi international en triple exemplaire, ce qui était difficile pour moi, à cause de la barrière de la langue et du coût de postage » nous affirme-t-il. Disposant désormais de l'aide de volontaires, il a envoyé les documents par email il y a quelques jours, après des années d'attente.

Nous avons discuté avec l'ANSSI, ainsi que plusieurs développeurs et entreprises derrière des « moyens de cryptologie » grand public. Si d'un côté, on nous pointe des efforts constants d'accompagnement, de l'autre, les mots ne semblent pas assez durs contre une déclaration parfois vécue comme une ingérence inutile. Il faut dire que la France serait le seul pays à imposer une telle formalité, en dehors des États-Unis, où le processus se veut bien plus rapide.

Une déclaration, du code source et du temps

Pourquoi cette déclaration ? C'est en fait une version allégée de l'autorisation que devaient recevoir tous les outils de chiffrement avant 2004, date de la loi sur la confiance dans l'économie numérique (LCEN). Qu'ils soient importés ou simplement fournis en France, ces logiciels « grand public » doivent depuis être au moins connus de l'agence. Cette dernière nous explique que cela donne « bien plus de souplesse aux utilisateurs, qu’il s’agisse de particuliers, d’entreprises ou d’administrations ».

En plus d'un formulaire, elle réclame plusieurs documents, notamment une copie du code source du logiciel. Si ce n'est pas un problème pour les outils libres, cela peut devenir plus sensible pour des applications fermées. Notons tout de même qu'aucun développeur ne nous a confirmé l'avoir fourni. « De mémoire, notre déclaration n’a pas inclus de copie du code source de notre logiciel mais une description des technologies de chiffrement utilisés » nous répond Alexis Fogel, cofondateur du gestionnaire de mots de passe Dashlane, déclaré à l'agence en décembre 2011.

Le sujet reste sensible pour l'administration. Après avoir accepté un entretien téléphonique, elle a subitement refusé toute discussion. Tout juste nous a-t-elle répondu par email, après deux semaines de relances, sur les éléments les plus simples. Des questions comme le nombre d'outils déclarés chaque année, le délai pour délivrer une attestation, le contrôle par les plateformes (dont l'App Store d'Apple) ou encore les liens avec l'arrangement de Wassenaar sont restées sans réponse.

Un poids pour les développeurs

« La France est le seul pays avec un contrôle du chiffrement à l'import. Le processus de validation demande de savoir lire et écrire couramment en français pour remplir la paperasse... Et demande un envoi postal international pour tout envoyer » affirme Chris Ballinger de ChatSecure. Un envoi papier qui n'est plus nécessaire depuis fin 2015, nous affirme l'ANSSI, qui a fusionné plusieurs formulaires au début de la même année.

« L’ANSSI tient par ailleurs à disposition des usagers étrangers une traduction de courtoisie du formulaire et accompagne ces demandeurs dans leurs démarches » nous affirme l'agence, même si le site et l'ensemble des documents en ligne le sont dans la langue de Molière.

Ces dernières semaines, ChatSecure a donc pu s'accommoder de cette démarche, après trois ans hors de l'Hexagone. « Cette fois, plusieurs personnes se sont portées volontaires pour aider avec les formulaires, traduire et m'ont vraiment accompagné. Des gens me l'ont proposé par le passé sans que ça aille nulle part. Pouvoir envoyer le formulaire par email aide aussi beaucoup » nous détaille encore Chris Ballinger.

« Le processus de déclaration est assez fastidieux, parce qu'il n'est pas conçu pour les développeurs d'applications, mais plutôt pour les entreprises technologiques en général. C'est sans le moindre doute un poids pour les petites entreprises, qui n'ont ni l'expertise nécessaire, ni un avocat pour les aider dans cette démarche » estime tout de même Siim Teller, directeur marketing de Wire. « C'est très clairement un énorme poids pour les petites équipes. Les formulaires sont prévus pour les grandes entreprises avec un département juridique » juge toujours Chris Ballinger de ChatSecure.

L'App Store, garant de la déclaration à l'ANSSI

Contactés, Apple, Facebook et Google nous promettent depuis plus d'une semaine leurs propres réponses, qui ne nous sont pas encore parvenues. En fait, les seuls acteurs à avoir répondu (très) rapidement sont les concepteurs de solutions de chiffrement. Bien plus qu'une simple formalité, il s'agit d'un Graal pour entrer sur l'App Store français, au contrôle strict.

Apple semble être l'unique acteur à vérifier cette déclaration, depuis 2013. Les développeurs ne proposant pas leurs outils sur iOS et macOS nous affirment se dispenser sans problème de cette formalité... Quand ceux présents sur l'App Store s'y plieraient surtout à cause de l'entreprise. « Apple nous a effectivement demandé une preuve de cette déclaration » nous précise Alexis Fogel de Dashlane.

Sur Twitter, Thomas Fillaud de l'ANSSI confirme bien l'action de la marque à la pomme :

« Je ne l'ai jamais faite et ne compte a priori pas l'effectuer. Je mise sur le fait que l'ANSSI a des choses plus importantes que ça en tête » rétorque le concepteur français d'une application de messagerie chiffrée, qui n'est pas (encore) proposée dans l'univers Apple. Une position sur laquelle le rejoint un autre développeur chevronné, habitant actuellement en France, derrière un service disponible mondialement.

« La démarche auprès de l'ANSSI nous a pris plusieurs semaines, voire un mois, et nous avons dû retirer Wire de l'App Store français en attendant. La déclaration s'effectuait sur papier, ce qui nous a ralenti et a rendu le processus pénible » nous affirme pour sa part Siim Teller de Wire.

Une déclaration vécue comme une intrusion

Cette démarche est bien vécue comme une exception française par ces développeurs, qui nous indiquent que seuls les États-Unis imposent un processus similaire, avec Snap-R. « Au contraire [de l'ANSSI], Snap-R était très direct, tout se passait en ligne en moins de deux semaines, du début à la fin » se remémore le directeur marketing de Wire. « Leur système est automatisé, donc vous recevez instantanément une autorisation » affirme Chris Ballinger de ChatSecure.

Un double poids qui a retardé d'un mois la sortie de l'application iOS de ProtonMail, l'an dernier. « Je suis heureux d'en parler, parce que ça a été un sacré casse-tête pour nous » nous affirme Andy Yen, le patron de ProtonMail, qui a déclaré son logiciel à l'ANSSI sur demande d'Apple. Selon lui, la déclaration aux États-Unis serait d'ailleurs obligatoire pour les outils de chiffrement distribués sur l'App Store, qu'ils soient disponibles outre-Atlantique ou non.

« L'histoire de ChatSecure ne me surprend pas. C'est un autre exemple d'ingérence gouvernementale intrusive et de tentative de contrôler la cryptographie. Sur le long terme, je pense qu'iOS y perd en tant que plateforme. Les développeurs tolèreront de moins en moins ce genre de problème et fourniront plutôt directement leurs APK sur Android » juge durement Andy Yen de ProtonMail. Un jugement auquel ni l'ANSSI, ni Apple ne nous ont encore fourni de réponse.


chargement
Chargement des commentaires...