Les outils de chiffrement face à la déclaration à l’ANSSI, une exception française
Aspirine et dictionnaire de français
Le 13 mars 2017 à 14h30
8 min
Internet
Internet
Pour apparaître sur l'App Store français, les applications de chiffrement doivent être déclarées à l'ANSSI. Une démarche en apparence simple, devenue une barrière pour les petites équipes, comme celle de ChatSecure. Derrière cet arbre, se cache une forêt de mécontentement face à de la paperasse jugée très française.
Les applications de messagerie chiffrée sont à la mode, au grand dam du ministère de l'Intérieur, qui voudrait contrôler cet obstacle à ses enquêtes. Elles se multiplient, notamment sur mobile, où elles remplacent peu à peu le bon vieux SMS, à force d'intégration de protocoles de chiffrement dans des outils aussi populaires que Facebook Messenger ou WhatsApp. Pourtant, certaines ne passent pas la frontière française.
C'est le cas de l'application ChatSecure pour iOS, un client de messagerie XMPP chiffrée, qui n'a pas encore mis les pieds sur l'App Store français d'Apple. La raison ? Apple réclame une attestation de déclaration à l'ANSSI, l'Agence nationale de sécurité des systèmes d'information. Depuis plus de trois ans, cette formalité bloque son concepteur américain, Chris Ballinger, qui nous explique ne pas être capable d'accomplir seul cette démarche.
« À l'origine, les formulaires et le site étaient uniquement disponibles en français et demandaient un envoi international en triple exemplaire, ce qui était difficile pour moi, à cause de la barrière de la langue et du coût de postage » nous affirme-t-il. Disposant désormais de l'aide de volontaires, il a envoyé les documents par email il y a quelques jours, après des années d'attente.
Nous avons discuté avec l'ANSSI, ainsi que plusieurs développeurs et entreprises derrière des « moyens de cryptologie » grand public. Si d'un côté, on nous pointe des efforts constants d'accompagnement, de l'autre, les mots ne semblent pas assez durs contre une déclaration parfois vécue comme une ingérence inutile. Il faut dire que la France serait le seul pays à imposer une telle formalité, en dehors des États-Unis, où le processus se veut bien plus rapide.
Une déclaration, du code source et du temps
Pourquoi cette déclaration ? C'est en fait une version allégée de l'autorisation que devaient recevoir tous les outils de chiffrement avant 2004, date de la loi sur la confiance dans l'économie numérique (LCEN). Qu'ils soient importés ou simplement fournis en France, ces logiciels « grand public » doivent depuis être au moins connus de l'agence. Cette dernière nous explique que cela donne « bien plus de souplesse aux utilisateurs, qu’il s’agisse de particuliers, d’entreprises ou d’administrations ».
En plus d'un formulaire, elle réclame plusieurs documents, notamment une copie du code source du logiciel. Si ce n'est pas un problème pour les outils libres, cela peut devenir plus sensible pour des applications fermées. Notons tout de même qu'aucun développeur ne nous a confirmé l'avoir fourni. « De mémoire, notre déclaration n’a pas inclus de copie du code source de notre logiciel mais une description des technologies de chiffrement utilisés » nous répond Alexis Fogel, cofondateur du gestionnaire de mots de passe Dashlane, déclaré à l'agence en décembre 2011.
@XavierGray It's available everywhere but France due to their rather unique crypto import regulations.
— ChatSecure (@ChatSecure) 13 juillet 2015
Le sujet reste sensible pour l'administration. Après avoir accepté un entretien téléphonique, elle a subitement refusé toute discussion. Tout juste nous a-t-elle répondu par email, après deux semaines de relances, sur les éléments les plus simples. Des questions comme le nombre d'outils déclarés chaque année, le délai pour délivrer une attestation, le contrôle par les plateformes (dont l'App Store d'Apple) ou encore les liens avec l'arrangement de Wassenaar sont restées sans réponse.
Un poids pour les développeurs
« La France est le seul pays avec un contrôle du chiffrement à l'import. Le processus de validation demande de savoir lire et écrire couramment en français pour remplir la paperasse... Et demande un envoi postal international pour tout envoyer » affirme Chris Ballinger de ChatSecure. Un envoi papier qui n'est plus nécessaire depuis fin 2015, nous affirme l'ANSSI, qui a fusionné plusieurs formulaires au début de la même année.
« L’ANSSI tient par ailleurs à disposition des usagers étrangers une traduction de courtoisie du formulaire et accompagne ces demandeurs dans leurs démarches » nous affirme l'agence, même si le site et l'ensemble des documents en ligne le sont dans la langue de Molière.
Ces dernières semaines, ChatSecure a donc pu s'accommoder de cette démarche, après trois ans hors de l'Hexagone. « Cette fois, plusieurs personnes se sont portées volontaires pour aider avec les formulaires, traduire et m'ont vraiment accompagné. Des gens me l'ont proposé par le passé sans que ça aille nulle part. Pouvoir envoyer le formulaire par email aide aussi beaucoup » nous détaille encore Chris Ballinger.
« Le processus de déclaration est assez fastidieux, parce qu'il n'est pas conçu pour les développeurs d'applications, mais plutôt pour les entreprises technologiques en général. C'est sans le moindre doute un poids pour les petites entreprises, qui n'ont ni l'expertise nécessaire, ni un avocat pour les aider dans cette démarche » estime tout de même Siim Teller, directeur marketing de Wire. « C'est très clairement un énorme poids pour les petites équipes. Les formulaires sont prévus pour les grandes entreprises avec un département juridique » juge toujours Chris Ballinger de ChatSecure.
L'App Store, garant de la déclaration à l'ANSSI
Contactés, Apple, Facebook et Google nous promettent depuis plus d'une semaine leurs propres réponses, qui ne nous sont pas encore parvenues. En fait, les seuls acteurs à avoir répondu (très) rapidement sont les concepteurs de solutions de chiffrement. Bien plus qu'une simple formalité, il s'agit d'un Graal pour entrer sur l'App Store français, au contrôle strict.
Apple semble être l'unique acteur à vérifier cette déclaration, depuis 2013. Les développeurs ne proposant pas leurs outils sur iOS et macOS nous affirment se dispenser sans problème de cette formalité... Quand ceux présents sur l'App Store s'y plieraient surtout à cause de l'entreprise. « Apple nous a effectivement demandé une preuve de cette déclaration » nous précise Alexis Fogel de Dashlane.
Sur Twitter, Thomas Fillaud de l'ANSSI confirme bien l'action de la marque à la pomme :
@x0rz @Gnppn @ChatSecure @ANSSI_FR @taziden Apple en tant qu'importateur, demande au fournisseur de remplir une déclaration
— T. Fillaud (@thomasfld) February 17, 2017
« Je ne l'ai jamais faite et ne compte a priori pas l'effectuer. Je mise sur le fait que l'ANSSI a des choses plus importantes que ça en tête » rétorque le concepteur français d'une application de messagerie chiffrée, qui n'est pas (encore) proposée dans l'univers Apple. Une position sur laquelle le rejoint un autre développeur chevronné, habitant actuellement en France, derrière un service disponible mondialement.
« La démarche auprès de l'ANSSI nous a pris plusieurs semaines, voire un mois, et nous avons dû retirer Wire de l'App Store français en attendant. La déclaration s'effectuait sur papier, ce qui nous a ralenti et a rendu le processus pénible » nous affirme pour sa part Siim Teller de Wire.
Une déclaration vécue comme une intrusion
Cette démarche est bien vécue comme une exception française par ces développeurs, qui nous indiquent que seuls les États-Unis imposent un processus similaire, avec Snap-R. « Au contraire [de l'ANSSI], Snap-R était très direct, tout se passait en ligne en moins de deux semaines, du début à la fin » se remémore le directeur marketing de Wire. « Leur système est automatisé, donc vous recevez instantanément une autorisation » affirme Chris Ballinger de ChatSecure.
Un double poids qui a retardé d'un mois la sortie de l'application iOS de ProtonMail, l'an dernier. « Je suis heureux d'en parler, parce que ça a été un sacré casse-tête pour nous » nous affirme Andy Yen, le patron de ProtonMail, qui a déclaré son logiciel à l'ANSSI sur demande d'Apple. Selon lui, la déclaration aux États-Unis serait d'ailleurs obligatoire pour les outils de chiffrement distribués sur l'App Store, qu'ils soient disponibles outre-Atlantique ou non.
« L'histoire de ChatSecure ne me surprend pas. C'est un autre exemple d'ingérence gouvernementale intrusive et de tentative de contrôler la cryptographie. Sur le long terme, je pense qu'iOS y perd en tant que plateforme. Les développeurs tolèreront de moins en moins ce genre de problème et fourniront plutôt directement leurs APK sur Android » juge durement Andy Yen de ProtonMail. Un jugement auquel ni l'ANSSI, ni Apple ne nous ont encore fourni de réponse.
Les outils de chiffrement face à la déclaration à l’ANSSI, une exception française
-
Une déclaration, du code source et du temps
-
Un poids pour les développeurs
-
L'App Store, garant de la déclaration à l'ANSSI
-
Une déclaration vécue comme une intrusion
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/03/2017 à 14h44
Mais putain… mais putain… mais putain… " />
Y’a plus de mot pour décrire l’administration française de la france ┻━┻ ︵ヽ(`Д´)ノ︵ ┻━┻
Le 13/03/2017 à 14h45
Le 13/03/2017 à 14h55
Etrange, j’ai participé, sous IOS, à la publication d’une application de stockage de données dans le cloud (pas de chat donc), chiffrées côté client, et nous n’avons pas eu ce problème (ça date d’il y a 1⁄2 ans).
Il va falloir en publier une nouvelle cette année, on verra bien ce que cela donne.
Le 13/03/2017 à 15h18
La déclaration s’effectuait sur papier
" />
Le 13/03/2017 à 15h55
Ça dépend de la longueur du document. Si tu envoie 5 kilos de papier… ça devient contraignant en international. C’est pas impossible, bien évidement mais les prix montent vite dans ce contexte.
Le 13/03/2017 à 16h07
5 Kg x 3 exemplaires hein " />
La bureaucratie française, les douzes travaux d’Asterix étaient bien dans le ton.
Le 13/03/2017 à 16h10
Bah l’ANSII à du recevoir une palette ou deux de papiers avant de décider de passer au numérique " />
Le 13/03/2017 à 16h59
Si c’est pas trop gros :https://boutique.laposte.fr/envoi-de-courrier-en-ligne/lettre-recommandee-en-lig…
Le 13/03/2017 à 17h15
ah ouais…
savais pas du tout qu’un tel délire était obligatoire chez Apple… " />
Le 13/03/2017 à 17h16
D’où l’intérêt de fournir un apk sur son site web
Le 13/03/2017 à 17h39
« Je ne l’ai jamais faite et ne compte a priori pas l’effectuer. Je mise sur le fait que l’ANSSI a des choses plus importantes que ça en tête » rétorque le concepteur français d’une application de messagerie chiffrée
En même temps, si l’auteur est français, ce n’est plus de l’import.
Le 13/03/2017 à 17h42
Ce qui ne résout absolument pas le problème vu que ca ne touche (pour le moment) que iOS et son App Store " />
Le 13/03/2017 à 17h42
C’est aussi demandé pour la fourniture, import ou non. :)
Le 13/03/2017 à 20h53
Le développeur de Cryptomator avait aussi rencontré ces difficultés et partagé son expérience : https://cryptomator.org/blog/2016/06/16/indepth-french-app-store_en.html
Le 13/03/2017 à 23h18
Intéressant. Le seul point qui me choque réellement est l’utilisation obligatoire du français.
Ça aurait été disponible en anglais et sous forme électronique, ça aurait bien simplifié la tâche.
Le 14/03/2017 à 06h14
À noter que c’est disponible sous forme électronique depuis 2015, comme indiqué dans l’article. La version anglaise semble, elle, uniquement disponible sur demande. Reste à voir s’ils répondent plus facilement à ces demandes qu’à la presse…
Le 14/03/2017 à 07h31
Oui oui, je voulais dire que l’obligation de déclaration ne me choque pas, bien qu’on soit probablement l’un des deux pays au monde à le demander, du moment que toute la procédure soit simplifiée façon US.
A vrai dire, une société qui importe du matériel physiquement, ça me parait normal d’obliger le français.
La procédure pour ce genre de cas type logiciel dématérialisé nécessiterait peut-être une démarche simplifiée à part pour se démarquer du circuit classique physique.
Sinon pour la version anglaise disponible sur demande, ça a l’air d’être une vaste blague :)
Entre les modalités d’envoi du dossier sur la traduction anglaise qui n’ont pas été mises à jour avec le contact par e-mail, avec la possibilité d’obtenir de l’ANSSI une solution de chiffrement pour les communications non traduite et le fait de devoir aller dans la rubrique contact pour trouver une trace de cette adresse e-mail " />
Sans communication sur le sujet.. à moins de bénéficier du bouche à oreille ou oser aborder le bureau en question en les appelant à l’aide, je comprends que ça puisse rebuter encore des devs. " />
Le 14/03/2017 à 12h41
Le 14/03/2017 à 18h41
Je dois bien avouer que j’ai du mal à comprendre le problème.
Si j’ai bien compris on a des développeurs qui se plaignent de devoir envoyer un dossier en français à une administration française pour avoir le droit d’être diffusé en France. J’ai connu plus abscons comme législation moi.
Le fait que nous soyons l’un des deux seul pays à l’exiger est aussi à nuancer quand les seconds sont les USA qui sont un énorme marché pour les applications mobiles et donc également une étape impérative pour la diffusion des apps concernées.
Je ne sais pas si un journal américain viendrait nous pondre un article pour défendre les pauvres développeurs indés français qui ne parlent pas anglais et doivent se déclarer au BIS en anglais.
Par ailleurs le contrôle des logiciels de chiffrement (ou au moins des concepts utilisés) me parait cohérent avec le reste des systèmes français destinés à protéger brevet et propriétés intellectuelles (par exemple un brevet ayant un intérêt stratégique majeur pourra être retiré à son demandeur pour le compte de l’état) .
Le 14/03/2017 à 22h03
Rends les écoutes voix et data totalement inutiles et les enquêteurs 2.0 ne sauraient plus bosser.
Ce jour là, ne restera plus à l’État qu’à consentir à rouvrir les maisons closes pour pécho de l’info à pas cher.
Le 14/03/2017 à 22h08
Le 15/03/2017 à 06h51
Le 15/03/2017 à 14h14
Ce contrôle est une nécessité pour que l’ANSSI puisse vérifier que ces outils ne sont pas une vaste arnaque/blague/ tout plein de trou de sécurité, il ne faut pas oublié non plus que c’est une obligation légal de leur part, certaines loi ne sont pas vraiment en faveur du chiffrement …
Le 17/03/2017 à 17h14
Et pourquoi? On est Français que je sache. Combien de doc en Français aux E-U, dans le même contexte?
Le 17/03/2017 à 17h19
Dans un sens, c’est vrai et juste, dans l’autre, il serait temps d’évoluer et de ne pas arrêter ou tenter d’arrêter l’évolution que l’on ne maitrise pas tout de suite.