La cryptologie est une science ancienne. Déjà dans la Grèce antique, différentes techniques avaient été mises au point pour coder les messages. L’une d’elles datant du VIème siècle avant Jésus-Christ consistait à écrire le message sur une bande de papier enroulée autour d’un cylindre. La bande était ensuite déroulée et envoyée au destinataire qui pouvait prendre connaissance du contenu du message dès lors que le diamètre du cylindre utilisé lui était connu. Une autre technique utilisée probablement par Jules César il y a de cela plus de 2000 ans, consistait à remplacer chaque lettre de l’alphabet par celle située trois places plus loin dans l’ordre alphabétique.
Malgré toute son ancienneté, la cryptologie n’était utilisée que dans le domaine militaire et diplomatique. C’est la raison pour laquelle elle ne suscitait pas un grand intérêt de la part de la communauté scientifique. Cela est tellement vrai que ce n’est qu’en 1883, avec les travaux d’Auguste KERCHOFFS que son principe fondamental a été énoncé. Ses bases mathématiques ne seront jetées qu’en 1949 grâce à un article de Claude SHANNON considéré comme étant la première publication d’envergure sur la cryptologie. Les travaux qui ont incontestablement révolutionné la cryptologie ont été publiés en 1976 par Whitfield DIFFIE et Martin HELLMAN. En effet, ils ont théorisé pour la première fois, la cryptographie à clé publique en prenant le soin de déterminer, avec toute la clarté requise, les propriétés de ce système. Sa mise en pratique se fera en 1978 grâce à Ronald RIVEST, Adi SHAMIR et Leonard ADLEMAN avec l’algorithme RSA. Ce n’est qu’à partir de cette date et avec l’apparition des menaces liées aux échanges et transactions électroniques que la cryptologie a acquis ses lettres de noblesse.
Le terme cryptologie vient du grec kryptos (caché) et logos (science) et signifie littéralement la science du secret. Elle est définie dans la loi sénégalaise sur la cryptologie comme étant la « science relative à la protection et à la sécurité des informations notamment pour la confidentialité, l’authentification, l’intégrité et la non répudiation des données transmises ». Elle est composée de la cryptanalyse qui consiste à rendre intelligible une information cryptée sans connaitre le moyen utilisé pour la crypter et de la cryptographie qui est « l’étude des moyens et produits de chiffrement permettant de rendre illisibles, des informations afin de garantir l’accès à un seul destinataire authentifié ».
Son importance ressort de la définition même que le législateur sénégalais lui donne. La cryptologie est à ce jour, le moyen le plus sûr permettant de garantir la sécurité des informations. C’est grâce à elle qu’il est possible de s’assurer qu’une information est restée secrète, que son contenu n’a pas été altéré, qu’elle a bien été émise par son auteur et transmise à son véritable destinataire.
L’obtention de la sécurité passe par l’utilisation de clés. Suivant le nombre utilisé pour chiffrer et/ou déchiffrer le message, l’on distingue la cryptographie à clé symétrique et la cryptographie à clé asymétrique ou publique.
La première qui est la plus ancienne repose sur une seule clé qui sert à la fois à coder et à décoder le message. Si elle a l’avantage d’être plus simple, elle n’offre que très peu de sécurité. En effet, les parties sont obligées d’échanger la clé à chaque fois qu’un message doit être envoyé. Il existe donc un réel risque d’interception de celle-ci. Il s’y ajoute que la gestion des clés pose de sérieux défis. Pour cause, si pour chaque correspondant une clé différente doit être générée, le nombre de clés générées risque d’accroitre plus vite que le nombre de correspondants.
La cryptographie quantique a été mise au point pour combler les lacunes de la cryptologie à clé symétrique. Elle repose non pas sur les mathématiques mais sur les lois fondamentales de la physique et notamment sur le principe d’incertitude d’Heisenberg. La clé est transportée par les éléments élémentaires de la lumière appelés photons à qui une trajectoire est imposée afin de traverser ou non un filtre. Le résultat obtenu en aval du filtre et correspondant à celui attendu par l’expéditeur constitue la clé de déchiffrement du message. L’existence d’une différence est la preuve que l’échange a été intercepté. S’il est vrai que la cryptographie quantique est absolument sure, il n’en demeure pas moins vrai qu’elle ne peut être utilisée, pour le moment, sur de longues distances. En effet, plus la distance est longue, plus le flux des photons baisse. Il est impossible de l’amplifier, cela entrainant une modification de la direction des photons, et fatalement la modification de la clé qui devrait être obtenue. En attendant que les physiciens trouvent les réponses appropriées aux problèmes que pose la cryptographie quantique, la cryptographie à clé asymétrique ou publique apporte, pour le moment, des solutions totalement satisfaisantes.
Elle fonctionne avec deux clés. L’une dite privée est gardée secrète et sert à chiffrer le message. L’autre dite publique est accessible à tous. Elle est utilisée pour le déchiffrer. L’intérêt de la cryptographie à clé asymétrique est qu’elle permet de résoudre deux problèmes majeurs dans les échanges électroniques. Il s’agit d’abord de l’identification des parties en cause. L’absence de contact physique entre elles et les risques d’usurpation d’identité font qu’il est nécessaire de pouvoir s’assurer, avec toute la précision nécessaire, que l’interlocuteur est bien celui à qui l’on a à faire. Le certificat électronique obtenu grâce à la cryptographie à clé asymétrique permet de le faire en ce sens qu’il est l’équivalent de la pièce d’identité. La cryptographie à clé asymétrique permet ensuite, de lier un message à son auteur de sorte que celui-ci ne puisse pas le contester grâce à la signature électronique.
La cryptologie a fait son apparition pour la première fois dans le maillage juridique sénégalais à travers la loi n°2001-15 du 27 décembre 2001 portant Code des Télécommunications . Elle était réglementée par les articles 37 et 67 de ce texte. Toutefois, force est de reconnaitre que le dispositif légal mis en place était dans une très large mesure lacunaire. Pour preuve, le Code était totalement muet sur les conditions de fourniture, de transfert et d’homologation liées à l’importation ou à l’exportation de moyens ou de prestations de cryptologie. De même, seules les exportations ou les importations de moyens de cryptologie sans autorisation étaient pénalement réprimées. Le règlement 15-2002 relatif aux Systèmes de Paiement dans les Etats Membres de l’Union Economique et Monétaire Ouest Africaine (UEMOA) du 19 septembre 2002 qui encadre le certificat et la signature électronique n’a pas permis de compléter les dispositions du Code des Télécommunications. Au contraire, l’article 17 dudit Règlement précise bien que les dispositions édictées pour assurer la sécurité ne s’appliquent qu’aux informations utilisées dans les transactions bancaires et financières et dans les systèmes de paiement.
C’est compte tenu de toutes ces insuffisances et dans le souci de « définir les conditions générales d’utilisation, de fourniture, d’importation et d’exportation des moyens et des prestations de cryptologie » que le législateur sénégalais a adopté la loi n° 2008-41du 20 août 2008 sur la Cryptologie et son texte d’application, le décret n°2010-1209 relatif à la loi n° 2008-41 du 20 août 2008 portant sur la Cryptologie. S’il est vrai que le législateur sénégalais s’est inspiré, à bien des égards, des dispositions relatives à la cryptologie contenues dans la loi française n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), il n’en demeure pas moins vrai que sur certaines questions, il a adopté une démarche spécifique. Pour preuve, alors qu’en France, les déclarations sont faites auprès du Premier Ministre et que les demandes d’autorisation lui sont adressées, au Sénégal, il a été institué la Commission Nationale de Cryptologie, rattachée au Secrétariat général de la Présidence de la République à qui cette mission est dévolue. Les missions et les compétences de cette commission de même que sa composition et son mode de fonctionnement ne seront pas abordés dans cette étude. De plus, les organismes exerçant des prestations de cryptologie sont tenus de se faire délivrer un agrément alors qu’en France, une simple déclaration suffit.
Malgré ses spécificités, le législateur sénégalais a tenu, à l’instar de son homologue français, à définir les régimes juridiques des moyens et prestations de cryptologie (1), préciser les dispositions applicables aux prestataires de services de cryptologie (2) et déterminer les sanctions applicables en matière de cryptologie (3).
I- Les régimes juridiques des moyens et prestations de cryptologie.
II- Les dispositions applicables aux prestataires de services de cryptologie.
III- Les sanctions applicables en matière de cryptologie.
- Voir l’analyse complète de l’article
