Utilisation de la cryptologie dans le secteur bancaire et financier

By 4 July 2013

La cryptologie, outil de libéralisation des opérations bancaires et financières – Section 1ère.

160. Plan. La sécurité par voie électronique des transactions bancaires et financières repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. La nécessaire utilisation des différents types de produits de cryptologie par le secteur bancaire et financier (§ 1) a incité le législateur à réglementer ces produits. Cet encadrement juridique a influé sur le développement des activités bancaires et financières en ligne (§ 2).

§ 1. La nécessaire utilisation de la cryptologie dans le secteur bancaire et financier

161. Fil conducteur. Condition du bon fonctionnement du marché communautaire, la sécurité est le motif déterminant du recours à la cryptologie (B) par le secteur bancaire et financier. Mais, afin d’en comprendre les enjeux, il convient au préalable de préciser le concept (A). En effet, la cryptologie n’est pas une technique nouvelle : elle existe depuis des siècles ! Historiquement, les romains chiffraient déjà les messages qu’ils envoyaient par un système de décalage des lettres dans l’alphabet192. En droit interne, la cryptologie reposait sur des textes193 répertoriant les équipements de cryptophonie ou de cryptographie comme matériels de guerre de deuxième catégorie. Cette réglementation fit l’objet de nombreuses précisions sur la définition des procédés techniques de cryptologie concernés194, ainsi que sur les conditions de fabrication, de commerce, d’acquisition, de détention et d’utilisation de moyens de cryptologie destinés à des fins professionnelles ou privées sur le territoire national195.

192 PIETTE-COUDOL T., Echanges électroniques, Certification et Sécurité, Paris, Litec, 2000, p. 15.

193 Décret-loi du 18 avril 1939 complété par le décret n°73-364 du 12 mars 1973 relatif à l’application du décret- loi du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions.

194 Décret n°86-250 du 18 février 1986.

195 Arrêté du 2 juillet 1990 modifiant l’arrêté du 18 février 1986 relatif à la fabrication, au commerce, à l’acquisition, à la détention et à l’utilisation de moyens de cryptologie destinés à des fins professionnelles ou privées sur le territoire national.

A. Précisions relatives à la cryptologie

162. Terminologie. Les techniques de chiffrement font l’objet d’une terminologie variée : on parle de cryptage, de cryptographie, de cryptologie, de chiffrement… En pratique, et par souci de simplification, on doit les considérer comme équivalentes196. Dans la logique, le premier terme qui devrait être retenu est celui de « chiffrement ». On entend par chiffrement l’opération qui consiste en la transformation d’un message dit « en clair » en une chaîne de caractères alphanumériques qui ne sont compréhensibles que pour la personne autorisée.

163. Définition. Le législateur français a opté quant à lui pour le terme cryptologie. En effet, l’article 28 I de la loi n° 90-1170 du 29 décembre 1990197 définit les prestations de cryptologie comme celles « visant à transformer à l’aide de conventions secrètes198 des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens matériels ou logiciels conçus à cet effet » et la notion de moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié dans le même objectif ». De nos jours, les systèmes cryptographiques sont variés et sont basés sur l’utilisation d’algorithmes mathématiques puissants. Ils verrouillent totalement les messages pour les rendre incompréhensibles. La plupart des systèmes nécessitent pour leur fonctionnement, l’introduction d’une « clé », qui n’est rien d’autre qu’une donnée numérique nécessaire au lancement des algorithmes mathématiques.

164. Distinction. Il existe deux grandes familles de produits cryptographiques : la cryptographie symétrique (a), d’une part, et la cryptographie asymétrique (b), d’autre part199. Les produits relevant de ces deux familles permettent, séparément ou en combinaison, d’assurer tant la fonction de signature (authentification et intégrité) que celle de chiffrement (confidentialité). Cette distinction a une importance non négligeable en ce qui concerne le régime juridique applicable à l’utilisation de produits de cryptographie.

196 Lamy droit de l’informatique et des réseaux, Guide, éd. 2002, p. 1724, n° 3086.

197 Modifiée par la loi n° 96-659 du 26 juillet 1996.

198 On entend par convention secrète la clé cryptographique secrète utilisée pour déchiffrer (et éventuellement chiffrer au préalable) le message.

199 Pour une explication détaillée, PARISIEN S. et TRUDEL P., L’identification et la certification dans le commerce électronique, Québec, Ed. Yvon Blais Inc., 1996, pp. 93-113; PIETTE-COUDOL T., op.cit. ; HUBIN J., La sécurité informatique, entre technique et droit, Cahiers du C.R.I.D., n° 14, E. Story-Scientia, 1998, spéc. pp. 68-112.

a. Cryptographie symétrique

165. Fonctionnement. La cryptographie symétrique est un système à clé unique (ou à clé secrète) utilisant un algorithme qui, comme le suggère son nom, chiffre et déchiffre un message à l’aide d’une seule clé. Ce type de chiffrement est généralement réalisé à l’aide de produits, fondés, pour la plupart, sur le Data Encryption Standard (DES) lequel est encore largement répandu dans le secteur bancaire. Un tel procédé est surtout efficace dans les réseaux fermés et dans un but de recherche de confidentialité ; la nécessité de faire connaître la clé à son destinataire, avec les inévitables risques d’interception lors de sa transmission, le rend inadapté aux réseaux ouverts ou à une utilisation à des fins, non de confidentialité, mais de signature. En effet, on comprend qu’il puisse être dangereux de transmettre cette clé secrète par une voie incertaine. Notamment sur un réseau informatique, un tiers interceptant la clé pourra sans difficulté déchiffrer le message qui l’accompagne – de même que tout autre message protégé par cette clé – mais aussi modifier le contenu du message pour ensuite le renvoyer chiffré. Par ailleurs, le partage d’une même clé entre l’expéditeur et le destinataire ouvre le risque de répudiation de l’une ou l’autre partie. La cryptographie asymétrique permet d’apporter des solutions à ces différents problèmes.

166. Un niveau élevé de sécurité. Le milieu de l’informatique considère que le DES offre un niveau de sécurité relativement élevé en ce sens qu’il est capable de résister à la plupart des attaques provenant d’individus. Plus précisément, on considère qu’il est généralement trop coûteux de mettre en place un système informatique pouvant briser une clé secrète, ou bien que cela ne peut se faire dans un laps de temps raisonnable.

167. Un risque subsistant. Néanmoins, avec l’évolution constante du matériel, toujours plus puissant et rapide, le risque de telles attaques apparaît de plus en plus élevé. C’est pour cela l’utilisation du triple DES s’est généralisée. Celui-ci suppose le chiffrement de chaque bloc de message sous trois clés différentes. Cette technique permet de contrer les attaques les plus musclées mais en contrepartie augmente le temps nécessaire au chiffrement et déchiffrement des messages, ce qui ralentit la vitesse d’exécution des transactions bancaires et financières en ligne. Cette lenteur apparaît problématique pour les transactions boursières !

b. Cryptographie asymétrique

168. Description. La cryptographie asymétrique, ou bien « à clé publique » permet non seulement d’expédier des messages confidentiels dans de meilleures conditions de sécurité, mais aussi de réaliser des signatures numériques (dans le but d’authentifier le signataire et d’assurer l’intégrité du contenu du message). Le mécanisme repose sur l’utilisation d’une paire de clés, l’une secrète et l’autre publique, unies entre elles par une formule mathématique. Elle nécessite aussi l’utilisation d’un certificat numérique délivré par un tiers de confiance appelé prestataire de service de certification. L’application la plus répandue de cryptographie à clé publique est le R.S.A., du nom de ses concepteurs200.

169. Procédé. Dans un système à clé publique, la réalisation de la fonction de chiffrement à des fins de confidentialité suppose qu’une personne dispose de deux clés mathématiques complémentaires : une clé privée, dont le caractère secret doit effectivement être préservé, et une clé publique, qui peut être librement distribuée. Ces deux clés sont générées sur la base d’une fonction mathématique telle qu’il est impossible dans un laps de temps raisonnable de déduire de la clé publique la clé privée correspondante. Afin d’assurer la confidentialité d’un échange, l’expéditeur procédera comme suit : il chiffrera le message à l’aide de la clé publique du destinataire, qui pourra uniquement le déchiffrer au moyen de sa propre clé secrète. Ainsi il sera le seul à pouvoir prendre connaissance du message. L’opération de décodage s’effectue, en pratique, selon le principe de la complémentarité des clés : un message encodé avec une clé publique ne peut être décodé qu’avec sa clé privée complémentaire. L’expéditeur est quant à lui informé de l’identité du destinataire grâce au certificat, émis par un PSC, qui atteste de l’identité du titulaire du certificat (le destinataire) et assure que la clé publique en question lui appartient effectivement.

170. Le tiers certificateur. Reste à préciser que l’utilisation de la cryptographie à clé publique suppose l’organisation de la publicité des clés publiques et l’instauration d’un mécanisme de contrôle visant à s’assurer en permanence que celles-ci correspondent bien aux personnes qui s’en prétendent titulaires. Cette double mission de publicité et de certification est actuellement assumée par un tiers certificateur (appelé « prestataire de service de certification » ou encore « autorité de certification ») qui tient à jour un registre accessible en temps réel contenant les certificats délivrés par lui.

171. Bilan. Les deux types de cryptographies – symétrique et asymétrique – permettent de chiffrer les messages de manière relativement sécurisée afin d’assurer leur transmission en toute confidentialité. Si ces messages portent sur un ordre de paiement, de bourse ou sur d’autres données bancaires et financières, on comprend aisément la nécessité d’utiliser de telles techniques. Néanmoins, si la technique de cryptographie est uniquement utilisée à des fins de confidentialité, on constate que le recours au DES (cryptographie symétrique) l’emporte encore largement sur celui du RSA (cryptographie asymétrique), notamment dans le monde bancaire et financier. En effet, le principal inconvénient du RSA se situe au niveau de la vitesse d’exécution des fonctions de chiffrement et de déchiffrement. A titre de comparaison, installé sous forme de logiciel, le DES permet de réaliser ces fonctions cent fois plus rapidement que le logiciel RSA, alors que dans le cas du matériel, le DES s’avère cette fois de mille à dix mille fois plus rapide !

200 C’est en 1977 au Massachusetts Institute of Technology (MIT) que trois amis, les informaticiens Rivest, Shamir et le théoricien des nombres Adleman ont conçu leur système.

172. Sécurité supplémentaire. Enfin, il convient d’ajouter que les outils de cryptographie sont rarement utilisés seuls mais doivent généralement être complétés par l’utilisation d’outils supplémentaires. Il en résulte que le degré de sécurité offert par les mécanismes de cryptographie ne dépend pas uniquement de leurs qualités technologiques intrinsèques mais est également fonction des techniques de sécurité entourant leur utilisation. Ainsi, des outils techniques tels que les jetons, cartes et codes permettent de réaliser et de maximiser le potentiel de sécurité offert par les mécanismes de chiffrement.

173. Illustration. Les cartes et les codes présentent une utilité particulière. En effet, il n’est pas aisé pour un utilisateur de mémoriser la clé privée, qui n’est qu’une suite de chiffres et de lettres mais il n’empêche que la clé privée ne doit jamais être conservée en format texte au vu de tous ou être directement accessible par l’intermédiaire d’un réseau informatique. L’une des solutions pour conserver ces données de façon sécurisée et les transporter facilement consiste à les stocker sur une « carte à mémoire » dont l’accès est protégé par un mot de passe ou NIP (Numéro d’Identification Personnel). Dans ce scénario, la confidentialité du mot de passe doit bien évidemment être préservée. Or, en pratique, le monde bancaire est confronté à la difficulté de conscientiser et responsabiliser ses clients afin que ceux-ci veillent à ne pas divulguer le NIP à un tiers, fût-t-il un membre de sa famille ou de son entourage. Les pouvoirs publics ont peut-être également un rôle pédagogique à jouer à cet égard.

174. Problème. L’importance pour le secteur bancaire et financier d’utiliser des produits de cryptologie dans le cadre de ses services n’est plus à démontrer, mais le régime légal de la cryptologie fait peser sur les organismes de ce secteur de nombreuses contraintes pratiques et juridiques.

B. La sécurité en tant que motif déterminant du recours à la cryptologie

175. Principe de confiance. La sécurité constitue une composante fondamentale dans la relation entre l’organisme bancaire et financier et son client, mais aussi dans la construction et l’évolution de son système informatique. Cela est d’autant plus vrai que le développement des opérations bancaires en ligne se substitue peu à peu aux relations « physiques » de contact. Le client ne se rend plus systématiquement à l’agence pendant les heures de bureau pour demander à son agent d’effectuer un paiement, d’exécuter un ordre de bourse ou de souscrire un contrat d’assurance vie. Désormais, il peut matériellement accomplir ces opérations en ligne, depuis un poste informatique, quel que soit le jour de la semaine ou l’heure.

176. Utilité. En conséquence, il convient de protéger le système, les applications informatiques, ainsi que toutes les données qui s’y trouvent, contre les intrusions de tiers mal intentionnés. Par définition, l’Internet est un réseau ouvert et permet un accès externe à des bases de données sur un serveur web. L’organisme bancaire et financier doit veiller à utiliser les outils qui permettent de bloquer et de repousser des fraudeurs qui tenteraient d’accéder aux données sensibles conservées et traitées par ses serveurs. Il doit également développer des solutions alternatives afin de faire face à des attaques – tant externes qu’internes – qui auraient pour effet d’entraîner une indisponibilité prolongée du service. De surcroît, le risque de détournement de sites – qui constitue une nouvelle menace induite par l’usage d’Internet – ne doit pas être négligé. Il consiste à substituer à des sites « officiels » (d’une banque par exemple) et parfaitement honorables, des services visant à nuire à l’image des premiers, voire d’organiser un système de fraude202.

177. Identification. Par ailleurs, il convient également de protéger le client qui se connecte à distance à des données bancaires et financières. Il doit être en mesure de s’authentifier correctement (tout en étant certain qu’un tiers ne puisse usurper son identité) et d’accéder à l’ensemble des données le concernant. Il doit en outre être assuré que, lorsqu’il transmettra des données de son terminal vers le serveur de la banque, la confidentialité et l’intégrité de celles-ci seront préservées. Ces impératifs sont d’autant plus importants que les données manipulées ont un caractère sensible.

178. Problème de l’externalisation. La problématique de la sécurité gagne en complexité dès lors que les établissements externalisent tout ou partie du développement des applications bancaires et financières électroniques. Dans ce cas, ceux-ci n’assurent plus toujours une maîtrise directe des aspects de sécurité. Or un établissement bancaire et financier qui négligerait ces précautions lors du développement de ses activités en ligne pourrait voir engager sa responsabilité afin de réparer le préjudice subi par ses clients, et mettre en péril non seulement sa réputation mais aussi celle de tout le secteur. Ces graves dysfonctionnements peuvent susciter une perte de confiance de la part de la clientèle et, par propagation, porter préjudice à l’ensemble de la communauté financière.

179. Une action commune. Nul doute que dans ce contexte, l’ensemble des établissements du secteur bancaire et financier collabore en vue de s’accorder sur les standards de sécurité à développer. L’utilisation des produits de cryptologie contribue à réduire fortement le risque de survenance des multiples menaces précédemment énoncées. En effet, avec les architectures centralisées des débuts de l’informatique, une protection physique du centre de calcul suffisait généralement pour éviter les dommages. Désormais, il est indispensable de disposer de moyens de sécurité beaucoup plus souples afin de faire face aux problèmes créés par l’émergence d’une informatique plus éclectique, plus répandue et surtout plus distribuée. Ainsi, on ressent de plus en plus la nécessité de protéger logiquement les systèmes informatiques. Quoi qu’il en soit, la cryptographie ou cryptologie offre un moyen efficace de protéger les informations. Les techniques de cryptage sont variées et permettent de garantir diverses fonctions.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales

Plan Sommaire :
Première partie : La prestation de services bancaires et financiers sur l’internet et le bon fonctionnement du marché
Titre 1 : La clause de marché intérieur comme fondement de la libre prestation de services bancaires et financiers sur l’Internet
Chapitre 1er : Portée de la clause de marché intérieur
Chapitre 2 : L’impact de la clause de marché intérieur
Titre II – La sécurité technique et juridique des opérations bancaires et financières sur l’Internet
Chapitre 1er : Cryptologie et facturation par voie électronique comme réponses aux attentes sécuritaires
Chapitre 2 : Moyens de paiement en ligne comme nouvelles opportunités pour les établissements bancaires et financiers
Titre III – La résolution des litiges internationaux relatifs aux opérations bancaires et financières sur l’Internet
Chapitre 1er : Juge compétent et loi applicable aux litiges relatifs aux opérations bancaires et financières sur l’Internet
Chapitre 2 : Les modes de règlement extrajudiciaire des litiges
Deuxième partie : La prestation de services bancaires et financières sur l’internet et la protection des consommateurs
Titre I : Le formalisme et la preuve des transactions bancaires et financières sur l’Internet
Chapitre 1er : Le formalisme lié à la prestation de services bancaires et financiers sur l’Internet
Chapitre 2 : De quelques exemples de contraintes spécifiques
Titre II – La réglementation des services bancaires et financiers à distance
Chapitre 1er : La protection du consommateur confrontée à l’offre de services bancaires et financiers en ligne
Chapitre 2 : L’articulation des directives « commerce électronique » et « services financiers à distance »
Titre III – La protection des données personnelles dans le cadre des opérations bancaires et financières en ligne
Chapitre 1er : La protection par les droits accordés
Chapitre 2 : La protection par les obligations imposées