Assurer la confidentialité des données à l'étranger

Ici, on discute de l'anonymat et de la préservation des données personnelles sur le net. Il est également question de crypographie puisque ce domaine est étroitement liée au sujet.

Modérateur: modos Ixus

Assurer la confidentialité des données à l'étranger

Messagepar kenshir0 » 11 Juil 2007 21:06

Salut à tous !

- ce topic est à cheval sur deux parties du forum (legislation et cryptage)-

Voilà il faut que je trouve une solution pour protéger les données d'entreprise des portables de nos expatriés.
Le problème se pose notamment pour la Chine et le Viet-Nam où il est interdit de crypter quoi que ce soit.

Bref, est-ce que certains d'entre vous se sont retrouvés confrontés à ce problème et quelle(s) solution(s) avez-vous trouvé ?

D'autre part, est-ce qu'un tunnel VPN crypté est inclus dans l'interdiction qu'impose ces pays ?
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar Walkyrie_II » 11 Juil 2007 23:20

L'ambase ne peut pas répondre à ce type de question ? Cela aurait le mérite d'être fiable comme information.
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar kenshir0 » 12 Juil 2007 06:25

justement c'est comme ça que l'on a su que c'était interdit. du coup ma question c'est comment protéger les données sans cryptage car la dessus on a pas vraiment d'infos....à par:

"ne perdez pas votre portable, ne vous le faites pas voler ni pirater"
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar tomtom » 12 Juil 2007 11:02

Personellement, j'ai toujours utilisé du VPN, mais oui c'est interdit.

Dans les ambassades, tu fais ce que tu veux, mais les expats ne sont pas tous attachés d'ambassade ;)

Un autre moyen que la crypto peut etre d'utiliser de la steganographie. Si les données sont hautement sensibles, c'est un peu juste, mais pour la majorité des cas ca devrait aller. puis c'est toujours mieux que rien.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kenshir0 » 12 Juil 2007 18:10

alors apparemment, pour utiliser le chiffrement en chine (ou un autre pays qui restreint son utilisation) il faut se déclarer à l'ambassade de Chine pour obtenir une dérogation spéciale d'utilisation.

Merci tomtom pour ton idée de la steganographie mais elle n'emballe pas notre département sécurité
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar tomtom » 12 Juil 2007 18:56

Oui ca ne m'étonne pas ;)

Sauf erreur de ma part, la Chine est au régime déclaratoire pour l'importation et l'utilisation de produits utilisant de la crypto. Il faut aussi fournir les clés à un tiers de confiance (il fallait ?)

Il y a quelques années, la décision avait été prise il me semble d'interdire complètement les produits incorporant des moyens de chiffrement, ce qui interdisait de fait IE ! Mais suite à la pression internationale, je crois que la Chine avait décidé de revenir au régime déclaratoire avec "tiers de confiance" (!?)

Je connais quelques expats dans des secteurs divers, je n'ai jamais entendu parler de problèmes, je pense que dans l'ensemble les boites expatriées ne sont pas trop embêtées. Si vous décidiez de vendre des softs de chiffrement aux chinois, ce serait plus problématique...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kenshir0 » 12 Juil 2007 19:12

détrompe toi ! un de nos expat s'est fait chopé à parler breton et ça a failli mal se passer !
Faut pas déconner avec les chinois c'est pas des marrant.

De nombreux pays ont longtemps considérés la crypto comme arme de guerre et donc comme domaine exclusivement réservé à l'état.

Les chinois continuent à la considérer comme telle mais leur régime plutôt autoritaire impose la prudence.

Un exemple: récemment ils n'ont pas hésité à condamner à mort et exécuter un de leur ministre qui avait accepté quelques pots de vins.

En France le gars serait ressorti avec un sursis de 3 mois et quelques semaines d'inéligibilité.....
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar tomtom » 12 Juil 2007 19:18

Je parlais de la crypto uniquement ;)


De nombreux pays ont longtemps considérés la crypto comme arme de guerre et donc comme domaine exclusivement réservé à l'état.
Et continuent ;) Je connais bien ce sujet ;)


Les chinois continuent à la considérer comme telle mais leur régime plutôt autoritaire impose la prudence.

La règle officielle pour la chine :
http://www.cabi.net.cn/view_article.php?id=562

Régime déclaratoire pour les étrangers donc, et pas de tiers de confiance (il me semblait ?)


Un exemple: récemment ils n'ont pas hésité à condamner à mort et exécuter un de leur ministre qui avait accepté quelques pots de vins.

En France le gars serait ressorti avec un sursis de 3 mois et quelques semaines d'inéligibilité.....


D'une part il ne faut pas tout mélanger (la corruption et l'usage de la crypto commercilae pour une boite), d'autre part il s'agissait d'un chinois.
Je connais des expats dans des cabinets d'audit, dans l'automobile, etc. Ces gens vivent quasiment normalement, vont dans des bars, utilisent Internet, et aucun n'a été condamné à mort jusqu'ici :)

Le gouvernement chinois est sans doute très autoritaire, mais on ne rigole pas avec le business ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 12 Juil 2007 19:22

A titre comparatif, la loi française :

http://www.ssi.gouv.fr/fr/reglementatio ... rypto.html

Et la libéralisation totale de l'usage est très récente (début des années 2000 il me semble, voire plus récemment) ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kenshir0 » 12 Juil 2007 19:35

nan mon exemple visait simplement à argumenter le fait qu'il faut bien faire attention à respecter la règle là-bas car les autorités plaisantent pas.

Il faut faire bien attention à préparer ses voyages dans ce pays:

Surtout si tu représentes une grande société (comme dans mon cas) qui possède des données plutôt stratégiques(donc qui ont besoin d'être protégées), il convient de bien informer chaque expatrié que se balader avec le portable société possédant des softs de cryptage est plutôt risqué s'il n'a pas au préalable effectué sa demande qui l'autorise à les utiliser.

Après c'est sûr, la Chine c'est pas l'Irak tu peux y vivre comme dans n'importe quel autre pays "sûr" et à peu près démocratique.
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar Walkyrie_II » 12 Juil 2007 19:47

kenshir0 a écrit:De nombreux pays ont longtemps considérés la crypto comme arme de guerre....

t. +1. C'est une arme de guerre... voir régle d'exportation US

tomtom a écrit:....Et la libéralisation totale de l'usage est très récente (début des années 2000 il me semble, voire plus récemment) ;)t.
Mais l'état peu exiger l'ouverture des fichiers chiffés :)

tomtom a écrit:Un autre moyen que la crypto peut etre d'utiliser de la steganographie. t.

Surtout que certain outils permettent en plus de chiffrer en AES. Le tout associé dans de l'audio de basse qualité du type conversation téléphonique pré-enregistrée... :wink:

-----

Je rebondi sur le sujet pour parler téléphone chiffrant. De grandes sociétés utilisent des téléphones chiffrants (mode Data) pour leurs communications inténationnales ou l'espionnage industriel est un risque important. Mais certains pays, dés qu'une comm data est détectée, l'opérateur nationnal coupe.
==> Donc pas la peine d'espérer passé par un GSM chiffrant ;)

Sinon reste la valise imarsat couplée avec un boitier chiffrant ex :http://www.thales-esecurity.com/ProductsServices/Mistral_French.shtml , mais bon c un peu cher pour un vpn en cout de fonctionnement :lol: Si c'est épisodique, c'est envisagable mais ce n'est pas légale dans ce type de pays.

Pour le stokage il y des produits comme http://www.bull.com/fr/trustway/rci.html pour éviter le stokage sur le pc et le risque de "vol"...
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar arapaho » 13 Juil 2007 11:51

Désolé, je reviens sur la crypto à l'étranger.

Est-ce que l'import/export de moyens de cryptologie est homogénéisé au niveau européen ? Je détaille:
Je dispose d'un interconnexion entre 60+ structures dont certaines se trouvent en Belgique, Luxembourg et Suisse. Nous utilisons, entre autres, de l'ipsec, du kerberos, du ssh et des certificats SSL gérés en interne. Je me doutais bien que nous ne respections pas la législation en vigueur en France et dans ces pays et nous allons d'ici la fin de l'année faire un point afin de nous y conformer dans la mesure du possible. La limitation de 128 bits me fait un peu tiquer dans le sens où nous utilisons par exemple des clefs DSA de 1024 bits [FIPS 186-2] pour le ssh, ou de l'aes 256 bits pour le kerberos et plus si affinités ....

Donc en gros, nous sommes vraisemblablement dans l'illégalité la plus totale; avons-nous une chance d'obtenir les autorisations s'il y a lieu ou bien allons-nous continuer comme ça en pensant bien fort que nous ne sommes pas les seuls à être dans cette situation ?
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar tomtom » 13 Juil 2007 14:41

Salut,

Je crois que l'europe est assez harmonisée sur ce sujet. (CF accords de wassenaar)


Pour la longueur des clés, pas de soucis, comme je le disais en France (et sans doute en europe, du moins UE), l'usage est totalement libéralisé. Tant que les solutions utilisées respectent les règles d'importation/fourniture, c'est OK.

Tout est là :
http://www.ssi.gouv.fr/fr/reglementatio ... tml#crypto

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kenshir0 » 13 Juil 2007 21:58

du même site, de façon synthétique

http://www.ssi.gouv.fr/fr/reglementatio ... rypto.html

perso dans notre entreprise, on a pas de recommandation particulière pour les pays de l'union vu l'harmonisation qui existe.
kenshir0
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 05 Mai 2006 06:22

Messagepar S0l0 » 17 Juil 2007 17:23

Et avez-vous pensez a l'obfuscation , pas besoin d'un soft qui crypte du 4096 et en plus vous n'etes pas hors-la loi :roll: ( qui n'a jamais lu les lettre de georges sand a alfred musset ) .
Soit c'est une securite plus que bidon mais c'est mieux que la prison ...

Ou encore plus bidon mais sure aussi faire voyagez les dosument en plusieurs fragments winrar , power archiveur possedent cette fonctionnalite (et surement d'autres ) ...

La loi ne prevoit pas que les gens voyage avec un jour les voyelles alors que les consonnes sont deja sur place :lol: , ou cas ou ce n'est ps sure c'est pas e la crypto ne garanti pas la confidentialite , mais ca concient parfaitement a ce que tu recherche.
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Suivant

Retour vers Confidentialité et Cryptographie

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron