Assurer la confidentialité des données à l'étranger

[kenshir0]

Salut à tous !

- ce topic est à cheval sur deux parties du forum (legislation et cryptage)-

Voilà il faut que je trouve une solution pour protéger les données d'entreprise des portables de nos expatriés.
Le problème se pose notamment pour la Chine et le Viet-Nam où il est interdit de crypter quoi que ce soit.

Bref, est-ce que certains d'entre vous se sont retrouvés confrontés à ce problème et quelle(s) solution(s) avez-vous trouvé ?

D'autre part, est-ce qu'un tunnel VPN crypté est inclus dans l'interdiction qu'impose ces pays ?

[Walkyrie_II]

L'ambase ne peut pas répondre à ce type de question ? Cela aurait le mérite d'être fiable comme information.

[kenshir0]

justement c'est comme ça que l'on a su que c'était interdit. du coup ma question c'est comment protéger les données sans cryptage car la dessus on a pas vraiment d'infos....à par:

"ne perdez pas votre portable, ne vous le faites pas voler ni pirater"

[tomtom]

Personellement, j'ai toujours utilisé du VPN, mais oui c'est interdit.

Dans les ambassades, tu fais ce que tu veux, mais les expats ne sont pas tous attachés d'ambassade

Un autre moyen que la crypto peut etre d'utiliser de la steganographie. Si les données sont hautement sensibles, c'est un peu juste, mais pour la majorité des cas ca devrait aller. puis c'est toujours mieux que rien.

t.

[kenshir0]

alors apparemment, pour utiliser le chiffrement en chine (ou un autre pays qui restreint son utilisation) il faut se déclarer à l'ambassade de Chine pour obtenir une dérogation spéciale d'utilisation.

Merci tomtom pour ton idée de la steganographie mais elle n'emballe pas notre département sécurité

[tomtom]

Oui ca ne m'étonne pas

Sauf erreur de ma part, la Chine est au régime déclaratoire pour l'importation et l'utilisation de produits utilisant de la crypto. Il faut aussi fournir les clés à un tiers de confiance (il fallait ?)

Il y a quelques années, la décision avait été prise il me semble d'interdire complètement les produits incorporant des moyens de chiffrement, ce qui interdisait de fait IE ! Mais suite à la pression internationale, je crois que la Chine avait décidé de revenir au régime déclaratoire avec "tiers de confiance" (!?)

Je connais quelques expats dans des secteurs divers, je n'ai jamais entendu parler de problèmes, je pense que dans l'ensemble les boites expatriées ne sont pas trop embêtées. Si vous décidiez de vendre des softs de chiffrement aux chinois, ce serait plus problématique...

t.

[kenshir0]

détrompe toi ! un de nos expat s'est fait chopé à parler breton et ça a failli mal se passer !
Faut pas déconner avec les chinois c'est pas des marrant.

De nombreux pays ont longtemps considérés la crypto comme arme de guerre et donc comme domaine exclusivement réservé à l'état.

Les chinois continuent à la considérer comme telle mais leur régime plutôt autoritaire impose la prudence.

Un exemple: récemment ils n'ont pas hésité à condamner à mort et exécuter un de leur ministre qui avait accepté quelques pots de vins.

En France le gars serait ressorti avec un sursis de 3 mois et quelques semaines d'inéligibilité.....

[tomtom]

Je parlais de la crypto uniquement

De nombreux pays ont longtemps considérés la crypto comme arme de guerre et donc comme domaine exclusivement réservé à l'état.

Et continuent Je connais bien ce sujet

Les chinois continuent à la considérer comme telle mais leur régime plutôt autoritaire impose la prudence.

La règle officielle pour la chine :
http://www.cabi.net.cn/view_article.php?id=562

Régime déclaratoire pour les étrangers donc, et pas de tiers de confiance (il me semblait ?)

Un exemple: récemment ils n'ont pas hésité à condamner à mort et exécuter un de leur ministre qui avait accepté quelques pots de vins.

En France le gars serait ressorti avec un sursis de 3 mois et quelques semaines d'inéligibilité.....

D'une part il ne faut pas tout mélanger (la corruption et l'usage de la crypto commercilae pour une boite), d'autre part il s'agissait d'un chinois.
Je connais des expats dans des cabinets d'audit, dans l'automobile, etc. Ces gens vivent quasiment normalement, vont dans des bars, utilisent Internet, et aucun n'a été condamné à mort jusqu'ici

Le gouvernement chinois est sans doute très autoritaire, mais on ne rigole pas avec le business

t.

[tomtom]

A titre comparatif, la loi française :

http://www.ssi.gouv.fr/fr/reglementatio ... rypto.html

Et la libéralisation totale de l'usage est très récente (début des années 2000 il me semble, voire plus récemment)

t.

[kenshir0]

nan mon exemple visait simplement à argumenter le fait qu'il faut bien faire attention à respecter la règle là-bas car les autorités plaisantent pas.

Il faut faire bien attention à préparer ses voyages dans ce pays:

Surtout si tu représentes une grande société (comme dans mon cas) qui possède des données plutôt stratégiques(donc qui ont besoin d'être protégées), il convient de bien informer chaque expatrié que se balader avec le portable société possédant des softs de cryptage est plutôt risqué s'il n'a pas au préalable effectué sa demande qui l'autorise à les utiliser.

Après c'est sûr, la Chine c'est pas l'Irak tu peux y vivre comme dans n'importe quel autre pays "sûr" et à peu près démocratique.

[Walkyrie_II]

De nombreux pays ont longtemps considérés la crypto comme arme de guerre....

t. +1. C'est une arme de guerre... voir régle d'exportation US

....Et la libéralisation totale de l'usage est très récente (début des années 2000 il me semble, voire plus récemment) t.

Mais l'état peu exiger l'ouverture des fichiers chiffés

Un autre moyen que la crypto peut etre d'utiliser de la steganographie. t.

Surtout que certain outils permettent en plus de chiffrer en AES. Le tout associé dans de l'audio de basse qualité du type conversation téléphonique pré-enregistrée...

-----

Je rebondi sur le sujet pour parler téléphone chiffrant. De grandes sociétés utilisent des téléphones chiffrants (mode Data) pour leurs communications inténationnales ou l'espionnage industriel est un risque important. Mais certains pays, dés qu'une comm data est détectée, l'opérateur nationnal coupe.
==> Donc pas la peine d'espérer passé par un GSM chiffrant

Sinon reste la valise imarsat couplée avec un boitier chiffrant ex :http://www.thales-esecurity.com/ProductsServices/Mistral_French.shtml , mais bon c un peu cher pour un vpn en cout de fonctionnement Si c'est épisodique, c'est envisagable mais ce n'est pas légale dans ce type de pays.

Pour le stokage il y des produits comme http://www.bull.com/fr/trustway/rci.html pour éviter le stokage sur le pc et le risque de "vol"...

[arapaho]

Désolé, je reviens sur la crypto à l'étranger.

Est-ce que l'import/export de moyens de cryptologie est homogénéisé au niveau européen ? Je détaille:
Je dispose d'un interconnexion entre 60+ structures dont certaines se trouvent en Belgique, Luxembourg et Suisse. Nous utilisons, entre autres, de l'ipsec, du kerberos, du ssh et des certificats SSL gérés en interne. Je me doutais bien que nous ne respections pas la législation en vigueur en France et dans ces pays et nous allons d'ici la fin de l'année faire un point afin de nous y conformer dans la mesure du possible. La limitation de 128 bits me fait un peu tiquer dans le sens où nous utilisons par exemple des clefs DSA de 1024 bits [FIPS 186-2] pour le ssh, ou de l'aes 256 bits pour le kerberos et plus si affinités ....

Donc en gros, nous sommes vraisemblablement dans l'illégalité la plus totale; avons-nous une chance d'obtenir les autorisations s'il y a lieu ou bien allons-nous continuer comme ça en pensant bien fort que nous ne sommes pas les seuls à être dans cette situation ?

[tomtom]

Salut,

Je crois que l'europe est assez harmonisée sur ce sujet. (CF accords de wassenaar)


Pour la longueur des clés, pas de soucis, comme je le disais en France (et sans doute en europe, du moins UE), l'usage est totalement libéralisé. Tant que les solutions utilisées respectent les règles d'importation/fourniture, c'est OK.

Tout est là :
http://www.ssi.gouv.fr/fr/reglementatio ... tml#crypto

t.

[kenshir0]

du même site, de façon synthétique

http://www.ssi.gouv.fr/fr/reglementatio ... rypto.html

perso dans notre entreprise, on a pas de recommandation particulière pour les pays de l'union vu l'harmonisation qui existe.

[S0l0]

Et avez-vous pensez a l'obfuscation , pas besoin d'un soft qui crypte du 4096 et en plus vous n'etes pas hors-la loi ( qui n'a jamais lu les lettre de georges sand a alfred musset ) .
Soit c'est une securite plus que bidon mais c'est mieux que la prison ...

Ou encore plus bidon mais sure aussi faire voyagez les dosument en plusieurs fragments winrar , power archiveur possedent cette fonctionnalite (et surement d'autres ) ...

La loi ne prevoit pas que les gens voyage avec un jour les voyelles alors que les consonnes sont deja sur place , ou cas ou ce n'est ps sure c'est pas e la crypto ne garanti pas la confidentialite , mais ca concient parfaitement a ce que tu recherche.