La certification électronique passe sous le contrôle de la
La certification électronique passe sous le
contrôle de la Défense nationale
Un décret va enlever des prérogatives de l'ANRT portant sur les données cryptées
et les certificats électroniques et les placera sous la tutelle de l'Administration de
la défense nationale. Un document qui suscite la polémique.
Le Conseil du gouvernement examine ce jeudi 15 mai un projet de décret qui permettra
à l'Administration de la défense nationale de régir à tout ce qui se rapporte à
l'homologation de la certification des signatures électroniques et de la
cryptographie. Ces prérogatives ont jusque-là été du ressort de l'Agence nationale de
réglementation des télécommunications (ANRT).
Une fois adopté, ce décret devra être mis en œuvre par le ministère du Commerce,
Page 1/3
de l'Industrie, de l'Investissement et de l'économie numérique.
Le document modifiera au passage plusieurs textes juridiques, dont la loi 53-05 portant
sur l'échange électronique des données juridiques. A l'issue de ce changement, ce
sera l'Administration de la défense nationale qui accordera l'autorisation d'exercice sur le
territoire marocain aux organismes de certification électronique.
Le décret explique que cette mesure entre dans le cadre de l'harmonisation juridique du
secteur, et par un souci de protection des données nationales contre toute attaque
éventuelle, que celle-ci provienne de l'intérieur du pays ou de l'étranger.
Une source gouvernementale explique à Médias 24 que la mesure entre dans le cadre
des engagements du Maroc à l'international. ' Attribuer ces prérogatives à la Défense
nationale, c'est le modèle le plus courant dans le monde” affirme-t-elle.
L'adoption de ce décret sera donc la dernière étape de ce processus après la
publication, dans un Bulletin officiel sous le gouvernement Abbas El Fassi en 2011, d'un
décret donnant naissance à deux institutions: la Commission stratégique de la
sécurité des systèmes d'information et la Direction générale de la sécurité des
systèmes d'information.
C'est à cette dernière qu'a été confiée la mission d'organiser le secteur de la
cryptographie et la certification électronique.
Les organismes de certification de classe 3+ sont les seuls concernés par cette
procédure. Cette classe stipule que la signature électronique doit être faite via une
clé privée délivrée et d'un certificat associé sur un support physique (une clé usb
ou une carte à puce).
Ces organismes devront désormais adresser une demande à l'Administration de la
défense nationale, qui effectuera un audit de sécurité très détaillé comprenant des
enquêtes sur les membres du personnel de l'organisme, la situation financière, la solidité
du système d'information et jusqu'à des études antisismiques des locaux de l'entreprise.
Par la suite, un audit du processus de la cryptographie de l'organisme sera opéré par
les équipes de la Défense.
Jusque-là, Barid Al Maghrib est la seule entité concernée par la certification
électronique de classe 3+. Il sera probablement suivi par les organismes de certification
de transactions électroniques, qui sécurisent les opérations assurées par des entités
telles queMaroc Telecommerce qui pour l'instant dispose d'une certification de classe 3.
Selon notre responsable gouvernemental, ce modèle est similaire à celui de la
Page 2/3
France. D'ailleurs, un partenariat a été scellé entre la Direction générale de la sécurité
des systèmes d'information et l'Anssi, son équivalent en France, courant 2013 pour
développer une expertise commune aux deux entités.
Débat sur la transparence
Le projet de ce décret a été mis en ligne sur le site du Secrétariat général du
gouvernement deux jours avant sa présentation et son adoption certaine au Conseil du
gouvernement. Ce qui a été considéré par des utilisateurs sur les réseaux sociaux
comme une mise devant le fait accompli par le gouvernement. D'autant plus qu'aucun
débat n'a eu lieu auparavant sur ce transfert de prérogatives.
Par ailleurs, le passage de l'ANRT à l'Administration de la défense nationale, entité qui
n'a été épargnée ni par les câbles de Wikileaks ni par des ONG comme Transparency
pour son manque de transparence, pose quelques interrogations chez les
cyberactivistes.
Hisham Almiraat, directeur de Global Voices Advocacy, ONG internationale qui défend
la liberté d'expression en ligne, remet également en question le conflit d'intérêt que
pourrait représenter la Direction générale de la sécurité des systèmes d'information où
siègent également des représentants de services de renseignements (DGED/DST..). 'Le
gouvernement élu abandonne ses prérogatives en faveur d'une gestion opaque des
données numériques par les services de renseignements. On a vu à quel point c'est une
mauvaise idée même dans des pays prétendument démocratiques comme les
États-Unis. Quand on connaît l'opacité dans laquelle ces services fonctionnent on peut
s'inquiéter de la gestion des données personnelles dans ce pays.”
Et de conclure : 'Ce ne serait pas exagéré de considérer que c'est la porte ouverte à
une société panoptique dans laquelle on ne peut réellement se sentir libre de s'exprimer
car constamment vulnérable face à une forme de surveillance arbitraire”.
Page 3/3
1
/
3
100%
