S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Mot de passe : des questions et réponses secrètes, sauf pour le gouvernement

Roudoudou, Micheline, 27 cm et 1 rue des Lilas

Ce week-end, le gouvernement a fait publier au journal officiel un décret visant à revoir les données que doivent conserver les intermédiaires techniques. S'il supprime la récente obligation faite aux intermédiaires de stocker les mots de passe des utilisateurs, le décret oblige ceux-ci à se souvenir et communiquer les réponses aux questions secrètes sur simple réquisition.

elysee plan besson ministre

En février 2011, un premier décret décrivait dans un luxe de détails l’ensemble des données qui doivent être stockées par les hébergeurs afin de répondre aux réquisitions judiciaires. Dans le lot, l’une détonnait puisqu’il obligeait les intermédiaires techniques à stocker « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ».

Mot de passe stockés en clair puis transmis

L’ASIC avait déposé un recours en annulation contre ce décret LCEN devant le Conseil d’État. D’une part, le texte n’avait pas été notifié à Bruxelles comme le veut le droit européen. D’autre part, l’obligation de conserver le mot de passe va trop loin, selon l’association des acteurs du Web 2.0 : les intermédiaires doivent certes conserver les données d’identification des internautes, mais le mot ne passe n’est pas l’une de ces données. Il sert à s’identifier sur un compte non à identifier une personne. Nuance !

Autre chose, dès lors que les acteurs du web doivent transmettre le mot de passe, cela suppose qu’il soit stocké en clair. Soit une révolution pour le droit des TIC, et pas nécessairement dans le bon sens. En outre, on imagine assez facilement le risque d’une telle communication pour l’internaute qui n’utilise qu’un mot de passe pour l’ensemble de ses comptes… Avec en trame de fond, un risque évident pour la vie privée. Des critiques partagées par l’ARCEP elle-même.

Demi Patch

Ce week-end, donc, le gouvernement a patché son décret. Il supprime l’obligation de conserver les mots de passe, mais maintient celle de stocker « Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ». En clair, les réponses aux questions secrètes, les indices, etc. qui permettent à un abonné de retrouver son mot de passe devront être communiqués aux enquêteurs si la justice le souhaite.

Fait intéressant, le Conseil national du numérique avait demandé au gouvernement de supprimer toute obligation de conservation du mot de passe mais également des données permettant de le vérifier. « Cette donnée de "vérification" permet alors d'accéder et/ou modifier le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié » considère le CNNum.

L'avis en demi teinte du CNNum

Le CNNum a du coup rendu public son avis n° 6 du 21 novembre 2011 sollicité par le gouvernement. Il y dénonce cette extension de la conservation des données en soulignant ses ombres : « le mot de passe et a fortiori les informations permettant de retrouver le mot de passe ne permettent pas de procéder à l’identification d’une personne. Au contraire, et comme indiqué dans le projet de décret, la finalité des données collectées par l’intermédiaire est de « vérifier le mot de passe ou de le modifier », et donc en aucun cas d’identifier la personne elle-même. Certains de ces éléments collectés sont potentiellement des éléments de la vie privée de la personne physique (nom de la première petite amie, etc.) qui sortent du périmètre des données que les intermédiaires de l’internet sont autorisés à communiquer sur la base d’une réquisition judiciaire ».

Autre chose : « communiquer ces données permettrait alors à la personne qui en serait destinataire de pouvoir accéder et/ou modifier le mot de passe d’un utilisateur et donc, potentiellement, permettrait d’accéder à des informations en dehors du cadre légal approprié ».

Le Conseil avait demandé en conséquence que ces références aux mots de passe et à la réponse aux questions secrètes soient intégralement supprimées. Il n’a été suivi qu’à moitié par le gouvernement qui a supprimé seulement la partie « mot de passe » mais a conservé la partie réponse à la question secrète.

Mise à jour : Paul Guermonprez (@guermonprez) nous précise sur Twitter que cette obligation de conservation va aussi et surtout concerner le hash du mot de passe, pas seulement les questions.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 02/04/2012 à 16:14

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 48 commentaires

Avatar de orklah INpactien
orklah Le lundi 2 avril 2012 à 16:45:27
Inscrit le vendredi 2 juillet 10 - 311 commentaires
Et quand le site n'enregistre que le MD5 du mot de passe (plus grain de sable évidemment), on fait comment ? ;-)


C'est une des raisons pour laquelle le mot de passe n'est plus demandé dans la loi, relis bien l'article.
Avatar de Schpountz42 INpactien
Schpountz42 Le lundi 2 avril 2012 à 16:54:22
Inscrit le jeudi 26 février 09 - 2586 commentaires


Tout intermédiaire ayant le statut d'hébergeur et soumis au droit Français. Traduire: Théoriquement, 99% du web.

Mais ça ne m'éclaire pas avec ce statut d'hébergeur...
Si je développe un site que j'héberge sur OVH par exemple... Qui aura cette obligation? Moi ou OVH?
Avatar de eyce INpactien
eyce Le lundi 2 avril 2012 à 16:58:03
Inscrit le jeudi 30 octobre 08 - 17 commentaires
Question secrète :
Quel est le hash MD5 du prénom de votre première petite amie ?

Avatar de Snake-Ice INpactien
Snake-Ice Le lundi 2 avril 2012 à 16:58:05
Inscrit le lundi 30 novembre 09 - 452 commentaires


C'est une des raisons pour laquelle le mot de passe n'est plus demandé dans la loi, relis bien l'article.


Dans la mise à jour de 16h15, il y a aussi stockage du hash...
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le lundi 2 avril 2012 à 17:04:33
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Paul Guermonprez nous précise sur Twitter que cette oligation de conservation va aussi et surtout concerner le hash du mot de passe


super intéressant l'accès aux hash du mdp... c'est pour construire des rainbow tables ?
Avatar de Schpountz42 INpactien
Schpountz42 Le lundi 2 avril 2012 à 17:08:12
Inscrit le jeudi 26 février 09 - 2586 commentaires


Dans la mise à jour de 16h15, il y a aussi stockage du hash...

Est-on obligé de leur déclarer quelle fonction de hachage a été utilisée? Ou ils se démerdent?
Avatar de Oungawak INpactien
Oungawak Le lundi 2 avril 2012 à 17:08:12
Inscrit le mercredi 20 août 08 - 1536 commentaires
Et quand le site n'enregistre que le MD5 du mot de passe (plus grain de sable évidemment), on fait comment ? ;-)

On inflige 10 000 € d'amende par mot de passe non stocké et par jour de retard dans la mise en conformité du site. Avec fichage du Webmaster pendant 50 ans comme possible membre de WikiLeaks, Anonymous ou toute autre organisation terroriste internationale. Et s'il peut pas payer on autorise les banques à piller la totalité de son patrimoine.

Ah j'oubliais, on met en prison aussi toutes les personnes qui auront visionné ce site maintenant considéré comme terroriste. Ainsi que les lecteurs de leur site perso/réseau social respectif puisque devenu à leur tour terroriste, et ainsi de suite.

Et fait attention à la manière dont tu parles, on dirait que tu les défends, tu te rend coupable de possible intention d'incitation à promouvoir des aides à la réalisation de crimes. Tu risque une peine de mort exemplaire. Non mais tu te crois dans un pays libre non civilisé où on peut faire ce qu'on veut ou quoi ? baton.gif

Edité par Oungawak le lundi 2 avril 2012 à 17:12
Avatar de GruntZ INpactien
GruntZ Le lundi 2 avril 2012 à 17:08:39
Inscrit le jeudi 7 septembre 06 - 601 commentaires
A vous dégouter d'ouvrir le moindre compte sur un service soumis au droit français ...
C'est pas forcément bon pour notre économie numérique, ça

Quid des identifications tierces via OpenId par exemple ?
Avatar de migreur INpactien
migreur Le lundi 2 avril 2012 à 17:23:34
Inscrit le mardi 25 octobre 05 - 339 commentaires
on ne peut que se féliciter que l'état veuille nous protéger ainsi.



ce n'est pas de moi, mais "celui qui accepte de perdre un peu de liberté contre un peu plus de sécurité n'aura ni l'un ni l'autre et perdra tout les deux".
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 2 avril 2012 à 17:26:07
Inscrit le vendredi 31 octobre 08 - 27132 commentaires
S'ils veulent mes questions secrètes et les réponses tordues qui vont avec, bonne chance...
;