S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Mot de passe : des questions et réponses secrètes, sauf pour le gouvernement

Roudoudou, Micheline, 27 cm et 1 rue des Lilas

Ce week-end, le gouvernement a fait publier au journal officiel un décret visant à revoir les données que doivent conserver les intermédiaires techniques. S'il supprime la récente obligation faite aux intermédiaires de stocker les mots de passe des utilisateurs, le décret oblige ceux-ci à se souvenir et communiquer les réponses aux questions secrètes sur simple réquisition.

elysee plan besson ministre

En février 2011, un premier décret décrivait dans un luxe de détails l’ensemble des données qui doivent être stockées par les hébergeurs afin de répondre aux réquisitions judiciaires. Dans le lot, l’une détonnait puisqu’il obligeait les intermédiaires techniques à stocker « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ».

Mot de passe stockés en clair puis transmis

L’ASIC avait déposé un recours en annulation contre ce décret LCEN devant le Conseil d’État. D’une part, le texte n’avait pas été notifié à Bruxelles comme le veut le droit européen. D’autre part, l’obligation de conserver le mot de passe va trop loin, selon l’association des acteurs du Web 2.0 : les intermédiaires doivent certes conserver les données d’identification des internautes, mais le mot ne passe n’est pas l’une de ces données. Il sert à s’identifier sur un compte non à identifier une personne. Nuance !

Autre chose, dès lors que les acteurs du web doivent transmettre le mot de passe, cela suppose qu’il soit stocké en clair. Soit une révolution pour le droit des TIC, et pas nécessairement dans le bon sens. En outre, on imagine assez facilement le risque d’une telle communication pour l’internaute qui n’utilise qu’un mot de passe pour l’ensemble de ses comptes… Avec en trame de fond, un risque évident pour la vie privée. Des critiques partagées par l’ARCEP elle-même.

Demi Patch

Ce week-end, donc, le gouvernement a patché son décret. Il supprime l’obligation de conserver les mots de passe, mais maintient celle de stocker « Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ». En clair, les réponses aux questions secrètes, les indices, etc. qui permettent à un abonné de retrouver son mot de passe devront être communiqués aux enquêteurs si la justice le souhaite.

Fait intéressant, le Conseil national du numérique avait demandé au gouvernement de supprimer toute obligation de conservation du mot de passe mais également des données permettant de le vérifier. « Cette donnée de "vérification" permet alors d'accéder et/ou modifier le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié » considère le CNNum.

L'avis en demi teinte du CNNum

Le CNNum a du coup rendu public son avis n° 6 du 21 novembre 2011 sollicité par le gouvernement. Il y dénonce cette extension de la conservation des données en soulignant ses ombres : « le mot de passe et a fortiori les informations permettant de retrouver le mot de passe ne permettent pas de procéder à l’identification d’une personne. Au contraire, et comme indiqué dans le projet de décret, la finalité des données collectées par l’intermédiaire est de « vérifier le mot de passe ou de le modifier », et donc en aucun cas d’identifier la personne elle-même. Certains de ces éléments collectés sont potentiellement des éléments de la vie privée de la personne physique (nom de la première petite amie, etc.) qui sortent du périmètre des données que les intermédiaires de l’internet sont autorisés à communiquer sur la base d’une réquisition judiciaire ».

Autre chose : « communiquer ces données permettrait alors à la personne qui en serait destinataire de pouvoir accéder et/ou modifier le mot de passe d’un utilisateur et donc, potentiellement, permettrait d’accéder à des informations en dehors du cadre légal approprié ».

Le Conseil avait demandé en conséquence que ces références aux mots de passe et à la réponse aux questions secrètes soient intégralement supprimées. Il n’a été suivi qu’à moitié par le gouvernement qui a supprimé seulement la partie « mot de passe » mais a conservé la partie réponse à la question secrète.

Mise à jour : Paul Guermonprez (@guermonprez) nous précise sur Twitter que cette obligation de conservation va aussi et surtout concerner le hash du mot de passe, pas seulement les questions.
Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 02/04/2012 à 16:14

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;