S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Mot de passe : des questions et réponses secrètes, sauf pour le gouvernement

Roudoudou, Micheline, 27 cm et 1 rue des Lilas

Ce week-end, le gouvernement a fait publier au journal officiel un décret visant à revoir les données que doivent conserver les intermédiaires techniques. S'il supprime la récente obligation faite aux intermédiaires de stocker les mots de passe des utilisateurs, le décret oblige ceux-ci à se souvenir et communiquer les réponses aux questions secrètes sur simple réquisition.

elysee plan besson ministre

En février 2011, un premier décret décrivait dans un luxe de détails l’ensemble des données qui doivent être stockées par les hébergeurs afin de répondre aux réquisitions judiciaires. Dans le lot, l’une détonnait puisqu’il obligeait les intermédiaires techniques à stocker « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ».

Mot de passe stockés en clair puis transmis

L’ASIC avait déposé un recours en annulation contre ce décret LCEN devant le Conseil d’État. D’une part, le texte n’avait pas été notifié à Bruxelles comme le veut le droit européen. D’autre part, l’obligation de conserver le mot de passe va trop loin, selon l’association des acteurs du Web 2.0 : les intermédiaires doivent certes conserver les données d’identification des internautes, mais le mot ne passe n’est pas l’une de ces données. Il sert à s’identifier sur un compte non à identifier une personne. Nuance !

Autre chose, dès lors que les acteurs du web doivent transmettre le mot de passe, cela suppose qu’il soit stocké en clair. Soit une révolution pour le droit des TIC, et pas nécessairement dans le bon sens. En outre, on imagine assez facilement le risque d’une telle communication pour l’internaute qui n’utilise qu’un mot de passe pour l’ensemble de ses comptes… Avec en trame de fond, un risque évident pour la vie privée. Des critiques partagées par l’ARCEP elle-même.

Demi Patch

Ce week-end, donc, le gouvernement a patché son décret. Il supprime l’obligation de conserver les mots de passe, mais maintient celle de stocker « Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ». En clair, les réponses aux questions secrètes, les indices, etc. qui permettent à un abonné de retrouver son mot de passe devront être communiqués aux enquêteurs si la justice le souhaite.

Fait intéressant, le Conseil national du numérique avait demandé au gouvernement de supprimer toute obligation de conservation du mot de passe mais également des données permettant de le vérifier. « Cette donnée de "vérification" permet alors d'accéder et/ou modifier le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié » considère le CNNum.

L'avis en demi teinte du CNNum

Le CNNum a du coup rendu public son avis n° 6 du 21 novembre 2011 sollicité par le gouvernement. Il y dénonce cette extension de la conservation des données en soulignant ses ombres : « le mot de passe et a fortiori les informations permettant de retrouver le mot de passe ne permettent pas de procéder à l’identification d’une personne. Au contraire, et comme indiqué dans le projet de décret, la finalité des données collectées par l’intermédiaire est de « vérifier le mot de passe ou de le modifier », et donc en aucun cas d’identifier la personne elle-même. Certains de ces éléments collectés sont potentiellement des éléments de la vie privée de la personne physique (nom de la première petite amie, etc.) qui sortent du périmètre des données que les intermédiaires de l’internet sont autorisés à communiquer sur la base d’une réquisition judiciaire ».

Autre chose : « communiquer ces données permettrait alors à la personne qui en serait destinataire de pouvoir accéder et/ou modifier le mot de passe d’un utilisateur et donc, potentiellement, permettrait d’accéder à des informations en dehors du cadre légal approprié ».

Le Conseil avait demandé en conséquence que ces références aux mots de passe et à la réponse aux questions secrètes soient intégralement supprimées. Il n’a été suivi qu’à moitié par le gouvernement qui a supprimé seulement la partie « mot de passe » mais a conservé la partie réponse à la question secrète.

Mise à jour : Paul Guermonprez (@guermonprez) nous précise sur Twitter que cette obligation de conservation va aussi et surtout concerner le hash du mot de passe, pas seulement les questions.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 02/04/2012 à 16:14

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 48 commentaires

Avatar de yvan INpactien
yvan Le lundi 2 avril 2012 à 16:23:17
Inscrit le mardi 21 janvier 03 - 8138 commentaires
Roudoudou, Micheline, 27 cm et 1 rue des Lilas



Sinon c'est effarant bien entendu, vivement qu'ils obligent la poste à conserver une photocopie de tous les courriers papier pendant deux ans et une clé de chez moi pour récupérer les cartes postales ou que la douane puisse regarder le contenu des colis reçus et qui je reçois chez moi, quel est le contenu de ma bibliothèque, à quels jeux je joue, qui sont mes amis.

Je pense que la lutte des pays libres contre les terroristes ennemis de la liberté ne fait que progresser, on ne peut que se féliciter que l'état veuille nous protéger ainsi. Vive la liberté (dans les limites normales fixées par l'état bien entendu), vive la France !

Edité par yvan le lundi 2 avril 2012 à 16:28
Avatar de yukon_42 INpactien
yukon_42 Le lundi 2 avril 2012 à 16:23:40
Inscrit le mardi 19 juin 07 - 1488 commentaires
L' Angleterre veut tout stocker ( d'ailleurs étonnant de pas voir de news sur le sujet sur pcINpact) la France va encore plus loin -> quel pays de visionnaire :!
Avatar de GentooUser INpactien
GentooUser Le lundi 2 avril 2012 à 16:27:08
Inscrit le lundi 4 juillet 05 - 1696 commentaires
Et si on n'utilise pas de conneries genre question secrète etc. on n'a donc plus aucune obligation au niveau des mots de passes ?
Avatar de Khalev INpactien
Khalev Le lundi 2 avril 2012 à 16:27:28
Inscrit le mercredi 1 avril 09 - 5643 commentaires
"Ah on a pas droit aux mots de passe? Et bien on va voir vos questions/réponses secrètes pour pouvoir modifier votre mot de passe"

Ils ne veulent pas non plus recevoir les e-mails de réactivation sur leur boite mail?

Avatar de indyiv INpactien
indyiv Le lundi 2 avril 2012 à 16:29:03
Inscrit le mercredi 19 mai 10 - 2843 commentaires
bizarre, a l'heure ou on met en examen un majordome pour avoir divulgué des informations qui ont permis de reveler (entre autres) une fraude fiscale monumentale; l'etat s'arroge le droit en tout discretion de fouiller dans les affaires privées de tout citoyen ...

Il y a 48 commentaires

;