Protégez votre intimité
Le recours qui devrait être déposé demain par l’ASIC, association des services internet communautaires regroupant notamment de gros acteurs du web comme Google ou Facebook, me permet de réexaminer le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Ce décret est un décret d’application prévu à l’article 6 de la loi pour la confiance dans l’économie numérique qui précise les informations de connexion qui doivent être conservées par les fournisseurs de services de communication au public en ligne et les fournisseurs d’accès à ces services de communication. Ces informations pourront être réclamées sur réquisition de l’autorité judiciaire.
Jusque là, rien de très surprenant : on peut comprendre que, pour les besoins d’une enquête, l’autorité judiciaire puisse réclamer des informations permettant d’identifier une personne si l’on soupçonne qu’une infraction ait pu être commise. Toutefois, et c’est plus étonnant, le décret d’application dispose que font partie des données à conserver obligatoirement
3° g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour
Il s’agit ici d’une double abberration :
Idéalement, les sites ne stockent jamais le mot de passe de leurs utilisateurs. Ils en stockent une version chiffrée, et lorsque l’utilisateur saisit son mot de passe, celui-ci est chiffré à son tour et comparé à la version stockée. Si les deux sont identiques, alors le mot de passe est bon (à 99,99% de probabilité ou plus). L’intérêt immédiat est que si la base de mot de passes venait à être divulguée par erreur, les destinataires ne pourraient pas utiliser cette base chiffrée pour se connecter sur les comptes des utilisateurs car la fonction de chiffrement est très difficilement réversible. Ici, le décret impose de stocker les mots de passe en clair, sans chiffrement, pour pouvoir les communiquer sur réquisition de l’autorité judiciaire.
La plupart des gens utilisent le même mot de passe sur plusieurs sites. Si la base des mots de passe en clair est divulguée, leurs autres comptes utilisant le même mot de passe deviennent alors vulnérables. De plus, les services policiers et judiciaires enquêtant sur un utilisateur ou sur un service en ligne auront accès à ce mot de passe et pourront eux aussi aller consulter d’autres sites (courrier électronique, forums, etc.) pour lesquelles aucune réquisition n’était alors prévue.
En attendant que le recours déposé par l’ASIC soit jugé, il est primordial pour les utilisateurs de services en ligne (c’est-à-dire tout le monde) d’utiliser des mots de passe différents sur tous les services. Mission impossible ? Non, grâce à des extensions pour Firefox comme Password Hasher vous pouvez ne retenir qu’un seul mot de passe tout en ne le divulgant à personne.
Protégez votre intimité, n’espérez pas que d’autres le feront à votre place.
Note: Certains analysent la phrase « Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement. » comme une permission de ne pas de stocker les mots de passe en clair si on en stocke une forme chiffrée. Je comprends pour ma part cette phrase comme n’obligeant pas à stocker un mot de passe tout court (certains services n’en nécessitent pas). Où commence la collecte ? Lorsqu’on demande le mot de passe à l’utilisateur (en clair) ou lorsqu’on le stocke (chiffré) ? J’ai hâte de lire le texte du recours et son issue.