mardi 11 août 2020
Promotion Meilleur VPN 2020
Accueil Anonymat Les mots de passe pourront être connus des services anti-terroristes

Les mots de passe pourront être connus des services anti-terroristes

Malgré un avis de l’ARCEP vieux de deux ans qui a prévenu qu’il s’agissait d’une exigence sans rapport avec l’objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme.

Faut-il s’inquiéter ou est-ce de la paranoïa inutile ? Parmi les données que doivent conserver les hébergeurs en vertu du décret du 25 février 2011 publié ce mardi, s’est glissée ce qui ressemble à une étrange anomalie. Les hébergeurs, auxquels appartiennent la plupart des éditeurs de services de mise en ligne de contenus fournis par les utilisateurs (voir les décisions de la cour de cassation), auront désormais l’obligation de conserver “le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour“.

Une telle exigence n’a rien à faire dans un décret qui vise les données personnelles que doit pouvoir communiquer l’hébergeur pour faciliter l’identification d’un utilisateur dans le cadre d’une procédure judiciaire. C’est d’ailleurs l’avis très critique de l’Arcep, qui écrit qu’elle “ne peut que s’interroger sur la finalité“, car “certaines données n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu“. Elle vise la conservation des mots de passe, mais aussi la demande de conservation des “caractéristiques de la ligne de l’abonné”, de la “nature de l’opération”, ou “certaines données relatives au paiement”.

L’Autorité tient à rappeler que les dispositions de l’article 6 de la loi du 21 juin 2004 ont pour unique objet de permettre l’identification des personnes physiques ou morales ayant contribué à la création d’un contenu en ligne et que, par conséquent, seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation“, avait prévenu l’Arcep dans son avis communiqué au gouvernement le 13 mars 2008. Deux ans plus tard, le gouvernement n’en a pas tenu compte.

Si en principe les données ne peuvent être communiquées que par demande des autorités judiciaires, donc sous contrôle d’un juge qui ne verra pas l’utilité de demander un mot de passe, il en va autrement de la seconde partie du décret relatif “aux demandes administratives prévues par le II Bis de l’article 6 de la loi n° 2004 575 du 21 juin 2004“. Il s’agit en effet des demandes formulées par la police ou la gendarmerie dans le cadre de leur mission de prévention des actes de terrorisme. Le contrôle de légitimité de la demande n’est alors plus effectué par la justice, mais par une personnalité qualifiée placée auprès du ministre de l’intérieur, c’est-à-dire par l’exécutif.

Or on comprend bien pour les services anti-terroristes l’intérêt d’accéder à un mot de passe. Ils peuvent permettre de s’infiltrer discrètement dans un réseau (un forum à accès réservé aux membres autorisés, par exemple), voire de tenter d’accéder à d’autres services si le suspect y utilise le même mot de passe, notamment sur des services hébergés à l’étranger qui ne répondraient pas de la LCEN. Les dérives sont évidemment à craindre, notamment pour les journalistes qui enquêtent sur des affaires sensibles telles que les attentats de Karachi.

Reste tout de même un problème technique. Le décret demande à la fois de conserver les mots de passe, et de les conserver les données en se soumettant aux prescriptions de la loi CNIL sur la sécurité des informations. Or bien souvent, par souci de sécurité, les mots de passe ne sont pas stockés en clair, mais sous une forme hashée qui permet uniquement de vérifier si le mot de passe saisi est le bon.

 

Source : Numerama
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.