|
|
Les mots de passe pourront être connus des services anti-terroristes
Guillaume Champeau -
publié le Mardi 01 Mars 2011 à 11h23 -
posté dans Société 2.0
 Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu qu'il s'agissait d'une exigence sans rapport avec l'objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme.
Une telle exigence n'a rien à faire dans un décret qui vise les données personnelles que doit pouvoir communiquer l'hébergeur pour faciliter l'identification d'un utilisateur dans le cadre d'une procédure judiciaire. C'est d'ailleurs l'avis très critique de l'Arcep, qui écrit qu'elle "ne peut que s'interroger sur la finalité", car "certaines données n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Elle vise la conservation des mots de passe, mais aussi la demande de conservation des "caractéristiques de la ligne de l'abonné", de la "nature de l'opération", ou "certaines données relatives au paiement". "L'Autorité tient à rappeler que les dispositions de l'article 6 de la loi du 21 juin 2004 ont pour unique objet de permettre l'identification des personnes physiques ou morales ayant contribué à la création d'un contenu en ligne et que, par conséquent, seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation", avait prévenu l'Arcep dans son avis communiqué au gouvernement le 13 mars 2008. Deux ans plus tard, le gouvernement n'en a pas tenu compte. Si en principe les données ne peuvent être communiquées que par demande des autorités judiciaires, donc sous contrôle d'un juge qui ne verra pas l'utilité de demander un mot de passe, il en va autrement de la seconde partie du décret relatif "aux demandes administratives prévues par le II Bis de l'article 6 de la loi n° 2004 575 du 21 juin 2004". Il s'agit en effet des demandes formulées par la police ou la gendarmerie dans le cadre de leur mission de prévention des actes de terrorisme. Le contrôle de légitimité de la demande n'est alors plus effectué par la justice, mais par une personnalité qualifiée placée auprès du ministre de l'intérieur, c'est-à-dire par l'exécutif. Or on comprend bien pour les services anti-terroristes l'intérêt d'accéder à un mot de passe. Ils peuvent permettre de s'infiltrer discrètement dans un réseau (un forum à accès réservé aux membres autorisés, par exemple), voire de tenter d'accéder à d'autres services si le suspect y utilise le même mot de passe, notamment sur des services hébergés à l'étranger qui ne répondraient pas de la LCEN. Les dérives sont évidemment à craindre, notamment pour les journalistes qui enquêtent sur des affaires sensibles telles que les attentats de Karachi. Reste tout de même un problème technique. Le décret demande à la fois de conserver les mots de passe, et de les conserver les données en se soumettant aux prescriptions de la loi CNIL sur la sécurité des informations. Or bien souvent, par souci de sécurité, les mots de passe ne sont pas stockés en clair (parfois si), mais sous une forme hashée qui permet uniquement de vérifier si le mot de passe saisi est le bon. à lire aussi
  Prix indiqués avec livraison
93
Commentaires à propos de «Les mots de passe pourront être connus des services anti-terroristes»
Si on avait expliqué à nos grands-parents que tous leurs courriers pourraient être lus par "les autorités", que les flics garderaient un double des clefs de leur coffres forts et de leurs boites aux lettres, je suis pas sur qu'il se seraient laisser faire.
Bien sur qu'il faut être paranoïaque, la loi loin de protéger l'internaute, rajoute des carcans supplémentaires. L'Etat, les autorités, les services secrets sont constitués d'hommes et de femmes qui ne vont pas s'embarasser du respect de la vie privée des citoyens.
Au nom de la lutte contre le terrorisme. Sauf que les terroristes ont déjà des longueurs d'avance et tout à chacun se verra fliquer dans ses correspondances, ses activités, sa manière de penser politiquement. Les dérapages n'ont malheureusement pas attendus, c'est au quotidien que nous sommes espionnés à plus ou moins grande échelle. 
VoidDragon, le 01/03/2011 - 11:31 http://www.numerama....iffres-maj.html
Guillaume, le 01/03/2011 - 11:34 Mouais... Comme si Skyrock embauchait des personnes compétentes.... à moins que ce soit plutôt des personnes con pétantes. 
VoidDragon, le 01/03/2011 - 11:31 Oui, la skyrock team  : http://www.numerama....lair-voles.htmlPire encore, il ont un historique des mots de passe utilisés EDIT : Damned, grillé par Guillaume  [message édité par Amaury le 01/03/2011 à 11:35
]
Très bien, c'était le sens de ma remarque dans le post précédent.
Etant dans la sécurité, un tel alinea ne peut que me faire sursauter : conserver les MDP ! Diantre. D'autant qu'aucun système d'exploitation ne conserve en clair le MDP, il est toujours hashé (SSHA-1 très souvent). En ce qui concerne les frontaux type PhBB les mots de passe étaient en clair dans une BD à une époque. Quoi qu'il en soit, les hébergeurs vont devoir modifier un certain nombre de leurs programmes. Ca ne va pas arranger les affaires des hébergeurs français ça ni des marchands d'ailleurs. En effet, bon nombre de marchands (FNAC, Paypal) conservent le numéro de carte bancaire dans le profil. J'ai maintes fois râlé à ce sujet notamment en France (les US sont, en principe, plus avancés avec PCI-DSS mais bon ils se font avoir également) car je considère que SEULES les banques peuvent conserver une telle information. Mais bref. Donc, avec un mot de passe, on a accès au n° de carte bancaire. Cool non ? Et quid des services en ligne des banques ? Là aussi le mot de passe devra être en clair. Déjà que je considérais que les services en ligne à destination du grand public en France étaient des passoires, ce sera pire demain donc. Vite une banque étrangère ! Et quid des Twitter, FB et autres Google ? Ils vont devoir se soumettre au diktat également ? Et, enfin, comment faire avec les OpenID et autre OAuth ? Ca ça va être rigolo. La prochaine étape c'est quoi ? L'interdiction d'héberger soi-même (chez soi) des services ? Ce qui est déjà le cas dans les CGV de Numericable ce qui est une négation de l'Internet en soi. *** ! BRAVO LA NEUTRALITE DU NET ! *** Ca se met en place doucement comme ça.  db [message édité par Gourmet le 01/03/2011 à 14:20
]
Finalement, Usenet c'est bien.
En effet, on peut créer un contenu dans un newsgroup chez un hébergeur ukrainien (et donc n'être connu que de lui) et voir ce contenu répliqué partout dans le monde. Bonjour pour que la police française retrouve l'auteur de ce contenu !!! Décidemment on ne les changera pas : les dirigeants et autres législateurs de ce pays voient TOUJOURS le monde sous l'oeil de la centralisation alors qu'avec Internet il est DECENTRALISE ! Les contenus se déplacent à la vitesse de la lumière ! db [message édité par Gourmet le 01/03/2011 à 11:43
]
Gourmet, le 01/03/2011 - 11:41 +1 
Gourmet, le 01/03/2011 - 11:41 Le soucis c'est pas juste la distribution de contenu copyrighté, putain! C'est une question de vie privée! Les enjeux vont bien au-delà d'empêcher les Kevin de warezer afin de sauvagarder un modèle économique obsolète. Le flicage partout sert à museler la contestation. Regardez Julien Coupat, emmerdé parce qu'il a été fliqué via son téléphone. Ce qu'ils veulent, c'est pouvoir faire taire, pouvoir intimider. Les services secrets s'en foutent totalement du warez qui traine sur Usenet (chui sûr qu'ils DL aussi avec la connexion du boulot, même.) La réponse à cette menace n'est pas "Usenet": elle est dans le chiffrement, partout et dès que possible. Elle est dans les tunnels, dans TOR, dans des mots de passe systématiquement différents. Dans le contrôle des infos données à des sites comme Facebook, dans les mails chiffrés via PGP, même et surtout si vous n'avez rien à cacher. http://bugbrother.bl...-1ere-division/
Grand_grunt, le 01/03/2011 - 11:59 Je ne parlais ABSOLUMENT pas de contenu sous propriété intellectuelle mais bien de contenu perso diffusé à des fins de connaissance, de sensibilisation ! Et donc typiquement le type de contenu que l'on cherche à MUSELER pour préserver de sombres intérêts financiers ou politique ! Voir, entre autres, à ce sujet, l'affaire GASLAND aux US ! Quant on voit que le gouverneur de l'état de Pennsylvanie a reçu 1 million de dollars de la part de l'industrie gazière comment peut-on croire qu'il va pouvoir s'occuper des préoccupations de ses citoyens (surtout pas en ce qui concerne l'exploitation gazière des gisements de schistes qui se trouvent dans le sous-sol de l'état) ? Si on chiffre à tout va on ne diffuse rien de compréhensible par définition. La SOLUTION n'est PAS LA, surtout pas !!!! Car si le monde se met à chiffrer à tout va que va-t-il se passer ? Et bien nos chers politicards de gouvernants, députés et autres sénateurs à 12 000 euros par mois passés à se les gratter vont nous pondre une nième LOPPSI, une nième LCEN où il sera interdit de pratiquer autre chose que le HTTP et le SSL ne sera autorisé qu'avec des sites labelisés !!!! INUTILE de répondre : bah non, ça n'arrivera jamais ! IL LE FERONT !!!!! Poussé par un nième Hortefeux qui leur expliquera que la lutte contre le terrorisme (ou la pédophilie peu importe) l'impose !!! db 
pefm, le 01/03/2011 - 11:28 Content de te lire ici Pefm. Non nos grand parents ne se seraient pas laissé faire. Il est vrai que le rapport de force n'était pas le même. Pas de raison que nous nous laissions, une fois encore, faire sans réagir. Pierre aka MoG ailleurs 
Depuis les attentats du 11 septembre les gouvernements et leurs médias de propagande jouent sur la peur du méchant barbu qui risque de t'égorger lorsque tu sortiras tes poubelles sauf si bien sur tu acceptes que de telles lois soient mises en place pour t'en protéger, c'est pas aujourd'hui qu'ils vont changer leurs méthodes.
Non pour moi ce ne sontt pas des incompétents (quoi que) c'est surtout que ça suit la directive données depuis quelques années qui consiste à mettre Internet sous contrôle total de "Big Brother", le terrorismes n'est qu'un énième prétexte bidon déjà utilisé pour d'autres choses comme l'installation de caméras de surveillance dans un maximum de villes. d'ailleurs c'est à demander si les dernières révolutions du monde Arabe ne vont pas encore plus précipiter les choses à ce niveau là. 
"Faut-il s'inquiéter ou est-ce de la paranoïa inutile ?"
Paranoïa inutile, inquiétante et qui comme pour le filtrage sera contre productive ... Mais dans la logique fascisante du gouvernement. 
le terrorisme est une aubaine pour les gouvernements, quand on voit la propagande qu'ils en font et qui marche.... en tout cas sa permet aussi de créer des ennemis qui n'existe pas.(même des anciens agent du pentagone le dise)
Allez, tout le monde prends sa vie privée, sa liberté et se la carre bien dans le ***
Et ce n'est qu'un début.
itsigo, le 01/03/2011 - 12:31 Sans compter que les vrais ennemis ce sont eux qui les ont mis en place.. cf Al-Qaida, mis en place par la CIA pour emmerder les soviétiques. 
Et pendand ce temps les marketeux (point fort au Cebit entre autre) veulent nous vendre le "Cloud" cf les pubs micronulle.... Bizzare que personne ne s'en soit offusqué ici...
C'est beau la lutte contre le terrorisme à tout va, même à confier légalement les clés de sa vie à un État de plus en plus tout-puissant, sauf qu'on en oublie le but premier d'un terroriste, qui n'est pas de tuer, mais d'infléchir une politique.
Wikipedia :
Le simple fait que nos lois et notre politique globale ait changé significativement depuis le 11 septembre 2001, mène à un constat aussi accablant qu'effroyable quant au résultat de cette "guerre contre le terrorisme", que je vous laisse faire par vous-même... [message édité par Gorgoth le 01/03/2011 à 13:13
]
Tout-à-fait. Le terrorisme est une invention des états policiers en place pour justifier la surveillance généralisée des citoyens et ainsi, en créant un climat de peur, faire perdurer leurs pouvoirs, ceux visibles et ceux cachés. Le terrorisme n'existe pas ! Il n'y a que résistance à l'injustice. Il n'y a pas de terroristes, il n'y a que des résistants. Alors arrêtons de parler de terrorisme, on tombe dans le panneau.
Moi je vois plutôt un texte mal fini. C'est à dire pourquoi vouloir récupérer une mot de passe si ce n'est pour s'authentifier avec le compte de quelqu'un. Pourquoi ils ne demandent pas à l'hébergeur soit les contenus soupçonnés soit un accès discret privilégié (Quitte à cracher sur la vie privée autant bien le faire)
FNAEG, STIC, EDVIGE, CRISTINA : non ça n'est pas de la paranoïa.
Les services de police et de gendarmerie font déjà N'IMPORTE QUOI dans la plus totale illégalité, même la CNIL le dit, même les flics l'avouent (bag, pas les enfoirés du syndicat Alliance, mais certains flics qui savent ce que sont les Libertés Publiques)... et on voudrait contraindre les FAI à leur donner tous nos passwords ? Mais allez vous faire enculer putain ! Va falloir qu'ils comprennent que la présomption de culpabilité, ça n'existe pas en démocratie, et que même l'antiterrorisme a ses putain de limites. Surtout sans contrôle judiciaire. Ce décret ne peut pas passer, faut consulter tout de suite la Quadrature, Libre Accès et les autres associations sur ce point : c'est du même tonneau que les abjections juridiques qu'on trouve dans Loppsi2. Un mot de passe n'est pas et ne sera jamais une donnée personnelle. On met simplement en place le moyen pour l'administration de se rendre coupable d'une introduction frauduleuse dans le système informatisé d'autrui. Tarnac nous apprend que l'antiterrorisme, tout comme la lutte contre la pédophilie dans Loppsi2, ne sont que des chevaux de Troie. Depuis le 11 septembre 2001, le barbu sert de prétexte à un nombre invraisemblable de décrets délirants et de lois inconstitutionnelles, et plus généralement de mesures liberticides dans tous les sens. Pour 2012, faudra que les candidats se prononcent sur la reconquête par le citoyen d'un peu de "sécurité" vis-à-vis des pouvoirs exécutifs, ça s'appelle le droit à la sûreté, et ça n'a rien à voir avec le fait de propager des caméras de vidéosurveillance jusque dans mes chiottes : le droit à la sûreté, c'est le droit de se défendre contre l'arbitraire étatique et l'abus de pouvoir administratif. On est en plein dedans. 
Gourmet, le 01/03/2011 - 11:37 Ah quand même... Je savais pas...
Lobbysator, le 01/03/2011 - 12:21 T'as raison. Et puis, utiliser les mouvements de libération des masses au sud de la Méditerranée pour légitimer les processus d'aliénation des masses au nord, nos saloperies de gouvernants n'en sont plus à ça près.
K-Daffy
le 01/03/2011 à 13:25
Ce genre de mesure n’inquiète que les gens qui ont quelque chose à se reprocher.
Euh, vous allez faire la gueule chez Numerama en cas de mdp flood: un mdp jetable à chaque com? Et, encore, je ne parle pas de la rubrique présentation du café, une ident/com, Salut je suis Sch10ck11120845... vous savez Schlock
 .Cela va en faire des scripts, sur les pages des sites français, j'ai oublié mon mot de passe et créer un nouveau compte! Tout cela par Tor, vpn, et mail jetable, car dans ce cas là, https n'est même pas nécessaire vu que ton mot de passe tout le monde le sait [message édité par Schlock le 01/03/2011 à 13:36
]
Euh... question bête: Quand une loi va, par incompétence, à l'encontre d'une des règles les plus basiques de la sécurisation des données, il doit bien y avoir un moyen de la faire annuler d'une manière ou d'une autre, non ?
Ou alors, on fait semblant qu'on ne l'a pas vue et espérant qu'elle ne soit jamais appliquée ? Bref, encore une preuve que les lois ne doivent pas entrer dans le détail de la technique. Ca c'est le boulot des décrets d'applications qui peuvent être changés beaucoup plus facilement en cas d'erreur.
pour le 11 septembre, les agents qui en pris la retraite après cette date disent pour ceux qui ont parlé, que déjà avant cette date, il était question d'attaqué l'irak. d'ailleurs plusieurs généraux qui ont vue la magouille et qui ont refusé d'aller en irak ont été viré ou foutu ailleurs.
c'est juste une magouille financière, tout comme en Afghanistan dont le but et de piquer le pétrole iranien (création de pipeline) et l'opium bon pour la cia http://www2.parl.gc....rb0718_1-f.jpg. dire que la france en fait parti hahaha.....
Et lorsque l'on sait que les gens ont tendances à utilisé le même mot de passe sur tous les sites.En obtenir un seul c'est déjà l'accès à tout ou presque dans une grande majorités de cas.
Je regrette vraiment pas d'avoir prit tous mes serveurs russie même si pourtant ils sont légaux et que j'aime bien OVH... Mais bon trop riqué à présent. 
simonrobic, le 01/03/2011 - 11:27 Le md5 est largement vulnérable: http://www.authsecu....er-hash-md5.php (4ème résultat google sur "md5"). Donc je te déconseille d'utiliser le md5 pour conserver ses mots de passes, les hackeurs n'auront pas de mal à récupérer 80% des mots de passes ainsi stockés (80% des utilisateurs utilisant des mots de passes simple). Cependant, le décryptage se basant sur une attaque par dictionnaire (Quelques millions de mots de passe ont été passés au md5 et le site se contente de regarder le md5 ainsi obtenu pour voir s'il n'y a pas une correspondance), il est relativement simple de contourner cette faille: - En passant au md5 le hash md5 (c'est un exemple, mais l'idée est là). àa, déjà, c'est bien plus sûr parce que tu te retrouve avec une chaine alphanumérique de 32 caractères, donc qui n'est pas passé au dictionnaire. Après, il n'y a aucun doute que les gouvernement ont des moyens plus grands et doivent avoir hasher toutes les chaines de caractères de 32 caractères et moins... Au moins. - En passant à un autre algorithme le hash... Une idée me viens soudain: utiliser le mot de passe en version claire comme clé de l'algo, vu que celui-ci n'est pas stocké le hackeur ne peut pas savoir la clé de cette algo même s'il obtient le code source de l'algorithme mais il n'y a aucun problème pour l'utiliser quand l'utilisateur entre son mot de passe. Plus de problème d'attaque par dictionnaire et l'algorithme se couplant à un md5, il doit être facile de faire un truc difficilement déchiffrable. - En ne stockant que les 20 premiers caractères (par exemple) du md5 et en comparant le hash du md5 à celui là. On perd peu en sécurité vu qu'il n'y a qu'une chance sur beaucoup (plus de quelques millions de milliards) de tomber par hasard sur un mot de passe qui correspond au hash de 12 caractères et si jamais quelqu'un pirate ta base de donnée, il n'a pas moyen d'obtenir les mots de passe de ses victimes. Petit problème: Il trouvera avec le hash un mot de passe ayant le même hash que le mot de passe de ton utilisateur, donc pour toi c'est pas très sûr, mais pour l'utilisateur ya aucune chance de se faire piquer son mot de passe. - En utilisant l'une des multiples méthodes présentés sur la page md5 de php.net qui sont surement très efficace. Sinon, pour arrêter le HS: Ils auraient pas pu, plus simplement, demander l'accès au compte des terroristes? Parce que le mot de passe va pas leur apprendre grand chose... Sauf si les terroristes, comme Mme Michu, utilise le même mot de passe pour son compte skyrock et pour sa partition TrueCrypt (ouioui, Mme Michu fais ça, parfaitement !) [message édité par Groufable le 01/03/2011 à 14:19
]
Joli coup de frein aux libertés individuelles et à l'industrie des nouvelles technologies françaises.
Bonjour,
Et avec les sites qui se font voler leur base de données d'utilisateurs, cela fait une belle faille de sécurité en plus, les mots de passe en clair dans la nature, ce sera encore plus simple que les md5. 
Quel est l'intérêt pour un site d'être hébergé en France ? N'est-ce pas plutôt un handicap de ne pas proposer ses services depuis un hébergement à l'étranger ?
@groufable ... en ajoutant un sel dynamique (chaque entrée à le sien) ca tient aussi un peu mieux le MD5
Marika2072, le 01/03/2011 - 13:54 T'es peut-être à l'abri des autorités françaises, mais alors les autorités russes, et leurs potes oligarques par contre... 
tant que l'on n'auras pas définis clairement ce que contient le terme "terrorisme", ce mot reste un fourre-tout artistique englobant aussi bien la dissidence politique, la dissidence armé, la résistance citoyenne pacifique, et toute forme de contestation(sitting, sabottage, occupation).
la disquette de 2001 n'as pas finis de transpirer sur les débats de nos nations (les plus évolués). En attendant le jours bénis du renversement de vapeur (2012 pitié),les amalgames douteux ne feront que grandir. je rappel que toute résistance armée contre un occupant, est considéré par ce dernier comme du terrorisme par défaut. Autant "la résistance" durant la seconde guerre mondiale, que celle en irak de nos jours, ou des indiens américains en leur temps. rappelons enfin cette maxime toujours d'actualité, "la loi du plus fort est toujours la meilleur" conclusion, à nous, hommes/femmes libres, d'être les meilleurs, sinon c'est la porte ouverte à toute les fenêtres Maurice....
G, le 01/03/2011 - 13:05 Des qui font les kamikazes dans un avion et se suicident dans le simple but de tuer des innocents pour se faire remarquer, moi j'appelle ça du terrorisme. Un mec prêt à mourir pour libérer son pays sous je joug d'un dictateur sanguinaire est un résistant, voire un héros. ps: quand je vois l'inaction des occidentaux quand on voit la situation libyenne ça me donne envi de vomir .... par contre pour aller en irak ou il y a aucune arme alors là ya du monde!!!! 
tidjegwada, le 01/03/2011 - 16:06 C'est mieux comme ça.
Donc pas de problème pour toi? Tu es prêt a accepté qu'un flic te suit partout dans ton quotidien, 7 jours sur 7 et 24h/24h. Tu ne sera pas contre non plus de sa présence lors que tu seras au toilette, dans ta salle de bain ou bien lorsque que tu serras en train de faire l'amour à ta femme...vue que t'as rien à te reprocher? J'espère que t'étais ironique par ce que sinon c'est à cause de citoyen comme toi qui ne réfléchissent pas plus loin que le bout de leur nez que des décrets et lois liberticide sont mis en place.
Bon courage.
Déjà comme admin je refuse de connaître les mots de passe, mais en plus j'oblige à une certaine duretée... Ensuite un site qui stocke mon mot de passe ???? Faille de sécurité majeure, les bonnes pratiques c'est d'utiliser un hash et de regénérer le password à la demande. Enfin encore un crétin qui a pondu un texte inapplicable sur fond de tout sécuritaire. La France va bientôt devenir l'auberge espagnol des sites zombies... 
tidjegwada, le 01/03/2011 - 16:06 Au contraire, je trouverais choquant que les occidentaux s'en mêlent (à la MAM pendant qu'on y est...). Et d'ailleurs pourquoi penser aux occidentaux : la Chine n'a-t-elle pas d'intérêts en Libye (pétrole, main d'oeuvre, ...) ? Le droit à l'autodétermination des peuples et le principe de non-ingérence doivent être respectés par tous les membres des Nations Unies. Un peuple doit gagner sa liberté pour être libre. 
Croux, le 01/03/2011 - 16:36 Il serait quand même bon de ne pas être actif dans la recherche, l'arrestation et la torture des dissidents de ces pays si on souhaite une évolution démocratique et que ces dissidents décident de poursuivre des relations avec nous. 
Bonjour,
Il me semble qu'il serait illusoire de croire que les mots de passe hashés (via les algos les plus répandus sha-1, md5, ..) ont quoi que ce soit de safe face à des organismes gouvernementaux qui disposent de ressources financières larges et donc du potentiel de recourir à des super ordinateurs (et/ou à des clusters). Ce qui m'inquiète hautement plus est la partie concernant la modification : "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier". En d'autres termes, même sans être en possession d'une version brute du mot de passe, rien n'empêcherait lesdits services de tout simplement remplacer temporairement un mot de passe, dumper les informations associées à un service (un webmail par exemple) puis restaurer le mot de passe original. C'est techniquement très simple à réaliser (changement d'une valeur dans une table) et totalement invisible pour l'utilisateur. Il me semble que cette faculté de "modification" est donc plus dangereuse encore que d'obliger les prestataire technique à conserver les mots de passe. [message édité par André le 01/03/2011 à 16:46
]
MdMax, le 01/03/2011 - 14:32 T'es ironique ou désabusé? L'intérêt, c'est de ton sheevaplug, de ton nas (si tu as l'option), tu peux t'héberger au travers de ton modem-router. Car à force de délocaliser toutes les nouvelles technologies, les non hacktivistes vont se retrouver en sarkosie avec tv-béton, orange-net et, aucune autre source d'informations. [message édité par Schlock le 01/03/2011 à 16:55
]
benco67, le 01/03/2011 - 16:30 Quelles peuvent être les conséquences d'un tel refus alors que cela devient une obligation légale ?
Faille de sécurité ? Quand c'est fait avec les pieds... On ne demande pas à ce que ce mot de passe en clair serve à chaque connexion. On demande juste à ce qu'il soit enregistré quelque par pour qu'on puisse le ressortir. Deux méthodes simples : l'imprimer (stockage sur papier) ou utiliser un serveur syslog externe (stockage informatique).
Croux, le 01/03/2011 - 16:55 Les conséquences sont inscrites dans la loi, de mémoire je crois que c'est un maximum de 75 000 € d'amende, un an d'emprisonnement
Croux, le 01/03/2011 - 16:55 Désolé, mais c'est bien une faille de sécurité : Que qui que ce soit (l'admin en charge du serveur syslog, le dev qui a pondu le script de backup, l'employé chargé de stocker les listings imprimés, etc...) puisse voir un mot de passe en clair est une énorme faille de sécurité, point barre. Absurde comme proposition de loi, comme si les autorités ne pouvaient pas déjà accéder à un compte lambda d'un site internet sous couvert de lutte anti-terroriste...
Bien sûr que si. Si on avait dit à nos grands-parents que la loi se donnerait les moyens de surveiller les personnes suspectes, ils n'auraient strictement rien eu contre ! N'oubliez pas que les lettres de dénonciation anonymes étaient le sport national pendant les années 40. 
Repie., le 01/03/2011 - 12:18 D'accord avec toi: le rapport de force n'était pas le même. Mais le degré de prise de conscience non plus... Parce qu'il faut bien avouer, la grosse majorité de la population se fout allègrement de la censure et de la surveillance du Net... Hélas.
Hacyran, le 01/03/2011 - 18:07 Si tes grands parents étaient collabos t'y peux rien, mais va pas croire que tout le monde est dans ce cas. Ha la famille, une vraie plaie hein ?
tass_, le 01/03/2011 - 18:12 Tout le monde n'a pas eu la chance d'avoir des grands-parents qui ont combattu Franco en '36. =) Mais ne crois pas pour autant qu'ils avaient moins de véléités sécuritaires que notre époque. A part dans les salons, très peu s'embarrassaient de philosophie politique. Que ce soient les ligues fascistes, nationalistes, ou communistes, aucune ne voyaient de problème à fliquer leurs opposants. Je suis opposé à ce décret, mais je ne tourne pas parano primaire pour autant.  
C'est grave qu'ils le légalisent. Après tout le monde sait que quand ils voulaient regarder dans nos trucs ils le faisaient. C'est surtout la légalisation qui me choque.
Lobbysator, le 01/03/2011 - 16:29 Article IV: "La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi l'exercice des droits naturels de chaque homme n'a de bornes que celles qui assurent aux autres Membres de la Société, la jouissance de ces mêmes droits. Ces bornes ne peuvent être déterminées que par la Loi." Alors, de grâce, arrêtez d'invoquer un principe qui, dans son acceptation sociale, ne peut exister *que* par l'encadrement de la loi. Mais ce n'est pas la peine de tourner parano pour autant (à part pour ceux qui le sont déjà). Le problème, ce n'est pas ce genre de lois dans un état de droit avec des contre-pouvoirs forts. A Paris, on laisse en moyenne 400 traces par jour, et personne ne nous a demandé notre avis. C'est pas pour autant que c'est devenu la Corée du Nord. Non, le problème, c'est qu'on ne sait pas quel gouvernement on aura demain (au pif, un borgne coiffé d'une perruque blonde), et que quels que soient les gardes-fous qu'on aura mis autour de notre système législatif, les nouveaux dirigeants pourraient les faire sauter un à un. Cette fois-ci comme toujours, le problème n'est pas l'outil, mais celui qui s'en sert. [message édité par Hacyran le 01/03/2011 à 18:26
]
D'une part tu confonds risque et faille, et d'autre part le risque n'est pas supérieur comme tu penses le croire pour plusieurs raisons : * Les admins du serveur web peuvent de toutes façons connaitre le mot de passe des utilisateurs, ça ne fait donc pas aucune différence par rapport à l'admin du syslog lorsque c'est cette personne administre aussi le serveur web. * Le développeur du script de backup : tout au plus une dizaine de ligne de code à auditer, donc aucun problème supérieur à celui posé par les développeurs web. * Les employés : s'ils ont un accès physique à la salle serveur, où seraient imprimées ces données, ils peuvent tout faire ou presque sur les serveurs... Mais si la sécurité parait toujours insuffisante, rien n'empêche d'enregistrer ("loguer" ou imprimer) ces données sous forme chiffrées avec une clé publique. La clé privée peut rester dans un coffre à la banque.
(a supprimer suite à un double clic sur "Se connecter et publier" resté bloqué sur "patientez...")
[message édité par Croux le 01/03/2011 à 18:33
]
Nous ne sommes, pour ceux qui se sont autoproclamés maitres du monde, que des grenouilles !
http://www.__youtube...h?v=oJzxV7k6Pao
Croux, le 01/03/2011 - 16:36 Va dire ça au irakiens!!! Ils n'ont rien demandé et pourtant on les as libérés (envahi??). Les libyens demandent de l'aide .. et pourtant on ne voit rien arriver!!! ps: Mon cher Croux, je pense que tes ancêtres (grand parents) étaient très heureux que les Américains viennent les libérer de l'envahisseur allemand en 1942. Alors ton " droit à l'autodétermination des peuples" et ton "Un peuple doit gagner sa liberté pour être libre" quand on est français et qu'on connait un minimum l'histoire, et bien on évite tout simplement de débiter de telles conneries.
tidjegwada, le 01/03/2011 - 18:44 Quand on voit ce qui s'est passé, cette libération sous couvert de lutte contre le terrorisme (alors qu'il n'y avait aucun lien entre les attentats du 11 septembre et l'Irak) et la chasse aux armes de destruction massive (qui n'ont jamais existé), a causé la mort de plus de 600 mille irakiens. Et c'est sans compter les attentats actuels dus à l'instabilité de ce pays. Une "liberté" chèrement payées en vies humaines. Quant au pétrole n'en parlons pas. On ne peut pas défaire ce qui s'est passé, mais pour un peut les évènements actuels auraient pu contribuer à la chute de Sadam et générer une démocratie plus stable et moins meurtrière.
Les libyens ne demandent pas à ce qu'on envahisse leur pays comme en Irak. Ils ne veulent pas d'une aide qui se traduira par la mise en place d'un gouvernement sans aucune légitimité.
Mes ancêtres étaient aussi heureux de la présence de De Gaulle sans qui la France n'aurait jamais fait parti des "vainqueurs" et aurait perdu son indépendance à l'issue de la guerre. Regarde comment ça s'est passé avec les pays de l'Est, dire qu'ils ont été libérés ça c'est de la connerie !
Croux, le 01/03/2011 - 16:55 Tu es super doué mon cher croux. Je te rapelle que tout cela a un prix. Qui va payer?? Imprimer les mots de passe???? je suis mort de dire devant une si flagrant manque de compétence (et je me retiens pour ne pas être méchant)
tidjegwada, le 01/03/2011 - 18:49 Les imprimantes matricielles sont encore utilisées dans des systèmes de contrôle d'accès à faible volume. La technologie a fait ses preuves : c'est fiable et peu couteux. Quant au serveur syslog là aussi ça ne coute pas cher. Et si jamais le prix est le seul problème (dans ce cas on quitte le secteur professionnel et tant pis pour la sécurité physique des données), tu peux chiffrer les mots de passe avec une clé publique (comme je l'ai expliqué juste avant ici ) et enregistrer ça sur le serveur web lui-même, ça ne coûte rien. Si tu es encore vivant (puisque tu dis être mort de rire) explique nous en quoi ces trois propositions sont hilarantes et ne tiennent pas la route : * L'impression matricielle : impossible à pirater de l'extérieur pour trouver les mots de passe, et c'est applicable pour des sites avec quelques milliers d'utilisateurs et en plus c'est directement archivé. * Le serveur syslog : solution peu couteuse et sécurisée (à condition de faire des backups), en tout cas plus sûr qu'utiliser une base de données à la (My/pg/...)SQL... * L'utilisation du chiffrage par clé publique : actuellement reconnu publiquement comme incassable. Là encore il faut veiller à faire des backups. 
Mouais, c'est la suite logique quoi. Le but final est de museler totalement internet , le piratage , les pedos et touti quanti c'est de la foutaise, c'est juste une "bonne" excuse.
Internet devient trop dangereux, les gens communique trop facilement entre eux , les infos circule beaucoup trop. Ceux qui dirigent dans l'ombre l'ont exiger, les marionnettes politiques vont l'exécuter, comme pour wikileaks et tant d'autres avant eux. [message édité par erak le 01/03/2011 à 19:47
]
"et de les conserver les données en se soumettant aux prescriptions "
Y a pas un souci dans la phrase ?
MEDITEZ bien ceci & sur la puissance et le sens des mots.
Les Nazis dénonçaient également les terroristes, mais il s'agissait de nos résistants. Je ne vous parle même pas du pouvoir zélé français qui les servaient. Je ne vous parle même pas de la définition du fascisme dont tous les points de définition se retrouvent dans nos pays.
vanbergerking, le 01/03/2011 - 21:14 Il n'y a pas de membres racistes par ici 
Lobbysator, le 01/03/2011 - 16:29 ce genre de mesure n'inquiète pas du tout les gens qui ont des choses à se reprocher car leurs messages sont codés en AES 256bit. le mot de passe d'accès au données est probablement azertyuiop, ils s'en tapent grave... bien malin qui en fera quelque chose.
Croux, le 01/03/2011 - 23:19 Sous Saddam on a compté en millions les morts... Mais le pays était peut-être plus stable, faut voir ce qui importe. 
Vivement que la Freedom Box sorte. On voit qu'Eben Moglen avait vu très juste. J'ai déjà une petite idée de la config que j'y mettrai : TrueCrypt avec une partition cachée, mon propre serveur DNS, mon propre serveur mail, un relais Tor, Moblock pour filtrer les IP hostiles, peut-être même des instances Status.net, OpenID et Diaspora. Et gtk-gnutella en headless pour partager des fichiers.
Aucun mot de passe critique ou presque ne restera sur des serveurs distants. 
Nan mais attendez la, stop. Il ne s'agit pas de déchiffrer les passwords, ni même de pouvoir les lire sous une forme humainement compréhensible.
Il s'agit de conserver le password tel qu'il est dans les databases, au même titre que d'autres données. Petit rappel sur les fondamentaux relatifs aux passwords, quand on ne veut pas faire avec ses pieds. Même pour l'administrateur (du serveur, du réseau, du système etc etc), les mots de passe ne sauraient être déchiffrables. Faillir à cette règle déontologique revient a se mettre en danger vis a vis de la loi. Le pouvoir de l'administrateur sur un password consiste en la possibilité de le réinitialiser, en suivant un processus très précis. Aujourd'hui sur le web, cela se manifeste par la fameuse fonction "j'ai oublier mon mot de passe" sur l'invite de connexion. Puis on vous demande votre e-mail ... etc ..etc. Vous restez maître de votre nouveau mot de passe de toutes façons. Pourquoi ? Il faut remettre la donnée "mot de passe" dans son contexte. Elle représente votre signature, c'est a dire l'information qui prouve le propriétaire d'un compte (en tant que personne physique), de facto qui vous responsabilise sur l'usage de votre compte et des services web associés. Si le mot de passe est déchiffrable, vous devenez irresponsable des contenus publiés via votre compte, et ce n'est certainement pas la volonté du gouvernement que d'ouvrir cette porte. De plus l'usurpation d'identité virtuelle est un vrai acte de piraterie (au sens de la loi) dont les conséquences sont très lourde, promis je vous retrouve l'article de loi (on est loin du bâton hadopien). C'est pourquoi, et en réponse à Andre je crois, même le dump password est normalement proscrit, le lien ID/PW ne peut être cassé (encore une fois, quand on fait autrement qu'avec ses pieds). Alors que dit l'article, et bien que les log permettent en cas de besoins judiciaires de ressortir des truc comme ca: Site TOTO : 02/03/2011 - 192.168.1.1 - jdhfjkmqhJHkjhkmkj05 - FAI truc- etc etc Site TATA : 01/03/2001 - 192.168.1.1 - jdhfjkmqhJHkjhkmkj05 - FAI truc- etc etc Site TITI : 01/03/2001 - 192.168.1.1 - jdhfjkmqhJHkjhkmkj05 - FAI truc- etc etc etc (les informations sont fictives bien entendu) on a plus besoin d'avoir le pw en clair pour soupçonner a 99% que c'est le même internaute derrière tout ca. Pour répondre à guillaume sur l'éventuelle intrusion de réseau quand la raison d'état prévaut, les services habilités ont les outils et les compétences, et la discrétion les obligent à une certaine autarcie (donc indépendance vis a vis des FAI et hébergeurs). Heureusement que dans de pareille situation, tout ne repose pas que sur le déchiffrage d'un simple mot de passe. 
Dans le même ordre d' idée, les USA ont obtenu que l' organisme qui gère les comptes bancaires sur internet donne accès de manière rétroactive à la CIA aux comptes de tous ceux qui, depuis 2001, ont pris l' avion à destination des USA ou en sont partis, afin de vérifier qu' ils n' ont pas financé Al Qaida d' une manière ou d' une autre.
Quant à considérer que ce n' est gênant que pour ceux qui ont quelque chose à se reprocher, c' est l' argument numéro un des politiques totalitaires où tout le monde est a priori coupable ou a tout le moins suspect jusqu' à preuve de son innocence. Il faut être totalement abruti pour cautionner une telle hérésie intellectuelle.
kherozenne, le 02/03/2011 - 05:07 Et c'est pour ça qu'il est indispensable d'avoir des mots de passe différents et aléatoires de partout. En utilisant un gestionnaire de mots de passe ce n'est pas contraignant. 
Pour préciser pour Skyrock.com : une grosse majorité des dévs (aujourd'hui quasi tous licenciés ou partis d'eux-même suite à divers conflits, entre autre la sécurité de la plateforme), se sont longtemps opposés à la politique de sécurité laxiste, mais c'est un choix de la direction de rester avec des mots de passe en clair (plus simples à gérer pour les récup de mot de passe par les utilisateurs). Donc méfiez-vous toujours, ne mettez jamais le même mot de passe pour plusieurs comptes...
[message édité par bohwaz le 02/03/2011 à 11:32
]
Croux, le 01/03/2011 - 23:47 Euh... Faux... Le chiffrage asymétrique est réputé assez "résistant" dans le temps pour permettre de s'échanger quelques info... (en général une clé symétrique beaucoup plus résistante) Si le chiffrage asymétrique était reconnu "publiquement" (qu'est-ce que c'est que ça ?) incassable, les certificats n'auraient pas besoin de date de révocation ! Je te conseil de faire un tour sur wikipédia (dans sa version anglophone de préférence, les articles français sur le sujet sont très peu complet) et de consulter des articles concernant le chiffrage, un bon point de départ : http://en.wikipedia....yption_Standard Croux, le 01/03/2011 - 23:47 J'offre des services d'hébergement dans un cadre non professionnel (ou associatif si tu préfère, et oui tout n'est pas mu par l'argent...), n'importe quelle solution qui me coûtera un centime est déjà infiniment plus élevé que mon "chiffre d'affaire" (0E...) Ce type d'obligations décourage typiquement les comportement associatifs, communautaires, et instaure une vue unique de faire du profit pour motivé un développement même bénévole ! (passionnés, chercheurs, contributeurs libres, apprentissage)
Reste à espérer qu'il n'y ait pas en plus l'obligation d'avoir un compte facebook.
De mots de passes passoires et bientôt une obligation (pour l'instant avec les sites affiliés) d'avoir une seule et unique identité numérique qui empêche la segmentation des identité pro, personnelle et des identités selon les sujets abordés. Le rêve absolus des publicitaires et de l'État policier.
le genre de fonctionnalités qu'appréciait énormément ben ali et que pratique généralement le régime chinois. [message édité par bourgpat le 02/03/2011 à 13:08
]
tidjegwada, le 01/03/2011 - 16:06 Ces deux définitions n'étant pas exclusives, elles peuvent donc être parfaitement contradictoires : les kamikazes de 2001 étaient visiblement prêt à mourir, ne l'ont pas fait *uniquement* pour se faire remarquer (sinon à quoi bon les autres attentats depuis 2001 - 2001 a largement suffit pour qu'on les remarque...) et considéraient que leur pays vivait sous le joug d'un dictateur (saoudien, soutenu sans faille par les occidentaux). Selon vos deux définitions, ils seraient donc à la fois des terroristes et des résistants, voire des héros. Comme toujours, en matière de conflit les points de vu sur une même chose sont fatalement différent. Car c'est la source même du conflit, la divergence. "L'ennemi est bête : il croit que c'est nous l'ennemi alors que c'est lui !" - Pierre Desproges.
ajout du lien comme promis suite a mon commentaire précédent.
http://www.zataz.com...entite-web.html bonne aprem
kypd, le 02/03/2011 - 11:31 Actuellement le record de factorisation pour un nombre du type RSA (produit de deux facteurs premiers de taille semblable) est de 768 bits avec le crible général sur corps numérique (cela a nécessité l'équivalent de 4400 Opteron à 1 GHz fonctionnant pendant un an). Pour casser une clé de 1024 bits il faudrait 1000 fois plus de puissance informatique avec le même algorithme et pour une clé de 4096 bits c'est un million de milliards de milliards de fois la puissance utilisée pour la clé de 768 bits. A l'échelle humaine c'est donc bien reconnu comme incassable avec les meilleurs algorithmes publiques actuels (d'où le publiquement). Quant à l'existence de la date de révocation c'est pour le vol de la clé privée et pas pour le fait que la clé publique a pu être cassée : car si c'était le cas ce ne serait pas la clé qu'il faudrait révoquer mais toutes les clés de la même taille...
On parle d'algorithme asymétrique et tu revoies vers l'AES qui est un algorithme symétrique qui n'apporte aucune sécurité par rapport à la situation qui nous concerne : comment conserver en toute sécurité (vis à vis des employés) les mots de passe des utilisateurs inscrits.
D'où la solution du chiffrage asymétrique qui ne coûte rien en terme d'espace de stockage.
Une association qui gère un serveur informatique a des obligations plus contraignantes que de rajouter quelques lignes de code dans un script php/asp/... pour journaliser les mots de passe à l'inscription, comme par exemple faire une déclaration à la cnil... Quant à journaliser les accès c'était déjà une obligation avant et c'est souvent pris en charge par le serveur web lui même.
kherozenne, le 02/03/2011 - 05:07 Voilà, je crois que beaucoup (dont Croux) ont oublié ça. Pouvoir connaître le mot de passe en clair d'un utilisateur n'est pas envisageable, point. Alors on peut s'amuser à conserver les hashs, super... normalement c'est déjà le cas, suffit le plus souvent d'ajouter les anciennes versions des mots de passe après modification de ceux ci par l'utilisateur. Encore une fois, rien ne peut justifier de savoir le mot de passe en clair : - pour se connecter avec le compte, suffit de le changer à la volée. - pour traquer un utilisateur par rapport à son mot de passe, le hash suffit.
"Encore une fois, rien ne peut justifier de savoir le mot de passe en clair :
" Oui tass_ , c'est exactement ça. Un bon administrateur ne voudra jamais s'empoisonner avec ca, de toutes façons en étant root il accède sur tout, partout. Il n'y a aucune utilités a avoir les mots de passes en clair, cela représente une charge de travail en sécurisation/confidentialité et rend le système plus vulnérable et fragile. La modération d'un forum ou d'un blog par exemple se réalise sans le mot de passe de l'auteur du post, etc. Simplement au niveau des logs, la modification du contenu sera photographiée avec l'id "root" ou "admin", pas celui de l'utilisateur, mais c'est un peu la finalité des logs, rester factuel, brut de fonderie sans aucunes interprétations.
Heu, ce n'est PAS une PROPOSITION mais un DECRET. Autrement dit cela doit d'ores et déjà être appliqué. Autrement dit, la dictature numérique est un fait, pas une spéculation. De toutes facon, avec le gouvernement remplis de corrompus ou qui trainnent des casseroles énormes, ça va passer comme une lettre à la poste. Le but non avouable n'étant que de contrôler les dissidents, comme les journalistes qui ont été volé de leur PC alors qu'ils enquétaient sur les affaires Woerth ou autre casseroles du gvt. George Orwell : "Dans des temps de tromperie généralisée, le seul fait de dire la vérité est un acte révolutionnaire." ou terroriste selon l'époque... Mais on peut toujours décider une grève générale, pour revendiquer nos droits numériques, mais surtout ceux essentiels de la répartition des richesses. Car c'est bien cela l'enjeux de la repression des peuples. Ce sera aussi efficace qu'en Tunisie, et sans mort autre qu'économiques. Ou faire tomber les banquiers/financiers qui contrôlent les gouvernements en retirant tous notre argent des banques, tout simplement (cf Cantona/bankrun2010). Et là en 24h, on sera écouté, je vous le garantit. A défaut, utiliser le réseau TOR, pour lire/parler de politique, et le courrier papier qui reste le plus moderne des moyens sûrs (jusqu'à quand?). Sinon, ouvrez les yeux sur le système de manière plus générale : l'argent est une arnaque monumentale conçu comme tel. Un doute? un petit cours d'économie monétaire ici : http://bankster.tv/videos.htm ou ici pour d'autre vidéos aussi "dissidentes" : http://www.mouvement...d=69&Itemid=127 Je sens des esprits résistants se réveiller soudainement ;-) N'attendez pas 2012, car comme disait Einstein, "Le monde ne sera jamais détruit par ceux qui font du mal, mais par ceux qui les regardent agir et qui refusent d'intervenir"
tass_, le 02/03/2011 - 15:55 Tu nies le problème posé par le décret. Il ne s'agit pas pour l'administrateur de connaître les mots de passe des utilisateurs, il s'agit de satisfaire à une obligation légale. L'administrateur peut tout à fait enregistrer ces données sous forme chiffrée pour qu'il ne soit pas possible de les lire en clair s'il n'a pas la maitrise de l'accès à ces données une fois traitées. Et puis c'est un peu malhonnête de prétendre que le pouvoir d'un administrateur sur un password consiste en la possibilité de le réinitialiser alors que techniquement il peut l'obtenir en clair. Enregistrer les mots de passe des utilisateurs comme l'impose ce décret n'est pas incompatible avec la déontologie si on applique des mesures techniques adéquates. D'ailleurs comment parler de déontologie lorsqu'on ne respecte pas la loi ? Enfin et surtout, n'oubliez pas que le décret n'impose la conservation du mot de passe que s'il était déjà enregistré avant. En d'autres termes, les hébergeurs qui n'utilisent qu'un hash ne doivent conserver que le hash... [message édité par Croux le 02/03/2011 à 19:09
]
Une petite listes des services anti terroristes qui auront accès à ces informations.
bourgpat, le 02/03/2011 - 19:45 En Lybie aussi, Kadhafi accuse les "terroristes" de vouloir le renverser. C'est la dictature quand on commence à se méfier de son propre peuple ou de ses propres citoyens...
well,mea culpa, je me suis penché un peu plus sur la question et effectivement, j'étais un peu hors sujet, c'est pas aussi simple que ca.
1) Le décret. Une question demeure, conserver le mot passe soit, mais sous quelle forme ? Le texte de loi reste très évasif. 2) La déontologie. Certes il s'agit de se conformer à la loi et ainsi, de pouvoir sur réquisition judiciaire, être en mesure de fournir les logs avec les mots de passe aux autorités de l'état. Encore une fois, sous quelle forme ? 3) Le secret professionnel. L'administrateur est tenu par le secret notamment sur ce qui touche au mot de passe d'un tiers, et ce quelque soit la forme du mot de passe (chiffré ou non). Or on ne peut envisager une opposabilité du secret face à la force publique. On entend par force publique l'ensemble des services de l'Etat qui sont chargés du maintien de l'ordre et de la sécurité. Selon plusieurs dispositions du Code de procédure pénale, le procureur de la République, le juge d'instruction ou l'officier de police judiciaire peuvent requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l'enquête, y compris ceux issus d'un système informatique ou d'un traitement de données nominatives, la remise de documents, sans que puisse leur être opposée, sans motif légitime, l'obligation au secret professionnel. On peut comprendre que dans ce contexte, divulguer un mot de passe en clair, d'une part décharge la responsabilité de l'administrateur et d'autre part ne saurait être perçue comme pouvant servir a usurper une identité virtuelle (encore que, encore une fois c'est pas clair). Ce qui me fait conclure à peu près de la même façon que guillaume . [edit] le decret : http://www.legifranc...ategorieLien=id et pour ceux qui sont intéressé par la déontologie : http://cigref.typepa...Rapport_Web.pdf [message édité par kherozenne le 02/03/2011 à 20:07
]
Ce qui est amusant, c'est comme souvent le 2 poids 2 mesures.
Dire que tout récemment le gouvernement a refusé de débattre d'une loi sur "la transparence des sondages". "La propositon de loi sur la transparence des sondages n'est pas la priorité du gouvernement, annonce aujourd'hui le président de l'Assemblée nationale Bernard Accoyer à la presse." Qu'on assiste abasourdi à des propositions de lois complaisantes pour les députés/sénateurs. "Le patron des députés UMP, Christian Jacob, a dû renoncer lundi soir à l'Assemblée nationale, face au tollé suscité jusque dans la majorité, à demander la suppression de l'incrimination pénale pour les députés qui omettraient sciemment de déclarer une partie de leur patrimoine." Qu'ils ne se privent pas de voler les ordinateurs de journalistes enquêtant sur des affaires de corruption. Et que dès qu'un lièvre est levé (au hasard l'affaire Woerth), on a droit à toutes sortes de contorsions pour éviter la justice. Quel pays de merde !  
Ce qui est fou, c'est que quand Marine Lepen sera élue en 2012, elle n'aura même pas besoin de faire voter ce genre de lois. Tout est déja prêt.
Et nous ne pourrons pas dire "nous ne savions pas"...
Croux, le 02/03/2011 - 15:36 Du chiffrage asymétrique qui ne coûte rien en terme de stockage, peut être... Mais qu'en est il de la puissance de calcul ? L'électricité ne coûte rien du tout ? comme un disque dur dédié, sauvegardé, voir redondé ? (même pour quelques Ko de logs qu'il faut arriver à garder un an !) Tu parle de clé sur 1024 bits voir 4096 bits en chiffrage asymétrique c'est un véritable gouffre à ressource ! Je vois pas comment sur un petit serveur à base d'Atom ou même d'ARM (pour du serveur embarqué) on peut se permettre ce niveau de chiffrage même sur de simples logs ! (en plus de ses opération courante, un serveur ne sert pas qu'à se surveillé lui même !) Croux, le 02/03/2011 - 15:36 Une association n'a aucune obligation, pas même celle de se déclarer ! La déclaration à la CNIL n'est nécessaire que dans le traitement automatisé de données personnelles, un mot de passe peut être dédié à un simple accès, une association peut garder ses registres au format papier (qui ne nécessite pas de déclaration CNIL) et simplement offrir des services via un système informatique qui ne traite pas de données ! (Exemple : une ferme de noeuds de calcul pour de la compilation sous Gentoo s'est monté spontanément sur le forum Dedibox à son lancement pour palier au manque de puissance des serveurs...) Tu t'enferme dans "une norme", "un usage", "une loi"... Le fait est que ça peut coûter infiniment plus que "rien" que d'avoir l'obligation de conserver des données ! (surtout quand on voit les prix des sauvegardes dans une INFRA c'est une hérésie que de dire que la conservation de données ne coûte rien...)
Croux, le 02/03/2011 - 18:37 Et je te dis que cette obligation légale peut se faire sans avoir à connaître le mot de passe en clair. Croux, le 02/03/2011 - 18:37 Non, on te dit que dans un système de données bien construit, personne ne peut techniquement savoir les mots de passe en clair. Personne. Croux, le 02/03/2011 - 18:37 La déontologie et la loi sont deux choses différentes. Croux, le 02/03/2011 - 18:37 Ha ben dans ce cas là tous les sites dont je m'occupe respectent la loi.
kypd, le 03/03/2011 - 09:31 Il ne s'agit pas de tout crypter avec une clé publique, je parle juste du chiffrage des mots de passe que l'on demande de conserver s'ils sont déjà connus en clair. C'est pas ça qui va fatiguer le serveur, ni consommer beaucoup d'énergie, ... En plus de ça on n'est pas obligé de procéder au chiffrage immédiatement, il peut être remis à une période tardive (5h du matin) et concerner l'ensemble des nouveaux inscrits durant la journée... Et puis si jamais on tient à tout chiffrer et bien on peut utiliser la méthode classique : générer quotidiennement une clé secrète pour chiffrer avec un algo symétrique (AES, ...) et chiffrer cette clé secrète avec la clé publique RSA.
Ca dépend. Une association non déclarée n'a aucune capacité juridique, elle ne peut alors prétendre à gérer des cotisations de membres par exemple et louer un serveur, c'est celui qui paie qui le fait en son nom propre et pas en celui de l'association.
J'imagine qu'il ne s'agit pas du même mot de passe pour tous Par conséquent ce mot de passe s'accompagne obligatoirement d'un identifiant qui constitue une donnée personnelle. Il y a dans ce cas un traitement automatisé de données personnelles... Ceci étant il y a une dispense pour les associations, mais celle-ci limite alors fortement les données personnelles qui peuvent être utilisées. Par ailleurs, la loi informatique et liberté soumet l'association à diverses obligations même dans le cas des fichiers papiers : le droit d'information, le droit d'accès aux données personnelles, le droit de rectification, ...
Les données devaient déjà être conservées auparavant. Ce décret ne fait que préciser quelles données doivent être obligatoirement conservées. Par ailleurs au dessus de la France il y a aussi l'Europe qui demande la conservation des données.
C'est absurde de dire que ça coûte cher, ce n'est pas vrai. Un exemple : un forum consulté 100 mille fois par jours (1 lecture, 1 ajout de message, 1 modification, ...) aura en gros 3 Mo de logs (24 octets suffisent pour stocker l'identifiant, l'IP, le port, la date, la nature de l'opération, le protocole utilisé) qui compressés descendent en dessous de 1 Mo, soit moins de 400 Mo dans l'année... Pour stocker ça, un simple CD à 15 centimes suffit !
tass_, le 03/03/2011 - 10:40 Je n'ai prétendu nulle part le contraire...
La réalité est toute autre : la majorité des authentifications utilisées sur le web transmettent en clair le mot de passe (par exemple numerama le fait) et les systèmes du type challenge/response nécessitent de stocker l'équivalent du mot de passe en clair sur le serveur...
D'où ma question. Comment parler de déontologie si on ne respecte pas la loi ? A partir du moment où un administrateur décide de ne pas se conformer à la loi, comment peut-il prétendre à la confiance des "administrés" ? Une fois la barrière franchie toutes les dérives sont imaginables.
Moi je ne m'avancerai pas autant. Croire qu'on respecte la loi est une chose, mais être affirmatif sur le sujet en est une autre (une bonne part de ceux qui ont eu un redressement fiscal le diront). Il y a quand même des choses essentielles à vérifier : les mentions légales, l'information des usagers sur les données personnelles et leur droit d'accès et de rectification, la déclaration à la cnil, la protection des données personnelles, ... Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 24 offres à partir de 789 €
 20 offres à partir de 309 €
Télécharger
norton,
avast,
need for speed,
ip,
navigateur web firefox,
windows 7 gratuit,
trouver une chanson,
strategie ground control,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Faut-il s'inquiéter ou est-ce de la paranoïa inutile ? Parmi les données que doivent conserver les hébergeurs en vertu du 
Et quid des (nombreux - et de plus en plus nombreux) services qui utilisent Facebook Connect et autres pour l'identification de leurs utilisateurs ?