Les mots de passe pourront être connus des services anti-terroristes
Faut-il s'inquiéter ou est-ce de la paranoïa inutile ?
Une telle exigence n'a rien à faire dans un décret qui vise les données personnelles que doit pouvoir communiquer l'hébergeur pour faciliter l'identification d'un utilisateur dans le cadre d'une procédure judiciaire. C'est d'ailleurs l'avis très critique de l'Arcep, qui écrit qu'elle "ne peut que s'interroger sur la finalité", car "certaines données n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Elle vise la conservation des mots de passe, mais aussi la demande de conservation des "caractéristiques de la ligne de l'abonné", de la "nature de l'opération", ou "certaines données relatives au paiement".
"L'Autorité tient à rappeler que les dispositions de l'article 6 de la loi du 21 juin 2004 ont pour unique objet de permettre l'identification des personnes physiques ou morales ayant contribué à la création d'un contenu en ligne et que, par conséquent, seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation", avait prévenu l'Arcep dans son avis communiqué au gouvernement le 13 mars 2008. Deux ans plus tard, le gouvernement n'en a pas tenu compte.
Si en principe les données ne peuvent être communiquées que par demande des autorités judiciaires, donc sous contrôle d'un juge qui ne verra pas l'utilité de demander un mot de passe, il en va autrement de la seconde partie du décret relatif "aux demandes administratives prévues par le II Bis de l'article 6 de la loi n° 2004 575 du 21 juin 2004". Il s'agit en effet des demandes formulées par la police ou la gendarmerie dans le cadre de leur mission de prévention des actes de terrorisme. Le contrôle de légitimité de la demande n'est alors plus effectué par la justice, mais par une personnalité qualifiée placée auprès du ministre de l'intérieur, c'est-à-dire par l'exécutif.
Or on comprend bien pour les services anti-terroristes l'intérêt d'accéder à un mot de passe. Ils peuvent permettre de s'infiltrer discrètement dans un réseau (un forum à accès réservé aux membres autorisés, par exemple), voire de tenter d'accéder à d'autres services si le suspect y utilise le même mot de passe, notamment sur des services hébergés à l'étranger qui ne répondraient pas de la LCEN. Les dérives sont évidemment à craindre, notamment pour les journalistes qui enquêtent sur des affaires sensibles telles que les attentats de Karachi.
Reste tout de même un problème technique. Le décret demande à la fois de conserver les mots de passe, et de les conserver les données en se soumettant aux prescriptions de la loi CNIL sur la sécurité des informations. Or bien souvent, par souci de sécurité, les mots de passe ne sont pas stockés en clair (parfois si), mais sous une forme hashée qui permet uniquement de vérifier si le mot de passe saisi est le bon.