|
|
Décret LCEN : la CNIL ignore la conservation des mots de passe
Guillaume Champeau -
publié le Jeudi 03 Mars 2011 à 10h49 -
posté dans Société 2.0
 Dans un avis communiqué au gouvernement en 2007, qu'elle vient de rendre public, la CNIL avait émis plusieurs critiques sur le projet de décret d'application de la LCEN, dont beaucoup n'ont pas été prises en compte dans la version finale. Mais elle n'avait strictement rien dit de l'obligation faite aux hébergeurs, FAI et éditeurs de services de conserver le mot de passe de leurs utilisateurs. Curieux... Alors que le gouvernement ne l'a pas publié au Journal Officiel, la CNIL a décidé souverainement de publier mercredi sur son site internet l'avis qu'elle avait rendu en 2007 sur le projet de décret relatif à la conservation des données par les hébergeurs, éditeurs de services en ligne et FAI. Comme celui de l'ARCEP, qui avait été très critique, l'avis de la CNIL a été pour une large part ignoré par le gouvernement. La Commission reprochait notamment au projet de décret le fait qu'il demande aux FAI de conserver un "identifiant de connexion", ce qui est imprécis. Elle explique que "« l’identifiant attribué par le FAI à l’abonné » ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit. De même, « l’identifiant du terminal utilisé pour la connexion » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique)". Or ces termes ont été conservés dans le décret final, alors que "la Commission considère que le projet de décret doit indiquer explicitement la nature des identifiants concernés de façon à ce que les FAI mesurent précisément l'obligation qui leur est imposée dès lors que le non-respect de cette obligation est sanctionnée pénalement d'un an d'emprisonnement et de 75 000 euros d'amende". Par ailleurs, "s’agissant des informations relatives au paiement, la Commission s’interroge sur la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus". Mais le décret final, là aussi, demande toujours à ce que cette information soit conservée. Enfin, la CNIL reprochait au gouvernement de ne pas préciser les conditions techniques de sécurisation des données, et d'en référer uniquement aux termes génériques de la loi. Or le décret final n'est pas plus précis sur ce point. Il est étonnant cependant qu'au contraire de celui de l'ARCEP, l'avis de la CNIL ne parle à aucun moment de la question très polémique de la conservation des mots de passe, qui pourront être obtenus notamment dans le cadre d'enquêtes policières sur l'anti-terrorisme. La Commission, dont le président Alex Türk a remporté un Big Brother Award pour sa grande souplesse à l'égard de l'intrusion de la vie privée, a fait totalement l'impasse sur ce point. Il est paradoxal que ça soit l'ARCEP qui note que "certaines données (à conserver) n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu", alors que la CNIL n'en pipe pas mot. La même CNIL qui, s'agissant de la loi Hadopi, a donné son accord à la collecte des adresses IP malgré un rapport interne accablant, et qui estime que le public n'a pas à savoir pourquoi. à lire aussi
  Prix indiqués avec livraison
18
Commentaires à propos de «Décret LCEN : la CNIL ignore la conservation des mots de passe»
 Attention, il ne s'agit pas d'être obligé de conserver les login/mdp stockés en clair, mais de conserver les login/mdp "dans la mesure où les personnes les collectent habituellement."
En d'autres termes, si je stocke les mots de passes de mes utilisateurs en SHA-1 salté, je dois conserver cette donnée là, et pas le mot de passe en clair. Y vont être content à la DGSE ils pourront jouer longtemps avec leurs supers calculateurs  Oui c'est idiot et inutile mais ce n'est pas la première loi idiote et inutile à propos d'informatique non ? A partir de là la CNIL ... Zont ptet vu que c'était n'importe quoi à la base   Le directeur de la CNIL n'est qu'un pourri qui joue double jeu de toute façon. Il a amplement mérité son Big brother award.
 @Marco46 tu crois vraiment qu'un SHA-1 va arreter la DGSE ? C'est naïf un peu là quand même. Si plus de la moitié des gouvernements de la planète nous envie notre Gendarmerie pour ses capacités informatiques, ca n'est certainement pas pour rien...
 @Marco46 je pense que tu te trompe, le stockage de mdp encodé est de toute façon obligatoire et déjà en place, sinon comment feraient les sites pour arriver a savoir si tu a tapé le bon mot de passe pour te logger.
Non je pense que là il est demandé a ce que les mdp soient stocké en clair pour permettre a la DGSE d'accéder a un compte et se faire passer pour le mec ciblé, car si ils veulent accéder aux informations du profil, pour que le site puisse les afficher au client, c'est que c'est en base de données, pour un dev c'est hyper simple d'y accéder sans avoir besoin du mdp du client. Personnellement je vois pas l'intérêt pour la justice de conserver des mdp si ce n'est pour s'adonner à l'usurpation d'identité, car y'a pas besoin des mdp pour accéder aux informations des clients. Pandoux, le 03/03/2011 - 11:40
@Marco46 je pense que tu te trompe, le stockage de mdp encodé est de toute façon obligatoire et déjà en place, sinon comment feraient les sites pour arriver a savoir si tu a tapé le bon mot de passe pour te logger. Non je pense que là il est demandé a ce que les mdp soient stocké en clair pour permettre a la DGSE d'accéder a un compte et se faire passer pour le mec ciblé, car si ils veulent accéder aux informations du profil, pour que le site puisse les afficher au client, c'est que c'est en base de données, pour un dev c'est hyper simple d'y accéder sans avoir besoin du mdp du client. Personnellement je vois pas l'intérêt pour la justice de conserver des mdp si ce n'est pour s'adonner à l'usurpation d'identité, car y'a pas besoin des mdp pour accéder aux informations des clients. Ce qu'il a écrit dans le décret c'est ça : Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.
Le 3° correspond à la création d'un compte (de forum par exemple). Source ici. Vous connaissez beaucoup de forum où vous devez saisir votre n° de téléphone ? Du coup, si le forum n'enregistre pas le n° de tel, il n'est pas tenu de le conserver, forcément. De même, si le forum n'enregistre pas le mot de passe, il n'est pas tenu de le conserver, forcément. Du coup si le forum enregistre le mdp SHA-1 salté + PBE c'est ça qui est conservé. Youpi, vachement utile. Loiseau2nuit], le 01/01/1970 - 01:00 @Marco46 tu crois vraiment qu'un SHA-1 va arreter la DGSE ? C'est naïf un peu là quand même. Si plus de la moitié des gouvernements de la planète nous envie notre Gendarmerie pour ses capacités informatiques, ca n'est certainement pas pour rien...Un SHA-1 salté + PBE, oui je crois que ça doit les arrêter pour un bon moment. Donc en fait on est dans la même démarche que la HADOPI, on sabre les gens qui n'y connaissent rien ou qui font pas attention, mais ya des portes de sorties énormes pour ceux qui veulent se protéger. En plus on est dans le cadre de la lutte anti-terroriste. Vous pensez bien que les terro qui utilisent pas des moyens de chiffrement conséquents ils ont pas le temps de finir leur entrainement ...
Donc c'est n'imp du début à la fin leur truc.  Tout simplement, la CNIL a rendu un avis sur le projet de décret, qui a été modifié par la suite. Pour référence, voici l'avis de la CNIL :
http://www.cnil.fr/e...tion/delib/252/ D'après ce que j'ai compris du texte, il n'est effectivement pas précisé comment les mdp doivent être conservés. N'oublions pas que le décret originel date de 2007 et qu'il n'a apparemment pas été retouché depuis (ou quasi). Et l'on connait tous l'état des connaissances en info du législateur à cette époque.
Sinon, franchement, quel admin un peut sérieux stockerait les mdp / login de ces "clients" en clair ? Une petite faille de sécurité mal placée et hop tout peut s'envoler dans la nature (cf HBGary, AGS Law par ex.) Enfin, même si su SHA-1 salté n'arrêtera sans doute pas les supers-calculateurs de la gendarmerie, est-ce vraiment le principal ? Le but premier d'une alarme ou d'une porte anti-cambriolage n'est pas d'empêcher l'infraction. Son but est la dissuasion et la perte de temps. Un voleur n'a pas toute la nuit pour fracturer une porte (surtout que c'est rarement silencieux), et généralement, si ça lui prend plus de 30 secondes, il va arrêter. Ici, c'est pareil, si la gendarmerie doit mettre 2/3j pour craquer un mot de passe, cela peut laisser le temps de réagir et d'effacer certaines choses . Sans parler que le dit mot de passe se doit aussi d'être sécurisé. C'est sûr que même salté, un mdp "1234" reste pourri  L'ARCEP a sans doute été consultée sur le même projet de décret, donc même s'il est logique que les points rajoutés à l'arrache juste avant la publication ne sont pas mentionnés, le problème des mdps soulevé par l'ARCEP devrait l'être aussi par la CNIL, non ?
L-observateur, le 03/03/2011 - 12:33 Moins de 400 jours avant de virer l'UMP liberticide du pouvoir  Loiseau2nuit, le 03/03/2011 - 11:37 @Marco46 tu crois vraiment qu'un SHA-1 va arreter la DGSE ? C'est naïf un peu là quand même. Si plus de la moitié des gouvernements de la planète nous envie notre Gendarmerie pour ses capacités informatiques, ca n'est certainement pas pour rien...m'en vais te crypter mon serveur avec du 2048 bits, je vous garantit qu'ils vont s'amuser!!!! metzgergine, le 03/03/2011 - 13:35
m'en vais te crypter mon serveur avec du 2048 bits, je vous garantit qu'ils vont s'amuser!!!!Quelques dizaines d'heures au frais agrémentées de malencontreux coups d'annuaire, et ton joli chiffrement ne servira plus à rien, puisque tu vas toi même donner le mdp de déchiffrement. Ce n'est pas quelques dizaines d'heures, c'est plusieurs semaines de prison. Et là encore, ça ne suffit pas : http://www.gizmodo.f...t-de-passe.html
 nemessa, le 03/03/2011 - 17:23 Ce n'est pas quelques dizaines d'heures, c'est plusieurs semaines de prison. Et là encore, ça ne suffit pas : http://www.gizmodo.f...t-de-passe.htmltass_, le 03/03/2011 - 18:10 nemessa, le 03/03/2011 - 17:23 Ce n'est pas quelques dizaines d'heures, c'est plusieurs semaines de prison. Et là encore, ça ne suffit pas : http://www.gizmodo.f...t-de-passe.htmlTout à fait d'accord ! J'invite d'ailleurs certains lecteurs (qui n'utilisent pas) à découvrir TrueCrypt (AES+Serpent+Twofish (pour les plus paranos)) utilisés avec un hidden volume. En gros, on vous force à donner un mot de passe, vous êtes obligé (annuaire+prison), vous donnez ce mot de passe qui permet de découvrir vos photos de vacances. L'autre volume, qui contient les données sensibles n'est pas découvert : https://secure.wikim.../Déni_plausible nemessa, le 03/03/2011 - 18:52
Tout à fait d'accord ! J'invite d'ailleurs certains lecteurs (qui n'utilisent pas) à découvrir TrueCrypt (AES+Serpent+Twofish (pour les plus paranos)) utilisés avec un hidden volume. En gros, on vous force à donner un mot de passe, vous êtes obligé (annuaire+prison), vous donnez ce mot de passe qui permet de découvrir vos photos de vacances. L'autre volume, qui contient les données sensibles n'est pas découvert : https://secure.wikim.../Déni_plausible |
A LA UNE
LES + COMMENTÉS
 22 offres à partir de 25 €
 22 offres à partir de 33 €
 12 offres à partir de 131 €
Télécharger
windows 7 gratuit,
voissa anonymo,
antivirus avast,
redtube video downloader,
restauration msn messenger,
emule island,
passion,
index php,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Pour se défendre contre les lois (un comble !) Ne compter que sur soi même et ses connaissances.
Cela veut dire aussi partager ses connaissances.