Pourquoi les mots de passe peuvent servir à identifier un internaute

Guillaume Champeau - publié le Vendredi 04 Mars 2011 à 10h03 - posté dans Société 2.0

Les mots de passe des utilisateurs de services en ligne, dont la conservation est rendue obligatoire par le récent décret d'application de la LCEN, pourraient bien servir à identifier l'utilisateur. Explications.

C'est la partie du décret d'application de la LCEN qui dérange le plus. Parmi les nombreuses données que doivent conserver les hébergeurs et éditeurs de services en ligne pour "identifier toute personne ayant contribué à la création d'un contenu mis en ligne", figurent "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour". Nous nous étions interrogés sur l'intérêt de conserver de telles données. Comme le faisait remarquer l'Arcep dans son avis communiqué au gouvernement en 2008, les mots de passe "n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Bizarrement, la CNIL n'avait rien trouvé à redire.

Contrairement à ce que nous avions imaginé dans une première hypothèse, les demandes de mots de passe ne seront pas formulées uniquement dans le cadre des enquêtes de police anti-terroristes. Une source proche du dossier nous explique en effet que la volonté du gouvernement et des experts en cybercriminalité qui ont participé à l'élaboration du décret est bien de faire du mot de passe un élément à part entière d'identification de la personne.

L'idée est de croiser les bases de données pour alourdir le faisceau de présomption à l'encontre d'un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c'est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu'il s'agisse bien de la même personne augmente fortement. D'autant plus s'il s'agit d'un mot de passe complexe, que personne d'autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s'il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d'un service à l'autre, les mots de passe sont les mêmes aussi. 

Avec ces méthodes, l'enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n'aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu'il s'agit bien de la même personne, auquel cas l'adresse IP utilisée pourra faciliter l'identification.

Il n'est pas exclu, dans de rares cas, que le processus d'identification soit inversé. C'est-à-dire qu'à partir d'un mot de passe ou d'une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s'ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe. 
Publié par Guillaume Champeau, le 4 Mars 2011 à 10h03
 
 
76
Commentaires à propos de «Pourquoi les mots de passe peuvent servir à identifier un internaute»
 

1
2
3
4
Mué, mais si la signature sha1/md5 ou autre est salée ça ne servira à rien. (pas le même sel sur tous les sites ...)
le probleme, c'est que la signature de mot de passe se fait généralement avec un "sel" aléatoire qui fait qu'il est impossible d'avoir 2 fois la meme signature pour un meme mot de passe (enfin, dans les implémentations propres)
donc les gonz ils se mettent le doigt dans l'oeil
De toute façon, une des premières règle de sécurité est d'avoir un mot de passe différent pour chaque service...

Y a quand même un truc : plus le temps passe, plus on se protège contre le gouvernement comme on se protégeait des hackers, c'est lesquels les plus dangereux ????
Surtout, il faudrait être sacrément débile pour utiliser le même mot de passe partout...
Mouais....

1) créer un compte avec un mot de passe assez commun
2) demander de comparer sur SHA de ce mot de passe avec facebook
3) utiliser le login obtenu + le mot de passe qu'on connait
4) enjoy l'accès au facebook d'un inconnu :D
Ah ouais, en fait ils veulent faire rentrer l'analyse graphologique dans l'ère numérique en comparant comment on décide nos mots de passe ?

Bon ben le contre est tout trouvé : un générateur de mot de passe, un mot de passe différent pour chaque service distinct, et un outil pour centraliser tout ça avec un mot de passe maitre.

Pour peu que le service distant n'utilise pas un système de hash avec sel pour "stocker" les mots de passe, rendant la comparaisons des hash inutile.
là, c'est vraiment tordu comme explication et justification.
Parade facile, prendre un mot de passe classique pour les services peu important (facebook & co), un mot de passe plus hard et différent pour chaque service plus sensible (achat sur le web et banque en ligne).
Ou comme dit au dessus, un générateur de mdp ... j'ai jamais eu confiance à ces petits logiciels ^^
C'est vraiment une très bonne chose que ce décret. Cela montre par l'exemple pourquoi il faut prendre toutes les précautions avec les services en lignes et comprendre les mécanismes de sécurités.
Bon courage aux cellules anti-terroristes qui vont devoir faire le tri entre des citoyens qui n'ont pas envie de donner leur trousseau de clé à des futures milices gouvernementales et de véritables terroristes ou pédophiles.

Encore une fois, le gouvernement se rend directement coupable de complicité des deux groupes d'individus précédents
L'explication ne me convainc pas ! Totalement, ridicule !
""et sur son compte Facebook où son identité est quasi certaine,""

héhé , depuis des mois des tas de personnes ici trouvaient dangereux , intrusif , fliquant , ce facebook , comme quoi , pas si parano que ça ;)

bon , en meme temps avec un poil de jugeotte on prends un pseudo on renseigne rien et on évite ce flicage ou tout du moins on le complique .
C'est vraiment capilotracté.

Tient, je vais me trouver un générateur de mot de passe moi. Paranoïaque moi ?
Ils croient encore que les pédo/crimino/extrèmo/ce que vous voudrez utilisent le Web et ses ' services ' centralisés ?

Non, il ne le croient pas du tout, mais ils instrumentalisent cette peur qu'ils nous insuffle à longueur de temps afin d'accéder à toujours plus de notre vie privée...

Leur ' postulat ' dépend de la ' bonne volonté ' des ' cyber-criminels ' à utiliser tout le temps le même pseudo et le même mot de passe ?

Vous n'en avez pas marre d'être pris pour des inaptes ?

Ils vous déversent leurs délires en guise de justification, et tous ce que nous trouvons à faire, c'est de ' discuter ' la légitimité de leur demande...

Demandons-nous plutôt à qui va réellement servir cette loi et dans quels buts...

Pouvoir croiser les ' habitudes ' du mec qui utilise les mêmes user et mdp sur tous les sites où il est actif, vous voyez ce que cela peut leur amener ?

Tout le monde fiché, préférences politiques, sexuelles, salaires, profils psychologiques, etc...
( et quant à la ' légalité ' d'un tel fichier, il ne ' ferait ' partie que de tous ceux qui peuvent nous être cachés au nom de... notre sécurité... )

De la gestion des ' ressources humaines ' à l'échelle de la nation, du moins pour ceux qui ont ' tendance ' à ne pas se plier à la ' bien-pensance ' que la propagande étatique leur rabâche...
Hop.....

Comment on fait pour m'identifier à partir de ça ? =>

http://goo.gl/2b3HL

Bon OK, aprés faut ce souvenir de trucs du genre de = "Th^:?l}D[,a="
Guillaume, le 04/03/2011 - 10:03
utilise (comme c'est souvent le cas) le même mot de passe

;) Un gus qui utilise le même mot de passe sur des services différents ??? En taule, hop ! C'est une preuve de négligence caractérisée.

Pour ceux qui manquent d'imagination pour générer leurs mots de passe... rien de tel qu'un utilitaire:
http://blog.rom1v.co...sse-aleatoires/
Charo, le 04/03/2011 - 10:49
Hop.....

Comment on fait pour m'identifier à partir de ça ? =>

http://goo.gl/2b3HL

Bon OK, aprés faut ce souvenir de trucs du genre de = "Th^:?l}D[,a="

Là pour t'identifier, si tu ne caches pas ton IP et tes traces... rien de plus facile puisque c'est un service en ligne qui te propose le mot de passe. Tu sais bien que la NSA enregistre toutes les réponses de cette page.

;)
indiana, le 04/03/2011 - 10:12
De toute façon, une des premières règle de sécurité est d'avoir un mot de passe différent pour chaque service...
Combien de gens le font?
Grand_grunt, le 04/03/2011 - 10:55
indiana, le 04/03/2011 - 10:12
De toute façon, une des premières règle de sécurité est d'avoir un mot de passe différent pour chaque service...
Combien de gens le font?

Très peu j'imagine... mais ceux qui ont des notions de sécurité le font tous, du moins je crois.

:rire:
Hoper, le 04/03/2011 - 10:13
Surtout, il faudrait être sacrément débile pour utiliser le même mot de passe partout...

Les débiles, ils te répondent bien des choses. Si on écoutes tout le monde, alors on prend un mot de passe de dix caractères, composés de chiffres et de lettres, minuscules et majuscules. Ce que j'ai fait, allant même jusqu'à en utiliser un second moins élaboré pour les sites "tiers" si je puis dire. Pour info, j'ai essayé mon mot de passe sur un testeur comme celui-ci, et j'ai eu le même résultat. Un mot de passe élevé, mais pas le maximum. Pour ça, il faudrait que j'utilise aussi des symboles, alors vous êtes bien gentils, mais l'informatique, ça représente pas tout dans la vie de tout le monde. On a autre chose à faire que de mémoriser, car il ne faudrait pas non plus les noter hein, 36 mots de passes tous aussi complexes les uns que les autres.

http://www.microsoft...rd_checker.mspx
KeepassX http://www.keepassx.org/ marche sur Linux Windows et MacOS. Terminé.

1
2
3
4
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
MSConfig Cleanup
Gestionnaires des tâches - Se débarasser des programmes lancés au démarrage de Windows
 
HiDownload Pro
Téléchargeurs et aspirateurs - Gestionnaire de téléchargement / capture streaming
 
Wpostal
Divers - Trouver un code postal
 
Winzip
Compression et décompression - Précurseur des logiciels d'archivage de données
 
Wiideo Center
Lecteur audio et vidéo - Médiacenter pour la Wii
 
Mars 2011
 
Lu Ma Me Je Ve Sa Di
28 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
4 5 6 7 8 9 10
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC