Pourquoi les mots de passe peuvent servir à identifier un internaute
C'est la partie du décret d'application de la LCEN qui dérange le plus.
Contrairement à ce que nous avions imaginé dans une première hypothèse, les demandes de mots de passe ne seront pas formulées uniquement dans le cadre des enquêtes de police anti-terroristes. Une source proche du dossier nous explique en effet que la volonté du gouvernement et des experts en cybercriminalité qui ont participé à l'élaboration du décret est bien de faire du mot de passe un élément à part entière d'identification de la personne.
L'idée est de croiser les bases de données pour alourdir le faisceau de présomption à l'encontre d'un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c'est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu'il s'agisse bien de la même personne augmente fortement. D'autant plus s'il s'agit d'un mot de passe complexe, que personne d'autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s'il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d'un service à l'autre, les mots de passe sont les mêmes aussi.
Avec ces méthodes, l'enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n'aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu'il s'agit bien de la même personne, auquel cas l'adresse IP utilisée pourra faciliter l'identification.
Il n'est pas exclu, dans de rares cas, que le processus d'identification soit inversé. C'est-à-dire qu'à partir d'un mot de passe ou d'une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s'ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe.