Plus d'obligation légale de conserver les mots de passe des internautes ?

La disposition introduite dans un décret d'application de la LCEN nous avait beaucoup surpris. Publié sept ans après la loi, le décret du 25 février 2011 sur la conservation des données demande en effet aux hébergeurs de conserver pendant un an "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour". Immédiatement, nous nous étions demandé à quoi pouvait bien servir la conservation des mots de passe alors que le texte réglementaire a pour but de faire conserver les données "permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne".

Dans son avis daté de 2008, l'Arcep elle-même avait jugé que les mots de passe "n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu", tandis que la CNIL n'avait pas moufté. Ce silence paraissait d'autant plus curieux que par principe, la CNIL impose aux éditeurs de chiffrer les mots de passe, ce qui interdit toute conservation en clair.

Après avoir interrogé une personne proche du dossier, qui a participé à l'élaboration du décret, nous avions détaillé l'explication technique de l'utilité de cette disposition dans le cadre des enquêtes judiciaires :

La volonté du gouvernement et des experts en cybercriminalité qui ont participé à l'élaboration du décret est bien de faire du mot de passe un élément à part entière d'identification de la personne.

L'idée est de croiser les bases de données pour alourdir le faisceau de présomption à l'encontre d'un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c'est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu'il s'agisse bien de la même personne augmente fortement. D'autant plus s'il s'agit d'un mot de passe complexe, que personne d'autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s'il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d'un service à l'autre, les mots de passe sont les mêmes aussi.

Avec ces méthodes, l'enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n'aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu'il s'agit bien de la même personne, auquel cas l'adresse IP utilisée pourra faciliter l'identification.

Il n'est pas exclu, dans de rares cas, que le processus d'identification soit inversé. C'est-à-dire qu'à partir d'un mot de passe ou d'une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s'ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe.

C'est sans doute pour éclairer ce point que, selon PC Inpact, le gouvernement va modifier le décret pour demander à conserver non plus le mot de passe, ce qui supposait une conservation "en clair", mais "les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour". Il s'agira donc de conserver les hashs MD5 et autres SHA-1, mais aussi les éventuelles réponses aux questions du type "nom de votre premier animal de compagnie", qui peuvent utilement compléter un faisceau d'indices pour identifier la personne mise en cause.