Faut-il s’inquiéter ou est-ce de la paranoïa inutile ? Parmi les données que doivent conserver les hébergeurs en vertu du décret du 25 février 2011 publié ce mardi, s’est glissée ce qui ressemble à une étrange anomalie. Les hébergeurs, auxquels appartiennent la plupart des éditeurs de services de mise en ligne de contenus fournis par les utilisateurs (voir les décisions de la cour de cassation), auront désormais l’obligation de conserver « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour« .
Une telle exigence n’a rien à faire dans un décret qui vise les données personnelles que doit pouvoir communiquer l’hébergeur pour faciliter l’identification d’un utilisateur dans le cadre d’une procédure judiciaire. C’est d’ailleurs l’avis très critique de l’Arcep, qui écrit qu’elle « ne peut que s’interroger sur la finalité« , car « certaines données n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu« . Elle vise la conservation des mots de passe, mais aussi la demande de conservation des « caractéristiques de la ligne de l’abonné », de la « nature de l’opération », ou « certaines données relatives au paiement ».
« L’Autorité tient à rappeler que les dispositions de l’article 6 de la loi du 21 juin 2004 ont pour unique objet de permettre l’identification des personnes physiques ou morales ayant contribué à la création d’un contenu en ligne et que, par conséquent, seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation« , avait prévenu l’Arcep dans son avis communiqué au gouvernement le 13 mars 2008. Deux ans plus tard, le gouvernement n’en a pas tenu compte.
Si en principe les données ne peuvent être communiquées que par demande des autorités judiciaires, donc sous contrôle d’un juge qui ne verra pas l’utilité de demander un mot de passe, il en va autrement de la seconde partie du décret relatif « aux demandes administratives prévues par le II Bis de l’article 6 de la loi n° 2004 575 du 21 juin 2004« . Il s’agit en effet des demandes formulées par la police ou la gendarmerie dans le cadre de leur mission de prévention des actes de terrorisme. Le contrôle de légitimité de la demande n’est alors plus effectué par la justice, mais par une personnalité qualifiée placée auprès du ministre de l’intérieur, c’est-à-dire par l’exécutif.
Or on comprend bien pour les services anti-terroristes l’intérêt d’accéder à un mot de passe. Ils peuvent permettre de s’infiltrer discrètement dans un réseau (un forum à accès réservé aux membres autorisés, par exemple), voire de tenter d’accéder à d’autres services si le suspect y utilise le même mot de passe, notamment sur des services hébergés à l’étranger qui ne répondraient pas de la LCEN. Les dérives sont évidemment à craindre, notamment pour les journalistes qui enquêtent sur des affaires sensibles telles que les attentats de Karachi.
Reste tout de même un problème technique. Le décret demande à la fois de conserver les mots de passe, et de les conserver les données en se soumettant aux prescriptions de la loi CNIL sur la sécurité des informations. Or bien souvent, par souci de sécurité, les mots de passe ne sont pas stockés en clair (parfois si), mais sous une forme hashée qui permet uniquement de vérifier si le mot de passe saisi est le bon.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
