C’est la partie du décret d’application de la LCEN qui dérange le plus. Parmi les nombreuses données que doivent conserver les hébergeurs et éditeurs de services en ligne pour « identifier toute personne ayant contribué à la création d’un contenu mis en ligne », figurent « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour« . Nous nous étions interrogés sur l’intérêt de conserver de telles données. Comme le faisait remarquer l’Arcep dans son avis communiqué au gouvernement en 2008, les mots de passe « n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu« . Bizarrement, la CNIL n’avait rien trouvé à redire.
Contrairement à ce que nous avions imaginé dans une première hypothèse, les demandes de mots de passe ne seront pas formulées uniquement dans le cadre des enquêtes de police anti-terroristes. Une source proche du dossier nous explique en effet que la volonté du gouvernement et des experts en cybercriminalité qui ont participé à l’élaboration du décret est bien de faire du mot de passe un élément à part entière d’identification de la personne.
L’idée est de croiser les bases de données pour alourdir le faisceau de présomption à l’encontre d’un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c’est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu’il s’agisse bien de la même personne augmente fortement. D’autant plus s’il s’agit d’un mot de passe complexe, que personne d’autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s’il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d’un service à l’autre, les mots de passe sont les mêmes aussi.
Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.
Il n’est pas exclu, dans de rares cas, que le processus d’identification soit inversé. C’est-à-dire qu’à partir d’un mot de passe ou d’une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s’ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.