Décret n° 2011-219 - Retour vers le passé

Depuis quelques jours un décret publié au Journaux Officiels impose que des informations concernant les personnes ayant diffusé publiquement sur Internet — et peut-être ailleurs qui sait — soient conservées pendant un an.

Cela concerne les fournisseurs d’accès, forcément, mais pas seulement d’après moi. Il suffit qu’un quidam monte une ferme de blog, voire même un seul, et ensuite propose à tous de venir y publier des billets, pour qu’il soit tenu par les mêmes dispositions. Jusque-là, pas trop de problème, tout est normalement rangé correctement dans une table de la base de données utilisée par l’installation.

Par contre il est une phrase qui revient à faire un grand saut dans le passé, je cite (l’emphase est de moi) : « Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes : […] g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ; […] ».

Il s’agit donc, en bon français, d’être capable de fournir le mot de passe utilisé par une personne sur demande (voir le détail de cette procédure dans le décret et/ou la loi). Là nous avons un gros problème. En règle générale les mots de passe sont stockés sous forme cryptée, c’est à dire que ce qui est réellement dans la base de données correspond à un traitement — on appelle ça un hashage — effectué sur le mot de passe que seul connaît la personne en cause à l’aide d’une clé de cryptage. La méthode utilisée rend de plus le décryptage très compliqué et très long à effectuer, voire impossible.

Nous voilà donc dans l’impossibilité de répondre à cette demande !

Faudra-t-il que nous modifions Dotclear pour effectuer le stockage des mots de passe en clair dans la base de données — je parle ici d’une version exclusivement française puisque les autres pays, à ma connaissance, n’imposent pas ce genre d’obligations (à part peut-être quelques pays comme la Chine, etc) ? Quid de la sécurité des utilisateurs dans ce cas ? Faudra-t-il qu’ils fassent une confiance aveugle sur celui qui sera en charge de protéger la base de données ?

Sinon il va falloir trouver une méthode de cryptage réversible facilement, et ça j’ai l’intuition que c’est antinomique !

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant la syntaxe Markdown Extra.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/6732

Haut de page