Depuis quelques jours un décret publié au Journaux Officiels impose que des informations concernant les personnes ayant diffusé publiquement sur Internet — et peut-être ailleurs qui sait — soient conservées pendant un an.
Cela concerne les fournisseurs d’accès, forcément, mais pas seulement d’après moi. Il suffit qu’un quidam monte une ferme de blog, voire même un seul, et ensuite propose à tous de venir y publier des billets, pour qu’il soit tenu par les mêmes dispositions. Jusque-là, pas trop de problème, tout est normalement rangé correctement dans une table de la base de données utilisée par l’installation.
Par contre il est une phrase qui revient à faire un grand saut dans le passé, je cite (l’emphase est de moi) : « Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes : […] g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ; […] ».
Il s’agit donc, en bon français, d’être capable de fournir le mot de passe utilisé par une personne sur demande (voir le détail de cette procédure dans le décret et/ou la loi). Là nous avons un gros problème. En règle générale les mots de passe sont stockés sous forme cryptée, c’est à dire que ce qui est réellement dans la base de données correspond à un traitement — on appelle ça un hashage — effectué sur le mot de passe que seul connaît la personne en cause à l’aide d’une clé de cryptage. La méthode utilisée rend de plus le décryptage très compliqué et très long à effectuer, voire impossible.
Nous voilà donc dans l’impossibilité de répondre à cette demande !
Faudra-t-il que nous modifions Dotclear pour effectuer le stockage des mots de passe en clair dans la base de données — je parle ici d’une version exclusivement française puisque les autres pays, à ma connaissance, n’imposent pas ce genre d’obligations (à part peut-être quelques pays comme la Chine, etc) ? Quid de la sécurité des utilisateurs dans ce cas ? Faudra-t-il qu’ils fassent une confiance aveugle sur celui qui sera en charge de protéger la base de données ?
Sinon il va falloir trouver une méthode de cryptage réversible facilement, et ça j’ai l’intuition que c’est antinomique !
1 De Virgile -
Je ne suis pas du tout certain que cet article impose de stocker les mots de passe de telle sorte qu’ils soient récupérables en clair. J’ai plutôt l’impression qu’il impose de stocker les “données permettant de vérifier le mot de passe”, ce qui est tout à fait différent. Parce que dans ce cas, le système actuel de hachage est conforme : il permet effectivement de vérifier un mot de passe.
En fait, le problème, c’est surtout que cette phrase a été rédigée par quelqu’un qui n’y connait à peu près rien en technique, du coup elle est un peu ambiguë et on peut la comprendre aussi bien comme tu le fais (ce qui serait effectivement un retour vers le passé en terme de sécurité) que comme je le fais.
Mais bon sinon, à part ça, un jour, nos députés réussiront à pondre une loi qui porte sur internet et qui ne soit pas totalement ridicule… Un jour…
2 De Franck -
Oui c’est exact, tout dépend de la lecture qui sera faite de ce décret et de la loi correspondante. Je serais assez curieux de voir dans quel sens penchera la future jurisprudence dans ce domaine, si tant est qu’il y ait un procès mettant ce texte à contribution.
bref c’est comme souvent sur ce qui touche à la réglementation d’Internet, c’est du grand amateurisme.
3 De Joël -
À vrai dire, on s’en fout puisque plus bas, on peut lire : « Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement. » (Bref, si vous conservez des données, ben, faut les conserver !)
4 De Franck -
Mais c’est tout un poème ce décret ! Merci pour avoir relevé ça Joël :-)
5 De lipki -
N’est t-il pas possible de considérer que la véritable forme du mot de passe est la forme haché.
Puisque c’est avec celle-si que le système autorise réellement l’accès au donnée.
Après tous quel est l’intérêt du mot de passe connu de l’utilisateur, pour un service publique.
Ils ne vont pas se connecter au site en passant par l’interface utilisateur, ils vont plutôt exiger du webmaster les informations liée aux couple identifiant/mot de passe stocker dans la base de donnée.
Et c’est bien la version haché du mot de passe qui permet de faire liaison.
Enfin c’est mon interprétation du texte.