Vers un patch de sécurité pour le décret Big Brother ?
Le décret du 25 février 2011 serait sur le point d'être "patché". L'obligation pour les fournisseurs de service de conserver des mots de passe en clair devrait être abandonnée prochainement. Est-ce suffisant pour assurer la protection des internaute ?
Un décret longtemps attendu et immédiatement critiqué.
On
se souvient de l'émoi suscité par ce décret d'application (tardif) de la
loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 publié
le 1er mars dernier. Après sept années de réflexion le gouvernement
avait enfin déterminé les conditions de conservation des données
personnelles par les fournisseurs visant "à permettre l'identification de quiconque a contribué à la création du
contenu". L'Association des services internet communautaires
(ASIC), qui fédère les poids lourds de l'Internet (Google, Facebook, eBay,
etc.), avait saisi, en avril dernier, le Conseil d’État de ce texte. Nous
n’avons pas connaissance des suites de cette saisine.
L'une
des critiques majeures tenait à la conservation combinée non seulement des mots
de passe mais également des adresses mail, des pseudonymes et des moyens
de retrouver les mots de passes perdus. Les internautes utilisant
un nombre restreint d'identifiants, de mots de passe et de questions associées
(nom de jeune fille de sa mère, plat préféré ou nom du chien) pour accéder à
tous les services en ligne qu'ils utilisent, il devient très aisé de dresser un
profil "numérique" d'une personne et de disposer sans peine de tous
les moyens pour explorer sa vie privée dans les moindres détails, voire
d'usurper son identité.
Le mot de passe serait comme une empreinte génétique.
Certes,
l'objectif de lutte contre la criminalité organisée ou le terrorisme
international est louable. Mais le gouvernement pense-t-il naïvement que ceux
qui sont capables de planifier un attentat à la bombe ou l'attaque d'un dépôt
de fond s'échangeront des informations via Facebook ? Seuls les délinquants
imbéciles ou les gens qui n'ont rien à se reprocher utilisent ces services
grand public. Quel terroriste international serait suffisamment imprudent pour
se promener avec un Iphone et échanger des messages sur Twitter avec ses
comparses ?
Selon NUMERAMA (4 mars 2011) une source
gouvernementale aurait expliqué que le mot de passe deviendrait un moyen
d'identification d'une personne. A en croire ces
experts de la cybercriminalité on pourrait, grâce au mot de passe utilisé,
identifier l'auteur d'une infraction comme on relève une empreinte génétique
sur une scène de crime. Encore une fois, seuls les gens de bonne foi utilisent
toujours le même mot de passe. Ceux
qui ont quelque chose à dissimuler utiliseront des mots de passe générés
aléatoirement par des outils disponibles partout sur la toile.
L'autre piste imaginée par ces experts
est de pouvoir identifier tous les services utilisés par un même mot de passe.
Donc de pouvoir pister un internaute de manière multidirectionnelle. Connaître
à la fois ses amis sur Facebook, ses relations professionnelles, sur Linkedin,
ses opinions sur Twitter, ses orientations sur Meetic ou ses maux sur
Doctissimo…
Le patch imaginé ne créera pas les conditions de la confiance nécessaire au développement de l’économie numérique.
S'il n'est plus question d'obliger les
fournisseurs à conserver les mots de passe en clair, ils auront néanmoins
toujours obligation de conserver et de fournir aux services concernés les
données permettant de le vérifier ou de le modifier. En d'autres termes les réponses
associées mais surtout les signatures SHA-1 ou MD5. Il suffira de demander
à l’un de ces services grand public le pseudonyme et les moyens de retrouver le
mot de passe correspondant à une signature identifiée et l’accès à la vie
privée de cet individu s’ouvrira en grand ou bien un quidam pourra se faire
passer pour lui à loisir.
Si
les services de l’Etat peuvent le demander, c’est que ces informations sont
stockées et disponibles. Elles le sont pour les services de l’Etat français ;
elles le seront peut-être aussi pour d’autres services d’autres états. Par
ailleurs, les mésaventures de SONY ou de RSA nous ont aussi montrée que nul
n’est à l’abri d’un hacking d’envergure. Est-il besoin de faciliter ces
détournements de données personnelles en obligeant cette conservation et cette
mise à disposition ? L’Etat ne doit-il pas protéger la majorité des
citoyens au risque d’avoir plus de difficultés à identifier quelques auteurs
d’infractions ? La sécurité de tous n’est elle pas plus importante ?
Le
virtuel n’est pas aussi éloigné du réel qu’ont veut bien le dire. La sécurité
des rues est née de l’investissement dans l’éclairage public pas de la traque
millénaire des délinquants. Pour favoriser l’économie numérique il serait donc préférable
de donner confiance aux utilisateurs en sécurisant les autoroutes de
l’information et notamment en contraignant les fournisseurs de services à une
protection absolue de la vie privée et des données personnelles. La confiance
du citoyen passera aussi par la possibilité d’utiliser l’internet sans crainte
d’entendre dire par un nouvel apprenti dictateur : « Je suis partout et nulle part. Je ne
vois rien et je vois tout. Je n’écoute rien et j’entends tout. Tel est le rôle
du chef d’état. » Jean-Bedel BOKASSA.