Vers un patch de sécurité pour le décret Big Brother ?

Le décret du 25 février 2011 serait sur le point d'être "patché". L'obligation pour les fournisseurs de service de conserver des mots de passe en clair devrait être abandonnée prochainement. Est-ce suffisant pour assurer la protection des internaute ?

Un décret longtemps attendu et immédiatement critiqué.

On se souvient de l'émoi suscité par ce décret d'application (tardif) de la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 publié le 1er mars dernier. Après sept années de réflexion le gouvernement avait enfin déterminé les conditions de conservation des données personnelles par les fournisseurs visant "à permettre l'identification de quiconque a contribué à la création du contenu". L'Association des services internet communautaires (ASIC), qui fédère les poids lourds de l'Internet (Google, Facebook, eBay, etc.),  avait saisi, en avril dernier, le Conseil d’État de ce texte. Nous n’avons pas connaissance des suites de cette saisine.
L'une des critiques majeures tenait à la conservation combinée non seulement des mots de passe mais également des adresses mail, des pseudonymes et des moyens de retrouver les mots de passes perdus.  Les internautes utilisant un nombre restreint d'identifiants, de mots de passe et de questions associées (nom de jeune fille de sa mère, plat préféré ou nom du chien) pour accéder à tous les services en ligne qu'ils utilisent, il devient très aisé de dresser un profil "numérique" d'une personne et de disposer sans peine de tous les moyens pour explorer sa vie privée dans les moindres détails, voire d'usurper son identité.

Le mot de passe serait comme une empreinte génétique.

Certes, l'objectif de lutte contre la criminalité organisée ou le terrorisme international est louable. Mais le gouvernement pense-t-il naïvement que ceux qui sont capables de planifier un attentat à la bombe ou l'attaque d'un dépôt de fond s'échangeront des informations via Facebook ? Seuls les délinquants imbéciles ou les gens qui n'ont rien à se reprocher utilisent ces services grand public. Quel terroriste international serait suffisamment imprudent pour se promener avec un Iphone et échanger des messages sur Twitter avec ses comparses ?
Selon NUMERAMA (4 mars 2011) une source gouvernementale aurait expliqué que le mot de passe deviendrait un moyen d'identification d'une personne. A en croire ces experts de la cybercriminalité on pourrait, grâce au mot de passe utilisé, identifier l'auteur d'une infraction comme on relève une empreinte génétique sur une scène de crime. Encore une fois, seuls les gens de bonne foi utilisent toujours le même mot de passe.  Ceux qui ont quelque chose à dissimuler utiliseront des mots de passe générés aléatoirement par des outils disponibles partout sur la toile.
L'autre piste imaginée par ces experts est de pouvoir identifier tous les services utilisés par un même mot de passe. Donc de pouvoir pister un internaute de manière multidirectionnelle. Connaître à la fois ses amis sur Facebook, ses relations professionnelles, sur Linkedin, ses opinions sur Twitter, ses orientations sur Meetic ou ses maux sur Doctissimo…

Le patch imaginé ne créera pas les conditions de la confiance nécessaire au développement de l’économie numérique.

S'il n'est plus question d'obliger les fournisseurs à conserver les mots de passe en clair, ils auront néanmoins toujours obligation de conserver et de fournir aux services concernés les données permettant de le vérifier ou de le modifier. En d'autres termes les réponses associées mais surtout les signatures SHA-1 ou MD5. Il suffira de demander à l’un de ces services grand public le pseudonyme et les moyens de retrouver le mot de passe correspondant à une signature identifiée et l’accès à la vie privée de cet individu s’ouvrira en grand ou bien un quidam pourra se faire passer pour lui à loisir.
Si les services de l’Etat peuvent le demander, c’est que ces informations sont stockées et disponibles. Elles le sont pour les services de l’Etat français ; elles le seront peut-être aussi pour d’autres services d’autres états. Par ailleurs, les mésaventures de SONY ou de RSA nous ont aussi montrée que nul n’est à l’abri d’un hacking d’envergure. Est-il besoin de faciliter ces détournements de données personnelles en obligeant cette conservation et cette mise à disposition ? L’Etat ne doit-il pas protéger la majorité des citoyens au risque d’avoir plus de difficultés à identifier quelques auteurs d’infractions ? La sécurité de tous n’est elle pas plus importante ?
Le virtuel n’est pas aussi éloigné du réel qu’ont veut bien le dire. La sécurité des rues est née de l’investissement dans l’éclairage public pas de la traque millénaire des délinquants. Pour favoriser l’économie numérique il serait donc préférable de donner confiance aux utilisateurs en sécurisant les autoroutes de l’information et notamment en contraignant les fournisseurs de services à une protection absolue de la vie privée et des données personnelles. La confiance du citoyen passera aussi par la possibilité d’utiliser l’internet sans crainte d’entendre dire par un nouvel apprenti dictateur : « Je suis partout et nulle part. Je ne vois rien et je vois tout. Je n’écoute rien et j’entends tout. Tel est le rôle du chef d’état. » Jean-Bedel BOKASSA.