On Tue, 2011-03-01 at 18:02 +0100, Guillaume Champeau wrote: > Le 1 mars 2011 17:52, Yves-Alexis Perez <cor...@corsac.net> a écrit : > > On Tue, 2011-03-01 at 17:26 +0100, Laurent GUERBY wrote: > > > > http://www.numerama.com/magazine/18192-les-mots-de-passe-pourront-etre-connus-des-services-anti-terroristes.html > > << > > Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu > qu'il > > s'agissait d'une exigence sans rapport avec l'objectif de la > loi, le > > gouvernement demande aux hébergeurs et éditeurs de services > en ligne de > > conserver le mot de passe de leurs utilisateurs. Une > obligation qui > > pourrait être exploitée par les services de police et de > gendarmerie > > dans le cadre des enquêtes de prévention du terrorisme. > > > Je veux pas avoir l'air d'insister mais visiblement Numerama > *non plus* > n'a pas lu le paragraphe jusqu'au bout… > > Si si, on l'a bien lu jusqu'au bout... c'est d'ailleurs ce que je dis > sur cet article : > http://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html > "Beaucoup plus sensible. Les hébergeurs, dont fait notamment partie > Dailymotion depuis l'arrêt de la cour de cassation du 17 février 2011, > devront conserver les données suivantes pendant un an après la > suppression du compte, *sans toutefois avoir l'obligation de les > collecter si ça n'est pas leur habitude, ni d'en vérifier > l'exactitude*:"
Ça fait un paquet d'articles pour le même décret, ce qui n'aide pas à enlever la confusion, et de fait la précision mériterait sans doute d'être présente dans l'article 18192 parce que là ça donne vraiment l'impression que les hébergeurs vont être obligé de stocker les mots de passe (en clair) de tous leurs utilisateurs et de les donner aux services anti-terroristes. > Les éditeurs de services collectent bien les mots de passe. Pas forcément, parfois ils ne collectent bien qu'un hashé avec salt (qui pour le coup est « une donnée permettant de le vérifier »). > La question est de savoir si le décret qui dit "mot de passe *ainsi > que* les données" doit être compris exactement comme si c'était > formulé avec "ou bien". Ou s'il faut comprendre qu'à partir du moment > où ces données sont collectées, le mot de passe doit l'être en clair, > notamment parce que les "conditions de la conservation doivent > permettre une extraction dans les meilleurs délais pour répondre à une > demande des autorités judiciaires". Faut-il comprendre que les > "conditions de la conservation" permettent un chiffrage chiffré non > déchiffrable ? Je n'en sais rien. Je ne suis pas juriste, mais pour moi le *ainsi* est clair. Il faut *conserver* le mot de passe (en clair, donc) ainsi que les moyens de le vérifier pendant un an après fermeture du compte. Mais bien évidemment vous ne pouvez conserver que ce que vous collectez effectivement, ce qui est précisé à la fin. > > J'attire aussi votre attention sur un autre point, sur lequel > j'aimerais bien vos lumières, qui concernent cette fois les FAI. C'est > complexe mais ça mérite peut-être de s'en inquiéter : > http://www.numerama.com/magazine/18194-un-bug-dans-le-decret-lcen-sur-la-conservation-des-donnees.html Je ne suis pas FAI (ni juriste) donc pour le coup je n'ai pas vraiment d'avis là dessus. Cordialement, -- Yves-Alexis --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
