… on va quand même faire notre devoir de citoyen en diffusant la loi, que chacun est censé connaitre. Ma mauvaise foi légendaire fait que je vais bien évidemment m’arrêter sur un texte de loi particulièrement étonnant (et le mot est faible). Jetez un oeil sur ceci :
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013
Il s’agit d’un article de loi relatif à la Loi sur la Confiance dans l’Economie Numérique. Pour résumer, ce texte indique qu’un opérateur de services sur internet doit dans certains cas stocker les mots de passe des utilisateurs. Pas seulement les identifiants, les heures d’accès, etc. mais bien les mots de passe !
Je pensais naïvement que les lois étaient examinées par des experts avant d’être proposées aux votes pour ne pas contenir d’aussi grosses bourdes, mais ce n’est visiblement pas le cas. Tous mes étudiants, même en première année de BTS, savent qu’on ne stocke JAMAIS un mot de passe. On stocke UN HASH de mot de passe, et en plus pas avec un algorithme dépassé comme MD5, et surtout en utilisant un sel pour qu’il ne soit pas attaquable trop facilement par des dictionnaires de hash…
De plus, quelle utilité pour un gouvernement d’avoir accès à cette donnée ? Je peux comprendre l’utilité de garder l’IP, le nom de la personne et l’heure d’accès pour des raisons éventuelles de preuve de fraude, mais le mot de passe n’apporte rien de plus. Par contre, il rendra l’internet beaucoup moins sûr. Le hash, pratique non réversible, a précisément été mis en place sur les mots de passe car il garantit que personne, même un administrateur, ne peut connaitre votre mot de passe. Il pourra bien sûr le faire sauter, en mettre un autre, se connecter avec votre utilisateur, mais il n’a aucun moyen de connaitre le contenu de votre mot de passe si celui-ci est stocké de manière hashée.
Or, ceci est capital pour la “confiance dans l’économie numérique”, et cette loi va à l’encontre de ce principe de base. A tel point que Google et Facebook ont déposé une plainte contre (http://www.presse-citron.net/google-facebook-et-ebay-deposent-une-plainte-contre-la-loi-francaise-de-conservation-des-donnees-des-utilisateurs) et que nous sommes désormais la risée du monde de la sécurité (http://www.boingboing.net/2011/04/11/france-to-require-cl.html).
Après un accès de paranoïa récent (j’enseigne la sécurité à des étudiants, et leur principale activité en dehors de mon cours est évidemment de tenter de hacker tous les comptes qu’ils peuvent trouver à mon nom), j’ai modifié les mots de passe des sites sur lesquels je possédais un compte pour qu’ils soient tous différents. J’étais récemment en train de me dire que, plutôt que de lancer une procédure “mot de passe oublié” pour chaque site trop peu fréquenté, il serait plus simple de revenir au même mot de passe partout. Si c’est pour qu’il soit stocké en clair quelque part et que n’importe quel administrateur de forum puisse accéder à tous mes autres comptes, c’est évidemment hors de question.
En bon scientifique, je cherche des raisons. Je n’en trouve pour l’instant que deux :
1) Nos députés votent des lois sans comprendre leur impact, et sans s’entourer d’experts sur les sujets qu’ils ne comprennent pas (je mets exprès le mot “expert”, qui est quasiment devenu un gros mot aujourd’hui, grâce aux nombreuses personnes qui confondent à dessein leur ignorance avec du bon sens).
2) Les mêmes cherchent sciemment à baisser le niveau de confidentialité et de sécurité d’internet, malgré le nom de cette loi sur la “confiance dans l’économie numérique” (étrange nom d’ailleurs, qui suppose que la confiance peut être décrétée).
L’une comme l’autre de ces deux hypothèses me hérissent le poil…