Pourquoi les mots de passe peuvent servir à identifier un internaute

Publié le par Philippe

Société 2.0 -

Les mots de passe des utilisateurs de services en ligne, dont la conservation est rendue obligatoire par le récent décret d'application de la LCEN, pourraient bien servir à identifier l'utilisateur. Explications.

C'est la partie du décret d'application de la LCEN qui dérange le plus. Parmi les nombreuses données que doivent conserver les hébergeurs et éditeurs de services en ligne pour "identifier toute personne ayant contribué à la création d'un contenu mis en ligne", figurent "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour". Nous nous étions interrogés sur l'intérêt de conserver de telles données. Comme le faisait remarquer l'Arcep dans son avis communiqué au gouvernement en 2008, les mots de passe "n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Bizarrement, la CNIL n'avait rien trouvé à redire.

Contrairement à ce que nous avions imaginé dans une première hypothèse, les demandes de mots de passe ne seront pas formulées uniquement dans le cadre des enquêtes de police anti-terroristes. Une source proche du dossier nous explique en effet que la volonté du gouvernement et des experts en cybercriminalité qui ont participé à l'élaboration du décret est bien de faire du mot de passe un élément à part entière d'identification de la personne.

L'idée est de croiser les bases de données pour alourdir le faisceau de présomption à l'encontre d'un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c'est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu'il s'agisse bien de la même personne augmente fortement. D'autant plus s'il s'agit d'un mot de passe complexe, que personne d'autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s'il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d'un service à l'autre, les mots de passe sont les mêmes aussi. 

Avec ces méthodes, l'enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n'aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu'il s'agit bien de la même personne, auquel cas l'adresse IP utilisée pourra faciliter l'identification.

Il n'est pas exclu, dans de rares cas, que le processus d'identification soit inversé. C'est-à-dire qu'à partir d'un mot de passe ou d'une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s'ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe. 

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Publié dans Internet

Commenter cet article

Le Mousquetaire des Mots 07/03/2011 23:56



Tout les stratagèmes semblent bon pour déterminer qui est qui. Je ne vois pas franchement quel intérêt il y a à vouloir tout contrôler. J'ai l'impression
qu'on cherche inutilement la petite bête... au prétexte du terrorisme ou de je ne sais quoi de sordide. D'ici à ce que la manie de tout vérifier s'étende à tous les lambdas de la terre,  il
n'y a qu'un pas. Je crois que cela s'appelle de la paranoïa (pas chez moi, mais chez ceux qui cherchent à tout maîtriser).



Philippe 17/03/2011 11:17



savoir c'est pouvoir ... même si je ne cautionne pas ...



Valérie ( Franche-Comté ) 07/03/2011 19:20



Bonsoir philippe, merci pour ces précieuses infos



Je te souhaite une bon début de semaine


Valéri€



Philippe 07/03/2011 19:56



Merci ;)