Décret LCEN sur les logs services Internet - La question du stockage des mots de passe fait débat

Accès au décret ci-dessous.
NB : A noter que la Cnil réagit sur son site :
Décret LCEN - La CNIL publie son avis sur le décret relatif à la conservation d’informations par les hébergeurs et les Fournisseurs d’Accès Internet (FAI)

Principales dispositions mentionnées dans le décret :

Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :

• 1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
  • a) L’identifiant de la connexion ;
  • b) L’identifiant attribué par ces personnes à l’abonné ;
  • c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
  • d) Les dates et heure de début et de fin de la connexion ;
  • e) Les caractéristiques de la ligne de l’abonné ;
• 2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
  • a) L’identifiant de la connexion à l’origine de la communication ;
  • b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
  • c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
  • d) La nature de l’opération ;
  • e) Les date et heure de l’opération ;
  • f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
• 3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
  • a) Au moment de la création du compte, l’identifiant de cette connexion ;
  • b) Les nom et prénom ou la raison sociale ;
  • c) Les adresses postales associées ;
  • d) Les pseudonymes utilisés ;
  • e) Les adresses de courrier électronique ou de compte associées ;
  • f) Les numéros de téléphone ;
  • g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
• 4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
  • a) Le type de paiement utilisé ;
  • b) La référence du paiement ;
  • c) Le montant ;
  • d) La date et l’heure de la transaction.

Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.

En débat, la question du stockage des mots de passe

• Faut-il conserver le mot de passe en clair ? Ce qui pose des problèmes de sécurité…
• Faut-il le stocker autrement au vu du rédactionnel §3/g :« Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ».
• A lire
  • Les mots de passe pourront être connus des services anti-terroristes : « Malgré un avis de l’ARCEP vieux de deux ans qui a prévenu qu’il s’agissait d’une exigence sans rapport avec l’objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. »
  • L’avis de l’Arcep sur le sujet Avis n° 2008-0227 en date du 13 mars 2008 sur le projet de décret relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne et sur le projet de décret portant modification du code de procédure pénale et relatif à la tarification des réquisitions aux opérateurs et autres prestataires de communications électroniques
  • Un bug dans le décret LCEN sur la conservation des données ?