Les mots de passe des utilisateurs de services en ligne, dont la conservation est rendue obligatoire par le récent décret d'application de la LCEN, pourraient bien servir à identifier l'utilisateur. Explications.
C'est la partie du décret d'application de la LCEN qui dérange le plus. Parmi les nombreuses données que doivent conserver les hébergeurs et éditeurs de services en ligne pour "identifier toute personne ayant contribué à la création d'un contenu mis en ligne", figurent "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour". Nous nous étions interrogés sur l'intérêt de conserver de telles données. Comme le faisait remarquer l'Arcep dans son avis communiqué au gouvernement en 2008, les mots de passe "n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Bizarrement, la CNIL n'avait rien trouvé à redire.
Contrairement à ce que nous avions imaginé dans une première hypothèse, les demandes de mots de passe ne seront pas formulées uniquement dans le cadre des enquêtes de police anti-terroristes. Une source proche du dossier nous explique en effet que la volonté du gouvernement et des experts en cybercriminalité qui ont participé à l'élaboration du décret est bien de faire du mot de passe un élément à part entière d'identification de la personne.
L'idée est de croiser les bases de données pour alourdir le faisceau de présomption à l'encontre d'un suspect. Si la personne qui a pris soin de masquer son adresse IP utilise (comme c'est souvent le cas) le même mot de passe sur le service en ligne utilisé pour commettre un délit, et sur son compte Facebook où son identité est quasi certaine, la probabilité qu'il s'agisse bien de la même personne augmente fortement. D'autant plus s'il s'agit d'un mot de passe complexe, que personne d'autre ne va utiliser. Les enquêteurs vont alors comparer, soit le mot de passe en clair s'il est conservé, soit les signatures SHA-1 ou MD5 stockées en bases de données. Si ces signatures sont les mêmes d'un service à l'autre, les mots de passe sont les mêmes aussi.
Avec ces méthodes, l'enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n'aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu'il s'agit bien de la même personne, auquel cas l'adresse IP utilisée pourra faciliter l'identification.
Il n'est pas exclu, dans de rares cas, que le processus d'identification soit inversé. C'est-à-dire qu'à partir d'un mot de passe ou d'une signature SHA-1/MD5, les enquêteurs demandent aux prestataires s'ils ont dans leur base de donnée un membre inscrit qui utilise le même mot de passe.