LCEN : Reflets ne conservera pas vos mots de passe

openidChez Reflets, nous nous sommes demandés ce que ce décret d’application de la LCEN voulait dire. Nous l’avons bien lu, nous sommes d’autant plus concernés, que moi, bluetouff, je suis aussi hébergeur en plus d’être éditeur de contenus…

J’en suis arrivé à la conclusion que l’obligation faite de conserver et de transmettre vos mots de passe était tout simplement surréaliste, dangereuse et parfaitement infondée. Elle ne peut servir qu’à vous espionner sous prétexte que vous êtes soupçonnés d’être un terroriste. Vu qu’on ne deale pas d’uranium enrichi pour le revendre à Ossama sur ces pages, je ne me sens pas spécialement concerné par cette obligation débile. Mais deux précautions valent mieux qu’une. La définition même du terme terroriste étant sujette à l’interprétation de chacun, nous y avons vu là un inquiétant signal. Nous ne souhaitons pas participer à ce qui constitue un viol pur et simple de votre vie privée qui reviendrait instaurer entre nos contributeurs et nous la moindre suspicion… en clair : NOUS NE STOCKERONS PAS VOS MOTS DE PASSE.

N’allez donc pas voir là un appel à la désobéissance ou je ne sais quelle malice, ce n’est que de l’honnêteté et le refus de notre part d’avoir à fournir une donnée personnelle qui sort vraiment du cadre normal d’une procédure d’identification sur réquisition judiciaire. Il nous semble d’ailleurs que ce décret est parfaitement attaquable.

Nous avons donc décidé de ne pas stocker de mots de passe du tout et de décentraliser l’authentification à nos services. Sur Reflets, nous avons donc mis à disposition une authentification décentralisée Openid. Il vous suffit ainsi de choisir un serveur Openid à l’étranger, ou d’héberger votre propre serveur Openid (de préférence à l’étranger) pour passer outre ce décret d’application.

Nous disposons évidemment dans notre besace d’autres solutions non prévues par ce décret d’application pour contourner cette obligation.

Amicalement,

Bluetouff

Twitter Facebook Google Plus email

8 thoughts on “LCEN : Reflets ne conservera pas vos mots de passe”

  1. L’article de Numerama concernant ce même décret d’application de la LCEN semble indiquer qu’en cas d’absence de collecte des mots de passes, on n’a pas à le faire. Cependant, j’ignore comment cela s’applique aux services qui, plutôt que de conserver le mot de passe, conservent le hash de celui-ci, dont les utilisateurs d’un blog WordPress, notamment.

    D’ailleurs, il est particulièrement dangereux de stocker des mots de passes en clair. On devient alors la convoitise des hordes de pirates assoiffés de découvrir les mots de passes des utilisateurs d’un service en ligne.

    Non, vraiment, je ne vois pas l’intérêt de collecter les mots de passes. Je veux dire que oui, je le vois bien, d’autant que les gens ont tendance à utiliser un même mot de passe pour tous leurs services. Mais est-ce vraiment le cas des terroristes ?! J’y vois surtout un gros problème dans la sécurité de tous les sites et services web, mettant en danger tous les Internautes, alors que le gain espéré est aussi hypothétique qu’extrêmement limité. Bref, cela semble tout à fait inadapté et disproportionné. Ou alors le décret ne permet que de poursuivre et faire condamner les hébergeurs qui ne l’appliqueraient pas avec zèle, les muselant à loisirs ?

    La décentralisation et l’hébergement des mots de passes à l’étranger semble désormais de mise, en effet… À force d’expatrier nos données sensibles, parfaitement légitimes, on va tous se mettre à expatrier l’ensemble de nos services web, puis, une fois que nos intérêts seront surtout à l’étranger, nous quitterons le pays. Doit-on voir dans ce décret une incitation à la fuite des cerveaux ?

    1. Oui c’est parfaitement incompréhensible et agaçant. Le vrai soucis c’est quand on veut comme ici, laisser la possibilité à des utilisateurs de se créer un compte pour qu’à terme nous puissions leur offrir des services supplémentaires.
      L’authentification fédérée et décentralisée est une solution soft, on en a d’autres bien plus vicieuses ;)

  2. Je ne suis pas juriste mais il me semble que la solution OpenID n’est pas forcément la panacée… En effet la LCEN stipule « Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. » (début du titre II). Ce qui pourrait être interprété comme une obligation d’avoir un système d’authentification local :-(

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *