Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un décret pour la sécurité numérique inquiète les éditeurs de sites web

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Commentaires Commentaires fermés sur Un décret pour la sécurité numérique inquiète les éditeurs de sites web

Un décret d’application de la loi sur la confiance dans l’économie numérique serait en préparation dans les couloirs de Bercy. Selon le Groupement des éditeurs de sites en ligne (Geste), il prévoirait de rendre obligatoire pour les acteurs du web et des télécom la conservation de « toutes les traces des internautes et des abonnés à la téléphonie fixe et mobile » pendant un an. Sur Internet, cela pourrait notamment concerner tous les sites, petits et grands, et toutes les contributions de leurs utilisateurs.


C’est un billet paru dans le quotidien Le Monde qui a lancé la rumeur. Signé Philippe Jannet, président du Geste (le Groupement des éditeurs de sites en ligne), il indique que le gouvernement travaillerait à donner un coup d’accélérateur à la loi sur la confiance dans l’économie numérique de 2004. Par l’intermédiaire d’un décret d’application (le texte qui fixe les modalités techniques d’une loi), le gouvernement voudrait obliger les acteurs de l’Internet et des télécommunications à conserver pendant un an un grand nombre d’informations sur leurs utilisateurs, abonnés et visiteurs.Aujourd’hui déjà les fournisseurs d’accès sont contraints de conserver certaines informations de connexion (notamment à quel abonné a été donnée telle adresse IP à tel moment). Mais selon Philippe Jannet le décret en préparation serait d’une toute autre ampleur : il viserait à faire conserver l’ensemble – ou presque – des traces laissées par les utilisateurs. Et il ne s’appliquerait plus qu’aux seuls fournisseurs d’accès. Il concernerait désormais tous les éditeurs de sites et de services en ligne, les hébergeurs, les fournisseurs d’accès et les opérateurs de téléphonie fixe et mobile.Dans le flou qui entoure cette révélation et sans confirmation précise de la part du gouvernement, il est très difficile de déterminer le périmètre exact des données qui devront être conservées. Selon plusieurs sources, dont le quotidien Le Monde qui est revenu sur le billet de Philippe Jannet, ce seraient la quasi-totalité des informations laissées par les utilisateurs qui devraient être conservées : les mots de passe, les noms d’utilisateurs, leurs numéros de carte bancaire lors d’achats en ligne, les adresses communiquées (email et postales), les messages postés sur un forum, les contributions à un blog, et bien entendu les adresses IP, les pages visitées.Bref, tous les sites, petits et grands, seraient désormais contraints de conserver non seulement la totalité des journaux de connexion de leurs serveurs web, mais aussi des informations à plus haut niveau (les posts d’un forums par exemple), et surtout, devraient mettre en oeuvre les moyens nécessaires pour archiver ces contributions même après qu’elles aient été effacées. Ces informations pourraient alors être remises aux autorités pendant un an, que ce soit à la police administrative (Renseignements Généraux, DST) ou judiciaire.Nous reviendrons probablement sur ce décret et notamment sur ses implications en matière de sécurité (son objectif premier) et de responsabilités pour, surtout, les éditeurs de sites web. Mais il faut attendre pour cela confirmation de l’existence de ce décret et de sa portée. Pour l’heure, selon le quotidien La Tribune, le Ministère de l’Industrie aurait simplement reconnu que « Des travaux interministériels sont en cours » sous l’égide du ministère de la Justice pour établir un projet de décret destiné à « préciser la nature des données devant être conservées, la durée et les modalités de leur conservation ».Travaux en cours obligent, donc, rien n’a encore filtré sur la nature exacte de ces données. Par ailleurs, la publication de cette information à la veille du premier tour de l’élection Présidentielle en France n’est peut-être pas un hasard, et il convient alors de rester prudent. Laissons la commission ad-hoc travailler et jugeons le décret sur ses résultats, lorsque ceux-ci seront connus.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.