Shamaan Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 Bonjour à tous, en fait, je voudrais savoir s'il y a des lois qui existent à propos du stockage et surtout de l'accès à des mots de passe en clair. J'ai dernièrement discuté (nous étions face à face) avec une personne à propos d'une site web français très connu sur lequel il faut s'enregistrer. Ayant stocké mon mot de passe et ayant de nombreux mots de passe différents, je n'ai pas su lui donner pour accéder à mon compte.Tout cela était évidemment avec mon accord. A ce moment là, la personne m'a dit qu'elle pouvait de toute façon se connecter tout de même à mon compte. Jusque là rien d'étonnant pour un admin mais dans la réalité, il s'avère que la personne a accédé à une base de données à travers un logiciel. Et là, que vois-je ? Elle dispose de mon mot de passe en clair donc parfaitement lisible. Cette personne comptait le taper mais elle a fini par faire un copier/coller. Elle s'est également fendu d'un commentaire sur la complexité étonnante de mon mot de passe. Ainsi, je voudrais savoir comment sont encadrés légalement les mots de passe, leur stockage et leur accès. Je me demande notamment et surtout s'il est légal d'avoir accès aux mots de passe des membres de son site de façon lisible. Je pense que j'ai tout résumé et vu que je ne sais pas vraiment dans quelle direction chercher, je fais appel à vous. Evidemment l'idéal serait une réponse complète sourcée avec des liens jusque la loi mais si vous n'avez rien que les bons mots clés pour m'orienter dans mes recherches, je continuerai de mon coté. Cela fait plusieurs jours que je tente mais impossible d'arriver à des commentaires sourcés etc. Voilà, merci d'avance pour votre aide :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 Bonjour, Tu as regardé sur le site de la CNIL ? Ici tu as des pistes : http://www.cnil.fr/vos-responsabilites/vos-obligations/ Mais je peux te dire que l'admin du site a tout a fait le droit de garder des mots de passe en clair, à condition que les accès soient limités aux seuls admins. Tourne toi vers la charte informatique. En gros c'est comme le secret médical... et l'admin risque sa place voire plus si les mots de passe sont ivulgués. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Killator Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 On est tous d'accord sur le sujet: conserver des MDP en clair, c'est pôa bien... Les "bonnes pratiques" voudraient que ce genre de données soit haché en base... Mais ça, c'est en théorie... En pratique, c'est nettement moins glorieux.. De nombreux sites renvoient ton MDP en passe en cas d'oublie... Bref, mon impression c'est que les textes de loi ont toujours un train de retard pour encadrer la "vie numérique"... Il y a effectivement la CNIL qui essaie de limiter la casse pour tout ce qui concerne la vie privée mais ya tant d'autres points à traiter... Par exemple, on attend toujours que la HADOPI nous propose des solutions de sécurisation labellisées... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Shamaan Posté(e) le 28 février 2012 Auteur Partager Posté(e) le 28 février 2012 Merci pour ces deux réponses :) Hum, en fait, j'ai été un peu vite en disant "admin". J'ai utilisé ce terme car au départ je croyais qu'elle pourrait bypasser mon login et se "faire passer pour moi" comme sur les forums par exemple. La personne ne fait pas partie du service informatique. Elle est employée par l'organisation(mot choisi en espérant être le plus neutre possible) et gère notamment divers membres à travers ses activités. Ce qui me gène dans l'histoire c'est que pour l'immense majorité des gens qui utilise bien souvent un mot de passe pour leur mail et leurs diverses inscriptions, cette personne a théoriquement accès à tout. Et bien qu'elle ait eu un mot de passe à mettre pour sa propre session, cela doit être l'ensemble des employés comme elle qui ont un accès complet. Du coup, ma question était surtout sur ce point car je pensais que des données comme les mots de passe étaient normalement accessibles à personne voire à très peu de monde genre les admins réseaux. Alors, stocker les mots de passe en clair et les laisser accessible de façon "si simple", je ne m'y attendais pas du tout, surtout pour un site français qui a plusieurs centaines de milliers de membres. Enfin, je vais aller fouiller de façon plus grande le site de la CNIL. Au départ, j'avais plutôt vu le coté utilisateur mais effectivement, le coté détenteur de base est intéressant aussi. En tout cas, si de toute façon la loi n'oblige pas à crypter les mots de passe, je suppose qu'une charte informatique précisant dans l'organisation que l'utilisation frauduleuse des mots de passe est passible de sanction doit suffire. Je trouve cela juste hallucinant mais je dois être un peu trop parano^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Killator Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 Je trouve cela juste hallucinant mais je dois être un peu trop parano ^^ Non non, tu n'es pas parano... Tu viens juste de mettre le doigt sur les grosses lacunes de notre merveilleux monde numérique... Et bien qu'elle ait eu un mot de passe à mettre pour sa propre session, cela doit être l'ensemble des employés comme elle qui ont un accès complet. Normalement, les gens qui ont accès à ce genre d'information signent des chartes de confidentialité/sécurité qui les engagent pénalement en cas d'utilisation abusive et les informes que tous accès ou actions sur le SI sont tracés... De plus, si une partie du SI est exposé au grand public (un terminal de vente posé dans un magasin), les politiques d'accès sont renforcés: > Verrouillage session sur temps très courts > Utilisation de MDP utilisateurs fort et/ou verrouillage par badge. > Rotation fréquentes des MDP. > Sensibilisation des utilisateurs. Ce qui me gène dans l'histoire c'est que pour l'immense majorité des gens qui utilise bien souvent un mot de passe pour leur mail et leurs diverses inscriptions, cette personne a théoriquement accès à tout. D'où l'importance d'avoir une politique de mot de passe efficace... Je ne le répéterai jamais assez ! > https://forum.nextinpact.com/topic/157193-tuto-bien-gerer-ses-mots-de-passe/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Shamaan Posté(e) le 28 février 2012 Auteur Partager Posté(e) le 28 février 2012 Normalement, les gens qui ont accès à ce genre d'information signent des chartes de confidentialité/sécurité qui les engagent pénalement en cas d'utilisation abusive et les informes que tous accès ou actions sur le SI sont tracés... Ok, merci pour les précisions. En clair, comme tu le dis, y'a des gros points noirs dans la gestion du monde numérique. Pour ton lien final, tu prêches face à un convaincu si je peux dire Je ne suis pas bien vieux mais depuis mon arrivée sur le web il y a bientôt 10 ans, j'ai toujours eu une politique de mot de passe plutôt compliquée. J'espère vraiment que les gens vont finir par comprendre l'intérêt de posséder plusieurs mots de passe un minimum compliqués. Malheureusement, rien que dans mon entourage, j'ai beau en parler, on revient toujours au même point : tant que les gens n'ont pas eu un compte volé/piraté, tout le monde s'en moque. Bref, rien d'illégal dans ce cas, je suis et je reste effaré mais je vais me faire une raison. Merci pour vos interventions Lien vers le commentaire Partager sur d’autres sites More sharing options...
Oliewan Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 Pas besoin d'être effaré à ce point il faut bien comprendre les admins et accepter de leur faire confiance. Comme dit plus haut la charte informatique est la pour informer tous les utilisateurs de la politique du SI. En face, les admins se doivent d'être irreprochables à défaut dêtre parfaits. En clair on ne peut pas leur reprocher d'avoir des pass en clair, mais on peut leur reprocher de les faire fuiter. Dans ton cas de figure, il semble tout de même qu'un logiciel les tient inaccessibles et seuls les admins peuvent ouvrir ce coffre fort. Au dela de ca, trop de sécurité tue la sécurité. Etant resposnable dans ce domaine, je peux te dire que nous encourageons les utilisateurs à avoir des mots de passe forts mais que nous ne les obligeons pas. Un mot de passe trop difficile à mémoriser va se retrouver en clair ecrit sur un post-it... Et c'est pas le but de la manoeuvre Lien vers le commentaire Partager sur d’autres sites More sharing options...
Killator Posté(e) le 28 février 2012 Partager Posté(e) le 28 février 2012 Pour élargir un peu le débat, on parle depuis le début de deux types personnes: l'utilisateur qui subit et l'employé/administrateur a qui on doit faire confiance... Mais on peut évoquer aussi les personnes qui pensent le SI et les outils qu'ils mettent en place... Et ces personnes ont beau être sensibilisés à la problématique, formés à la pointe des dernières technologie, ils font souvent face à des contraintes fortes qui ne peuvent pas être contournée... Un exemple concret: une entreprise d'une quinzaine d'année a historiquement stocké tous ses référentiels client/métiers dans un mainframe: traitements transactionnels performants, haute disponibilité, batchs de repporting/consolidation bien rodés, communication avec d'autres briques du SI, des partenaires... Ça marche et ça marche bien... Un jour il est nécessaire de mettre en place un plateau téléphonique de support client... On créé donc un backoffice pour le standard ayant accès à ces données, capable de faire plein de retouches... Puis vient l'heure de l'internet, il faut présenter toutes ses informations aux clients à travers un portail WEB... Des webservices sont chargés de faire interface avec le mainframe... Enfin, on lance un projet d'application iPhone/Android... Et qui sait ce que nous réserve demain... Tout ça pour dire que la conception du backoffice, du portail internet, de l'appli iPhone, etc rencontreront systématiquement un énorme écueil: les limitations technique du référentiel historique (MD5 ? UTF-8 ? Connais-pas)... Système datant des années 80 n'étant absolument pas pensé à la base pour toutes ces fonctions qui tombent sous le sens aujourd'hui... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Shamaan Posté(e) le 28 février 2012 Auteur Partager Posté(e) le 28 février 2012 Dans ton cas de figure, il semble tout de même qu'un logiciel les tient inaccessibles et seuls les admins peuvent ouvrir ce coffre fort. Comme je l'ai dit dans mon dernier message, j'ai mal utilisé le terme admin. Il y a bien un logiciel mais je maintiens qu'à mon avis, beaucoup trop de personnes ont accès à ces mots de passe en clair. La personne que j'ai vu utilisé ce logiciel est loin d'être haut placé dans la pyramide informatique. Donc seule une charte informatique avec clause de confidentialité etc protège ces mots de passe. Pour élargir un peu le débat, on parle depuis le début de deux types personnes: l'utilisateur qui subit et l'employé/administrateur a qui on doit faire confiance... Mais on peut évoquer aussi les personnes qui pensent le SI et les outils qu'ils mettent en place... Et ces personnes ont beau être sensibilisés à la problématique, formés à la pointe des dernières technologie, ils font souvent face à des contraintes fortes qui ne peuvent pas être contournée... Parfaitement d'accord avec ça Je l'ai moi-même vécu à travers un projet lié aux outils informatiques et je comprends bien le problème. Pour ce cas là et n'ayant pas accès de toute façon à la charte des personnes, je me dis que y'a pas de soucis au niveau des employés/admins. J'espère surtout que rien n'arrivera à la BdD et qu'aucun accès extérieur n'est vraiment possible. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.