[Sequanux-ml] Contrôler Internet en France : notre gouvernement y travaille
Julien Escario
escario at azylog.net
Mar 1 Mar 16:15:46 CET 2011
Le 01/03/2011 16:07, "Grégory Oestreicher" a écrit :
>> Rien de précise qu'il doit être conservé en clair ...
>
> Si 'il' fait référence au mot de passe alors nous n'avons pas la même lecture du 3°
> g). Je cite : "Le mot de passe ainsi que les données permettant de le vérifier ou de
> le modifier, dans leur dernière version mise à jour". Donc il faut être capable de
> fournir le mot de passe actuel, donc le stocker avec un chiffrement réversible ou en
> clair. Actuellement nous sommes hors-la-loi si une telle requête devait nous être
> adressée. Comme je ne compte pas mettre en danger les mots de passe hébergés sur le
> serveur, on est bien partis.
Je ne tire pas cette conclusion.
Un mot de passe enregistré en SHA1, il peut bien être vérifié non (c'est le
principe d'une authentification d'ailleurs) ? Et qu'est ce qui empêche de le
modifier ?
Pour moi, un mot de passe stocké crypté remplis les conditions.
>> Il faut juste qu'il soit 'vérifiable et modifiable'.
>
> Non, il faut fournir les données permettant de le vérifier et les moyens de le modifier.
Oui, pour moi ca couvre l'algo de cryptage et le mot de passe. Vérifiable et
modifiable.
Mais je crois qu'on va finir par tourner en rond. Il nous faut une véritable
analyse de quelqu'un de plus costaud que nous avec la loi (en tout cas que moi).
Attention : les problèmes engendrés par le fait qu'il faille conserver un an de
logs + mot de passe ne sont pas anodins non plus !
>> Voilà une loi qui fait frémir quand on est hébergeur en France.
>
> Oui, car cela vise aussi ceux qui le font à titre gratuit… Je vais vomir.
Bénévole n'a jamais signifié irresponsable (c.f. les présidents d'assoces qui
sont en tôle suite à un fait divers alors qu'ils ne touchaient pas un centime).
>> N'hésitez pas à participer aux actions de la Quadrature du net si ce type de sujet
> vous interpelle.
>
> Wai, c'est Bien©®. Mais sur ce coup là c'est un peu tard, et il faut agir autrement.
Pas forcément. Leur interprétation de tout ça pourrait bien nous aider à créer
des jurisprudences qui rendront cette loi inapplicable.
Ils l'ont déjà fait avec HADOPI. Du coup, les 'gens d'en haut' cherchent encore
la parade.
Julien
Plus d'informations sur la liste de diffusion Sequanux-ml