Nouveau décret du 31 mars : les hébergeurs tenus de communiquer aux autorités les données permettant de vérifier ou de retrouver le mot de passe
http://www.generation-nt.com/hebergeurs-mots-passe-verification-retrouver-autorites-actualite-1563
Un hébergeur n’a plus l’obligation de conserver un mot de passe, mais il a l’obligation de fournir aux autorités les données permettant de le retrouver.
L’année dernière, un décret est venu préciser la loi pour la confiance dans l’économie numérique de juin 2004. Il portait sur les données des contributeurs à conserver pour communication éventuelle dans le cadre d’enquêtes judiciaires.
Les hébergeurs avaient ainsi l’obligation de conserver le mot de passe, les données permettant de le vérifier ou de le modifier dans sa dernière mise à jour. Un passage qui a été modifié. (…)
« Les hébergeurs ne sont donc plus tenus de conserver le mot de passe. Mais ils demeurent tenus de conserver et de communiquer aux autorités les données permettant de vérifier ou de retrouver le mot de passe (en pratique, les réponses aux questions secrètes) », explique le Conseil national du numérique.
D’après un ajout à l’article de PCInpact, il semblerait que les hébergeurs soient également tenus de communiquer les hash de mots de passe :
http://www.pcinpact.com/news/69954-mot-passe-conservation-donnees-cnum.htm
Cette obligation de conservation va aussi et surtout concerner le hash du mot de passe, pas seulement les questions.
Le texte du décret du 31 mars :
http://www.legifrance.gouv.fr/affichTexte.do ;jsessionid= ?cidTexte=JORFTEXT000025597103&dateTexte=&
Le g du 3° de l’article 1er du décret du 25 février 2011 susvisé est remplacé par les dispositions suivantes :
« g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ; ».