15 novembre 2010

La mort du hotspot wifi gratuit ouvert

En tant que responsable informatique, je n'ai pas d'autre souhait que le confort des utilisateurs. Pour cela, parmi toutes les actions entreprises, j'ai mis en place un réseau Wifi permettant à tout un chacun de se connecter en toute simplicité.

Pour les plus techniciens d'entre vous, j'ai choisi un VLAN dédié wifi dont la passerelle/parefeu est une machine basée sur l'excellent logiciel pfsense. Ce produit permet de mettre en place très facilement un portail captif interrogeant un serveur Radius (par exemple freeradius ou dans mon cas maintenant Windows 2008 R2).

Tout fonctionne très bien, je place des bornes wifi premier prix partout, je rappelle aux utilisateurs que rien n'est chiffré et de faire attention (mais tout le monde s'en fout). Globalement, tout va bien.

Oui mais voilà, mon entreprise reçoit des visiteurs, des conférenciers, des consultants, organise des colloques, des symposium, des conférences, prête ses locaux pour des assemblées générales, des séminaires, des sapins de Noël... Et tout ce petit monde souhaite maintenant accéder à internet de la manière la plus simple possible.

Pour les universitaires, pas de problème particulier, il y a Eduroam. Mais pour l'industriel lambda ou le participant étranger à un colloque, avec mon système, il faut lui créer un compte personnel.

Bien qu'étant responsable informatique (et donc "chef"), je n'aime pas mettre en place un système avec des MonEquipeVaCréerUnCompteAChaqueFois ou des OnAKAFaireFaireçaParLaKeuil. Donc, après avoir discuté avec plusieurs responsables informatiques dans d'autres écoles, j'ai bien vu et compris qu'il y a deux grandes catégories de systèmes:
1) Une délégation technique permettant à plusieurs personnes (en général des secrétariats) de créer un compte provisoire à la demande, avec génération d'un ticket contenant un identifiant et un mot de passe compliqué.
2) Un hotspot wifi open, autrement un accès libre à tous les vents.

La solution n°1 est mise en place dans toutes les écoles ou universités que j'ai contactées, ou dans les hôtels que je fréquente. La solution n°2 est celle retenue par les restaurants (McDonald's par exemple) ou les cafés de ma ville.

A priori, pour moi, la solution n°1 est la plus sérieuse, mais c'est celle où l'informatique est vécue comme pénible et les informaticiens comme des emmerdeurs personnes agaçantes. Dans un cas, quand vous allumez votre ultraportable, toutes vos mises à jour vont échouer tant que vous n'avez pas lancé le navigateur pour vous authentifier. Dans l'autre, vous surfez en toute liberté et c'est votre administrateur préféré, adoré, adulé, qui va en prison.

Diable, la prison, le déshonneur, l'infamie.

C'est que dans "responsable informatique" il y a le mot "responsable". Et dans une petite structure comme la mienne (bien que grande par la notoriété la qualité des étudiants formés) il ne s'agit pas de badiner avec ce type de concept. Inutile d'enseigner la responsabilité aux étudiants-futurs-ingénieurs s'il s'agit de se cacher derrière le chef du chef de son chef, fut-il ministre.

Mon côté "responsable" penche donc pour la première solution.
Mon côté "pratique" penche pour la seconde solution.

Première phase: je-vais-me-débrouiller-tout-seul
Me voici donc sur internet à la recherche de réponses juridiques. La meilleure technique est de nos jours plutôt basée sur l'utilisation du web et du moteur phare du moment Google (que je remercie au passage pour l'hébergement du présent blog), ce qui m'amène assez vite aux textes de loi concernés, et surtout à des commentaires explicatifs. En particulier celui-ci: "Conservation des données de trafic: hot-spots wi-fi, cybercafés, employeurs, quelles obligations?"

Cet article m'a estomaqué stupéfait ébahi éberlué ébaubi:
Le propriétaire d’un cybercafé est-il tenu de conserver les données de trafic de ses clients?
OUI. Les cybercafés, les restaurants, les hôtels, les aéroports ou tout autre endroit qui propose un accès au réseau internet au public, à titre payant ou gratuit, sont concernés par ces dispositions. Ils doivent conserver les données techniques pendant un an à compter de leur enregistrement.

Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur?
Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.
En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an.
Les «données techniques de connexion», qu’est-ce que c’est? L'article définit en son début les «données de trafic» dont je suppose, malgré l'habituelle précision des termes juridiques qu'il s'agit également des données techniques de connexion.
[Ce] sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé).
Deuxième phase: j'affronte un automate téléphonique
Sur le site de la CNIL figure un numéro de téléphone pour celui qui souhaite poser une question juridique. Aussitôt, j'appelle le numéro. Trop tôt: il faut appeler après 10h mais avant 12h, ou après 14h mais avant 16h. J'appelle alors à 10h02. Après l'automate et grâce à *11 ("tapez 1 si vous êtes un professionnel", puis "tapez 1 si vous avez une question juridique"), j'obtiens une personne vivante à qui j'explique brièvement mon problème et qui me répond: "je vous passe une personne compétente" puis me bascule sur une boite vocale... Je rappelle, me farcit l'automate téléphonique et son *11 (connaissent pas les cookies dans la téléphonie). Une voie électronique (mais humaine) m'annonce une attente de 5 minutes. J'attends, et au bout de 5mn, la musique/conseils/informations s'arrête et j'ai un magnifique silence au bout du fil. Trou noir... Je laisse passer 2mn puis raccroche. Je rappelle. Il est 10h22, le standard de la CNIL ne répond plus, il sonne occupé... Je tente le coup 5 fois dans la matinée: occupé.

Troisième phase: je demande de l'aide
Internet est un monde magique: je lance une bouteille sur twitter: "Question pour la CNIL: accès wifi, l'identité d'une personne fait-elle partie des données techniques de connexion à conserver pour une école?". Plusieurs personnes me répondent: @Skhaen @MathieuAnard @el_suisse @PierreCol @v_yaya @dascritch @Duncane_Idaho @FredLB @mariedePVV @Maitre_Eolas @frinnock @jkbockstael @ookook @MattGNU @okhin @Paul_Da_Silva @bortzmeyer @e_sanjuro @ph_lhiaubet @xavieragnes @akbarworld @whizzkidfr @fersingb @MasterLudo @_jbd entrent dans la danse de ma Time Line. J'espère ne vexer personne si j'écris que la meilleure réponse juridique vient de @Maitre_Eolas: "Les données techniques doivent être fixées par un décret attendu depuis + de 6 ans. À défaut, je dis : aucune obligation." Suivi d'un inquiétant: "Les avocats. Pour avancer dans un monde de droit." Faudra que j'en parle à Mme Zythom...

Quatrième phase: j'appelle les autorités
Je retente l'appel téléphonique vers la CNIL et là, miracle: automate, *11, attente 2mn, voix humaine non électronique qui me passe une autre voix humaine compétente. Quelques minutes de discussion et le verdict tombe, confirmant les propos de Maître Eolas: les décrets d'application définissant précisément les données techniques de connexion ne sont pas encore sortis, d'où l'article sibyllin du site de la CNIL.

Et comme l'article en question mentionne la HADOPI:
Qui peut demander la communication de ces données de trafic?
Uniquement des personnes habilitées par la loi à les obtenir, notamment les autorités judiciaires dans le cadre d’une procédure pénale, ou la HADOPI.
J'appelle la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet à ce numéro, pour savoir si mes droits de responsable informatique sont protégés sur internet.

Je dois dire que l'accès téléphonique à un être humain est beaucoup plus facile, sans doute une question de budget. J'ai eu très vite au téléphone une personne à qui j'ai pu expliquer mon problème. Voici sa réponse: "Peu importe la manière d'accéder à internet (ici un réseau wifi ouvert). En cas de téléchargement illégal, le titulaire de la ligne recevra les messages de la réponse graduée. Il doit sécuriser sa ligne".

A ma remarque indiquant que dans le cas d'un accès wifi ouvert la sécurisation de la ligne pour savoir si un téléchargement est légal ou pas nécessite de mettre en place une écoute active des données en transit, ce qui me semble illégal, sa réponse fut tout aussi simple: "je vous donne une réponse juridique claire: le titulaire de la ligne doit sécuriser son utilisation. Si un téléchargement illégal est effectué depuis sa ligne, il recevra les messages de la riposte graduée".

Lorsque je lui fais remarquer que la CNIL indique sur son site qu'un cybercafé n'a pas l'obligation légale de demander à ses clients leurs identités, sa réponse est identique.

Idem quand je lui parle des hotspots municipaux parisiens, des accès publics des bibliothèques œuvrant pour l'accès à la culture pour tous.

Je lui indique qu'il me semble que c'est l'arrêt de mort des accès wifi gratuits et ouverts, elle m'indique que dans la procédure de riposte graduée, j'aurais la possibilité de présenter mes arguments devant un tribunal et de dire que j'ai appelé la HADOPI pour obtenir ses informations. Quand je lui ai demandé son nom pour pouvoir établir la preuve de mon appel, elle a refusé (mais j'ai son prénom;).

Dernière phase: conclusion provisoire
Pour satisfaire mes obligations légales et pouvoir prouver ma bonne foi en cas d'attaque HADOPI, je réfléchis à ajouter l'adresse MAC de la machine dans les données techniques de connexion à conserver un an. Et cela même si je sais qu'il est très simple de modifier l'adresse MAC de sa machine ou d'en simuler une.

Il me faut également soupeser tout le mal que pourrait faire la publicité d'une poursuite HADOPI contre mon entreprise. En particulier l'impact sur la notoriété du diplôme durement acquis par les étudiants.

Je sens que c'est mal parti pour la mise en place d'un accès wifi ouvert et que le service informatique va devoir plancher sa communication interne pour expliquer la création de compte sur présentation d'une carte d'identité. Déjà qu'on a du mal à expliquer qu'on refuse de communiquer par email les mots de passe oubliés... VDM.

58 commentaires:

  1. En fait, la Hadopi a les moyens de payer des automates qui répondent toujours le même message sans comprendre la question mais qui semblent humains. C'est beau la technique.

    RépondreSupprimer
  2. Bon courage pour les explications. Ca me rappele mon dernier job, à la différence qu'ils n'y avaient que des commerciaux et des marketeux... ahahahaha

    RépondreSupprimer
  3. Je ne connais pas toute l'infrastructure, mais n'est-ce pas envisageable de créer un système qui envoie des SMS avec un login/mdp une fois que l'utilisateur a entré un numéro de téléphone dans un formulaire ?

    Il n'y a pas d'intervention de la part d'un sysadmin et ça permet de rattacher un login à un numéro de portable (donc une personne vers qui se tourner un cas de pépin).

    Sinon je trouve ça un peu bizarre que la personne de la Hadopi refuse de communiquer son nom/prénom. Étant moi-même assez procédurier, je n'hésite jamais à demander le nom des hotliners avec qui je communique et en général ils ne refusent pas (Orange, etc). Je trouve normal d'avoir une trace du nom de l'interlocuteur dans un dossier, surtout quand c'est quelque chose de sérieux comme des questions juridiques ou alors quand ça cause pognon/engagement.

    RépondreSupprimer
  4. D'autant plus que les membres de l'administration ont l'obligation de s'identifier : http://tinyurl.com/38c9lm2 (articles 1 et 4).

    RépondreSupprimer
  5. Salut, pour ton problème tu pourrais limiter la bande passante au utilisateur "inviter" comme ça si jamais ils veulent télécharger de gros fichier >700mo ben ils vont en mettre du temps. Si c'est pour des mise a jour c'est rarement gros puis ils attendront.
    Et toute les personnes enregistrés sont illimité en bande passante puis voila.

    RépondreSupprimer
  6. Cela dit, les hotspots wifi en libre accès sont aussi une menace pour leurs propres utilisateurs : http://www.codinghorror.com/blog/2010/11/breaking-the-webs-cookie-jar.html

    Non pas que ça excuse le fond du problème de cet excellent billet.

    RépondreSupprimer
  7. Bonjour,
    Même l'attribution d'un login/mdp ne vous mettra pas à l'abri d'hadopi, vu que l'ip relevée est celle qui vous est fournie par le FAI ... et dans le cas de connexions simultanées, impossible de savoir qui fait quoi...
    Et là, retour à "vous devez sécuriser..."

    RépondreSupprimer
  8. Comme il faut garantir l'ensemble de la traçabilité,un login/mdp liés à une identité. Vous ne pourrez pas y couper.
    Après votre accès doit ne pouvoir laisser que certains protocoles sinon vous allez avoir les même soucis concernant l'HADOPI.
    C'est là qu'on voit que les gens qui ont pondu ce texte ne connaissaient strictement rien à la technique.

    RépondreSupprimer
  9. Ayant eu des problèmes similaires pour l'accès à Internet, j'avais mis en place la procédure suivante :
    l'externe signait LA charte pour obtenir l'accès à Internet
    il recevait une enveloppe avec login et password préétabli, libre à lui de modifier le mot de passe, c'était même conseillé
    le service concerné par ces externes me renvoyait le document signé avec le numéro de l'enveloppe et l'indication de la durée probable d'utilisation
    cela a fonctionné à peu près correctement sauf que certains externes revenaient plus ou moins souvent, d'où des comptes "provisoires" quasi définitifs
    cela me permettait de traiter l'intendance à mon rythme

    RépondreSupprimer
  10. Article intéressant, mais en pratique, la plupart des hotspots wifi ouverts gérés par des pros n'autorisent que le web et le mail, non ? Sans P2P, ils sont donc largement à l'abri de l'ire de l'Hadopi.

    RépondreSupprimer
  11. Intéressant, tout cela... En Suisse le texte de loi (LSCPT) est en cours de modification, mais à l'obligation de conserver les données ils ont (tiens tiens) exclus certaines catégories telles que les hôtels, cybercafés etc. Plus pragmatique, plus raisonnable (?)

    A propos, des émoluments sont prévus pour indemniser l'opérateur en cas de recherche... : http://www.admin.ch/ch/f/rs/780_115_1/a2.html

    RépondreSupprimer
  12. @Hydrog3n : La limite de pb ne résout pas le problème. Pas obligé de pomper un fichier en entier pour que les poursuites / avertissements aient lieu. Mais effectivement ça dissuade les téléchargeurs "volontaires" mais ça ne protège pas contre le gugus qui a oublié que uTorrent tournait en tâche de fond.

    @Balahuop : Merci pour l'info, je ne savais pas.

    @Anonyme en #7 : Certes, mais avec le login la boite a un "coupable" vers qui se tourner... ce qui peut servir devant le tribunal. Non ?

    RépondreSupprimer
  13. Limiter la BP, je vois pas l'intérêt. Limiter le type de trafic par contre, ça évite déjà toute une série de manipulations, dont ce type d'utilisateur n'a d'ailleurs normalement pas besoin (ils veulent juste avoir le web pour leurs mails et le surf).

    Je verrais bien une variation sur le premier type de solution (compte provisoire avec délégation). Les étudiants ont chacun leur propre compte (de préférence pas le même que celui utilisé sur le reste du réseau, mais on sait bien que 90% va utiliser le même mot de passe...), tandis que les visiteurs passent par un compte unique qui leur est destiné.

    Le mot de passe de ce compte serait changé régulièrement, et disponible à un bureau d'information/secrétariat (lequel serait informé des changements de pwd par mail interne, si possible automatisé, pour réduire les papiers inutiles et le travail nécessaire de votre côté).

    Et pour éviter de se faire avoir par Hadopi en cas de problème, stocker les adresses MAC de ces visiteurs (les étudiants pouvant être identifiés par leur compte, ça devrait les décourager de faire des bêtises).


    En tous cas, l'employé d'Hadopi est à l'image de la société qui l'emploie : borné et sans deux sous de jugeote ou de connaissance technique.

    RépondreSupprimer
  14. @Boris Fersing

    Alors oui ça peut servir devant un tribunal mais le soucis de sécurisation de la ligne reste entier. Personnellement je ne jouerai pas trop là dessus au vu de la méconnaissance des juristes...Après ça sera l'expert judiciaire de le déterminer. Et là je laisse la main à Zythom ;)

    RépondreSupprimer
  15. Et encore, l'adresse MAC est aisément falsifiable. Quant à EduRoam, toutes les universités n'en sont pas membres.

    La manie de la sécurisation finit d'ailleurs parfois par donner des réseaux WiFi inutilisables (je connais un établissement dont le WiFi utilise un mode d'authentification qui ne fonctionne pas sur Mac, sur certaines versions de Windows, ou dans la configuration normale de certaines distributions Linux; peut-être que ça a été réglé).

    C'est encore un exemple de comment on ennuie la majorité afin de se prémunir contre les excès réels ou supposés d'une minorité.

    Un point amusant : j'ai remarqué que dans divers endroits où le WiFi est « blindé », il y a des prises Ethernet avec zéro protection... un fil et on est sur le réseau interne.

    RépondreSupprimer
  16. Merci pour l'info et l'histoire en partage. J'avais vu passer la question sur Twitter hier et je suis content de découvrir amont et aval ici ce matin. L'échange absurde et stérile avec la CNIL est systémique : il ne s'agit pas de médiocrité individuelle mais d'insuffisance structurelle. La nullité des services publics est voulue, a minima : prévisible. C'est à se demander si la médiocrité du public n'est pas organisée pour créer les conditions d'un appel d'offres au privé...

    L'application à la lettre des textes donne le scénario de votre billets. Que risquent le distrait ou le fraudeur, concrètement ? D'être à la merci de (de qui ?, that's the problem)

    RépondreSupprimer
  17. Comme dit par ailleurs... un numéro de portable qui est forcément rattaché (obligation légale, y compris pour une carte SIM de prépayé) à une identite connue, pour envoyer automatiquement un login via SMS. C'est ce qui est de plus en plus pratiqué même si ça oblige à avoir un téléphone portable.

    A défaut, sans decret fixant les obligations... voire si ce que dit hadopi par téléphone en refusant de s'identifier (confiance dans la parole donnée?) tiens la route juridiquement en pingant Maitre Eolas?

    Car après tout, une loi qui est un tissu de connerie peut tout à fait donner une "autorité" qui, juridiquement, dirait des conneries à son image!

    RépondreSupprimer
  18. Quelques réflexions :

    La HADOPI peut initier des poursuites sur 2 délits totalement différents :
    - la non sécurisation de la ligne
    - la contrefaçon

    Dans le premier cas, ce sera à l'HADOPI de prouver que votre ligne n'est pas sécurisée. La simple "constatation d'un téléchargement effectué depuis votre ligne" (si tant est que cette phrase ait un sens) n'est pas une preuve, tout au plus un indice. Si en face vous montrez que vous avez mis en place des moyens "raisonnables" de sécurisation, par exemple filtrage de tout sauf les ports 80 et 443 qui suffisent à 99% des utilisateurs + enregistrement des adresses MAC, l'infraction n'est pas constituée et vous devrez être relaxé. Au pire vous demandez une expertise de votre système (hé hé hé) et comme le dit Eolas il est peu probable que le tribunal demande une expertise au minimum à 3000€ pour un délit dont la peine maximale est de 1500€ d'amende.

    Dans le second cas (contrefaçon) les preuves devront être encore plus solides (disque dur du coquin contenant les fichiers partagés abusivement par exemple). De votre côté vous vous contenterez de fournir les données en votre possession aux autorités de police qui se débrouilleront avec. Et si on ne retrouve pas le coupable et bien tant pis ce n'est plus votre problème.

    Enfin c'est comme ça que j'ai compris tout ce qu'Eolas a expliqué sur son blog.

    RépondreSupprimer
  19. Sauf erreur, il me semble que les professionnels ne sont pas concernés par HADOPI de la même manière que les particuliers

    http://www.commentcamarche.net/faq/28041-hadopi-les-consequences-pour-l-entreprise

    C'est dire la bêtise industrielle de cette loi: En fait... on demande de sécuriser ce qu'il est très difficile de définir comme illégal.

    Perso, je la jouerais pragmatique : tes accès wifi ouverts, tu filtres le peer 2 peer puisque c'est le seul protocole que la HADOPI peut “contrôler” et sanctionner

    RépondreSupprimer
  20. Pour m'intéresser au même sujet depuis quelques temps (et de manière générale à la responsabilité de l'entreprise en cas de mauvais usage de l'outil par ses employés), je suis tombé sur l'article suivant http://blog.spyou.org/wordpress-mu/2010/08/25/hadopi-et-entreprise/

    qui cite notamment une jurisprudence BNP d'il y a quelques années disant en gros, qu'en cas d'usage illégal de l'accès (cela ne concerne pas seulement Hadopi, mais tous les usages illégaux via l'accès), c'est l'employé qui est responsable sauf s'il ne peut être identifié (via les fameuses données de connexion), auquel cas c'est l'entreprise qui est responsable.
    Il me semble du coup que la question de la conservation des données de connexion me semble vitale pour l'entreprise.

    RépondreSupprimer
  21. je ne pense pas que la sécurisation soit un réel problème en fait pour une raison assez simple.

    parlons en terme de rentabilité de la mesure,
    vous allez "affronter" trois publics :
    - les novices
    - les éclairés
    - les experts

    dans chacun de ces domaines, plusieurs profils sont à prévoir allant de "ah tiens pas possible tant pis" à "je suis sur qu'il y a une faille".

    je ne connais pas le public "à vue de nez" de votre établissement, mais je suis certains qu'il doit être possible de mettre en oeuvre une mesure limitative ajustée aux publics et aux débordements prévisibles.

    ainsi, vous pourriez envisager de bloquer les principaux sites de téléchargements, les ports lambda emule et bitorrent.

    si vos publics utilisent linux et à fortiori téléchargent des images disques via torrent, vous pourriez mettre en oeuvre un sas : un de vos ordinateurs télécharge pour eux le torrent et si c'est effectivement légal il sera délivré.

    effectivement, c'est un sale boulot...

    RépondreSupprimer
  22. Je vous invite à relire l'article L34-1 du code des postes et des communications électronique. C'est cette article que vous devez respecté lorsque vous offrez un accès à l'Internet d'apres la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.

    http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=ED4C2366D1517FBBA5F277B36836C231.tpdjo09v_3?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000006465774&dateTexte=20101116&categorieLien=id#LEGIARTI000006465774

    Vous y trouverez cet extrait :

    "V. - Les données conservées et traitées dans les conditions définies aux II, III et IV portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux."

    On y parle bien de l'identification des personnes utilisatrices.

    En espérant que cela vous aide.

    RépondreSupprimer
  23. La Fédération France Wireless possède l'infrastructure nécessaire est est en mesure de vous proposer le service.

    http://www.wireless-fr.org

    RépondreSupprimer
  24. Je vois 2 possibilités peu contraignantes pour les usagers :
    Un serveur radius du domaine x peut interroger le serveur radius du domaine y pour identifier bidule@y. (c'est comme ça que marche eduroam)
    ou créer un réseau 802.11 où seules les communications de type VPN vers une liste blanche de domaines (ceux des sociétés envoyant des intervenants)seraient possibles.

    RépondreSupprimer
  25. Tiens je savais qu'eduroam c'était un truc standard qui marchait partout, je croyais que c'était juste le nom chelou d'un de nos réseaux wifi (de toute façon je reste un adepte du cable RJ-45)

    Par contre pour la carte d'identité c'est déjà le cas en Italie, je me se souvient il y a 2-3 ans m'être faché avec l'organisateur d'une conf car il n'était pas question que j'envoie par un e-mail non sécurisé un scande ma carte d'identité ! (Au final j'ai eu le droit de remettre une copie en main propre au secretariat de la conf)

    RépondreSupprimer
  26. Bonjour,
    Pour avoir été confronté à ce problème, faire bénéficier aux visiteurs un acces internet sans pour autant les laisser faire n'importe quoi sur le réseau:
    - un réseau dédié
    - wifi wPA-PSK
    - abonnement internet ADSL dédié (type free 30euros/mois) en cas de pépin, seuls les visiteurs seront pénalisés
    - tout le traffic sortant filtré, seuls les ports pop/smtp, http/https,rdp et sip étaient ouverts
    - mine de rien, 1an de log ça prends de la place, prévoyez large
    - un log des visiteurs demandant l'accés internet

    RépondreSupprimer
  27. Ce n'est que la 1ère étape vers une surveillance généralisée des populations.En attendant le visa de sortie, pasport intérieur,l'enregistrement obligatoire de tous matériels elecrtonique, ect...
    De nombreuses techiques existent pour protéger sa sphère privée et je m'atèlles à les resenser...

    RépondreSupprimer
  28. Et s'il y avait une troisième solution ?
    Cherchez Amigopod sur Google et ça pourra éclairer vos problèmes sous un nouveau jour...

    RépondreSupprimer
  29. Le fond du problème est de savoir qui est FAI et qui est utilisateur. Si une entité fournissant du wifi gratuit publiquement n'a aucune obligation de connaitre l'identité des utilisateurs, il suffit de se déclarer auprès de l'arcep pour être peinard. Si le FAI doit legalement relever les identités, c'est fichu, effectivement.

    RépondreSupprimer
  30. Le fond du problème est de savoir qui est FAI et qui est utilisateur. Si une entité fournissant du wifi gratuit publiquement n'a aucune obligation de connaitre l'identité des utilisateurs, il suffit de se déclarer auprès de l'arcep pour être peinard. Si le FAI doit legalement relever les identités, c'est fichu, effectivement.

    RépondreSupprimer
  31. Quelques réflexions :

    La HADOPI peut initier des poursuites sur 2 délits totalement différents :
    - la non sécurisation de la ligne
    - la contrefaçon

    Dans le premier cas, ce sera à l'HADOPI de prouver que votre ligne n'est pas sécurisée. La simple "constatation d'un téléchargement effectué depuis votre ligne" (si tant est que cette phrase ait un sens) n'est pas une preuve, tout au plus un indice. Si en face vous montrez que vous avez mis en place des moyens "raisonnables" de sécurisation, par exemple filtrage de tout sauf les ports 80 et 443 qui suffisent à 99% des utilisateurs + enregistrement des adresses MAC, l'infraction n'est pas constituée et vous devrez être relaxé. Au pire vous demandez une expertise de votre système (hé hé hé) et comme le dit Eolas il est peu probable que le tribunal demande une expertise au minimum à 3000€ pour un délit dont la peine maximale est de 1500€ d'amende.
    ----------------------

    Je disconviens respectueusement, dans l'esprit de la loi, le "défaut de sécurisation" est constitué dés lors que le point d'accès a servi à accéder à un contenu protégé par le droit d'auteur de manière illicite.
    Il revient alors au titulaire du point d'accès de prouver qu'il a mis en place les moyens de sécurisations adéquats pour éviter cela.
    Quels sont ces moyens? On ne sait pas, la hadopi devait définir des labels de sécurisation, mais la tache est abyssale donc on va probablement se retrouver avec une FAQ sur son site et on se référera probablement à l'avis d'experts en sécurité informatique pour les connaitre. Le risque étant qu'on soit plus exigeant avec un professionnel qu'un particulier.
    Notons aussi que si le P2P est spécifiquement visé à l'heure actuelle l'Hadopi a fait savoir qu'elle n'excluait à priori aucune méthode d'accès illicite de son champ d'action.Si la haute autorité dure dans le temps, ce que je ne lui souhaite pas, elle ira probablement surveiller les newgroups, le streaming, ou les sites de téléchargement type megaupload.
    En l'état il n'y a pas de raison de s'inquiéter malgré tout : comme vous le dites ne laisser que les ports 80 et 443 ouverts devraient suffire à prouver votre bonne foi.
    De plus le dossier est trés politique et potentiellement explosif. Il s'agit, pour le gouvernement qui a mis tout son poids pour faire passer la loi, d'éviter à tout prix de se retrouver au 20h avec un entrepreneur qui explique qu'il a mis la clé sous la porte parce que la haute autorité s'est trompée ou que ses demandes sont kafkaïennes. Je ne doute pas que des consignes de bienveillances ait donc été passée.

    RépondreSupprimer
  32. Hello,

    Tous les commentaires sur ce post oublient le début du L34-1, et notamment le II qui dispose que "il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques"

    Le principe de base est donc l'effacement ou l'anonymisation des données, et le L34-1 ne fait qu'introduit un délai de conservation avant l'effacement de ces données.

    En aucun cas l'application de cet article ne peut/doit entrainer de collecte d'informations qui ne seraient pas strictement nécessaires à la fourniture du service.

    En conséquence, et quelle que soit la solution technique retenue, le 'fournisseur de service de télécommunication' ne doit que conserver les données qu'il collecte pour assurer la fourniture du service. Cela peut être la MAC dans le cas d'un réseau wifi ouvert non sécurisé.

    Concernant Hadopi, je crois bien que la loi ne vise que les particuliers.... Les entreprises ou organismes publics ne sont pas concernés par Hadopi....

    RépondreSupprimer
  33. @Anonyme: Selon l'article L336-3 du code de la propriété intellectuelle, l'employeur doit veiller à ce que la connexion mise à la disposition de ses collaborateurs ne fasse pas l'objet de contrefaçon. Faute d'installer les moyens de sécurisation ad hoc, il se rend coupable de «négligence caractérisée» (article R335-5).

    RépondreSupprimer
  34. @Zythom Le L336-3 vise la personne titulaire d'un accès, et non pas explicitement un employeur ni même un fournisseur de services de télécommunication.

    La rédaction peut laisser planer le doute, mais vu les données énumérées en annexe du décret n° 2010-236 du 5 mars 2010, il me semble que seuls les particuliers sont explicitement visés par le dispositif (quid des noms et prénoms dans le cas d'un accès internet d'une entreprise ?).

    De plus, il semblerait que les serveurs hébergés sont egalement exclus du champ d'application d'Hadopi (cf http://www.numerama.com/magazine/17152-contourner-l-hadopi-avec-une-seedbox-le-bon-plan-des-fai.html). Quid d'un proxy sur ce type de serveur ?

    Je vous accorde néanmoins que ce point ne sera définitivement tranché que par la jurisprudence ou une clarification des textes.

    Il faut bien dissocier les différentes contraintes légales :

    _Rétention des données de connexion dans le cadre du L34-1 du code des postes et télécommunications.

    _Sécurisation de l'accès à internet dans le cadre de la loi hadopi.

    _Poursuites pénales en cas d'utilisation de l'accès internet pour des actes de contrefaçon.

    RépondreSupprimer
  35. Quitte à utiliser l'astuce "seedbox"... Zythom n'a qu'a prendre un dedié chez ran.es et y faire sortir son vlan dédié wifi ouvert.

    On y bénéficie aussi de la legislation espagnole, qui place le partage de fichiers sous droits d'auteur au rang de notre copie privée.

    Notre pays est décidément doué pour créer de l'emploi... ailleurs!

    RépondreSupprimer
  36. Cela semble un peu excessif.

    Personnellement, j'aurai mis en place un wifi ouvert, collectant les MAC pour être conforme a la rétention des donnes de connexion, en bloquant les ports de P2P, et en demandant aux personnes d'accepter une charte informatique lors de la première connexion.

    RépondreSupprimer
  37. @Anonyme: Je refuse de bloquer le P2P.

    RépondreSupprimer
  38. @Zythom : Effectivement, ça réconforterait notre gouvernement et les lobbys dans l'idée que P2P == illégal. Alors que ce n'est qu'un outil...

    RépondreSupprimer
  39. Quid des hotspots neuf et free qui j'imagine permettent à un utilisateur neuf/wifi de se connecter sur le web avec notre adresse ip publique?
    Que se passe t-il si il y a téléchargement de P2P illégalement et que l'adresse est retrouvée stockée dans la bdd d'un tracker par ex?

    RépondreSupprimer
  40. @Cyril : Les hotspots free, etc. Offrent une connexion via une IP distincte de celle de l'abonné qui met le hotspot à disposition.

    En effet, pour se connecter il faut un login/pass du fournisseur d'accès et c'est ce compte qui sera visé en cas de comportement illégal.

    RépondreSupprimer
  41. @Cyril: Lorsque la Hadopi demande au FAI d'identifier l'utilisateur d'une adresse IP, le FAI sait parfaitement identifier l'utilisateur du réseau "public" puisque celui-ci s'est authentifié avec ses identifiants.

    Et n'oubliez pas, ce n'est pas "votre" adresse IP, mais celle que votre FAI vous attribue en principal et aux autres utilisateurs lorsque ceux-ci utilise le réseau "public" de votre box.

    RépondreSupprimer
  42. Concernant HADOPI, il n'y a pas une faille rigolote qui dit que pour démontrer qu'il y a défaut de sécurisation, il faut démontrer le délit de contrefaçon ? (et donc trouver et condamné la personne ayant commis le délis)

    RépondreSupprimer
  43. Bonjour Zythom,

    Oui, autant le cadre de traitement des données est relativement standard, logique, et n'est qu'une contrainte technique.

    Autant, à mon sens, Hadopi fait tomber le tout dans l'absurde, encore plus pour les entreprises.

    Mettre un système de logs est assez "simple".
    S'assurer de la légalité de l'usage de l'accès mis à jour est impossible, même en mettant un système DPI en place.

    Cette opinion étant exprimée, une solution mixte est possible, je l'ai fait pour certains pairs :
    - système de logs standard, dans le respect du cadre légal
    - les accès visiteurs sont renvoyés sur un VPN vers l'étranger.

    Dans une TPE avec un faible espace à couvrir, un routeur Wifi consacré à cette tâche, connecté au prestataire VPN.

    Dans une PME avec une grosse architecture, un système de Vlan avec un renvoi configuré de toutes les entrées et sorties vers le prestataire VPN.

    C'est excessivement regrettable que la seule solution viable humainement, juridiquement, et logiquement soit le contournement.

    RépondreSupprimer
  44. Est ce que bloquer le P2P a un sense ? A moins de faire du DPI (Deep packet inspection) je ne vois pas d'autres solutions. De plus le DPI me semble illégale. Mais comment faire comprendre ca a un automate de HADOPIPI :-p

    RépondreSupprimer
  45. "S'assurer de la légalité de l'usage de l'accès mis à jour est impossible, même en mettant un système DPI en place"

    C'est aussi mon avis: Tous les network processors (issus de fondeurs spécialisés comme Freescale ou Cavium...) permettant de faire ce genre de choses sans générer de goulet ont des limites:
    -Tables d'exact matching utilisées par les blocs de comparaison limitées en taille.
    -Profondeur de recherche dans la trame. 256 bytes chez freescale (famille QorIQ) par exemple: Suffit d'adapter les protocoles avec du bourrage sur le payload entre la fin des entêtes et l'offset 256 pour passer au travers sans même devoir chiffrer le traffic!

    Partant de ce constat, au delà de la question de la pertinence d'hadopi et son intérêt qui transpire envers le DPI pour tenir la charge envisagée (ce que l'actuelle methode historique, se mettre soit-même à partager et loger les IP qui se connectent, ne permet pas)...

    Mon avis est le même: Il ne reste qu'une chose à faire si on ne veut pas brider l'usage (y compris honnête, en y allant à la hache contre le P2P par exemple): Un tunnel chiffré vers un point de sortie dans un pays moins bête.

    Gageons qu'après les paradis fiscaux, on va voir émerger des paradis numériques! Ils auront été rendus possibles par ceux qui actuellement, chez nous, légifèrent aussi mal qu'ils sont bêtes!

    RépondreSupprimer
  46. Ah non, si vous filtrez des ports, laissez non seulement 80 (http) et 443 (https), mais aussi 22 (ssh), 993 (imaps), 465 (smtps).

    C'est à cause d'administrateurs paranoïaques que j'ai quelque part une machine qui écoute en ssh sur le port 443...

    RépondreSupprimer
  47. @DM: Je suis un peu "old school", mais pour moi un hotspot ouvert ne doit filtrer aucun port. C'est un peu cela la neutralité des hotspots :)

    RépondreSupprimer
  48. Haifeji a dit:"la clé sous la porte parce que la haute autorité s'est trompée ou que ses demandes sont kafkaïennes. Je ne doute pas que des consignes de bienveillances ait donc été passée."

    meuh non alors. Tout le monde à bien entendu Mercier (busiris eolas) dire son absolue confiance en l'indépendance de la justice. Donc si il y a procédure lancée, elle ira à son terme....

    @zithom: tu n'es pas habilité à controler une identité. Tu peux donc enregistrer n'importe quoi comme noms, prénoms, adresses.

    Tout le monde a déjà cliqué sur la fameuse case "j'ai lu et j'accepte" les conditions de license/utilisation d'un service.

    A partir du moment ou un portail captif fait accepter "...pas d'activité illégale...", je pense que tu as rempli ta part d'obligation de sécurisation "pédagogiquement", méthode appropriée pour une école.

    Franck

    RépondreSupprimer
  49. @ Franck :
    Il n'est pas habilité à contrôler l'identité, donc à demander à quelqun dans la rue sa carte. Mais il a le droit de demander une pièce d'identité pour donner du wifi. La personne peut refuser. On refuse le wifi.
    C'est comme devoir présenter une carte à l'entrée d'une boîte.

    RépondreSupprimer
  50. "C'est à cause d'administrateurs paranoïaques que j'ai quelque part une machine qui écoute en ssh sur le port 443..."

    Paranoïaques... et totalement crétins: La banière ssh passant en clair à l'établissement de la transaction, il est possible de la repérer et de fermer immédiatement le tunnel https que le proxy venait d'ouvrir! Mais bon, même en pareil cas des solutions existent ;o).

    Par contre, ceci me donne une idée:

    Faire un hotspot qui ne laisse sortir que du SSH, se contentant de donner le mode opératoire via une page html à qui s'y connecte, ce serait une possibilité.

    Celui qui l'utilise devrait alors pouvoir se relayer sur un serveur ssh perso (donc sous sa responsabilité), ce qui est certes une contrainte, mais c'est mieux que rien et évite de devoir soit-même payer un hébergement ailleurs pour gérer un point de sortie sans risque.

    Et de nos jours, avec tous ces netbook consommant a peine plus qu'une box (parfois moins écran fermé), avec la batterie évitant en prime un onduleur, avoir un petit serveur perso ouvert 24h/7j devient possible. En solde/promo on en trouve pour 150€.

    RépondreSupprimer
  51. Zythom, j'arrive un peu apres la bagare, mais franchement, vous pensez que ca nuirait à l'image de votre entreprise si Hadopi vous attaquait; mais c'est exactement l'inverse !
    C'est HADOPI qui paraîtrai (encore plus) ridicule s'il elle osait vous attaquer.
    Sans compter que la loi accouchant de cette autorité est tellement mal ficelé que jamais elle n'ira jusqu'au procès de peur de voir invalider toute la procédure bancale.

    M'enfin, c'est de votre responsabilité qu'il s'agit, donc c'est à vous de faire les choix dans ce marasme judiciaire sans queue ni tête. Bon courage, et merci pour ce blog !

    RépondreSupprimer
  52. Je vous engage à vous pencher sur la notion juridique de "bon père de famille" (article 1137 du code civil).
    ex: http://fr.wikipedia.org/wiki/Bon_p%C3%A8re_de_famille

    À défaut de norme précise, car faute de réglementation, c'est celle ci que le juge considèrera pour éventuellement juger de votre responsabilité.

    Comment considérez vous votre sécurité à l'aune de cette notion ? Quelque chose me dit que vous êtes largement au delà. ;)

    RépondreSupprimer
  53. Bonjour,
    J'ai deux questions concernant ce billet (le wifi et hadopi):

    1) A priori, l'accès au wifi libre, gratuit et ouvert n'a pas pour vocation de faire des téléchargements très volumineux (et donc suspects !).
    N'est-il pas tout simple de limiter (brider) en local la taille des téléchargements acceptables via ce type de wifi.
    De nombreux sites de vente par internet ont mis en place un système avec saisie du tel portable pour recevoir un code de validation par SMS et faire une commande.
    Techniquement c'est possible et fiable.
    On peut donc imaginer un système similaire pour les téléchargements volumineux. (Même si les données saisies sont fausses, juridiquement c'est suffisant pour que l'administrateur prouve sa bonne foi).

    2) J'utilise un logiciel de messagerie (thunderbird) qui permet de filtrer les emails reçus. Il y a plusieurs systèmes de filtrage (dont je ne connais pas le processus) mais je m'aperçois que certains mails provenant d'expéditeurs connus (et non spammeurs) sont classés "indésirables" et traités comme tels (je les retrouve dans la corbeille).
    Bref, si mon ordi est utilisé pour un téléchargement pirate, il n'est pas certain que l'email d'avertissement d'HADOPI ne passe pas à la trappe à mon insu.
    Cela ne rend-il pas la procédure d'HADOPI discutable (caduque) juridiquement.

    RépondreSupprimer
  54. @Anonyme: Ces administrateurs n'ont pas pour but de bloquer ssh (d'ailleurs, quelle utilité de bloquer un tunnel ? a priori, la machine qui apparaîtra dans les logs HADOPI sera celle à l'autre bout du tunnel...). Leur intention est sans doute de bloquer tout ce qui n'est pas du Web simple, par précaution (limite fortement le p2p, notamment).

    RépondreSupprimer
  55. @Poilauxpattes:
    Point 1): mon souhait est de créer un point d'accès ouvert utilisable pour tous les types d'activité, y compris le téléchargement de gros fichiers, les visioconférences, les flux en streaming, etc.
    Point 2): c'est pour cela que dans la riposte graduée est prévue l'envoi d'un courrier recommandé. Je vous recommande néanmoins de jeter un coup d'oeil de temps en temps à votre dossier de spam

    RépondreSupprimer
  56. Dsl d'arrivé longtemps après ce msg, mais je cherche des infos sur les architecture Wifi "Hotspot".

    Je suis content d'avoir la confirmation que les "données techniques" ne sont pas définies, je n'ai jamais réussi à mettre la main dessus.
    Pour les soucis d'identification des utilisateurs du hotspot, selon notre juriste, ce n'est pas de la responsabilité de la société qui fourni le hotspot de vérifier l'identité de l'utilisateur (s'il donne un faux nom ou un numéro de tel type mobicarte, on ne peut pas être responsable).
    Pour les problèmes Hadopi, si l'on capable d'identifier la personne qui a "frauder", le titulaire de la ligne n'est pas responsable. Du coup, que se passe-t-il si l'on ne sauvegarde que son adresse IP (privée en général, puisqu'il y a souvent qu'une sortie internet avec une seule IP) et son adresse MAC, difficile d'identifier la personne.

    Mon gros soucis actuellement est de savoir si on a le droit de filtrer ces réseaux hotspot. Le texte de loi indique que l'on est assimilé à un FAI qui - eux - n'ont pas le droit de filtrer. Du coup, si on mets en place un Hotspot dans une chaine de restaurants ou magasins, a-t-on le droit de filtrer les flux pour que les sites pornos/jeu/download/etc.. ne soient pas accessibles ?
    Je n'ai pas réussi à trouver (ni notre juriste) de réponse claire, si quelqu'un a un lien et/ou une réponse je suis preneur !!

    Merci
    ++

    RépondreSupprimer
  57. @Julien: Tout dépend du problème que vous posez: votre hotspot est-il associatif, privé, dans une entreprise, etc.

    Le filtrage d'un hotspot d'entreprise est parfaitement autorisé. Dans les institutions publiques également (le wifi du Sénat est filtré, parfois de façon ridicule).

    Rien n'interdit de bloquer certains ports, ce que font correctement la plupart des firewalls.

    Concernant Hadopi, leur règle est simple: c'est le titulaire de la ligne qui est responsable de sa sécurisation. C'est lui qui recevra les avertissements. Hotspot ouvert ou pas, filtré ou non. Après, tout se jouera au tribunal.

    RépondreSupprimer
  58. Maintenant qu'il semblerait que le décret soit sorti: http://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html

    le fournisseur du réseau (FAI) doit garder:
    1) L'identifiant de la connexion ;
    2) L'identifiant attribué par ces personnes à l'abonné ;
    3) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ;
    4) Les dates et heure de début et de fin de la connexion ;
    5) Les caractéristiques de la ligne de l'abonné ;

    ca représente quoi tout ça ?
    1) adresse IP attribuée
    2) rien vu qu'on attribue rien dans le cadre d'un reseau ouvert et qu'on a pas d'abonné (c'est une absurdité)
    3) adresse MAC
    4) c'est suffisament parlant
    5) on a toujours pas d'abonné mais à la rigueur je propose qu'on garde les caracs de l'onde électromagnétique, suffit d'aller voir les normes du wifi et ils seront bien avancé de savoir que la longueur d'onde était lambda et qu'il y avait un affaiblissement de n dB

    Et au final en tant que FAI:
    1) T'as juste à transmettre tout ça à l'autorité compétente qui te demande et ta responsabilité n'est pas engagée.
    2) T'as l'interdiction de faire du DPI et de filtrer (code de régulation des télécommunications et des postes)

    A moins que en tant que FAI, tu sois OBLIGÉ d'avoir des abonnés par je ne sais quel texte, et dans ce caslà, c'est effectivement la mort des hotspots ouverts.

    Aurais-tu d'autres éclaircissements ?

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.