La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Bistro => Discussion démarrée par: Hugues le 26 février 2019 à 13:05:20
-
Parce qu'il vaut mieux en rire...
Pour votre information depuis l'atentat à Charlie Hebdo, les opérateurs ne peuvent fournir que des IP Fixe.
Pour simplifier le pistage des terroristes et mieux vous pister si vous avez des activités douteuses, pédophile terrorisme ou djihadisme, il est interdit aux FAI françaises d'assigner des IP dynamiques.
https://communaute.red-by-sfr.fr/t5/Box-d%C3%A9codeur-TV/Adresse-ipv4-fixe/td-p/331996#lineardisplaymessageviewwrapper_0_5e74a238a163a0
-
A noter que ce n'est pas une réponse officielle mais celle de https://lafibre.info/profile/Virginie/ (l'avatar étant le même, je pense qu'il s'agit de la même Virginie)
Sur le fond, les FAI n'ont pas d'obligation de fournir des IP fixe, pas plus que des IPv4 dédiées (une même IPv4 peut être partagée entre plusieurs milliers de clients) ou de l'IPv6.
Ils ont par contre l'obligation d'identifier le (ou les) client(s) qui utilise(nt) une IP à un instant t.
Le fait d'avoir des IP dynamique ne gène en rien l’identification d'un client.
Par contre le fait de partager une IPv4 entre plusieurs clients est problématique, quand le service ne logue pas le port utilisé : cela rend plus beaucoup compliqué l’identification.
Les pédophilies le savent bien et utilisent majoritairement des accès ou l'IP est partagée (statistique Europole)
-
Comme quoi elle ne sévit pas qu'ici...
-
Elle fait chier un paquet de gens...
-
Pour votre information depuis l'attentat à Charlie Hebdo, les opérateurs ne peuvent fournir que des IP Fixe.
Elle a inventé ça de toutes pièces ou il s'est passé quelque chose chez les FAI après ces événements ?
-
Elle est de ce genre de gens qui feraient mieux de se taire plutôt que de vouloir avoir l'air intéressant en racontant littéralement n'importe quoi
-
Elle a inventé ça de toutes pièces ou il s'est passé quelque chose chez les FAI après ces événements ?
(https://pix.milkywan.fr/ZdmpOLl1.jpg)
-
(https://pix.milkywan.fr/ZdmpOLl1.jpg)
;D
-
Elle fait chier un paquet de gens...
Elle en a vraiment un pet dans le casque la bretonne!!! Ne serait-ce pas la compagne de notre ami BernflasherBZH?? ;D :o ::) :P
-
Par contre le fait de partager une IPv4 entre plusieurs clients est problématique, quand le service ne logue pas le port utilisé : cela rend plus beaucoup compliqué l’identification.
Les pédophilies le savent bien et utilisent majoritairement des accès ou l'IP est partagée (statistique Europole)
Effectivement, bon nombre de services ne logguent pas le n° de port source par défaut (ex: nginx & apache).
Moi qui utilise (comme Free en ZMD) l'A+P pour identifier les adhérents sans pour autant devoir logguer tout le trafic , je serais bien ennuyé sans le n° de port source lors d'une requiz. Mais comment faire autrement pour des petits réseaux (moins de 60 abonnés) pour lesquelles toute les ressources sont tournée vers le déploiement de l'infra ? Il faudrait monter des tunnels vers un DC et annoncer des IP publiques, donc encore de la complexité et du coût récurent pour des gens qui n'en comprennent pas l'intérêt.
-
Effectivement, bon nombre de services ne logguent pas le n° de port source par défaut (ex: nginx & apache).
Moi qui utilise (comme Free en ZMD) l'A+P pour identifier les adhérents sans pour autant devoir logguer tout le trafic , je serais bien ennuyé sans le n° de port source lors d'une requiz. Mais comment faire autrement pour des petits réseaux (moins de 60 abonnés) pour lesquelles toute les ressources sont tournée vers le déploiement de l'infra ? Il faudrait monter des tunnels vers un DC et annoncer des IP publiques, donc encore de la complexité et du coût récurent pour des gens qui n'en comprennent pas l'intérêt.
Lorsque tu reçois une réquisition, tu dois donner TOUS les éléments "servant à la manifestation de la vérité".
Càd qu'en cas de CGNAT (comme ce qu'on avait chez nous), on doit filer la liste de tous les abonnés derrière MAIS qu'on a la possibilité de la réduire très fortement si effectivement ils ont telle ou telle info (port source, et horodatage NTPisé et GMTisé). Après, je ne peux pas rentrer davantage dans le détail pour des raisons évidentes.
Mais il y a rien de pire que de ne rien donner.
-
Il y a régulièrement des réquisition où les opérateurs mobile donnent des milliers de clients.
C'est aussi un argument pour IPv6 : cela évite que la justice s'intéresse à votre vie privée, car vous avez eu la malchance d'utiliser la même IP qu'un délinquant.
La police utilise ensuite différentes critères pour réduire la liste.
Pour le cas ci-dessous, il y a eu une erreur :
(https://lafibre.info/images/doc/201806_arcep_rapport_etat_internet_2018_IPv6_cgnat_nice.png)
A cause de son fournisseur d'accès internet, il est accusé à tort de télécharger des fichiers pédopornographiques
La cellule de lutte contre la cybercriminalité de la section financière de la PJ de Nice avait repéré un internaute du quartier Saint-Sylvestre, à Nice, qui téléchargeait des centaines de films pédopornographiques.
Les enquêteurs se sont rapprochés du fournisseur d'accès qui leur a fourni le nom du titulaire de l'adresse IP.
Le suspect, un informaticien, a été interpellé et placé en garde à vue.
Ce père de famille niait farouchement tout comportement déviant. Et il avait raison.
Les policiers se sont aperçus que le "cyberpédophile" était en réalité l'un de ses voisins, un étudiant de 28 ans, déféré ce jeudi après-midi devant le parquet de Nice.
Le fournisseur d'accès a reconnu qu'en raison d'un manque d'adresses dans ce secteur, quatre abonnés partageaient la même adresse IP!
Pourquoi n'a-t-il fourni qu'un nom sur les quatre aux policiers? Mystère. Mais un innocent a été injustement soupçonné pendant quelques heures.
-
Plus qu'à attendre le jour où une requis avec de l'IPv6 arrive et là, je paye mon coup !
-
Il se disait que le formulaire n'était pas adapté pour une réquisition en IPv6, les premières, cela risque d'être folklorique.
-
Cela signifierait que les système de la police pourrait ne pas supporter tout ce qu'il se fait sur internet?
-
Bon après, brouiller les pistes avec plusieurs rebonds privés restera dans tous les cas possible ...
-
Il y a régulièrement des réquisition où les opérateurs mobile donnent des milliers de clients.
C'est aussi un argument pour IPv6 : cela évite que la justice s'intéresse à votre vie privée, car vous avez eu la malchance d'utiliser la même IP qu'un délinquant.
La police utilise ensuite différentes critères pour réduire la liste.
Pour le cas ci-dessous, il y a eu une erreur :
4 adresses par abonnés, cela pourrait être Free en 10G-EPON. Est-ce que par hasard, le FAI (quel qu'il soit) aurait donné l'identité de celui qui détenait les 16000 premiers ports, par défaut ?
-
4 adresses par abonnés, cela pourrait être Free en 10G-EPON. Est-ce que par hasard, le FAI (quel qu'il soit) aurait donné l'identité de celui qui détenait les 16000 premiers ports, par défaut ?
ça a déjà était dit à l’époque: il s'agissait bien de Free...
-
4 adresses par abonnés, cela pourrait être Free en 10G-EPON. Est-ce que par hasard, le FAI (quel qu'il soit) aurait donné l'identité de celui qui détenait les 16000 premiers ports, par défaut ?
Je pense surtout que le process de réponse aux réquisition dans ce cadre spécifique n'était pas sec, chez eux.
Lorsque tu reçois une réquisition, tu dois donner TOUS les éléments "servant à la manifestation de la vérité".
Càd qu'en cas de CGNAT (comme ce qu'on avait chez nous), on doit filer la liste de tous les abonnés derrière
C'est ce qu'on fera si le cas se présente, bien sur.
Après, je ne peux pas rentrer davantage dans le détail pour des raisons évidentes.
Pas si évidente pour moi, non. Le cadre reste assez clair : t'est obligé d'identifier les abonnés, mais si pour des raisons techniques tu peux pas *spécifiquement* en désigner un (dans notre cas: Parce que le service qui a filé l'IP n'a pas filé le port source) ben , comme tu dis, tu files tout & tu laisses les képi se débrouiller pour l'enquête.
La seule alternative c'est de faire un vrai CG-NAT avec horodatage, par exemple avec session PPP (ou autre). Techniquement pour une assos, ça serait possible mais lourd en admin, d'où notre choix de A+P : Ca permet de "reporter" la charge du log complet sur le service ciblé.
De toute façon en ce moment , en terme associatif la plupart des choses que j'ai vu passer c'est des requiz pour des posts facebook ou twitter (donc probablement pour des plainte en diffamation, encore qu'on a jamais les détails) .
De plus, on met un point d'honneur à toujours prévenir nos adhérents du fait qu'ils sont facilement identifiable sur internet et qu'on ne les "protégera pas" spécifiquement en cas de réquisition. A eux de prendre leurs disposition, ensuite.
Je ne vois pas ce qu'il y a de "secret" dans tout ça.
-
La seule alternative c'est de faire un vrai CG-NAT avec horodatage, par exemple avec session PPP (ou autre). Techniquement pour une assos, ça serait possible mais lourd en admin, d'où notre choix de A+P : Ca permet de "reporter" la charge du log complet sur le service ciblé.
Pourquoi ne pas mettre en place un netflow ? Comme ça tu vois quelle IP a discuté avec qui.
Du coup, si on te donne l'IP destination du serveur, on voit les IP qui ont discuté avec dans une fenêtre de 5 min par ex. Ca réduit les possibilités (après j'espère juste qu'on donne pas une IP dest d'un CDN, sinon c'est mort :p ).
-
Pourquoi ne pas mettre en place un netflow ? Comme ça tu vois quelle IP a discuté avec qui.
Du coup, si on te donne l'IP destination du serveur, on voit les IP qui ont discuté avec dans une fenêtre de 5 min par ex. Ca réduit les possibilités (après j'espère juste qu'on donne pas une IP dest d'un CDN, sinon c'est mort :p ).
Parce ce que ça implique que quelqu'un de l'assos qui est "responsable" de ce logging : Conservation, sauvegarde, exploitation. C'est pas très différent d'un conntrackd (c'est même moins "fiable").
Alors que tant les IP fixe que le A+P n'implique aucune conservation des connections individuelle des gens.
-
Pourquoi ne pas mettre en place un netflow ?
Parce-que:
- sampled netflow ca peut manquer des choses. Ca fait aussi un peu big-data
- full netflow : very big data.
Pour un petit FAI c'est dans tous les cas overkill.
Pour les plus grands c'est soit overkill soit ca fait pas le job.
Ca peut eventuellement passer que pour le TRES petits...
-
Il y a régulièrement des réquisition où les opérateurs mobile donnent des milliers de clients.
C'est aussi un argument pour IPv6 : cela évite que la justice s'intéresse à votre vie privée, car vous avez eu la malchance d'utiliser la même IP qu'un délinquant.
La police utilise ensuite différentes critères pour réduire la liste.
Pour le cas ci-dessous, il y a eu une erreur :
D'un autre côté, ça donne un peu conscience aux gens que sécuriser un wifi est important et/ou qu'on ne partage pas sa connexion avec n'importe qui. (c'est un peu comme les gens qui ont besoin de d'abord tout perdre avant d'envisager de faire des backups)
-
Ça n'a absolument aucun rapport avec le wifi !
-
Ça n'a absolument aucun rapport avec le wifi !
Je pense qu'il veut dire que si quelqu'un fait n'importe quoi sur ton réseau, la police te tombera dessus en premier avec tout ce que ça implique (accusation à tort, convocation, etc).
La situation sera sensiblement la même du moins dans un premier temps
-
Ça n'a absolument aucun rapport avec le wifi !
Vus que le pédophile en question a utilisé la même ipv4 que la personne en etant son voisin...
En Belgique, chaque abonné a sa propre IP publique au niveau de sa box. Je ne sais pas si en france il y a des cas ou c est une ipv4 publique pour plusieurs abonnés, mais si c est comme en Belgique, ca veut dire que soit il l a autorisé, soit il etait pas au courant. (Et vus qu il est souvent plus discret de se connecter à un WiFi pas sécurisé que d aller connecter un cable, je suppose que ça pourait etre une cause)
-
Ben tu n'as pas lu le post, on parle d'IP Partagées justement, partagées par le FAI entre plusieurs clients.