Auteur Sujet: Europol appelle à la fin des CG-Nat. IPv6 pour résoudre les enquêtes criminelles  (Lu 2681 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Europol appelle à la fin des CG-Nat afin de pouvoir identifier un individu par son IPv4

Le 13 octobre 2017, la présidence estonienne du Conseil de l'UE et Europol a organisé un atelier auquel ont participé 35 décideurs politiques et responsables de l'application des lois de l'UE pour répondre au problème croissant de l'attribution non liée à la criminalité associé à l’utilisation grandissante des Carrier Grade Network Address Translation (CGN) par les entreprises qui fournissent un accès à Internet.

Pour rappel, CGN est une technologie couramment utilisée par les opérateurs afin de pouvoir tirer le maximum de leurs stocks restant d’adresses IPv4.

Sur Internet, chaque appareil connecté a besoin d'une adresse IP. Cependant, le nombre d'adresses IPv4 est limité et insuffisant pour répondre à l'explosion de la demande de nouvelles adresses pour les appareils connectés, y compris les objets connectés et les smartphones. Une nouvelle version, notamment IPv6, qui fournit un nombre illimité d'adresses IP est disponible, mais la transition d'IPv4 à IPv6 nécessite que les fournisseurs d’accès Internet ainsi que les fournisseurs de contenu Internet (sites Web, médias sociaux, services mail, etc.) effectuent à la fois des mises à jour logicielles, mais également matérielles.

Aussi, pour résoudre ce problème, les fournisseurs d'accès Internet ont adopté les technologies CGN qui permettent le partage d'adresses IPv4 avec plusieurs utilisateurs d'Internet (dans certains cas plusieurs milliers). Si CGN est assez peu courant sur les connexions Internet de type box, elle est en revanche extrêmement populaire sur les réseaux mobiles.

CGN était censée être une solution temporaire jusqu'à ce que la transition vers IPv6 soit terminée, mais pour certains opérateurs, la solution est devenue un substitut à la transition IPv6. Malgré le fait que IPv6 soit disponible depuis plus de cinq ans, de plus en plus de FAI utilisent les technologies CGN (90 % pour l'Internet mobile et 50 % pour la ligne fixe) au lieu d'adopter la nouvelle norme.

Le problème ? « Il est devenu techniquement impossible pour les fournisseurs de services Internet de se conformer aux ordres légaux qui les intiment d’identifier des abonnés individuels. Cela est pertinent, car dans les enquêtes criminelles, une adresse IP est souvent la seule information qui puisse lier un crime à un individu. Cela pourrait signifier que les individus ne peuvent plus être distingués par leur adresse IP, ce qui peut conduire à des enquêtes sur des individus innocents par les forces de l'ordre parce qu'ils partagent leur adresse IP avec plusieurs milliers d'autres personnes parmi lesquelles figurent potentiellement des criminels. »

Dans son communiqué, Europol explique que l'impossibilité d'identifier les abonnés sur la base d'une adresse IP a mis la justice et les autorités judiciaires européennes dans une situation difficile et complexe créant un vide de sécurité publique et mettant en danger la vie privée des citoyens, car elle force les autorités judiciaires et policières à enquêter sur beaucoup plus de personnes que ce qui serait normalement nécessaire.

Europol a souligné que « Chaque crime pour lequel un appareil connecté est utilisé peut être affecté : terrorisme, cybercriminalité, trafic de drogue, exploitation sexuelle d'enfants en ligne, immigration illégale facilitée, meurtre ou fraude, et tous les États membres de l'UE sont concernés. »

Rob Wainwright, le directeur d’Europol, a estimé que « La technologie CGN a créé un sérieux manque de capacités en ligne dans les efforts d'application de la loi pour enquêter sur la criminalité et attribuer la criminalité. 90 % des fournisseurs d'accès Internet mobile ont adopté une technologie qui les empêche de se conformer à leurs obligations légales d'identification des abonnés individuels. Au nom de la communauté européenne d'application de la loi, Europol est reconnaissant à la présidence estonienne du Conseil de l'UE pour sa recherche de solutions face à ce problème urgent avec les parties prenantes de l'UE et de l'industrie. »

Steven Wilson, directeur du Centre européen de lutte contre la cybercriminalité d'Europol, a ajouté : « S’assurer que les enquêtes des forces de l’ordre de l'UE sont efficaces et conduisent à l'arrestation des parties responsables est l'une des principales fonctions d'Europol. Les problèmes résultant du CGN, en particulier la non-attribution de groupes et d'individus malveillants, devraient être résolus. »


Source : Developpez.com Le 19 octobre 2017, par Stéphane le calme.

Communiqué d'Europol (en Anglais) : Are you sharing the same IP address as a criminal? Law enforcement call for the end of Carrier Grade NAT (CGN) to increase accountability online


Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
Citer
Le problème ? « Il est devenu techniquement impossible pour les fournisseurs de services Internet de se conformer aux ordres légaux qui les intiment d’identifier des abonnés individuels.
Il n'y a aucun problème.

Les FAI savent très bien identifier les gens derrière une IPv4. S'il y a une difficulté, c'est bien côté des enquêteurs, à savoir, "identifier-moi telle IP", euh ouaip d'accord, mais quel horodatage exact et quel port source ? Trop souvent, le port source est oublié (pour l'horodatage, c'est douteux, car trop imprécis sans NTP)

Quant à l'IPv6, c'est bien beau sur le papier, mais dans les faits, les enquêteurs et juges sont largués car pas compétents sur ce protocole et les SI ne sont pas compatibles pour chopper l'info.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
CG-Nat = une même IPv4 publique utilisé par plusieurs clients a un instant T

Le principal problème, c'est que la majorité des outils ne loguent que l'IP et pas le port associé. Apache par exemple de log pas le port par défaut. C'est facile à rajouter mais comme cela n'est pas fait par défaut, peu le font.

Je ne suis même pas sur que tous les opérateurs puissent identifier un client précis si on donne IP + port source + horodatage précis.

Pour Apache 2.4, il faut :

1/ créer un fichier  /etc/apache2/conf-available/log-personnalise.conf
# Customized log with display of TCP source port (%{remote}p) and TCP destination port (%{local}p)
LogFormat "%h %{remote}p %{local}p %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combiport

2/ Activer la conf : a2enconf log-personnalise

3/ Modifier les fichier de configuration en spécifiant un type de log "combiport" :
CustomLog "${APACHE_LOG_DIR}/apache2-default-access.log" combiport
4/ Recharger la configuration Apache2 : systemctl reload apache2