La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Actus Orange => Discussion démarrée par: Fu Fu le 20 août 2014 à 21:19:09
-
Edit vivien : Hors sujet déplacé du post initial sur l'IP fixe chez Orange (https://lafibre.info/orange-les-news/ip-fixe-orange/)
Réponse rapide: impossible chez Orange. Car:
- le trafic sortant vers le port tcp/25 est bloqué, sauf vers les serveurs mail d'Orange, auxquels la NSA a bien sûr accès !
- le reverse personnalisé sur IP fixe: pas proposé.
Tu as une source sûre pour ça ?
-
Tu crois qu'on a besoin d'une source publique pour savoir que la DGSI/DGSE a accès aux mails sur les serveurs orange?
Y avait eu un article qui disait qu'il y avait quelques gens (~10) chez orange qui avaient un qualification secret défense, et qu'ils dialoguaient avec les services pour répondre à leurs demandes d'accès aux données. Dont l'accès aux mails des abonnés.
Ensuite, la DGSE a un partenariat d'échange de données avec les services US (CIA), qui transmettent à la NSA. Bien sûr les français sont ceux qui se font entuber dans l'affaire.
Donc la NSA a accès à tes mails sur le serveur orange.
PS: N'oubliez pas que l'actionnaire de référence d'orange, c'est l'Etat...
-
Oui enfin pour ça il faut déjà les intéresser ;)
-
La force de la NSA c'est la masse d'informations dont elle dispose.
Ce qui l'intéresse, c'est de savoir qui discute avec qui.
Donc elle prend les metadatas du maximum de courriels.
Dont les metadatas de tes courriels intéressent aussi la NSA.
-
Y avait eu un article qui disait qu'il y avait quelques gens (~10) chez orange qui avaient un qualification secret défense, et qu'ils dialoguaient avec les services pour répondre à leurs demandes d'accès aux données. Dont l'accès aux mails des abonnés.
Bon, en n'allait moins loin dans les délire de théorie du complot, il y a des obligations légales à laquelle tous (gros ?) les opérateurs doivent répondre. Ce qui explique des accès par des personnes habilités.
On peut le regretter mais c'est sur l'Etat qu'il faut taper et pas Orange !
-
ok donc ils ne vont pas être riche avec moi, hi hi hi.
Moins de 10 mail par an 8)
Et des banalité, mais promis les prochain je mets "terroriste" ds ma signature. Ça leur fera du boulot. ;D
Sinon le sujet est "IP Fixe Orange" ;)
-
Bon, en n'allait moins loin dans les délire de théorie du complot, il y a des obligations légales à laquelle tous (gros ?) les opérateurs doivent répondre. Ce qui explique des accès par des personnes habilités.
On peut le regretter mais c'est sur l'Etat qu'il faut taper et pas Orange !
Il n'y a pas d'obligation légale (pour l'instant, notre cher gouvernement va bientôt sortir une loi à la sauce surveillance pour tous) de répondre aux requêtes qui ne sont pas formulées par un juge.
Donc orange fait des trucs pas nets.
Désolé, mais comme mon asso est opérateur de télécoms, l'ARCEP nous a envoyé un joli courrier à propos des requêtes légales.
Et il n'est nul part question de qualification secret défense (ou confidentiel défense) nécessaires:
Faut "juste" "transmettre la liste des agents qualifiés pour la réalisation des opérations matérielles nécessaires aux interceptions judiciaires et de sécurité au procureur de la République" (j'ai réorganisé la phrase pour virer le blabla inutile).
Et le plus souvent (90% des cas), la requête c'est de filer le nom de l'abonné derrière une adresse IP.
J'ai posé la question à des copains opérateurs qui existent depuis longtemps (je ne fait référence à aucun opérateur précis bien entendu), et dans leur cas, le seul type de requête qu'ils ont eu c'est de donner le nom-prénom de l'abonné derrière une certaine IP. Et le profil de ces abonnés, dans l'ensemble, a plus de chance d'attirer l'attention de certains services, donc c'est de l'extra-judiciaire.
Orange est le plus grand spécialiste français pour transmettre des infos à des requêtes extra-judiciaires.
Ou aussi, donner plus d'infos à la police que ce qu'elle aurait dû recevoir. (La laisser faire son marché dans les datas d'un abonné, orange l'a fait).
Oui, c'est l'Etat qui est responsable, et c'est pour cela que nous devons agir. Soutenir La Quadrature Du Net est un très bon moyen. (http://lqdn.fr/ (http://lqdn.fr)).
-
C'est du grand n'importe quoi la politique d'orange de faire payer pour une ip fixe.
Il y a Internet, et Internet par Orange...
-
Bon, en n'allait moins loin dans les délire de théorie du complot, il y a des obligations légales à laquelle tous (gros ?) les opérateurs doivent répondre. Ce qui explique des accès par des personnes habilités.
On peut le regretter mais c'est sur l'Etat qu'il faut taper et pas Orange !
Les obligations légales n'ont rien à voir dans cette histoire.
D'ailleurs on ne sait pas bien dans quel cadre légal Orange "coopère" avec les "services".
-
Désolé, mais comme mon asso est opérateur de télécoms, l'ARCEP nous a envoyé un joli courrier à propos des requêtes légales.
Désolé mais comme ton asso n'est pas opérateur mobile ... ;)
Les obligations légales n'ont rien à voir dans cette histoire.
Ça reste à prouver.
D'ailleurs on ne sait pas bien dans quel cadre légal Orange "coopère" avec les "services".
C'est bien ce que je dis, on en sait rien -> faut montrer ce qui n'est pas clair.
-
Non, il reste à prouver que les obligations légales des opérateurs ont quelque chose à voir avec ce que fait Orange.
-
Pas de présomption d'innocence sur lafibre.info !
-
Pas pour Orange.
-
Pas pour les trucs pas nets de l'Etat.
-
Absolument.
-
La loi oblige les opérateurs à conserver les données suivantes sur un minimum de 1 an:
- Les informations permettant d'identifier l'utilisateur ;
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs ;
- Les données permettant d'identifier le ou les destinataires de la communication ;
(Un décret du 24 mars 2006,http://www.authsecu.com/log-fai-isp-operateur/log-fai-isp-operateur.php)
Tous les opérateurs, entreprise, cybercafé, hotel, .... doivent le faire (d'après la loi).
Donc faut pas rêver, c'est tous les opérateurs pareils et pas limité à la téléphonie.
-
Il y a une difference entre ces obligations legale et laisser open bar aux "services"
-
Ah oui, les cybercafés peuvent identifier l'utilisateur?
Grosseu blagueu
-
La loi oblige les opérateurs à conserver les données suivantes sur un minimum de 1 an:
- Les informations permettant d'identifier l'utilisateur ;
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs ;
- Les données permettant d'identifier le ou les destinataires de la communication ;
Simple:
- Nom, prénom, que l'on a recueilli avec un scan de la CNI
- ViaBOX (un routeur Tp-Link TL-WR841ND avec notre logo sur un sticker dessus)
- Uptime (selon les logs)
- Accès à Internet
- Euh, ça c'est de la surveillance, ça on fait pas, ça c'est de l'invention, désolé mais toute la FFDN a cherché quelles sont les obligations légales, et il en résulte que:
- Faut conserver 1 an les associations IP/Nom-prénom
- Si l'OPJ te demande après décision d'un juge de transmettre à la PJ l'ensemble du flux de communications d'un abonné tu dois être capable de le faire (tu peut le faire sur un routeur avec un miroring sur un port de tout les flux ayant pour origine/destination l'adresse IP de l'abonné surveillé).
- (j'ai sûrement oublié d'autres trucs, mais c'est les grandes lignes)
(Un décret du 24 mars 2006,http://www.authsecu.com/log-fai-isp-operateur/log-fai-isp-operateur.php)
Tous les opérateurs, entreprise, cybercafé, hotel, .... doivent le faire (d'après la loi).
Donc faut pas rêver, c'est tous les opérateurs pareils et pas limité à la téléphonie.
-
La loi oblige les opérateurs à conserver les données suivantes sur un minimum de 1 an:
- Les informations permettant d'identifier l'utilisateur ;
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs ;
- Les données permettant d'identifier le ou les destinataires de la communication ;
Pour internet, l'obligation est de pouvoir donner un nom ou une liste de nom pour une adresse IP associé a une date/heure (en 3G, il y a plusieurs clients simultanèment sur la même IP).
Quand je dis "nom," c'est toutes les informations sur l’abonné : Nom / Prénom / téléphone(s) / adresse postale / adresse(s) mail / compte bancaire / autre contrat souscrits / date de souscription.
-
Et donc comment font ils en 3G pour savoir qui a fait quoi ? un autre type de log ?
-
La coopération DGSE/DCRI <-> Orange se faisait hors de tout cadre légal. Il me semble que c'est le Canard Enchainé qui avait levé le loup. Cette coopération portait aussi bien sur la pose de boitiers d'écoutes téléphoniques dans les NRA (sans requète d'un juge !) que sur les services Internet d'Orange.
Rappel: la DGSE n'a normalement pas le droit d'intervenir sur le territoire français, c'est normalement le role de la DCRI (ex-RG).
-
En 3G ou pour les opérateurs en manque d'IPv4 qui font du Carrier Grade NAT, les opérateurs donnent plusieurs client en réponse a la requête.
Cela complique le travail de la police et pour Hadopi je pense que c'est mort...
-
D'ailleurs j'ai cru comprendre que si dans une requête le port est fourni, l'opérateur doit pouvoir donner un seul client.
-
Cela prend de la place si il faut stocker toutes les connexions TCP...
-
Le Monde avait révélé un PRISM à la française en juillet 2013 mais parle d'une surveillance généralisée et non propre à un opérateur. http://www.lemonde.fr/societe/article/2013/07/04/revelations-sur-le-big-brother-francais_3441631_3224.html (http://www.lemonde.fr/societe/article/2013/07/04/revelations-sur-le-big-brother-francais_3441631_3224.html)
En mars plusieurs articles sont parus sur une éventuelle collaboration plus étroite avec orange dont zdnet
http://www.zdnet.fr/actualites/ecoutes-la-dgse-et-orange-coopereraient-pleinement-39798801.htm (http://www.zdnet.fr/actualites/ecoutes-la-dgse-et-orange-coopereraient-pleinement-39798801.htm)
-
Pas pour Orange.
J'en ai sincèrement pas plus pour FREE ! ;)
http://www.lemonde.fr/societe/article/2013/07/04/revelations-sur-le-big-brother-francais_3441631_3224.html (http://www.lemonde.fr/societe/article/2013/07/04/revelations-sur-le-big-brother-francais_3441631_3224.html)
-
Enfin de compte, français et peu importe l'opérateur, on l'a dans le c*l !
:o
-
Enfin de compte, français et peu importe l'opérateur, on l'a dans le c*l !
:o
Si la DGSE pouvait trier dans la masse de mes mails les promos pour les fringues que ma femme n'a pas encore, ou les offres groupons des restos que j'aime bien, ça serait une valeur ajoutée :)
-
Pas de présomption d'innocence sur lafibre.info !
Vu le nombre de chefs accusations ils sont difficilement défendable. Connexion automatique non désactivable, aucune connexion sécurisée, mots de passes en clair...
Même google donne l'accès aux mails de ses utilisateurs aux autorités françaises sans vérifier le bon fondements des requêtes alors Orange...
-
Même google donne l'accès aux mails de ses utilisateurs aux autorités françaises sans vérifier le bon fondements des requêtes alors Orange...
Source?
-
Source?
Moi.
-
sans vérifier le bon fondements des requêtes
Comment tu fais ça ? Ta propre enquête de ton côté ? :p
-
Comment tu fais ça ? Ta propre enquête de ton côté ? :p
Pas vraiment une enquête, on va dire que j'ai été mis devant le fait accompli. Mais je ne peux pas raconter tout ça donc je vous laisse y croire ou pas.
-
Pas vraiment une enquête, on va dire que j'ai été mis devant le fait accompli. Mais je ne peux pas raconter tout ça donc je vous laisse y croire ou pas.
Je ne parle pas du cas précis, je te parle plutôt de "comment tu fais pour vérifier le fondement de la requête de [la police/la DGSE...] ?"
-
Cela prend de la place si il faut stocker toutes les connexions TCP...
Je ne crois pas que ça soit permis.
-
Je ne crois pas que ça soit permis.
Je ne pense pas que ça soit un problème pour eux (juste un avis perso) ::)
-
Je ne crois pas que ça soit permis.
Dans le cas d'une entreprise, c'est obligatoire avec durée de conservation jusqu'à 2 ans (recommandation de l'Europe, avec ça t'as ceinture et bretelles).
cf l'arret "BNP Paribas", quelques exemples :
http://www.droit-tic.com/juris/aff.php?id_juris=17 (http://www.droit-tic.com/juris/aff.php?id_juris=17)
http://blog.bee-ware.net/2012/04/10/le-labyrinthe-de-la-conservation-des-traces-informatiques/ (http://blog.bee-ware.net/2012/04/10/le-labyrinthe-de-la-conservation-des-traces-informatiques/)
Ce sont les vendeurs de disques durs qui sont content.
-
Obligatoire je ne suis pas sûr vu que pas mal de boites ne le font pas; mais certaines le font, aussi pour des raisons internes (disciplinaire pour confondre un employé qui vas, identification de qui a pu faire une fuite, etc.)
-
C'est devenu obligatoire de fait depuis l'arret BNP Paribas. Alors qu'en effet tout le monde ne le fait pas par manque d'information.
-
La loi oblige les opérateurs à conserver les données suivantes sur un minimum de 1 an:
- Les informations permettant d'identifier l'utilisateur ;
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs ;
- Les données permettant d'identifier le ou les destinataires de la communication ;
(Un décret du 24 mars 2006,http://www.authsecu.com/log-fai-isp-operateur/log-fai-isp-operateur.php)
Tous les opérateurs, entreprise, cybercafé, hotel, .... doivent le faire (d'après la loi).
Donc faut pas rêver, c'est tous les opérateurs pareils et pas limité à la téléphonie.
À l'unique condition d'avoir techniquement ces données .. ;)
-
C'est devenu obligatoire de fait depuis l'arret BNP Paribas. Alors qu'en effet tout le monde ne le fait pas par manque d'information.
La jurisprudence n'est PAS la loi.
Ce qu'une jurisprudence a fait, une autre peut le défaire. Rétroactivement!