La Fibre

Télécom => Réseau => reseau TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: vivien le 13 septembre 2019 à 13:21:51

Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 13 septembre 2019 à 13:21:51
Extrait du sujet FRnOG 33 le 13/09/2019
(https://lafibre.info/images/logo/logo_frnog.jpg) (https://lafibre.info/evenements/frnog-33/)

Pour ceux qui ne pourront pas se déplacer, voici ma présentation au FRnOG 33 :

(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.png) (https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.pdf)

Edit : la vidéo

https://www.dailymotion.com/video/x7lb287
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 13 septembre 2019 à 13:21:58
(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_1.png)

(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_2.png)

(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_3.png)

(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_4.png)

(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_5.png)

(https://lafibre.info/images/ipv6/ipv4_cgnat_1.jpg) (https://lafibre.info/images/ipv6/ipv4_cgnat_2.jpg)
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 15 septembre 2019 à 15:16:02
Intéressant comme présentation, ça fait un moment que je cherche aussi à logger les ports sources sur mes sites web pour éviter les problèmes liés aux cgnat en v4, mais le problème est que tous mes sites sont derrière Cloudflare, donc un proxy http... vous avez compris où est la couille. Il faudrait qu'il y ai un header HTTP qui forward le port source de chaque client, mais c'est pas le cas chez Cloudflare.
J'ai déjà réclamé plusieurs fois à Cloudflare qu'ils transmettent le port source des requêtes de chaque client mais à chaque fois ils m'ont refusé ma demande (apparemment la requête doit être faite par un membre "d'état"), donc c'est pas encore gagné pour tout logger correctement. :/
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Optix le 15 septembre 2019 à 16:27:02
Intéressant comme présentation, ça fait un moment que je cherche aussi à logger les ports sources sur mes sites web pour éviter les problèmes liés aux cgnat en v4, mais le problème est que tous mes sites sont derrière Cloudflare, donc un proxy http... vous avez compris où est la couille. Il faudrait qu'il y ai un header HTTP qui forward le port source de chaque client, mais c'est pas le cas chez Cloudflare.
J'ai déjà réclamé plusieurs fois à Cloudflare qu'ils transmettent le port source des requêtes de chaque client mais à chaque fois ils m'ont refusé ma demande (apparemment la requête doit être faite par un membre "d'état"), donc c'est pas encore gagné pour tout logger correctement. :/
Bah si Cloudflare peut pas le faire, mais toi si... pourquoi garder Cloudflare, en plus d'être un SPOF ?
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 15 septembre 2019 à 16:32:51
Bah si Cloudflare peut pas le faire, mais toi si... pourquoi garder Cloudflare, en plus d'être un SPOF ?
J'utilise Cloudflare pour son anti-DDoS volumétrique et ses fonctionnalités de cache, tout simplement, c'est le but de base de Cloudflare à la base. Je préfère payer 0€ pour un anti-DDoS qui fonctionne et un CDN qui fonctionne lui aussi, plutôt que m'emmerder à payer des prestations d'anti-DDoS de la part de l'hébergeur où je suis (car oui se bouffer 50Gbps par un mec acharné et attardé pendant des heures dans une instance Scaleway ça passe rarement bien)
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 15 septembre 2019 à 17:35:38
En cas de problème, les forces de l'ordre iront voir Cloudflare et pas toi.

Si Cloudflare garde bien les logs (IP + port source + horodatage + page consultée) un an, ils auront la réponse.

Maintenant les obligations sont plus coté FAI que coté hébergeur...

Europole souhaiterait que les fournisseurs de contenus (comme Cloudflare aient l'obligation de garder les logs, mais il me semble que ce n'est pas le cas aujourd'hui, même si certains sites le font volontiers - je pense a des sites bien connus avec des annonces entre particulier)
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 15 septembre 2019 à 17:41:00
Et bien ça dépend... car en l'occurrence pour un certain site, c'est bien moi qu'ils viennent voir.
Je gère un forum où je reçois une dizaine de réquisitions judiciaires chaque jour (hors week-end) de la part de l'OCLCTIC pour des contenus illicites postés par des membres. Ils n'ont jamais demandé quoi que ce soit à Cloudflare, ils ont récupéré mon identité en faisant une réquisition de mes données whois associées au nom de domaine. Je dois fournir l'adresse IP des membres associés aux réquisitions sur un hodoratage bien précis, ils m'ont également demandé de conserver les ports sources mais comme j'ai dit, je ne peux pas. C'est gênant.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 15 septembre 2019 à 18:01:32
On pourrait savoir la thématique de ton forum pour avoir une dizaine de réquisitions judiciaires chaque jour ?

Perso, j'ai déjà eu plusieurs fois des personnes qui disaient vouloir porter plainte, mais je n'ai jamais vu la moindre demande.

Ce forum existe portant depuis 2006.

SMF ne garde pas les ports, donc je garde les log Apache pour avoir les ports en cas de besoin.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 15 septembre 2019 à 18:09:00
Le forum n'a pas de thématique spécifique, c'est un forum de discussion lambda très actif où la modération est très light (ce qui explique pourquoi il y a autant de réquisitions quotidiennes, on a le droit à de tout et n'importe quoi, allant de la haine sur les origines jusqu'aux menaces de mort et également souvent des menaces de suicide), il n'est pas basé sur SMF mais a été développé from scratch en Node (donc simple d'intégrer un logueur de ports sources), mais on s'égare un peu du sujet.
Reste à noter que Cloudflare fout quand même bien dans la merde, car quand on a une réquisition pour un mec qui a posté via son portable en 4G... bah c'est une IP derrière un CGNAT. Dans ce genre de cas faut espérer que dans l'historique d'IPs du membre on puisse retrouver une autre IP où il a posté depuis son accès fixe (xDSL/fibre). Leur réclamer une implèmentation d'un header qui forward le port source ne mène à rien, ils veulent rien savoir.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 15 septembre 2019 à 18:16:25
Si tu donnes plusieurs IP du membre en question avec l'horodatage, il le retrouveront même avec du CG-NAT, si l'IP est dynamique.

1ér IP : Le FAI te revois 500 clients qui sont sur la même IP derrière le CG-Nat
2ème IP un autre jour : Le FAI te revois aussi 500 clients, mais ils sont tous différents de la 1er demande sauf trois.
3ème IP un autre jour : Le FAI te revois aussi 500 clients mais un seul membre est commun aux 3 IP : On sait donc qui c'est.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: xp25 le 15 septembre 2019 à 19:02:26
😁
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: buddy le 15 septembre 2019 à 21:13:47
Reste à noter que Cloudflare fout quand même bien dans la merde, car quand on a une réquisition pour un mec qui a posté via son portable en 4G... bah c'est une IP derrière un CGNAT. Dans ce genre de cas faut espérer que dans l'historique d'IPs du membre on puisse retrouver une autre IP où il a posté depuis son accès fixe (xDSL/fibre). Leur réclamer une implèmentation d'un header qui forward le port source ne mène à rien, ils veulent rien savoir.

Comme tu l'as dit cloudflare c'est 0$/mois ... Pourquoi développer en plus un truc (qui doit intéresser 1/100 000 webmaster) sur un service "gratuit" qui fonctionne plutôt bien ?
Sans compter que pour Cloudflare c'est peut être pas si simple que çà de faire une modif sur l'infra en place.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 15 septembre 2019 à 21:19:28
Comme tu l'as dit cloudflare c'est 0$/mois ... Pourquoi développer en plus un truc (qui doit intéresser 1/100 000 webmaster) sur un service "gratuit" qui fonctionne plutôt bien ?
Sans compter que pour Cloudflare c'est peut être pas si simple que çà de faire une modif sur l'infra en place.
Pour ma part si je leur ai demandé d'implèmenter ça c'est tout simplement parce que l'OCLCTIC m'ont à moitié gueulé dessus car j'enregistre pas les ports sources (c'est sûr que ça doit compliquer le travail et mener à des recherches sur plusieurs IP comme a expliqué vivien), Cloudflare m'ont dit que ce sera implèmenté uniquement si c'est un membre "d'état" (donc du gouvernement français si j'ai bien compris) qui en fait la requête. Ils envoient bien un header CF-Connecting-IP avec l'IP source forwardée, donc pourquoi pas le port source ? Après certes c'est un service gratuit, ils n'y gagneraient probablement pas grand chose.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Marin le 15 septembre 2019 à 23:03:16
Pour ma part si je leur ai demandé d'implèmenter ça c'est tout simplement parce que l'OCLCTIC m'ont à moitié gueulé dessus car j'enregistre pas les ports sources (c'est sûr que ça doit compliquer le travail et mener à des recherches sur plusieurs IP comme a expliqué vivien), Cloudflare m'ont dit que ce sera implèmenté uniquement si c'est un membre "d'état" (donc du gouvernement français si j'ai bien compris) qui en fait la requête. Ils envoient bien un header CF-Connecting-IP avec l'IP source forwardée, donc pourquoi pas le port source ? Après certes c'est un service gratuit, ils n'y gagneraient probablement pas grand chose.

Solutions simples :
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Fyr le 16 septembre 2019 à 00:23:07
Pour ma part si je leur ai demandé d'implèmenter ça c'est tout simplement parce que l'OCLCTIC m'ont à moitié gueulé dessus car j'enregistre pas les ports sources (c'est sûr que ça doit compliquer le travail et mener à des recherches sur plusieurs IP comme a expliqué vivien), Cloudflare m'ont dit que ce sera implèmenté uniquement si c'est un membre "d'état" (donc du gouvernement français si j'ai bien compris) qui en fait la requête. Ils envoient bien un header CF-Connecting-IP avec l'IP source forwardée, donc pourquoi pas le port source ? Après certes c'est un service gratuit, ils n'y gagneraient probablement pas grand chose.


Bah si c'est une comm rogatoire y a pas plus officiel. 2 choix :
1 - tu renvoies ta réponse à la comm rogatoire en expliquant que tenu compte de ton archi il n'y a pas de réponse à la question, et que si réponse il y a elle serait chez Cloudflare en ce qui concerne les ports permettant d'avancer. Tu peux te conformer à leur demande de loguer les ports ils n'ont pas exigé qu'ils soient pertinents.
2 - tu transmets la comm rogatoire à Clouflare en leur demandant les infos. Qu'ils ont probablement pas devant la volumétrie des logs et de l'emmerdement apporté par l'existence de ces logs à gérer les commissions rogatoires ou des capacités de l'infras à pondre du log. Et te faire bouler une fois de plus.
2 bis : vous chopez le cyberprefet pour lui demander de monter une réunion avec les ingés de cloudflare et un des services de l'Intérieur compétent, vu que ca intéresse un peu "ses services" d'avoir une réponse aux comm rogatoires pour avancer sur les enquêtes. Et vous lui expliquez que dans l'attente : comm rogatoire et victimes -> poubelle.

En même temps c'est super cool de la part de Cloudflare si on est dans le camps des méchants : on s'abonne à leur services gratos et HOP plus d'inquiétude on peut faire du cybercrime occulté derrière du CG-NAT. Et vue de l'OCLCTIC vous êtes un délinquant qui essaye d'échapper ou de couvrir, pour ça qu'ils couinent. Pour l'instant ils sont pas agacés au point d'aller saisir vos serveurs, mais à 10 comm rogatoire/jour ca devient un métier là et super pas passionnant pour vous.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 16 septembre 2019 à 10:05:24
Mets l'OCLCTIC en contact avec CloudFlare et roulez jeunesse.
Je pense que c'est la bonne solution.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Optix le 16 septembre 2019 à 11:19:16
En même temps c'est super cool de la part de Cloudflare si on est dans le camps des méchants : on s'abonne à leur services gratos et HOP plus d'inquiétude on peut faire du cybercrime occulté derrière du CG-NAT. Et vue de l'OCLCTIC vous êtes un délinquant qui essaye d'échapper ou de couvrir, pour ça qu'ils couinent. Pour l'instant ils sont pas agacés au point d'aller saisir vos serveurs, mais à 10 comm rogatoire/jour ca devient un métier là et super pas passionnant pour vous.
Non, ça ne marche pas comme ça.

Les forces de l'ordre se focalisent beaucoup sur le nom de domaine, car le bureau d'enregistrement détient des informations plus intéressantes : qui a déposé (zut un nom bidon), quelle carte bancaire a servi (et chez qui a-t-elle encore servi ? Online, bah tiens), quelles IP se sont enregistrées (zut un VPN, on va demander au presta de VPN (et TOUS répondent)). En gros, ils évitent de demander à CF, ça sert pas à grand chose selon eux. La connerie qui te fera tomber, tu l'as déjà faite avant de paramétrer ton proxy. :)

En l'espèce, si "R." est incapable de fournir les infos, c'est évidemment pour sa tronche. C'est sa décision d'avoir mis du CF devant, personne ne l'a obligé à cela, et il sait que ça occulte certaines infos importantes, et sachant cela, il persiste à l'utiliser.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Stilnox le 16 septembre 2019 à 13:03:06
"personne ne l'a obligé à cela" -> disons qu'un acharné qui s'amuse à DDoS des journées ça m'a bien obligé à un moment à faire appel à un service d'anti-DDoS, et je pense que Cloudflare sont un des plus connus. A la base le site était hébergé sur une instance Scaleway accessible directement sans proxy comme CF.
Dans tous les cas le site est hébergé en France et les données whois sont toutes legit, la PJ (donc au dessus de l'OCLCTIC) m'ont carrèment dit que ce forum leur est utile car il leur fait office "d'honeypot", on nous a plus ou moins expliqué que c'est pour ça qu'il n'est pas fermé.

Sinon intéressant pour ta seconde option Marin, j'avais jamais trop touché au webrtc et il s'avère qu'effectivement c'est une belle mine d'or en terme d'infos côté client. Reste juste le problème qu'un mec peut bloquer/modifier l'appel à l'endpoint qui log les données.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Optix le 16 septembre 2019 à 13:16:56
on nous a plus ou moins expliqué que c'est pour ça qu'il n'est pas fermé.
Ouch, tu es déjà bien dans le collimateur alors. Suffit que ta tête ne revienne pas au prochain magistrat et qu'il en décide autrement...  :-X
(j'étais déjà dans cette situation et j'ai tout pris dans la gueule...)

Sinon intéressant pour ta seconde option Marin, j'avais jamais trop touché au webrtc et il s'avère qu'effectivement c'est une belle mine d'or en terme d'infos côté client. Reste juste le problème qu'un mec peut bloquer/modifier l'appel à l'endpoint qui log les données.
Selon moi, c'est pas la solution car :
- effctivement le WebRTC demande la permission d'échanger de la data, audio ou vidéo. Quand je me balade sur un forum, et que soudainemetn mon navigateur me demande ça... soit je me casse, soit je refuse.
- et aussi, du coup on voit ta véritable IP de ton serveur, c'est vraiment ce que tu veux ?
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Marin le 16 septembre 2019 à 13:52:46
- et aussi, du coup on voit ta véritable IP de ton serveur, c'est vraiment ce que tu veux ?

Nope, la 1ère étape de l'échange WebRTC c'est de taper sur un serveur STUN (STUN est un protocole sur UDP qui permet d'obtenir des informations sur les options de contournement de NAT possibles) public, en général celui de Mozilla ou de Google (il suffit d'en spécifier un lors de la création de l'objet RTCPeerConnection pour avoir l'IPv4 publique derrière un NAT).

La véritable adresse IP du serveur qui sert le Javascript, et qui reçoit les informations SDP en retour, n'a pas à être révélée.

- effctivement le WebRTC demande la permission d'échanger de la data, audio ou vidéo. Quand je me balade sur un forum, et que soudainemetn mon navigateur me demande ça... soit je me casse, soit je refuse.

Je viens de tester avec les dernières versions de Chrome ou de Firefox, il n'y a pas d'autorisation de demandée lors de l'appel à createOffer() ou setLocalDescription(). Seul l'usage du microphone ou de la webcam, quand il est demandé explicitement, requiert une autorisation explicite.

WebRTC peut être bloqué correctement en modifiant les paramètres avancés du navigateur, et l'obtention de la description SDP locale demandera une autorisation lors de l'utilisation de certains clients comme Tor Browser, mais à ma connaissance c'est une fonctionnalité spécifique à Tor Browser (et si ton utilisateur utilise Tor Browser, son numéro de port n'est probablement déjà plus d'une grande utilité à l'OCLCTIC).

Dans tous les cas le site est hébergé en France et les données whois sont toutes legit, la PJ (donc au dessus de l'OCLCTIC) m'ont carrèment dit que ce forum leur est utile car il leur fait office "d'honeypot", on nous a plus ou moins expliqué que c'est pour ça qu'il n'est pas fermé.

C'est intéressant, j'avais déjà entendu ce discours venant de l'OCLCTIC (pas pour un truc à moi).

Sinon intéressant pour ta seconde option Marin, j'avais jamais trop touché au webrtc et il s'avère qu'effectivement c'est une belle mine d'or en terme d'infos côté client. Reste juste le problème qu'un mec peut bloquer/modifier l'appel à l'endpoint qui log les données.

Il suffit de s'assurer que l'adresse IP matche avec celle observée concernant le client pour ne pas polluer la base (quoique tu perds des cas intéressants où WebRTC contourne le proxy/VPN en place), ensuite il n'y pas grand chose à polluer s'il s'agit d'envoyer un entier entre 0 et 65535, ou alors le mec a déjà les connaissances techniques pour se protéger un peu plus que ça.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: cali le 16 septembre 2019 à 15:22:34
J'ai pas trop aimé cette présentation Vivien, ça fait un peu trop à la solde du gouvernment.

Si il y a des vrais méchants à arrêter il faut de vrais enquêteurs, ils se débrouilleront sans la gestapo.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 16 septembre 2019 à 15:40:54
Je n'ai pas donné d'exemple relevant du terrorisme, car là c'est pas le CGNat qui va arrêter les enquêteurs.

Mais pour des affaires courantes jusqu'à la pédophilie, c'est un vrai problème le CGNat.

Il y a une précision que j'ai donné à l'oral, mais cela manque quand on regarde les slides: les solutions évoquées par Europol "court terme" et "moyen terme" ne sont pas du ressort de l'Arcep, c'est uniquement la solution long terme qui rentre dans les compétences de l'Arcep et c'est 15 - 20 ans minimum avant que les FAI ne proposent plus de connectivité IPv4, d'où des réactions sur twitter lors de précédentes discussion avant l'été "C'est beaucoup trop long terme comme approche... En attendant, BCP-162 ca va prendre 3% de disque (donc rien) en plus sur tous les webs, sondes, firewalls et LBs de la planète, mais c'est mieux pour les enfants."

(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite_2.png)
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: underground78 le 16 septembre 2019 à 23:15:27
Non, ça ne marche pas comme ça.
Je suis assez persuadé que si. CloudFlare est un intermédiaire technique qui fournit un service, s'ils ne peuvent pas fournir les infos à l'autorité judiciaire, c'est leur problème pas celui de R.

R. fournit les infos qu'il peut avoir à son niveau (visiblement sérieusement) et c'est bien logique.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: buddy le 17 septembre 2019 à 00:16:23
Mais Cloudflare à besoin de r. Non ? Sinon comment identifier qui a posté sur le topic y a l'heure h. (sans les logs du forum avec l'ip associée au message, c'est une aiguille dans une botte de foin..)
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Marin le 17 septembre 2019 à 08:03:33
CloudFlare est un intermédiaire technique qui fournit un service, s'ils ne peuvent pas fournir les infos à l'autorité judiciaire, c'est leur problème pas celui de R.

R. fournit les infos qu'il peut avoir à son niveau (visiblement sérieusement) et c'est bien logique.

R. n'est en effet tenu de conserver, lors de la création d'un message comme seule donnée technique (outre la date, l'heure, l'identifiant du message créé, le protocole) « l'identifiant de la connexion à l'origine de la communication », d'après le décret d'application de la LCEN n° 2011-219 du 25 février 2011 (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id).

La base de ce décret est l'article 6 de la LCEN (https://www.legifrance.gouv.fr/affichTexteArticle.do;?idArticle=LEGIARTI000032400316&cidTexte=LEGITEXT000005789847).

Sa qualité d'hébergeur de forum est définie à l'alinéa 2 : « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services »

Sa responsabilité est limitée par ce même alinéa : « ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible »

Par contre, l'alinéa 8 peut l'obliger à faire davantage si l'autorité judiciaire le requiert : « L'autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne. »

On peut imaginer (supposition) que telle mesure peut inclure de changer l'infrastructure technique ou de fermer temporairement le forum, etc. sur demande d'un juge.

De même, l'alinéa 7 peut l'obliger à mettre en place des dispositifs supplèmentaires : « Les personnes mentionnées aux 1 et 2 ne sont pas soumises à une obligation générale de surveiller les informations qu'elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.

Le précédent alinéa est sans préjudice de toute activité de surveillance ciblée et temporaire demandée par l'autorité judiciaire.

Compte tenu de l'intérêt général attaché à la répression de [toutes sortes de contenus illicites], les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième, septième et huitième alinéas de l'article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et aux articles 222-33, 225-4-1, 225-5, 225-6, 227-23 et 227-24 et 421-2-5 du code pénal. »

Il oblige aussi à informer les autorités de certains signalements remontés par les utilisateurs : « A ce titre, elles doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données. Elles ont également l'obligation, d'une part, d'informer promptement les autorités publiques compétentes de toutes activités illicites mentionnées à l'alinéa précédent qui leur seraient signalées et qu'exerceraient les destinataires de leurs services, et, d'autre part, de rendre publics les moyens qu'elles consacrent à la lutte contre ces activités illicites. »



En comparaison, Cloudflare est une société de droit américain, il est compliqué de lui faire appliquer la LCEN. Le rapport de transparence (https://www.cloudflare.com/media/pdf/transparency-report.pdf) de Cloudflare indique : « Beyond requests for the types of subscriber data described above, Cloudflare sometimes receives court orders for transactional data related to a customer’s account or a customer’s website, such as logs of the IP addresses visiting a customer’s website or the dates and times a customer may have contacted support.  Because Cloudflare retains such data for only a limited period of time, Cloudflare rarely has responsive data to provide to such requests. ».

Et : « Cloudflare evaluates on a case-by-case basis requests for subscriber information from governments outside the United States that do not come through the U.S. court system [...] In March 2018, the United States passed the Clarifying Lawful Overseas Use of Data (CLOUD) Act, which permits the U.S. government to enter into Executive Agreements with other governments to allow direct law enforcement access for both governments to data stored in the other country to investigate and prosecute certain crimes. The law permits countries that enter into such Agreements with the United States to seek content data from U.S. companies directly, using that country’s legal process, rather than requiring the country’s law enforcement agencies to work with U.S. law enforcement to get U.S. legal process such as a court order. »
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: doctorrock le 20 septembre 2019 à 11:14:25
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Optix le 20 septembre 2019 à 11:21:20
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.
C'est aussi  ce que disaient/pensaient les mecs derrière T411...
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: doctorrock le 20 septembre 2019 à 11:32:34
En poussant un peu quoi, possibilité de migrer de DC en quelques scripts, infra flottantes, infra répartie géographiquement.
Le tout, avec le moins d'intermédiaires possibles (qui n'hésitent pas à te dénoncer), donc son propre AS, ses propres annonces, son propre matos etc...
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Optix le 20 septembre 2019 à 11:40:03
En poussant un peu quoi, possibilité de migrer de DC en quelques scripts, infra flottantes, infra répartie géographiquement.
Le tout, avec le moins d'intermédiaires possibles (qui n'hésitent pas à te dénoncer), donc son propre AS, ses propres annonces, son propre matos etc...
;:
Je t'avoue que j'y avais pensé, ils n'avaient pas d'hébergeur à se mettre sous la dent.

Mais ca fait drôle d'avoir la copie de son contrat de LIR avec le RIPE, avec ma signature, avec les ressources assignées qui correspondent au WHOIS (pour prouver que j'ai bien demandé ces IP et que je les utilise) dans le dossier pénal qui a été constitué contre moi.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: doctorrock le 20 septembre 2019 à 11:45:31
Ouch ...
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 20 septembre 2019 à 13:19:27
Si c'est hébergé en Europe, difficile se cacher.

Pour se cacher, il existe des datacenter au milieu de la mer, en dehors de toute réglementation nationale.
rien à voir avec le projet de Microsoft, les serveur sont une petite ile ou flotte sur une barge (pour l’électricité, cela tourne sur groupe)

Là problématique là ce sont les transitaires qui connectent ce datacenter à Internet.
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: Marin le 20 septembre 2019 à 13:37:49
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.

Ça dépend de la taille de la ruche dans laquelle tu tapes en mettant en ligne ton site, si c'est des abeilles Hollywoodiennes à plusieurs Md €, elles peuvent te poursuivre sur des kilomètres, même jusqu'à ton dédié en Europe de l'Est.

En fait, jusqu'à là les forces de l'ordre qui le veulent vraiment et qui ont des moyens/incitations importants derrière (assez pour avoir une incitation politique) n'ont jamais de soucis pour retrouver et faire tomber l'infrastructure derrière un site, même si ça leur prend plusieurs années de procédure, du moment que c'est quelque chose de clairement nuisible ils finissent toujours par avoir une collaboration internationale (bien souvent des fournisseurs techniques eux-mêmes).

Et retrouver les gens est généralement soit autant soit plus simple que retrouver l'infrastructure, le premier circuit qui grille les gens c'est le circuit financier (que ce soit celui qui paie l'infrastructure ou celui qui fait remonter les éventuels revenus publicitaires), après ça risque de devenir un peu plus compliqué de retracer les auteurs de sites à vocation illicite ces dix prochaines années avec l'essor des cryptomonnaies, mais pas tant que ça, bien souvent un serveur saisi permet à un expert forensic de retrouver bien assez d'informations pour identifier quelqu'un (que ce soit par les journaux purement techniques, les éventuels messages d'un forum privé...).
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: doctorrock le 20 septembre 2019 à 15:07:37
Oki merci des précisions ^^
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: obinou le 23 septembre 2019 à 15:36:58


Merci Vivien pour la présentation que je viens de regarder.

J'ai plusieurs remarques :

* parmi les solutions, celle développée est que les serveurs gardent le port source en plus de l'IP. Mais... heu.... ces forums sont par définition illégaux, donc on espère vraiment que les logs soient non seulement complets mais qu'en plus ils incluent le port source ? Sur une infra mutualisée "partagée", je veux bien, mais sinon...

* je viens de regarder. Sous Freebsd & Debian au moins, avec nginx le port source est pas loggué :

[nginx.conf-dist:    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
( ma config :  nginx.conf:    log_format  main  '$remote_addr:$remote_port - $remote_user [$time_local] "$server_name" "$request" ' )




* Enfin, la dernière question posée par l'assistance est selon moi pertinente : La police demande ces mesures pour attraper les pédophiles, puis s'en servent ensuite pour aller encabaner préventivement les "agitateurs" qui proposent de mettre le dawa au passage de macron, et tout de suite derrière t'a les ayants-droits qu'on entends hurler "Vous y arrivez bien pour les pédophiles, pourquoi vous mettez pas les mêmes moyens pour Céline Dion ?".

Ce problème , pour moi , rejoins un peu celui du FBI & du GCHQ qui veulent imposer des "contraintes" sur les algo de crypto qui sont implèmentable dans les appareils *et* transporté par les FAI : https://www.techdirt.com/articles/20181129/11090541132/gchq-propose-going-dark-workaround-that-creates-same-user-trust-problem-encryption-backdoors-do.shtml , de manière à toujours être en mesure de déchiffrer ce qui passe :
* Soit ils y arrivent , et ce sera utilisé pour tout & n'importe quoi,
* Soit ils y arrivent pas (parce que la technologie permet de se planquer) et dans ce cas le simple fait de vouloir utiliser ces algo deviendra suspicieux.

Enfin, rien n'empêche techniquement de faire du NAT derrière une seule IPv6, non ?

Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 23 septembre 2019 à 17:43:59
C'est expliqué en fin de vidéo, de nombreux sites légaux sont utilisés pour sotcker des fichiers illégaux (via aille de sécurité dans l’application PHP)

=> il est donc utile de stocker le port source sur tous les sites.

La présentation était plus basés sur Europol que sur la police Française.
La position de la France et plus particulier de l'ANSSI est depuis longtemps de ne pas faire de compromis sur le chiffrement.

Avec l'arrivée de TLS 1.3, je pense que la partie est de toute façon écrite.
Des banques et des entreprises voulaient intégrer une porte dérobée afin de pouvoir analyser le trafic dans TLS 1.3, officiellement pour se prémunir d'attaque.
L'option n'a pas été retenue, car ce type de possibilité entraîne un risque sécurité non négligeable malgré les idées de tiers de confiance émises.

Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: obinou le 23 septembre 2019 à 19:05:57
C'est expliqué en fin de vidéo, de nombreux sites légaux sont utilisés pour stocker des fichiers illégaux (via aille de sécurité dans l’application PHP)
=> il est donc utile de stocker le port source sur tous les sites.

Dans ce cas, OK, et d'ailleurs effectivement je le fait moi-même .... :-)
(Bon, en plus, moi je fais de l'A+P (rfc6346) sur certains de mes réseaux, donc pour tester c'est indispensable).

Citer
La présentation était plus basés sur Europol que sur la police Française.
La position de la France et plus particulier de l'ANSSI est depuis longtemps de ne pas faire de compromis sur le chiffrement.
Avec l'arrivée de TLS 1.3, je pense que la partie est de toute façon écrite.

Je parlais de ça car , avec la promotion de DOH par mozilla ce dernier s'est fait sévèrement taclé par plusieurs structures UK:
https://www.telegraph.co.uk/news/2019/06/12/mozilla-firefox-browser-attacked-gchq-plans-would-create-yellow/

Mais en fait on est donc d'accord :  ici avec TLS1.3, l'IETF est encore plus active sur ce sujet que mozilla...

Ceci étant dit ça m'étonnerais que les agences gouvernementales lâchent ainsi l'affaire. De ce que j'ai lu & entendu , leur but serait de "compromettre légalement" les terminaux de manière à garder un accès au texte en clair à postériori, notamment par l'inclusion dans les API des OS de ces fonctions.
Comme, à coté de ça, pour se prémunir des malware , sécuriser les paiements & faire plaisir aux AD , les téléphones sont de + en + difficilement rootable (je parle même pas d'apple)...

 
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: renaud07 le 23 septembre 2019 à 19:57:19
Ceci étant dit ça m'étonnerais que les agences gouvernementales lâchent ainsi l'affaire. De ce que j'ai lu & entendu , leur but serait de "compromettre légalement" les terminaux de manière à garder un accès au texte en clair à postériori, notamment par l'inclusion dans les API des OS de ces fonctions.

Je repense à Linus qui à la question "Avez vous été approché par les USA pour inclure une backdoor dans Linux ?" a répondu non, avec un grand oui de la tête...  ;D
Titre: BCP-162: logs, CGNat et cybercriminalité
Posté par: vivien le 19 novembre 2019 à 12:06:20
A partir du 12 décembre 2019, Amazon CloudFront ajoute le nouveau champ suivant :

 • c-port – The port number of the request from the viewer.