Auteur Sujet: BCP-162: logs, CGNat et cybercriminalité  (Lu 8671 fois)

0 Membres et 1 Invité sur ce sujet

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
BCP-162: logs, CGNat et cybercriminalité
« Réponse #24 le: 17 septembre 2019 à 08:03:33 »
CloudFlare est un intermédiaire technique qui fournit un service, s'ils ne peuvent pas fournir les infos à l'autorité judiciaire, c'est leur problème pas celui de R.

R. fournit les infos qu'il peut avoir à son niveau (visiblement sérieusement) et c'est bien logique.

R. n'est en effet tenu de conserver, lors de la création d'un message comme seule donnée technique (outre la date, l'heure, l'identifiant du message créé, le protocole) « l'identifiant de la connexion à l'origine de la communication », d'après le décret d'application de la LCEN n° 2011-219 du 25 février 2011.

La base de ce décret est l'article 6 de la LCEN.

Sa qualité d'hébergeur de forum est définie à l'alinéa 2 : « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services »

Sa responsabilité est limitée par ce même alinéa : « ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible »

Par contre, l'alinéa 8 peut l'obliger à faire davantage si l'autorité judiciaire le requiert : « L'autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne. »

On peut imaginer (supposition) que telle mesure peut inclure de changer l'infrastructure technique ou de fermer temporairement le forum, etc. sur demande d'un juge.

De même, l'alinéa 7 peut l'obliger à mettre en place des dispositifs supplèmentaires : « Les personnes mentionnées aux 1 et 2 ne sont pas soumises à une obligation générale de surveiller les informations qu'elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.

Le précédent alinéa est sans préjudice de toute activité de surveillance ciblée et temporaire demandée par l'autorité judiciaire.

Compte tenu de l'intérêt général attaché à la répression de [toutes sortes de contenus illicites], les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième, septième et huitième alinéas de l'article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et aux articles 222-33, 225-4-1, 225-5, 225-6, 227-23 et 227-24 et 421-2-5 du code pénal. »


Il oblige aussi à informer les autorités de certains signalements remontés par les utilisateurs : « A ce titre, elles doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données. Elles ont également l'obligation, d'une part, d'informer promptement les autorités publiques compétentes de toutes activités illicites mentionnées à l'alinéa précédent qui leur seraient signalées et qu'exerceraient les destinataires de leurs services, et, d'autre part, de rendre publics les moyens qu'elles consacrent à la lutte contre ces activités illicites. »



En comparaison, Cloudflare est une société de droit américain, il est compliqué de lui faire appliquer la LCEN. Le rapport de transparence de Cloudflare indique : « Beyond requests for the types of subscriber data described above, Cloudflare sometimes receives court orders for transactional data related to a customer’s account or a customer’s website, such as logs of the IP addresses visiting a customer’s website or the dates and times a customer may have contacted support.  Because Cloudflare retains such data for only a limited period of time, Cloudflare rarely has responsive data to provide to such requests. ».

Et : « Cloudflare evaluates on a case-by-case basis requests for subscriber information from governments outside the United States that do not come through the U.S. court system [...] In March 2018, the United States passed the Clarifying Lawful Overseas Use of Data (CLOUD) Act, which permits the U.S. government to enter into Executive Agreements with other governments to allow direct law enforcement access for both governments to data stored in the other country to investigate and prosecute certain crimes. The law permits countries that enter into such Agreements with the United States to seek content data from U.S. companies directly, using that country’s legal process, rather than requiring the country’s law enforcement agencies to work with U.S. law enforcement to get U.S. legal process such as a court order. »

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
BCP-162: logs, CGNat et cybercriminalité
« Réponse #25 le: 20 septembre 2019 à 11:14:25 »
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
BCP-162: logs, CGNat et cybercriminalité
« Réponse #26 le: 20 septembre 2019 à 11:21:20 »
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.
C'est aussi  ce que disaient/pensaient les mecs derrière T411...

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
BCP-162: logs, CGNat et cybercriminalité
« Réponse #27 le: 20 septembre 2019 à 11:32:34 »
En poussant un peu quoi, possibilité de migrer de DC en quelques scripts, infra flottantes, infra répartie géographiquement.
Le tout, avec le moins d'intermédiaires possibles (qui n'hésitent pas à te dénoncer), donc son propre AS, ses propres annonces, son propre matos etc...

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
BCP-162: logs, CGNat et cybercriminalité
« Réponse #28 le: 20 septembre 2019 à 11:40:03 »
En poussant un peu quoi, possibilité de migrer de DC en quelques scripts, infra flottantes, infra répartie géographiquement.
Le tout, avec le moins d'intermédiaires possibles (qui n'hésitent pas à te dénoncer), donc son propre AS, ses propres annonces, son propre matos etc...
;:
Je t'avoue que j'y avais pensé, ils n'avaient pas d'hébergeur à se mettre sous la dent.

Mais ca fait drôle d'avoir la copie de son contrat de LIR avec le RIPE, avec ma signature, avec les ressources assignées qui correspondent au WHOIS (pour prouver que j'ai bien demandé ces IP et que je les utilise) dans le dossier pénal qui a été constitué contre moi.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
BCP-162: logs, CGNat et cybercriminalité
« Réponse #29 le: 20 septembre 2019 à 11:45:31 »
Ouch ...

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
BCP-162: logs, CGNat et cybercriminalité
« Réponse #30 le: 20 septembre 2019 à 13:19:27 »
Si c'est hébergé en Europe, difficile se cacher.

Pour se cacher, il existe des datacenter au milieu de la mer, en dehors de toute réglementation nationale.
rien à voir avec le projet de Microsoft, les serveur sont une petite ile ou flotte sur une barge (pour l’électricité, cela tourne sur groupe)

Là problématique là ce sont les transitaires qui connectent ce datacenter à Internet.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
BCP-162: logs, CGNat et cybercriminalité
« Réponse #31 le: 20 septembre 2019 à 13:37:49 »
On est d'accord que tout ça, c'est du bullshit franco français ?
J'achète un domaine (pas en France), je fournis de fausses informations au whois, j'heberge pas en France ; toute mon infra est à l'étranger (si possible dans des panamas areas, bien imperméables) je risque donc qeudalle.

Ça dépend de la taille de la ruche dans laquelle tu tapes en mettant en ligne ton site, si c'est des abeilles Hollywoodiennes à plusieurs Md €, elles peuvent te poursuivre sur des kilomètres, même jusqu'à ton dédié en Europe de l'Est.

En fait, jusqu'à là les forces de l'ordre qui le veulent vraiment et qui ont des moyens/incitations importants derrière (assez pour avoir une incitation politique) n'ont jamais de soucis pour retrouver et faire tomber l'infrastructure derrière un site, même si ça leur prend plusieurs années de procédure, du moment que c'est quelque chose de clairement nuisible ils finissent toujours par avoir une collaboration internationale (bien souvent des fournisseurs techniques eux-mêmes).

Et retrouver les gens est généralement soit autant soit plus simple que retrouver l'infrastructure, le premier circuit qui grille les gens c'est le circuit financier (que ce soit celui qui paie l'infrastructure ou celui qui fait remonter les éventuels revenus publicitaires), après ça risque de devenir un peu plus compliqué de retracer les auteurs de sites à vocation illicite ces dix prochaines années avec l'essor des cryptomonnaies, mais pas tant que ça, bien souvent un serveur saisi permet à un expert forensic de retrouver bien assez d'informations pour identifier quelqu'un (que ce soit par les journaux purement techniques, les éventuels messages d'un forum privé...).

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
BCP-162: logs, CGNat et cybercriminalité
« Réponse #32 le: 20 septembre 2019 à 15:07:37 »
Oki merci des précisions ^^

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
BCP-162: logs, CGNat et cybercriminalité
« Réponse #33 le: 23 septembre 2019 à 15:36:58 »


Merci Vivien pour la présentation que je viens de regarder.

J'ai plusieurs remarques :

* parmi les solutions, celle développée est que les serveurs gardent le port source en plus de l'IP. Mais... heu.... ces forums sont par définition illégaux, donc on espère vraiment que les logs soient non seulement complets mais qu'en plus ils incluent le port source ? Sur une infra mutualisée "partagée", je veux bien, mais sinon...

* je viens de regarder. Sous Freebsd & Debian au moins, avec nginx le port source est pas loggué :

[nginx.conf-dist:    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
( ma config :  nginx.conf:    log_format  main  '$remote_addr:$remote_port - $remote_user [$time_local] "$server_name" "$request" ' )




* Enfin, la dernière question posée par l'assistance est selon moi pertinente : La police demande ces mesures pour attraper les pédophiles, puis s'en servent ensuite pour aller encabaner préventivement les "agitateurs" qui proposent de mettre le dawa au passage de macron, et tout de suite derrière t'a les ayants-droits qu'on entends hurler "Vous y arrivez bien pour les pédophiles, pourquoi vous mettez pas les mêmes moyens pour Céline Dion ?".

Ce problème , pour moi , rejoins un peu celui du FBI & du GCHQ qui veulent imposer des "contraintes" sur les algo de crypto qui sont implèmentable dans les appareils *et* transporté par les FAI : https://www.techdirt.com/articles/20181129/11090541132/gchq-propose-going-dark-workaround-that-creates-same-user-trust-problem-encryption-backdoors-do.shtml , de manière à toujours être en mesure de déchiffrer ce qui passe :
* Soit ils y arrivent , et ce sera utilisé pour tout & n'importe quoi,
* Soit ils y arrivent pas (parce que la technologie permet de se planquer) et dans ce cas le simple fait de vouloir utiliser ces algo deviendra suspicieux.

Enfin, rien n'empêche techniquement de faire du NAT derrière une seule IPv6, non ?


vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
BCP-162: logs, CGNat et cybercriminalité
« Réponse #34 le: 23 septembre 2019 à 17:43:59 »
C'est expliqué en fin de vidéo, de nombreux sites légaux sont utilisés pour sotcker des fichiers illégaux (via aille de sécurité dans l’application PHP)

=> il est donc utile de stocker le port source sur tous les sites.

La présentation était plus basés sur Europol que sur la police Française.
La position de la France et plus particulier de l'ANSSI est depuis longtemps de ne pas faire de compromis sur le chiffrement.

Avec l'arrivée de TLS 1.3, je pense que la partie est de toute façon écrite.
Des banques et des entreprises voulaient intégrer une porte dérobée afin de pouvoir analyser le trafic dans TLS 1.3, officiellement pour se prémunir d'attaque.
L'option n'a pas été retenue, car ce type de possibilité entraîne un risque sécurité non négligeable malgré les idées de tiers de confiance émises.


obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 668
  • Montgesty (46150)
    • Tetaneutral.net
BCP-162: logs, CGNat et cybercriminalité
« Réponse #35 le: 23 septembre 2019 à 19:05:57 »
C'est expliqué en fin de vidéo, de nombreux sites légaux sont utilisés pour stocker des fichiers illégaux (via aille de sécurité dans l’application PHP)
=> il est donc utile de stocker le port source sur tous les sites.

Dans ce cas, OK, et d'ailleurs effectivement je le fait moi-même .... :-)
(Bon, en plus, moi je fais de l'A+P (rfc6346) sur certains de mes réseaux, donc pour tester c'est indispensable).

Citer
La présentation était plus basés sur Europol que sur la police Française.
La position de la France et plus particulier de l'ANSSI est depuis longtemps de ne pas faire de compromis sur le chiffrement.
Avec l'arrivée de TLS 1.3, je pense que la partie est de toute façon écrite.

Je parlais de ça car , avec la promotion de DOH par mozilla ce dernier s'est fait sévèrement taclé par plusieurs structures UK:
https://www.telegraph.co.uk/news/2019/06/12/mozilla-firefox-browser-attacked-gchq-plans-would-create-yellow/

Mais en fait on est donc d'accord :  ici avec TLS1.3, l'IETF est encore plus active sur ce sujet que mozilla...

Ceci étant dit ça m'étonnerais que les agences gouvernementales lâchent ainsi l'affaire. De ce que j'ai lu & entendu , leur but serait de "compromettre légalement" les terminaux de manière à garder un accès au texte en clair à postériori, notamment par l'inclusion dans les API des OS de ces fonctions.
Comme, à coté de ça, pour se prémunir des malware , sécuriser les paiements & faire plaisir aux AD , les téléphones sont de + en + difficilement rootable (je parle même pas d'apple)...