Auteur Sujet: Système de Logs Réseaux pour borne WiFi dans un lieu public (Lu 27543 fois)

vivien · « **Réponse #36 le:** 11 septembre 2019 à 18:04:15 »

Citation de: Hugues le 01 septembre 2019 à 21:25:23

Vu que chaque IP privée a 100 ports affectés, je peux tracer port -> MAC et refiler ça à la justice, ça leur va très bien !

Et je ne log aucune donnée perso, donc ma conscience -et le RGPD- s'en portent bien

Je me suis informé et voici ce que j'ai récupéré comme information :

L’article L.34-1 du CPCE (Code des postes et des communications électroniques) permet la conservation de certaines catégories qui varient en fonction de l’activité de l’OCE* et de la finalité pour laquelle elles sont conservées (recherche d’infractions pénales, facturation, hadopi etc.). Ces données portent sur l’identification des personnes, les caractéristiques techniques des communications et sur la localisation des équipements terminaux.

*OCE : Opérateurs de communications électroniques - Ici OCE est employé pour faire vite, mais ça couvre toutes les personnes visées au L.34-1 soit les OCE mais également « les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit »

L’article L.34-1 est précisé par l’article R.10-13 et suivants du CPCE qui spécifient notamment le cadre et la durée pour lesquels les opérateurs de communications électroniques doivent notamment conserver.

Les arrêtés tarifaires qui fixent la juste rémunération des prestations demandées aux OCE, précisent ce qui est demandé aux OCE.

Dans l’Arrêté du 14 novembre 2016 pris en application des articles R. 213-1 et R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions des opérateurs de communications électroniques (réquisitions judiciaires), il s’agit des « éléments d’identification relatifs à la personne physique, à l’installation, à la connexion, au contrat et aux identifications numériques ».

En fonction du service proposé, les informations permettant d’identifier l’utilisateur peuvent certainement varier mais il faudra toujours pouvoir identifier l’utilisateur, il ne me semble pas anormal de demander le nom et le prénom comme élèment d’identification relatif à la personne physique, l’adresse MAC ne répondant pas à cette injonction et ne pas conserver les éléments d’identification relatifs à la personne physique pourrait être reproché à l'OCE.

Donc les textes ne sont pas précis, mais c'est nécessaire pour ne pas modifier les textes à chaque nouveau service / technologies.

Marin · « **Réponse #37 le:** 11 septembre 2019 à 19:34:00 »

En fait, la loi dit :

Tu ne dois pas analyser, hors métadonnées, le trafic de tes clients. (normal)
Si tu collectes des données qui identifient tes utilisateurs, en tant qu'opérateur au sens légal, tu DOIS les conserver si jamais ça peut être utile aux forces de l'ordre (décret)
Si jamais il n'y a pas de moment où il t'en fournit tout court, ben ne peux pas y être contraint mais tu rentres dans un flou. Si jamais on considère que tu es titulaire de l'accès et que tu as fait preuve de négligence, Hadopi peut potentiellement te tomber dessus (décret et loi)

Ce qui est sûr, c'est qu'une personne qui tient un hotspot Wifi est un opérateur au sens légal, la loi a été spécialement été modifiée pour ça (loi). Dans tous les cas, je pense que la plupart des professionnels ou des services publics n'ont pas pour intention de compliquer la vie des forces de l'ordre avec le service qu'ils fournissent.

Je pense que demander une confirmation par SMS pour se connecter à un hotspot ouvert devient une pratique courante, j'ai eu ça aussi par un autre opérateur dans une bibliothèque. C'est logique que ça arrive, c'est le moyen le moins intrusif et le plus fluide d'obtenir une information identificatrice dont l'autorité judiciaire peut faire quelque chose, et ça n'embête pas l'utilisateur en principe.

hwti · « **Réponse #38 le:** 11 septembre 2019 à 19:54:30 »

Au départ, j'ai cru qu'ils se servaient de l'excuse légale pour ensuite envoyer des pubs, mais c'est plus subtil.

A priori on n'est pas obligé de cocher la case, mais l'interface entretient une certaine confusion qui est un peu troublante :
- * : champ obligatoire
- * : prospection commerciale

vivien · « **Réponse #39 le:** 11 septembre 2021 à 19:59:29 »

La situation n'a pas changée en 2021, le mail et le téléphone mobile sont toujours obligatoire pour une connexion Wi-Fi (payante celle-ci) :

vivien · « **Réponse #40 le:** 11 septembre 2021 à 19:59:41 »

vivien · « **Réponse #41 le:** 11 septembre 2021 à 20:08:54 »

Maintenant j'ai vu pire : Un WI-Fi invité qui demande d'envoyer un SMS pour valider la connexion, afin de valider que c'est bien le bon numéro de téléphone qui a été rentré (tout ça pour un accès Wi-Fi limité à 2 Mb/s symétrique sans IPv6, mais une IPv4 qui semble dédiée : chaque équipement connecté avait une IPv4 publique différente) :

vivien · « **Réponse #42 le:** 25 septembre 2021 à 21:43:35 »

Exemple contraire : au château de la Bûcherie, rien n'est demandé :

Les conditions d’utilisation :

Bienvenue sur votre réseau Wifi gratuit

CONDITIONS D’UTILISATION

Tout accès au réseau par l’utilisateur est fait sous l’entière responsabilité de celui-ci.

Il appartient à l’utilisateur de vérifier qu’il dispose des équipements matériels, logiciels, navigateurs lui permettant d’utiliser le service.

Lorsque l’utilisateur se connecte au réseau Wi-Fi, il s’engage à ne pas utiliser les ressources mises à sa disposition pour :

- charger, stocker, publier, diffuser ou utiliser des documents, informations, images, vidéos, programmes, logiciels, etc, à caractère violent, pornographique ou contraire aux bonnes mœurs, ou susceptibles de porter atteinte au respect de la personne humaine et de sa dignité, ainsi qu’à la protection des mineurs, de caractère diffamatoire et de manière générale illicite, protégés par les lois sur la propriété intellectuelle, sauf à posséder les autorisations nécessaires,
- harceler, menacer ou injurier et de manière générale violer les droits en vigueur,
- transmettre sciemment des fichiers contenant des virus ou des données altérées

L’utilisateur devra prendre toutes les mesures nécessaires de façon à protéger ses propres données et/ou logiciels notamment de la contamination par d’éventuels virus circulant sur le réseau ou de l’intrusion d’un tiers dans le système de son terminal.

L’utilisateur est le seul responsable de tout préjudice direct ou indirect, matériel ou immatériel causé à des tiers du fait de l’utilisation du réseau Wi-Fi.

En cas de non-respect des engagements et responsabilités édités ci-dessus, nous procéderons à la suspension immédiate du droit d’accès de l’utilisateur.

Nous nous engageons à ne pas transmettre les données recueillies dans le cadre de l’inscription au réseau Wi-Fi, à ne pas divulguer les informations de connexions (pages internet, date et heure de connexion et déconnexion) collectées lors de l’utilisation du réseau Wi-Fi par l’utilisateur et à respecter les correspondances privées reçues ou transmises par l’utilisateur sur son réseau et/ou sur le réseau Internet. Il peut être fait exception à cette règle de confidentialité dans les limites autorisées par la loi, à la demande des autorités publiques et/ou judiciaires.

Nous ne saurions être tenue pour responsable des contenus accessibles par le réseau Internet et des dommages qui peuvent naître de leur utilisation. Toutefois, un système de filtrage évolutif des sites internet peux avoir été mis en place pour prémunir les utilisateurs d’éventuels accès sur des sites préjudiciables à l’utilisateur.

Je regrette l'annonce d'un filtrage (il ne semble pas mis en place) qui est strictement interdit par le règlement européen sur l'internet ouvert.

vivien · « **Réponse #43 le:** 16 février 2022 à 16:05:35 »

Citation de: Hugues le 01 septembre 2019 à 21:25:23

Comme tous les portails captifs qui demandes des données perso : Basé sur aucun texte de loi, et probablement anticonstitutionnel.

Ce que la justice te demande, c'est de leur filer toutes les infos que tu as, si tu n'en as pas, tu n'as pas à fournir quoi que ce soit.

En ce qui me concerne, voilà ce que je fais :

- NAT A+P Statique, donc une plage de 100 ports pour chaque IPv4 privée
- Log des couples MAC+IP privée + LOG de la table NDP

Vu que chaque IP privée a 100 ports affectés, je peux tracer port -> MAC et refiler ça à la justice, ça leur va très bien !

Et je ne log aucune donnée perso, donc ma conscience -et le RGPD- s'en portent bien

Petite mise à jour : Saisie par l'association La Quadrature du Net et autres et de l'association Igwan.net les textes se sont fortement durcis pour les accès WiFi dans des lieux publics depuis le 21 octobre 2021 : Il faut impérativement recueillir de nombreux éléments personnels.

L’article L. 34-1 du Code des postes et des communications électroniques a été refondu, et l'article R.10-13 du Code des postes et des communications électroniques qui le précise également.

Le service d’accès internet étant désormais totalement un service de communications électroniques (il y avait une toute petite nuance avant pour les réseaux wifi), les opérateurs doivent, lors de chaque fourniture du service (donc connexion via signature de CGU) recueillir les données visées au R 10-13 :

I.-Les informations relatives à l'identité civile de l'utilisateur, au sens du 1° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d'une personne morale ;
La ou les adresses postales associées ;
La ou les adresses de courrier électronique de l'utilisateur et du ou des comptes associés le cas échéant ;
Le ou les numéros de téléphone.

II.-Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte, mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

L'identifiant utilisé ;
Le ou les pseudonymes utilisés ;
Les données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour.

IV.-Les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :

L'adresse IP attribuée à la source de la connexion et le port associé ;
Le numéro d'identifiant de l'utilisateur ;
Le numéro d'identification du terminal ;
Le numéro de téléphone à l'origine de la communication.

Voir l'article R.10-13 du Code des postes et des communications électroniques pour la liste exhaustive.

Les arrêts ayant mené à cette modification législative : l'arrêt de la Cour de justice de l’Union européenne (communiqué de presse du 6 octobre 2020) et la décision du Conseil d’État (Décision n° 393099 du 21 avril 2021).

iMarco27 · « **Réponse #44 le:** 16 février 2022 à 17:11:36 »

Donc 99,9% des Wi-Fi publics sont dans l'illégalité ? Quid de la vérification des informations ? Si l'utilisateur rendre aaaaa bbbbb abc@domaine.com, est-t-on hors la loi ? Rien n'est clair dans ce texte. Ce gouvernement aura été une honte du début à la fin. On peut se moquer de la Chine et de leur flicage avec leur WeChat et cie...

Donc on fait quoi, on demande la CNI à chaque utilisateur et on garde la photocopie pendant 1 an ? Irréalisable.
Franchement, déjà recueillir les logs pendant un an c'était déjà limite limite, mais là c'est le pompon !

Surtout que maintenant les adresses MAC sont factices sur les derniers OS Apple et les nouvelles versions d'Android... Va faire la correspondance des adresses MAC ?!

tomfibre · « **Réponse #45 le:** 16 février 2022 à 17:52:31 »

Surtout que personnellement, j'ai pas vraiment envie de laisser mon identité complète et mon adresse mail dans 20 000 réseaux. Si c'est pour que le service pas du tout sécurisé d'un hôtel quelconque se fasse pirater et que mon mail se fasse pourrir de spam ensuite, non merci

Obiwan Kenobi qui habite à Paris a encore de beau jours devant lui

Harvester · « **Réponse #46 le:** 16 février 2022 à 22:31:33 »

Le sujet revient sur le tapis en ce moment sur Twitter (https://twitter.com/ygini/status/1492403307926769670), ce qui poussé Gonzague à faire un article récapitulatif :

https://bouchecousue.com/blog/wifi-ouvert-dans-un-espace-accueillant-du-public-quelles-obligations-sappliquent/

iMarco27 · « **Réponse #47 le:** 16 février 2022 à 23:01:54 »

Mouais... L'article est 100% rationnel mais par contre il se base sur l'ancien article R10-13 de 2006, mais comme dit Vivien il a été précisé...

Je suis perdu dans tout ça. CONCRÈTEMENT, que faut-t-il faire ? :/