La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
WiFi => Discussion démarrée par: DamienC le 18 janvier 2016 à 15:19:51
-
Bonjour,
Ma question est simple, connaissez-vous un système de logs ou pare-feu capable de :
- Enregistrer la MAC Source (et Dest?)
- L'IP locale du PC
- l'URL visitée avec l'heure
C'est pour une borne WiFi dans un lieu public :)
Pour le moment j'ai un TCPDump qui s'exporte dans du txt mais la MAC Source n'est pas correcte. Il me retourne celle de l'interface Tun d'openVPN.
Car oui, ma borne WiFi sous OpenWRT se connecte à un serveur OpenVPN et c'est au niveau de ce serveur que je lance le TCPDmup.
Merci d'avance!
-
Il est par définition impossible de récupérer l'URL en https ou http/2.
L'IP locale (en 192.168.x.x) a peu d’intérêt, non ?
Tu pourrais par contre enregistrer :
- L'IP cible
- Le protocole de niveau 4 (TCP, UDP, ICMP,...)
- Le port cible si TCP/UDP
- Le port source si TCP/UDP
- L'adresse Mac source faut de pouvoir mieux identifier le client
- La date et l'heure
-
Il est par définition impossible de récupérer l'URL en https ou http/2.
L'IP locale (en 192.168.x.x) a peu d’intérêt, non ?
Tu pourrais par contre enregistrer le port de retour TCP utilisé, lié a l'heure et l'adresse Mac du PC, faute de mieux.
D'accord mais alors pourquoi me demandes-t-on le MAC Source + Dest + URL + Heure lorsque je veux fournir du WiFi dans un lieu public? S'il n’existe aucun moyen pour logs le HTTPS, on ne peut donc pas remplir cette condition?
Autre point, pour la MAC Source, celle qui m'est retourné est celle de l'interface d'OpenVPN et c'est plutôt logique, car elle ne traverse pas le "premier hop", pour choper la MAC Source il faut lire dans les tables ARP du routeur qui distribue l'accès, alors comment font les fournisseurs de WiFi public?
Merci pour vos lumières, j'avoue qu'il me reste encore beaucoup à apprendre^^
-
En HTTPS, à défaut d'avoir l'URL complète t'auras au moins la destination au niveau DNS plutôt qu'une IP.
Sous Squid par exemple ça donne : blabla CONNECT safebrowsing.google.com:443 - HIER_DIRECT/2a00:1450:400c:c09::88
Pour IP et MAC, conserves-les à part ainsi que les logs DHCP. Tu te fais une table MAC/IP/HEURE et un journal pour le trafic HTTP/HTTPS/Autre.
-
En HTTPS, à défaut d'avoir l'URL complète t'auras au moins la destination au niveau DNS plutôt qu'une IP.
Sous Squid par exemple ça donne : blabla CONNECT safebrowsing.google.com:443 - HIER_DIRECT/2a00:1450:400c:c09::88
Pour IP et MAC, conserves-les à part ainsi que les logs DHCP. Tu te fais une table MAC/IP/HEURE et un journal pour le trafic HTTP/HTTPS/Autre.
Bien vu!
Je vais voir ce que je peux faire, sinon j'avais pensé à un truc tout bête, tellement simple qu'il m'est passé sous le nez! Envoyé les logs d'OpenWRT sur un serveur distant, la nuit par exemple pour ne pas saturer la collecte.
-
Iptables permet de faire un log complet (par contre c'est dans /var/log/messages donc un vrai bazar pour s'y retrouver) et pour les logs http il faudra utiliser autre chose
le bout de code à rajouter à son firewall (utiliser pour le DROP, à modifier pour ACCEPT et rajouter la variante ip6tables au besoin) :
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP
ça permet dans cet exemple de loguer tous les paquets rejetés sans devoir le spécifier dans toutes les règles. Je pense que le contraire doit être possible. A absolument parser le résultat est illisible
Voici un exemple avec quelques infos masquées:
Jan 18 22:11:13 vpsxxxxx kernel: [1383105.821026] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:58:00 SRC=220.134.140.___ DST=___ LEN=29 TOS=0x00 PREC=0x00 TTL=49 ID=17404 DF PROTO=UDP SPT=39724 DPT=53413 LEN=9
Jan 18 22:11:15 vpsxxxxx kernel: [1383107.742037] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:56::00 SRC=220.134.140.___ DST=___ LEN=29 TOS=0x00 PREC=0x00 TTL=49 ID=17405 DF PROTO=UDP SPT=39724 DPT=53413 LEN=9
Jan 18 22:11:18 vps2xxxxx kernel: [1383110.588777] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:08:00 SRC=220.134.140.___ DST=___ LEN=29 TOS=0x00 PREC=0x00 TTL=49 ID=17406 DF PROTO=UDP SPT=39724 DPT=53413 LEN=9
Jan 18 22:11:53 vpsxxxxx kernel: [1383145.335773] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:56:5:08:00 SRC=125.93.79.___ DST=___ LEN=132 TOS=0x00 PREC=0x00 TTL=49 ID=39710 PROTO=UDP SPT=53 DPT=62207 LEN=112
Jan 18 22:12:30 vpsxxxxx kernel: [1383182.646835] [IP6TABLES DROP]:IN=eth0 OUT= MAC= SRC=fe80:0000:0000:0000:f816:3eff:fec7:d41d DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=120 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=134 CODE=0
Jan 18 22:12:32 vpsxxxxx kernel: [1383184.618421] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:8:00 SRC=93.20.26.___ DST=___ LEN=64 TOS=0x00 PREC=0x00 TTL=56 ID=1 PROTO=ICMP TYPE=8 CODE=0 ID=46801 SEQ=0
Jan 18 22:12:34 vpsxxxxx kernel: [1383186.110494] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d:08:00 SRC=93.20.26.___ DST=___ LEN=64 TOS=0x00 PREC=0x00 TTL=56 ID=18562 PROTO=ICMP TYPE=8 CODE=0 ID=1894 SEQ=0
Jan 18 22:14:41 vpsxxxxx kernel: [1383313.967651] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d::5f:08:00 SRC=59.45.79.___ DST=___ LEN=40 TOS=0x00 PREC=0x00 TTL=234 ID=54321 PROTO=TCP SPT=37352 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 18 22:17:47 vpsxxxxx kernel: [1383499.213842] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4::5f:08:00 SRC=71.6.165.___ DST=___ LEN=40 TOS=0x00 PREC=0x00 TTL=114 ID=2861 PROTO=TCP SPT=34680 DPT=8888 WINDOW=42959 RES=0x00 SYN URGP=0
Jan 18 22:18:14 vpsxxxxx kernel: [1383527.041147] [IPTABLES DROP]:IN=eth0 OUT= MAC=fa:16:3e:c7:d4:1d08:00 SRC=162.210.193.___ DST=___ LEN=444 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=UDP SPT=5949 DPT=5060 LEN=424
-
Quel sont les obligations légales sur un hot-spot WiFi ?
-
Des obligations qui ont pour conséquences de vandaliser la neutralité du net sur l'accès : les ports accessibles sont 80 et 443 sur la majorité, ça procure par la même occasion une satisfaction aux ayants-droits, en conséquence les lobbyistes payent bien et tout le monde est content :)
(sauf nous hein)
Faut pas se leurrer, celui qui voudra se servir de l'accès pour ses petites affaires anonymement saura contourner les proxys transparents et autres, il reste plus que l'honnête citoyen qui récupère des films de vacances et des distributions qui sera contraint d'avoir son traffic analysé.
Pour les plus curieux à l'aide du RIPE et avec de la documentation de certains blogueurs, on peut retrouver les plages IP des serveurs utilisés par des sous-traitants d'une célèbre institution envoyant quelques milliers de missives par an
-
Y'a rien dans les packages OpenWrt pour faire ca deja ?
Ta borne c'est un portail captif ou juste un VPN ?
les logs sont a stocker ou?
-
Y'a rien dans les packages OpenWrt pour faire ca deja ?
Ta borne c'est un portail captif ou juste un VPN ?
les logs sont a stocker ou?
OpenWRT fait bien une sorte de TCPDump, mais je trouvais plus avantageux de le faire à la sortie du VPN, pour ne pas à avoir uploader les logs via un upload souvent assez faible (ADSL).
Ma borne à un portail captif : https://studentstartup.me/DEMO/ (ici c'est juste une démo il n'y a pas de système à proprement parlé)
Les utilisateurs accèdent au Web via ce portail captif et via le VPN.
Les logs peuvent-être stocké sur nos disques, il y a de la place. Ces serveurs se trouvent au même endroit que le serveur VPN.
-
Mais quel intérêt de garder des logs si tu ne sais pas remonter à l'utilisateur ?
Garder l'adresse MAC du client Wifi permet de faire quoi ? (a part des stats sur les marques)
-
Mais quel intérêt de garder des logs si tu ne sais pas remonter à l'utilisateur ?
Garder l'adresse MAC du client Wifi permet de faire quoi ? (a part des stats sur les marques)
En fait si, on peut remonter à l'utilisateur grâce aux informations qu'ils renseignent via le portail captif (nom, prénom, mél). On associe son IP locale à son nom en fonction de l'heure et on à les URLs qu'il visite à un temps X.
Ce n'est pas très facile mais bon, à défaut d'avoir mieux on s'en contente. Le but de cette borne WiFi est d'avoir le moins de contraintes possibles pour se connecter au Web.
Pour les @ MAC, aucune idée. Nous n'utilisons pas du tout les données récoltées. C'est l'ARCEP qui "l'impose".
Cdt,
DamienC
-
Le Nom / Prénom, si c'est uniquement déclaratif, cela a toutes les chances d'être faux, non ?
-
Le Nom / Prénom, si c'est uniquement déclaratif, cela a toutes les chances d'être faux, non ?
Tout à fait. Mais comment empêcher les gens de rentrer de fausses informations? Ils peuvent aussi le faire sur le hotspot qui nécessite une inscription non?
-
Je suis étonné que les obligation légales imposent ce type d'information, peu utiles face aux problèmes rencontrés et qui ennuient les gens honnêtes.
Surtout que cela donne l'impression que si on rentre n'importe quoi on est bien caché, donc presque une incitation à faire des activées illégales.
-
Ça serait pas la première fois qu'un truc inutile et qui pourrit la vie des gens est pondu par nos chers élus, non ? :)
-
En fait j'avoue ne pas être certain des informations nécessaires.
J'ai trouvé ces informations :
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
- Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs ;
- Les données permettant d’identifier le ou les destinataires de la communication.
Assez contraignant sur un réseau WiFi Public quoi.
-
"Les données permettant d’identifier le ou les destinataires de la communication." je ne pense pas que un champ remplir par le client puisse répondre a cette demande. Pour moi c'est pour les hotspot payant, quand tu as des données fiables type carte de crédit.
On ne demande pas d'enregistrer la liste des sites visités.
Il faut donc enregistrer :
- L'adresse mac de l'équipement connecté (Les données relatives aux équipements terminaux de communication utilisés)
- La date / heure (Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication)
- L'IP publique utilisée en sortie et le port de retour utilisé (Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs)
-
"Les données permettant d’identifier le ou les destinataires de la communication." je ne pense pas que un champ remplir par le client puisse répondre a cette demande. Pour moi c'est pour les hotspot payant, quand tu as des données fiables type carte de crédit.
On ne demande pas d'enregistrer la liste des sites visités.
Il faut enregistrer :
- L'adresse mac de l'équipement connecté (Les données relatives aux équipements terminaux de communication utilisés)
- La date / heure (Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication)
- L'IP publique utilisée en sortie et le port de retour utilisé (Les données relatives aux services complèmentaires demandés ou utilisés et leurs fournisseurs)
Merci d'avoir trouvé ces informations pour moi, donc en soit j'ai déjà tout ça sous OpenWRT je crois. Un TCPDump est alors suffisant.
Pas besoin du nom/prénom de la personne, tant mieux!
-
Il me semble inutile de récupérer :
- Nom / Prénom (via champ rempli par l'utilisateur)
- Adresse mail (via champ rempli par l'utilisateur)
- L'IP locale du PC
- l'URL visitée avec l'heure (http uniquement)
- L'IP visitée
- Le nom de domaine demandé
-
Il me semble inutile de récupérer :
- Nom / Prénom (via champ rempli par l'utilisateur)
- Adresse mail (via champ rempli par l'utilisateur)
- L'IP locale du PC
- l'URL visitée avec l'heure (http uniquement)
- L'IP visitée
- Le nom de domaine demandé
Donc finalement il faut:
- L'adresse MAC
- Le port de retour avec l'adresse WAN de sortie + quelques caractéristiques sur les paquets, avec l'heure.
C'est bien ça?
-
"quelques caractéristiques sur les paquets" ?
Il ne me semble pas que les caractéristiques soit nécessaires (j'ai un peu de mal a comprendre ce que c'est)
Après pour faciliter l'identification par la justice, tu pourrais aussi enregistrer l'IP cible : cela permet de retrouver toutes les IP visitées par une adresse mac et éventuellement des traces en demandant des logs aux sites concernés avec l'IP publique de ton point d’accès + port de retour. Maintenant cela ne semble pas requis dans ce que tu as indiqué.
-
"quelques caractéristiques sur les paquets" ?
Il ne me semble pas que les caractéristiques soit nécessaires (j'ai un peu de mal a comprendre ce que c'est)
Après pour faciliter l'identification par la justice, tu pourrais aussi enregistrer l'IP cible : cela permet de retrouver toutes les IP visitées par une adresse mac et éventuellement des traces en demandant des logs aux sites concernés. Maintenant cela ne semble pas requis dans ce que tu as indiqué.
Je voulais juste parler de l'output TCPDump, rien de plus.
Bonne idée Vivien, merci!
J'espère que tout vas fonctionner pour le mieux, c'est uniquement pour fournir du WiFi Public dans certains lieux de la Ville de Brest. Je vais quand même appeler l'ARCEP pour confirmer ces infos, juste pour être sûr.
-
Fait attention que si garde trop d'information, il faut une déclaration à la CNIL.
Au passage pour lafibre.info, je me suis basé sur la délibération n°2005-284 du 22/11/2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d'une activité exclusivement personnelle.
Je me demande si LaFibre.info rentre bien dans ce cas où si j'ai mal interprété "activité exclusivement personnelle"
-
Je me demande si LaFibre.info rentre bien dans ce cas où si j'ai mal interprété "activité exclusivement personnelle"
Je ne sais pas répondre, j'ai beaucoup de mal à interpréter les différents textes, ils ne sont pas assez précis! Selon-moi, tu as bien fait. Il s'agit de ton site, donc de ton activité. Mais d'un autre point de vue, tu n'es pas seul dessus, donc l'exclusivement me perturbe.
Je vais demander l'avis d'un expert dans le domaine, reste plus qu'à le trouver^^
-
Je ne suis pas certain de l'intérêt de se contredire sur ce qu'il serait être censé être de obligatoire journaliser sans source, donc voici une page de vulgarisation juridique :
http://www.aecom.org/Vous-informer/Juridique-TIC/Communications-electroniques/Technologies/Conditions-d-acces-a-des-reseaux-sans-fils-hotspot-et-Wifi-publics
-
Ça serait pas la première fois qu'un truc inutile et qui pourrit la vie des gens est pondu par nos chers élus, non ? :)
Tu as suivi en détail le processus de légifération, de législation puis l'application de la jurisprudence par rapport aux volontés supposées des différents instigateurs et parties prenantes à la constitution du ou des textes de loi qui n'ont pas encore été cités pour parvenir à faire une synthèse globale aussi succincte et pourvue de discernement sur le sujet ?
-
non
-
Le Nom / Prénom, si c'est uniquement déclaratif, cela a toutes les chances d'être faux, non ?
Le concept de base est qu'il n'y a pas d'identifiant qui ait toutes les chances d'être vrai, dans l'informatique de 2016.
Tu peux demander une validation par n° de téléphone (+/- tous les gros services le font), par scan de la carte d'identité (Facebook le fait(sait) en repli sur l'absence de n° de tél ainsi que d'autres services pour la suppression de comptes), par virement de 0,01 € sur le compte bancaire (Microsoft le fai(sait) pour les comptes Hotmail -18), par une facture d'électricité de moins de six mois (certaines institutions de la vraie vie), par demande d'authentification par empreinte digitale (les OS commencent à le faire mais les périphériques ne sont pas (encore) disponibles pour le web), et si tu es un lieu physique tu peux aussi recouper avec les images de tes caméras de surveillance, voire demander une présence (https://fr.wikipedia.org/wiki/Mod%C3%A8le:Utilisateur_Connaissances_personnelles) physique.
Tous sont falsifiables à un certain niveau, la question est de choisir un compromis et quand c'est nécessaire.
Garder l'adresse MAC du client Wifi permet de faire quoi ?
Pour les appareils mobiles (de plus en plus proéminents), les constructeurs doivent garder de sacrées bases qui les relient aux IMEI ou autres ? en cas de réquisitions judiciaires ?
Les systèmes de géolocalisation à partir de l'adresse MAC (ceux collectés par les Google Cars, Android, Mozilla Location Services, etc.) peuvent-ils filtrer des adresses de STA ou juste d'AP dans le tas ?
-
Dans le lien que tu viens de donner : Les opérateurs wifi ne sont pas obligés de relever et de conserver l’identité des utilisateurs désireux de se connecter.
Par contre, il est impératif de conserver l'adresse mac et aussi on n'en a pas parlé la localisation du point d’accès WiFi doit être gardée (surtout si tu en déploie plusieurs)
-
C'est très intéressant, merci de faire évoluer le sujet.
Chaque borne aura son propre fichier de logs. Ces logs seront donc localisés. Par exemple une borne au Moulin blanc, elle aura son propre portail captif, son propre tunnel, son propre système de logs. Ça permet déjà de mieux gérer toutes les informations.
Dans la plupart des cas, l'@ MAC revient souvent, il est donc impératif de l'enregistrer. La où sa devient plus "fin", c'est qu'est-ce que je garde comme information sur les communications des utilisateurs. En fouillant un peu sur le Net, certains disent de garder les URL en HTTP, d'autres disent qu'il faut logguer l'IP de destination, etc.
Je vais donc contacter directement l'ARCEP afin d'en avoir le cœur net. Je vous ferai un retour.
Le but est bien-sûr de proposer un accès simple et gratuit à l'Internet à n'importe quel utilisateur pourvu qu'il ai un terminal compatible avec le WiFi.
Il y aura, sur le portail captif, diverses publicités réalisées par nos soins, qui seront payées par nos partenaires. C'est le principe de l'annonceur sur un réseau privé.
Pour la technique on est au point, quelques petits réglages pour optimiser l'expérience de l'utilisateur et c'est tout bon. Là où c'est compliqué, c'est nos devoirs envers le régulateur.
Nous ne sommes pas un FAI, mais nous distribuons tout de même de l'Internet. Cela ne nous qualifie pas de fournisseur, si?
Merci pour vos retours, je commence à y voir plus clair. Et je me rend compte aussi que proposer un service publique est compliqué.
-
Si c'est public tu endosse les habits de FAI : Les personnes offrant un accès Wifi public sont considérées comme opérateurs de réseaux publics, en application de la loi de confiance en l'économie numérique (dite loi CEN) de 2004.
[...]
En souscrivant à une offre de service d’accès internet auprès d’un fournisseur d’accès internet (FAI), l’opérateur wifi est tenu d’enregistrer le trafic effectué depuis sa connexion, pour des questions de sécurité. Se faisant, ce dernier endosse les mêmes responsabilités qu’un FAI.
-
y'a une distinction entre accès wifi 100% public et accès wifi lié a une autre activité qui limite qui a accès au wifi ?
par exemple un club ou une asso dont que les membres ont acces au wifi dans le local de l'asso/club ou les clients d'un hotel ?
-
on devrait instaurer un permis terroriste numérique avec maitrise des vpn en pré-requis
-
Cet été j'ai testé plusieurs Wi-Fi publics.
J'ai été étonné par le portail captif proposé par Q-Spot by NomoSphère : il demande, au tire de l'article L34-1 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000028345210&cidTexte=LEGITEXT000006070987&dateTexte=20131220), le numéro de téléphone :
"NomoSphère est un opérateur de réseau WiFi public fournissant des solutions packagées pour que le WiFi apporte bien plus qu’un accès internet."
(https://lafibre.info/images/ozone/201908_nomotech_q-spot_portail_captif_wifi.png)
Vous en pensez quoi ?
-
Comme tous les portails captifs qui demandes des données perso : Basé sur aucun texte de loi, et probablement anticonstitutionnel.
Ce que la justice te demande, c'est de leur filer toutes les infos que tu as, si tu n'en as pas, tu n'as pas à fournir quoi que ce soit.
En ce qui me concerne, voilà ce que je fais :
- NAT A+P Statique, donc une plage de 100 ports pour chaque IPv4 privée
- Log des couples MAC+IP privée + LOG de la table NDP
Vu que chaque IP privée a 100 ports affectés, je peux tracer port -> MAC et refiler ça à la justice, ça leur va très bien !
Et je ne log aucune donnée perso, donc ma conscience -et le RGPD- s'en portent bien :)
-
Vu que chaque IP privée a 100 ports affectés, je peux tracer port -> MAC et refiler ça à la justice, ça leur va très bien !
Et je ne log aucune donnée perso, donc ma conscience -et le RGPD- s'en portent bien :)
Je me suis informé et voici ce que j'ai récupéré comme information :
L’article L.34-1 du CPCE (Code des postes et des communications électroniques) permet la conservation de certaines catégories qui varient en fonction de l’activité de l’OCE* et de la finalité pour laquelle elles sont conservées (recherche d’infractions pénales, facturation, hadopi etc.). Ces données portent sur l’identification des personnes, les caractéristiques techniques des communications et sur la localisation des équipements terminaux.
*OCE : Opérateurs de communications électroniques - Ici OCE est employé pour faire vite, mais ça couvre toutes les personnes visées au L.34-1 soit les OCE mais également « les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit »
L’article L.34-1 est précisé par l’article R.10-13 et suivants du CPCE qui spécifient notamment le cadre et la durée pour lesquels les opérateurs de communications électroniques doivent notamment conserver.
Les arrêtés tarifaires qui fixent la juste rémunération des prestations demandées aux OCE, précisent ce qui est demandé aux OCE.
Dans l’Arrêté du 14 novembre 2016 pris en application des articles R. 213-1 et R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions des opérateurs de communications électroniques (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033423388&categorieLien=id) (réquisitions judiciaires), il s’agit des « éléments d’identification relatifs à la personne physique, à l’installation, à la connexion, au contrat et aux identifications numériques ».
En fonction du service proposé, les informations permettant d’identifier l’utilisateur peuvent certainement varier mais il faudra toujours pouvoir identifier l’utilisateur, il ne me semble pas anormal de demander le nom et le prénom comme élèment d’identification relatif à la personne physique, l’adresse MAC ne répondant pas à cette injonction et ne pas conserver les éléments d’identification relatifs à la personne physique pourrait être reproché à l'OCE.
Donc les textes ne sont pas précis, mais c'est nécessaire pour ne pas modifier les textes à chaque nouveau service / technologies.
-
En fait, la loi dit :
- Tu ne dois pas analyser, hors métadonnées, le trafic de tes clients. (normal)
- Si tu collectes des données qui identifient tes utilisateurs, en tant qu'opérateur au sens légal, tu DOIS les conserver si jamais ça peut être utile aux forces de l'ordre (décret (https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000025622766&cidTexte=LEGITEXT000006070987&dateTexte=20120401))
- Si jamais il n'y a pas de moment où il t'en fournit tout court, ben ne peux pas y être contraint mais tu rentres dans un flou. Si jamais on considère que tu es titulaire de l'accès et que tu as fait preuve de négligence, Hadopi peut potentiellement te tomber dessus (décret (https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=8739B84B8E65D5DB4C521C7C5A09A8B6.tplgfr23s_1?idArticle=LEGIARTI000027684567&cidTexte=LEGITEXT000006069414&dateTexte=20130710) et loi (https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=8739B84B8E65D5DB4C521C7C5A09A8B6.tplgfr23s_1?idArticle=LEGIARTI000021212156&cidTexte=LEGITEXT000006069414&dateTexte=20190911))
Ce qui est sûr, c'est qu'une personne qui tient un hotspot Wifi est un opérateur au sens légal, la loi a été spécialement été modifiée pour ça (loi (https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=485717BFBC4901EBDDED62652454D68E.tpdjo11v_3?idArticle=JORFARTI000001106887&cidTexte=JORFTEXT000000454124&dateTexte=29990101&categorieLien=id)). Dans tous les cas, je pense que la plupart des professionnels ou des services publics n'ont pas pour intention de compliquer la vie des forces de l'ordre avec le service qu'ils fournissent.
Je pense que demander une confirmation par SMS pour se connecter à un hotspot ouvert devient une pratique courante, j'ai eu ça aussi par un autre opérateur dans une bibliothèque. C'est logique que ça arrive, c'est le moyen le moins intrusif et le plus fluide d'obtenir une information identificatrice dont l'autorité judiciaire peut faire quelque chose, et ça n'embête pas l'utilisateur en principe.
-
Au départ, j'ai cru qu'ils se servaient de l'excuse légale pour ensuite envoyer des pubs, mais c'est plus subtil.
A priori on n'est pas obligé de cocher la case, mais l'interface entretient une certaine confusion qui est un peu troublante :
- * : champ obligatoire
- * : prospection commerciale
-
La situation n'a pas changée en 2021, le mail et le téléphone mobile sont toujours obligatoire pour une connexion Wi-Fi (payante celle-ci) :
(https://lafibre.info/images/ozone/202107_wifi_q-spot_by_nomosphere_1.png)
(https://lafibre.info/images/ozone/202107_wifi_q-spot_by_nomosphere_2.png)
-
(https://lafibre.info/images/ozone/202107_wifi_q-spot_by_nomosphere_3.png)
(https://lafibre.info/images/ozone/202107_wifi_q-spot_by_nomosphere_4.png)
-
Maintenant j'ai vu pire : Un WI-Fi invité qui demande d'envoyer un SMS pour valider la connexion, afin de valider que c'est bien le bon numéro de téléphone qui a été rentré (tout ça pour un accès Wi-Fi limité à 2 Mb/s symétrique sans IPv6, mais une IPv4 qui semble dédiée : chaque équipement connecté avait une IPv4 publique différente) :
(https://lafibre.info/images/orange/202109_Orange_WiFi_Captive_Portal_Login_1.png) (https://lafibre.info/images/orange/202109_Orange_WiFi_Captive_Portal_Login_2.png)
-
Exemple contraire : au château de la Bûcherie, rien n'est demandé :
(https://lafibre.info/images/pro/202109_wifi_portail_captif_chateau_bucherie.png)
Les conditions d’utilisation :
Bienvenue sur votre réseau Wifi gratuit
CONDITIONS D’UTILISATION
Tout accès au réseau par l’utilisateur est fait sous l’entière responsabilité de celui-ci.
Il appartient à l’utilisateur de vérifier qu’il dispose des équipements matériels, logiciels, navigateurs lui permettant d’utiliser le service.
Lorsque l’utilisateur se connecte au réseau Wi-Fi, il s’engage à ne pas utiliser les ressources mises à sa disposition pour :
- charger, stocker, publier, diffuser ou utiliser des documents, informations, images, vidéos, programmes, logiciels, etc, à caractère violent, pornographique ou contraire aux bonnes mœurs, ou susceptibles de porter atteinte au respect de la personne humaine et de sa dignité, ainsi qu’à la protection des mineurs, de caractère diffamatoire et de manière générale illicite, protégés par les lois sur la propriété intellectuelle, sauf à posséder les autorisations nécessaires,
- harceler, menacer ou injurier et de manière générale violer les droits en vigueur,
- transmettre sciemment des fichiers contenant des virus ou des données altérées
L’utilisateur devra prendre toutes les mesures nécessaires de façon à protéger ses propres données et/ou logiciels notamment de la contamination par d’éventuels virus circulant sur le réseau ou de l’intrusion d’un tiers dans le système de son terminal.
L’utilisateur est le seul responsable de tout préjudice direct ou indirect, matériel ou immatériel causé à des tiers du fait de l’utilisation du réseau Wi-Fi.
En cas de non-respect des engagements et responsabilités édités ci-dessus, nous procéderons à la suspension immédiate du droit d’accès de l’utilisateur.
Nous nous engageons à ne pas transmettre les données recueillies dans le cadre de l’inscription au réseau Wi-Fi, à ne pas divulguer les informations de connexions (pages internet, date et heure de connexion et déconnexion) collectées lors de l’utilisation du réseau Wi-Fi par l’utilisateur et à respecter les correspondances privées reçues ou transmises par l’utilisateur sur son réseau et/ou sur le réseau Internet. Il peut être fait exception à cette règle de confidentialité dans les limites autorisées par la loi, à la demande des autorités publiques et/ou judiciaires.
Nous ne saurions être tenue pour responsable des contenus accessibles par le réseau Internet et des dommages qui peuvent naître de leur utilisation. Toutefois, un système de filtrage évolutif des sites internet peux avoir été mis en place pour prémunir les utilisateurs d’éventuels accès sur des sites préjudiciables à l’utilisateur.
Je regrette l'annonce d'un filtrage (il ne semble pas mis en place) qui est strictement interdit par le règlement européen sur l'internet ouvert.
-
Comme tous les portails captifs qui demandes des données perso : Basé sur aucun texte de loi, et probablement anticonstitutionnel.
Ce que la justice te demande, c'est de leur filer toutes les infos que tu as, si tu n'en as pas, tu n'as pas à fournir quoi que ce soit.
En ce qui me concerne, voilà ce que je fais :
- NAT A+P Statique, donc une plage de 100 ports pour chaque IPv4 privée
- Log des couples MAC+IP privée + LOG de la table NDP
Vu que chaque IP privée a 100 ports affectés, je peux tracer port -> MAC et refiler ça à la justice, ça leur va très bien !
Et je ne log aucune donnée perso, donc ma conscience -et le RGPD- s'en portent bien :)
Petite mise à jour : Saisie par l'association La Quadrature du Net et autres et de l'association Igwan.net les textes se sont fortement durcis pour les accès WiFi dans des lieux publics depuis le 21 octobre 2021 : Il faut impérativement recueillir de nombreux éléments personnels.
L’article L. 34-1 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345210/) a été refondu, et l'article R.10-13 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025622766/) qui le précise également.
Le service d’accès internet étant désormais totalement un service de communications électroniques (il y avait une toute petite nuance avant pour les réseaux wifi), les opérateurs doivent, lors de chaque fourniture du service (donc connexion via signature de CGU) recueillir les données visées au R 10-13 :
I.-Les informations relatives à l'identité civile de l'utilisateur, au sens du 1° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
- Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d'une personne morale ;
- La ou les adresses postales associées ;
- La ou les adresses de courrier électronique de l'utilisateur et du ou des comptes associés le cas échéant ;
- Le ou les numéros de téléphone.
II.-Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte, mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
- L'identifiant utilisé ;
- Le ou les pseudonymes utilisés ;
- Les données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour.
IV.-Les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
- L'adresse IP attribuée à la source de la connexion et le port associé ;
- Le numéro d'identifiant de l'utilisateur ;
- Le numéro d'identification du terminal ;
- Le numéro de téléphone à l'origine de la communication.
Voir l'article R.10-13 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025622766/) pour la liste exhaustive.
Les arrêts ayant mené à cette modification législative : l'arrêt de la Cour de justice de l’Union européenne (communiqué de presse du 6 octobre 2020) (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123fr.pdf) et la décision du Conseil d’État (Décision n° 393099 du 21 avril 2021) (https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099).
-
Donc 99,9% des Wi-Fi publics sont dans l'illégalité ? Quid de la vérification des informations ? Si l'utilisateur rendre aaaaa bbbbb abc@domaine.com, est-t-on hors la loi ? Rien n'est clair dans ce texte. Ce gouvernement aura été une honte du début à la fin. On peut se moquer de la Chine et de leur flicage avec leur WeChat et cie...
Donc on fait quoi, on demande la CNI à chaque utilisateur et on garde la photocopie pendant 1 an ? Irréalisable.
Franchement, déjà recueillir les logs pendant un an c'était déjà limite limite, mais là c'est le pompon !
Surtout que maintenant les adresses MAC sont factices sur les derniers OS Apple et les nouvelles versions d'Android... Va faire la correspondance des adresses MAC ?!
-
Surtout que personnellement, j'ai pas vraiment envie de laisser mon identité complète et mon adresse mail dans 20 000 réseaux. Si c'est pour que le service pas du tout sécurisé d'un hôtel quelconque se fasse pirater et que mon mail se fasse pourrir de spam ensuite, non merci :-X
Obiwan Kenobi qui habite à Paris a encore de beau jours devant lui ;D
-
Le sujet revient sur le tapis en ce moment sur Twitter (https://twitter.com/ygini/status/1492403307926769670), ce qui poussé Gonzague à faire un article récapitulatif :
https://bouchecousue.com/blog/wifi-ouvert-dans-un-espace-accueillant-du-public-quelles-obligations-sappliquent/
-
Mouais... L'article est 100% rationnel mais par contre il se base sur l'ancien article R10-13 de 2006, mais comme dit Vivien il a été précisé...
Je suis perdu dans tout ça. CONCRÈTEMENT, que faut-t-il faire ? :/
-
Vrai ou faux? Il faut enregistrer des informations concernant l’utilisation de votre réseau ouvert
=> Vrai, l'article R.10-13 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025622766/) précise c qu'il faut enregistrer.
Vrai ou faux? Il faut enregistrer le nom des gens qui se connectent à votre WiFi
=> Vrai, mais cela n'a rien a voir avec La Hadopi
Vrai ou faux? La Hadopi va me manger tout cru si mon WiFi n’est pas sécurisé en WPA3 , filtrage P2P, pierre anti-ondes et cage de Faraday
=> Cela ne concerne pas un réseau ouvert au public.
Au passage, sur un réseau ouvert au public, il est interdit de bloquer des sites, de filtrer des ports, faire du filtrage applicatif, filtrage d'URL ou DPI (Deep Packet Inspection). Un réseau ouvert au public doit être neutre et le P2P ne peut pas être bloqué. Le document de la Hadopi ne concerne que les réseaux privés.
Vrai ou faux? Je suis condamnable si quelqu’un utilise ma connexion Internet pour pirater du contenu
=> Faux, si vous fournissez les informations demandées par l'article R.10-13 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025622766/).
Vrai ou faux? Je dois stocker les adresses de sites ou URL visitées par mes utilisateurs
=> Faux, c'est strictement interdit sur un réseau ouvert au public, comme le DPI (Deep Packet Inspection)
Pour être précis, il est interdit d'aller regarder le contenu particulier des paquets transporté. L'Arcep est très clair sur ce qu'est le contenu particulier :
Le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :
Extrait de la du rapport 2020 (page 66) (https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020.pdf#page=66) : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out2019-0055_berecnetneutrality2.pdf), le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.
Cette année, en 2021, l'Arcep nous propose de nouveaux schémas explicatif sur TCP/IP, ce qui est neutre ou pas :
Plusieurs principes intrinsèques au fonctionnement d’internet découlent du modèle TCP/IP : le fonctionnement autonome des couches réseaux (layering principle), le principe du « meilleur effort » dans l’acheminement des données (best effort principle), le principe de bout-en-bout (end-to-end principle) ou encore le principe de transparence du réseau (network transparency).
Chaque couche réseau fonctionne de manière autonome : la segmentation des différentes fonctionnalités d’internet implique que les couches réseaux inférieures se concentrent sur l’acheminement des données utiles qui leur sont confiées (adressage et routage de l’information transmise), laissant la responsabilité des autres fonctionnalités (traitement et présentation des données acheminées) à la couche supérieure, dite applicative (cf. schéma synthétique du modèle TCP/IP). Pour éviter que les données transmises ne se perdent lorsqu’elles passent successivement les couches réseaux, chaque couche réseau ajoute des informations essentielles aux données transmises, qui sont regroupées dans un en-tête positionné au début de chaque paquet de données transféré par la couche précédente (cf. schéma synthétique du mécanisme d’encapsulation).
(https://lafibre.info/images/doc/202006_arcep_rapport_etat_internet_2020_4_neutralite_2.png)
Seules les informations contenues dans l’en-tête destinée à une couche réseau sont utilisées par cette dernière. A titre d’exemple, la couche transport utilise les informations de l’en-tête « transport » pour acheminer les données reçues, mais n’est théoriquement pas en mesure de savoir si les données reçues de la couche applicative sont celles d’un email, d’une vidéo ou d’une page web. Cela implique de facto la circulation des données transmises de manière indifférenciée et de la meilleure manière possible dans les différentes couches traversées, conformément au principe du « meilleur effort ». Selon le principe de « bout-en-bout », seuls les services de la couche applicative, s’assurent de vérifier de l’intégralité et de la conformité des données transmises. Enfin, la segmentation des différentes fonctionnalités d’internet en couches réseaux rend le fonctionnement des couches réseaux inférieures transparent pour les services appartenant à la couche applicative. Ainsi, l’utilisateur final est en théorie libre d’utiliser le terminal ou le système opérateur de son choix, car leur fonctionnement reste indépendant du fonctionnement des couches réseaux inférieures.
(https://lafibre.info/images/doc/202107_arcep_rapport_etat_internet_2021_4_neutralite_1.png)
L’architecture d’Internet selon le modèle TCP/IP permet une segmentation de ses fonctionnalités et le recours à des conventions communes de fonctionnement que sont les protocoles réseaux. Cette uniformisation offre un cadre homogène au sein duquel les utilisateurs finaux disposent d’une égalité de traitement dans l’accès ou la diffusion par les réseaux de leurs contenus, de leurs services ou de leurs applications. En effet, internet incite les utilisateurs finaux à avoir une participation active dans la création de nouveaux contenus au niveau de la couche applicative, en disposant d’un cadre connu et en leur évitant de prendre en compte le fonctionnement des couches réseaux inférieures (cf. le principe de transparence du réseau). De plus, le recours à des protocoles réseaux, communément admis au sein d’une même couche, réduit les coûts de création d’un nouveau service par l’utilisateur final, favorisant de facto l’innovation. Ainsi, internet reste un environnement moteur de l’innovation.
(https://lafibre.info/images/doc/202107_arcep_rapport_etat_internet_2021_4_neutralite_2.png)
Mais on doit conserver quoi comme données alors ?
=> L'adresse IP attribuée à la source de la connexion et le port associé et les informations demandées par l'article R.10-13 du Code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000025622766/)
-
Donc maintenant en plus des IP, MAC, PSRC, PDST, PROTO il faut garder :
- Nom
- Prénom
- Date et lieu de naissance
- Adresse
- Email
- Numéro de téléphone
- ID (user login)
- Pseudonyme
La SNCF est hors la loi donc ?
-
Gonzague semble dire que ces exigences ne s'appliquent qu'aux FAI, mais c'est à confirmer :
https://twitter.com/bouchecousue/status/1494250606067863552?t=6RIkX-X8tVYqlhlpnLqceg&s=19
-
J'aimerais vraiment que ça soit plus clair avant d'investir dans un portail captif qui fait OTP...
D'ailleurs celui qui en conçoit un me disait que les demandes en France avaient explosé depuis peu...
Faudra peut-être mettre un champ "Si vous êtes terroriste, cochez cette case. Indiquez le nom et l'adresse de votre réseau de malfaiteur. Merci. Cordialement" ::)
Les gens veulent que ça marche tout de suite, pas remplir de CERFA pendant 10 minutes... Je le vois bien avec ma famille dans les hôtels par exemple.
-
Gonzague semble dire que ces exigences ne s'appliquent qu'aux FAI, mais c'est à confirmer :
https://twitter.com/bouchecousue/status/1494250606067863552?t=6RIkX-X8tVYqlhlpnLqceg&s=19
L'article L34-1 ne semble pourtant pas restreindre les obligations aux seuls opérateurs :
Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.
-
Il y a une chose qui est sur la loi n'est pas suffisamment claire pour qu'il y ait autant de différences d'interprétation entre juristes.
Je reproduis ci-dessous la version de Maître Alexandre Archambault sur twitter (https://twitter.com/AlexArchambault/status/1494229081461825540)
Ce texte doit être interprété à l'aune des avis CNIL et, surtout, des arrêts CJUE rappelant que la non conservation est la règle, et que dès lors les exceptions ne peuvent imposer des obligations de conservation portant sur des données qui ne sont pas habituellement collectées.
Car les exceptions au principe RGPD/ePrivacy de minimisation des données tel que précisé par CJUE & CNIL s'entendent sur un périmètre strictement limité. Pas certain qu'une obligation de collecte de l'identité et de conservation sur 5 ans pour des contrats ponctuels soit conforme.
Rappelons par ailleurs que l'avis ARCEP sur cette question est beaucoup plus nuancé, en ce qu'une obligation de collecte et de conservation imposée dans le cadre d'une prestation accessoire et ne donnant pas lieu à abonnement pourrait être considérée comme disproportionnée.
(https://lafibre.info/images/doc/202110_avis_arcep_projet_decrets_donnees_de_connexion.jpg)
Il a eu une réponse de Solarus "Ça suppose de devoir défier le législateur et avoir les reins solides pour porter l'affaire à la CJUE, sans être sûr de gagner. Bref, c'est un pari risqué."
Et Alexandre Archambault : "Il y a au moins un opérateur coutumier du fait ;-) https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099"
(https://lafibre.info/images/doc/202104_conseil_etat_conservation_donnees_de_connexion.jpg)
D’après ce que j'ai compris les textes se sont fortement durcis suite au contentieux sur les requêtes de l'association La Quadrature du Net et autres et de l'association Igwan.net tendant à l'annulation pour excès de pouvoir.
-
Donc si je comprends bien, la loi est contestée par deux hautes autorités : la CNIL et l'ARCEP et est illégale du point de vue du RGPD (CJUE) ?
Concrètement, moi je suis auto entrepreneur dans l'informatique au service des français, pas des terroristes. Mon boulot n'est pas de relever l'identité des utilisateurs. Que dois-je faire ? Collecter uniquement les données de connexion comme demande l'article original R10-13 de 2006 ? Ou mettre en place ce contrôle d'identité systématique ?
Je suis honnêtement perdu dans cette histoire, j'ai pas les moyens d'avoir une équipe d'avocats en cas de non-respect de la loi d'un coté, et non respect du RGPD et des régulateurs de l'autre...
-
Le fait que ARCEP émette un avis qui n'est pas entièrement pris en compte dans le décret final ne veut pas dire qu'elle conteste les décrets en questions (et cela ne doit pas être dans ses pouvoir de contester).
Je comprend qu'avant d'investir dans un portail captif qui fait OTP on souhaite avoir de la visibilité. Je vais voir si je peut avoir plus d'information.
-
Merci :)
-
Pour rajouter au brouillard sur ce qu'il faut conserver pour les accès Wi-Fi proposés dans un lieu ouvert au public, voici un article de NextINpact du 25 février 2022 : La conservation généralisée des données de connexion est contraire à la Constitution (https://www.nextinpact.com/article/49950/la-conservation-generalisee-donnees-connexion-est-contraire-a-constitution).
L'article se base sur :
- Décision du Conseil constitutionnel n° 2021-976/977 QPC du 25 février 2022 (https://www.conseil-constitutionnel.fr/decision/2022/2021976_977QPC.htm) sur la conservation des données à caractère personnel pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales
- Communiqué de presse du Conseil constitutionnel n° 2021-976/977 QPC du 25 février 2022 (https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2021-976977-qpc-du-25-fevrier-2022-communique-de-presse)
Le Conseil constitutionnel censure comme portant une atteinte disproportionnée au droit au respect de la vie privée des dispositions législatives concernant la conservation des données de connexion, dans leur version antérieure à la loi n° 2021-998 du 30 juillet 2021
L'objet de la question prioritaire de constitutionnalité (QPC)
Le Conseil constitutionnel a été saisi le 10 décembre 2021 par la Cour de cassation d'une QPC relative à la conformité aux droits et libertés que la Constitution garantit des paragraphes II et III de l'article L. 34-1 du code des postes et des communications électroniques, dans sa rédaction résultant de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
L'article L. 34-1 du code des postes et des communications électroniques est relatif au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques. Son paragraphe II prévoit que les opérateurs de communications électroniques effacent ou rendent anonymes les données relatives au trafic enregistrées à l'occasion des communications électroniques dont ils assurent la transmission.
Par dérogation, les dispositions contestées de son paragraphe III ont prévu, dans leur version antérieure à leur modification par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, que ces opérateurs peuvent être tenus de conserver certaines catégories de données de connexion. Au nombre de ces données figurent les données de trafic, en vue de leur mise à disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
Les critiques formulées contre ces dispositions
Les requérants, rejoints par les parties intervenantes, reprochaient à ces dispositions d'imposer aux opérateurs de communications électroniques la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche des infractions les plus graves ni la subordonner à l'autorisation ou au contrôle d'une juridiction ou d'une autorité indépendante. L'une des parties intervenantes ajoutait qu'une telle conservation n'était pas nécessaire en raison de l'existence d'autres moyens d'investigation. Il en aurait résulté une atteinte disproportionnée au droit au respect de la vie privée, ainsi qu'une méconnaissance du droit de l'Union européenne.
Le contrôle des dispositions faisant l'objet de la QPC
Par sa décision de ce jour, le Conseil constitutionnel rappelle que la liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée.
En vertu de l'article 34 de la Constitution, il appartient au législateur de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Il lui incombe d'assurer la conciliation entre, d'une part, les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions et, d'autre part, le droit au respect de la vie privée.
À cette aune, le Conseil constitutionnel juge que, en adoptant les dispositions contestées, le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions.
Toutefois, en premier lieu, le Conseil constate que les données de connexion conservées en application des dispositions contestées portent non seulement sur l'identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l'horaire et la durée des communications ainsi que les données d'identification de leurs destinataires. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.
En second lieu, le Conseil relève que, d'une part, une telle conservation s'applique de façon générale à tous les utilisateurs des services de communications électroniques et que, d'autre part, l'obligation de conservation porte indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées.
De l'ensemble de ces motifs, le Conseil constitutionnel déduit que, en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée.
Après avoir relevé que les dispositions déclarées contraires à la Constitution ne sont plus en vigueur, le Conseil constitutionnel juge que la remise en cause des mesures ayant été prises sur le fondement de ces dispositions méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions et aurait ainsi des conséquences manifestement excessives. Par suite, il juge que ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité.
-
Maintenant la problématique est que la décision du Conseil constitutionnel concerne l'ancienne version de l'article L34-1 du Code des postes et des communications électroniques.
La nouvelle version de l'article L34-1 du CPCE en vigueur depuis le 1er août 2021 n'est pas impacté directement par la décision du Conseil constitutionnel, selon Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles :
Le Conseil constitutionnel censure les dispositions permettant la conservation généralisée et indifférenciée des #données de connexion qui étaient en vigueur jusqu'au 30 juillet 2021.
Dans sa décision, le Conseil constitutionnel semble s'aligner sur la position de la CJUE dans son arrêt Quadrature du net (principe: pas de conservation généralisée et indifférenciée). Toutefois
(https://lafibre.info/images/doc/202202_conservation_des_donnees_a_caractere_personnel_pour_infractions_penales_1.png)
dans son arrêt Quadrature du Net, la CJUE prévoit une exception: la menace grave pour la sécurité nationale https://curia.europa.eu/juris/document/document.jsf;jsessionid=B9624AFA74C22B84B6D7328A37A84907?text=&docid=232084&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1227820
(https://lafibre.info/images/doc/202202_conservation_des_donnees_a_caractere_personnel_pour_infractions_penales_2.png)
Exception prise en compte par le Conseil d'État dans sa décision French Data Network https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099
(https://lafibre.info/images/doc/202202_conservation_des_donnees_a_caractere_personnel_pour_infractions_penales_3.png)
Exception prise en compte par le législateur dans l'article L34-1 du CPCE qui est en vigueur depuis le 1er août 2021 et qui n'est pas impacté directement par la décision du Conseil constitutionnel. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043887545
(https://lafibre.info/images/doc/202202_conservation_des_donnees_a_caractere_personnel_pour_infractions_penales_4.png)
Conclusion: c'est l'ancien système de conservation généralisée et indifférenciée des données de connexion qui est déclaré inconstitutionnel.
(https://lafibre.info/images/doc/202202_conservation_des_donnees_a_caractere_personnel_pour_infractions_penales_5.png)
Cette déclaration d'inconstitutionnalité ne peut être utilisée pour les procédures pénales en cours au titre des objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions, en raison des conséquences manifestement excessives.
Perspectives: quid du nouvel article L. 34-1 du CPCE. La question est ouverte..
La balle est maintenant dans le camp de la chambre criminelle de la Cour de cassation, au titre du principe de primauté du droit de l'UE...
Source : Twitter de Matthieu Audibert, le 25 février 2022 (https://twitter.com/GendAudibert/status/1497141145704579072)
-
d'un autre coté, l'interet de proposer du wifi public en 2022 me semble tres limité.
-
Au contraire, le Wi-Fi se généralise dans tous les lieux fréquentés.
Aujourd'hui tu ne peut plus proposer une location sans WiFi : Chambre d’hôte, gite, camping, hôtel,... tous proposent du WiFi.
Dans les transports, le WiFi devient la règle : Cela a commencé par les TGV, les avions et cela s'étend aux transports régionaux. La RATP a des lignes de bus avec du WiFi. De plus en plus de saltations de métros, RER et beaucoup de gares SNCF grande ligne proposent du WiFi en gare. J'ai été au Portugal il y a quelques mois, j'avais du WiFi dans les lignes de bus locales (le far use par adresse mac est très limité environ 50 Mo, c'est pour envoyer des messages texte, pas pour regarder des vidéos).
Dans les restaurants, le Wi-Fi est de plus en plus souvent proposé. Il y en a où je fais du 300 Mb/s en Wi-Fi sans aucune limite.
Les grands centre commerciaux ont déjà tous du Wi-Fi gratuit.
Les lieux avec des équipements sportifs (piscines, patinoires,...) sont de plus en plus en train de s'équiper de Wi-Fi gratuit.
Les musés proposent également de plus en plus du Wi-Fi.
Pour illustrer, voici un exemple où ils ont pas fallu beaucoup d’ingénierie pour proposer du Wi-Fi gratuit :
(https://lafibre.info/images/orange/20211_royal_kids_wifi_1.jpg)
Pour ceux qui n'ont pas d'enfant, voici l'activité de l'établissement, c'est un parc de loisirs pour enfants :
(https://lafibre.info/images/orange/20211_royal_kids_wifi_2.jpg)
-
ouais ben ca doit venir de moi alors...
enfin je comprend pas, les gens aiment se faire chier a ce point ? je sais pas mais quand meme, aller taper des logins et des mots de passe dans une interface a la noix, alors que sans rien faire du tout t'as quand meme le net qui fonctionne normalement ?
il y en a qui utilisent le wifi quand ils vont a auchan/leclerc ? franchement ?
Meme a l'hotel quoi, rien a cirer du wifi, mon tel marche aussi bien sans rien faire de special.
enfin ca doit etre moi qui fonctionne pas comme tout le monde peut-etre.
-
Tu ne captes pas forcément. les réseaux mobiles.
Exemple : Au Décathlon Paris Rive Gauche (Magasin situé en plein Paris, à proximité de la Bibliothèque François Mitterrand), Orange ne passe pas, même au 1er étage du magasin.
L'utilisation du Wi-Fi gratuit proposé par Décathlon est nécessaire quand tu souhaites demander un renseignement pour un achat (taille du vêtement).
Ensuite, il y a les ado qui ont un forfait sans data (ou pas de forfait du tout) qui aiment bien communiquer avec leur copains sur les réseaux sociaux.
(https://lafibre.info/images/3g/202109_musee_telephone_portabe.jpg)
Ados visitant un musée :
(https://lafibre.info/images/3g/201504_musee_telephone_portabe.jpg)
-
ouais ben ca doit venir de moi alors...
enfin je comprend pas, les gens aiment se faire chier a ce point ? je sais pas mais quand meme, aller taper des logins et des mots de passe dans une interface a la noix, alors que sans rien faire du tout t'as quand meme le net qui fonctionne normalement ?
il y en a qui utilisent le wifi quand ils vont a auchan/leclerc ? franchement ?
Meme a l'hotel quoi, rien a cirer du wifi, mon tel marche aussi bien sans rien faire de special.
enfin ca doit etre moi qui fonctionne pas comme tout le monde peut-etre.
Y'a beaucoup d'endroits où le cellulaire ne passe pas, ou s'il passe, bonne chance pour charger une page web. Les lieux à forte densité éphémère, sans antenne 4-5G temporaire, bonne chance pour aller sur le net. Aussi pour ceux qui sont en mobilité, avec YouTube, Netflix et Cie, adieu le quota mensuel. Le nombre d'antennes saturées en zone dense, surtout le soir c'est pas une légende ;)
---
Si je comprends, ils ont suspendu l'obligation de garder le trafic pendant 1 an ? Mais pas la nouvelle version de l'article R10-13 où il faut conserver les données personnelles (nom prénom tél...) ?
-
La nouvelle version de l’article R. 10-13 du CPCE précise que: Pour l’application des III et IV de l’article L. 34-1, les données relatives au trafic et à la localisation s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi. ».
En conséquence, l’article R10-13 précise bien que seules les données de trafic et de localisation déjà collectées doivent être conservées 1 an [et 5 ans pour les informations relatives à l'identité civile de l'utilisateur ?]. Il n'est donc pas d'impact RGPD sur la collecte de ces données, vu qu'il faut un autre besoin pour collecter les données de trafic et de localisation.
L’article R10-13 n'impose aucune obligation de collecte de donnée pour les données relatives au trafic et à la localisation, juste la conservation des données déjà collectées. Par contre les opérateurs doivent collecter et conserver les informations relatives à l'identité civile de l'utilisateur.
Dans la cadre d’un Wi-Fi public gratuit, les informations collectées de base peuvent se résumer à… rien (excepté l’adresse mac qui est présent de base dans les paquets IP et le user-agent lors de la connexion au portal captif). L’obligation de collecte se limite donc aux informations relatives à l'identité civile de l'utilisateur.
-
Il n'y a pas une histoire comme quoi la fourniture d'un "Wi-Fi public" est assimilé maintenant aux opérateurs (FAI) à part entière ?
Pour un FAI classique <=> client final unique, l'acquisition de toutes ces données est trivial. Pour un "FAI" qui met à disposition Internet à des utilisateurs divers et variés, c'est plus compliqué.
Mon but pour apporter une expérience utilisateur ultime c'est d'avoir 0 ou 1 interaction utilisateur (clic sur le réseau et boom connecté). Le FAI partenaire avec qui je travaille me certifie qu'un "portail captif" avec acceptation des CGU est obligatoire pour un Wi-Fi public. Sur quoi il se base comme loi, il n'a pas su me dire. C'est surtout basé sur son expérience de ses clients, avec certains cas où les FDO débarquent dans son bureau...
En attendant la réponse officielle de l'ARCEP, quelle est la bonne pratique vers laquelle se diriger ?
Sachant que "ne rien loguer" je sais faire
que "mettre un portail captif avec CGU" je sais faire mais ça dégrade l'expérience utilisateur (taux d'échec de connexion important, oui c'est dur de cliquer sur "j'accepte")
que "faire un formulaire avec OTP", je sais faire aussi mais ça va être la cata en terme d'expérience.
-
Question peut-être idiote que reste-t-il à log quand l'utilisateur du wifi active un VPN ?
-
Le DPI est interdit donc VPN ou pas VPN, seul l'adresse mac peut être collectée dans les informations qui ne sont pas fournies par le client.
-
TP-LINK communique les éléments suivants pour un AP publique
(https://lafibre.info/images/materiel/202311_tp-link_hotspot_wifi.webp)
-
Sauf que le point 3 est illégal, interdiction de filtrer sur un réseau ouvert au public
-
Je confirme, il y a régulièrement des "zones grises" concernant le Wi-Fi dans les lieux public.
"Vous devez pouvoir interdit le téléchargement illégal depuis votre hotspot" n'est pas une zone grise, c'est illégal depuis l'entrée en vigueur du règlement européen sur la neutralité du net. Un opérateur n'a pas le droit d'ouvrir les paquets pour voir ce que fait son client (DPI) - il y a des exceptions très limitées, si c'est un juge qui en fait la demande par exemple.
Si vous trouvez encore ce type de texte de l'Arcom (fusion du CSA et de l'Hadopi) je pense que je pourrais faire remonter l'aspect complètement illégal.
Attention, le Wi-Fi proposés dans les entreprises ne sont pas des réseaux ouverts au public et ne sont pas concernés. Mais le Wi-Fi proposé dans un hôpital ou un restaurant doit être neutre.
alf084 tu as l'URL où c'est proposé par TP-LINK ? Il faut que je demande de corriger le point 3.
-
Question peut-être idiote que reste-t-il à log quand l'utilisateur du wifi active un VPN ?
sous réserve qu'il puisse le faire
pour etre aficianos des wifi ouverts (j'utilise très rarement l'internet mobile, pareil pour mon entourage), je peux assurer qu'une bonne moitié d'entre eux exige, à minima, un changement de conf pour le vpn, quand celui ci est accepté (eg protonvpn gratuit : sleath/smart/auto/wiregard etc.. deux hotspot de deux enseignes différentes quii se cotoient, laissent le vpn d'une conf A fonctionner, en bloquant le parametre de conf B, et inversement dans la boutique d'en face..)
"Vous devez pouvoir interdit le téléchargement illégal depuis votre hotspot" n'est pas une zone grise, c'est illégal depuis l'entrée en vigueur du règlement européen sur la neutralité du net. Un opérateur n'a pas le droit d'ouvrir les paquets pour voir ce que fait son client (DPI).
c'est bizarre, pourtant il y a encore plein d'initiatives pour analyser les paquets et proposer de la pub au travers de la navigation (ou espionner commercalement les usagers wifi)
certains en font meme leur business ; je nommerai pas l'entreprise dont j'ai eu echo, mais ils se vantaient d'analyser les paquets (en 2023) des visiteurs des musées, des événements etc, pour proposer du contenu (au visiteur, ou au gérant de l'AP) en lien avec l'utilisation de la chose
ya genre une sorte de guichet/interlocuteur (hors cnil, ils sont que treize) à faire remonter ca?
ps: faire payer l'acces par visionnage d'une pub obligatoire, c'est légal?
-
ya genre une sorte de guichet/interlocuteur (hors cnil, ils sont que treize) à faire remonter ca?
C'est moi. En public ici et sinon par mail (je t'envoie mon adresse pro en message privé).
-
alf084 tu as l'URL où c'est proposé par TP-LINK ? Il faut que je demande de corriger le point 3.
Yes, voici les liens.
https://www.tp-link.com/fr/product-catalogue/smb/
Guide wifi pro 2023
https://static.tp-link.com/upload/smb/2023/202303/20230313/GuideWifi_IT-Partners_2023_v07%20(1).pdf
-
pour etre aficianos des wifi ouverts (j'utilise très rarement l'internet mobile, pareil pour mon entourage), je peux assurer qu'une bonne moitié d'entre eux exige, à minima, un changement de conf pour le vpn, quand celui ci est accepté (eg protonvpn gratuit : sleath/smart/auto/wiregard etc.. deux hotspot de deux enseignes différentes quii se cotoient, laissent le vpn d'une conf A fonctionner, en bloquant le parametre de conf B, et inversement dans la boutique d'en face..)
Par goût pour les emmerdes ? ou simple masochisme ordinaire ?
-
Par goût pour les emmerdes ? ou simple masochisme ordinaire ?
par gout des emmerdes !
pourquoi faire simple quand on peut faire compliqué? ;)
(s'il faut jongler entre deux configs de protonvpn, c'est pas par plaisir : c'est l'expérience qui montre que CcialA accepte sleath et bloque smart ; CCialB accepte smart et bloque sleath ; n'essaie pas en auto, aucun des deux l'accepte ; donc obligé de changer de conf' à chaque changement de réseau/ssid)
si ensuite, l'idée de vouloir absolument un vpn lors d'une connexion à un wifi ouvert, ou le simple fait de jurer que par les wifi au lieu de la data, te fait "bondir" à ce point au sujet d'une personne complètement "à contre courant de la tendance actuelle", l'explication est simple, assumée et que j'encourage aussi : vivre loin de son temps, le masochisme que tu t'imagines m'est un vrai bonheur d'apaisement! ;) ;)
mon avenir n'est juste pas aux données mobiles ;)