Concernant la partie WiFi, effectivement c'est le bordel. J'ai eu un design à faire avec des notions de Guest et il en ressortait 2 articles côté France: Articles L 34.1.1et R .10.13 du Code des Postes et Communications Electroniques, que l’opérateur de communications électroniques, est tenu de conserver, un certain nombre d’éléments au nombre desquels les informations permettant d'identifier l'utilisateur.
Les lois européennes et françaises sont assez contradictoires ou floues sur le sujet. En plus il fallait faire attention aux points suivants: L’étendue de cette obligation doit être lue à la lumière de la directive communautaire EC/2006/24 ( art 5.1.a.2)b) qui définit l’identification d’un utilisateur comme : les données nécessaires pour retrouver et identifier la source d’une communication : En ce qui concerne l’accès à Internet, le courrier électronique par Internet et la téléphonie par Internet : les numéros d’identifiant attribué(s) le numéro d’identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public les noms et adresse de l’abonné ou de l’utilisateur inscrit à qui une adresse IP, un numéro identifiant ou un numéro de téléphone a été attribué au moment de la communication.» (…) » Donc au final, dès qu'on fourni un service libre d'accès et que les personnes interne à l'entreprise l'utilise (notamment smartphone, tablette personnels), on est dans l’obligation d’identifier les utilisateurs des services offerts, afin de pouvoir assister les autorités judiciaires ou administratives dans le cadre d’enquêtes, notamment dans le cadre de la lutte contre le terrorisme. A défaut, des sanctions pénales sont encourues . Un petit tableau qui peut-être pratique pour bien se situer, par contre il me semble que des textes ont été changés dernièrement, est-ce que quelqu'un en sait un peu plus à ce sujet ? Partenaire privé Opérateur est un fournisseur de service est un exploitant d’infrastructure réseau obligation d’identifier l’utilisateur sur une base déclarative ► nom ; prénom adresse, numéro de téléphone et/ou mai ► S’il dispose d’équipements réseau : adresse IP et diverses données de connexion et de traçabilité disponibles obligation de conserver le trafic par utilisateur et le mettre à disposition de l’entité requise. ► adresse IP et diverses données de connexion et de traçabilité disponibles, ► la date, l'horaire et la durée de chaque communication (les date et heure de début et de fin de la connexion, les caractéristiques de la ligne de l’abonné, le type de protocole ou de réseau utilisé Pour info, on était partis sur de l'UCOPIA pour les logs avec un syslog en backup derrière des FW BIG-IP. On Sep 24, 2013, at 1:12 PM, Yann Vercucque <[email protected]> wrote: > Désolé mais c'est complètement faux... La charte informatique que les > salariés doivent signer pour utiliser des Pc de la société, doit indiquer > clairement que le surf à titre personnel est toléré (ou non) et que le > service informatique ce réserve le droit d'en contrôler l'accès. > > Un salarié pourrait très bien aller sur des sites illégaux (pédophilie, > nacisme ou autre) en https. Si les forces de l'ordre s'en aperçoivent, il > faut être capable de les renseigner... Cela rejoint, à mon sens, la > réglementation sur les hotspots wifi qui doivent absolument tout logguer. > > Concernant le choix des firewall, Palo Alto ont également des rapports bien > fournis. > > Yann, > >> Le 24 sept. 2013 à 11:15, Raphaël Jacquot <[email protected]> a écrit : >> >>> On 24.09.2013 11:06, Jean-Henri Antunes wrote: >>> lol, pas mis en place ce truc là, mais justement ca m'interresse.... >>> dans certain cas ca peut etre vraiment utile, on a déjà vu des ptit >>> trojan utiliser des sessions ssl... >>> par exemple si le certificat ssl ne match pas xxx et que yyy appliquer >>> déchiffrage et du coup l'Antivirus/IPS peut analyser le flux. >>> Par contre sur l'aspect "illégal" c'est étonnant... c'est du >>> déchiffrement (man in the midle) juste pour assurer la sûreté du >>> flux / la conformité avec la politique de l'usage internet... dans le >>> cas où les utilisateurs sont informés... pour moi celà s'apparente >>> à l'analyse d'une pièce jointe par l'AV.... >> >> la communication chiffrée est assimilée a de la correspondance privée, a >> l'opposé >> de l'email qui transite en clair dans le serveur de l'entreprise. >> >> l'utilisation de produits de MITM est donc une intrusion illégale dans un >> systeme >> de traitement de l'information, au sens de la réglementation. >> si, par exemple, l'utilisateur se connecte a son gmail en https, le fait >> d'utiliser >> un outil de MITM est une intrusion dans les serveurs de Google >> >>> Le 24 septembre 2013 10:55, Raphaël Jacquot <[email protected]> a >>> écrit : >>>> On 24.09.2013 10:52, Jean-Henri Antunes wrote: >>>>> (...) dechiffrement (...) >>>> c'est moche le MITM... c'est même illégal (intrusion dans une >>>> correspondance privée) >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ [1] >>> Links: >>> ------ >>> [1] http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
smime.p7s
Description: S/MIME cryptographic signature
