Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Frédéric]

Le 2012-11-22 13:24, o...@ovh.net a écrit :

On Thu, Nov 22, 2012 at 11:10:13AM +0100, Bruno Sabaila wrote:
La différence entre le droit français et le droit américain est, 
pour
l'essentiel, que le droit français prévoit des garanties pour 
limiter les

abus (CR p.ex. à la différence des NSL du Patriot Act).


ce n'est pas un abus. c'est une loi. qui dit que
si tu es un americain ou une boite americaine
qq soit le lieu de ta residence et le business
que tu fais dans le monde, tu vas collaborer pour
le bien de la nation. ça peut être contre le
terrorisme, comme contre les concurents .. tu
es patriot et tu defends ton pays. pas vraiment
choquant si on se situe dans un contexte de
guerre permanante.

ce qu'on ne voit pas nous en europe est que c'est une
loi. et pas une "non loi". c'est à dire que le
patriot act est encadrée. il y a un process et on
peut pas faire n'importe quoi non plus. ce qui nous
semble d'être n'importe quoi et c'est là que tout
bascule est qu'il ne faut pas une enquete juridique
pour demander les infos sous patriot act. il suffit
que quelqu'un decide qq part qu'un gars est à pister
et il sera pisté. mais en respectant la loi .. :)
peu importe ce qu'on pense de la loi, si tu veux
faire business aux usa, tu l'acceptes. si tu ne
l'acceptes pas, vas ailleurs et bosse avec d'autres
boites. c'est pq nous on a construit le DC au .. Canada.

De toute façon, dans quelques pays que ce soit, les forces de 
l'ordre
peuvent demander d'accéder aux données stockées par une entreprise 
de leur
nationalité ou dont les installations sont basées sur son 
territoire.


tu reves. en france, allemange (pour les cas qu'on
a eu à gerer), le juge decide et ordonne un truc
et on doit s'executer. si un police man arrive et
veut faire un truc sans papier il retourne chez lui.
ça m'est déjà arrivé plusieurs fois renvoyer bouler
la police "à la porte du DC" sans aucun papier.
fleur à la fusil. sinon souvent une copie de disque
est faite pour les besoins de l'enquete. parfois on
nous demande tout: la plus grosse saisie qu'on a eu
à faire venant d'un juge allemand, qui a demandé
qu'on lui renvoit 200-250 serveurs. on lui a donc
renvoyé la palette de disques. j'ai posté un jour
une photo sur le twitter. tout ceci se fait
avec un hussier de justice et plein d'avocats dans
tous les sens. un bordel à gerer 3 à 5 fois par an.



C'est facturé...

Cordialement.





---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI

[Pierre Chapuis]

> Le 22 nov. 2012 à 12:38, Sylvain Vallerot  a écrit :
>
>> Je parlais d'obligation de surveillance instaurée
>> par la loi Hadopi 2 dans le code de la propriété intellectuelle.
>
> Pardon ? Donc pour toi l'obligation de sécurisation implique
nécessairement surveillance. Tout va
> bien, on est sur FrNOG

Dans le contexte d'HADOPI, a priori on parle bien de surveillance :

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI21212163&cidTexte=LEGITEXT06069414

À part si tu me donnes le nom du logiciel de "sécurisation" magique qui
détecte les oeuvres protégées par le droit d'auteur je ne vois pas d'autre
moyen d'appliquer ça que de fliquer toute personne utilisant ton service
et/ou accès.

-- 
Pierre Chapuis


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Alexandre Archambault]

Le 22 nov. 2012 à 14:16, "JC"  a écrit :

>> Le tout dans un cadre légal, cf. loi n°91-646, avec contrôle parlementaire à
> la clé
> 
> La loi de 91 sur les écoutes a été abrogée en mars de cette année.
> 
> http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT06077781

Non, pas abrogée mais désormais consolidée dans le code de la sécurité 
intérieure créé en début d'année.


--
Alec,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re: [FRnOG] [MISC] Patriot Act - Datacenter

[JC]

> Le tout dans un cadre légal, cf. loi n°91-646, avec contrôle parlementaire à
la clé

La loi de 91 sur les écoutes a été abrogée en mars de cette année.

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT06077781

--
JC

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI

[Sylvain Vallerot]

On 22/11/2012 12:53, Alexandre Archambault wrote:

Le 22 nov. 2012 à 12:38, Sylvain Vallerot  a écrit :


Je parlais d'obligation de surveillance instaurée
par la loi Hadopi 2 dans le code de la propriété intellectuelle.


Pardon ? Donc pour toi l'obligation de sécurisation implique
nécessairement surveillance. Tout va bien, on est sur FrNOG



Ah ouais, complètement. En matière de sécurité le minimum c'est tout
de même d'ouvrir les yeux, et de regarder ce qui se passe. Si tu fais
de la sécurité sans voir, entendre, ni mesurer, alors je ne donne pas
cher de ta sécurité.

Pire avec cette loi précisément, ce qu'on va te reprocher c'est ce
qui est passé, alors que la sécurisation est non seulement un prétexte
mais nullement spécifiée (les fameux logiciels de sécurisation
labellisés).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[oles]

On Thu, Nov 22, 2012 at 11:10:13AM +0100, Bruno Sabaila wrote:
> La différence entre le droit français et le droit américain est, pour
> l'essentiel, que le droit français prévoit des garanties pour limiter les
> abus (CR p.ex. à la différence des NSL du Patriot Act).

ce n'est pas un abus. c'est une loi. qui dit que
si tu es un americain ou une boite americaine 
qq soit le lieu de ta residence et le business
que tu fais dans le monde, tu vas collaborer pour
le bien de la nation. ça peut être contre le
terrorisme, comme contre les concurents .. tu
es patriot et tu defends ton pays. pas vraiment
choquant si on se situe dans un contexte de 
guerre permanante.

ce qu'on ne voit pas nous en europe est que c'est une
loi. et pas une "non loi". c'est à dire que le 
patriot act est encadrée. il y a un process et on
peut pas faire n'importe quoi non plus. ce qui nous
semble d'être n'importe quoi et c'est là que tout
bascule est qu'il ne faut pas une enquete juridique
pour demander les infos sous patriot act. il suffit
que quelqu'un decide qq part qu'un gars est à pister
et il sera pisté. mais en respectant la loi .. :)
peu importe ce qu'on pense de la loi, si tu veux
faire business aux usa, tu l'acceptes. si tu ne 
l'acceptes pas, vas ailleurs et bosse avec d'autres
boites. c'est pq nous on a construit le DC au .. Canada.

> De toute façon, dans quelques pays que ce soit, les forces de l'ordre
> peuvent demander d'accéder aux données stockées par une entreprise de leur
> nationalité ou dont les installations sont basées sur son territoire.

tu reves. en france, allemange (pour les cas qu'on 
a eu à gerer), le juge decide et ordonne un truc 
et on doit s'executer. si un police man arrive et
veut faire un truc sans papier il retourne chez lui.
ça m'est déjà arrivé plusieurs fois renvoyer bouler
la police "à la porte du DC" sans aucun papier. 
fleur à la fusil. sinon souvent une copie de disque
est faite pour les besoins de l'enquete. parfois on
nous demande tout: la plus grosse saisie qu'on a eu
à faire venant d'un juge allemand, qui a demandé 
qu'on lui renvoit 200-250 serveurs. on lui a donc
renvoyé la palette de disques. j'ai posté un jour
une photo sur le twitter. tout ceci se fait 
avec un hussier de justice et plein d'avocats dans
tous les sens. un bordel à gerer 3 à 5 fois par an.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI

[Alexandre Archambault]

Le 22 nov. 2012 à 12:38, Sylvain Vallerot  a écrit :

> Je parlais d'obligation de surveillance instaurée
> par la loi Hadopi 2 dans le code de la propriété intellectuelle.

Pardon ? Donc pour toi l'obligation de sécurisation implique nécessairement 
surveillance. Tout va bien, on est sur FrNOG

--
Alec,






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI

[Sylvain Vallerot]

On 22/11/2012 10:11, Alexandre Archambault wrote:


Le 21 nov. 2012 à 17:41, Sylvain Vallerot  a écrit :


Oui mais soumis à l'obligation de flica^Wsurveillance de tes proches.


Non, les obligations de collecte des données d'identification ne valent,
à ce jour, que pour les opérateurs&  fournisseurs de services de
communications électroniques *ouverts au public*.


Lis mieux Alec, je ne parlais pas d'obligation de collecte de donnée
dans ce que tu cites. Je parlais d'obligation de surveillance instaurée
par la loi Hadopi 2 dans le code de la propriété intellectuelle.



Après, si un abonné ouvre à tout va de lui-même son réseau domestique
à des tiers, il bascule dans cette catégorie.


C'est ça on est bien d'accord.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.

[Sylvain Vallerot]

On 22/11/2012 10:33, Xavier Beaudouin wrote:

Hello,

 > Après chacun ses plus et moins, le coup de la carte d'identité tu
rentres

pas, j'ai déjà failli me le manger. Après 600Km, j'aurais bien eu les
boules mais en soit c'est la règle.
Si on commence à faire des exceptions, c'est pas forcément bon non plus.


Il y a une vraie différence entre contrôler l'identité et contrôler
l'accès.

Effectivement des gens qui ne sont pas connus par le personnel c'est
utile de demander leur CID sur un DC pour ensuite comparer avec la
liste d'accès.

Mais quand je me pointe sur un DC où tout le monde m'appelle par mon
prénom, si je suis bloqué à l'entrée parce que la carte est restée dans
ma poche de jean ça n'a pas de sens.  


Quand à scanner la carte pour aller jusqu'à vérifier sur une base de
données externe sa validité et un éventuel signalement (comme ce qui a
été mis en place sur Telehouse)  ça relève de la parano.
Mais ça impressionne les costard-cravattes pendant les visites, oui.

Ce qui aurait du sens par contre c'est que les listes soient consultées
systématiquement lors des demandes d'accès, que les mises à jour de ces
listes soient traitées avec un peu plus de sécurité, qu'on ne confonde
pas les clients (personnes morales) avec les personnes physiques, qui
peuvent aller/venir et quitter X pour aller travailler chez son concurrent.

Par exemple sur Telehouse un petit malin qui voulait vider précipitamment
le rack qu'il devait restituer le jour même, a essayé récemment de me
refiler ses câbles à déposer en les réaffectant à ma baie, et en exploitant
la confusion que les personnels de Telehouse 2 commettaient souvent entre
sa structure et la mienne. Ca serait facilement passé si je n'avais pas vu
venir le coup et demandé à vérifier ce point précis (pas un gros enjeu de
sécurité j'en conviens). Ca tient à ce que les évolutions dans les
relations contractuelles sont souvent mal répliquées sur les outils
utilisés par le PC, et il y a des filous pour en abuser.


Enfin les procédures changent et leur notification aux client n'est pas
systématique. Le contrat se content souvent de mentionner que le client
doit se conformer aux règles et procédures, que le prestataire peut
modifier à loisir. Il y a un opérateur/hébergeur qui m'a accusé devant
un tribunal de ne pas avoir réclamé et suivi la procédure de demande
d'accès pour s'exonérer d'avoir tardé (beaucoup tardé, mais pas refusé)
à donner accès malgré une situation de danger imminent. Dans ce cas
précis c'était juste de la mauvaise foi, mais ce qui est intéressant
la tentative de se cacher derrière cette procédure extrêmement volatile
et mal sécurisée pour se dédouaner de conséquences potentiellement graves.



Enfin, comme chacun sais en France, on doit toujours prouver son
identité, donc si tu l'as pas et que tu es Francais ou que tu as une
carte de séjour ou résident, tu risques aussi d'avoir des "problèmes"
lors d'un control (probable ou pas) des forces de l'ordre...


Non, tu n'as pas à avoir une CID sur toi 24/7, il y a bien d'autres
manières de donner ton identité. Mais évitons le troll qui a déjà eu
mille fois sur l'obligation ou pas, la pratique, la discrimination etc.

Eric Freyssinet a probablement les bons liens à nous donner là-dessus,
je lui cède volontiers la parole (maintenant qu'on l'a repéré on ne
va plus le lâcher ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Nicolas GORALSKI]

On 2012-11-22 11:17, Florian Lacommare wrote:

On 21 nov. 2012, at 17:15, Sylvain Vallerot  wrote:




On 21/11/2012 16:53, Laurent Cheylus wrote:
Une clause du contrat m'informait explicitement que je suis soumis 
au au
Patriot Act (garps) pour les biens déposés dans mon local et que le 
FBI

ou autre service US pouvait y débarquer pour visite comme bon leur
semble...


Je ne sais pas que penser de cette information : c'est un contrat
privé entre toi et eux, tu l'acceptes, ben : tu l'acceptes.

En l'état on ne peut ni conclure qu'ils étaient obligés de mettre
cette clause dans le contrat, ni même qu'elle est valable...

Parfois certains contrats FR sont traduits on se demande bien par
qui depuis la langue d'origine et sans adaptation au droit local,
et ne valent pas grand-chose.



Attention, signer un contrat dont une clause est illégale est
facilement réfutable devant un juge, si celle-ci est incorrect ou
illégale.


Oui en cas de clause de coupure de service ou autre joyeuseté.
Le fait que ton prestataire US te balance tu as pas respecté tel clause 
(abusive) on a coupé, effacé tes données et tout le reste c'est une 
chose, mais accéder au contenu de tes données en est une autre.


Mais de ce que j'avais retenu et ou compris par rapport au patrioct act 
est que le gvt américain (et ses entités qui la représente) peuvent à 
n'importe quel moment sans justifié quoique ce soit accéder à tes 
données.


Je pense que comme le soulignais Arnaud Buclin (qui je suis sur connais 
cette argumentation dans des fins commercialles n'est-ce pas Arnaud ? :D 
), il vaut mieux voir FAUT MIEUX se rapprocher d'un prestataire national 
et sans affiliation US. Cela afin de s'assurer que les données ne 
sortent pas du territoire.
Déjà qu'avec echelon on a des fuites, avec Patrioct Act c'est les 
grandes crues qu'on risque.


OVH l'a fait justement, cette année, lors de leur agrandissement 
outre-atlantique en créeant une nouvelle entité complètement 
indépendante de celle de la France. Seule l'entité US est tributaire de 
la législation US, la société en France est donc hors de porté de cette 
loi, du fait que le Patrioct Act s'appliquant aux sociétés US ainsi qu'à 
leurs filliales à l'étranger.


Pour ma part je host mes services dans un serveur physiquement en 
France mis à disposition par une Association Loi 1901.




De plus, si tu passes devant la justice Française (les autres pays je
ne sais pas), tu n'es jamais sur du résultat. La loi est souvent
interprété, et cela reste donc à la discrétion du juge (sauf si la C.
Cass. s'est déjà prononcé sur le sujet).

Je ne suis donc pas sur qu'il y est de réponse à cette question.

Bonne journée


Bonne soirée,


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Eric Freyssinet]

Bonjour,

L'article 434-7-2 du code pénal dit:
"Sans préjudice des droits de la défense, le fait, pour toute personne qui,
du fait de ses fonctions, a connaissance, en application des dispositions
du code de procédure pénale, d'informations issues d'une enquête ou d'une
instruction en cours concernant un crime ou un délit, de révéler sciemment
ces informations à des personnes qu'elle sait susceptibles d'être
impliquées comme auteurs, coauteurs, complices ou receleurs, dans la
commission de ces infractions, lorsque cette révélation est réalisée dans
le dessein d'entraver le déroulement des investigations ou la manifestation
de la vérité, est puni de deux ans d'emprisonnement et de 30 000 euros
d'amende.
Lorsque l'enquête ou l'instruction concerne un crime ou un délit puni de
dix ans d'emprisonnement relevant des dispositions de l'article 706-73 du
code de procédure pénale, les peines sont portées à cinq ans
d'emprisonnement et à 75 000 euros d'amende."

Je ne saurais donc que trop vous déconseiller d'informer un tiers dans le
cadre d'une procédure pénale au cours de laquelle vous auriez fait l'objet
d'une perquisition. Vous ne savez pas s'il est auteur, complice ou receleur
de l'infraction.

Cordialement,

Eric Freyssinet

2012/11/22 Bruno Sabaila 

>
>
> Et le droit français ne prévoit pas de "gag order", empêchant le
> prestataire de prévenir le client qui héberge ses données, à la différence
> du Patriot Act.
>
>

-- 
Eric Freyssinet
perso: eric.freyssi...@m4x.org
pro: eric.freyssi...@gendarmerie.interieur.gouv.fr
blog: http://blog.crimenumerique.fr/ - twitter:
@ericfreyss

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Florian Lacommare]

On 21 nov. 2012, at 17:15, Sylvain Vallerot  wrote:

>
>
> On 21/11/2012 16:53, Laurent Cheylus wrote:
>> Une clause du contrat m'informait explicitement que je suis soumis au au
>> Patriot Act (garps) pour les biens déposés dans mon local et que le FBI
>> ou autre service US pouvait y débarquer pour visite comme bon leur
>> semble...
>
> Je ne sais pas que penser de cette information : c'est un contrat
> privé entre toi et eux, tu l'acceptes, ben : tu l'acceptes.
>
> En l'état on ne peut ni conclure qu'ils étaient obligés de mettre
> cette clause dans le contrat, ni même qu'elle est valable...
>
> Parfois certains contrats FR sont traduits on se demande bien par
> qui depuis la langue d'origine et sans adaptation au droit local,
> et ne valent pas grand-chose.
>

Attention, signer un contrat dont une clause est illégale est
facilement réfutable devant un juge, si celle-ci est incorrect ou
illégale.

De plus, si tu passes devant la justice Française (les autres pays je
ne sais pas), tu n'es jamais sur du résultat. La loi est souvent
interprété, et cela reste donc à la discrétion du juge (sauf si la C.
Cass. s'est déjà prononcé sur le sujet).

Je ne suis donc pas sur qu'il y est de réponse à cette question.

Bonne journée

> Bonne soirée,
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
Florian Lacommare


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.

[Frederic Dhieux]

Le 11/21/12 11:33 PM, Inulogic - Free-H a écrit :
> Je prêche la ou je suis étant donné que c'est un des rares que je connais
> correctement l'ayant visité de fond en comble plusieurs et étant
> globalement très satisfait.
> J'ai été chez OVH à DC1 ou la sécurité n'a strictement rien à voir avec
> celle de Iliad (pourtant c'est deux hosteurs me semble) mais c'est tout, je
> ne faisais que partager mon avis :).
> (Je n'aurais pas de réduc si jamais vous prenez quelques baies :().

Non je me doute, mais quand on est sur un site uniquement et qu'on y a
posé ses serveurs, en général on va pas trop le critiquer ;) Je voulais
surtout dire c'est que c'est un avis basé sur peu de comparaisons ;)
Pour moi OVH c'est particulier aussi, datacenter n'est pas leur coeur de
métier, contrairement à Equinix, InterXion et Telecity par exemple.

> Alors oui le portail par jour humide, il ne marche pas donc on peut
> l'ouvrir à la main, pour le reste je reste étonné que ton couloir froid
> n'ai pas de badge.

Ah si si accès par badge tout ça pour le cold corridor, mais ça ne
change pas l'autre côté de la baie ;)

> Pour brute force les baies couloir chaud, c'est un beaucoup plus compliqué
> que chez OVH ou il ne faut que quelques secondes à quelques minutes vu le
> système utilisé.

Ca reste des baies standards, c'est loin d'être compliqué si on "veut"
ouvrir. Là encore ça ne me choque pas, faut relativiser les choses, mais
il ne faut pas non plus être naïf sur la réelle sécurité de chaque point
unitairement, c'est surtout l'ensemble des contraintes qui réduit les
risques.

> Ensuite, imaginons que tu fous le bordel sur un client, il vient se
> plaindre, ça devrait pas poser de problème de trouver qui est entré et avec
> quel badge.

Oui, comme partout, il n'y a pas 36 personnes dans la salle au même
moment, c'est pas compliqué de chercher le coupable quand il y a un
problème. Parfois ça reste quand même compliqué de tout voir.

> A entendre les premiers messages, on a l'impression que chez NetCenter,
> personne ne sait. Pas de caméra ni de badge ?
> Donc d'accord, si c'est pas des datacenters mais des trucs à POP, c'est
> compréhensible qu'il manque de la sécurité.
> Pourtant sur le site web, c'est bien marqué datacenter.

Non, c'est pas qu'il n'y a rien, c'est que c'est mal foutu et qu'il y a
beaucoup d'intervenants de tout type. Ca génère des situations qui
rendent la sécurité des lieux aléatoire. Avec les changements de badges
dernièrement il y a même des gens qui ont eu beaucoup de mal à accéder à
leur espace, donc c'est pas toujours dans le même sens le problème =)

> Après chacun ses plus et moins, le coup de la carte d'identité tu rentres
> pas, j'ai déjà failli me le manger. Après 600Km, j'aurais bien eu les
> boules mais en soit c'est la règle.
> Si on commence à faire des exceptions, c'est pas forcément bon non plus.

Ca semble quand même assez normal pour des personnes chargées de la
sécurité de respecter les procédures, certains font plus de zèles que
d'autres, mais dans l'absolu on ne peut pas exiger de la sécurité à un
datacenter et râler quand ils sont inflexibles à l'entrée sur
l'identification. D'autant qu'une pièce d'identité tu es toujours censé
en avoir une sur toi.

Frederic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Bruno Sabaila]

La différence entre le droit français et le droit américain est, pour
l'essentiel, que le droit français prévoit des garanties pour limiter les
abus (CR p.ex. à la différence des NSL du Patriot Act).

De toute façon, dans quelques pays que ce soit, les forces de l'ordre
peuvent demander d'accéder aux données stockées par une entreprise de leur
nationalité ou dont les installations sont basées sur son territoire.

Et le droit français ne prévoit pas de "gag order", empêchant le
prestataire de prévenir le client qui héberge ses données, à la différence
du Patriot Act.

Non, l'expert forensic ne débranche pas le serveur à chaud, tant qu'il a la
possibilité de faire une copie exacte des données du site "perquisitionné"
(le terme de perquisition informatique est un abus de langage).




Le 22 novembre 2012 10:50, Buclin Arnaud  a écrit :

> On vit tout de même une situation ubuesque. Les contrats des hébergeurs
> français stipulent généralement le fait qu'ils sont potentiellement en
> droit
> de mettre à dispo d'un procureur français toutes les données des clients
> qu'ils hébergent. Cette action se passent où ? dans le dtc ? le procureur
> débranche le serveur ? quid des autres clients sur le serveur? La mise en
> œuvre d'une telle action par la justice française me parait déjà compliquée
>
> Les hébergeurs americains basés en France ont normalement les mêmes
> contraintes juridiques que leur concurrent français sauf que la justice
> americaine peut leur demander également de livrer ces données. Mais dans ce
> cas l'entreprise americaine outrepasse ses droits dans le sol français.
>
> Dans une période où chaque pays veut conserver ses données souveraines sur
> leur territoire, je rigole car les americains auront toujours moyen, au
> travers de leurs hébergeurs, de récupérer les datas qu'ils veulent.
>
> La solution, c'est de faire confiance qu'aux hébergeurs présents dans un
> seul pays et qui se conforme à la loi de ce pays.
>
> -Original Message-
> From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf
> Of
> Renaud RAKOTOMALALA
> Sent: jeudi 22 novembre 2012 00:21
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [MISC] Patriot Act - Datacenter
>
> Le 21/11/2012 21:13, Eric Freyssinet a écrit :
> > Bonsoir,
> >
> > [../..]
> > Donc, si les données sont accessibles depuis un système informatique
> > américain et que - dans le cadre légal US - ils ont le consentement légal
> > et volontaire de la personne légalement autorisée à divulguer ces données
> > au moyen de ce système informatique, ils peuvent récupérer ces données
> dans
> > le cadre de la procédure prévue. Il y a donc un consentement nécessaire,
> ce
> > ne peut être une contrainte.
> > Est-ce que dans le cadre du contrat qui lie la personne hébergée en
> France,
> > son hébergeur est autorisé à accéder aux données que contient les
> serveurs
> > qu'il héberge ? Dans l'affirmative il est possible que la procédure soit
> > possible.
> > Au passage, l'inverse est vrai. En droit français, c'est l'article 57-1
> du
> > code de procédure pénale (
> >
>
> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI065
> 75037&cidTexte=LEGITEXT06071154&dateTexte=20090513&categorieLien=id)
> > qui encadre cette possibilité (on ne peut le faire qu'au cours d'une
> > perquisition, depuis le lieu de la perquisition (et non pas depuis notre
> > bureau) et il faut que les données soient "accessibles à partir du
> système
> > initial ou disponibles pour le système initial". Même chose, nous devons
> > avoir le consentement légal et volontaire de la personne autorisée à
> > divulguer ces données au moyen du système situé en France.
> >
>
> Bonsoir Eric,
>
> Cool pour ton retour précis, le consentement dont tu parles, est-il
> relatif au moyen d'accès lors de la perquisition ou à l'accord explicite
> d’accéder à des informations situées hors du territoire ?
>
> En gros si un employé fournit ses identifiants est-ce là, la
> qualification de l'accord explicite dont tu parles ?
>
>  Ou la justice française a t elle besoin d'un consentement non contraint
> (là tu comprendras mon sourire quand même :) concernant le fait que les
> données se trouvent hors du territoire français ?
>
> Renaud
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Best Regards - Cordialement

 [image: Outscale, le Cloud Francais] 
 Bruno Sabaila, Legal
Tel : 0826.206.307 (poste 105) / +33.1.55.39.01.39
Fax : +33.1.83.62.92.89

 [image: Facebook] 
[image: Twitter] 
[image: Twitter] 
 IMPORTANT: The information contained in this message may be privileged and
confidential and protected from disclosure. If the reader of this message
is not the intended recipient, or an employee or agent responsible for
delivering this message to the intended recipient, you are hereby notifi

RE: [FRnOG] [MISC] Patriot Act - Datacenter

[Buclin Arnaud]

On vit tout de même une situation ubuesque. Les contrats des hébergeurs
français stipulent généralement le fait qu'ils sont potentiellement en droit
de mettre à dispo d'un procureur français toutes les données des clients
qu'ils hébergent. Cette action se passent où ? dans le dtc ? le procureur
débranche le serveur ? quid des autres clients sur le serveur? La mise en
œuvre d'une telle action par la justice française me parait déjà compliquée

Les hébergeurs americains basés en France ont normalement les mêmes
contraintes juridiques que leur concurrent français sauf que la justice
americaine peut leur demander également de livrer ces données. Mais dans ce
cas l'entreprise americaine outrepasse ses droits dans le sol français. 

Dans une période où chaque pays veut conserver ses données souveraines sur
leur territoire, je rigole car les americains auront toujours moyen, au
travers de leurs hébergeurs, de récupérer les datas qu'ils veulent. 

La solution, c'est de faire confiance qu'aux hébergeurs présents dans un
seul pays et qui se conforme à la loi de ce pays. 

-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of
Renaud RAKOTOMALALA
Sent: jeudi 22 novembre 2012 00:21
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Patriot Act - Datacenter

Le 21/11/2012 21:13, Eric Freyssinet a écrit :
> Bonsoir,
>
> [../..]
> Donc, si les données sont accessibles depuis un système informatique
> américain et que - dans le cadre légal US - ils ont le consentement légal
> et volontaire de la personne légalement autorisée à divulguer ces données
> au moyen de ce système informatique, ils peuvent récupérer ces données
dans
> le cadre de la procédure prévue. Il y a donc un consentement nécessaire,
ce
> ne peut être une contrainte.
> Est-ce que dans le cadre du contrat qui lie la personne hébergée en
France,
> son hébergeur est autorisé à accéder aux données que contient les serveurs
> qu'il héberge ? Dans l'affirmative il est possible que la procédure soit
> possible.
> Au passage, l'inverse est vrai. En droit français, c'est l'article 57-1 du
> code de procédure pénale (
>
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI065
75037&cidTexte=LEGITEXT06071154&dateTexte=20090513&categorieLien=id)
> qui encadre cette possibilité (on ne peut le faire qu'au cours d'une
> perquisition, depuis le lieu de la perquisition (et non pas depuis notre
> bureau) et il faut que les données soient "accessibles à partir du système
> initial ou disponibles pour le système initial". Même chose, nous devons
> avoir le consentement légal et volontaire de la personne autorisée à
> divulguer ces données au moyen du système situé en France.
>

Bonsoir Eric,

Cool pour ton retour précis, le consentement dont tu parles, est-il
relatif au moyen d'accès lors de la perquisition ou à l'accord explicite
d’accéder à des informations situées hors du territoire ?

En gros si un employé fournit ses identifiants est-ce là, la 
qualification de l'accord explicite dont tu parles ?

 Ou la justice française a t elle besoin d'un consentement non contraint
(là tu comprendras mon sourire quand même :) concernant le fait que les
données se trouvent hors du territoire français ?

Renaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.

[Xavier Beaudouin]

Hello,

> Après chacun ses plus et moins, le coup de la carte d'identité tu rentres

pas, j'ai déjà failli me le manger. Après 600Km, j'aurais bien eu les
boules mais en soit c'est la règle.
Si on commence à faire des exceptions, c'est pas forcément bon non plus.


Enfin, comme chacun sais en France, on doit toujours prouver son 
identité, donc si tu l'as pas et que tu es Francais ou que tu as une 
carte de séjour ou résident, tu risques aussi d'avoir des "problèmes" 
lors d'un control (probable ou pas) des forces de l'ordre...


My 0,02€.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI

[Alexandre Archambault]

Le 21 nov. 2012 à 17:41, Sylvain Vallerot  a écrit :

> Oui mais soumis à l'obligation de flica^Wsurveillance de tes proches.

Non, les obligations de collecte des données d'identification ne valent, à ce 
jour, que pour les opérateurs & fournisseurs de services de communications 
électroniques *ouverts au public*.

Après, si un abonné ouvre à tout va de lui-même son réseau domestique à des 
tiers, il bascule dans cette catégorie. Car comme le disait Eric, ce n'est pas 
la déclaration qui emporte qualité d'opérateur (elle permet juste de pouvoir 
revendiquer certains droits), mais l'activité elle-même qui dès le départ 
emporte un certain nombre d'obligations, nonobstant les jérémiades qu'on peut 
lire ici.

--
Alec,




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Patriot Act - Datacenter

[Alexandre Archambault]

Le 21 nov. 2012 à 16:48, Renaud RAKOTOMALALA  a écrit :

>  En france certaines écoutes se font en dehors d'une CR ;)

Le tout dans un cadre légal, cf. loi n°91-646, avec contrôle parlementaire à la 
clé.

--
Alec,





---
Liste de diffusion du FRnOG
http://www.frnog.org/