Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Le 22 novembre 2012 15:39, Pierre Chapuis catw...@archlinux.us a écrit : Le 22 nov. 2012 à 12:38, Sylvain Vallerot sylv...@gixe.net a écrit : Je parlais d'obligation de surveillance instaurée par la loi Hadopi 2 dans le code de la propriété intellectuelle. Pardon ? Donc pour toi l'obligation de sécurisation implique nécessairement surveillance. Tout va bien, on est sur FrNOG Dans le contexte d'HADOPI, a priori on parle bien de surveillance : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI21212163cidTexte=LEGITEXT06069414 À part si tu me donnes le nom du logiciel de sécurisation magique qui détecte les oeuvres protégées par le droit d'auteur je ne vois pas d'autre moyen d'appliquer ça que de fliquer toute personne utilisant ton service et/ou accès. On peut se demander : - qui doit surveiller qui ? - qui doit sécuriser quoi ? Que l'utilisateur doit sécuriser son accès, oui comme il est dit dans le texte. Que le FAI doit fliquer son usager/client, non, ce n'est pas au FAI de savoir ce que fait de répréhensible ou pas vis à vis de la loi. Savoir quel client était connecté à un moment donné dans la limite de 1 an, oui Quel est le rôle du FAI ? Fournir un tuyau de connexion internet, à tout l'internet, sans discrimination de flux, d'usage, tous les protocoles doivent être acheminés de la même manière sans distinction vers toutes les destinations. Après que cela passe par transit 1 ou transit n ou peering, c'est la cuisine internet d'acheminement du FAI. Mes 0.02€ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On 23/11/2012 09:00, Pascal Rullier wrote: http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI21212163cidTexte=LEGITEXT06069414 On peut se demander : - qui doit surveiller qui ? - qui doit sécuriser quoi ? Que l'utilisateur doit sécuriser son accès, oui comme il est dit dans le texte. Il n'y a pas de notion de sécurité dans le texte. Il y a une obligation de veiller aux usages. On peut dire que empêcher un usage est un manière de faire la police, mais peut-on dire que interdire la consultation de contenus artistiques c'est faire de la sécurité, et surtout de la sécurité de qui, de quoi ? Que le FAI doit fliquer son usager/client, non, ce n'est pas au FAI de savoir ce que fait de répréhensible ou pas vis à vis de la loi. Ca dépend de ce que tu entends par fliquer. L'écoute des contenus par le FAI est illégale. Mais le fichage des communications est bien obligatoire. Or par exemple les flics surveillent la circulation sur les routes (mais pas le contenu des voitures en général), ils contrôlent les identités et parfois les allées-venues mais sans les empêcher, ni contrôler l'opinion des gens qui se déplacent, ni leur capacité à se parler, ni en leur demandant *ce* qu'ils se disent. Ethiquement parlant on pourrait aussi considérer que le père de famille agit en tant que fournisseur d'accès (informel et non commercial) pour sa famille. Ce fournisseur d'accès là a, lui, non pas à tenir l'inventaire des échanges mais bel et bien à surveiller le contenu des échanges. Mais ce n'est que d'un point de vue éthique (heureusement on s'en fout ;-) Pour synthétiser : - le FAI doit conserver les traces des communications électroniques sur les services (genre messagerie, hébergement de site, etc.) qu'il *fournit*, et ce pendant 1 an, en application de la LCEN - l'abonné est responsable de la *surveillance* de l'usage qui est fait de sa ligne, en application du code de la propriété intellectuelle (Hadopi 2) et il pourra lui être demandé de *sécuriser* sa ligne (bonne chance surtout en l'absence des fameux logiciels de sécurisation estampillés) Dans le cas un peu exceptionnel où quelqu'un auto-héberge des services pour lui-même ou pour ses proches (ou même en open bar) il devient lui-même un opérateur de services et soumis aux obligations de la LCEN. Enfin sur certaines autres listes plus orientées réseau de terrain, quand on lit sécurité (et contrôles de l'ANSSI) on a plutôt le réflexe de penser contrôle de conformité, interférences, PIRE, etc. Quel est le rôle du FAI ? Fournir un tuyau de connexion internet, à tout l'internet, sans discrimination de flux, d'usage, tous les protocoles doivent être acheminés de la même manière sans distinction vers toutes les destinations. C'est pas ce que pense l'agrume, et la Neutralité du Net est encore bien loin d'être inscrite dans le marbre, si j'en crois ceci... http://www.lemonde.fr/technologies/article/2012/11/22/l-internet-ouvert-d-orange-ferme-ses-portes_1793890_651865.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Juste une précision, les FAI ont en général, un service de modération des sites qui sont en ligne sur leurs serveurs. Le but étant de repérer les sites qui incitent à la haine raciale, ou diffusent des contenus pédophiles, entre autres choses. Cdt. - Mail original - De: Pascal Rullier pas...@rullier.net À: Pierre Chapuis catw...@archlinux.us Cc: frnog@frnog.org FRnoG frnog@frnog.org Envoyé: Vendredi 23 Novembre 2012 09:00:51 Objet: Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI Le 22 novembre 2012 15:39, Pierre Chapuis catw...@archlinux.us a écrit : Le 22 nov. 2012 à 12:38, Sylvain Vallerot sylv...@gixe.net a écrit : Je parlais d'obligation de surveillance instaurée par la loi Hadopi 2 dans le code de la propriété intellectuelle. Pardon ? Donc pour toi l'obligation de sécurisation implique nécessairement surveillance. Tout va bien, on est sur FrNOG Dans le contexte d'HADOPI, a priori on parle bien de surveillance : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI21212163cidTexte=LEGITEXT06069414 À part si tu me donnes le nom du logiciel de sécurisation magique qui détecte les oeuvres protégées par le droit d'auteur je ne vois pas d'autre moyen d'appliquer ça que de fliquer toute personne utilisant ton service et/ou accès. On peut se demander : - qui doit surveiller qui ? - qui doit sécuriser quoi ? Que l'utilisateur doit sécuriser son accès, oui comme il est dit dans le texte. Que le FAI doit fliquer son usager/client, non, ce n'est pas au FAI de savoir ce que fait de répréhensible ou pas vis à vis de la loi. Savoir quel client était connecté à un moment donné dans la limite de 1 an, oui Quel est le rôle du FAI ? Fournir un tuyau de connexion internet, à tout l'internet, sans discrimination de flux, d'usage, tous les protocoles doivent être acheminés de la même manière sans distinction vers toutes les destinations. Après que cela passe par transit 1 ou transit n ou peering, c'est la cuisine internet d'acheminement du FAI. Mes 0.02€ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Le 23 nov. 2012 à 14:59, Antoine GANCEL anto...@gancel.net a écrit : Juste une précision, les FAI ont en général, un service de modération des sites qui sont en ligne sur leurs serveurs. Non. Ou alors pas sous l'activité FAI mais en tant qu'hébergeur. -- Alec --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI
Effectivement, en tant qu'hebergeur des pages perso de leurs abonnés ;) - Mail original - De: Alexandre Archambault aarchamba...@corp.free.fr À: frnog@frnog.org FRnoG frnog@frnog.org Envoyé: Vendredi 23 Novembre 2012 15:12:56 Objet: Re: [FRnOG] [MISC] Décret sur les contrôles de sécurité par l'ANSSI Le 23 nov. 2012 à 14:59, Antoine GANCEL anto...@gancel.net a écrit : Juste une précision, les FAI ont en général, un service de modération des sites qui sont en ligne sur leurs serveurs. Non. Ou alors pas sous l'activité FAI mais en tant qu'hébergeur. -- Alec --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Décret sur les contrôles de sécurité par l'ANSSI
On 11/21/2012 03:51 PM, Paul Rolland (ポール・ロラン) wrote: Donc, en hebergeant mon serveur de mails a la maison, tant que l'usage en est offert au cercle famillial : non operateur Mais si j'heberge un jour une mailling-list dessus, je deviens operateur ? Petit aparté: il y a des opérateurs qui s'ignorent. La déclaration est obligatoire, mais tous ne sont pas déclarés. C'est l'article 32 qui définit ce qu'est un opérateur, pas la déclaration. Si ma comprehension est bonne, deja nos amis gestionnaires des machines qui hebergent cette liste ? Pourquoi pas, mais on trouve dans l'article 1 du décret : « Art. R. 9-8.-Le contrôle prévu à l'article L. 33-10 a pour objet d'évaluer les mesures prises par l'opérateur en application des dispositions du a du I de l'article L. 33-1 et notamment celles prises pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l'intégrité de son réseau et garantir la continuité des services fournis. Il y a une notion de risque là dedans, et aussi de public dans la définition de l'opérateur rappelée par Eric. Je ne crois pas que frnog soit généralement ouvert au public, et qu'il existe un risque pour le pays lié à sa compromission. Bref évidemment après on peut imaginer que la loi et le décret soient contournés par le méchant État méchant, mais après tout, le Conseil d'Etat doit être là en recours, non ? Evidemment si on a basculé dans une dictature ou que l'on soit en état de guerre, on peut tout imaginer mais franchement ce sera le dernier de nos soucis. On voit quand même bien à qui s'adresse ce décret : les gros qui maintiennent des infrastructures jugées critiques, qu'ils soient opérateurs ou hébergeurs. Ce qui est plus franchement embêtant et qui n'a fait visiblement tiquer personne ici, c'est que l'ANSI puisse quand elle le veut prendre le steak des consultants en sécurité, y compris pour auditer des sociétés privées ... (enfin l'ANSSI les a bientôt tous embauchés donc il faut bien leur donner du travail ... oui c'est vendredi). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Plages d'adresses Orange
Hello, On 11/19/2012 09:08 PM, jipe wrote: inetnum:81.253.0.0 - 81.253.95.255 netname:ORANGE-FRANCE-HSIAB Pour ce qui concerne cette plage d'adresse: Je suis derrière une de ces IPs, depuis un wifi + portail captif Orange, dans un hotel. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] PARIS VERIZON
depuis 19h15 environ on a perdu le lien internet (193.242.192.0) Provider VERIZON. EL. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Patriot Act - Datacenter
Bonsoir, Eric Freyssinet eric.freyssi...@m4x.org : [...] Je ne saurais donc que trop vous déconseiller d'informer un tiers dans le cadre d'une procédure pénale au cours de laquelle vous auriez fait l'objet d'une perquisition. Vous ne savez pas s'il est auteur, complice ou receleur de l'infraction. En ce qui concerne le 434-7-2, la circulaire relative à la présentation des dispositions de la loi n° 2005-1549 du 12 décembre 2005 relative au traitement de la récidive des infractions pénales renforçant les droits de la défense comprend quelques passages intéressants. Par exemple: [...] En outre, il est désormais exigé la preuve d’un dol spécial, puisque la révélation devra être « réalisée dans le dessein d’entraver »le déroulement des investigations ou la manifestation de la vérité. Ou: [...] le délit étant nécessairement commis par une personne qui, « du fait des ses fonctions » et « en application des dispositions du code de procédure pénale », a eu connaissance de la procédure, il s’agira nécessairement d’une personne qui soit fera partie de la juridiction, soit sera habituellement en relations professionnelles avec les membres de celle-ci, comme par exemple un magistrat, un greffier, un policier, un gendarme ou un avocat. Outre les difficultés pratiques d'établissement de la preuve par le parquet, je ne comprends pas en quoi un techos qui n'entretient pas de noirs desseins devrait se sentir concerné. -- Ueimor --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PARIS VERIZON
Cela doit faire un peut plus de 5 ans qu'une grosse majorité d'opérateurs vous propose régulièrement la diversité de raccordement et la mise en place d'un lien de secours... Vous allez avoir un bon argument pour demander du BGP sous le sapin ? 2012/11/23 Eric Lannaud e.lann...@unesco.org depuis 19h15 environ on a perdu le lien internet (193.242.192.0) Provider VERIZON. EL. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] [TECH] PARIS VERIZON
Retour de service vers 22h30. 200 clients impactés Envoyé depuis un mobile Samsung Eric Lannaud e.lann...@unesco.org a écrit : depuis 19h15 environ on a perdu le lien internet (193.242.192.0) Provider VERIZON. EL. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Patriot Act - Datacenter
Bonsoir, Tout simplement parce qu'un technicien à qui on a expliqué, voire notifié par écrit, au cours de la perquisition que toute information d'une tierce personne sur cette perquisition risque d'entraver le déroulement de l'enquête, il sait pertinemment qu'il ne doit pas le faire. Et c'est bien à titre professionnel qu'il a eu à connaître de ces informations. Dans ces conditions, s'il révèle quand même au suspect que son serveur a fait l'objet d'une perquisition, il court le risque qu'on lui reproche effectivement cette entrave à l'enquête, puisqu'il aura volontairement pris le risque de mettre en danger l'investigation, par exemple si cette information du suspect lui a permis par la suite d'effacer des traces de son infraction, de s'enfuir ou de prévenir un de ses complices ou co-auteurs ... 2012/11/23 Francois Romieu rom...@fr.zoreil.com Outre les difficultés pratiques d'établissement de la preuve par le parquet, je ne comprends pas en quoi un techos qui n'entretient pas de noirs desseins devrait se sentir concerné. Donc, en l'espèce, je ne fais qu'apporter ici des conseils, libre à vous de les écouter ou non. Cordialement, -- Eric Freyssinet perso: eric.freyssi...@m4x.org pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ - twitter: @ericfreysshttp://twitter.com/ericfreyss --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Patriot Act - Datacenter
Je vois mal comment le serveur dune société « suspect » peut faire lobjet dune perquisition sans quil sen rende compte. Il risque alors de demander des comptes à son hébergeur. Jaimerais pas être à sa place From: Eric Freyssinet [mailto:eric.freyssi...@m4x.org] Sent: samedi 24 novembre 2012 01:00 To: Francois Romieu Cc: Bruno Sabaila; Buclin Arnaud; Renaud RAKOTOMALALA; frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] Patriot Act - Datacenter Bonsoir, Tout simplement parce qu'un technicien à qui on a expliqué, voire notifié par écrit, au cours de la perquisition que toute information d'une tierce personne sur cette perquisition risque d'entraver le déroulement de l'enquête, il sait pertinemment qu'il ne doit pas le faire. Et c'est bien à titre professionnel qu'il a eu à connaître de ces informations. Dans ces conditions, s'il révèle quand même au suspect que son serveur a fait l'objet d'une perquisition, il court le risque qu'on lui reproche effectivement cette entrave à l'enquête, puisqu'il aura volontairement pris le risque de mettre en danger l'investigation, par exemple si cette information du suspect lui a permis par la suite d'effacer des traces de son infraction, de s'enfuir ou de prévenir un de ses complices ou co-auteurs ... 2012/11/23 Francois Romieu rom...@fr.zoreil.com Outre les difficultés pratiques d'établissement de la preuve par le parquet, je ne comprends pas en quoi un techos qui n'entretient pas de noirs desseins devrait se sentir concerné. Donc, en l'espèce, je ne fais qu'apporter ici des conseils, libre à vous de les écouter ou non. Cordialement, -- Eric Freyssinet perso: eric.freyssi...@m4x.org pro: eric.freyssi...@gendarmerie.interieur.gouv.fr blog: http://blog.crimenumerique.fr/ - twitter: @ericfreyss http://twitter.com/ericfreyss smime.p7s Description: S/MIME cryptographic signature