RE: [FRnOG] [MISC] Livre blanc sur le traitement des contenus pedo/terro et protection des professionnels

2019-01-25 Par sujet Benjamin BILLON 
Tiens bah j'ai justement le nez dans le code des postes et des communications 
électroniques (elle est pas belle ma vie ?), notamment section 3, "Protection 
de la vie privée des utilisateurs de réseaux et services de communications 
électroniques", article L34-1, alinéa 3, et ça dit "il peut être différé pour 
une durée maximale d'un an aux opérations tendant à effacer ou à rendre 
anonymes certaines catégories de données techniques"
https://www.legifrance.gouv.fr/affichCode.do;jsessionid=86E5E8E1B6FD646EB8BFE6941296B8BF.tplgfr35s_2?idSectionTA=LEGISCTA06165910=LEGITEXT06070987=20190125

Du coup ma compréhension c'est que pour pouvoir répondre à ces demandes  ("Pour 
les besoins de la recherche, de la constatation et de la poursuite des 
infractions pénales" etc. voir passage en question), les opérateurs peuvent / 
feraient bien de garder ces données un an de plus que ce dont ils ont besoin 
pour leurs propres besoins.

Je ne suis pas juriste et pas vraiment sur ce secteur, seulement curieux.

> Si j'ai bien compris, tout opérateur réseau (qu'il soit FAI ou hébergeur) 
> doit mettre en place ce type de cellule. Mais c'est très lourd pour certaines 
> structures, je pense à des hébergeur en EURL / SASU, et sans employés.
"ce type" de cellule c'est avoir un service abuse qui soit également formé / 
sache suivre un process pour que la remontée parviennent aux autorités 
compétentes.
Tout opérateur réseau est déjà avoir un service abuse, ne serait-ce que 
quelqu'un qui traite les mails envoyés à abuse@ (exemple repris dans le 
document), donc la marche ne devrait pas être super haute.

Ca fait partie du métier de savoir que ça existe, et ce qui est demandé là est 
de savoir comment réagir.


--
Benjamin

From: frnog-requ...@frnog.org  On Behalf Of Wallace
Sent: vendredi 25 janvier 2019 15:29
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Livre blanc sur le traitement des contenus 
pedo/terro et protection des professionnels


Salut,

De mon point de vue, c'est ton client qui est responsable de ses données et des 
usages faits par ses applications y compris en cas d'utilisation illicite. Ton 
rôle c'est de rapidement bloquer la diffusion des éléments reprochés dans ton 
service d'infogérance.

Lui sur ses applications doit avoir des mentions légales à jour avec notamment 
le responsable "éditorial" du site ou de l'application. Il doit aussi préciser 
l'hébergeur. S'il met un hosteur en hébergeur, la requête qui va arriver va 
consister en une suspension du service par le dit hosteur car il n'a pas la 
main sur le système. S'il te met toi c'est toi qui va recevoir la requête et tu 
prendras les dispositions pour bloquer la propagation du contenu illicite sans 
couper sa production si c'est possible, garder toutes les traces nécessaires 
pour une expertise pour collaborer avec la justice.

Des requêtes judiciaires j'ai du en recevoir une quinzaine dans toute ma 
carrière, à chaque fois c'était un gars qui s'est suicidé ou homicide, les 
enquêteurs vont chez lui voient qu'il a un tartanpionbox, demande à l'opérateur 
quelles sont les IP auxquelles il s'est connecté depuis 1, 2, 3 mois. Et ils 
vont demander à chaque hébergeur qui possèdent ces IP de fournir les logs de 
consultation des sites / application / mail / ...
Y a celles qui arrivent en toquant à la porte avec uniformes (là ok c'est 
carré), y a celles qui arrivent par téléphone (j'envoie balader ça peut être du 
social engineering), à une époque par fax (pareil on attendait une meilleure 
authentification de la demande), on a reçu une fois un mail mais les headers 
étaient louches et pas de dkim ( pas de réponse et on attend un autre moyen de 
communication) et une fois c'était un ordre de référé du tribunal donc là ça 
sonne aussi à la porte.

D'expérience les délais peuvent être long et il est souvent arriver qu'on nous 
demande par exemple aujourd'hui les connexions pour telle IP pour les mois de 
décembre 2017, janvier, février 2018. Légalement et techniquement beaucoup 
configurent les logs sur 365j mais dans leur idée c'est pas glissant, c'est un 
an en arrière. Donc considérant 25 janvier 2019 la demande, ils trouvent pas 
normal que tu n'es pas de log du 1er au 24 janvier 2018. Et supplierons pour 
que tu donnes aussi décembre 2017.

C'est pour cela que dans les faits vu que ça te coûte du temps et que t'as pas 
envie d'être embêté pour ça, on garde 2 ans de logs glissants. On l'a déclaré 
comme tel dans les données stockées pour le RGPD. Tout le monde est content et 
si ça peut aider...
Le 24/01/2019 à 14:33, Richard DEMONGEOT a écrit :
Hello Alexandre,

Si j'ai bien compris, tout opérateur réseau (qu'il soit FAI ou hébergeur) doit 
mettre en place ce type de cellule. Mais c'est très lourd pour certaines 
structures, je pense à des hébergeur en EURL / SASU, et sans employés.

Quelles sont tes préconisation concernant cela?


Par ailleurs, dans mon cas précis, j'ai quelques

Re: [FRnOG] [MISC] Livre blanc sur le traitement des contenus pedo/terro et protection des professionnels

2019-01-25 Par sujet Wallace 
Salut,

De mon point de vue, c'est ton client qui est responsable de ses données
et des usages faits par ses applications y compris en cas d'utilisation
illicite. Ton rôle c'est de rapidement bloquer la diffusion des éléments
reprochés dans ton service d'infogérance.

Lui sur ses applications doit avoir des mentions légales à jour avec
notamment le responsable "éditorial" du site ou de l'application. Il
doit aussi préciser l'hébergeur. S'il met un hosteur en hébergeur, la
requête qui va arriver va consister en une suspension du service par le
dit hosteur car il n'a pas la main sur le système. S'il te met toi c'est
toi qui va recevoir la requête et tu prendras les dispositions pour
bloquer la propagation du contenu illicite sans couper sa production si
c'est possible, garder toutes les traces nécessaires pour une expertise
pour collaborer avec la justice.

Des requêtes judiciaires j'ai du en recevoir une quinzaine dans toute ma
carrière, à chaque fois c'était un gars qui s'est suicidé ou homicide,
les enquêteurs vont chez lui voient qu'il a un tartanpionbox, demande à
l'opérateur quelles sont les IP auxquelles il s'est connecté depuis 1,
2, 3 mois. Et ils vont demander à chaque hébergeur qui possèdent ces IP
de fournir les logs de consultation des sites / application / mail / ...
Y a celles qui arrivent en toquant à la porte avec uniformes (là ok
c'est carré), y a celles qui arrivent par téléphone (j'envoie balader ça
peut être du social engineering), à une époque par fax (pareil on
attendait une meilleure authentification de la demande), on a reçu une
fois un mail mais les headers étaient louches et pas de dkim ( pas de
réponse et on attend un autre moyen de communication) et une fois
c'était un ordre de référé du tribunal donc là ça sonne aussi à la porte.

D'expérience les délais peuvent être long et il est souvent arriver
qu'on nous demande par exemple aujourd'hui les connexions pour telle IP
pour les mois de décembre 2017, janvier, février 2018. Légalement et
techniquement beaucoup configurent les logs sur 365j mais dans leur idée
c'est pas glissant, c'est un an en arrière. Donc considérant 25 janvier
2019 la demande, ils trouvent pas normal que tu n'es pas de log du 1er
au 24 janvier 2018. Et supplierons pour que tu donnes aussi décembre 2017.

C'est pour cela que dans les faits vu que ça te coûte du temps et que
t'as pas envie d'être embêté pour ça, on garde 2 ans de logs glissants.
On l'a déclaré comme tel dans les données stockées pour le RGPD. Tout le
monde est content et si ça peut aider...

Le 24/01/2019 à 14:33, Richard DEMONGEOT a écrit :
> Hello Alexandre,
>
> Si j'ai bien compris, tout opérateur réseau (qu'il soit FAI ou
> hébergeur) doit mettre en place ce type de cellule. Mais c'est très
> lourd pour certaines structures, je pense à des hébergeur en EURL /
> SASU, et sans employés.
>
> Quelles sont tes préconisation concernant cela?
>
>
> Par ailleurs, dans mon cas précis, j'ai quelques clients en
> infogérance. Je ne gère pas le hosting, mais je gère le serveur. Ai-je
> à leur demander de mettre un lien pour signaler le traitement douteux
> / illicite? Est-ce à moi de le traiter? au client? ou à l'hébergeur
> (online, ovh, 1&1, ou autre) ?
>
> Cordialement,
>
> Le 2019-01-23 18:17, Alexandre Archambault a écrit :
>> A l'occasion de l'édition 2019 du FIC, le guide de lutte contre les
>> contenus pédos a été mis à jour, pour devenir un livre blanc élargi à la
>> problématique des contenus terros et du nécessaire accompagnement des
>> professionnels, qu'ils soient FAIs, hébergeurs, registrars, fournisseurs
>> de services (plateformes, espaces communautaires, réseaux sociaux…)
>>
>> Outre le rappel de quelques points de droit, l’objectif est de définir
>> un socle commun de bonnes pratiques professionnelles en matière de
>> traitement opérationnel des contenus choquants et potentiellement
>> illicites qui mettent en jeu la sécurité physique et l'équilibre
>> psychologique des professionnels.
>>
>> C'est consultable ici =>
>> .
>>
>>
>> Toutes remarques (constructives hein, on est pas #dredi) bienvenues !
>>
>> Alec,
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Livre blanc sur le traitement des contenus pedo/terro et protection des professionnels

2019-01-24 Par sujet Richard DEMONGEOT 

Hello Alexandre,

Si j'ai bien compris, tout opérateur réseau (qu'il soit FAI ou 
hébergeur) doit mettre en place ce type de cellule. Mais c'est très 
lourd pour certaines structures, je pense à des hébergeur en EURL / 
SASU, et sans employés.


Quelles sont tes préconisation concernant cela?


Par ailleurs, dans mon cas précis, j'ai quelques clients en infogérance. 
Je ne gère pas le hosting, mais je gère le serveur. Ai-je à leur 
demander de mettre un lien pour signaler le traitement douteux / 
illicite? Est-ce à moi de le traiter? au client? ou à l'hébergeur 
(online, ovh, 1&1, ou autre) ?


Cordialement,

Le 2019-01-23 18:17, Alexandre Archambault a écrit :

A l'occasion de l'édition 2019 du FIC, le guide de lutte contre les
contenus pédos a été mis à jour, pour devenir un livre blanc élargi à 
la

problématique des contenus terros et du nécessaire accompagnement des
professionnels, qu'ils soient FAIs, hébergeurs, registrars, 
fournisseurs

de services (plateformes, espaces communautaires, réseaux sociaux…)

Outre le rappel de quelques points de droit, l’objectif est de définir
un socle commun de bonnes pratiques professionnelles en matière de
traitement opérationnel des contenus choquants et potentiellement
illicites qui mettent en jeu la sécurité physique et l'équilibre
psychologique des professionnels.

C'est consultable ici =>
.

Toutes remarques (constructives hein, on est pas #dredi) bienvenues !

Alec,



---
Liste de diffusion du FRnOG
http://www.frnog.org/