On 22/11/2012 10:33, Xavier Beaudouin wrote:
Hello,
> Après chacun ses plus et moins, le coup de la carte d'identité tu
rentres
pas, j'ai déjà failli me le manger. Après 600Km, j'aurais bien eu les
boules mais en soit c'est la règle.
Si on commence à faire des exceptions, c'est pas forcément bon non plus.
Il y a une vraie différence entre contrôler l'identité et contrôler
l'accès.
Effectivement des gens qui ne sont pas connus par le personnel c'est
utile de demander leur CID sur un DC pour ensuite comparer avec la
liste d'accès.
Mais quand je me pointe sur un DC où tout le monde m'appelle par mon
prénom, si je suis bloqué à l'entrée parce que la carte est restée dans
ma poche de jean ça n'a pas de sens.
Quand à scanner la carte pour aller jusqu'à vérifier sur une base de
données externe sa validité et un éventuel signalement (comme ce qui a
été mis en place sur Telehouse) ça relève de la parano.
Mais ça impressionne les costard-cravattes pendant les visites, oui.
Ce qui aurait du sens par contre c'est que les listes soient consultées
systématiquement lors des demandes d'accès, que les mises à jour de ces
listes soient traitées avec un peu plus de sécurité, qu'on ne confonde
pas les clients (personnes morales) avec les personnes physiques, qui
peuvent aller/venir et quitter X pour aller travailler chez son concurrent.
Par exemple sur Telehouse un petit malin qui voulait vider précipitamment
le rack qu'il devait restituer le jour même, a essayé récemment de me
refiler ses câbles à déposer en les réaffectant à ma baie, et en exploitant
la confusion que les personnels de Telehouse 2 commettaient souvent entre
sa structure et la mienne. Ca serait facilement passé si je n'avais pas vu
venir le coup et demandé à vérifier ce point précis (pas un gros enjeu de
sécurité j'en conviens). Ca tient à ce que les évolutions dans les
relations contractuelles sont souvent mal répliquées sur les outils
utilisés par le PC, et il y a des filous pour en abuser.
Enfin les procédures changent et leur notification aux client n'est pas
systématique. Le contrat se content souvent de mentionner que le client
doit se conformer aux règles et procédures, que le prestataire peut
modifier à loisir. Il y a un opérateur/hébergeur qui m'a accusé devant
un tribunal de ne pas avoir réclamé et suivi la procédure de demande
d'accès pour s'exonérer d'avoir tardé (beaucoup tardé, mais pas refusé)
à donner accès malgré une situation de danger imminent. Dans ce cas
précis c'était juste de la mauvaise foi, mais ce qui est intéressant
la tentative de se cacher derrière cette procédure extrêmement volatile
et mal sécurisée pour se dédouaner de conséquences potentiellement graves.
Enfin, comme chacun sais en France, on doit toujours prouver son
identité, donc si tu l'as pas et que tu es Francais ou que tu as une
carte de séjour ou résident, tu risques aussi d'avoir des "problèmes"
lors d'un control (probable ou pas) des forces de l'ordre...
Non, tu n'as pas à avoir une CID sur toi 24/7, il y a bien d'autres
manières de donner ton identité. Mais évitons le troll qui a déjà eu
mille fois sur l'obligation ou pas, la pratique, la discrimination etc.
Eric Freyssinet a probablement les bons liens à nous donner là-dessus,
je lui cède volontiers la parole (maintenant qu'on l'a repéré on ne
va plus le lâcher ;-)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
