Bonjour
Ci-dessous les infos que j'avais trouvées il y a quelques mois sur ce
sujet mais cela a pu évoluer. Je ne suis pas à jour et pas juriste
Décret du 25 Février 2011
Obligation Conservation des données d'identification pour les opérateurs
WIFI
Opérateurs WIFI (Article 32 CPCE)
Personne physique ou morale et exploitant un réseau de communications
électroniques et mettant ce réseau à disposition du public
Conservation pendant 1 an minimum
Demander un identifiant ne signifie pas « ne plus être public »
Les entreprises et administrations sont exclues des obligations légales
des opérateurs publiques, d'après la CNIL.
Mais il est conseillé de mettre en place un dispositif de surveillance
et de prévenir les utilisateurs (loi 23 Janvier 2006 lutte contre le
terrorisme, activité pédophile, piratages, ...)
Conservation des données techniques : IP ou MAC, terminaux utilisés,
dates heures durées des communications, services complémentaires
utilisés ou demandés, information donnant la possibilité d'identifier
des destinataires, origine et localisation
des communications
Cordialement
Florent NOLOT
Université de Reims Champagne-Ardenne
Le 08/12/2013 23:01, MM a écrit :
Bonjour,
Je suis la discussion avec intérêt depuis un moment.
Effectivement, la pratique de MITM est connue et simple à réaliser, ce qui est
inédit est qu’une autorité de certification génère un certificat … et se fasse
choper surtout.
Par contre, auriez-vous des précisions sur cette histoire de hotspot invité ?
Quels sont les textes - depuis quand datent-t-ils ?
J’ai vu des solutions d’hôtel, ils ne loguent rien du traffic (rien de brut, de
mémoire il y a les connexions par contre).
De même en entreprise, je n’ai jamais rien vu de logué sur les connexion
invités (elles étaient simplement isolées du réseau classique / restreint à
certaines utilisations).
Je doute que le McDo logue grand chose, tout comme le réseau invité sur les
freebox (peut être que dans ce cas la connexion n’est pas considérée comme
anonyme car requérant un identifiant lié à une connexion)
Déjà l’année de log a fait plaisir à tout le mode, j’imagine ce que peut donner
cette loi …
Merci par avance pour les éclaircissements.
Mathieu
Le 8 déc. 2013 à 22:30, Yann Vercucque <yann.vercuc...@gmail.com> a écrit :
Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
hotspot invité. De ce faite, il est nécessaire de faire de l'interception SSL,
afin loguer les flux HTTPS.
Comme cela a déjà été dit, le problème n'est pas l'interception SSL. Mais
l'interception SSL par un certificat signé par une autorité connu.
Au passage les équipements comme Fortigate, permettent de choisir de ne pas
intercepter les banques, les sites médicaux et les réseaux sociaux.
Yann,
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/