Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour, Je lis : -- Les surcoûts identifiables et spécifiques supportés par les personnes mentionnées […] pour la fourniture des données […] font l'objet d'un remboursement par l'Etat par référence aux tarifs et selon des modalités fixés par un arrêté conjoint du ministre de l'intérieur et du ministre chargé du budget. -- L'arrêté a-t-il été pris ? Si oui où peut-on le lire ? En fait, je remplis mon premier mémoire de frais suite à une demande d'identification, et je ne sais pas quelle somme je dois demander pour établir ma facture. Merci, Anthony Le 01/03/11 12:36, « Alexandre Archambault » aarchamba...@corp.free.fr a écrit : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB83 42572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 7 mars 2011 à 09:16, Anthony Aubry a écrit : -- Les surcoûts identifiables et spécifiques supportés par les personnes mentionnées […] pour la fourniture des données […] font l'objet d'un remboursement par l'Etat par référence aux tarifs et selon des modalités fixés par un arrêté conjoint du ministre de l'intérieur et du ministre chargé du budget. -- L'arrêté a-t-il été pris ? Il est en cours d'élaboration. Si oui où peut-on le lire ? En fait, je remplis mon premier mémoire de frais suite à une demande d'identification, et je ne sais pas quelle somme je dois demander pour établir ma facture. En attendant, vous pouvez vous baser pour ce qui est de la tarification du référentiel existant pour la partie téléphonie, car à la base, identifier un abonné / utilisateur par le ND ou par l'IP ou le login, c'est assez proche en terme de requête dans le SI. Cf. arrêté du 22 août 2006, codifié à l'article A 43.2 du Code de procédure pénale http://www.legifrance.gouv.fr/jo_pdf.do?cidTexte=JORFTEXT00268186 Sinon, bon courage pour le recouvrement, qui actuellement sur les prestations IP (pour ce qui concerne le judiciaire) frise le 5% compte tenu (i) de l'absence de texte (ii) du faible montant unitaire, car c'est une facture par réquisition, pas (encore) de facturation récapitulative, (iii) du mode opératoire (le mémoire de frais est à envoyer non pas à l'OPJ qui vous requiert, mais au greffe du tribunal de son ressort, qui a d'autres chats à fouetter) -- Alec,--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 7 mars 2011 à 09:46, Alexandre Archambault a écrit : En attendant, vous pouvez vous baser pour ce qui est de la tarification du référentiel existant pour la partie téléphonie, car à la base, identifier un abonné / utilisateur par le ND ou par l'IP ou le login, c'est assez proche en terme de requête dans le SI. Cf. arrêté du 22 août 2006, codifié à l'article A 43.2 du Code de procédure pénale http://www.legifrance.gouv.fr/jo_pdf.do?cidTexte=JORFTEXT00268186 Sinon, bon courage pour le recouvrement, qui actuellement sur les prestations IP (pour ce qui concerne le judiciaire) frise le 5% compte tenu (i) de l'absence de texte (ii) du faible montant unitaire, car c'est une facture par réquisition, pas (encore) de facturation récapitulative, (iii) du mode opératoire (le mémoire de frais est à envoyer non pas à l'OPJ qui vous requiert, mais au greffe du tribunal de son ressort, qui a d'autres chats à fouetter) Question sans doute très bête, je ne vois pas où est mentionné l'ordre dans lequel doivent être fait les choses. Rien n'empêche donc une fois la requête arrivée, de facturer en premier la prestation et d'attendre le paiement pour livrer le résultat? Doit bien y avoir un truc pour bloquer cela mais là je ne trouve pas dans les différents textes. -- Pierre-Henry Muller
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour, Le 01/03/2011 17:34, MM a écrit : J'ai du mal à suivre l'utilité de la chose (hormis leur permettre d'avoir le pass de ladite personne pour l'exploiter ensuite ailleurs) En effet, à part permettre aux forces de l'ordre d'aller consulter le compte de la personne sur un autre service, en toute illégalité (puisqu'ils pourraient se passer de mot de passe pour le consulter légalement), je ne vois pas à quoi ça pourrait bien servir. Certes, pour aller consulter le compte du suspect sur un service situé à l'étranger, la voie légale sera un peu complexe, mais utiliser des mots de passe recueillis de la sorte sur un service à l'étranger sera certainement considéré par la législation étrangère comme une intrusion non autorisée dans un système d'information. Bref, en effet, à part pour aider la police à agir comme des bandits, ça n'a aucun intérêt. Cordialement, -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le Monday 07 March 2011 (15:01), Christophe Baegert écrivait : Bonjour, Le 01/03/2011 17:34, MM a écrit : J'ai du mal à suivre l'utilité de la chose (hormis leur permettre d'avoir le pass de ladite personne pour l'exploiter ensuite ailleurs) En effet, à part permettre aux forces de l'ordre d'aller consulter le compte de la personne sur un autre service, en toute illégalité (puisqu'ils pourraient se passer de mot de passe pour le consulter légalement), je ne vois pas à quoi ça pourrait bien servir. Ca peut par exemple servir à faire des liens entre comptes. Prenons un exemple : un administration négligente se fait pirater des machines. Les premiers élements de l'enquête permettent de remonter à un compte mail jetable qui a un mot de passe solide. Si on se doute que l'attaquant a utilisé un autre service, sans savoir très bien comment ni à partir de quel compte, on peut demander au gestionnaire du service tous les comptes ayant ce mot de passe. -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 07/03/2011 15:13, Pascal PETIT a écrit : Si on se doute que l'attaquant a utilisé un autre service, sans savoir très bien comment ni à partir de quel compte, on peut demander au gestionnaire du service tous les comptes ayant ce mot de passe. Ca ne fonctionne que si les services en question utilisent le même algo de hashage pour le stockage des mots de passe, ce qui n'est pas systématique. Clément Guivy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour, Le Monday 07 March 2011 (15:21), Clément Guivy écrivait : Le 07/03/2011 15:13, Pascal PETIT a écrit : Si on se doute que l'attaquant a utilisé un autre service, sans savoir très bien comment ni à partir de quel compte, on peut demander au gestionnaire du service tous les comptes ayant ce mot de passe. Ca ne fonctionne que si les services en question utilisent le même algo de hashage pour le stockage des mots de passe, ce qui n'est pas systématique. et, pour le même algo de hachage, qu'il n'utilise pas de grain de sel. Le problème est réglé s'ils ont réussi à avoir le mot de passe initial en clair (quelque soit le moyen pour l'avoir eu en clair). Ce qui est valable pour le mot de passe est aussi valable pour la question/réponse de récupération de mot de passe. makepasswd est votre ami et constitue une réponse intéressante à quel le nom de famille de votre mère. :-) -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Comme certains l'ont soulignés sur Twitter, quid des One Time Passwords, de l'openIP sur un serveur à l'étranger, de l'authentification Facebook / Google / ... ou autre entité qui n'aurait même pas de bureaux en France? Pour ce qui est de la conservation des logs je me rappel une conférence FRNOG il y a quelques années où une discussion était partie sur les coûts de stockage. Et une personne avait fait une excellente remarque que les hôtels tiennent un journal de qui est venu dormir chez eux. Bien souvent cela se fait sur un livre et qu'il était admis que ce livre pouvait disparaitre / bruler / noyé et l'hôtel n'avais pas de sanction. Je ne vois là aussi aucune obligation de maintient d'un système hautement redondé, on prend donc des disques sata on archive dessus, on les débranche et si un jour où nous demande quelque chose et que les disques ne sont plus lisibles tant pis? -- Pierre-Henry Muller --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour, - Pierre-Henry Muller wall...@morkitu.org a écrit : Comme certains l'ont soulignés sur Twitter, quid des One Time Passwords, de l'openIP sur un serveur à l'étranger, de l'authentification Facebook / Google / ... ou autre entité qui n'aurait même pas de bureaux en France? no idea. après, vous n'avez pas de mot de passe, juste un login, ça doit pouvoir suffire ... Pour ce qui est de la conservation des logs je me rappel une conférence FRNOG il y a quelques années où une discussion était partie sur les coûts de stockage. Et une personne avait fait une excellente remarque que les hôtels tiennent un journal de qui est venu dormir chez eux. Bien souvent cela se fait sur un livre et qu'il était admis que ce livre pouvait disparaitre / bruler / noyé et l'hôtel n'avais pas de sanction. Je ne vois là aussi aucune obligation de maintient d'un système hautement redondé, on prend donc des disques sata on archive dessus, on les débranche et si un jour où nous demande quelque chose et que les disques ne sont plus lisibles tant pis? Ce qui est admis pour un hôtel risque de ne pas l'être pour un FAI/FSI : TRACEROUTE de la loi quivabien : ::1 = ** archive FRNOG parlant de la LCEN ** TTL 1 = ** LCEN ** http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=A907948B8C8CB5C9E8011FD57DCCFC10.tpdjo15v_3?cidTexte=JORFTEXT00801164idArticle=LEGIARTI06421546dateTexte=categorieLien=cid II.-Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. ... Les dispositions des articles 226-17, 226-21 et 226-22 du code pénal sont applicables au traitement de ces données. TTL 2 = ** Code pénal Article 226-17 ** http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=LEGITEXT06070719idArticle=LEGIARTI06417962dateTexte=categorieLien=cid Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. TTL 3 = ** article 34 de la loi n° 78-17 du 6 janvier 1978 ** http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=JORFTEXT00886460dateTexte=19780107categorieLien=cid#JORFTEXT00886460 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8. Vous êtes arrivé au lieu du drame ... donc NON : un FAI/FSI peut difficilement dire j'ai mis ça sur un disque en carton et pas en RAID, j'ai tout perdu sans risquer de se prendre une balle ... parce que déformées ou endommagées ... Par ailleurs, IANAL [1] ;) @+ Benjamin Sonntag AS39389 Octopuce / La Quadrature du Net [1] : I Am Not A Lawyer, expression consacrée signifiant, tel Pilate, prénom Ponce, que ce que je dis n'engage que celui qui m'écoute et que n'étant pas avocat, cela a de grande chance d'être faux. (notez que si j'étais avocat, cela pourrait tout autant être faux mais j'en serais théoriquement responsable, (après essayez d'attaquer un avocat pour avoir dit quelque chose de faux, bon courage, lui il a l'habitude de se défendre (mais bon, je m'égare ... ;-D ) ) ) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Encore une loi promulguée dans un monde ou les FAI hébergeraient tout Internet, comme jadis le minitel était hébergé par FT. On commence à être habitués de ces lois débiles. - Mail Original - De: Benjamin Sonntag benja...@octopuce.com À: Liste FRnoG frnog@frnog.org Envoyé: Mercredi 2 Mars 2011 12h37:47 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: Re: [FRnOG] Publication du decret LCEN sur les logs services Internet Bonjour, - Pierre-Henry Muller wall...@morkitu.org a écrit : Comme certains l'ont soulignés sur Twitter, quid des One Time Passwords, de l'openIP sur un serveur à l'étranger, de l'authentification Facebook / Google / ... ou autre entité qui n'aurait même pas de bureaux en France? no idea. après, vous n'avez pas de mot de passe, juste un login, ça doit pouvoir suffire ... Pour ce qui est de la conservation des logs je me rappel une conférence FRNOG il y a quelques années où une discussion était partie sur les coûts de stockage. Et une personne avait fait une excellente remarque que les hôtels tiennent un journal de qui est venu dormir chez eux. Bien souvent cela se fait sur un livre et qu'il était admis que ce livre pouvait disparaitre / bruler / noyé et l'hôtel n'avais pas de sanction. Je ne vois là aussi aucune obligation de maintient d'un système hautement redondé, on prend donc des disques sata on archive dessus, on les débranche et si un jour où nous demande quelque chose et que les disques ne sont plus lisibles tant pis? Ce qui est admis pour un hôtel risque de ne pas l'être pour un FAI/FSI : TRACEROUTE de la loi quivabien : ::1 = ** archive FRNOG parlant de la LCEN ** TTL 1 = ** LCEN ** http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=A907948B8C8CB5C9E8011FD57DCCFC10.tpdjo15v_3?cidTexte=JORFTEXT00801164idArticle=LEGIARTI06421546dateTexte=categorieLien=cid II.-Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. ... Les dispositions des articles 226-17, 226-21 et 226-22 du code pénal sont applicables au traitement de ces données. TTL 2 = ** Code pénal Article 226-17 ** http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=LEGITEXT06070719idArticle=LEGIARTI06417962dateTexte=categorieLien=cid Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. TTL 3 = ** article 34 de la loi n° 78-17 du 6 janvier 1978 ** http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=4A93F19A65ED5AAC59714CD010621E9D.tpdjo10v_1?cidTexte=JORFTEXT00886460dateTexte=19780107categorieLien=cid#JORFTEXT00886460 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8. Vous êtes arrivé au lieu du drame ... donc NON : un FAI/FSI peut difficilement dire j'ai mis ça sur un disque en carton et pas en RAID, j'ai tout perdu sans risquer de se prendre une balle ... parce que déformées ou endommagées ... Par ailleurs, IANAL [1] ;) @+ Benjamin Sonntag AS39389 Octopuce / La Quadrature du Net [1] : I Am Not A Lawyer, expression consacrée signifiant, tel Pilate, prénom Ponce, que ce que je dis n'engage que celui qui m'écoute et que n'étant pas avocat, cela a de grande chance d'être faux. (notez que si j'étais avocat, cela pourrait tout autant être faux mais j'en serais théoriquement responsable, (après essayez d'attaquer un avocat pour avoir dit quelque chose de faux, bon courage, lui il a l'habitude de se défendre (mais bon, je m'égare ... ;-D ) ) ) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
On Wed, 2011-03-02 at 15:37 +0100, guillaume.monne...@free.fr wrote: Encore une loi promulguée dans un monde ou les FAI hébergeraient tout Internet, comme jadis le minitel était hébergé par FT. Je suppose que vous voulez parler du décret ? La loi date de 2004. -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour Alexandre, Le Tuesday 01 March 2011 (12:36), Alexandre Archambault écrivait : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB8342572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, Ai-je bien lu : il faut conserver le mot de passe ? en clair ? N'est-ce pas contraire à toute bonne pratique en matière de sécurité ? -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 01/03/2011 12:50, Pascal PETIT a écrit : Bonjour Alexandre, Le Tuesday 01 March 2011 (12:36), Alexandre Archambault écrivait : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB8342572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, Ai-je bien lu : il faut conserver le mot de passe ? en clair ? N'est-ce pas contraire à toute bonne pratique en matière de sécurité ? Quadricapillosection : c'est marqué qu'il faut le conserver sans précision de forme ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ai-je bien lu : il faut conserver le mot de passe ? en clair ? N'est-ce pas contraire à toute bonne pratique en matière de sécurité ? Je n'ai pas lu le document mais etre capable de fournir un mot de passe en clair, ne veut pas dire qu'il faut le stocker sans protections. Thomas -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk1s4IcACgkQA/52wvuLgaGAHwCgiEGnGtFYzMt2T6Yjvw2wpEbi IxQAoIFsJKnu1Xftwoj2rw1udqWBGFwp =tf8F -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 1 mars 2011 à 12:50, Pascal PETIT a écrit : Ai-je bien lu : il faut conserver le mot de passe ? S'il est conservé habituellement, oui. en clair ? Je ne vois par contre aucune obligation en ce sens, car la mention ainsi que les données permettant de le vérifier ou de le modifier laisse entendre qu'on peut le stocker autrement qu'en clair. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
On Tue, 2011-03-01 at 12:50 +0100, Pascal PETIT wrote: Ai-je bien lu : il faut conserver le mot de passe ? en clair ? En lisant jusqu'au bout on peut voir : « Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement. » Donc si vous collectez les mots de passe en clair, vous devez les conserver (un an « à compter du jour de la résiliation du contrat ou de la fermeture du compte ; »). Si vous ne stockez que le hashé, vous ne devez conserver que le hashé. Cdt, -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 1 mars 2011 à 12:36, Alexandre Archambault a écrit : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB8342572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, J'ai envie de dire tout ce temps pour juste ca? La principale information que j'en retiens c'est que la durée de rétention reste à 1 an de notre côté, du leur ils se permettent de les garder 1 ou 3 ans en fonction du type de donnée. Pour les mots de passe je confirme qu'on les stocke en l'état. La question est plutôt doit on garder la clef / hash / whatelse pour le déchiffrer. Je connais des applications qui opèrent des changements de clefs régulièrement pour chiffrer les données de paiement en ligne. A la vue de cet article de loi, je ne vois pas ce qui oblige de garder la dite clef puisque ce n'est pas une information liée à un tiers connecté sur l'infra. -- Pierre-Henry Muller --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Thomas Mangin wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ai-je bien lu : il faut conserver le mot de passe ? en clair ? N'est-ce pas contraire à toute bonne pratique en matière de sécurité ? Je n'ai pas lu le document mais etre capable de fournir un mot de passe en clair, ne veut pas dire qu'il faut le stocker sans protections. De quelles protections parlons nous exactement ? Les masterkeys sur des fichiers de mots de passe en cleartext, c'est pourri et ca tient pas la route . Pour moi la seule solution pour proteger un peu des mots de passes stockés , c'est d'avoir des hashs SHA saltés...le reste c'est que dla litterature ! C. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Bonjour, habituellement simple spectateur de la liste et étant concerné à priori, je me permet de poster. Quid si l'utilisateur paie par un allopass-like en entrant des informations erronées dans le formulaire d'inscription? Merci Le 01/03/2011 12:36, Alexandre Archambault a écrit : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB8342572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
***Quid si l'utilisateur paie par un allopass-like en entrant des informations erronées dans le formulaire d'inscription?* ** Il n'est pas demandé d'être garant de la validité des infos fournies par l'internaute, mais bien être garant de leur intégrité *La question est plutôt doit on garder la clef / hash / whatelse pour le déchiffrer. Je connais des applications qui opèrent des changements de clefs régulièrement pour chiffrer les données de paiement en ligne. A la vue de cet article de loi, je ne vois pas ce qui oblige de garder la dite clef puisque ce n'est pas une information liée à un tiers connecté sur l'infra.* Il me semble avoir lu qu'il fallait conservé Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour Benjamin AVET My profiles: [image: LinkedIn]http://fr.linkedin.com/pub/benjamin-avet/24/241/483 Le 1 mars 2011 14:48, Myth m...@keigo.fr a écrit : Bonjour, habituellement simple spectateur de la liste et étant concerné à priori, je me permet de poster. Quid si l'utilisateur paie par un allopass-like en entrant des informations erronées dans le formulaire d'inscription? Merci Le 01/03/2011 12:36, Alexandre Archambault a écrit : C'était une question qui revenait régulièrement ici, à savoir qu'est ce que je suis censé loguer en tant que FSI. Après 7 années de gestation difficile, le décret LCEN sur les logs services Internet a été publié au JO de ce jour. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B751B8F7F3F02CB8342572AD305DECB1.tpdjo15v_3?cidTexte=JORFTEXT23646013categorieLien=id Attention, c'est d'application immédiate, sans délai préalable pour mettre en place l'usine à gaz qui permettra de tout loger / restituer dans les meilleurs délais alors qu'en face ils ne semblent guère pressés d'en terminer avec le papier. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 1 mars 2011 à 17:26, Laurent GUERBY a écrit : Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu qu'il s'agissait d'une exigence sans rapport avec l'objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme. Hum, Donc si je stock mes mots de passe sous forme de somme de contrôle (pas de chiffrage réversible) - je dois modifier mon système afin que ces accès puissent être disponibles en cas de réquisition judiciaire ? J'ai du mal à suivre l'utilité de la chose (hormis leur permettre d'avoir le pass de ladite personne pour l'exploiter ensuite ailleurs) Mathieu--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
On Tue, 2011-03-01 at 17:26 +0100, Laurent GUERBY wrote: http://www.numerama.com/magazine/18192-les-mots-de-passe-pourront-etre-connus-des-services-anti-terroristes.html Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu qu'il s'agissait d'une exigence sans rapport avec l'objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme. Je veux pas avoir l'air d'insister mais visiblement Numerama *non plus* n'a pas lu le paragraphe jusqu'au bout… -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
Le 1 mars 2011 17:52, Yves-Alexis Perez cor...@corsac.net a écrit : On Tue, 2011-03-01 at 17:26 +0100, Laurent GUERBY wrote: http://www.numerama.com/magazine/18192-les-mots-de-passe-pourront-etre-connus-des-services-anti-terroristes.html Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu qu'il s'agissait d'une exigence sans rapport avec l'objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme. Je veux pas avoir l'air d'insister mais visiblement Numerama *non plus* n'a pas lu le paragraphe jusqu'au bout… Si si, on l'a bien lu jusqu'au bout... c'est d'ailleurs ce que je dis sur cet article : http://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html Beaucoup plus sensible. Les hébergeurs, dont fait notamment partie Dailymotion depuis l'arrêt de la cour de cassation du 17 février 2011, devront conserver les données suivantes pendant un an après la suppression du compte, *sans toutefois avoir l'obligation de les collecter si ça n'est pas leur habitude, ni d'en vérifier l'exactitude*: Les éditeurs de services collectent bien les mots de passe. La question est de savoir si le décret qui dit mot de passe *ainsi que* les données doit être compris exactement comme si c'était formulé avec ou bien. Ou s'il faut comprendre qu'à partir du moment où ces données sont collectées, le mot de passe doit l'être en clair, notamment parce que les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires. Faut-il comprendre que les conditions de la conservation permettent un chiffrage chiffré non déchiffrable ? Je n'en sais rien. J'attire aussi votre attention sur un autre point, sur lequel j'aimerais bien vos lumières, qui concernent cette fois les FAI. C'est complexe mais ça mérite peut-être de s'en inquiéter : http://www.numerama.com/magazine/18194-un-bug-dans-le-decret-lcen-sur-la-conservation-des-donnees.html -- *Guillaume Champeau* PressTIC SARL - éditeur de Numerama.com http://www.numerama.com/ et EntrepreNantes.com http://www.entreprenantes.com/ Gérant / CEO Twitter http://www.twitter.com/gchampeau | Facebookhttp://www.facebook.com/gchampeau| Viadeo http://www.viadeo.com/fr/profile/guillaume.champeau
Re: [FRnOG] Publication du decret LCEN sur les logs services Internet
On Tue, 2011-03-01 at 18:02 +0100, Guillaume Champeau wrote: Le 1 mars 2011 17:52, Yves-Alexis Perez cor...@corsac.net a écrit : On Tue, 2011-03-01 at 17:26 +0100, Laurent GUERBY wrote: http://www.numerama.com/magazine/18192-les-mots-de-passe-pourront-etre-connus-des-services-anti-terroristes.html Malgré un avis de l'ARCEP vieux de deux ans qui a prévenu qu'il s'agissait d'une exigence sans rapport avec l'objectif de la loi, le gouvernement demande aux hébergeurs et éditeurs de services en ligne de conserver le mot de passe de leurs utilisateurs. Une obligation qui pourrait être exploitée par les services de police et de gendarmerie dans le cadre des enquêtes de prévention du terrorisme. Je veux pas avoir l'air d'insister mais visiblement Numerama *non plus* n'a pas lu le paragraphe jusqu'au bout… Si si, on l'a bien lu jusqu'au bout... c'est d'ailleurs ce que je dis sur cet article : http://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html Beaucoup plus sensible. Les hébergeurs, dont fait notamment partie Dailymotion depuis l'arrêt de la cour de cassation du 17 février 2011, devront conserver les données suivantes pendant un an après la suppression du compte, *sans toutefois avoir l'obligation de les collecter si ça n'est pas leur habitude, ni d'en vérifier l'exactitude*: Ça fait un paquet d'articles pour le même décret, ce qui n'aide pas à enlever la confusion, et de fait la précision mériterait sans doute d'être présente dans l'article 18192 parce que là ça donne vraiment l'impression que les hébergeurs vont être obligé de stocker les mots de passe (en clair) de tous leurs utilisateurs et de les donner aux services anti-terroristes. Les éditeurs de services collectent bien les mots de passe. Pas forcément, parfois ils ne collectent bien qu'un hashé avec salt (qui pour le coup est « une donnée permettant de le vérifier »). La question est de savoir si le décret qui dit mot de passe *ainsi que* les données doit être compris exactement comme si c'était formulé avec ou bien. Ou s'il faut comprendre qu'à partir du moment où ces données sont collectées, le mot de passe doit l'être en clair, notamment parce que les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires. Faut-il comprendre que les conditions de la conservation permettent un chiffrage chiffré non déchiffrable ? Je n'en sais rien. Je ne suis pas juriste, mais pour moi le *ainsi* est clair. Il faut *conserver* le mot de passe (en clair, donc) ainsi que les moyens de le vérifier pendant un an après fermeture du compte. Mais bien évidemment vous ne pouvez conserver que ce que vous collectez effectivement, ce qui est précisé à la fin. J'attire aussi votre attention sur un autre point, sur lequel j'aimerais bien vos lumières, qui concernent cette fois les FAI. C'est complexe mais ça mérite peut-être de s'en inquiéter : http://www.numerama.com/magazine/18194-un-bug-dans-le-decret-lcen-sur-la-conservation-des-donnees.html Je ne suis pas FAI (ni juriste) donc pour le coup je n'ai pas vraiment d'avis là dessus. Cordialement, -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/