|
Publicité | ||||||||||||||||||||||
28/05/2009, 23h07
|
#1 |
|
Invité de passage
 Inscription : mai 2007 Messages : 16  |
Historisation des commandes sous UNIX, est-ce légal ?
Bonjour,
Je souhaite poser une question. Comme vous le savez les dernières commandes saisies sont historisées par le système, si je souhaite faire un script qui sauvegarde cette historisation dans un ficher afin de conserver sur de très longues durées l'intégralité des commandes saisie sur une console. Est-ce illégal de faire ce type de script sauf si une déclaration à la CNIL est effectuée et que tout les utilisateurs sont avertis ? Pouvez m'éclairer ? Merci pour votre aide. |
|
00
|
|
28/05/2009, 23h32
|
#2 |
|
Membre Expert
   budget et contrôle de gestion Inscription : décembre 2006 Messages : 865 |
Salut,
Effectivement on t'as bien renseigné. A partir du moment ou il y a conservation de données liées à un utilisateur de l'outil informatique, traitement de données fournies par des personnes, ... Il faut déclarer à la CNIL la façon dont ces données sont récoltées, conservées et traitées. Dans ton cas, la surveillance à l'insu du salarié qui amènerait à sont renvoi serait illégale. Le salarié pourrait demander sa réintégration au sein de l'entreprise et l'obtiendrai.
__________________
Winnt C'est en Linuxant qu'on devient .... geek  Intel Core i5 750 / 8 Go ram / Hdd 2 To / NVIDIA GeForce GTS 250 1Go sous Gentoo. Dual core E6300 / 2Go ram / Hdd 1 To / Ati 9800XT sous Debian Testing. Atom N330 / 4Go ram / Hdd 5To / intel GMA 950 sous Debian Testing |
|
|
00
|
|
28/05/2009, 23h50
|
#3 |
|
Invité de passage
Inscription : mai 2007 Messages : 16 |
Si on informe les salariés est-ce illégale ? Faut-il donc créer des purges automatique de toutes les traces (commandes et connexions) ?
En standard Apache Oracle et d'autres progiciels conservent les données de connexion très longtemps par un système de rotation de logs sur nos serveurs, on a aussi des bases de données qui enregistres toutes les sessions (ip + login windows) sur nos applis. Et même si on faisait des purges il y a une sauvegarde tous les jours. Donc toutes ces traces seraient illégales (listener Oracle, Apache, le fichier bash_history de chaque user etc . )? Si je m'aperçois que notre application a été piratée et que je retrouve l'IP du coupable dans les trace Apache je suis donc dans l'illégalité ? Faire des sauvegardes quotidiennes d'un serveur serait donc illégale puisque je peux restorer les fichiers bash_history et savoir quelle commandes on été passées un mois avant  ? Je précise qu'il s'agit de serveurs avec des login génériques et nom pas de postes clients nominatifs. Merci. Dernière modification par kyake ; 29/05/2009 à 08h45. |
|
|
00
|
|
29/05/2009, 08h59
|
#4 |
|
Membre Expert
budget et contrôle de gestion Inscription : décembre 2006 Messages : 865 |
Salut,
Je ne suis pas juriste et n'ai fait que rapporter l'idée générale de ce que j'ai pu lire ici ou là. A mon avis la meilleure source sur ce sujet c'est la CNIL elle-même. Au moins tu sauras exactement ce qu'il en est en fonction de ce que tu souhaite faire. La CNIL à aussi un rôle de conseil en plus de celui de gendarme 
__________________
Winnt C'est en Linuxant qu'on devient .... geek Intel Core i5 750 / 8 Go ram / Hdd 2 To / NVIDIA GeForce GTS 250 1Go sous Gentoo. Dual core E6300 / 2Go ram / Hdd 1 To / Ati 9800XT sous Debian Testing. Atom N330 / 4Go ram / Hdd 5To / intel GMA 950 sous Debian Testing |
|
|
00
|
|
29/05/2009, 13h31
|
#5 | |
|
Membre actif
 
Inscription : février 2009 Messages : 147 |
Citation:
Je t'avoue que je me suis jamais posé la question pour les .bash_history et autre.... Mais sont elles des données nominatives? Un compte oracle est souvent utilisé par deux ou trois dba... A ce moment, il faudrait déclarer chaque serveur Unix parce que syslog log les connexions? On atteint des sommets là ... (merde 500 serveurs à déclarer à la CNIL) |
|
|
|
00
|
|
29/05/2009, 19h54
|
#6 | |
|
Invité de passage
Inscription : mai 2007 Messages : 16 |
Citation:
Bonjour, Aucun compte Unix n'est nominatif, on a des centaines de serveurs et moi aussi je suis étonné qu'il faille tous les déclarer à la CNIL pour avoir le droit d'historiser les commandes passées sur les consoles. Vous pensez réellement que tous les serveurs Unix en France soit déclarés à la CNIL ? Merci |
|
|
|
00
|
|
31/05/2009, 11h05
|
#7 |
  
R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 129 |
Bonjour,
Oui, il est legal de laisser l'historisation pour les programmes cites, sans devoir les declarer a la CNIL. En revanche, non il n'est pas legal de se servir de ces logs contre des employes, a moins qu'ils n'aient ete avertis (lettre signee par les deux parties) et que la declaration idoine ait ete faite a la CNIL. Concernant un piratage exterieur que tu decouvrirais a travers une analyse de log, il s'agit d'autre chose puisqu'il question ici d'intrusion dans un systeme. |
|
|
00
|
|
31/05/2009, 15h02
|
#8 | |
|
Invité de passage
Inscription : mai 2007 Messages : 16 |
Citation:
Donc si je mais en place des scripts qui sauvegardent toutes les traces (commandes, heures de connexion etc) et que je ne m'en sert pas contre une personne pour la faire licencier c'est légal, merci pour l'infos c'est exactement ce que je cherche à faire. Il se passe des choses bizarre sur nos serveur je souhaite juste savoir quoi ? Si il s'avère qu'une personne fait de fausses manip je lui indiquerai tout simplement mais on n'engagera aucune poursuite, de toute façon ce n'est pas très grave et certainement pas volontaire, il faut juste que cela s'arrête. Si il s'agit d'une intrusion c'est donc autre chose mais je dois forcément faire le lien entre les commandes passé à une certaine heure et les traces de connexion aux serveur aux mêmes heures. Merci. |
|
|
|
00
|
Copyright © 2000-2012 - www.developpez.com