Discussion :

[Michel Rotta]

Dans un décret du 1 mars 2011.
Les hébergeurs vont devoir conserver de plus en plus de données sur les requêtes faites par des internautes.

Les données qui doivent être conservées vont des noms de connexion en passant par les mots de passe utilisés et toutes les données et protocoles utilisés.

Le motif officiel n'est pas la lutte contre la pédophilie cette fois mais celle contre le terrorisme, il faut varier.

Le texte est suffisamment flou pour que les éditeurs de forum soient concernés.

Source :

• article : décret sur le journal officiel
• Texte de loi non encore modifié au 1/3/2011

[toopac]

Dans un décret du 1 mars 2012.

2011 plutôt non?

[Michel Rotta]

2011 plutôt non?

C'est de la politique fiction !
Bon, c'est corrigé...

[stardeath]

C'est de la politique fiction !

ha mince je me sens obligé :

- et il y a un bouchon en chocolat au fond du cornet en gaufrette.
- dingue ça !

[ymoreau]

J'avoue que j'ai du mal à saisir la moindre info claire dans le texte de loi. Par contre cette phrase très vague "données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne" ne me semble pas vraiment nouvelle, les FAI avait déjà la responsabilité d'identifier une personne par rapport à une ip non ? Les hébergeurs n'ont pas toujours plus d'info que l'ip de leur membre (à la limite un mail, mais ça ne vaut rien juridiquement j'imagine).

[Michel Rotta]

... mais ça ne vaut rien juridiquement j'imagine).

A partir du moment où l'information permet de retracer le message, de retrouver d'autres informations ceci peut faire partie d'un faisceaux de présomptions suffisant pour identifier une personne.

Si tu dois donner un email pour identifier ton compte, que cet email est celui de ton provider, c'est déjà un bon début non ?

En fait, ce décret précise le texte de loi de 2004, il définit les données qui doivent être réellement conservées, ce que le texte de loi originel ne faisait pas. C'est pourquoi j'ai mis un lien sur le texte qui sera modifié prochainement par le décret.

Plus que l'email, la conservation du mot de passe me semble choquante et dangereuse. En effet, pour qu'il puisse être révélé il faut qu'il soit conservé en clair. Et généralement on va utiliser le même mot de passe pour plusieurs sites. Et avec un mot de passe il est alors possible à tous de se connecter et de consulter sans laisser de traces.

De plus, la notion d'hébergeur me semble des plus floue. Quid d'une association qui propose à ses membres un forum public ? Sont-ils soumis à ces obligations de conservation de données ? Je ne suis pas sûr de la portée, mais elle pourrait être soit maintenant, soit avec peu de modifications, très importantes. Et très intrusive.

[ymoreau]

Avec les webmails, je pense que la plupart des hébergeurs de services mails ignorent tout de leur "clients", sauf bien sûr l'ip. Mais je suis d'accord que ce que tu annonces est hyper intrusif, j'ai du mal à comprendre la raison cependant, en quoi le mot de passe pourrait être utile pour identifier une personne ayant publié quelque chose ? =/

[Michel Rotta]

De ce que j'ai pu lire ici et là.

Il semblerait que certains groupes (terroriste ?) utiliserait les webmail de manière détournée. Pour rester le plus discret possible, ils n’enverraient pas de courriel ni n'en recevraient depuis ces comptes. Mais plusieurs personnes ce partageraient le même compte et le système d'archivage servirait de moyen d'échanger. D'où l'intérêt du mot de passe.

Mais comment imposer un tel fonctionnement à google ou apparenté ?

Et vu le secret de tel réseaux, il est évident qu'ils vont s'adapter plus vite que la vitesse de la mesure. Par contre les mots données de nous tous seront toujours conservées et elle vont bien finir par être utilisées à des fin non prévues initialement. Retrouver une source de journaliste, trouver qui dépose des documents sur un wikileak ou apparenté... Il y a plein de choses intéressantes à en tirer.

[10_GOTO_10]

De ce que j'ai pu lire ici et là.

Il semblerait que certains groupes (terroriste ?) utiliserait les webmail de manière détournée.

Soyons clairs: si des personnes indélicates on envie de s'échanger des données, ils n'ont que l'embaras du choix (par exemple comme ceci ou comme cela, entre autres).

Une fois de plus, le terrorisme est un prétexte fallacieux à plus de contrôle d'internet, dans un but que je ne comprend pas (ou plutôt que j'ai peur de comprendre).

[Elepole]

A mon avis si un terroriste veut vraiment communiquer de façon secrète il utilise un truc telle que Freenet, la y'a vraiment aucun moyen de retrouvé quoique se soit (a l'heure actuelle)

Sinon, qui va payé les coup du au changement total de système ? car je connais pas beaucoup de site qui n'utilise pas le hachage.

[grafikm_fr]

Soyons clairs: si des personnes indélicates on envie de s'échanger des données, ils n'ont que l'embaras du choix (par exemple comme ceci ou comme cela, entre autres).

Oui enfin faut pas oublier que les malfaiteurs ne sont pas tous des experts en informatique.

Indépendamment de l'éternel débat sur les libertés individuelles vs terrorisme, le pistage des données informatiques aide dans un certain nombre d'investigations. Non ce n'est pas une panacée, mais il ne faut pas oublier que ça se conjugue avec d'autres techniques de renseignement plus traditionnelles.

[Michel Rotta]

Serte, le traçage a postériori de données collectées à l'aveugle et préventivement permet d'aider à résoudre certaines affaires.

Mais devons nous pour autant accepter les yeux fermé cette collecte préventive ?

De plus le motif donné ici par la loi est la prévention du terrorisme. Bien, mais quid si ces données sont utilisée pour traquer des braqueurs ? Ou des indicateurs de journalistes ? Parce qu'il ne faut pas ce faire d'illusion, les données sont stockées, elles le sont pour être utilisées.

Que dirions nous si nous avions l'obligation d'avoir chez nous, assis à côté de le radio une personne chargée de noter chaque morceau écouté, la durée de l'écoute, la chaine d'où il a été diffusé, la date et l'heure de l'écoute ? Tu l'acceptes le monsieur à côté de la radio ? Et celui dans ta boite aux lettres qui note toutes les lettres que tu reçois où envoie, tu l'acceptes ? Et celui sur le dossier du divan qui note tous les articles que tu parcours dans ton journal, tu l'acceptes ? Pourtant, quant il s'agit des mêmes procédés mais rapportés à internet ils semblent du coup acceptable. Etonnant, non ?

[Charvalos]

Euh... rassures-moi, cela s'applique seulement en France ?

[ymoreau]

La collecte de ce genre d'infos est effrayante c'est sûr, d'autant que la plupart des données pourraient être récupérées sur demande auprès des hébergeurs et des FAI dans le cadre d'enquêtes. Mais ce qui est vraiment important c'est comment ces infos pourront être utilisées, contrôlé par un juge etc ?

[Michel Rotta]

Doivent stocker les informations : "Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis..." ce qui inclus les prestataires de forum...

L'article 6 §8 précise que les demandes doivent être faîtes par : "L'autorité judiciaire" reste a savoir si cela implique un juge, un procureur ou un simple OPJ.

Edit : Un arrêté de la CDEH (Cour Européenne des Droits de l'Homme) précise que le procureur ne peut être, en France, considéré comme une autorité judiciaire. Ceci retire aussi, de fait, les OPJ. Donc effectivement, ces demandes ne pourrait être faîte que par un juge (d'instruction). Si du moins j'ai bien décodé le jargon juridique qui est parfois pire que du java...

[grafikm_fr]

Mais devons nous pour autant accepter les yeux fermé cette collecte préventive ?

On peut lancer un troll d'au moins un mois sur ce sujet

Pourtant, quant il s'agit des mêmes procédés mais rapportés à internet ils semblent du coup acceptable. Etonnant, non ?

Bon là par contre c'est juste de l'exagération. Relisons le décret, parce que le droit est quand même plus clair que la majorité du code Java

1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés [...]

En gros, quand on se connecte, on log un certain nombre d'informations sur la personne qui se connecte. Surprise, c'est déjà fait sur la plupart des forums (chaque post voit son IP loggé). Et ca te dérange pas qu'un administrateur boutonneux d'un vague site type ihatenoobzorz.com ait accès à ton IP et pas un officier de PJ? C'est pour le moins étrange.

2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création

Le mot clé étant création. Sachant que un peu plus bas, c'est explicité comme étant aussi une modif et une suppression.

Conclusion: il n'est à aucun moment question de tracer les accès à telle ou telle page/fichier en particulier, mais de log leur création. Donc ton parallèle avec un gars notant ce que tu écoutes comme musique à la radio est en carton. (Non pas que je m'en doutais pas à l'avance )

3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte [...]
4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement

La il est question d'infos relatives à l'ouverture d'un compte ou d'un contrat. Sachant que l'acteur n'est tenu de log ces infos que s'il le fait au titre habituel.

[®om]

Le décret LCEN devrait être attaqué devant le Conseil d'Etat

[grafikm_fr]

Et l'une des objections est sans surprise le coût de la démarche pour les fournisseurs.

Ils sont pas contre les pauvres, ils veulent juste être payés pour ça

[Marco46]

Plus que l'email, la conservation du mot de passe me semble choquante et dangereuse. En effet, pour qu'il puisse être révélé il faut qu'il soit conservé en clair. Et généralement on va utiliser le même mot de passe pour plusieurs sites. Et avec un mot de passe il est alors possible à tous de ce connecter et de consulter sans laisser de traces.

De plus, la notion d'hébergeur me semble des plus floue. Quid d'une association qui propose à ces membres un forum public ? Sont-ils soumis à ces obligations de conservation de données ? Je ne suis pas sur de la portée, mais elle pourrait être soit maintenant, soit avec peu de modifications, très importantes. Et très intrusive.

Ca concerne "toute personne ayant contribué à la création d'un contenu mis en ligne ". C'est le titre du decret.

Donc ça inclus forcément les forums.

Par contre il n'est écrit nullepart que les mots de passes doivent être conservés en clair. Si c'est un hash qui est enregistré, c'est le hash qui doit être conservé.

Oui c'est stupide.

[Michel Rotta]

L'article 1 du décret d'application du 25/02/2011 précise :

Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion

on est loin de la création...

Effectivement le mot de passe n'est à conserver, en claire, que lors de la création où de la modification. Ceci prouve seulement que la personne qui a écris le décret est loin d'être un imbécile et qu'il considère qu'avoir 50 copie du même mot de passe présente peu d'intérêt.

L'imbécile boutonneux n'a accès (si le forum est correctement conçu) qu'à n hash... et encore. Parce qu'à l'avenir, il va devoir y avoir accès en clair...

Et je n'ai pas vu d'imbécile boutonneux chez developpez.net...

Un troll sur le monsieur assis à côté de la radio ? Non, pas possible, je l'ai viré en même temps que la radio Et si troll il y a, je t'en laisse toute la responsabilité.

Et j'ai répondu sans faire de ces horribles messages à mutli citations