Discussion :

[lebryce]

Bonjour à tous,

Je suis en train de faire développer un logiciel en ligne destiné à des professionnels (commerçants), je ne suis pas le webmaster et coté développement je ne suis pas très calé, alors je vous explique pourquoi je m'adresse à vous.

Je voudrais que les commerçants auxquels j'aurais ouvert un compte ne puissent se connecter que depuis un seul endroit (leur boutique normalement). Pensant jusqu'à aujourd'hui qu'une adresse ip fixe était "fixe" comme son nom l'indique, j'ai demandé au webmaster d'authentifier un commerçant par un identifiant et mot de passe + vérification de l'adresse ip. Sauf que mon FAI m'annonce aujourd'hui qu'à chaque déconnexion du modem l'adresse ip fixe changeait. Ils me disent aussi que pour tous les clients professionnels, les FAI attribuent une adresse ip fixe.

Comme je n'ai pas trop bien senti la fiabilité de ces informations et surtout de la personne qui me les a données, je voudrais votre avis sur la question, à savoir si l'authentification par adresse ip fixe sera assez fiable pour etre sûr que la connexion d'un commerçant se fasse toujours depuis la boutique. Sinon que me conseillez vous ?

Merci par avance à ceux qui me répondront.

Salut.

[sevyc64]

Concernant les professionnels, si les grosses boites ont très certainement une IP fixe qui leur sont attribuée, ce n'est peut-être pas forcément une garantie absolue pour tous les professionnel ou suivant les FAI.


Niveau FAI, tout dépand de ta connection. SI tu es en dégroupage total ou partiel, tu as très propablement une IP fixe sans que ce soit non plus une garantie absolue. De débrancher et rebrancher le modem (la box) ne change généralement pas cette IP, mais rien n'est garantie sauf à l'avoir explicitement demandé au FAI.

Si tu es en non dégroupé, les choses sont différentes. Déjà tu n'es en théorie pas en IP fixe sauf à l'avoir explicitement demander au FAI. De plus tu es systématiquement déconnecté au moins une fois par 24H (pour des raisons technique de gestion du réseau). A chaque reconnexion tu as potentiellement une adresse IP différente de la précédente.
Dans les faits, les connections non dégroupées étant de moins en moins nombreuses, les connections étant désormais faites avec des box, connectées h24, les requêtes d'attribution d'IP étant moins nombreuses, il n'est pas rare que lors d'une reconnexion immédiatement après la déconnexion ton fai te réattribue la même adresse IP.
Il faut d'ailleurs dans ce cas là patienter parfois plusieurs dizaines de minutes déconnecté pour espérer obtenir une nouvelle adresse à la connexion.


Autre point, l'adresse IP présentée au serveur est une donnée facilement falsifiable pour quelqu'un qui s'y connait un peu (ce qui rend en partie caduque la loi HADOPI). De plus elle peux être modifiée suivant comment la personne se connecte au serveur (utilisation de VPN, Proxies anonymes, .....)

L'adresse IP, si elle est pourtant reconnue comme étant une donnée à caractère personnel (donnée permettant d'identifier de manière directe ou indirecte une personne) elle ne permet pas pour autant d'identifier une personne de manière fiable et sans contestation possible.

Concernant ton problème :
Tu peux effectivement utiliser ce système comme protection supplémentaire, à condition que
- Tout tes clients possèdent une IP fixe
- Que ces clients ne puissent se connecter que d'un seul site (pas de multi-agence, du patron qui se connecte le soir depuis chez lui, ....) ou alors de prévoir une liste d'IP autorisées par client
- Que tu prévois la possibilité de pouvoir modifier l'IP attribuée à un client
- Que chaque client te communique la nouvelle adresse IP dès que celle-ci vient à changer (évolution de son contrat internet, ....)

[lebryce]

Merci pour ta réponse rapide Sevyc64, c'est cool.

Autre point, l'adresse IP présentée au serveur est une donnée facilement falsifiable pour quelqu'un qui s'y connait un peu (ce qui rend en partie caduque la loi HADOPI). De plus elle peux être modifiée suivant comment la personne se connecte au serveur (utilisation de VPN, Proxies anonymes, .....)

Disons qu'il y a un taux de falsificateurs que je suis pret à accepter, penses tu que 5% de la population française est capable de faire cela ? A quel niveau de difficulté estimes tu cette falsification ?

Tu peux effectivement utiliser ce système comme protection supplémentaire, à condition que
- Tout tes clients possèdent une IP fixe
- Que ces clients ne puissent se connecter que d'un seul site (pas de multi-agence, du patron qui se connecte le soir depuis chez lui, ....) ou alors de prévoir une liste d'IP autorisées par client
- Que tu prévois la possibilité de pouvoir modifier l'IP attribuée à un client
- Que chaque client te communique la nouvelle adresse IP dès que celle-ci vient à changer (évolution de son contrat internet, ....)

Merci pour ces supers conseils, effectivement j'avais prévu les conditions que tu ennonces, par contre si l'adresse ip d'un commerçant devait régulierement changer, tu penses que ça se ferait tous les combien (en gros bien sur) ?

[sevyc64]

Disons qu'il y a un taux de falsificateurs que je suis pret à accepter, penses tu que 5% de la population française est capable de faire cela ? A quel niveau de difficulté estimes tu cette falsification ?

Certainement très faible voire nul dans le cadre de ton projet, pour la falsification en tout cas. Il faut quand même quelques connaissances. C'est à l'heure actuelle plutot utiliser par des internautes qui se connectent sur des réseaux non autorisés pour ne pas que des instances comme HADOPI ou autre remontent jusqu'à eux.

A priori, tes clients n'auront aucun intérêt à faire cela pour se connecter à ton site.
Tu as aussi le cas ou un client se ferais pirater son IP par un pirate, mais dans ce cas là, je pense qu'il est peu probablement que ce pirate vienne sur ton site.

par contre si l'adresse ip d'un commerçant devait régulierement changer, tu penses que ça se ferait tous les combien (en gros bien sur)

Comme je te l'ai expliquer, cela dépend du type de connexion de tes clients. Potentiellement à chaque déconnexion/reconnexion pour les clients non dégroupés, donc au moins une fois par jour voire plus. Certainement moins dans la réalité, comme je l'ai dit. D'autant plus que tu n'as peut-être (probablement même) que très peu de client en non dégroupé.

Au pire peut-être peux-tu prévoir un système pour désactiver cette option pour certains clients problématiques.
C'est peut-être aussi un point à voir avec tes clients au moment de l'inscription/signature du contrat, ....

[lebryce]

Comme je te l'ai expliquer, cela dépend du type de connexion de tes clients. Potentiellement à chaque déconnexion/reconnexion pour les clients non dégroupés, donc au moins une fois par jour voire plus. Certainement moins dans la réalité, comme je l'ai dit. D'autant plus que tu n'as peut-être (probablement même) que très peu de client en non dégroupé.

Je t'ai pas précisé que ma question portait sur les clients en dégroupage total, je voulais savoir si leur adresse ip fixe changera souvent, et puis pour ceux en non dégroupé je ferai l'impasse, je n'envisage pas de changer leur ip tous les jours ! En plus tu as raison il n'y aura que peu de monde.

[sevyc64]

Il faut voir les spécificités de chaque FAI, mais normalement en dégroupage total déjà pour les contrats type particuliers chez les 3 FAI les plus connus les changements d'adresses sont rares.

Pour des contrats plus Pro, chez d'autres FAI (Oléane, etc, ...), en général la clause d'IP fixe fait partie intégrante du contrat. Les changements peuvent arrivés sur des modifications importantes des contrats (mise en place de connexions sécurisés, VPN, .....)

Donc oui, les changements peuvent exister mais sont normalement rares

[lebryce]

Ok c'est plutot rassurant, je demanderai aux commerçants de souscrire à une ip fixe, ça devrait limiter les changements que j'aurai à faire.

En tout cas je te remercie pour ton aide c'est vraiment sympa de m'avoir consacré du temps

A la prochaine.