Skip navigation.

devloop :: blog

Blog sur la sécurité informatique, la programmation, Linux et le Web

Conservation des logs : décret du 24 mars 2006

Sunday, 26. March 2006, 20:27:00

, , , , , , , , , , , , , , ,

En ce jour du dimanche 26 mars 2006, un décret du ministère de la Justice oblige dorénavant les "opérateurs de communications électroniques" à conserver des logs de nos communications.

Le decret peut être lu ici mais je vais tenter, malgré mes faibles connaissances en droit, de vous en faire une petite analyse :wink:

Art. R. 10-12. - Pour l'application des II et III de l'article L. 34-1, les données relatives au trafic s'entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi.


Faisons le point sur ces "données susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission".
Parmi ces données il y a bien évidemment nos emails. Non seulement ils transitent par le biais du FAI (Fournisseur d'Accès Internet) mais en plus ils sont conservés par les serveurs POP ou IMAP de ce dernier (parce qu'il faut bien que nos emails se "posent" quelque part).
Ensuite pour savoir si nos emails sont "pertinents au regard des finalités poursuivies par la loi" c'est on ne peut plus flou (à ce point du document).

Art. R. 10-13. - I. - En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :

  1. Les informations permettant d'identifier l'utilisateur ;
  2. Les données relatives aux équipements terminaux de communication utilisés ;
  3. Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
  4. Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
  5. Les données permettant d'identifier le ou les destinataires de la communication.


Les "informations permettant d'identifier l'utilisateur" sont bien évidemment votre fiche client : nom, prénom, adresse, numéro de téléphone et plus encore.
"Les données relatives aux équipements terminaux de communication utilisés" : j'avoue avoir des difficultées à comprendre la signification des "équipements terminaux". J'aurais tendance à dire qu'il s'agit soit des relais utilisés dans une communication (par exemple un routeur, voire un proxy du FAI) soit la nature du protocole utilisé dans la communication... Si c'est le cas on peut considérer que cela signifie la conservation des ports source et destination d'une communication (généralement largement suffisant pour déterminer le protocole)
De toute façon ces données doivent être comprises dans les "caractéristiques techniques" citées dans le troisième point.
Le quatrième point c'est le brouillard total mais c'est sûrement rien de bon pour nous nervous
"Les données permettant d'identifier le ou les destinataires de la communication" : à première vue les adresses ip et/ou les noms de domaines. Ca peut aller jusqu'au nom, prénom etc si le destinataire de la communication utilise le même FAI (logique).

II. - Pour les activités de téléphonie l'opérateur conserve les données mentionnées au I et, en outre, celles permettant d'identifier l'origine et la localisation de la communication.


Je crois que tout est dit :eyes:

On nous apprend ensuite que les opérateurs de communications sont autorisés à conserver d'avantage de données techniques ou de données permettant la localisation s'ils en ont besoin pour la facturation.
Ce qui nous intéresse (en temps que simple internautes) se situe dans le paragraphe suivant :

Les données mentionnées aux I et II du présent article ne peuvent être conservées que si elles sont nécessaires à la facturation et au paiement des services rendus. Leur conservation devra se limiter au temps strictement nécessaire à cette finalité sans excéder un an.


Evidemment on peut se demander qui dans l'histoire va juger de la durée nécessaire de conservation de ces données...
On nous informe ensuite que l'opérateur peut enregistrer plus de données techniques pour les communications relatives à "la sécurité des réseaux et des installations". En fait le seul point rajouté concerne les "données permettant d'identifier l'origine de la communication".

C'est évident que lors d'une enquête, si la police se rend dans les locaux d'un FAI c'est qu'elle connaît probablement déjà l'adresse IP du fraudeur. Cela lui permet ensuite d'obtenir son identité et de savoir qu'elles communications il a effectué.
La conservation de données concernant l'origine de la destination peut être utile si la police ne possède pas d'adresse IP mais à réussi à retrouver quel est le FAI du pirate. En ce qui concerne les lois relatives au téléchargement cela est plus inquiétant. A priori cela ne rentre pas dans le cadre de "la sécurité des réseaux et des installations" mais la conservation de telles données pourrait permettre à la police de prendre totalement au hazard des personnes utilisant des logiciels de P2P.

Les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des II, III, IV et V.
Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.


Traduction : le proxy que vous utilisez ou encore la chaîne de fast-food qui vous propose gentiment un accès wifi doivent suivre les même règle qu'un FAI ou qu'un opérateur téléphonique :ko:

La dernière partie du document concerne les interdictions vis-à-vis des opérateurs (utilisation de données à des fins commerciales, spam, litiges etc).
Le plus important dans cette partie est (à propos des données conservées) :

Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.


En même temps je vois mal un opérateur stocker sur disque le contenu des communications qui transitent chez lui ^^
Evidemment dans le cadre d'un enquête la justice peut très bien obliger l'opérateur à surveiller de près certaines communications, en particulier leur contenu p:

Pour résumer : les logs sont conservés pour une durée d'un an aussi bien chez les opérateurs (internet, téléphonie) que sur les serveurs proxy ou fournisseurs de point d'accès WiFi. Vous êtes prévenus :wink:

Mise à jour:
Le décret sur la conservation des logs a été validé par le conseil d'état, désormais les logs sont obligatoirement conservés pour une durée d'un an.
Source : ZDNet.fr

Une belle tête de vainqueurUtiliser quotidiennement Windows pourrait rendre impuissant

How to use Quote function:

  1. Select some text
  2. Click on the Quote link

Write a comment

Comment
(BBcode and HTML is turned off for anonymous user comments.)

If you can't read the words, press the small reload icon.


Smilies

MyWebz0ne

Blogs

Webcomics

BD Girls

BD Boys