Bonjour,
 
Nous recevons des clients externes à ma boîte dans nos locaux, auxquels nous fournissons un accès Internet ADSL libre, non sécurisé et non surveillé par l'équipe SI. Cet accès est totalement indépendant du SI de ma boîte.
 
Un de nos autres clients nous fait part d'une tentative d'attaque/intrusion sur leurs serveurs à partir de l'adresse IP de la connexion ADSL non surveillée. Ce client nous menace clairement d'un procès et autres joyeusetés dans le genre.
 
Je pense qu'il s'agit d'un responsable informatique qui veut se faire mousser, mais dans les faits (dans la loi plus particulièrement), est-ce qu'une entreprise peut être pénalement responsable si un accès frauduleux est tenté à partir d'une connexion publique lui appartenant ? Quels sont les recours ?
 
Merci de vos retours...
 
Joe

Oui tu es responsable des accès se faisant sur ta connexion et tu es sensé logger ce qui se fait

D'accord, mais dans la mesure ou il s'agit d'un accès public, je peux pas mettre en place un système de log sans que cela soit considéré comme une intrusion dans la vie privée de l'utilisateur.
 
Je ne suis pas sûr que la responsabilité de log m'incombe, au même titre qu'un FAI ne conserve pas les logs de toutes les connexions et actions faîtes en détail sur une ligne (enfin je crois).
 
Une charte existe indiquant que l'internaute est responsable de ces actes, et que toute action contre la loi est interdite, etc
 

Si un FAI logue pendant un an les connexions faites

Donc pas besoin de logger, puisque dans tous les cas mon FAI le fait au final ?
 
Et donc par extension, mon FAI sera capable de fournir les logs de cette tentative d'intrusion et me les fournir le cas échéant si on doit passer par la case instruction judiciaire.
 
Connaitrais-tu des sites ou des associations qui traitent de ce genre de problématique ?

Ton FAI va loguer l'ensemble de la ligne, mais pas le détail de chaque utilisateur.
 
Du coup, si tu te retrouves avec plusieurs utilisateurs et qu'un seul fait des bêtises, tu ne pourra pas connaitre le fautif.

Mais dans la mesure ou c'est un accès public, je peux pas loger les connexions, car si je le fais du coup ce n'est plus public mais nominatif.
 
Par exemple, un wifi dans un aéroport, dans une gare, ou un mcdo, tu te peux te connecter librement. Comment sont gérés les logs dans ces cas de figure ? Parce qu'au final c'est le même type d'usage que mon cas de figure.

en général il y a une passerelle qui log tout par rapport à l'adresse mac du client

Logger les ip et les mac c'est pas nominatif, ça désigne des machines
Proxy authentifié ça c'est nominatif
 
De plus public n'est pas le contraire de nominatif  
 
Si à une de vos fenêtres tu places un fusil à lunette chargé en libre service, tu penses sérieusement n'être responsable de rien au cas ou quelqu'un en fait un usage malveillant ?
 
Toute mise a disposition nécessite de se protéger sérieusement en cas de litige.

Il demandait comment fonctionnait un hotspot wifi d'aéroport, c'est pas nominatif.
Ensuite depuis les dernières lois, en principe tu dois avoir l'identité de toute personne à qui tu fournis un accès à Internet.
Ca implique généralement un portail captif pour le wifi, qui requiert un username et password distribués généralement par l'hôtesse d'accueil qui les génère à la demande et à la présentation d'une pièce d'identité.
Bien entendu, encore une fois bcp de lieux publics fournissent le net sans demander quoi que ce soit.

 
Certes, mais si je reprends ton exemple du fusil, si pour accéder à la fenêtre où se trouve se fusil tu dois passer par un couloir, et que pour accéder à ce couloir tu dois dire qui tu es, et que je mets un bel écriteau qui dit : ne pas tirer. a quel moment s'arrête ma responsabilité, et à quel moment la responsabilité individuelle commence ?
Comme la SNCF qui ne mets pas de barrières pour empêcher les gens de sauter sur les voies: est-ce que la SNCF est reconnue coupable de négligence si qqun se suicide ?
 
L'exemple est tordu, mais au final si un accès est à disposition d'un certain public, c'est un contre sens de demander à ce public qui se connecte de s'authentifier. Au delà de la gestion que ça implique, les gens refuseraient de faire des démarches "administratives".
 
Je ne t'ai peut-être pas compris, mais si public n'est pas le contraire de nominatif, comment dans une salle avec 30 personnes et un ordinateur avec accès Internet disponible en l'état, comment fais-tu pour savoir qui fait quoi sur le net ?
 

 
Beaucoup d'entreprises proposent ce type d'accès 100% anonyme, et j'imagine que certains en profitent pour faire des choses sur Internet qu'ils ne feraient pas de leur connexion personnelle. Pourtant je n'ai pas eu connaissance qu'une entreprise soit reconnue coupable pour ce genre d'accès illicite...
 
J'ai l'impression qu'il y a un flou artistique sur la notion d'accès public et identification... y-a-t-il des juristes dans la salle ??

Qu'importe les avertissements il me semble qu'en cas de litige c'est le possesseur qui est responsable par défaut (au moins pour négligence).
Le "J'vous jure msieur l'juge c'étais pas nous" ça ne fonctionne jamais XD

 
 
Ce client a t'il pu vous fournir les informations techniques liées à cette "tentative d'intrusion" ?
En quoi consiste t'elle exactement ?

Le client n'a pas voulu me dire, j'ai juste réussi à arracher que c'était une tentative suspecte sur un de leur reverse_proxy.
 
Bref le truc qui ne m'avance pas, mais qui semble suffisamment grave pour qu'il exige que je lui communique toutes les infos à notre niveau sur les accès effectués sur la connexion incriminée.

Perso, je ne communiquerai rien sans disposer d'informations qui permettraient de présumer qu'il peut s'agir d'une tentative d'intrusion.
En gros, je renvoie le demandeur dans ses cordes.
 
A lui de lancer la procédure qu'il veut.
Après comme c'est l'un de vos clients, à vous aussi de peser les dommages collatéraux d'une confrontation sur cet "incident".

Je suis encore dans la phase investigations en interne, mais j'ai l'intention de ne lui communiquer que le strict minimum techniquement parlant (pour montrer que je suis coopératif) et aucune information nominative sauf injonction d'un tribunal.
 
Je connais cette partie de la loi, mais on n'est pas encore à ce niveau là, même si le client semble un peu obtus.
 
En faisant ce post, je voulais juste savoir si d'autres forumeurs avaient déjà été confrontés à ce type de problème.
Je pense aller vers un forum de juristes ou avocats, voir s'ils peuvent m'en dire plus à ce sujet. Je les publieraient sur ce post si je trouve des trucs intéressants.

Ben si j'ai bien compris, t'as surtout rien à communiquer.
Mais bon on ne communique pas des informations à un tiers sans raison valable.
Il ne suffit pas de venir dire "une intrusion vient de chez vous" pour se voir remettre des infos. Il faut au minimum apporter les preuves que vous êtes réellement impliqués dans l'histoire.
 
A mon sens, ne vas pas trop vite dans le juridique.
Des types qui font les gros bras pour obtenir ce qu'ils veulent, comme ça, à l'intox et au culot, y'en a plein.
Si c'est pas justifié, tu envoies paître et ca s'arrête là.
 
mais bon encore une fois, je ne connais pas votre client, vos rapports avec, le coté stratégique ou non de la position à adopter.

Alors, juste pour remettre les choses à leur place :
 
un "accès public" ne signifie pas un "accès anonyme" !
 
d'un point de vue légal, tu es RESPONSABLE (enfin ta boîte) de la connexion internet et de l'utilisation qui en est faite.
Ce qui est préconisé pour te protéger légalement, c'est :
 - filtrer les ports de sortie (uniquement 80 et 443)
 - proxifier la connexion afin de logger l'activité
 - si possible : authentifier tes utilisateurs sur un portail captif
 
A l'époque où je bossais sur le côté juridique de ce type d'accès, il fallait conserver les logs 3 mois (mais il me semble que c'est 1 an maintenant, à vérifier).
 
Tu dois IMPERATIVEMENT prévenir les utilisateurs du fait que la connexion est loggée et que seule une utilisation légale de celle-ci est autorisée.
De souvenir, il faut aussi faire une déclaration à la CNIL (là j'ai un doute par contre, je me demande si je ne confond pas avec autre chose ...)
 
Là seulement tu pourras te décharger de toute responsabilité en cas d'utilisation frauduleuse de ta connexion (mais j'ai déjà vu des clients se faire quand même taper sur les doigts parce qu'il étaient trop permissifs ....)
 
Un conseil : suit bien l'actualité sur ce sujet, ça évolue vite.
 
En espérant t'avoir aider    
 
PS : en aucun cas tu ne dois (d'ailleurs tu n'en as pas le droit) communiquer les informations recueillies à qui que ce soit (sauf à la justice bien entendu)

 
Merci pour ce retour d'expérience.
 
Mais un truc m'échappe qd même : quand bien même je mettrais un place un proxy pour logger l'activité, à quoi cela servirait-il ? Je veux dire dans la mesure où je suis dans l'impossibilité de connaître l'utilisateur qui utilise un poste à un moment donné, le log ne permet pas d'avoir plus d'infos sur le coupable présumé, non ?
La seule façon pour moi de faire cela serait de demander une carte d'identité à mes clients, chose que je ne peux pas faire légalement je crois.

en effet, le mieux c'est effectivement d'authentifier tes utilisateurs (via un portail captif).
 
Mais déjà mettre en place ce que j'ai écrit plus haut montre une volonté de contrôler l'utilisation de ta connexion, ça peut "plaider" en ta faveur (en cas de problème évidemment)
 
Mais, et là c'est mon avis, je pense qu'il est indispensable de bien contrôler ce genre d'accès publique que tu offres (logger, controler et authentifier). C'est un service que tu rend, il ne faut donc pas qu'il te soit potentiellement préjudiciable !

Tant que je l'ai dans mon presse papier, le livre blanc de la CNIL est pas trop mal fait :
http://www.cnil.fr/fileadmin/docum [...] ravail.pdf

Pour ton problème, ta société est responsable de l'accès internet. Si tu ne mets pas de système d'authentification/traces c'est elle la responsable de son usage. Si des sociétés tel que mac do ne fait pas de logging nominatif c'est plus, je pense, par choix politique.

Un de mes anciens clients avait refusé qu'on lui mette en place un système d'authentification plus nominatif sur son hotspot wifi car la population à qui il était destiné n'aurait pas apprécié (salle de presse)... (on est resté sur une authentification simple juste via email... du vent donc...)