Bonjour,
 
L'établissement privé duquel je fais partie à reçu sa deuxième lettre d'avertissement de la part d'Hadopi ("défaut de sécurisation, blablabla... 1500€, coupure internet, blablabla..." ) Je suis entrain de réfléchir à des solutions pour éviter que cela se reproduise, solutions idéalement les moins contraignantes pour les utilisateurs.
 
Parmi les idées pour l'instant :
 
- Blocage des protocoles utilisés par les logiciels pair à pair. Quels sont ces protocoles? Il y a t'il des moyens de contournement (qui sont quand même susceptibles de se faire "flasher" par Hadopi), et si oui, quelles compétences techniques demandent t'ils? Quels vont être les dommages collatéraux pour les utilisateurs?
 
- Utilisation d'un VPN situé dans un pays plus respectueux des droits de l'homme. Quel pays, quel tarif, quelles limitations?
 
Avez-vous d'autres idées?
 
Merci d'avance pour votre réponse.

Pour commencer, tu mets un proxy et un firewall.
 
Sur tes postes tu configures le proxy pour l'accès à internet, et sur ton firewall, tu n'autorises que le proxy pour les ports 80 et 443.
 
Ensuite, sur les deux équipements, tu actives les logs, car tu as des obligations d'identification et d'archivage vis à vis de la loi. Ces logs te permettrons également de trouver le "coupable".  
 

1.) Il ne s'agit pas de fliquer les usagers sur leur utilisation du réseau. Quelle est cette loi qui oblige à faire cela? De toute façon, trouver le "coupable" risque d'être difficile car, à partir du moment où ils disposent de la clef Wifi, les usagers peuvent se connecter librement au réseau avec leur ordinateur portable ou téléphone portable.
 
2.) Ce genre de filtrage semble être très lourd : la plupart des utilisations non-Web tels le SMTP, la VOD, les jeux vidéos, le FTP, et que sais-je encore... ne vont-ils pas se retrouver bloqués?
 
3.) Qu'est ce qui empêche les logiciels de pair à pair de passer par les ports TCP (et UDP?) 80 et 443?

C'est quoi cet établissement ?
Quel type de public accueille t'il ?
 
Et puis outre le respect des droits d'auteurs, ça ne vous pose pas problème au niveau débit ?

Ça ne posait pas de problème jusqu'ici, les usagers arrivaient plutôt bien à s'entendre sur le partage de la bande passante (au vu de la construction du bâtiment, le wifi est en pratique limité à une seule salle).
 
Et ça posera encore moins problème en cas du choix du blocage des flux des logiciels pair à pair. Sur ce point d'ailleurs, Hadopi surveille-t-elle seulement les flux montants ou aussi descendants? Quoique pour éviter les risques en cas d'évolution des systèmes de la Hadopi, il séra probablement préférable de bloquer les deux sens...

Hadopi ca va disparaître. Faut suivre l'actualité
Mais tu n'indiques pas dans quel cadre tout cela s'inscrit.
 
C'est une société ? Un établissement d'enseignement ? Une association ?
Quel est le but premier de l'accès à Internet ?

Disparaitre? C'est vous qui devriez suivre mieux l'actualité :
http://www.numerama.com/magazine/2 [...] u-csa.html :

 
Le but premier de l'accès à Internet est... l'accès à Internet. Après il est vrai que un accès dans un but "administratif" du genre accès au site de la CAF, consulter ses e-mails, ou alors par exemple pour voir les horaires des trains reste plus important que un simple accès "loisir", mais idéalement un accès "loisir" resterait toujours possible.

l'acces loisir à l'air d'inclure du download de contenu soumis aux droits d'auteur.
 
perso je commencerais par enlever les droits d'admin aux utilisateurs et à contrôler les logiciels installés sur les PC de mon parc, et je me renseignerai sur la configuration d'un proxy et d'un pare-feu.
 
quoi qu'il arrive le combo proxy/pare-feu est indispensable, et si tu trouve ca trop contraignant c'est que tu ne sais pas ce que tu encours en tant que fournisseur d'accès internet si jamais des utilisateurs font des choses illégales grace à l'accès que tu leur propose.

C'est encore obscure le type de structure dans laquelle il bosse.  
Donc c'est compliqué de se dire ce qu'il pourrait mettre en place ou pas.

 
Ben oui Hadopi est appelé à disparaître. Ton article le mentionne
Après, ce que ça va devenir, ce ne sont pour l'instant que des conjectures.
 
Pour en revenir au sujet du topic, tu sembles penser que l'accès à Internet est un droit qui ne souffre aucune contradiction.
Si tu n'as pas de respect pour les droits d'auteurs, tu feras moins le malin si l'accès à Internet que tu veux sans aucune interdiction sert à d'autres délits (terrorisme, pédophilie, contenus violents). Je ne sais toujours pas si tu n'accueilles pas même des mineurs.
Il te faudrait prendre cela plus au sérieux et respecter la législation.
Chacun a Internet chez soi désormais. Tes utilisateurs n'ont pas besoin de la connexion Internet dont tu t'occupes pour aller voir youtube ou télécharger des fakes sur du P2P. Ne te préoccupes pas de cela. Vois l'intérêt de ta structure et son objet.

En tant que prestataire j'ai eu le même pb avec le poste d'un client
Dans mon routeur cisco UC540 y a une option avec le parfeu, à voir

Voilà, pourquoi en discuter si on ne sait pas dans quelle structure "on" est  
Il manque aussi à savoir s'il existe déjà une charte informatique avec le cadre d'utilisation de l'accès à internet, des "heures libres" (le midi par exemple), la configuration des postes (centralisé ? utilisateurs administrateur de leur machine ?)
 
Car déjà répondre :

Si les utilisateurs sont administrateurs, ça ne sert pas à grand chose. Un VPN, un changement de configuration, et hop on passe à travers.
 
Même par rapport à Hadopi, limite ça on s'en fout :

En tant que fournisseur d'accès à internet, tu es soumis à la loi informatique et liberté, qui régit notamment une obligation de logs d'accès. Tu peux commencer par une simple lecture de ce qui est indiqué sur Wikipedia sur le droit de l'informatique en France (à adapter donc en fonction de la législation locale)
Donc plus qu'un réseau "Hadopi-proof", c'est surtout un réseau dans le cadre légal qui doit être mis en place. Si l'un de tes utilisateurs télécharge de quoi faire une bombe et s'en sert, l'entreprise sera responsable, et en tant que responsable informatique (ou assimilé) tu prendras plein pot dans la face
Je donne volontairement un extrême, mais tout reste possible.

 
Le firewall bien configuré bloquera le VPN !  

Tunnel HTTP avec relais, carte réseau virtuelle etc... démonstration vu au sein d'un réseau de l'armée, avec du matos lourd faite pour (analyse de trame, blocage des ports) ça passait comme dans du beurre. Bon le gars qui avait fait la démonstration connaissait le réseau mais avait fait la présentation en ne se servant pas de ses accès privilégiés. Et là ça se casse les dents dessus un peu partout (cf le CERTA) car en partant d'une solution simple ça peut trop facilement se détourner
 
(edit : et pour la modération, même au sein de l'observatoire de Paris il est donné le "moyen" de passer à travers un pare-feu )

quand ça vient de l'intérieur on peut pas faire grand choses! mais la ça devient contre les cgus et un pe plus technique donc qqpart le parfeu reste une bonne solution

ben du point de vue hadopi, si le mec passe par un VPN pour télécharger, tant mieux, c'est l'IP du VPN qui est flashé pi voilà.
 
après bien sûr ça te pompe de la BP, et niveau sécu etc.. m'enfin c'est pas ce qui est demandé ici apparement.

Et c'est là le problème : Hadopi n'apprecie pas trop ce genre de choses...
 

Les bornes en libre service, certes, mais je vois mal comment je peut leur enlever les droits d'admin sur leur propre matériel.  
 

Pourtant un FAI n'est pas responsable de ce qu'un particulier fait avec sa ligne, non? Alors pourquoi l'établissement sérait responsable de ce que les particuliers font avec cet accès?
 

C'est quand même un peu tiré par les cheveux, non? Quelles sont les chances que ce genre de problème arrive?
Sinon pas de mineurs dans la structure.
 

Justement, les utilisateurs de cette structure n'ont PAS Internet chez eux. D'où ma tentative de leur donner un accès le moins bridé possible... principe qui est malheureusement remis en cause car la structure ne peut pas se permettre de se prendre des amendes de la part d'Hadopi.
 

Une charte serait probablement une bonne idée. Pas de restrictions horaires en principe.
 

Merci, je vais me renseigner.
 

Justement, je sais que en principe, toute sécurité est contournable, mais en pratique il est peu probable qu'un utilisateur lambda ait ce genre de connaissances.

Un FAI logue tout ce qui se passe sur son réseau et est capable de donner ces infos à Hadopi. C'est ce qui lui permet de ne pas être inculpé à la place de l'utilisateur.
 
Donc à toi de voir si tu préfères brider ou mettre en place toute une infra d'analyse de traffic qui te sera surement plus couteux ...

Autre solution mais je ne sais pas si ça existe : installer un firewall avec un fichier de config modifiable et un verrouillage par mot de passe anti désinstallation/modification.
 
Comme ça, tu établis une configuration de firewall logiciel paramétrable selon tes besoins, tu balances la config sur les postes et hop, tu limites les abus.
 
Dit comme ça, c'est bien mais je ne saurais pas vers quel produit te tourner;

Tu es le client final (c'est à toi qu'ils facturent l'abonnement) = tu es le responsable.
 
Quelques petites remarques en vrac:
- Si le logiciel de P2P utilisé a moins de dix ans, tu bloques tous les ports sauf le 80 et le 443, il mettra quelques secondes de plus à se connecter aux pairs, mais passera quand même par l'un de ces deux ports
- De ce que nous pouvons interpréter des directives/recommandations/demandes de la HADOPI, ce n'est pas une obligation de résultats mais de moyens qui est demandée: apportes la preuve que tu as acheté une solution type pare-feu et antivirus, ça pourrait te couvrir si ça va plus loin. Je dis bien pourrait, le nombre de personnes qui savent réellement ce qu'il en est doivent se compter sur les doigts d'une main et se gardent bien de divulguer ce genre d'infos.
Tu peux même aller jusqu'à ne pas configurer le FW et l'AV, ils sont suffisamment incompétents pour penser que leur simple présence suffit à effrayer les logiciels de P2P (joke inside hein, si ça va jusqu'à la case justice, des personnes compétentes pourraient prendre le relais et tu retrouverais baisé...)
- Suite à l'installation d'un FW + Proxy, les logs qui en serons extrait permettent de savoir qui a téléchargé (du moins, quel poste, puis remonter à l'utilisateur indélicat par les logs de Windows genre installation d'un nouveau programme), et ainsi de transférer la responsabilité (du FAI à celui qui fourni le service wifi, et de ce dernier à l'utilisateur).
- Pour la connexion wifi de ceux qui apportent leur laptop/téléphone/tablette, un portail captif avec une acceptation des CGV pour prévenir l'utilisateur qu'il entre dans une "zone surveillée" serait un plus.
 

J'ai la solution "idéale" pensée pour une utilisation d'un espace internet "libre", le seul soucis, c'est que la donner, revient a donner le moyen de contourner la loi, et c'est illégal de donner un moyen de contourner une loi.

forcément on a envie de savoir ...

j'ai ri, merci.

Le Tor, tue

bon je suis encore trop naïf ??  

La solution c'est :
-Charte info
-Enregistrement des utilisateurs dans un registre papier avec date/heure
-Log avec correspondance ip<=>proto (le reste on s'en fou)
Et tu met le tout a disposition des autorités compétentes. Toi, tu fourni un accès neutre, derrière les gens se doivent d'assumer leurs utilisations. Et si y'en a un qui fait du tunneling, tu verra une correspondance ip<=>https ou ssh, donc pour toi il faisait rien d'illegal au moment incriminé, et que tu peu te justifier en disant qu'en tant qu'admin, tu n'a pas les compétences pour vérifier les flux et que le DPI n'est pas autorisé en France pour espionner ses compatriotes.
 
Tu es couvert par ta charte et le fait de pouvoir identifier qui fait quoi (sans avoir a voir les communications), et vue que c'est une mise a disposition au publique, eux sont avertis qu'ils sont responsable (et doivent l'être dans tout les cas).

Un proxy avec Peerbloc installé, configuré pour laisser passer les http. Je l'utilise depuis plus de 2 ans sans aucun rappel d'adopi.

Ca me parait une bonne solution, le proxy, mais ca implique un paramétrage application par application. Une autre purement matérielle serait l'utilisation d'un routeur qui fasse du Deep Packet Inspection et non du simple blocage de ports, + log adresse MAC+IP et heures des tentatives.

Le mieux serait quand même un réseau wifi "public" avec authentification individuelle via http, ça permet de conserver une trace de tout donc de se prémunir contre d'éventuels problèmes juridiques. A partir du moment où les gens viennent avec leurs ordis ou leurs téléphones se connecter au wifi, ils peuvent potentiellement être infectés par des virus et utiliser le dit réseau pour envoyer des spams, par exemple ... il faut donc être capable de dire que 192.168.1.52 à 10h30, c'est Mr DUBOIS qui a envoyé 15000 SPAMS.

Sans trop "rire", un pote a vu passé une demande similaire dans sa boîte, où le chef de service informatique lui a demandé d'étudier une demande de ce genre. Avec en sortie papier un log automatique sur une imprimante matricielle et du papier à listing

Merci pour vos réponses, je vais transmettre ces idées à l'association.

Le truc, c'est qu'il faut une signature systématique du "client" et/ou utilisateurs, pour te couvrir toi des problèmes qu'ils peuvent engendrer, ou pour se couvrir eux vis à vis des autres utilisateurs, et vue que devant la lois (je parle pas devant les services de l'état) seule la signature papier est valide, faut que le journal soit papier.

ça peut être tendancieux aussi le coup de la signature, car signature prise "quand" ? Dans une entreprise ok il y a la signature du contrat de travail, donc si le service informatique (ou le RH dans les plus petites boîtes où c'est externalisé) a fait son travail et inclus la charte informatique dans le contrat en note ça peut passer.
 
Après il m'est arrivé d'aller dans un hôtel, de payer par carte bancaire, de jamais signer quoi que ce soit "de ma main" et d'aller sur internet...
 
Là le pote bosse dans une entreprise relativement importante (150 personnes avec beaucoup d'informatique), mais le coup du log papier, c'est devenu rare au profit d'un log sur disque dur.

Ben oui, mais a charge de l'entreprise de prouver que son log est valide dans ce cas, le cadre légal existe, jamais encore appliqué, et je souhaite bonne chance a un DSI qui voudrait son application, parce que les closes législatives sont stricto sensus et pas soumise a interprétation et donc vue que dans 99% des cas, je connais pas d'entreprise avec certificat digital signant les logs (premier point qui validerait le log sans avoir a avoir un contrôle d'huissier pour validation en permanence) et que l'obtention de ce certif ... C'est flou xD Hormis a bosser dans une banque et encore, y'a des fois c'est olé-olé.
Journal papier au moins est légal d'un point de vue législatif et pas chiant a mettre en oeuvre.