log

[cry-stof]

Si je trouve ta carte de visite sur le lieu du crime, c'est une donnée personnelle, mais ce n'est pas la preuve que tu es le meurtrier, n'est-ce pas ?

j'aime bien cette image elle est clair
donc pour en revenir au sujet initiale (qui n'est pas l'ip mais les log) peux ont diffuser en clair sur un site web des log tel qu'il soit comme des log irc par exemple?

[Maltaaroth]

Pour information : Si vous postez un log de l'irc (entre autre) sur le forum, je me ferais une joie de supprimer votre post.

[harpalos]

Si je trouve ta carte de visite sur le lieu du crime, c'est une donnée personnelle, mais ce n'est pas la preuve que tu es le meurtrier, n'est-ce pas ?

j'aime bien cette image elle est clair
donc pour en revenir au sujet initiale (qui n'est pas l'ip mais les log) peux ont diffuser en clair sur un site web des log tel qu'il soit comme des log irc par exemple?

Si ce sont des logs publics, genre la discussion telle qu'elle est captée par les clients IRC, oui.
Si ce sont des logs privés, pris dans une partie non publique du serveur avec les accès admin, et affichant des données confidentielles ou personnelles, alors non.

[floyd]

T'en fais pas, nos amis de la DGSI les ont les logs. Du moins ceux des chans publics.

[Ombre]

Pour ma part je suis contre. Question de vie privée, il faut demander l'accord à toutes les personnes connectées. Et surtout au CAP.

Pour la simple et bonne raison que depuis que la LCEN est passée si un membre IRC balance une conneries/insultes/etc... sur une personne politique ou autre ça retombe sur le CAP du moins sur le webmasteur. Je te le dis en connaissance de cause que je ne developperais pas ici.

Je suis pour la transparence mais pas pour nuire à la vie privée, ni au PP.

[marou]

Le P? a pris position pour dire qu'une adresse IP, information technique reconnue falsifiable, ne permet pas d'identifier une personne qui télécharge un torrent; pourquoi alors le P? devrait-il dire qu'une adresse IP permet d'identifier une personne qui consulte un site web ?

L'adresse IP est comme un numéro de téléphone. Si quelqu'un reçoit des menaces de mort anonymes par téléphone avec ton numéro, ce n'est pas forcément toi qui en est l'auteur (quelqu'un a pu utiliser ton téléphone a ton insu, ou un hacker malveillant ou un employé de ton opérateur téléphonique a pu détourner ton numéro) et si tu es sur liste rouge il n'est pas possible de t'identifier. C'est pourquoi les tribunaux considèrent que l'adresse IP ne permet pas d'identifier l'auteur d'un acte de téléchargement : parce que ça peut être quelqu'un qui a utilisé ton réseau à ton insu ou ThePirateBay qui a injecté dans ses logs de fausses IP dont la tienne.

En revanche, si la victime de ces appels met le numéro sur Internet et déclare qu'elle reçoit des appels de menaces de mort depuis ce numéro, n'importe quelle personne qui connaît ton numéro va faire le lien, et pourra te dénoncer. Pour revenir au cas de l'adresse IP, si Google ou autre met en place un système de détection de ton IP, ils pourront probablement faire le lien avec tout un tas de données personnelles et te tracer ou te "ficher". Alors qu'on n'a aucune preuve que ce soit toi l'auteur, on divulgue des informations qui permettent de t'associer à ce crime. Ce n'est peut-être pas de la divulgation de donnée personnelle, mais c'est contribuer à relier un événement (menace de mort) avec toi, sans garde-fou (ce qui est le cas dans une enquête de police : même s'ils te soupçonnent parce qu'ils ont ton numéro, ils ne te dénonceront pas publiquement sans preuve formelle).

L'adresse IP ne permet pas d'identifier l'auteur du téléchargement mais le titulaire de la ligne, donc ce n'est pas une preuve suffisante pour juger coupable (c'est pour ça que DADVSI est un échec : les juges exigeaient perquisition + aveux avant de condamner, donc ce n'était pas "rentable" du tout ; c'est aussi pour ça qu'on a eu HADOPI qui a essayé de se passer du juge pour pouvoir condamner sans preuve formelle, et quand ça a raté s'est rabattu sur le défaut de sécurisation dont c'est bien le titulaire de la ligne qui est coupable, ce qui fait qu'ils pensaient pouvoir le condamner si son IP était détectée puisque l'IP permet de l'identifier sans erreur comme titulaire de l'accès... Seul problème restant : la fiabilité d'un relevé d'IP. On a le même problème que lorsqu'on met une amende à quelqu'un parce que sa plaque d'immatriculation est flashée par un radar mais que c'est une autre voiture avec une fasse plaque. C'est de la présomption de culpabilité, et le PP est là aussi pour corriger cette loi.)

Tout cela est assez subtil, mais l'important c'est qu'en publiant les logs d'un serveur tu clames publiquement que tu as reçu des visiteurs de tels et tels adresses.

Un exemple très simple et immédiat de pourquoi c'est grave : imaginons que des employés de Vivendi, abonnés chez SFR, fréquentent ton site, et que SFR récupère leurs IP que tu as publiées et remonte jusqu'à eux puisque lui est capable d'associer l'IP au titulaire de l'accès. Si Vivendi n'aime pas ton site (et dans le cas du PP on peut présumer que si nous publiions nos logs ce serait le cas) tu l'as informé de tous ses employés qui le consultent régulièrement (ou dont un membre du foyer utilisant l'accès à Internet le fait).

Pour cette raison, publier les logs est une grave atteinte à la vie privée, et contraire aux valeurs du Parti pirate. Si tu persistes à le faire sur ton site, c'est que tu places la "transparence" au-dessus du respect de la vie privée, et pour moi ça n'est pas le point de vue du Parti pirate.

C'est aussi pour cette raison que, lorsque nous publierons les comptes, nous choisirons de le faire de la manière la plus transparente possible mais sans permettre de remonter jusqu'à l'identité de nos adhérents/donateurs.

La vie privée prime sur la transparence.

Si tu ne partage pas cet avis, c'est gênant d'être au Parti pirate, mais peut-être que nous nous trompons et ce thread est là pour en débattre. Mais si tu véhicules de telles idées au nom du Parti pirate, sans réfuter l'argumentation que je viens de faire, c'est grave. Et si tu le fais au nom du Parti pirate section Rhône-Alpes, et que le PPRA te soutien (vous voyez ça entre vous hein), alors c'est le PPRA qui posera un problème d'idéologie parce qu'il sera en conflit avec les valeurs du Parti pirate.

Comme je l'ai dit, on peut en discuter, et si vous nous démontrez que nous nous trompons nous le reconnaîtrons et arrêterons de vous ennuyer avec ça. Mais à l'heure actuelle, je considère la publication des logs que tu as faite comme quelque chose de potentiellement très grave, et contraire aux fondamentaux du PP.

Je te prie donc de bien vouloir cesser de publier ces logs pour les raisons que j'ai exposées.

[marou]

Hum, en fait mon argument sur Vivendi est bancal, puisqu'ils peuvent déjà tracer leurs employés sans besoin de tes logs d'IP... Je vais essayer de réfléchir à un meilleur exemple .

[Iv]

Hello, j'interviens peu sur le forum du PP ces temps ci, je passe un peu plus de temps sur le hackerspace lyonnais (le Laboratoire Ouvert Lyonnais donc) mais du coup comme les deux sont concernés je voulais quand même faire une petite réponse. D'abord quelques infos, que 90% des gens ont sûrement mais qui peuvent désarmer des malentendus :
- Le LOL et le PP n'ont pas de liens entre eux. Il y a 3 membres en commun (sur 10 à 20 actifs au LOL)
- Les logs dont on parle sont ceux des accès à un des sites du LOL, ce sont des logs Apache montrant l'IP des visiteurs

Je serais particulièrement indigné que le PP face un truc pareil sur ses serveurs Web. Par contre, sur le serveur du LOL, je trouve que c'est inoffensif, voire même éducatif et utile.
Pourquoi ? D'abord, contrairement au PP, le LOL n'est pas un parti politique, et, très sincèrement, je ne vois pas un seul scénario dans lequel une personne pourrait pâtir de la publication de ces données d'accès.
Ensuite, cela permet de communiquer sur les informations dont les webmestres disposent, de par leur accès aux logs. Cela permet de mettre en lumière qu'une telle brèche de la vie privée est tout à fait autorisée dans la loi Française, cela permet de mettre en avant un problème que l'on évoque depuis des années : les webmestres savent où vous êtes allés, ce que vous y avez regardé, avec quel ordinateur, à quelle heure, ils gardent longtemps cette info, et rien n'interdit de publier, voire même vendre ces infos. Bien sûr, les meilleurs d'entre nous sommes gentils et éthiques (je le dis sans ironie) et on s'est forgé une éthique disant que l'on ne veut pas espionner les gens, que l'on veut protéger leur vie privée et donc que l'on garde secrètes les données privées auxquelles nos fonctions donnent accès. Mais ce genre de publication permet de rappeler que contrairement aux médecins, aux avocats ou aux postiers, aucune règle n'interdit aux administrateurs d'un site de collecter et publier ces informations à caractère privé.

Personnellement, je trouve qu'il est bien de publier ces informations dans un but éducatif et je serais très heureux que dans quelques années une loi viennent nous interdire de le faire et encadre sérieusement la transmission de telles informations privées ou à défaut sanctuarise l'utilisation d'outils d'anonymisation.

[cry-stof]

merci Iv j'aime beaucoup tes interventions qui m’éclaire beaucoup sur ce sujet
j'aimerais ajouter juste un point à ce que tu dit c'est qu'il serais bien d'avertir les visiteurs que leurs ip va être rendu public de manière à ce que le visiteur est le choix de continuer à surfer sur ce site ou pas

[CaptainKiller]

Je débarque un peu tardivement sur ce thread dont je suis partiellement à l'origine. Je maintiens ma position de refus total de ce genre de pratique, et comme le dit Gordon je doute fortement qu'elle soit légale. Je ne pense pas non plus porter l'affaire devant la justice même si j'en meure d'envie pour qu'on soit fixés.

Les plaques d'immatriculation et les numéros de téléphone semblent être de bonnes analogies avec les adresses IP. Si Google a flouté les plaques sur Street View, ce n'est pas pour paraître gentil, c'est amha pour des raisons légales de respect de la vie privée. De la même manière qu'on identifie pas clairement un individu par l'intermédiaire d'une plaque, ou d'un numéro de téléphone, ou même d'une photo (sosies, etc.) il est inadmissible de poster ces choses de manière publique.

Ça m'attriste fortement de voir des gens avec lesquels je pensais avoir des valeurs communes (DC) avoir des comportements qui s'éloignent tant des miennes. Je savais que Damien considérait sa vie privée comme publique mais j'ignorais qu'il avait le même avis sur celles de ses compatriotes…

[Paul]

Je vais (essayer) de faire court.

Je ne vois aucune raison de publier ces logs, pour être précis je ne vois aucune raison de les conserver à la base. Tous mes dédiés enregistrent, pour chaque ligne de log, la seule ligne "1".

Les logs d'erreur sont intéressants, les logs d'accès n'ont strictement aucun intérêt depuis que les solutions d'analyse de visiteur (GG analytics pour le plus connu, mais il en existe surtout des open-source, anonymisant les visiteurs et qui s'installent sur le serveur en question) se sont autant développés.

Par contre je trouve cela dangereux pour une raison et une seule (y'en a d'autres, mais je m'en branle comme de ma première chemise) : si un article un peu incriminant type "comment utiliser TOR", "comment contourner la censure", ... Bref des choses tout à fait innocentes ici et tout à fait légitimes sur le site d'un hackerspace, venaient à être publié sur le site, le LOL serait moralement responsable de tous les dissidents arrêtés à tort ou à raison sur la seule base de leur IP (chinoise au hasard). En ce cas c'est pour moi inacceptable et je ne visiterai pas le site du LOL.

Du reste, le LOL est indépendant du PP, ou du PPRA de ce que j'ai compris... Donc faites ce que vous voulez, en sachant pertinemment que c'est de l'inconscience pure qui n'apporte strictement rien.

En ce qui me concerne : case closed !

[Iv]

En effet, DC avait publié ces logs à des fins de debuggage, le site n'étant pas encore très utilisé et plusieurs personnes l'administrant. Là ce n'est que moi qui réagis aux réactions (plus réactionnaire tu meurs!) et qui trouve que c'est un outil éducatif à peu de frais, qu'il n'est pas illégal et qu'il permet de montrer le problème. Je ne serais pas contre un petit disclaimer en effet à l'entrée du site si cette fonctionnalité devait rester (et rien n'est moins sur : c'était du debug à l'origine). Ou contre un masquage des IPs autre que la sienne.

Quelques remarques car j'adore faire des pavés...

Dans ce cas, Damien Clauzel étant un membre d'un parti politique qui a pour vocation de changer les choses au niveau du numérique, il me semble qu'il aurait été très pertinent de lancer le débat ici même avant d'entamer quoi que ce soit.

Oui, ça aurait été pertinent, mais gardez vous bien d'interdire des initiatives personnelles avant débat interne. C'est très tentant mais c'est une condamnation à l'immobilisme. Prenez position contre, en tant que membres ou en tant que parti, voire si c'est vraiment très grave, menacez une exclusion du PP les contrevenant après débat interne.

C'est ce qui sépare le white hat du black hat, et, par son action (toujours en considérant la publication de logs apache), il est très nettement dans la seconde catégorie, ce que je désapprouve absolument (et je suppose que l'essentiel du PP partagera mon point de vue).

C'est du grey hat sombre c'est pas éthique du tout mais c'est légal. Je trouve la démarche intéressante de le faire au grand jour pour dénoncer une pratique qui est souvent pratiqué cachée et à but lucratif.

Concernant le fait qu'une telle pratique soit autorisée, je n'en suis pas aussi certain que toi, et si j'avais vraiment envie d'emmerder le monde, je prendrais le temps de porter ça devant la justice pour en avoir le cœur net (mon IP étant vraisemblablement présente dans ce fichier, ce que je refuse).

Et je te soutiendrais dans ta démarche, mais je pense que la justice te donnerait tort et que c'est une honte. L'État ne veut pas dire si oui ou non une IP est confidentielle, nominative, fiable ou pas, si un site web doit être considéré comme un lieu public, le webmaster responsable de qui et de ce qui s'y passe, s'il doit fliquer ou pas, etc...

Ce log en fait est sûrement dans l'illégalité (pour l'instant, ça devrait changer) car il est effacé toutes les 24 heures. Mais pas du tout parce qu'il est public.

Enfin, sur le fait que ce topic porte sur un site qui n'est pas affilié au PP n'est pas important. Ce qui est important, c'est que c'est un membre du PP qui a pris cette décision, que beaucoup ici trouvent profondément opposée à nos valeurs fondamentales. Peux-tu affirmer avec certitude que le site du PPRA ne publiera pas ces logs de la même façon ? DC semble penser qu'il a raison de le faire, qu'est-ce qui l'empêche de faire ça sur tous les sites qu'il a en charge ?

Ma foi, je trouve ça bien d'en débattre, je serais déçu du contraire. Si la même chose arrivait sur le site du PPRA, je le quitterais ! Même si je ne suis plus un membre vraiment actif depuis un moment. Mais je ne peux pas affirmer avec certitude que les logs du PPRA sont correctement protégés parce que tout simplement la loi n'impose strictement rien aux administrateurs de serveurs, pas plus au PPRA que sur partipirate.org, si le sysadmin a envie d'être méchant, il a tout à fait le droit (légal, pas éthique) de publier des bouts de log.

Je suis en désaccord avec certains des arguments que Damien met en avant mais je trouve que l'occasion est bonne d'aller un peu plus loin que le "c'est pas bien, le fais pas".

[Iv]

Par contre je trouve cela dangereux pour une raison et une seule (y'en a d'autres, mais je m'en branle comme de ma première chemise) : si un article un peu incriminant type "comment utiliser TOR", "comment contourner la censure", ... Bref des choses tout à fait innocentes ici et tout à fait légitimes sur le site d'un hackerspace, venaient à être publié sur le site, le LOL serait moralement responsable de tous les dissidents arrêtés à tort ou à raison sur la seule base de leur IP (chinoise au hasard). En ce cas c'est pour moi inacceptable et je ne visiterai pas le site du LOL.

C'est vrai, et je pense que si le log reste public, il va évoluer un peu. Ceci dit, je pense que les censeurs Chinois ont déjà accès à ces infos via le grand firewall de Chine. On a eu des IPs Chinoises ceci dit : les bots de baidu.com sont passés.

[cry-stof]

j'aimerais rajouté une chose
être d'accord ou pas sur la publication des log ne justifie pas l'attaque personnel que peux subir "DC"
ça me fait pensez à ceux qui nous accuse d'être de dangereux pédophile néo nazi sous prétexte que nous somme contre acta loppsi ou hadopi
ce n'est pas en attaquant ceux qui défende leurs valeurs de manière direct et inutile qu'on feras avancer le débat
donc les "DC est un gamin" ou que sais-je encore ne sont pas les bien venus
je préfère de loin l'idée du ppj d'invité même ceux qui ne sont pas d'accord avec nous à débattre des sujets qui nous tiennent à cœur plutôt que de voir des attaques qui donne envie de coupé cour au débat et donc ne font rien avancer
débattre c'est bien attaquer non (ou alors de vrai bon argument)

[cry-stof]

allez encore une couche avec un semi hors sujet
celui qui veux développer peux ouvrir un post à cet effet
avons nous le droit de débattre au PP de tout ce qu'on veux même les choses pour lesquels nous ne somme pas d'accord?
ou doit on imposer "nos" règles de façon dictatorial?