log

[CaptainKiller]

Euh… Qui attaque qui là ?

il me semble qu'on est justement en train de discuter avec quelqu'un qui n'a pas les mêmes idées que nous, n'est-ce pas ?

[cry-stof]

puisque tu fait l'innocent ici sur le forum oui
sur irc ou par mail ça change un peux
traiter "DC" de gamin n'est pas constructif à mon gout
même si je suis en désaccord avec certaines choses qu'il dit ou fait je ne vais pas m'abaisser à si peux
je préfère le savoir auprès de nous plutôt que contre ou à coté de nous
-à coté de nous on serais diviser donc hadopi loppsi etc. gagnerais
-contre nous ça ferais un adversaire de plus et on en as déjà assez

[CaptainKiller]

Il se trouve qu'il est aisé de trouver des exemples de comportement puéril, mais là n'est pas le sujet.

[marou]

@Iv : merci d'avoir transformé ce thread en un débat intéressant.

Je pense que la publication des logs du LOL ne poserait pas de problème si les visiteurs étaient avertis avant d'accéder au site et avec la possibilité de le refuser s'ils sont dérangés par le fichage.

Je ne trouve pas suffisant de justifier la publication de logs, quels qu'ils soient, avec tout argument du type "je ne vois pas en quoi ça pourrait poser problème". Plusieurs exemples ont été donnés, et mêmes s'ils ne fonctionnent pas car le FAI (SFR dans mon exemple ou chinois dans celui de Paul) n'a pas besoin du site Internet pour récupérer les informations, il y a des cas où ça pourrait jouer (pour reprendre l'exemple de la Chine, je ne suis pas sûr que les FAI "dénoncent" les visiteurs des sites de hack aux autorités, et on peut imaginer des pays un peu plus respectueux des droits de l'Homme comme les États-Unis, où certaines "autorités" comme la CIA pourraient être intéressées par ces logs qu'elles ne peuvent pas obtenir aussi facilement que leurs homologues chinois...)

Je maintiens qu'il est grave de publier des logs tout court, et je recommande de ne pas attendre d'exemple tragique avant d'appliquer le principe de précaution. Et oui, je suis totalement favorable à ce que la législation en prenne acte, et c'est d'ailleurs dans la synthèse du programme du PP :

Seul le pouvoir judiciaire indépendant doit pouvoir autoriser la surveillance, l'interception ou l'interdiction d'un flux de données, et dans le cadre de la prévention d'un crime ou de soupçons sérieux et graves
Abolir toute autre mesure de rétention de données
Notamment la directive européenne 2006/24/CE du 15 mars 2006.
Toute autre rétention de données doit être clairement annoncée préalablement
Tout stockage de données par un tiers public ou privé nécessite le consentement du propriétaire

Si vous voulez en parler, c'est à partir de cette page. Il y a justement eu un débat sur l'obligation de conserver les "logs". Je vous invite également à lire cet article que nous avons publié la semaine dernière au sujet de la rétention de données si le sujet vous intéresse.

Pour ce qui est du fait de qualifier le comportement de Damien Clauzel de "gamin", je suis d'accord que ce n'est pas constructif. Néanmoins, il me semble que tout le monde essaie de faire des efforts à ce sujet et que ça s'améliore. À quoi fais-tu référence exactement ? Si c'est le fait de lui signaler qu'il commet une erreur en publiant les logs, ce n'est pas le traiter de gamin...

[cry-stof]

Fin de la parenthèse.

oui c'est aussi pour ça
et +1 pour "Fin de la parenthèse"

[Iv]

Je pense que la publication des logs du LOL ne poserait pas de problème si les visiteurs étaient avertis avant d'accéder au site et avec la possibilité de le refuser s'ils sont dérangés par le fichage.

Oui, et on devrait en discuter à la prochaine réu LOL. En fait ça me rappelle un des projets du /tmp/lab : à un moment ils avaient commencé à faire les plans d'une "church of security" qui devait proposer un environnement ultra fliqué et bien oppressant, présentant des techno de video-surveillance, de RFID, de biométrie... Faire un site "panopticon" montrant les logs, les expliquant, pointant les différents bots qui sont passés par là, expliquant le fichier robots.txt et détaillant ce qu'on peut tirer d'un User/Agent, ce serait assez sympa je pense. Enfin bon, c'est à travailler.

Note qu'on avait déjà eu un débat assez similaire sur l'opportunité de bloquer l'accès de certains sites aux IPs gouvernementales afin de donner un avant goût de "l'internet civilisé". La position "faisons le pour montrer ce que ça donne", que je défendais s'heurtait au très défendable "ne faisons pas ce qu'on leur reproche de vouloir faire". On est un peu dans la même zone (sauf que cette fois c'est une initiative en dehors du PP)

[CaptainKiller]

Pour info, un sujet extrêmement similaire avait été discuté à propos du « mur de la honte » de gcu-squad : http://forum.pcinpact.com/topic/53847-g ... i-ce-site/

Légal ou pas ? Il se trouve que l'altercation s'était terminé par le retrait de ces logs

(pour info gcu squad est un site de libristes qui refuse les internautes sous OS privateur. Le mur de la honte contenait les IP de toutes les connexions provenant de Windows)

[Damien Clauzel]

Hop, mon positionnement sur l'IP

[Ombre]

Je dirais juste par rapport à ton article que le PP applique comme tout les sites en france obligatoirement le décret n°2011-219 du 25 février 2011 "relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne".

Ensuite, la publication de logs en elle même n'est pas dérangeante, la seule chose que je trouve important et de l'annoncer sur le site que les logs sont publié. Et sa ça fait partie des mentions légales

Les mentions légales sont obligatoire en france tout comme l'application du décret

(edit de marou : Cette position sur le décret a été débattue et modifiée en réunion du CAP, voir ici : http://forum.partipirate.org/post45812.html#p45812.)

[CaptainKiller]

ce qui est simple c'est d'anonymiser le log, après t'en fait ce que tu veux…

[marou]

Hop, mon positionnement sur l'IP

De la même façon qu'on n'interdit pas la vente des couteaux en supermarché sous prétexte que quelqu'un pourrait faire quelque chose de mal avec, il ne faut pas, à mon sens, interdire a priori le partage des données sous prétexte que cela peut être dangereux.

Ça faut bizarre de lire ce genre de phrases en sortant de la réunion nationale du CNRBE qui lutte contre le fichage des enfants.

Pour ta position sur l'adresse IP, je dirai juste que l'adresse IP est une donnée à caractère personnel, et que certaine haute autorité que je ne nommerai pas a intérêt à le reconnaître rapidos si elle ne veut pas se prendre une procédure en référé dans les fesses.

[Damien Clauzel]

Je dirais juste par rapport à ton article que le PP applique comme tout les sites en france obligatoirement le décret n°2011-219 du 25 février 2011 "relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne".

J'ai relu le décret en question. Et ce n'est pas plus clair pour autant : si les particuliers, associations et autres n'ont pas le statut juridique de « fournisseur d'accès à internet » (qui est soumis à une autorisation de l'ARCEP), ils n'ont pas non plus nécessairement le statut juridique d' « hébergeur » (les critères sont bordéliques). La loi n'apporte donc pas réponse aux questions posées.

Ensuite, la publication de logs en elle même n'est pas dérangeante, la seule chose que je trouve important et de l'annoncer sur le site que les logs sont publié. Et sa ça fait partie des mentions légales ;)

Ce n'est pas comme cela que je comprend la loi : l'IP n'est pas juridiquement classée comme une donnée d'identification nominative, et n'est donc pas pas soumise à un encadrement spécifique pour les particuliers et associations.

[Damien Clauzel]

ce qui est simple c'est d'anonymiser le log, après t'en fait ce que tu veux…

Se n'est pas si simple que cela, car il faut auparavant répondre aux questions suivantes :

• supposément, qu'est-ce qui oblige à anonymer les logs d'un serveur web ?
• supposément, qu'est-ce qui interdit de publier les logs, anonymés ou non, d'un serveur web ?
• un particulier ou une association mettant en ligne un site web non-participatif (c'est à dire que les visiteurs ne peuvent pas contribuer à son contenu) sont-ils des « hébergeurs » au sens de la loi ?
• quels sont les critères qui permettent de qualifier une donnée comme étant nominative ou qui permette de réaliser l'identification d'une personne ?

[marou]

Ce n'est pas comme cela que je comprend la loi : l'IP n'est pas juridiquement classée comme une donnée d'identification nominative, et n'est donc pas pas soumise à un encadrement spécifique pour les particuliers et associations.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Source: Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Pour rappel, à partir de quel numéro d'identification la HADOPI obtient-elle le nom et les coordonnées du titulaire de l'accès à Internet qu'elle avertit puis sanctionnera (ou pas) pour défaut de sécurisation ?

Il y a eu des jugements où l'adresse IP n'était pas considérée comme identifiant l'auteur de partage de fichier. Mais c'est tout simplement parce que (comme tu l'expliques je crois) l'adresse IP ne permet pas d'identifier celui qui utilise l'accès à Internet : est-ce le titulaire de l'accès, le membre de la famille, un ami, un voisin...? Alors qu'elle est bien attribuée à une seule personne, le titulaire de l'accès à Internet.

[Damien Clauzel]

Pour rappel, à partir de quel numéro d'identification la HADOPI obtient-elle le nom et les coordonnées du titulaire de l'accès à Internet qu'elle avertit puis sanctionnera (ou pas) pour défaut de sécurisation ?

Et c'est justement ce que conteste les informaticiens et le PP, n'est-ce pas ? que l'HADOPI flashent des IP qui désignent (et n'identifient pas) des imprimantes, des sorties de VPN, des nœuds TOR...

Je constate aussi que la loi ne désigne pas explicitement l'adresse IP comme étant un « numéro d'identification », et la justice n'arrive pas à décider non plus. D'où le flou sur la question.