Offrir le Wi-Fi dans son bar peut emmener au commissariat
Se connecter à un Wi-Fi public n'est pas forcément la plus sûre des choses à faire, mais proposer ce service ouvre aussi à des problèmes potentiels.
Les lieux publics qui offrent un accès Wi-Fi — tels que les hôtels, les gares, les magasins mais aussi les restaurants et cafés — sont devenus courants et le service peut être apprécié des clients. Au détail près que cela implique des obligations légales, comme l'ont appris à leurs dépens des gérants de bars grenoblois.
Les Dernières Nouvelles d'Alsace racontaient cette semaine qu'au moins 5 gérants de bars avaient été interpellés et placés en garde à vue pour un manquement à la loi du 23 janvier 2006. Elle oblige les professionnels, offrant un accès Wi-Fi à leurs clients (libre ou avec mot de passe), à conserver un historique des données techniques de connexion.
Cette obligation, initialement limitée aux fournisseurs d'accès, avait été étendue aux lieux professionnels (hors entreprise et administrations) dans le cadre de la lutte contre le terrorisme. Le hic étant que cette loi est apparement peu ou pas connue de certains de ces professionnels.
Interrogée par BFM, L'Union des Métiers et des industries de l'Hôtellerie confirme qu'elle ne dispense pas de formation sur cet aspect réglementaire mais qu'elle en informe ses adhérents.
Les données techniques en question, qui excluent tout contenu des échanges, regroupent par exemple les dates, heures et durées de connexion, les informations sur le type d'appareil utilisé, son adresse IP, l'email s'il a été exigé pour se connecter. La durée de rétention est d'un an, précise la CNIL.
Outre la méconnaissance de cette loi, un autre problème est celui du type de box/abonnement utilisé pour proposer cet accès, ils peuvent être grand-public. Des abonnements professionnels permettent eux de journaliser ces informations ou bien le professionnel peut se reposer sur un prestataire mais cela implique des frais supplémentaires.
Les sanctions prévues dans le cadre de cette loi ne sont pas moins salées : un an d’emprisonnement et 75 000 € d’amende pour les personnes physiques et 375 000 euros pour les personnes morales.
Ah ben c'est sympa comme loi. Mais c'est pas plutôt au FAI de fournir ces infos quoi qu'il arrive ? c'est son métier, le commerçant lui, il a souvent à peine idée de ce que tout ça veut dire… il a Internet et le partage quoi… c'est vraiment du domaine spécialisé, c'est n'importe quoi de leur demander ça.
Bientôt on va te demander de garder un historique des fois où t'as utilisé le partage de connexion 😑
@Yohmi
Ça va finir par arriver...
@Yohmi
Justement, le FAI ne peut remonter que jusqu’à l’IP du bar. Donc en cas d’ activité suspecte c’est au bar de dire lequel de ses clients a été connecté à telle heure. Normalement c’est comme les vidéos surveillance, ils ne sont pas supposés s’en servir sans enquête de police
Je dis pas que c’est bien, c’est pour expliquer la logique du dispositif
Et la box de connexion, n'appartient-elle pas aux FAI ?
C'est exactement pour cette raison que les logs sont exigés. Quand on voit le nombre d'établissements qui ouvrent leur WiFi aux clients.
J'ai dernièrement bossé pour un concept store et resto, premier jour arrivé au bout de 10min je vois des failles de sécurité énormes et un WiFi ouvert sans logs des clients ni aucune sécurité. Et je suis absolument pas un expert en sécurité, j'ai juste des notions de réseau
- vous êtes sérieux là ?
- bah oui c'est pas grave, ce sont nos clients.
En deux minutes je leur ai montré que je pouvais accéder aux pc des clients et que les clients pouvaient accéder aux machines de la boîtes et aux sauvegardes en tous genres (compta, fournisseurs, factures, fichiers texte de mots de passe, imprimantes) ... WTF?
"Ah ben c'est sympa comme loi. Mais c'est pas plutôt au FAI de fournir ces infos quoi qu'il arrive ? c'est son métier, le commerçant lui, il a souvent à peine idée de ce que tout ça veut dire… il a Internet et le partage quoi… c'est vraiment du domaine spécialisé, c'est n'importe quoi de leur demander ça."
vous êtes assimilé FAI, tout simplement. De même pour un wifi d'aéroport, d'école, etc.
tout réseau pouvant accueillir un public.
je dirais de même pour une entreprise.
"Bientôt on va te demander de garder un historique des fois où t'as utilisé le partage de connexion 😑"
ça va venir, oui. A la charge du FAI/Fabricant d'en informer l'état (via le suivi du "mode modem") ou le mobile de conserver de force un tel journal si la police saisit l'appareil.
Comprenez bien un politicien :
- il prendra son temps (au fur et à mesure de nouvelles lois planifées ou de faits divers)
- il et elle se FICHE COMPLETEMENT de comprendre la technologie : ce n'est pas LEUR probleme (c'est celui du oomu). Le politicien décide de la vie en société et de ce qui est nécessaire et la technologie se plie ou se réinvente ou annonce son incapacité à fournir ce que le politicien voudrait.
- le politicien est patient : il donnera un cadre à accomplir si l'industrie annonce ne pas pouvoir faire, et intégrera dans la loi une exigence de mettre tous les "moyens" pour y arriver, mais pas une obligation de réussir. jusqu'à ce que...
- le but est de tout tracer, tout ce à quoi ils pensent, tout ce à quoi ils ne pensent pas, tout ce qui est possible, tout ce qui sera possible.
- le politicien se fout d'être "ringard", "dépassé" ou "débile sur les nouvelles technologies des jeunes", il écrira simplement sa loi pour être le plus général possible, neutre vis à vis de la technologie du jour ou de comment on la nomme, et si elle devient inadaptée à de nouvelles approches non prévues, le politicien la fera réécrire sans avoir le moindre état d'âme.
Bref : oui, ça sera pris en compte.
Mais à mon avis, ils s'occuperont du cas des "vpn" avant cela, question de priorité.
@Yohmi
Le fai il pourra juste indiquer a la police que l’ip fautive est celle de l’hotel X sans plus d’information. Les flics ont besoin de savoir quelle personne physique a fait telle action a telle heure.
les FAI interdisent d'utiliser leur box à titre professionnel pour le partage de connexion a ses clients .
il faut prendre un operateur spécifique un utiliser un routeur qui garde tous les LOGS comme l'operateur FON
C'est exactement ça, le problème c'est que beaucoup d'établissements ignorent cela et pensent qu'il suffit simplement de partager le wifi de leurs boxes car leurs clients DOIVENT avoir du Wi-Fi.
@Yohmi
Malheureusement, nul n’est censé ignorer la loi...
https://www.vie-publique.fr/fiches/23898-que-signifie-nul-nest-cense-ign...
Compter environ 20 € par mois pour un prestataire spécialisé qui va installer un routeur-wifi équipé d'un firmware "maison" et qui va créer un tunnel de données (vers le prestataire) lui permettant d'enregistrer les logs des clients par adresse MAC et adresse email associée (il faut entrer une adresse email puis valider un lien envoyé à cette adresse pour pouvoir finalement accéder à internet).
Ce n'est pas parfait mais très dissuasif, et le gérant peut également activer sur le routeur certains filtres (du genre contrôle parental).
Pas envie de donner mon adresse e-mail au bistrot du coin…
vous n'avez donc pas envie d'aller au bistrot du coin
voyez, dans la société 2.0 , les Oomus politicogeeks ont toutes les réponses adaptées...
@Giloup92
Vous allez regarder Netflix au bistrot ? La 4G ne vous suffit pas ? Vous pouvez aussi laisser votre téléphone dans votre poche !
Créez une adresse quelconque spéciale bistrots :-D
@EBLIS
Bonne idée pour le coup 😄
@switch
Un point d'accès wifi, un rasberry pi avec 2 ports ethernet, et un logiciel qui doit sûrement se trouver pour ça, et on a l'équivalent fait maison, et pas chère :)
Tiens, faudrai que je regarde si ça existe vraiment en fait ^^
Toi tu peux gérer ça, mais qu'en est-il du restaurateur ?
J'attends avec impatience que vous dénichiez cette perle rare de logiciel, puisque "ça doit sûrement se trouver"…
Covid+ wifi -> banqueroute
Enfin si le wifi est libre, donc que quelqu'un peut se connecter sans s'identifier. Ça sert pas à grand chose de stocker toutes les informations, puisque c'est pas possible de remonter à l'appareil qui s'est connecté. Ou alors c'est possible?
@fousfous
disons que si demain on te suspecte (à juste titre à mon avis, c’est une evidence) de complicité de terrorisme, alors partant de ton adresse MAC et de tout indentifiant que l’on pourrait connaitre de toi, il n’y a plus qu’à faire la tournée des popotes pour savoir ou et quand tu t’es connecté. C’est tres utile de savoir qui parle à qui et quand, meme sans le contenu
@raoolito
D'accord donc il faut d'abord être soupçonné, y a pas moyen de repérer la personne si on part d'une adresse IP laissé sur un site quelconque.
C'est vrai que du coup ça fait un bel angle mort.
C'est pas pour moi que je me renseigne mais pour un ami 😉 Enfin non du coup je connais pas 😅
@fousfous
L'adresse IP t'est attribuée par le routeur quand tu te connectes. Elle ne t'identifie que pendant le temps de ta connection. Une fois que tu te déconnectes, quand quelqu'un d'autre se connecte, l'adresse IP qui t'avait été attribuée peut très bien lui être attribuée à son tour.
C'est l'adresse MAC qui identifie l'appareil (enfin jusqu'à ce qu'Apple affiche une adresse MAC aléatoire et changeant régulièrement...)
@r e m y
Enfin j'espère qu'il y a moyen de suivre un utilisateur d'une autre manière.
Parce que sinon c'est plutôt simple d'échapper à la surveillance, tu pourrais carrément montrer les progrès de la fabrication d'une bombe sans être retrouvable!
Pages