Journal Authentification des gens que j'héberge sur ma machine, SMS, LCEN et CNIL

Posté par (page perso) . Licence CC by-sa
Tags : aucun
4
26
juin
2011

En ce beau dimanche, je me décide à me mettre à l'heure de la vie 2.0 et de demander un avis au plus grand nombre:

je suis rendu à travailler un peu sur mon "offre" d'hébergement (bon, heu... disons que je m'auto-héberge, enfin je vais m'auto-héberger, et que je veux bien en faire profiter d'autres, dans l'esprit du RHIEN) et je m'interroge sur la partie "comment être sur de savoir qui est mon hébergé ?", en deux parties:
1. Comment l'authentifier et lui communiquer son couple login/pass ?
2. Comment être sur que l'état civil qui m'est transmis est correct ? que ce n'est pas une fausse identité endossée dans le but de commette je-ne-sais-quel crime inavouable et ensuite échapper à la justice ?
Question bonus- ce listing de mes hébergés-à-priori-coupables que je tient avec diligence à disposition du premier policier venu, doit-il être déclaré à la CNIL ? en effet je stocke quand même de la données on ne peut plus personnelle et nominative.

Mon petit cerveau fertile pensait à un échange par SMS: Au lieu d'un formulaire classique " nom/prénom/adresse/e-mail/veuillez confirmer votre mot de passe/les champs précédés d'un * sont obligatoires ", le futur hébergé me fait un petit mail avec les infos qui vont bien, et après un adduser, je lui envoie son couple login/pass par SMS au numéro qu'il m'aura préalablement indiqué, ou l'utilisateur devra m'envoyer son login/pass souhaité sur mon portable.

Les avantages:
*Canal " a priori infalsifiable", le spoof de numéro pour envoyer/recevoir du SMS doit bien exister, mais est bien, bien moins que du traficottage d'adresse IP, par exemple.

*Coordonnées durables, certains changent d'adresses e-mail tout les 4 matins, les rendant de fait injoignable, changer du numéro de GSM est un acte moins anodin, le risque de ne plus pouvoir contacter un hébergé est dimininué.

*Relié à l'état civil, à priori il n'est plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers d'identités (qu'ils soient faux est un autre problème), donc en cas de problèmes, il est toujours possible de balancer le numéro de téléphone, qui est forcément authentique, en plus de l'état civil que hébergé s'est contenté de déclarer (et qui n'est donc qu'hypothétique). La LCEN m'impose t'elle cependant de pouvoir relier (même indirectement) un hébergé et un état civil ? ou voudrais-je faire plus sécuritaire que la loi ne l'exige ?

Les inconvénients :
*Le coût:
*si je décide d'être l'émetteur des SMS, je fais quoi le jour ou 6 hébergés oublient leurs pass chaque semaine ? j'envoie plus de SMS à mes hébergés qu'à ma propre épouse ?
*Si je décide de demander aux hébergés de m'envoyer un SMS je ne pourrais pas prétendre être gratuit, puisque s'inscrire chez moi impliquera de dépenser un SMS (non surtaxé), même si je ne touche pas un kopek dans l'opération.

*Je doit tenir un listing faisant correspondre le login unix/ssh/ftp , un /home/user, un nom de domaine, un état civil déclaré, un e-mail et un numéro de téléphone, ca fait beaucoup de choses dans un même fichier, allô la CNIL ?

*confiance dans le numéro de téléphone: a priori (sauf faux papiers) un numéro de téléphone est relié à une personne physique, et il est passé dans les mœurs que le téléphone portable est un strictement personnel, ceci dit je fait quoi le jour ou l'on découvre que Mr Adolfama Ben DuTrou (le célébre terroriste pédo-nazi) à piqué le portable de son collègue de bureau juste le temps d'envoyer/recevoir le fameux login/pass par SMS?

*et ceux qui refusent de posséder un portable ? je les traite d'imbécile et je leur ferme les portes de mon service ?

Je suis preneur de toute observation de la part de gens ayant réfléchi plus avant à la question, qui ont une autre approche en tête ou qui ont les bases juridiques nécessaires pour comprendre exactement ce que me réclame la LCEN en terme de conservation de log et de vérification d'identité et ce que m'impose la CNIL en terme de respect de la vie privée et de collecte d'infos.

  • # ...

    Posté par . Évalué à 7.

    Tu peux demander son avis à la CNIL, a priori elle n'a encore mangé personne :)
    Pour la communication login/mdp, tu peux toujours utiliser notre fier service postal.

  • # Tu ne demandes rien à la CNIL

    Posté par . Évalué à 7.

    Tu déclares ton fichier tout simplement.
    De toute façon ce qui les intéresse c'est ce que tu vas en faire de ce fichier. Si tu déclares ne pas vouloir l'échanger, le donner, le céder, le vendre mais le garder pour toi seul pour te permettre de continuer ton activité, ça ne les dérangera pas tant que :
    - L'inscription à ce fichier est volontaire (ce qui sera le cas chez toi)
    - Que tu indiques que la personne a le droit de consulter / modifier les informations la concernant dans le fichier.
    Je l'ai fait pour une base qui stocke aujourd'hui +20 000 nom/prenom/adresse+nom des enfants et leur date de naissance. Au bout de 3 semaines j'ai dû rappeler la CNIL pour leur dire qu'ils n'avaient pas répondu à ma déclaration. La personne que j'ai eu au tel m'a dit qu'ils étaient débordé, et elle m'a validé ma déclaration pendant qu'elle me parlait, en me disant que tant que je gardais les infos pour moi il n'y avait pas de problème.

    • [^] # Re: Tu ne demandes rien à la CNIL

      Posté par (page perso) . Évalué à -2.

      Ah la CNIL…

      S'ils sont si débordés, pourquoi n'embauchent-ils pas ? Ça créerait de l'emploi dans le service public et ça les rendrait plus efficace.

      Debug the Web together.

      • [^] # Re: Tu ne demandes rien à la CNIL

        Posté par (page perso) . Évalué à 10.

        Parce que leur budget n'est pas illimité ? La CNIL se plaint tous les ans de son budget. Les entités qui contrôlent les entreprises (médecins du travail, inspecteurs du travail, répression des fraudes, inspecteurs CNIL, brigade financière, etc.) n'ont pas trop la côte ces derniers temps, parce qu'il ne faut pas trop embêter les entreprises qui doivent produire de la croissance... Par contre, côté contrôles des particuliers et des étrangers...

    • [^] # Re: Tu ne demandes rien à la CNIL

      Posté par . Évalué à 7.

      Usage personnel:

      "Oui, je ne m'en sers que pour détecter les jeunes femmes riches diponibles (célibataires, veuves ou n'habitant plus avec leur mari). J'en profite pour scruter les personnes âgées riches, isolées et mentalement fragiles.
      Vous pouvez me compléter cette déclaration vite fait s'il vous plaît?"

      À se demander l'intérêt de cette référence de déclarations...

      ---------------> [ ]

  • # plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers

    Posté par . Évalué à 2.

    On peut acheter pour 15€ un téléphone portable préchargé, prêt à l'emploi.
    Pas de papiers, rien.

  • # Facebook Connect

    Posté par (page perso) . Évalué à 2.

    T'as qu'à lier les comptes de tes hébergés à leur compte facebook, c'est l'authentification du futur !

    • [^] # Re: Facebook Connect

      Posté par . Évalué à 4.

      J'ai hâte qu'on me demande mon compte Facebook plutôt que ma carte d'identité quand j'irai voter. On pourrait même voter depuis son compte Facebook et publier son vote sur son mur, après tout, "on n'a rien à cacher", non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.