Pour pallier le manque de fonctionnalités de ma box Internet, j’utilise un pare‑feu IPFire sur mon réseau local. C’est une distribution Linux qui s’installe sur un (vieux) PC x86, x86‑64 voire une plate‑forme ARM. Elle permet de gérer le trafic selon quatre réseaux physiques : vert (LAN), bleu (Wi‑Fi), rouge (WAN) et orange (DMZ), à la manière du défunt IPCop.
L’une des fonctionnalités d’IPFIre est le blocage du trafic provenant de certains pays grâce à GeoIP, ou plus précisément grâce à la base de données GeoLite2. Cette base de données est un ensemble de fichiers CSV : l’un contient des plages d’adresses IP avec un code pays, les autres traduisent les codes pays en noms de pays.
Lors d’une installation fraîche d’IPFire, il y a quelques jours, je me suis aperçu que GeoIP ne fonctionnait plus. En fait, quand on tente une mise à jour de la base de données via le terminal, on obtient une erreur de résolution de nom de domaine.
Un utilisateur confronté au même souci découvre que la base de données a changé de licence et n’est plus accessible. Maxmind, l’entreprise qui gère cette base de données, explique dans son blog la raison de ce changement :
We welcome the burgeoning privacy regulations, such as GDPR and CCPA, for the benefit they can provide to Internet citizens. However, these new legislative measures place restrictions that impact our ability to continue distributing our GeoLite2 databases on a public page under the Creative Commons Attribution‐ShareAlike 4.0 International License.
Je l’interprète de la manière suivante : la base de données contient des données personnelles (les adresses IP), il est désormais illégal de la mettre en libre accès.
Désormais, la base de données est accessible gratuitement après inscription. Cela oblige les utilisateurs à accepter les conditions d’utilisation, qui contiennent par exemple l’interdiction d’utiliser GeoIP pour identifier des individus.
Pour ceux qui se sont demandé comme moi ce qu’est le CCPA. L’acronyme signifie Californian Consumer Privacy Act. CNest une sorte de RGPD à l’américaine qui a l’originalité de s’appliquer uniquement aux entreprises qui dépassent un certain bénéfice, ou qui achètent ou vendent des données personnelles.
Voilà, je voulais partager ma surprise concernant l’impact du RGPD sur des services qu’on a l’habitude d’utiliser, et la découverte du CCPA dont je n’avais jamais entendu parler.
# RGPD
Posté par ted (site web personnel) . Évalué à 6.
D'après ce que j'ai compris c'est le CCPA et non le RGPD qui leur imposerait cette restriction. J'ai cependant du mal à comprendre en quoi leur base de données contiendrait des données personnelles. La BDD contient des plages d'adresses qui ne permettent a priori pas de cibler un individu.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: RGPD
Posté par jtremesay (site web personnel) . Évalué à 8.
L'adresse IP est considéré comme une donnée personnelle, au moins en France. Un fichier qui contient des adresses IP est donc par définition un fichier contenant des données privées. Même si le dit fichier ne contient que des ranges. Car après tout, 192.168.0.0/30 n'est qu'une écriture raccourcie de 192.168.0.0, 192.168.0.1, 192.168.0.2 et 192.168.0.3 (aux erreurs de calcul près de ma part). Du coup, légalement, la base GeoIP doit être traité avec le même degré de sécurité et de confidentialité que si c'était un fichier client complet (nom, prénom, adresse, …).
Je pense que le législateur ou le juge n'a pas nécessairement pensé à toutes les conséquences de sa décision. Mais d'un autre côté, comme il est question de vie privée, c'est quoi le pire ? Une législation qui ne protège pas assez ou une qui protège trop ?
Après, je pense que la jurisprudence finira par dire que dans un cas comme ça, on est pas vraiment sur de la manipulation de données privées (encore que, connaître le pays « d'origine » d'une IP permet de faire du filtrage sur cette caractéristique, ce qui peut être considéré comme une forme de discrimination à la nationalité) et que cet usage est ok. Mais ça implique qu'il y est un jugement, et je ne pense pas que qui que se soi souhaite se prendre un procès juste pour clarifier la situation…
Donc même si la décision de Maxmind peut paraître absurde pour des gens de la technique, elle me parait sensé du point de vue de la législation. ¯\_(ツ)_/¯
[^] # Re: RGPD
Posté par xulops (site web personnel) . Évalué à 2.
Ben non, juste une discrimination sur la zone géographique (le pays ici). Je suis de nationalité française, je vis en Chine, ce genre de blocage m'empèche d'accéder à des sites français, c'est malin… le great firewall est déjà assez chiant comme ça.
Parce qu'un pays contient plus d'attaquants sur le web que d'autres, on bloque tout un pays, tant pis pour les dommages collatéraux. Heureusement, les VPN existent.
[^] # Re: RGPD
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
À noter que quand tu bloques un sous-réseau d'un opérateur de cloud ou un FAI entier parce qu'un ou plusieurs pénibles sont chez eux, il y a aussi des dommages collatéraux (aussi appelés risques du sur-blocage).
(pour donner un exemple dans l'autre sens, si tu vires les courriels codés dans des écritures que tu ne sais pas lire, comme par exemple hébreu, arabe, coréen, vietnamien, etc., tu vires du spam sans réel risque (tu ne pouvais pas les lire de toute façon, sauf à passer par un traducteur automatique ou à te baser sur des images de personnes dénudées ou de pilules bleues pour inférer le contenu), par contre tu laisses probablement passer d'autres spams néanmoins (sous-blocage))
[^] # Re: RGPD
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Tu prends les droits télé. Tu veux faire comment ? Si tu es diffuseur, tu es obligé de mettre en place de la geoip.
Il faut arrêter de penser que le net est une zone de non droit et non commercial ou tout est gratuit et autorisé ;-)
Autre cas, les droits d'auteur sont de 50 ans après la mort au canada et de 70 ans chez nous donc la bibliothèque du canada met en place du filtrage sur la geoip pour ne pas diffuser des livres en dehors du canada avant les 70 ans. Tu proposes de faire comment ?
Je propose personnellement que tous les français payent des impôts même lorsqu'il vivent à l'étranger, comme les américains. Ensuite, via un VPN d'état ou un système de carte d'identité numérique, il devient normal que les français à l'étranger puisse aussi profiter des services nationaux.
Cela dit, tu profites du système et des télés chinoises gratuitement ;-)
On ne peut pas gagner toujours sur tous les tableaux…
Que racontes-tu ? Que sais tu des personnes qui font du filtrage basé sur geoip ? Par exemple, on bloque sur la passerelle SSH de mon boulot la Chine lorsque c'est la nuit en Chine, le Brésil lorsque c'est la nuit au Brésil, l'Allemagne lorsque c'est la nuit en Allemagne et ainsi de suite. De 1h du matin à 6h du matin, tu dors, on n'a aucun utilisateur dans ces pays là. En pratique, c'est pas hyper efficace mais pourquoi devrais-je ouvrir 24h/24 sur le monde entier ?
[^] # Re: RGPD
Posté par xulops (site web personnel) . Évalué à 0.
Le droit d'auteur, pour certains (je m'inclus dedans), il ne devrait tout simplement pas exister. Mais soit, il existe.
Le versement de droits d'auteur à des "ayant-droits" après la mort de l'auteur ne devrait tout simplement pas exister, mais soit, ça existe aussi.
Mais je ne vois pas le rapport avec ce que j'ai écrit. je n'ai nullement mentionner que je voulais accèder à des oeuvres protégées par un droit d'auteur qui génèrerait une rémunération de l'auteur ou de ses ayant-droits. La problématique des états qui ont des lois différentes sur le sujet m'indiffère complètement.
Pour les impôts, raté. Je vis en Chine, et pourtant je paie des impôts en France. Comme quoi, les clichés…
Profiter des services nationaux… Là je me marre. Pour faire certifier un diplôme (donner un coup de tampon sur une photocopie), faut aller au consulat (pas possible par la poste ou livreur), donc faire 2000km (Kunming-Chengdu), bonjour la pollution et les coûts. L'accueil est déplorable, et tu sais quoi, ce coup de tampon, et bien il est payant. Merci les services nationaux !
Pour ce qui est de profiter de la télé chinoise, tu n'as jamais du y jeter un oeil. Entre la propagande du parti et les émissions débilitantes… je n'ai pas de téléviseur, c'est mieux ainsi.
Je ne connais rien des gens qui font du filtrage basé sur geoip, je constate juste que ça m'emmerde d'être bloqué alors que je n'y suis pour rien, tout comme la très grande majorité des gens du pays concerné.
[^] # HS droit d'auteur
Posté par Zenitram (site web personnel) . Évalué à -1. Dernière modification le 06 janvier 2020 à 08:18.
Juste pour être certain que ce que tu dis correspond à ta pensée : tu es bien clair que tu penses que la GPL ne devrait pas exister et qu'une personne qui reçoit un code devrait être libre de le fermer si il n'a pas envie de faire de libre avec?
(la GPL, comme des licences non libres, sont des contraintes imposées à celui qui reçoit, qu'on aime ou pas les contraintes n'a aucune importance dans la définition de la loi qui permet juste à l'auteur la liberté de limiter, et la GPL utilise ce droit de limiter à fond)
Juste pour être sûr que tu t'inclus vraiment dedans, j'ai rencontré tant de monde contre le droit d'auteur mais refusant de diffuser leurs œuvres en CC0 car ils veulent que leur code reste libre (contrainte sur les autres, donc besoin de droit d'auteur comme d'autres souhaitent contrainte par zone géographique, même logique que c'est eux qui veulent décider des droits qu'ils donnent ou pas donc sont pour le droit d'auteur en pratique contrairement à ce qu'ils s'imaginent).
HS du HS :
J'imagine qu'il voulait parlait de l'impôt sur le revenu, que je doute que tu payes en France (pas de loi pour ça) si tu habites en Chine, vu l'exemple des USA. J'imagine que les impôts que tu payes sont sur de l'immobilier ou dans le genre, qui vont financer une partie du budget (les routes pour accéder à ton immobilier, ordures ménagères etc) français mais pas tout (manque l'IR, la TVA…).
[^] # Re: HS droit d'auteur
Posté par xulops (site web personnel) . Évalué à 2.
Donc pour préciser ma pensée : je ne suis pas contre le droit en lui-même. On parlait limitation par filtrage geoip pour des questions purement financières. Je suis contre la rémunération liée au droits d'auteur, et encore plus quand elle est collective genre SACEM, pour citer un exemple que je connais bien. On pourrait en parler des heures, je fus webmaster de musique-libre.org et dogmazic.net à la grande époque où les débats étaient animés par des gens de hautes volées (pas moi, hein), et dont certains pensaient même qu'artiste ne devait pas être un métier, mais une activité à vocation de partage universel (quitte à être subventionné par l'état). Un peu extrême comme vision, mais dans une autre civilisation que la notre, pourquoi pas.
[^] # Re: HS droit d'auteur
Posté par Zenitram (site web personnel) . Évalué à 2.
J'ai bien fait de demander, ta première assertion était donc bien fausse ;-).
Cette limitation est pour moi pas bien pire que "tu n'as pas le droit de mélanger mon code GPLv3 avec du code GPLv2", les 2 sont assez arbitraires suivant l'humeur de l'ayant droit.
Bref, tout ça pour dire que ce que tu aimes et ce que tu n'aimes pas se ressemblent (choix de l'ayant droit sur ce qui devrait être faisable), le droit d'auteur vous est utile à tous les 2 et l'assertion qu'on est contre le droit d'auteur tout en voulant garder des droits sur ses œuvres montre une incohérence cohérent, le combat est ailleurs (ce qui devrait être interdit d'interdire).
Ho souvenirs sur le licence universelle surtout bonne à pomper encore plus de fric aux gens contre leur volonté… Ca ne me manque pas comme délire…
[^] # Re: HS droit d'auteur
Posté par xulops (site web personnel) . Évalué à 2.
Disons que c'était un raccourci. Pour beaucoup de monde, le droit d'auteur, c'est uniquement l'aspect "espèces sonnantes" qui vient à l'esprit. L'aspect textes de loi, licences, droits accordés à l'utilisateur … faut parler avec des gens un minimum intéressés par le sujet, genre ici ;)
[^] # Re: RGPD
Posté par Sytoka Modon (site web personnel) . Évalué à 2. Dernière modification le 06 janvier 2020 à 08:39.
Je donnais un exemple général, pas un cas particulier. Moi aussi je suis allé à l'étranger un certain temps en choisissant de continuer à payer mes impôts en France (j'étais payé par la France). Cela dit, c'est pas hyper correct pour le pays d'accueil non plus.
Je suis 100% d'accord, la francophonie a du recul dans l'air et ce n'est pas en réduisant son budget quand améliore notre rayonnement. En jouant sur la francophonie, on peut aussi améliorer ce point là.
Ce n'est pas moi qui est décidé de vivre en Chine ;-)
Tu n'as pas le droit de profiter de la télé française car tu n'est pas sur le territoire Français. Ceux qui diffusent ont l'obligation de mettre de la geoip. Cela te fait chié mais c'est ainsi.
Moi je n'ai pas le droit aux retransmissions des matchs de foot Chinois et c'est chiant aussi. C'est ainsi.
Quand je suis à l'étranger, je profite des accès de ce pays, quand je suis en France, je profite des accès en France. C'est marrant de toujours vouloir tout partout ;-) Je trouve que cela a aussi son charme d'être bloqué, le monde n'est pas uniforme. Je sens que je suis vraiment ailleurs que dans mon pays.
[^] # Re: RGPD
Posté par xulops (site web personnel) . Évalué à 1.
T'inquiète pas, la Chine sait comment faire raquer les étrangers qui viennent sur son territoire, les impôts ne sont qu'une petite partie d'un tout.
C'est vrai, mais en général on ne choisit pas d'aller dans un pays donné pour la qualité de ses programmes TV, enfin j'espère.
Je comprends ton point de vue.
Quoique c'est un peu con puisque la majorité des francophones ne vivent pas en France.
Mais la TV française, je m'en bats un peu les valseuses, je ne regardais déjà pas la télé en France.
Mon propos était plus général. Des sites font du blocage geoip juste pour des raisons de sécurité (ce que ne fait pas linuxfr, visiblement, et ne s'en porte pas plus mal), bloquant ainsi tout un pays (ou plusieurs). Pour comparer, on interdirait aux belges de venir en France sous prétexte que quelques belges ont fait un attentat en France, ou juste les habitants de Molenbeck…
[^] # Re: RGPD
Posté par Sytoka Modon (site web personnel) . Évalué à 2. Dernière modification le 07 janvier 2020 à 13:25.
J'ai pris l'exemple de la télé car il est clair et explicite, pas forcément parce que les programmes sont intéressants ;-)
DLFP a une vocation francophone marqué et justement, pouvoir avoir un lien avec les personnes qui ne sont pas dans un environnement francophone est important. La geoip dans son cas ne semble pas intéressant.
Mais comme je l'ai dit précédemment, as-t-on besoin d'ouvrir sur le monde entier 24h/24 tous ses services ? Une PME de Rennes a t'elle besoin que sa passerelle SSH fonctionne avec le Pérou lorsqu'il est 3h du matin au Pérou ? C'est ce genre ce cas qu'il peut être intéressant de traiter. Il ne faut pas voir le mal et la censure partout !
[^] # Re: RGPD
Posté par Colin Pitrat (site web personnel) . Évalué à 4.
L'adresse IP seule n'est pas une donnée personnelle. C'est seulement si elle est associée à d'autres informations que l'ensemble le devient.
[^] # Re: RGPD
Posté par ted (site web personnel) . Évalué à 2. Dernière modification le 06 janvier 2020 à 05:54.
Ils considèrent peut-être qu'associé à une position géographique, même approximative, ça le devient.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: RGPD
Posté par FDF (site web personnel) . Évalué à 3.
Est-ce à dire que diffuser la liste des rues d'une ville sur une page web tomberait sous le coup de RGPD?
On peut dire que c'est des éléments d'adresse, mais aussi une simple caractéristique géographique.
Dans le cas des plages d'adresse IP, c'est du même ordre il me semble. C'est une caractéristique du réseau.
Du coup, je ne comprends pas bien la position de Maxmind, à moins qu'il y ai d'autres éléments dans leur base que je ne connais pas. Ou qu'ils ont subit une interprétation erronée et qu'ils ont préféré s'en protéger simplement…
# Pipeau
Posté par Sytoka Modon (site web personnel) . Évalué à 5.
On vote par bureau de vote afin de ne pas pouvoir remonter aux personnes.
Je ne vois pas en quoi dans la base de donnée par pays, on puisse remonter à la personne !
Dans le cas d'une base de données par ville, il suffit d'avoir un très grand nombre d'adresse IP, un peu comme un bureau de vote. Si la ville n'a pas suffisamment d'IP, alors il faut regrouper par zone géographique plus grande, type agglomération ou communauté de commune…
On peut aussi faire une base de données des classes C. Et puis il y a quelques erreurs. Sur RENATER par exemple, nos IP sont souvent marqués comme étant à Paris alors que pas du tout, on est le plus souvent en province ;-) Quand à l'adresse IP de mon FAI, elle est affectée à la grande ville du coin or je suis en périphérie…
Bref, cela me semble un peu bidon.
PS : c'est dommage car cette base est vraiment pratique pour éliminer certaines vrais attaques de connexions valides.
[^] # Re: Pipeau
Posté par Thecross . Évalué à 5.
C'est vrai que les logs montrent que les attaques automatisées viennent souvent des mêmes pays. Mais je trouve qu'utiliser les blocklist (ex : 1 2) est plus approprié car elles sont établies sur des faits et ça évite de bloquer un pays entier. Et vu que ce ne sont que des listes d'IP, elles ne devraient pas subir le même sort que GeoIP.
[^] # C’est Free mais c’est pas grave
Posté par Arthur Accroc . Évalué à 4.
J’habite dans une assez petite commune et une résolution DNS de mon adresse IP indique le nom du DSLAM auquel elle est rattachée, dont on peut facilement trouver la localisation, donc la commune.
C’est un peu plus personnel qu’une base indiquant les pays…
Alors, conforme au RGPD ou pas ?
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
# Blocage par pays
Posté par gUI (Mastodon) . Évalué à 10.
Méfiance avec cette pratique, j'en ai été victime : OVH avait racheté des IP anciennement Russes. Mon ADSL perso avait donc une IP souvent vue comme Russe et beaucoup de services nous étaient fermés d'avance.
Il fallait contacter OVH qui contactait les admins système concernés… c'était très pénible.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Blocage par pays
Posté par eingousef . Évalué à 2.
Ah, l'héritage de RBN… :D
*splash!*
# IPv6, aide nous.
Posté par kowalsky . Évalué à 7.
Pour info, avec la pénurie d'IPv6, il y a des /24 qui se revendent dans tous les sens, ça va être de plus en plus difficile à maintenir se genre de base, surtout les proprios ne mettent pas à jour leur base régional.
[^] # Re: IPv6, aide nous.
Posté par Ambroise . Évalué à 10.
C'est déjà la pénurie d'IPv6 O_0
[^] # Re: IPv6, aide nous.
Posté par kowalsky . Évalué à 4.
Fallait pas donner une IP à chaque atome !
[^] # Re: IPv6, aide nous.
Posté par abriotde . Évalué à 1.
Ce n'est pas quelqu'un qui maintient ça dans son coin en lisant toutes les ventes. Je ne sais pas comment c'est mais j'imagine que c'est grandement robotisé. Derrière on parle d'information ultra util a beaucoup de site.
Et si c'est une information personnelle. Si j'ai un moyen de savoir si tu aime le chocolat, ou la taille de ton écran, c'est une information personnelle. La question est plutôt, ok savoir le pays d'une IP est une information personnelle, mais l'outils qui le permet ne l'est pas. C'est a chacun de savoir s'il a le droit d'utiliser l'outils et comment.
[^] # Re: IPv6, aide nous.
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 5.
Y'a plein de bouts super importants de l'Internet qui sont maintenus à la main par un type dans son garage…
Dernièrement on a entendu parler de la liste de diffusion Yahoo Groups qui permet aux opérateurs téléphoniques anglais de tenir leurs bases de données à jour pour assurer la portabilité des numéros de téléphone, par exemple. Mais c'est loin d'être le seul cas.
[^] # Re: IPv6, aide nous.
Posté par kowalsky . Évalué à 3.
C'est géré par région :
https://www.arin.net/ , America, Caraïbe, etc.
https://www.ripe.net/ , Europe, Middle East et peut-être Afrique, je ne suis pas sur.
https://www.apnic.net/ , Asia, Pacific, etc.
Il y en a peut-être d'autre mais je ne travaille qu'avec c'est trois la.
[^] # Re: IPv6, aide nous.
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 3.
Pour l'Afrique : https://afrinic.net/
[^] # Re: IPv6, aide nous.
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
( https://fr.wikipedia.org/wiki/Registre_Internet_r%C3%A9gional )
# Alternative et impacte pour les devs ?
Posté par voxdemonix . Évalué à 2.
Merci pour l'infos.
Quel impacte pour les librairies (surtout PHP) ?
Existe-t-il des alternatives à GeoIP ?
Il se passe quoi si Jean-Michu partage sa "licence key" ?
[^] # Re: Alternative et impacte pour les devs ?
Posté par Thecross . Évalué à 2.
Ipfire est en train de développer sa propre solution libloc. En attendant, ils vont fournir la dernière version de la db GeoIP sous licence libre (qu'on peut trouver sur archive.org).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.