Journal La CNIL vient de donner son feu vert à la Sacem

Posté par  (site web personnel) .
Étiquettes : aucune
0
6
déc.
2007
La SACEM va maintenant pouvoir scruter les réseaux P2P pour relever les adresses IP des internautes coupable de telechargement illegaux.

Apres avoir refuser ce droit a la SACEM en 2005 ...

Comme quoi il n'est jamais trop tard pour lancer Big Brother


http://www.infos-du-net.com/actualite/12403-piratage-sacem-I(...)

  • # /o\

    Posté par  . Évalué à 10.

    Mince, ils auraient pu attendre vendredi...

  • # Personnellement ce qui a été accordé à la SACEM ne me choque pas.

    Posté par  . Évalué à 10.

    La SACEM n'est autorisée à relever que des adresses IP, et n'a aucunement accès à l'identité de la personne qui se cache derrière. C'est un peu comme la plaque d'immatriculation d'une voiture que tout le monde peut voir et relever.

    Elle n'a pas eu gain de cause sur la possibilité d'obtenir l'identité des internautes cachés derrière cette adresse.

    • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

      Posté par  . Évalué à 4.

      Oui, on peut aussi voir le revers de la chose. La CNIL a refusé à le droit à la sacem de faire la liaison IP-citoyen et même d'envoyer des avertissements aux IPs scannées.

      • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

        Posté par  . Évalué à 4.

        J'aimerai bien savoir comment on peut ''envoyer un avertissement à une IP''. Comment peut-on garantir qu'un message va être affiché ?

        • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

          Posté par  . Évalué à 10.

          «net send», y'a probablement toujours des windows sur lesquels ça passe :-)

          La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

        • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

          Posté par  . Évalué à 2.

          en demandant au fai, qui elle possède l'adresse itou, de le faire pour nous.
          (moyennant finance par exemple).

          • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

            Posté par  . Évalué à 5.

            C'est assez dangereux, la SACEM risque de se voir prise à son propre piège.

            Imagine, la SACEM t'envoie directement un message. Pour a part, je cherche à savoir comment elle a eu mes coordonnées, et si elle ne répond pas j'attaque (et j'aurai gain de cause, la loi informatique et libertés les oblige à fournir cette information). Et s'ils tentent de porter plainte pour piratage ça ne passera pas devant un tribunal.

          • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

            Posté par  . Évalué à 4.

            Les FAIs ont obligation de donner les infos liées a une IP seulement par commission rogatoire d'un juge ( donc il faut qu il y ai eu dépot de plainte en amont ) et c'est le seul cas , dans le cas contraire , le FAI risque tres tres gros , note que le FAI ( c est pareil pour les telecoms dans le cas des telephones portables ) se fait remunerer a chaque demande, et c'est normal , le cout d'une architecture permettant de garantir l'archivage des logs est tres loin d'etre gratuit
            Exemple de matos permettant de faire ce genre de chose quand tu as bcq de données a archiver :

            -> http://www.emc.com/products/systems/centera.jsp?openfolder=p(...)

            T'as l'equivalent chez Netapp et cie , tu peux aussi le faire a la mimine , mais c'est assez critique , si il te manque des données , la justice est loin d'etre tendre avec toi.

            En france pour l'instant on est a un an de retention de logs ( pas un jour de plus , pas un jour de moins ) on parle de passer a 3 ans , au Royaume uni , si je me trompe pas on est deja a 7 ans. imagine le prix que ca peut couter en infrastructure de garder 7 ans de données...

            • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

              Posté par  . Évalué à 3.

              Non tu n'as pas compris ce que je voulais dire .

              SACEM à la FAI :
              On a cette ip qui télécharge. Pouvez vous lui envoyer une lettre comme quoi ce qu'il fait n'est pas bien ?
              Voila un chèque pour vous dédommager des frais que ca implique.

              FAI (encaissant le chèque) :
              Ok, ca sera fait.

              De cette façon, la fai ne divulge jamais l'adresse.

              Quant au prix des logs, ca dépend ce qu'on log. Si tu logge chaque ouvertur de connexion, oui ca va etre beaucoup.
              Si tu logge juste les attributions ip (dhcp leases par exemple) euh ca fait beaucoup moins.
              Des produits à moins de 15k¤ peuvent le faire pendant plus de 6 mois pour plus de 3k clients. (ipam classique).
              Rien que l'archi dns des fai coute largement plus cher.
              Dans le cas d'une fai il y a évidemment bien plus de client, mais c'était juste pour montrer que non les log c'est pas forcément si cher et compliqué.

              D'ailleurs ils ne nous font pas payer l'architecture des logs (ie il n'y a pas de ligne "établissement des logs") sur une facture téléphonique, et il y en a beaucoup ;)

              • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                Posté par  . Évalué à 2.

                Si tu logge juste les attributions ip (dhcp leases par exemple) euh ca fait beaucoup moins.


                Sauf qu un fai a obligation de garder :
                - les ips attribuées a chaque bail
                - les acces sur ses sites webs ( les portails FAI sont generalement dans les sites les + frequentés )
                - les entetes des mails smtp
                - les acces ftp a ses sites
                - les données voip
                ...

                Sans logguer tout ce que fait un abonné ( ce qui est de toute facon difficilement imaginable a l heure actuelle ) ca fait une quantité de données journaliere assez impressionnante.

                • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                  Posté par  . Évalué à 3.

                  Sauf qu un fai a obligation de garder :
                  - les ips attribuées a chaque bail
                  Ca pour la fai ok

                  - les acces sur ses sites webs ( les portails FAI sont generalement dans les sites les + frequentés )
                  C'est pas la fai en tant que tel, mais l'hébergement.
                  D'ailleur rien ne les empeche d'héberger leur site web chez quelqu'un d'autres.
                  Ce n'est pas du ressort de la FAI mais de l'hébergeur (la différence est importante, même si c'est la FAI qui s'héberge soi même. C'est d'ailleurs souvent pas les mêmes départements ! )

                  Le problème est le même pour wikipedia (top30 des sites les plus visités, donc largement plus que le portail orange).
                  Puis si ils voulaient pas avoir autant de "visite", faudraient qu'ils arrêtent de mettre leurs pages web en démarrage par défaut avec leur kits de connexions ;)



                  - les entetes des mails smtp
                  - les acces ftp a ses sites
                  - les données voip

                  Idem que pour le site web.

                  ca fait une quantité de données journaliere assez impressionnante.
                  Si on oublie les adresses ip. Pas tellement plus importante qu'un hébergeur "normal" style 1and1, ovh, ... qui propose la mutalisations des services cité plus haut.

                  Puis les "logs" de serveurs applicatifs se stockent et se compressent très facilement.

              • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                Posté par  . Évalué à 3.

                SACEM à la FAI :
                On a cette ip qui télécharge. Pouvez vous lui envoyer une lettre comme quoi ce qu'il fait n'est pas bien ?


                Le FAI est censé gardé les logs, mais légalement, je ne sais pas si ils ont le droit de faire eux-même le lien entre l'IP et le nom de façon nominative. Le lien est forcément fait informatiquement, mais ils n'ont peut-être pas le droit d'allé regarder qui est à cette adresse sans justification.

        • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

          Posté par  . Évalué à 2.

          Certains protocoles de p2p comme edonkey permettent d'envoyer un message .

    • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

      Posté par  . Évalué à 5.

      La SACEM n'est autorisée à relever que des adresses IP

      Mais monsieur, je vous assure, je suis une société privé qui défend juste mes intérets, je ne suis autorisé qu'a relever votre adresse (et à en générer quelques une au passage hein). Je vois pas en quoi ca vous gêne ?

      • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

        Posté par  . Évalué à 1.

        j'entendais adresse physique (58 rue du bidule, 21457 truc-muche)

      • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

        Posté par  . Évalué à 3.

        Pfff!! L'IP en elle-même ne constitue pas une preuve, tout comme le fait de relever un numéro de plaque d'immatriculation ne constitue pas une preuve, mais un élément permettant de faire avancer une enquête.

        Si j'ai bien compris
        L’organisme de défense des droits d’auteur compte ainsi monter des dossiers qui seront transmis à un juge. Il pourra alors décider de lancer ou non une procédure judiciaire et demander l’identité des internautes concernés aux fournisseurs d’accès.

        A mon avis, avant de prendre des sanctions contre un internaute, il y aura de la part des autorités judiciaires une enquête .... tout comme lorsqu'un individu en voiture commet une infraction, on relève son numéro d'immatriculation, et une enquête est ouverte. Celà dit, il faut rester vigilant quand même, voir comment lesdites enquêtes seront menées, et c'est ça le plus important ....

        • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

          Posté par  . Évalué à 3.


          Pfff!! L'IP en elle-même ne constitue pas une preuve, tout comme le fait de relever un numéro de plaque d'immatriculation ne constitue pas une preuve, mais un élément permettant de faire avancer une enquête.


          A c'est marrant ca je trouve parce que bon , quand une voiture passe devant un radar automatique trop vite, le proprio de la voiture reçoit directement une amende et les point en moins qui vont avec assez rapidement ( en se basant sur le plaque d'immatriculation) , j suis pas sur qu'il y ai une enquète avant l'attribution de l'amende (surtout vu la rapidité de la chose).... enfin bon j dit ca mais les amende sans preuve ca existe pas hein ? ... ... ... hein ?

          • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

            Posté par  . Évalué à 1.

            Ben y a la photo, et il me semble qu'avoir le numéro de la plaque sans une photo claire du conducteur ne suffit pas (quelqu'un peut-il confirmer?). Après tu peux contester l'amende .... il y aura donc une enquête.

            • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

              Posté par  . Évalué à 1.

              oui enfin bon normalement l'enquète c'est pas avant de foutre une amende normalement ?

            • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

              Posté par  . Évalué à 5.

              Euh si ça doit suffire, sinon ils ne mettraient pas des radars automatiques qui prennent par l'arrière ...

              • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                Posté par  (site web personnel) . Évalué à 4.

                il me semble que tu es responsable de ton véhicule mais que tu n'es pas la seule personne à pouvoir l'utiliser, donc en cas d'infraction relevé par un radar automatique :

                - soit tu paies l'amende et tu perd des points

                - soit tu "dénonces" la personne qui conduisait ton véhicule et c'est cette personne qui paie l'amende et perd des points

                - soit tu ne conduisais pas, et tu ne "dénonces" personne, mais en tant que responsable du véhicule, tu paies l'amende (sans perte de points (<- à confirmer par quelqu'un à qui c'est déjà arrivé)).

                - soit tu apprends en recevant la photo du délit que tu possèdes une voiture de sport rouge et que tu t'en ais servi pour faire un excès de vitesse à l'autre bout de la France.

                • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                  Posté par  . Évalué à 2.

                  Si tu peux prouver que tu ne conduisais pas le véhicule incriminé, impossible que l'on te fasse perdre des points. Par contre, en effet, tu dois soit payer l'amende soit dénoncer quelqu'un (dénonciation qui n'est pas obligatoire).
                  Dans certaines boîtes de transport, les exploitants s'arrangent avec les chauffeurs pour le paiement de l'amende et ne les dénoncent pas. Mais c'est pas partout comme ça non plus, la seule fois où j'ai été flashé, j'ai été dénoncé ...

                  • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                    Posté par  . Évalué à 2.

                    Si tu peux prouver que tu ne conduisais pas le véhicule incriminé, impossible que l'on te fasse perdre des points. Par contre, en effet, tu dois soit payer l'amende soit dénoncer quelqu'un (dénonciation qui n'est pas obligatoire).

                    [rien a voir avec l'info et le sujet de départ]

                    Déja normalement l'infraction doit être constaté par un OPJ.
                    Vu le nombre d'OPJ au centre de traitement des radars automatiques, et le nombres d'infractions sortie, on peut déjà douter de la véracité de ça.

                    Ensuite, normalement la preuve est à l'accusation. J'apprécie très moyennement le fait de devoir prouver que "je vous jure, c'est pas moi qui conduisais la voiture! Ah vous avez une photo ou vous "indiquez" que je faisais "d'après votre matériel" 200 km/h donc je dois me la fermer ?"

                    Enfin, Auto plus faisait état de mauvaise installation des radars (radars qui devait être placée à 20° par rapport à l'axe de la route pour donner des valeurs non faussée de tête).

                  • [^] # Re: Personnellement ce qui a été accordé à la SACEM ne me choque pas.

                    Posté par  . Évalué à 2.

                    Mmmm pas certain du tout que ça marche comme ça dans les sociétés de transport.
                    Je bosse dans une SARL et si on ne dénonce pas c'est le représentant légal qui morfle (le gérant) donc on dénonce... Après peut-être que les grosses boites peuvent noyer le poisson.

  • # des debrouillard

    Posté par  . Évalué à 2.

    il y a surement parmi vous des gas bien geek qui peuvent nous donner la plage IP attribuer a la sacem ? ou un truc du genre ?

    c'est une vrai question

    • [^] # Re: des debrouillard

      Posté par  . Évalué à 1.

      on peut aussi faire tourner des faux logiciels p2p avec des listes bidons de logiciels. D'ailleurs, j'ai déjà vu des choses semblables tourner. Tu demande un truc avec xyz dans le nom, et ça te sort des combinaisons en volume énorme de chose en rapport.

    • [^] # Re: des debrouillard

      Posté par  . Évalué à 3.


      $ ping www.sacem.fr
      PING www.sacem.fr (212.157.200.150) 56(84) bytes of data.

      --- www.sacem.fr ping statistics ---
      2 packets transmitted, 0 received, 100% packet loss, time 999ms

      akpar:~/Desktop $ whois 212.157.200.150
      ...
      % Information related to '212.157.200.128 - 212.157.200.255'

      inetnum: 212.157.200.128 - 212.157.200.255
      netname: SACEM-NET1
      descr: SACEM
      country: FR
      admin-c: PLY1-RIPE
      tech-c: JB371-RIPE
      status: ASSIGNED PA
      remarks: abuse@fr.uu.net
      mnt-by: IWAY-NOC
      source: RIPE # Filtered

      ...

    • [^] # Re: des debrouillard

      Posté par  . Évalué à 2.

      Les listes peerguardian ( http://phoenixlabs.org/pg2/ ) permettent de faire ce genre de chose , mais rien n'empeche la sacem et ses amis de prendre un abonnement chez un FAI...

  • # La cnil permet de donner des témoignages.

    Posté par  . Évalué à 6.

    Alors j'ai donné le mien.

    Je suis très mauvais en francais mais c'est pas grave.


    Coordonnées d'un organisme éventuellement concerné :
    (s'il s'agit d'un site internet, précisez l'URL)
    Commission nationale de l'informatique et des libertés



    Décrivez brièvement le problème sur lequel vous souhaitez alerter la CNIL

    Bonjour,

    La Commission nationale de l'informatique et des libertés (dénommé ci-après par "CNIL"), a, selon toute vraisemblance, failli à protéger des données personelles.
    En effet une commission chargée de protéger les données personnelles entre autre des internaute, avait interdit à des société privées, tel que la SACEM à pouvoir récupérer les ips d'internautes. Il n'y avait , et n'y a toujours pas, une définition clair et précise du protocole de récupération (méthode que l'on pourrait appelé vulgairement de "flicage des internets").
    Malgré cette position, la CNIL a décidé, sans consultation avec les principaux intéressés (association de consommateur, association des internautes), d'autoriser ledit flicage, pour des raisons aussi oisive que naïve (le flicage, pas la décision). Tout ceci sans aucune garantie de la méthode de récupération, de stockage, d'utilisation des données, ou de sécurisation de ces données.
    Rappelons au niveau de la sécurité que dernièrement (le 3 décembre), un administrateur de base de donnée d'une filiale de " Fidelity National Information Services Inc. " a reconnu avoir donné, contre $580 000, plus de 8.5 millions de données personelles.

    Nous nous étendrons pas sur les finalités possible de la récupération d'ip, ni sur leur utilisation abusive possible. Nous rappelerons toutefois que la SACEM a été reconnu par le ministère des finances d'une mauvaise gestion économique, ce qui tant a faire penser que les données ne seront pas forcément récupéré de manière idéale, ni sécurisée de façon approprié.

    Enfin soulevons le point de la transparence sur les méthodes employées pour récupérer, stocker et utiliser des données prélevé, (Si ce n'est pas transparent, alors cela s'effectue à l'insu de leurs utilisateurs), et pouvant servir de preuve pour différentes sanctions.
    Quand bien même théoriquement la justice et la protection de la vie privée ne peuvent tolérer d'opérateurs privés, la CNIL les acceptent, alors que ceux ci sont juges (savoir quels ips récupérer) et parties (si on récupère tels ips, alors on peut avoir des avantages.)

    Je vous prie, monsieur, de croire en mes sincères saluations.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.