La sécurité de votre hotspot WiFi passe avant toute chose par une mise en conformité avec la législation française, en enregistrant toutes les connexions effectuées via votre connexion internet. C’est le rôle du gestionnaire d’accès Wifipak de transmettre les connexions à l’enregistreur automatisé Weblogpack.
CONFIDENTIALITE
Conformément au RGPD, nous ne communiquons, ni ne collectons d’ informations personnelles. Si vous pensez que nous avons collecté des informations par inadvertance, vous avez la possibilité de nous contacter pour vérification. Nous conservons les données pendant un an comme l’exige la loi. Aucun effacement, aucune modification ne sont autorisées.
Nous prenons des mesures raisonnables, administratives, physiques et électroniques pour protéger les données de connexion de nos hotspots, et nous nous réservons le droit de transmettre tout ou partie de ces informations dans le cas où la loi l’exige et dans la mesure où nous pensons en toute bonne foi que cela est nécessaire et légitime. Cependant, aucune méthode de sécurité ne peut être garantie pour protéger les informations contre les pirates ou les erreurs humaines.
Informations recueillies :
- ⇒ Adresses MAC
- ⇒ Heure et date des connexions
- ⇒ Adresse IP des sites distants
- ⇒ Protocole utilisé
Pour plus de détail sur les obligations légales, consultez le décret sur Léfifrance en cliquant ici.
TEXTES REGLEMENTAIRES
RGPD Règlement européen 2016/679 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Décret n° 2006-358 du 24 mars 2006 sur l’obligation de conservation de données de communications : http://www.arcep.fr/fileadmin/reprise/textes/decrets/d2006-358.pdf
Décret n° 2005-862 du 26 juillet 2005 : http://www.arcep.fr/fileadmin/reprise/textes/decrets/d2005-862.pdf
FILTRAGE :
La sécurité passe également par le contrôle des données qui transitent via Wifipak, une exigence de la récente loi Hadopi par exemple. Cela est rendu possible par l’ouverture ou la fermeture de certains ports, mais également par le filtrage de certains protocoles, la priorité donnée à certaines transmissions, l’identification par adresse MAC, etc. Wifipak vous est livré avec une configuration de base mais son interface de gestion vous reste totalement accessible, permettant d’intervenir vous même sur le paramètrage.
Vous pouvez ainsi décider de ne laisser passer que le surf web classique (http et https), les emails (pop, imap, smtp), les différents services de messagerie instantanée (MSN, AIM, Gtalk, etc.), mais également autoriser des accès plus complets et complexes, ou n’autoriser que le surf http : c’est vous qui décidez de la configuration, vous qui la ferez évoluer à votre guise, selon vos besoins.
Le filtrage de sites est possible mais l’expérience montre qu’il est très facilement contournable. C’est la raison pour laquelle nous déconseillons d’intervenir sur cette fonctionnalité, l’exploitant ne peut se substituer à une quelconque juridiction, ce n’est pas son rôle.
Nous offrons la possibilité d’utiliser vos propres DNS pour un filtrage adulte, enfants, etc. JustGeek a publié un excellent article sur le sujet.
HADOPI :
La communication des données de connexion peuvent vous être demandée par HADOPI ou les autorités judiciaires dans le cadre d’une procédure pénale. Vous accéderez alors à l’enregistrement du jour concerné, au format ZIP, et le communiquerez in extenso à votre interlocuteur.
BLOCAGE P2P (PEER TO PEER) :
Le blocage des protocoles P2P est présenté comme une évidence par nombre de fournisseurs de solutions hotspot, mais dans la réalité il est pratiquement impossible : le P2P utilise des connexions sécurisées, changeantes, et passera sans difficultés tous les filtrages de base mis en place. Là aussi, l’utilisation de DNS adaptés permet de filtrer tout ou partie de certains sites, cf plus haut.
QUELLES INFORMATIONS SONT ENREGISTREES ?
Approfondissons un peu le fonctionnement du Weblogpack en vous présentant un exemple d’enregistrement, tel que figurant dans les fichiers archivés :
Aug 16 11:20:41 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244 Aug 16 11:21:26 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 006789661757740, 00:25:00:4c:9e:05, 192.168.3.198 Aug 16 11:23:29 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201 Aug 16 11:34:48 ANantes-xxxxxx logportalauth[3106]: TIMEOUT: 00635456876177740, 00:25:00:4c:9e:05, 192.168.3.198 Aug 16 11:39:59 ANantes-xxxxxx logportalauth[3656]: TIMEOUT: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244 Aug 16 12:23:33 ANantes-xxxxxx logportalauth[8581]: TIMEOUT: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201 Aug 16 12:24:03 ANantes-xxxxxx logportalauth[444]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Pour une question évidente de discrétion, nous avons remplacé l’adresse IP de notre client par des « xxxxxxx »… Vous aurez par contre compris qu’il se situait en région Nantaise : « ANantes-xxxxxx » indique l’adresse IP attribuée par son fournisseur d’accès à sa connexion, facile à identifier en cas de besoin.
Plongeons-nous dans les détails : le 16 août à 11:20 et 41 secondes, soyons précis, l’utilisateur du coupon d’accès 1218778969315756 s’est connecté (les codes ont bien entendu été changés, inutile de les essayer). Sa carte WiFi utilise l’adresse MAC 00:1b:9e:06:c9:f2 et l’IP 192.168.3.244 lui a été attribuée par le Wifipak chargé de la supervision des accès. Une déconnexion par timeout a été effectuée à 11h39 et 59 secondes : là encore on retrouve l’adresse IP locale et l’adresse MAC.
Résumons :
Nous savons que sur internet, nous avions la connexion ANantes-xxxxxx, que l’utilisateur à 11h20 avait une adresse MAC 00:1b:9e:06:c9:f2 et l’ip locale 192.168.3.244.
Cherchons un peu le contenu des sites visités vers 11h20 et nous trouvons :
Aug 16 11:20:16 ANantes-xxxxxxxxxx pf: 5. 151592 rule 46/0(match): pass in on vr0: (tos 0×0, ttl 128, id 53946, offset 0, flags [DF], proto TCP (6), length 52) 192.168.3.244.4650 > 217.12.5.161.80: S, cksum 0xee4e (correct), 3523737851:3523737851(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
217.125.161 port 80 nous dirige sur Yahoo, plus exactement sur le login d’un compte Yahoo.com : notre utilisateur a donc vraisemblablement consulté ses emails. Toutefois, Weblogpack ne capture PAS les données échangées : seules les adresses IP des sites visités sont enregistrées ! Il est donc fort heureusement impossible de voir les contenus d’un email, les discussions Skype ou Facebook Messenger, etc…
Vous l’aurez compris, l’enregistreur vous dédouane de tout soupçon, montrant clairement qui a fait quoi, comment, sur quel site, avec quel port (protocole) et quelle adresse MAC. Il est alors simple de prouver que vous n’êtes pas le coupable initialement désigné, simplement en laissant l’autorité judiciaire étudier vos connexions.