Bonjour, Je me permets d’intervenir dans cette discussion car je n’ai pas compris les choses de la même manière et aimerais exposer mon analyse. Premièrement, la présentation de l’avocat au CC n’était à mon sens qu’un exposé rapide visant à présenter les points clés de la QPC sans entrer dans les détails argumentaires, afin de remettre les choses dans leur contexte et de permettre au conseil de poser d’éventuelles questions (ce qu’ils n’ont pas fait). Je ne suis pas sur qu’une session de questions est bien dans la procédure mais c’est ce qui me semblait logique. Je t’invite à lire l'Amicus curiae qui regroupe toutes les remarques faites sur le sujet. Article du blog : http://blog.fdn.fr/?post/2015/06/23/Request-for-comments <http://blog.fdn.fr/?post/2015/06/23/Request-for-comments> et document : http://www.fdn.fr/pjlr/amicus1.pdf <http://www.fdn.fr/pjlr/amicus1.pdf> Ce texte est facile à lire et donne une bonne vision sur les différents points que les assoc critiquent et défendent. Ensuite, je ne suis pas un expert en réseau, mais je crois que l’histoire des données de connexion peut se voir sous plusieurs angles. Pour le gouv, je pensent qu’ils font simplement référence à la liste associant une ou plusieurs IP à 1 client. Il me semble que cette liste doit être légalement obligatoirement maintenu par les FAI. Par ailleurs, d’un point de vu réseau, il est possible que ces informations ne suffisent pas à identifier certains flux. Et je pense que c’est à ça que tu fais ref quand tu dis "Internet est un réseau sans conscience des « connexions »". Je pense que ça dépend aussi du point de vu. C’est à dire que quand tu es sur internet, dans le sens au niveau des routeurs de bordure, ba c’est pas simple d’identifier quelque chose. Par contre si tu te places au niveau d’un DSLAN par ex, c’est un peu plus facile de dire telle IP va vers tel client. Mais en fait, il est très probable que les politiques n’en ont aucune foutue idée. Ils savent peut être tout au plus qu’il y a déjà une loi pour la recup des IP et que sur internet c’est une histoire de connexion entre plusieurs trucs. Mais à mon avis ils utilisent juste le terme « données de connexion » pour englober le plus de trucs et pouvoir utiliser la loi à différents niveaux et en fonction des changements techniques possible à venir. Après que ça soit déjà une terme obsolète, c’est possible. Mais en tout cas je t’invite fortement à lire l’Amicus (ou moins quelque bouts, perso je n’ai pas tout lu) pour comprendre juridiquement comment ça se passe et comprendre les deux points de vu du coup. A+ — Jérémie

Le 28 juil. 2015 à 14:59, Benjamin Cama <benoar@dolka.fr> a écrit :

Bonjour,

Le 2015-07-27 22:52, gfa a écrit :

...

Voici la mauvaise nouvelle du moment sur la neutralité du net

http://www.laquadrature.net/fr/honte-sur-la-france-le-conseil-constitutionne...

Perso, j'ai regardé la vidéo de la saisie du CC par l'avocat de FDN/FFDN/LQDN, et franchement, je l'ai trouvé plutôt nul :

http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/video...

ou directement :

http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank_mm/2...

Je ne sais pas quels ont été les points soulevés par les gens de FDN en particulier et ceux qui émanaient plus des juristes, mais l'approche choisie ne me paraît pas du tout bonne (mais bon, IANAL). Le premier point était « les termes sont mal définis »… génial. Le deuxième, c'était « on s'attaque aux avocats et aux journalistes, et ça c'est horrible », mais par contre le péquin lambda, pas de problème.

La défense du gouvernement était pas mal non plus : on se défend de chose sur lesquelles on ne l'a pas attaqué (classique, c'est l'homme de paille version défense), et surtout on menace discrètement le CC de potentiel parjure au vu de ses décisions précédentes.

Tout ça dans l'ambiance « entre nous » des cours qui planent à 10 000 pieds au-dessus des gens normaux. L'autre qui balance de la « menace à la démocratie » en pouffant, etc.

Je ne sais pas si ça a déjà été amené dans les débats sur la construction de notre défense, mais pour moi les prémices même des remarques qui ont été posées par la fédé sont inadmissibles : on sous-entend que les données sont « là », et on ne veut pas que l'état y jette un œil à moins de très bonne raison (et sous contrôle d'un juge). Mais Internet est un réseau sans conscience des « connexions » ! Si on veut récupérer des indices de connexions, déjà on doit modifier la manière dont fonctionne le réseau… Pour un telco, c'est plus « normal » de pouvoir surveiller les appels, car les appels sont quelque-chose qui sont *dans* le fonctionnement du réseau, dont l'identification est nécessaire au fonctionnement. Pour Internet, non ! L'intelligence est à l'extrémité, les routeurs de FDN (par exemple) n'utilisent pas du tout l'information des connexions de ses abonnés pour faire fonctionner le réseau ! On a des routes, on décide sur les IP source/destination, et point barre. Il me semblait que ça avait déjà été soulevé dans la fédé : que dire qu'on doit *pouvoir savoir* qui (n'importe qui) fait des connexions où, ça nécessitait déjà de changer complètement la logique du réseau (DPI, etc). Et c'est sûr ça pour moi qu'il faudrait attaquer ! Que le réseau n'est pas fait pour ça.

Après, j'imagine que c'est déjà trop technique, même si franchement c'est un des prémices fondamentaux qui différencient l'Internet de tout ce qu'on a fait d'autre, et que le changer va complètement casser sa logique de fonctionnement, mais bon…

Bon, j'arrive pas à être assez clair, dites mois s'il faut que je reformule.

-- benjamin _______________________________________________ Grifon mailing list Grifon@grifon.fr http://lists.grifon.fr/mailman/listinfo/grifon

On ne voit pas les négo radius à ce niveau ?

Le 28 juil. 2015 à 20:46, alarig <alarig@swordarmor.fr> a écrit :

On Tue Jul 28 20:25:15 2015, Jérémie Libeau wrote:

...

Par ailleurs, d’un point de vu réseau, il est possible que ces informations ne suffisent pas à identifier certains flux. Et je pense que c’est à ça que tu fais ref quand tu dis "Internet est un réseau sans conscience des « connexions »". Je pense que ça dépend aussi du point de vu. C’est à dire que quand tu es sur internet, dans le sens au niveau des routeurs de bordure, ba c’est pas simple d’identifier quelque chose. Par contre si tu te places au niveau d’un DSLAN par ex, c’est un peu plus facile de dire telle IP va vers tel client.

Salut Jérémie,

C’est un détail technique, mais je doute fort qu’un DSLAM sache a qui appartient telle IP à tel moment. Ça doit plutôt se passer au niveau du BAS ou du LNS en fonction de l’architecture.

-- alarig _______________________________________________ Grifon mailing list Grifon@grifon.fr http://lists.grifon.fr/mailman/listinfo/grifon

Oké, quand tu dis qu’il ne peut pas voir, c’est que vu qu’il ne cause pas IP il n’a pas les outils pour le faire donc ne peut pas le faire :) Par contre ça dévie un peu du débat, mais j’ai vu dans des doc qu’ils parlent de 3 types de collectes, ATM, Ethernet et IP. Or là dans l’article ils font bien ref à ATM et Ethernet mais pas à IP. Du coup est-ce que ça fait ref à un autre truc ou ?

Le 28 juil. 2015 à 21:32, alarig <alarig@swordarmor.fr> a écrit :

On Tue Jul 28 21:11:55 2015, Jérémie Libeau wrote:

...

On ne voit pas les négo radius à ce niveau ?

Wikipédia dit « Techniquement, le DSLAM récupère le trafic de données, issu des lignes d'abonnés DSL (Internet haut débit, télévision par ADSL, VoIP…), transitant sur les lignes téléphoniques qui lui sont raccordées, après que ce trafic a été séparé du trafic vocal issu de la téléphonie classique, grâce à un filtre. Ensuite le DSLAM concentre le trafic des lignes qui lui sont raccordées (« petits tuyaux ») et le redirige vers le réseau de l'opérateur ou du fournisseur d'accès (« gros tuyau ») selon le principe du multiplexage où les données sont transportées en paquets Ethernet ou en ATM. »

Donc tu peux le voir si tu analyse les trames qui passent, sinon il y a peu de chances :) De plus, un DSLAM n’a pas besoin de parler IP pour fonctionner, donc je ne vois pas pourquoi il s’encombrerait avec des échanges radius pour l’affectation des IPs.

-- alarig _______________________________________________ Grifon mailing list Grifon@grifon.fr http://lists.grifon.fr/mailman/listinfo/grifon

Le mardi 28 juillet 2015 à 21:32 +0200, alarig a écrit :

On Tue Jul 28 21:11:55 2015, Jérémie Libeau wrote:

...

On ne voit pas les négo radius à ce niveau ?

Wikipédia dit « Techniquement, le DSLAM récupère le trafic de données, issu des lignes d'abonnés DSL (Internet haut débit, télévision par ADSL, VoIP…), transitant sur les lignes téléphoniques qui lui sont raccordées, après que ce trafic a été séparé du trafic vocal issu de la téléphonie classique, grâce à un filtre. Ensuite le DSLAM concentre le trafic des lignes qui lui sont raccordées (« petits tuyaux ») et le redirige vers le réseau de l'opérateur ou du fournisseur d'accès (« gros tuyau ») selon le principe du multiplexage où les données sont transportées en paquets Ethernet ou en ATM. »

Donc tu peux le voir si tu analyse les trames qui passent, sinon il y a peu de chances :) De plus, un DSLAM n’a pas besoin de parler IP pour fonctionner, donc je ne vois pas pourquoi il s’encombrerait avec des échanges radius pour l’affectation des IPs.

Le DSLAM s'occupe normalement juste de faire terminer le circuit ATM sur le bon BAS, ce qui est normalement à peu près « statiquement » déterminé, c'est à dire au moment de l'affectation de la ligne (le DSLAM appartient à un opérateur, qui le fait pointer vers un BAS à lui). Le BAS va voire (cradement) le login de celui qui se connecte juste pour chopper le realm (la partie après le @) afin de le diriger vers le bon LNS (ou pseudo-LNS dans le cas d'un intermédiaire comme Nérim). Ça peut être fait au niveau du pseudo-LNS encore une fois (snooper le realm, pour Nérim, ça correspond à voir le « sous-domaine » du .nerim.net utilisé, fdn.nerim.net dans le cas de FDN). Mais par contre, ça lie une *session PPP* avec un login, et la négociation de l'IP se fait *au-dessus* ce lien établi, sans que le DSLAM ni le BAS n'en ait à faire quoi que ce soit : pour lui, la relation entre l'abonné à le FAI c'est la session, rien à voir avec l'IP qui est configuré dessus (normal, c'est le FAI qui fait ce qu'il veut dessus à ce niveau). -- benjamin

Le 28/07/2015 14:59, Benjamin Cama a écrit :

Je ne sais pas quels ont été les points soulevés par les gens de FDN en particulier et ceux qui émanaient plus des juristes, mais l'approche choisie ne me paraît pas du tout bonne (mais bon, IANAL).

C'est bien les points évoqués par P. Spinosi qui ont été les seuls points déposés. Voir : <http://www.nextinpact.com/news/95335-qpc-sur-donnees-connexion-interview-benjamin-bayart.htm> et <http://blog.fdn.fr/?post/2015/04/15/Depot-d-une-QPC-sur-l-article-20-de-la-LPM>

Le premier point était « les termes sont mal définis »… génial.

Tu te trompes. Un exemple tout bête : le « informations et documents » est crucial puisqu'il définit ce que les autorités peuvent réclamer. Si c'est trop vaste, on est livré à une interprétation maximaliste future malsaine. Si c'est bien défini, on sait ce qu'on doit collecter mais oui, on sera tenu de le faire. Faut comprendre que là, on est dans une démarche de limitation de la casse, pas du débat de fond sur la construction de la société à l'heure du numérique. Toute la loi renseignement est bâtie sur ça.

Le deuxième, c'était « on s'attaque aux avocats et aux journalistes, et ça c'est horrible », mais par contre le péquin lambda, pas de problème.

C'est un début de remise en cause de l'accès administratif aux données de connexion et des acteurs qui peuvent y recourir. Je trouve ça dommage aussi mais arrivé à ce stade (décret d'application), ça veut dire qu'on a échoué au Parlement et donc on joue avec ce qu'on peut. Traduction : je pense qu'il était trop tard pour jouer sur le principe de "c'pas cool de recueillir tout sur tout le monde".

La défense du gouvernement était pas mal non plus : on se défend de chose sur lesquelles on ne l'a pas attaqué (classique, c'est l'homme de paille version défense), et surtout on menace discrètement le CC de potentiel parjure au vu de ses décisions précédentes.

T'as raté d'autres bouts intéressants : * Le représentant du gouvernement dit « aucune disposition ne permet à ces personnes [NDLR : les opérateurs] d'enregistrer le contenu des communications ». Or, le CPCE interdit expressément de taper dans le contenu. "Légère" différence que le gouvernement méconnaît. * La différence faite entre hébergeurs/FSI et opérateurs tient si l'on suit les textes français mais pas les textes européens : les hébergeurs/FSI y sont assimilés aux opérateurs. * Les infos de contexte (date/heure, fréquence,...) de communication avec mon avocat ne sont pas protégeables alors qu'elles le sont AFK ! Les écoutes de Sarko et de son avocat qui avaient tant émues sont loin derrière, il faut croire. C'est tout ce que je me souviens mais doit y avoir d'autres trucs hallucinants.

Je ne sais pas si ça a déjà été amené dans les débats sur la construction de notre défense, mais pour moi les prémices même des remarques qui ont été posées par la fédé sont inadmissibles : on sous-entend que les données sont « là », et on ne veut pas que l'état y jette un œil à moins de très bonne raison (et sous contrôle d'un juge).

Non, les prémisses de la fédé c'est de rejeter la rétention des données de connexions, point. Data Retention Is No Solution. ;) FFDN/LQDN/FDN attaquent la rétention des données de connexion dans une autre procédure en cours. En effet, la data retention a été rendue caduque en UE par un arrêt de la CJUE d'avril 2014 (Digital Rights Ireland) qui casse la directive 200624CE. Les transpositions directes de cette directive tombent automatiquement. C'est déjà le cas dans plusieurs États de l'EU. Sauf que la LCEN est antérieure et intouchable (2 mois pour contester des décrets d'application). Elle est conforme au droit européen sus-cité mais n'est pas une transposition donc la procédure est plus longue. Un décret de 2011 (<http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000023646013&dateTexte=&oldAction=rechJO&categorieLien=id>) est la dernière réécriture en droit français de ce qu'est la rétention des données de connexion. C'est donc avec lui qu'il faut jouer. Étape 1 : l'administration est tenue d'abroger les décrets illégaux (c'est un bout de jurisprudence). Il suffit donc de lui demander par courrier LRAR tout ça. Étape 2 : en cas de refus (absence de réponse = refus), c'est une décision de l'administration attaquable devant le Conseil d'État qui pourra décider que le rejet du gouvernement est infondé puisqu'en déssacord avec l'arrêt de la CJUE et vlam la rétention des données de connexion. Au moins le temps que législateur et exécutif patchent ça (avec quelque chose de conforme à la décision de la CJEU, of course). Pour résumer : l'attaque sur le décret d'application de l'article 20 de la LPM c'est pour refermer des portes sur l'interprétation de tournures floues. L'attaque en lien avec l'arrêt de la CJUE, c'est pour faire un nettoyage en profondeur de la rétention des données de connexion. Pour une version plus pédagogique de tout ça, voir la conf' « French Data Network et autres c/ Gouvernement » à Pas Sage en Seine 2015.

Mais Internet est un réseau sans conscience des « connexions » !

Même avec les différents niveaux de NAT ? :)))) Oui, je trolle, oui, je sais que du NAT c'pas Internet.

Si on veut récupérer des indices de connexions, déjà on doit modifier la manière dont fonctionne le réseau… Pour un telco, c'est plus « normal » de pouvoir surveiller les appels, car les appels sont quelque-chose qui sont *dans* le fonctionnement du réseau, dont l'identification est nécessaire au fonctionnement. Pour Internet, non ! L'intelligence est à l'extrémité, les routeurs de FDN (par exemple) n'utilisent pas du tout l'information des connexions de ses abonnés pour faire fonctionner le réseau ! On a des routes, on décide sur les IP source/destination, et point barre. Il me semblait que ça avait déjà été soulevé dans la fédé : que dire qu'on doit *pouvoir savoir* qui (n'importe qui) fait des connexions où, ça nécessitait déjà de changer complètement la logique du réseau (DPI, etc). Et c'est sûr ça pour moi qu'il faudrait attaquer ! Que le réseau n'est pas fait pour ça.

Oula, ce que tu dis s'applique au NAT. Sans NAT, c'est soit adressage static (manuel ou DHCP) donc une bête base de données (voire une feuille de papier) sufiit, soit dynamique et là c'plus compliqué mais ça se fait avec RADIUS. Note que l'accounting RADIUS est facultatif : la législation demande juste de savoir relier une IP à un constituant d'une identité (pas forcément une identité d'état civil, une MAC suffit). L'accounting permet juste de fournir des éléments en plus du type : à l'heure indiquée dans votre réquisition, le VPN / lien ADSL de l'adhérent n'était pas monté donc c'est probablement une usurpation d'IP. Ça permet d'innocenter plus facilement quand les autorités sont pressées, quoi. A+