Questions à propos des proxies ?

Questions à propos des proxies ? - Programmation

Marsh Posté le 07-04-2001 à 23:17:58    

Voilà pour ceux qui connaissent bien les proxies ou leur gestion j'aimerais savoir :
 
Est-ce que n'importe qui peut demander à l'administrateur d'un proxy les infos sur qqun (ses logs) ou c'est seulement permis dans des cas bien particuliers et uniquement des organismes compétents (web police etc) ?
 
Combien de temps doivent être conservés les logs ? un jour, 1 semaine, 1 mois, 1 an ?
 
Merci de m'éclairer.
 
Si qqun à du code en C++ pour chainer plusieurs proxies, je suis preneur (j'y arrive pas avec la fonction InternetSetOption) :(
 
Merci
Flying

Reply

Marsh Posté le 07-04-2001 à 23:17:58   

Reply

Marsh Posté le 08-04-2001 à 11:32:42    

Concernant les proxies, il n'y a pas de règle, en dehors du droit général relatif à la vie privée et l'organisation du travail.
En fait les règles sont établies par le propriétaire du proxy, responsable de son administration.
Il n'y a donc pas de log imposé en France, et chacun fait ce qu'il veut dessus. Par contre l'utilisation des informations recueillies doit se conformer aux règles contractuelles énoncées publiquement et aux règles légales en vigueur.
 
Dans une Entreprise, l'utilisation des logs d'un proxy est soumis à une information préalable de l'Entreprise à ses employés qui doivent savoir que les informations recueillies peuvent être utilisées, et les buts doivent être exposés: s'il s'agit de protéger la confidentialité des informations de l'entreprise, et de s'assurer que les employés respectent cette clause de confidentialité, cet usage est légitime, mais doit tout de même être déclaré dans le règlement intérieur, dont l'accès doit être public à tout employé, et mentionné dans le contrat ou affiché dans un lieu de passage commun à tous. Bref la nature des informations qu'elles soient numériques sur Internet ou imprimées ne change rien au problème de droit relatif à la protection du droit de l'entreprise et de la vie privée des utilisateurs. Et toute règle non écrite et non signalée publiquement aux employés est réputée ne pas exister.
 
Quant au fait de la constitution de preuves à partir de logs, cela reste à démontrer devant un jury prudhommal pas forcément au courant des subtilités techniques (donc c'est inutilisable sans faire recours à un expert approuvé par les tribunaux, et donc la constituion de preuve est souvent hors de prix par rapport au préjudice s'il ne s'agit que de consultations de messageries privées, mais cela peut valoir le coup si l'employé indélicat transmet des secrets professionnels vitaux pour l'entreprise)... Dans ce cas, une telle affaire n'est pas vraiment du ressort du seul Droit du Travail, mais du Tribunal d'Instance (constituion de plainte nécessaire).
 
Les Prudhommes se contentant alors d'enregistrer la plainte prouvée pour statuer concernant le droit du travail et le contrat de l'employé (il ne peut statuer sur le préjudice subit, mais peut approuver le motif de faute grave pour un licenciement si une faute pénale est prouvée).

 

[edit]--Message édité par verdy_p--[/edit]

Reply

Marsh Posté le 08-04-2001 à 16:08:57    

Merci beaucoup pour cette longue explication verdy_p :)
 
Mais j'avais lu à droite et à gauche que les adm. de proxy devaient absolument tenir un backup des logs et qu'ils devaient les fournir (à qui je ne sais pas exactement) par exemple si qqun qui était passé par leur proxy pour des actions "indélicates" (hacking etc ...).  Faute de coopérer, les autorités compétentes pouvaient requérir la fermeture du proxy.
Donc je m'intéresse plutôt aux proxies "publics" et non au sein d'une entreprise.
As-tu des infos à ce sujet ?
 
Merci
Flying

Reply

Marsh Posté le 08-04-2001 à 18:01:15    

Là tu touches plutôt aux obligations légales des hébergeurs.
En effet, à défaut d'autre identification, l'hébergeur est responsable du contenu diffusé par un site, même s'il n'en n'est pas l'auteur. Tenir un log est donc une façon de se protéger contre des sanctions. Cela concerne alors aussi bien les proxies, que les routeurs de courriers (serveurs SMTP ouverts bannis), ou de nouvelles (serveurs NNTP ouverts bannis), ou les serveurs Web (obligation en France d'identifier l'auteur d'un contenu, pour préserver le diffuseur de poursuites relatives aux violations de droits d'auteur).
Comme les hébergeurs ne veulent pas être poursuivis, il leur faut des moyens pour pister les utilisateurs indélicats de leurs services, et des moyens pour agir en conformité avec les règles légales (il vaut mieux donc pouvoir coopérer sous peine de se retrouver d'abord en liste noire de la part des autres fournisseurs de services)
Bref chacun est responsable du contenu dont il est supposé être l'auteur. Pour un particulier abonné qui a un compte courriel ou un site web chez un hébergeur, il est réputé être l'auteur de tout contenu qui a transité par son compte (et l'hébergeur peut en faire la preuve par les LOGS justement).
Gare à vos mots de passe si vous vous les faites piquer: tout courrier frauduleux qui serait émis à votre insu depuis votre compte pourrait vous être reproché. Mais justement, les LOGS des fournisseurs sont aussi là pour vous protéger contre ces abus: ils permettent de prouver aussi que votre compte a été piraté et que bien que les messages semblent émaner de vous, en fait votre accès a été piraté (ce peut être utile si un jour vous vous retrouvez banni de tout courrier émis vers beaucoup de destinataires, parce qu'un cheval de Troie a utilisé votre compte pour émettre des messages frauduleux)

Reply

Marsh Posté le 08-04-2001 à 18:34:56    

Ok, merci pour tes explications : tu es calé dans ce domaine dirait-on :)
 
As-tu une idée du temps que doivent être conservés ces logs ? Ou un ordre d'idée : 1 jour, 1 semaine, 1 mois ou plus ??? Est-ce propre à chaque pays ou y a-t-il un règlement international ?
 
Et s'il ne s'agit pas de fraude mais juste de vérification, genre : le propriétaire d'un site souhaiterait vérifier si tel et tel personne inscrite sous un speudo différent sur son site et y accédant suivant un proxy ne sont pas en fait une seule et même personne (en demandant au proxy l'addresse IP réelle).  Est-ce possible ?  Est-ce que le proxy va tout de suite donner les infos ou bien va-t-il répondre : Il n'y a pas fraude donc ca ne vous regarde pas!
 
Merci
@+
Flying

Reply

Marsh Posté le 08-04-2001 à 19:38:31    

En principe les infos des logs sont confidentielles, et les bons sites publient une charte d'utilisation des informations personelles qu'ils obtiennent de leurs utilisateurs (les infos des LOGS sont des données personnelles).
Aussi les seuls cas de communication d'information sont en cas de fraude, pour rechercher un auteur malveillant ou fraudeur.
La communication n'est pas automatique: celui qui fait la demande doit être de confiance et cela passe par un accord de réciprocité au moins tacite. Mais cela ne doit pas contredire la charte publiée par le site à destination des utilisateurs. Y contrevenir expose l'auteur du site à un bannissement général...
A priori, les logs ne peuvent donc pas être communiqués comme ça: il faut une bonne raison, et les seules bonnes raisons sont celles qui évitent à un site d'être lui-même poursuivi en Justice à la place du fauteur de trouble, ou banni des partenaires de confiance.
Concernant la durée de conservation, je dirais qu'au delà d'un mois c'est sans intérêt (sauf les logs qui servent à justifier une facturation, qui à mon avis devraient être conservés le temps des recours possibles pour les montants facturés aux clients: cas des logs de sites marchands, pour la partie traitant spécifiquement des transactions effectuées depuis le site, et où il faut s'attendre à une part de tentative de fraudes). Là je dirais qu'il faut avoir suffisamment d'information dans ces logs pour identifier l'auteur de la transaction pendant au moins 3 à 6 mois après la facturation, suivant le montant des transactions effectuées (à voir avec les conditions commerciales du service).

 

[edit]--Message édité par verdy_p--[/edit]

Reply

Marsh Posté le 08-04-2001 à 20:03:23    

Merci pour toutes ces infos verdy_p :) :)
 
Bonne soirée.
 
Flying

Reply

Marsh Posté le 08-04-2001 à 20:13:06    

En fait je ne demande pas ces infos pour frauder :)  
mais je me posais la question de savoir comment faisaient les sites qui proposent des jeux - style lotto etc - pour vérifier qu'une personne ne joue par exemple qu'une fois et non pas 10 fois.  Enfin pour les sites qui ne demande qu'une adresse email pour participer et pas une infos détaillée (nom etc ...).
 
Voilà
 
@+
Flying

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed