IPODAH et le crime, un problème épineux
Comment concilier la lutte contre le crime et un service de VPN anonyme ? voila le problème très épineux auquel nous sommes confrontés.
D'un côté nous ne voulons pas conserver les logs de connexion, c'est à dire la correspondance entre l'adresse IP que vous fourni votre FAI et l'adresse IP que vous fourni IPODAH. Et d'un autre côté nous ne cautionnons pas du tout le crime, tout ce qui est pédo-pornographie sur Internet par exemple, c'est vraiment dégoutant et immoral !! D'ailleurs, attention à la notion de délit et de crime, le téléchargement illégal est seulement un délit (mais ce n'est pas pour autant que nous le soutenons).
Il existe peut être quelques solutions plus ou moins satisfaisantes :
1. Nous pourrions garder uniquement une partie des informations, c'est à dire l'adresse IP que fourni IPODAH avec le compte auquel elle a été attribuée mais pas l'IP réelle du fournisseur d'accès. Ca nous permettrai au moins de fermer le compte VPN mais pas d'identifier le criminel si son e-mail d'inscription est lui aussi anonyme.
2. Garder les logs sur une partition chiffrée avec une clé aléatoire donc valide tant que le serveur est allumé. Dans ce cas l'Equipe IPODAH jugera par elle même si le criminel mérite d'être dénoncé ou pas, mais si les autorités décident de passer outre et de saisir le serveur, l'information sera détruite irrémédiablement au moment même ou le serveur est débranché. Très drôle, j'imagine déjà la tête du gendarme quand je lui dirai "c'est malin, vous venez de détruire les logs en prenant le serveur" :)
3. Nous pourrions déporter les logs ailleurs, dans un endroit secret à l'abri des regards indiscrets... via un VPN justement !
4. Faire l'autruche et ne rien conserver du tout ! Après tout, c'est le gouvernement qui force la démocratisation du chiffrement en voulant tout contrôler à outrance.
Bref ce n'est pas simple, et il n'y a pas de bonne solution à ce dilemme. Et c'est là que nous nous rendons compte que les autres services de VPN ne sont pas si transparents que ça. L'un d'eux écrit "we store no traffic data". Ils gardent quoi exactement ? ne pas garder les données qui transitent par le réseau et ne pas garder les logs de connexion c'est deux choses totalement différentes.
Je vous laisse digérer et méditer...
D'un côté nous ne voulons pas conserver les logs de connexion, c'est à dire la correspondance entre l'adresse IP que vous fourni votre FAI et l'adresse IP que vous fourni IPODAH. Et d'un autre côté nous ne cautionnons pas du tout le crime, tout ce qui est pédo-pornographie sur Internet par exemple, c'est vraiment dégoutant et immoral !! D'ailleurs, attention à la notion de délit et de crime, le téléchargement illégal est seulement un délit (mais ce n'est pas pour autant que nous le soutenons).
Il existe peut être quelques solutions plus ou moins satisfaisantes :
1. Nous pourrions garder uniquement une partie des informations, c'est à dire l'adresse IP que fourni IPODAH avec le compte auquel elle a été attribuée mais pas l'IP réelle du fournisseur d'accès. Ca nous permettrai au moins de fermer le compte VPN mais pas d'identifier le criminel si son e-mail d'inscription est lui aussi anonyme.
2. Garder les logs sur une partition chiffrée avec une clé aléatoire donc valide tant que le serveur est allumé. Dans ce cas l'Equipe IPODAH jugera par elle même si le criminel mérite d'être dénoncé ou pas, mais si les autorités décident de passer outre et de saisir le serveur, l'information sera détruite irrémédiablement au moment même ou le serveur est débranché. Très drôle, j'imagine déjà la tête du gendarme quand je lui dirai "c'est malin, vous venez de détruire les logs en prenant le serveur" :)
3. Nous pourrions déporter les logs ailleurs, dans un endroit secret à l'abri des regards indiscrets... via un VPN justement !
4. Faire l'autruche et ne rien conserver du tout ! Après tout, c'est le gouvernement qui force la démocratisation du chiffrement en voulant tout contrôler à outrance.
Bref ce n'est pas simple, et il n'y a pas de bonne solution à ce dilemme. Et c'est là que nous nous rendons compte que les autres services de VPN ne sont pas si transparents que ça. L'un d'eux écrit "we store no traffic data". Ils gardent quoi exactement ? ne pas garder les données qui transitent par le réseau et ne pas garder les logs de connexion c'est deux choses totalement différentes.
Je vous laisse digérer et méditer...
publié par IPODAH à
17:41
9 commentaires:
A mon humble avis, les pédophiles n'ont pas attendu les VPN sécurisés pour faire leur business sur Internet.
Vous ne serez en aucun cas responsable si de telles personnes abusent de votre service (et au tel cas, l'Etat serai l'unique responsable).
J'opte pour la solution 4. Si ce n'est pas IPODAH, ce sera un autre serveur qui appuiera des actes criminels.
Pour ma part, une loi comme hadopi n'a pour effet que de démocratiser les dispositifs permettant d'assurer un maximum de "privacy". D'où la naissance d'un service comme ipodah que je considère être une initiative formidable.
Le problème c'est que ce service peut très bien être utilisé par des cyber criminels et comme les administrateurs d'ipodah j'ai du mal à défendre un service qui potentiellement pourrait aggraver la lutte contre la cyber-criminalité.
Mais la réalité est que le service ipodah n'est par responsable de ce phénomène. Ce sont Hadopi et la menace de Loppsi2 se profilant à l'horizon qui en sont responsable. Ipodah n'est qu'un intermédiaire technique.
Plutôt que la solution 4, je suis plutôt d'avis d'opter pour la solution 2. Mais l'autre question qui se pose est "Sous quels critères l'équipe d'Ipodah va-t-elle déterminer si tel ou tel internaute mérite d'être dénoncé ?".
A moins que ce ne soit sous la requête d'un juge pour des questions de Terrorisme ou de pédophilies je suis absolument contre. Quel serait la finalité de ce service dans le cas contraire ? Quel est le recours de l'équipe Ipodah face à un juge qui exigerait des informations d'un internaute pour telechargement illégal ?
serveur au panama pour les logs,
dellation uniquement pour les VRAI crimes.
ps:
destruction mensuelle du contenu du serveur de log,
et avertissement des condition dans le T.O.S
Vous avez une obligation légale de conservation d'un certain nombre d'information au titre de la LCEN. Vous pouvez toujours jouer sur le fait qu'il n'y a jamais eu de décrêt d'application précisant les types de données pour l'informatique et que du coup tout le monde se base sur celui concernant la téléphonie pour avoir une idée de quoi garder. Vous pouvez vous contenter de vous en tenir à un strict minimum légal (en prenant conseil auprès d'un avocat). Ce serait déjà pas mal.
Si vous faite défaut à votre obligation, vous devenez responsables devant la loi. Si vous chiffrez et que ça entraîne l'impossibilité d'accéder aux données à cause de votre configuration, c'est votre faute et c'est pareil (ne jamais sous-estimer la souplesse de la loi et la capacité d'un magistrat de détecter qu'on le prend pour un con). Si vous avez encore les données et refuser de donner les moyens de les déchiffrer, c'est une circonstance agravante. Etc.
La solution à ce casse-tête n'est pas technique. Il est de jouer au plus fin le plus longtemps possible avec la justice sans y laisser des plumes. Donc soyez certains de votre bon droit juridique et tenez-y vous fermement. Par exemple, ne rien donner sans commission rogatoire voire tant que vous n'avez pas été payé par la délégation aux interceptions judiciaires (ou établir des devis gonflés à leur intention).
PS : pour parler d'anonymat, c'est amusant mais on ne peut pas poster de commentaire anonymement sur ce blog...
La solution de "faire l'autruche" est totalement légitime, mais pose un léger problème de conscience (surtout dans le cadre de la pédo-pornographie).
La solution 2 me paraît hasardeuse, c'est l'autre extrême, je ne pense pas que ce soit une bonne idée, même si les données sont bien cryptées, et je crois qu'in en va de même pour la solution 3, qui me paraît peu réalisable (peut-être que je me trompe).
Il ne reste que la première solution, qui certes est partielle, mais permet au moins d'éviter que votre création (géniale) soit utilisé de manière totalement inacceptable, car vous n'avez pas pour vocation d'arrêter les cybers-criminels, mais d'éviter qu'ils se servent d'Idopah.
Sinon je viens de découvrir votre projet et vous fait part des mes encouragements. :)
si vous conservez des logs, vous tuez le projet dans l'oeuf. personne n'aura confiance, d'autant que des solutions suèdoises arrivent à grand pas, ou ce type de problèmatique n'existe pas.
Il est normal d'avoir de la moral, mais les pédo-sexo-délinquants ne vous ont pas attendu pour faire leur petit trafic. Freenet, Tor ; autant de solution encore plus sécurisé car crypté.
En bref la solution 4, semble très clairement la meilleure.
Déja Bravo pour tout ce que vous faites et ensuite au niveau de la protection, je pense comme tout le monde que vous n'aurez rien à vous reprocher si vous prenez la 4eme solution, faites attention quand même à ne pas tomber dans l'illégalité demandez à un avocat avant.
"En 2sec de lecture du blog des dev de IPODAH on se rend compte qu'ils n'y connaissent rien. Leur plan: les données seront apparemment loggées mais cryptées avec clef en ram, lorsque la police arrive, ils coupent le serveur et les clefs sont effacées ! Ce qui va se passer : la police arrive, ils prennent un spray d'azote pour geler la ram, ce qui leur permet de la transférer sans qu'elle ne perde ses données. De toute facon les directives européenes imposent le log. Le vpn c'est a mon avis pire que rien."
C'est ce que l'on vient de me repondre sur un forum connu. Parait que la police belge fait ca (des mecs competents en tout cas).
Une reponse du staff IPODAH ?
Moi je dis qu'ils se démerdent ; IPODAH est une réponse à la connerie du gouvernement donc perso je recommande de ne rien garder du tout. Je suis partisant de l'option 4 ! Vous proposez un service sécurisé permettant de contourner la censure et la répression, si albanel et compagnie ne sont pas contents car certains zigotos diffusent les plans du bunker de la reine d'Angleterre ou les numéros de compte de sarkozy, qu'ils aillent pleurnicher sur leurs propres actes qui en sont à l'origine. Vive la liberté, vive IDOPAH, vive le staff qui en est à l'origine !
Enregistrer un commentaire
Abonnement Publier les commentaires [Atom]
<< Accueil