Wi-Fi en accès libre : la CNIL contrôle, épingle et recommande

Wi-Fi en accès libre : la CNIL contrôle, épingle et recommande

Accès libre, mais pas pour tout le monde

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

22/12/2014 3 minutes
15

Wi-Fi en accès libre : la CNIL contrôle, épingle et recommande

La CNIL vient de publier le bilan de son contrôle « Internet et Wi-Fi en libre accès ». La Commission pointe plusieurs manquements et propose cinq mesures afin que chacun puisse se mettre en conformité.

Chaque année, la CNIL procède à de nombreux contrôles, mais depuis quelques mois, elle peut aussi les réaliser directement en ligne. Elle a donc décidé d'ajouter une nouvelle thématique à son bilan annuel, concernant l'accès à internet en libre accès. La Commission des libertés précise que cela peut concerner les connexions « au restaurant, à l'hôtel ou dans les bibliothèques », ce qui correspond donc aussi bien à des organismes privés que publics. 

Cette analyse porte sur plusieurs points : le type de données collectées, leur conservation, le niveau d'information des utilisateurs ainsi que la qualité des mesures de sécurité qui y sont associées. Le résultat est sans appel : « la plupart de ces services ne satisfont pas aux exigences de la loi "Informatique et Libertés" ». Aucun détail n'est malheureusement donné pour le moment concernant les établissements contrôlés et leurs manquements respectifs.

Quoi qu'il en soit, la CNIL en profite pour rappeler les mesures à adopter afin de se mettre en conformité : 

  • Ne conserver que les données de trafic répondant aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales  » et pas le contenu des correspondances ainsi que les informations consultées (URLs).
  • Définir une durée de conservation des données « limitée et proportionnée ». Le code des postes et des communications électroniques prévoit ainsi une durée d'un an à compter de leur enregistrement.
  • Fournir une information complète sur les traitements de données. Or, celle-ci n'est « pas toujours satisfaisante, voire inexistante ».
  • Veiller à la conformité des outils surveillance. Certains vont en effet trop loin (consultation ou prise en main à distance, contrôle de l'historique de la navigation, etc.) et sont « susceptible de donner accès à un grand nombre d'informations excessives au regard de la finalité pour laquelle elles sont collectées ».
  • Enfin, assurer la confidentialité et la sécurité des données. 

Ce dernier point est d'ailleurs relativement important et fait référence à plusieurs lacunes chez certains, à commencer par l'absence de chiffrement des réseaux Wi-Fi. Mais la CNIL en profite aussi pour rappeler qu'il faut protéger par mot de passe (qui doit être suffisamment complexe) l'accès au BIOS/UEFI des machines et empêcher de les démarrer via un autre système d'exploitation, installé sur une clé USB par exemple.

Les journaux de connexion doivent également être sécurisés afin d'éviter que tout le monde puisse y accéder, tandis que les documents en attente d'impression ne doivent pas être stockés plus de « quelques minutes » afin de préserver leur confidentialité. Reste maintenant à voir si d'autres contrôles seront de nouveau effectués afin de vérifier la mise en conformité des établissements qui ne proposaient pas une gestion suffisamment correcte des données personnelles, et si des sanctions seront prises si tel n'est pas le cas.

15

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (15)


Avant, on pouvait laisser son Wi Fi ouvert, non “sécurisé”. Quiconque déménageait, galérait avec son accès internet, ou l’accès d’un hôtel, pouvait espérer avoir du Wi Fi dans le voisinage.

 

Mais ça, c’était avant.








Groumfy a écrit :



Avant, on pouvait laisser son Wi Fi ouvert, non “sécurisé”. Quiconque déménageait, galérait avec son accès internet, ou l’accès d’un hôtel, pouvait espérer avoir du Wi Fi dans le voisinage.

 

Mais ça, c’était avant.







Viens dans le pas-de-calais alors … toutes les deux rues, tu as au minimum un accès non sécurisé !



Sans compter que ces criminels de Numéricable filent toujours des modems avec la Wifi activée par défaut en WEP… et tatie Simone ne change jamais les paramètres d’usine. <img data-src=" />


La recommandation de la CNIL concernant les mots de passe est idiote.

1Ud’laev2 est pour le moins difficile à retenir. Et 8 caractères, c’est un peu court.



La phrase qui en est à l’origine, “Un utilisateur d’Internet averti en vaut deux”, fait un bien meilleur mot de passe.


P’tet aussi que si on démocratisait l’ option “voir le mot passe” au moment de la frappe (et pas avoir seulement le mode invisible, étoiles ou points), ca aiderait pour taper ce genre de passphrase a rallonge.


Est-ce qu’un établissement proposant un accès Wifi peut ne rien enregistrer? Cela leur simplifierait la tâche… <img data-src=" />


Il y a une directive européenne qui oblige a garder les log au moins 6 mois…

Je gère un vpn avant et je ne pouvais pas proposer légalement du sans logs.








Silly_INpact a écrit :



Est-ce qu’un établissement proposant un accès Wifi peut ne rien enregistrer? Cela leur simplifierait la tâche… <img data-src=" />





Et qui est responsable quand un gus fait n’importe quoi avec la connexion &nbsp;? ..

Les logs sont chiants mais c’est pas obligatoire pour rien. D’ailleurs dans la majorité des cas, les établissements proposant un accès publique passent par des prestataires externes genre SpotCoffee qui s’occupent de tout l’aspect légal.









trevisev a écrit :



La recommandation de la CNIL concernant les mots de passe est idiote.

1Ud’laev2 est pour le moins difficile à retenir. Et 8 caractères, c’est un peu court.



La phrase qui en est à l’origine, “Un utilisateur d’Internet averti en vaut deux”, fait un bien meilleur mot de passe.





42 caractères à taper sans faute avec un smartphone cheap, il doit falloir environ 1/4h…









kvasir a écrit :



42 caractères à taper sans faute avec un smartphone cheap, il doit falloir environ 1/4h…





On ne rappelera jamais assez cet excellent comic d’XKCD à propos des mots de passe.









127.0.0.1 a écrit :



P’tet aussi que si on démocratisait l’ option “voir le mot passe” au moment de la frappe (et pas avoir seulement le mode invisible, étoiles ou points), ca aiderait pour taper ce genre de passphrase a rallonge.





Mais grave !

J’y reflechissais y’a pas si longtemps, le coup des etoiles/points pour cacher le mot de passe, c’est une forme de securite psychologique: on donne l’impression de la securite, en disant a l’utilisateur: “t’as vu ? on a cache ton mot de passe ? nous on est trop forts !”.



Au final, ca sert a que dalle !

Le coup du mec qui lit le mot de passe par dessus l’epaule ? Bah deja si le mot de passe est complique (comme le suggere la CNIL) un etre humain normal n’arrivera pas a le memoriser en live.



Attention, si vous faites référence à ce très bon XKCD, il fait bien l’hypothèse que les mots sont choisis indépendament. Si on prend une phrase “en bon français”, les propriétés statistiques de dépendance&nbsp; entre les mots (article avant un nom, …) réduisent furieusement l’entropie du mot de passe. Il devient alors beaucoup plus simple à attaquer avec une approche par dictionnaire.



C’est tout le problème avec les statistiques (et la cripto-analyse), les facteurs de complexité sont rarement là où on pense qu’ils sont …




Ne conserver que les données de trafic répondant aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales »





Ce serait bien d’indiquer clairement les données techniques nécessaires aussi…





Fournir une information complète sur les traitements de données.





Même remarque.







Faudrait déjà que tout ça soit moins vague, le code des postes et des communications électroniques n’aide franchement pas…








tuorhuor a écrit :



Ce serait bien d’indiquer clairement les données techniques nécessaires aussi…







Même remarque.







Faudrait déjà que tout ça soit moins vague, le code des postes et des communications électroniques n’aide franchement pas…





Et le décret associé, il n’est pas plus précis? Parce que le CPCE renvoie tout le temps vers “ Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, détermine,(…), ces catégories de données et la durée de leur conservation(…).”









Silly_INpact a écrit :



Est-ce qu’un établissement proposant un accès Wifi peut ne rien enregistrer? Cela leur simplifierait la tâche… <img data-src=" />





Relis la première recommandation :



«&nbsp;besoins de la recherche, de la constatation et de la poursuite des infractions pénales&nbsp;&nbsp;»



Tu fais comment, si tu n’enregistres rien ?