Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l'Intérieur

Sous l'aiguillon de la CNIL
Droit 3 min
Blocage par erreur chez Orange : Lionel Tardy demande des comptes à l'Intérieur
Crédits : Ministère Intérieur (et Megan Strickland)

Le 17 octobre, Orange a bloqué Google, Wikipedia et d’autres sites pour apologie du terrorisme. Le député Lionel Tardy demande désormais des comptes au ministère de l’Intérieur.

Un décret de février 2015 permet à la place Beauvau d’adresser régulièrement une liste noire de sites à bloquer aux fournisseurs d’accès français. Dans cette procédure sans juge a priori, les FAI, n’ont pas d’autres choix : une fois cette liste non publique en main, ils doivent alors rediriger les visiteurs des sites litigieux vers l’adresse IP du ministère qui explique les raisons du blocage (apologie ou incitation au terrorisme, pédopornographie).

Voilà pour la théorie.

Mi-octobre, ces rouages bien huilés ont grincé chez Orange. Suite à « une erreur humaine », un cafouillage s’est produit lors de l’actualisation de la liste noire. Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH. Il y aurait même une centaine de sites frappés par ce « fail » selon les informations données par le ministère, lors d’une réunion interne. 

Le 18 octobre, l’Intérieur a communiqué sur l'incident : il a demandé des clarifications à Orange sur l'incident. Surtout, le même ministère a exigé de son prestataire technique « l’effacement définitif » des adresses IP collectées à des fins statistiques lors des consultations de la page de redirection.

Quelles ont été les données glanées dans la page de redirection ? 

Cette précision a suscité la curiosité du député Lionel Tardy qui vient de questionner Bernard Cazeneuve sur « le périmètre des données traitées » par la page de redirection. Et notamment sur « la conservation ou non de l'URL complète émise par le navigateur de l'Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».

Il se souvient à cette occasion que dans son avis sur le décret de février 2015, la CNIL « relevait que le cadre juridique actuel ne permet ni la collecte ni l'exploitation [par l’Intérieur], des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'Intérieur ».

Certes, la CJUE a récemment estimé que la conservation des adresses IP pour lutter contre les cyberattaques était possible pour l’exploitant, mais cette modalité doit être prévue par les textes. Or, le doigt sur la législation française, le député constate qu’« il n'existe à ce jour aucune obligation spécifique de conservation à la charge d'un exploitant de service Internet de l'adresse IP de ses visiteurs ou utilisateurs ». De fait, l’obligation de conservation des données d'identification ne concerne que la création et la modification des contenus en ligne. Pas la consultation.

La CNIL a-t-elle autorisé un tel traitement ?

Du coup, il demande au ministère de clarifier « la portée des obligations de conservation des données de connexion pour les exploitants de sites Internet, et savoir si l'adresse IP des visiteurs fait partie des données devant être conservées ». De même, il veut savoir si le traitement de données en vigueur sur la page de redirection « a bien fait l'objet d'un examen préalable par la CNIL, et dans l'affirmative quelles sont les raisons qui motivent l'absence de publication de l'avis ».

Précisons enfin que la CNIL autorise les mesures de fréquentations sans recueil préalable du consentement de l’internaute. Seulement, celui-ci doit alors profiter « d’une information claire et complète » sur ce traitement, tout en bénéficiant de la possibilité de s’y opposer. Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.

47 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/11/16 à 08:30:35

il a pas tardy à se manifester lionel

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 02/11/16 à 08:31:29

:bravo:

en plus on est même pas 'dredi

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 02/11/16 à 08:45:29

L'un des élus que je trouve qui à un peu de jugeote, et qui change pas trop d'avis de mémoire.:craint:

Avatar de oursgris Abonné
Avatar de oursgrisoursgris- 02/11/16 à 08:46:39

ca m'étonne qu'ils n'aient pas à payer une compensation de perte de ca aux différents sites, pour la pub & l'image
ma foi, c'est quand même autre chose qu'un équipement réseau qui flanche
c'est un blocage validé par un humain (certes erroné)

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 02/11/16 à 08:54:48

Mouais, réponse dans 2 ans qui dira de pas s'inquiéter, que tout est sous contrôle et que c'est la faute du gouvernement précédent

Avatar de Obidoub INpactien
Avatar de ObidoubObidoub- 02/11/16 à 09:02:28

Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.

Du coup ça fait des IP en 1.2.*.* non ?
C'est vrai que la geoloc doit être beaucoup plus compliquée.

Édité par Obidoub le 02/11/2016 à 09:03
Avatar de RisingForce INpactien
Avatar de RisingForceRisingForce- 02/11/16 à 09:03:21

Et notamment sur « la conservation ou non de l'URL complète émise par le navigateur de l'Internaute

Question très pertinente:
 
Avec Google en page d'accueil par défaut, chargé depuis le cache.
L'abonné ne se rend pas compte que Google est coupé avant de valider sa recherche.

Le ministère peut récupérer toutes leurs requêtes.:incline:

Avatar de RedWave Abonné
Avatar de RedWaveRedWave- 02/11/16 à 09:09:20

He wasn't Tardy to the Party ?

Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 02/11/16 à 09:10:39

Et notamment sur « la conservation ou non de l'URL complète émise par le navigateur de l'Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».  Perso j'utilise un plugin sur chromium qui dégage le header "referer" de toutes les requetes, tranquille comme ça. 
 

Obidoub a écrit :

Du coup ça fait des IP en 1.2.*.* non ?
C'est vrai que la geoloc doit être beaucoup plus compliquée.

   Voir même impossible, il manque littéralement la moitié des informations.   

Edit : le champ de saisie de com sur NX est vraiment pète couille à virer les retour à la ligne !!!

Édité par Liara T'soni le 02/11/2016 à 09:13
Avatar de MaybeFish INpactien
Avatar de MaybeFishMaybeFish- 02/11/16 à 09:11:19

J'aime toujours autant les questions de Monsieur TARDY :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 5