Weblogpack vous a à l’oeil
Approfondissons un peu le fonctionnement du Weblogpack en vous présentant un exemple de log :
Aug 16 11:20:41 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
Aug 16 11:21:26 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 006789661757740, 00:25:00:4c:9e:05, 192.168.3.198
Aug 16 11:23:29 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Aug 16 11:34:48 ANantes-xxxxxx logportalauth[3106]: TIMEOUT: 00635456876177740, 00:25:00:4c:9e:05, 192.168.3.198
Aug 16 11:39:59 ANantes-xxxxxx logportalauth[3656]: TIMEOUT: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
Aug 16 12:23:33 ANantes-xxxxxx logportalauth[8581]: TIMEOUT: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Aug 16 12:24:03 ANantes-xxxxxx logportalauth[444]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Pour une question évidente de discrétion, nous avons remplacé l’adresse IP de notre client par des « xxxxxxx »… Vous aurez par contre compris qu’il se situait en région Nantaise : « ANantes-xxxxxx » indique l’adresse IP attribuée par son fournisseur d’accès à sa connexion, facile donc à identifier en cas de réquisition judiciaire…
Plongeons-nous dans les détails : le 16 août à 11:20 et 41 secondes, soyons précis lol, l’utilisateur du coupon d’accès 1218778969315756 s’est connecté (les codes ont bien entendu été changés, inutile de les essayer 😉 ).
Sa carte WiFi utilise l’adresse MAC 00:1b:9e:06:c9:f2 et l’IP 192.168.3.244 lui a été attribuée par le Wifipak chargé de la supervision des accès. Une déconnexion par timeout a été effectuée à 11h39 et 59 secondes : là encore on retrouve l’adresse IP locale et l’adresse MAC.
Résumons :
nous savons que sur internet, nous avions la connexion ANantes-xxxxxx, que l’utilisateur à 11h20 avait une adresse MAC 00:1b:9e:06:c9:f2 et l’ip locale 192.168.3.244.
Cherchons un peu le contenu des sites visités vers 11h20 et nous trouvons :
Aug 16 11:20:16 ANantes-xxxxxxxxxx pf: 5. 151592 rule 46/0(match): pass in on vr0: (tos 0x0, ttl 128, id 53946, offset 0, flags [DF], proto TCP (6), length 52) 192.168.3.244.4650 > 217.12.5.161.80: S, cksum 0xee4e (correct), 3523737851:3523737851(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
217.125.161 port 80 nous dirige sur Yahoo, plus exactement sur le login d’un compte Yahoo.com : notre utilisateur a donc vraisemblablement consulté ses emails. Toutefois, Weblogpack ne capture PAS les données échangées : seuls les adresses IP des sites visités sont enregistrées ! Il est donc impossible de voir les contenus d’un email, les discussions MSN, etc…
Vous l’aurez compris, en cas de réquisition judiciaire, Weblogpack vous dédouane de tout soupçon, montrant clairement qui a fait quoi, comment, sur quel site, avec quel port (protocole) et quelle adresse MAC. Il est alors simple de prouver que vous n’êtes pas le coupable initialement désigné, simplement en laissant l’autorité judiciaire étudier votre disque dur Weblogpack !
Un commentaire
Les commentaires sont fermés.