Hotspot : droits et devoirs ?

Parblog

Difficile de s’y retrouver dans les obligations légales et les obligations « accessoires » pour qui veut installer un hotspot.

N’étant pas juriste, je ne rentrerai pas dans des détails et des nuances qui échapperont à la grande majorité des exploitants de hotspot. Vous pourrez toutefois retrouver un article daté sur Avocat Blog, traitant de ce délicat sujet, mais daté de 2007, donc à prendre avec des pincettes sans doute.

S’il fallait résumer rapidement, il vous faut simplement pouvoir identifier l’utilisateur de votre hotspot, soit via le coupon d’accès que vous lui aurez délivré (associé à une chambre d’hôtel par exemple ou à un bungalow de camping), soit via l’adresse MAC de l’ordinateur utilisé (falsifiable à volonté pour qui s’y connait un peu…), soit en ayant pris soin de copier sa carte d’identité : Big Brother nous voilà, mais la loi reste la loi, et l’exploitant peut être condamné s’il ne peut fournir les informations de connexion.

Votre obligation sera donc de pouvoir montrer patte blanche en cas de contrôle, prouvant que vous n’êtes pas la source du trafic internet incriminé, à charge pour les services de police de rechercher le véritable auteur, ce n’est pas là votre rôle.

Enregistrer, c’est donc le rôle de notre module Weblogpack, relié à tout module WiFi intégrant un client syslog (simplifions là encore : syslog est le format de communication des données), dont notre Wifipak.

Weblogpack va enregistrer tout un tas d’informations comme cela avait été présenté dans un billet en Août 2009 :

=========================

Approfondissons un peu le fonctionnement du Weblogpack en vous présentant un exemple de log :

Aug 16 11:20:41 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
Aug 16 11:21:26 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 006789661757740, 00:25:00:4c:9e:05, 192.168.3.198
Aug 16 11:23:29 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Aug 16 11:34:48 ANantes-xxxxxx logportalauth[3106]: TIMEOUT: 00635456876177740, 00:25:00:4c:9e:05, 192.168.3.198
Aug 16 11:39:59 ANantes-xxxxxx logportalauth[3656]: TIMEOUT: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
Aug 16 12:23:33 ANantes-xxxxxx logportalauth[8581]: TIMEOUT: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
Aug 16 12:24:03 ANantes-xxxxxx logportalauth[444]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201

Pour une question évidente de discrétion, nous avons remplacé l’adresse IP de notre client par des « xxxxxxx »… Vous aurez par contre compris qu’il se situait en région Nantaise : « ANantes-xxxxxx » indique l’adresse IP attribuée par son fournisseur d’accès à sa connexion, facile donc à identifier en cas de réquisition judiciaire…

Plongeons-nous dans les détails : le 16 août à 11:20 et 41 secondes, soyons précis lol, l’utilisateur du coupon d’accès 1218778969315756 s’est connecté (les codes ont bien entendu été changés, inutile de les essayer ;-) ).
Sa carte WiFi utilise l’adresse MAC 00:1b:9e:06:c9:f2 et l’IP 192.168.3.244 lui a été attribuée par le Wifipak chargé de la supervision des accès. Une déconnexion par timeout a été effectuée à 11h39 et 59 secondes : là encore on retrouve l’adresse IP locale et l’adresse MAC.

Résumons :

nous savons que sur internet, nous avions la connexion ANantes-xxxxxx, que l’utilisateur à 11h20 avait une adresse MAC 00:1b:9e:06:c9:f2 et l’ip locale 192.168.3.244.

Cherchons un peu le contenu des sites visités vers 11h20 et nous trouvons :

Aug 16 11:20:16 ANantes-xxxxxxxxxx pf: 5. 151592 rule 46/0(match): pass in on vr0: (tos 0×0, ttl 128, id 53946, offset 0, flags [DF], proto TCP (6), length 52) 192.168.3.244.4650 > 217.12.5.161.80: S, cksum 0xee4e (correct), 3523737851:3523737851(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>

217.125.161 port 80 nous dirige sur Yahoo, plus exactement sur le login d’un compte Yahoo.com : notre utilisateur a donc vraisemblablement consulté ses emails. Toutefois, Weblogpack ne capture PAS les données échangées : seuls les adresses IP des sites visités sont enregistrées ! Il est donc impossible de voir les contenus d’un email, les discussions MSN, etc…

Vous l’aurez compris, en cas de réquisition judiciaire, Weblogpack vous dédouane de tout soupçon, montrant clairement qui a fait quoi, comment, sur quel site, avec quel port (protocole) et quelle adresse MAC. Il est alors simple de prouver que vous n’êtes pas le coupable initialement désigné, simplement en laissant l’autorité judiciaire étudier votre disque dur Weblogpack !

=========================

Weblogpack se branche et s’oublie, vous y avez bien évidemment accès mais ce n’est pas l’idée : il tourne tout seul, compacte les logs fournis par vos différents modules, les organise dans des répertoires séparés (un par module WiFi enregistré) et détruit les logs les plus anciens. Cerise sur le gâteau, il peut aussi héberger quelques pages html pour présenter votre activité à vos clients, leur transmettre des informations, etc.

Alors oui, vous allez me dire que c’est contre votre idée d’un accès WiFi gratuit, que c’est du flicage, de l’espionnage, et vous aurez en partie raison. Seulement la loi existe, et dans une économie qui se tourne de plus en plus vers le numérique, il y a fort à parier qu’elle sera de plus en plus appliquée : autant prendre les devants pour ne pas avoir de surprises 😉

Et puis n’oubliez pas que syslog n’est pas uniquement là pour les hotspots : il peut aussi enregistrer les différents évènements systèmes qui viennent pimenter la vie de vos modules : démarrage, connexion de l’administrateur ou d’un utilisateur, attribution d’adresses DHCP, etc. C’est aussi un formidable outil pour observer le comportement de vos modules, un outil que les administrateurs réseaux apprécieront sans doute à sa juste valeur.

Publications similaires

  • RATV : surfez dans le métro parisien ?

    Parblog

    Un curieux réseau WiFi semble faire son apparition dans le métro parisien, sur la ligne 9 entre Nation et Montreuil : RATV Ce réseau propose l’accès à un portail d’informations, de bandes annonces, etc. Il ne semble pas activé en permanence mais augure une évolution technologique dans ce monde sous-terrain, avec une façon originale de faire patienter les voyageurs comprimés 😉 Source : Gizmodo.fr

  • RouterOS : déconnexion forcée des utilisateurs Hotspot

    Parblog

    Si vous utilisez RouterOS de Mikrotik, il peut parfois être utile de supprimer manu-militari tous les utilisateurs d’un hotspot WiFi. Voici un script qui le permet : :foreach i in=[/ip hotspot active find] do={ /ip hotspot active remove $i; } /ip hotspot cookie remove [find where user!=1] /ip hotspot set profile=hsprof2 0; } De plus, ce script efface tous les cookies éventuellement présents et bascule le hotspot sur un profile alternatif, ici appelé hsprof2, permettant de modifier la page d’accueil du…

  • |

    Une rallonge d’antenne

    Parric

    Là encore, une question revient fréquemment, surtout pour les antennes omni7, des omnidirectionnelles avec embase magnétique et 7 dBi de gain : peut-on rallonger le cordon de liaison ? Oui, techniquement on peut, on peut le faire sur 100 m si vous le souhaitez, mais quel intérêt allez-vous en tirer ? Voilà LA question à vous poser. En effet, le fonctionnement de votre liaison WiFi ou vidéo est déterminé par le gain de l’antenne et les pertes en ligne dans…

  • Le WiFi en bateau ?

    Parblog

    Les beaux jours arrivent, et les demandes de nos clients-navigateurs aussi : comment faire pour utiliser la borne WiFi du port ou de tel ou tel commerce alors que je mouille mon Yacht ou mon dinghy à 400 m de là ? Il y a une chose à prendre en considération : l’eau et le WiFi ne font pas bon ménage, cela a été dit et répété maintes et maintes fois sur ce blog ! Par conséquence, abstenez-vous de dépenser…

  • AirRouter : AirOS dans un routeur

    Parblog

    Ubiquiti lance quelques nouveautés en cette période estivale, dont AirRouter, un routeur muni du désormais célèbre firmware AirOS, à destination des particuliers ou des petites & moyennes entreprises : Le module n’a rien de bien sorcier, si ce n’est un design épuré et particulièrement lisse. Il dispose de 4 ports ethernet, un port USB et un port WAN. En WiFi, vous fonctionnerez en 802.11n mono-bande, sur 2.4 GHz exclusivement, avec un débit maximum annoncé à 150 Mbps et des antennes…

  • Hérouville-Saint-Clair : adieu WiFi

    Parric

    La ville d’Hérouville-Saint-Clair a décidé de se protéger du WiFi en le désactivant dans ses écoles d’ici la fin de l’année. Ce choix a toutefois un coût pour la collectivité : 15 000 € pour basculer sur des solutions filaires, déconnectant les écoles du réseau sans -fil distribué depuis la Mairie. La ville a en outre adhéré à Robin des toits et à la CRIIREM. Source : Top-Logiciel, Ouest-France. Agrandir le plan