« J’ai mis au jour un magnifique détournement de fonds (10 chiffres avant la virgule, en francs) [...] je n’étais pas ce que j’étais censé être et que ceux qui m’avaient confié cette mission n’étaient pas ma boite mais le »client de 1er niveau« et que je leur remettais un rapport hebdomadaire via une tierce personne dans un café). »
« PS. ma spécialité depuis 20 ans : maths, probas, stats, appliquées à l’optimisation technico-économique. Et toi ? »
je comprend mieux tes domaines d’interventions, je te voyais plus dans la hi-tech ... ma spécialité depuis un peu moins de 15 ans : informatique industrielle et électronique numérique embarquée, dans les domaines du scientifique, spacial et de moins en moins militaire (mais ça pourrait repartir prochainement )...
« Ces dérives n’en sont pas tant que la technologie est utilisée par des états de droit, respectueux de leur citoyens. »
Comme tu le dis, ce ne sont pas les moyens qui représentent une dérive mais l’utilisation éventuelle qui pourrait en être faite ... pour le moment nous n’en sommes qu’aux procès d’intention ...
Toi qui est IS tu sais bien que les SI modernes sont très largement instrumentés, ne serait-ce que pour leur optimisation, les répartitions de charge et aussi pour ajuster leur dimensionnement aux montées (ou descentes) en charge au fil des ans ...
Certes, tu as potentiellement accès à l’historisation de tout ce que font les utilisateurs sur le SI ... doit on te faire un procès d’intention pour autant ?
Savoir sur quelles plages horaires sont utilisées telles ou telles licences te peremt certes de savoir beaucoup de choses (quand arrivent les gens et quand ils bossent par exemple), mais je suppose que ton objectif n’est pas le flicage mais l’optimisation de ton parc de licences ...
idem pour les admin réseaux qui peuvent en savoir encore bien plus (les outils de supervision sont fantastiques aujourd’hui), crois tu qu’ils passent leur temps à espionner ce que font les gens ?
ne dit on pas que nous avons tous sur nous de quoi commettre un viol, cela fait-il de nous des délinquants sexuels en puissance ?
« Je reviendrai d’ailleurs sur la politique de Google en la matière. »
Google vit de la publicité, ce qui fait sa force est sa capacité de délivrer de la pub contextuelle et maintenant de plus en plus ciblée (AdWords, AdSenses) sur des profils d’ « utilisation » ... Il prélève effectivement énormément d’info sur les utilisteurs pour affiner ces profils ... mais c’est comme ça que tu paies ses services (Search, Gmail, maps, picassia, suites bureautique et autres outils « gratuits ») ... Tu es bien placé pour savoir que le développement de tous ces outils et les data centers mis en place pour les supporter (matériels et humains), coûtent très chers ...
« Ca va être un peu long à expliciter ... » : j’ai tout mon temps, je suis en congé ...
« Cela signifiait qu’il n’était pas possible sans déclaration à celle-ci et les protections qui vont avec (accès, modification, ...) d’indexer un fichier avec cette adresse comme clé. »
Ce qui est clair c’est qu’aujourd’hui les sites sont tenus par la loi (LEN) de tracer, stocker et savoir retrouver les adresses IP, et plus particulièrement tous les sites qui vendent quelque chose. Et ils le font ! Faire une inscription CNIL est enfantin et ne prend que très peu de temps ...
« Il faut voir ce que cela implique. AOL a perdu des logs de connexion à son moteur de recherche, et des amateurs ont identifié sans problème des tas de personnes physiques avec uniquement les questions posées. »
Seuls les fournisseurs d’accès peuvent faire le lien entre IP et personne physique de manière déterministe ! Franchement reconnais que retrouver une personne physique à partir fait de requêtes qu’elle aurait faite dans un moteur relève quand même du folklore (aurais-tu un lien vers un article qui parle de cela ?) ...
Forest, l’adresse IP n’est pas une donnée personnelle, tous les procès qui ont été fait pour démontrer le contraire (notament dans le domaine du P2P) on été perdus ...
PS : forest si c’est pas indiscret, quelle est ta spécialité ?
« Si la jurisprudence est confirmée, il n’y a plus de limite à l’espionnage »
Pourrais-tu me dire en quoi l’adresse IP est une « donnée personnelle » et en quoi sa diffusion ferait qu’« il n’y ait plus de limite à l’espionage » ?
Tiens prenons l’exemple d’agoravox dont l’IP est : 87.98.222.181 adressant le server ns6657.ovh.net de la société OVH (il suffit de taper « tracert agoravox.fr » dans une fenêtre de commande dos de n’importe quel PC pour avoir ces infos en quelques secondes) ...
1) crois tu que cela va te suffire à savoir qui je suis ou à m’espionner ? tu envisages peut être « plugger » un analyseur de trames IP sur l’infrastructure du provider ? et quand bien même, tu n’es pas sans ignorer que les données sensibles sont cryptées (SSL et bientôt TLS) avant d’êtres insérées dans les trames IP ... Et oui, les hackers savent bien que ce n’est pas via l’espionage des trames IP que sont récupérée les infos sensibles mais via les spywares et autres mécanismes d’espionage installé sur le poste client !
2) crois tu vraiment que connaitre l’adresse IP d’un serveur va suffir à te permettre de le pirater ? d’autant que dans le cas des serveurs d’entreprises connectés au net (les seuls « intéressants » à pirater), ils le sont tous au travers de Firewall via des mécanismes de translation d’adresse de type NAT, autrement dit les adresses IP publiques dont tu disposes sont virtuelles et ne correspondent à rien, seul l’admistrateur du Firewall qui connait les règles de translation et les utilisateurs internes les connaissent, et ne sont de toutes façons pas accessibles de l’extérieur ...
3) Idem pour les adresses IP des stations des utilisateurs connectés (toi, moi et tous les particuliers connectés au web) ... nous passons tous par des providers (ou des proxy publics, privés ou d’entreprise) qui utilisent TOUS des mécanismes d’allocation dynamique d’adresse IP de type DHCP (même ceux qui proposent des IP fixes) ... seuls les administrateurs de ces serveurs DHCP savent faire le lien entre les adresses IP et les personnes physiques auxquelles elles ont été allouées à un instant précis ...
Voila pourquoi la LEN (Loi sur la confiance dans l’Economie Numérique) exige depuis 2004 (c’est donc pas nouveau) que les providers conservent les informations des serveurs DHCP (et non le contenu des échanges, tout comme les opérateurs de téléphonie mobile sont tenus de savoir faire le lien entre tout n° et la personne physique qui l’utilise), car seule l’analyse des tables d’allocation de ces serveurs DHCP permet (sur réquisition d’un juge uniquement) de retrouver la personne physique qui utilisait cette adresse IP à ce moment précis !
Au mieux ton adresse IP (que l’on récupère dans une simple entête de mail par exemple, c’est dire si elle est confidentielle) me permettra de savoir (via un serveur RIPE) chez quel provider tu es (wanadoo, 9, club, free, ...), dans quelle pays/ville et éventuellement sur quel PAD tu es raccordé, la belle affaire !
je ne dis pas que les systémes ne sont pas espionables/piratables, mais il en faut un peut plus que l’adresse IP ...