lambda 8.04
June 7, 2002
logs sous scellés
Rétrention des données
de connexion télécoms: la liste en 10 points
recommandée par Europol
Lire aussi: Lambda 8.03, vote de la directive du 30 mai 2002.
Bulletin Lambda 8.04, 7 Juin, 2002. - L'eurodéputé italien Marco Cappato (Lista Bonino, Radical), ancien rapporteur de la directive "vie privée et communications électroniques", n'ayant pas pu empêcher l'adoption de l'amendement "rétention des données" le 30 mai dernier au Parlement, décide de publier un document de travail d'EUROPOL. C'est le résultat d'un questionnaire rempli par les contacts "Enfopol" (law enforcement group) de chaque pays membre. Document qui encore, semble-t-il, à être visé par les ministres du Conseil.
Présenté le 11 avril dernier lors d'une réunion d'Europol à la Haye (Pays-Bas), il énonce des recommendations sur les types de données à conserver ("minimum" et "optionnelles"), 10 points de "requirements" à respecter pour les telcos (telephone), FAI ou FSI (internet). C'est ce document qui a inspiré (ou l'inverse?) le groupe cybercrime du G8 (document du 15 mai dernier - lambda 8.03). Sans se préoccuper du contenu des messages, il y est question de lister les références de chaque appel (numéro appelant/appelé), les identifiants, adresses de facturation, numéro de comptes bancaires associé à l'abonnement (sic), même chose pour les traces de messages SMS (date, heure, numéros composés). Encore plus fort: les coordonnées géographiques de chaque appareil mobile sont concernées. De quoi se souvenir que son téléphone GSM est un petit mouchard permanent... Vade-mecum du surveillant high-tech (lire plus loin - source zdnet).
RAPPEL: Le type et la durée de conservation seront du ressort de chaque État. Des pays comme la France, le Royaume-Uni, la Belgique, l'Allemagne et les Pays-Bas ont déjà pris des mesures législatives ou sont sur le point de le faire. En général, la durée recommandée est de douze mois, comme le prévoit déjà la LSQ française, la loi sécurité quotidienne du 15 novemlbre 2001. Les décrets d'application sont encore en attente. Ils devraient s'inspirer du document d'Europol.
ALTERN et GLOBENET en Résistance
La lettre des ONG du 28 mai reste en veille, toujours ouverte aux signatures citoyennes. &laqno;Aucun état n'a le droit de stocker de telles données intimes sur ses citoyens, sans même avoir à fournir de preuves de leurs implications dans quelque crimes ou délits que ce soit. (...) &laqno;Nous demandons à ce que le stockage de telles données par les forces de l'ordre requiert un mandat qui ne serait délivré qu'au cas par cas.»
http://stop1984.com/index2.php?lang=fr&text=letter.txt
Si la plupart des prestataires internet se conformeront aux décrets LSQ sans broncher, quelques-uns sont déjà dans la résistance (source zdnet).
Erick Aubourg, directeur de Globenet: "Il serait par exemple totalement légitime de refuser de fournir des logs SMTP" - les logs SMTP permettent d'élaborer un journal du serveur de messagerie où sont notamment enregistrés le numéro d'identifiant du message (msgid), son expéditeur et son destinataire. "La liste des données concernées est aussi aberrante qu'inacceptable. Que dirait l'expéditeur d'un courrier postal si on lui demandait son identité lors de l'envoi, si le guichetier notait la date et l'heure de l'envoi, le destinataire, et se renseignait sur le sujet de la correspondance?" Globenet s'engage pour l'instant à ne stocker aucune donnée de connexion (les logs sont détruits tous les soirs).
Valentin Lacambre, gérant de l'hébergeur / FAI Altern.org: "Altern.org a decidé, conformément à l'appel du 6 juin lancé par l'association Reporters sans frontières, de refuser, même s'il devait à l'avenir s'agir d'une disposition légale, de collecter pour chaque courrier électronique reçu, l'email émetteur, l'email récepteur et le sujet du message; la collecte de telles données étant de toute évidence une atteinte inacceptable au principe démocratique du secret de la correspondance privée".
Jean-Baptiste Le Toquin (syndicat professionnel AFA): &laqno;C'est un document de travail qui est encore très loin d'être opérationnel. La liste qui est proposée dans ce document est clairement inapplicable en l'état. Conserver la trace de l'intégralité des mails échangés est, par exemple, utopique même si on ne conserve pas le contenu des messages, sauf à ce que la priorité politique ne soit plus le développement de la société de l'information mais son dynamitage. (...) Pour conserver un océan de données, il faut avoir les outils d'exploitation et les policiers techniciens qui vont avec. À ce jour nous n'avons pas les outils, et les États n'ont pas les hommes. L'interception ponctuelle et individuelle des communications électroniques, qui ne requiert pas de stockage, semble (...) la méthode d'investigation qui a le plus grand d'avenir (...) pour des raisons évidentes d'efficacité technique et de protection judicaire des citoyens.»
surveillance générale et exploratoire en 10 points
+ Les points de 1 à 6 (spécifiques au protocole internet) sont issus d'une liste publiée officiellement (lire ici) par un comité d'experts du Groupe des 8 pays les plus industrialisés (G8), le 15 mai 2002. http://www.g8j-i.ca/french/doc3.html
+ Une liste plus détaillée, qui émane d'une réunion préalable qui s'est tenue le 11 avril à la Haye, siège de l'office européen de coopération policière (Europol), complète le listing du G8 (points 7 à 10). Document révélé par le parti radical italien:
>> Original HTML en anglais: lambda 8.04
Expert meeting on cyber crime: Data retention
Date 11 April 2002 10h00 - 17:00
Europol Building, Raamweg 47, The Hague
Chair: Europol (to be decided)
DRAFT AGENDA
Closed session: discusion amongst experts from Law Enforcement
(...)
3. Data retention:
- presentation regarding outcome of the questionnaire (Nicole. D. Europol)
- proposal for common European Union law enforcement viewpoint (Experts to comment and agree to proposal when appropriate) 4. Creationg a common and standard template for asking information of ISP/telephone companies
(Experts to comment and agree to proposal when appropriate)
(...)
[Document G8]
1. Système d'accès au réseau (SAR)
Minimum
- journaux d'accès particuliers aux serveurs d'authentification et d'autorisation comme TACAS+ ou RADIUS (Remote Authentification Dial-in User Service) utilisés pour contrôler l'accès aux routeurs IP ou aux serveurs d'accès au réseau.
- date et heure de connexion du client au serveur
- ID utilisateur
- adresse IP assignée
- adresse IP du SAR
- nombre d'octets transmis et reçus
- identification de la ligne appelante (ILA).
Optionnelle
Numéro de carte de crédit, numéro de compte bancaire du paiement de l'abonnement
2. Serveur de courriel
Minimum
- journal SMTP (Protocole de transfert de courrier simple)
- date et heure de connexion du client au serveur
- adresse IP de l'ordinateur d'envoi
- message-ID (msgid)
- expéditeur (login@domain)
- destinataire (login@domain)
- indicateur de situation
- journal du POP (Post Office Protocol) ou du IMAP (Protocole d'accès message Internet)
Optionnelle
- date et heure de connexion du client au serveur
- adresse IP du client connecté au serveur
- ID utilisateur
- dans certains cas, renseignements sur le courriel récupéré
3. Serveurs de téléchargement en amont et en aval
- journal FTP (Protocole de transfert de fichier)
- date et heure de connexion du client au serveur
- adresse IP de la source
- ID utilisateur
- chemin et nom de fichier des données téléchargées vers l'amont ou l'aval
4. Serveurs Web
Minimum:
- journal HTTP (protocole de transfert hypertexte)
- date et heure de connexion du client au serveur
- adresse IP de la source
- transaction (c.-à-d. commande GET)
- chemin de la transaction (pour récupérer la page html ou l'image)
Liste optionnelle:
- dernière page visitée
- codes de réponse
5. Réseau USENET
- journal NNTP (Network News Transfer Protocol)
- date et heure de connexion du client au serveur
- ID du processus (nnrpd[NNN...N])
- nom d'hôte (nom du serveur de nom de domaine (DNS) de l'adresse dynamique IP assignée)
- activité de base du client (sans contenu)
- message-ID du message livré
6. Service de bavardage Internet
Minimum:
- journal IRC
- date et heure de connexion du client au serveur
- durée de la séance
- surnom utilisé pendant la connexion IRC
- nom d'hôte ou adresse IP ou les deux
Optionnelle
- Copie du contrat
- Numéro de compte bancaire / carte de crédit du paiement
[Document Europol - réunion du 11 avril 2002]
7. Données devant être conservées par les compagnies de téléphone pour les abonnés de lignes fixes
A. Liste minimum:
- numéro appelé même si appel n'aboutit pas
- numéro appelant même si appel n'aboutit pas
- date et heure du début et de la fin de la communication
- type de communication (entrant, sortant, liens vers des services, appels conférence)
- dans le cas d'appels conférences ou de liens vers des services, tous les numéros intermédiaires
- infos à la fois sur l'abonné et sur l'usager (nom, date de naissance, adresse)
- adresse où est envoyée la facture
- dates de début et de résiliation de l'abonnement - type de communication que l'usager utilise (normal, RNIS, ADSL, etc., et s'il s'agit d'une com à double voie ou pour recevoir seulement)
- [souligné/gras dans le texte] Numéro appelé... (Forwarded called number)
- La durée de l'appel
- Numéro de compte bancaire / autre modes de paiement
B. Liste optionnelle:
- Copie du contrat
- [souligné/gras] Pour améliorer les méthodes d'investigation, les compagnies de téléphone ["Telcos" dans le texte] devraient être capable de distinguer la nature de la télécommunication: voix/modem/fax, etc.
8. Données devant être conservées par les compagnies de téléphone pour les abonnés de lignes mobiles / satellites
A. Liste minimum:
- numéro appelé même si appel n'aboutit pas
- numéro appelant même si appel n'aboutit pas
- date et heure du début et de la fin de la communication
- type de communication (entrant, sortant, liens vers des services, appels conférence)
- dans le cas d'appels conférences ou d'appels vers des services, tous les numéros intermédiaires
- infos à la fois sur l'abonné et sur l'usager (nom, date de naissance, adresse)
- numéros IMSI et IMEI [identifiant les combinés mobiles]
- adresse où est envoyée la facture
- dates de début et de résiliation de l'abonnement
- identification de l'appareil utilisé par le destinataire de l'appel
- identification et lieu géographique des cellules [hertziennes] utilisées pour relier le destinataire (appelé et usager appelé) sur le réseau de télécommunications
- coordonnées géographiques de l'emplacement de la station au sol du réseau mobile
- service WAP
- service SMS (date et heure des messages entrants et sortants, numéro composé)
- service GPRS
- dans le cas d'appels conférences ou de liens vers des services, tous les numéros intermédiaires
- [souligné/gras] Numéro appelé... (Forwarded called number)
- Durée de l'appel
- Numéro de compte bancaire / autres moyens de paiement
- Les réseaux GPRS et UMTS étant basé sur [le protocole], par conséquent toutes les données mentionnées ci-dessus (comme les adresses IP) devraient être conservées.
B Liste optionnelle:
- Copie du contrat
- [souligné/gras] Pour améliorer les méthodes d'investigation, les compagnies de téléphone ["Telcos" dans le texte] devraient être capable de distinguer la nature de la télécommunication: voix/modem/fax, etc.
9. Format des numéros
Tous les numéros de téléphone (à la fois pour les ISP que pour les compagnies de téléphone) devraient être décrits par:
- Code pays
- Code local [area number]
- Numéro d'abonné
[souligné/gras] Toutes les informations en code ASCII avec des séparateurs de tabulation et les retours de transport [carriage return] - certains services pouvant permettre aux usagers de se connecter à l'ISP via des numéros gratuits, par conséquent la structure de ce numéro est demandée
10. Temps synchronisé
- Les opérateurs de télécommunications, les fournisseurs d'accès internet et les fournisseurs de services internet doivent synchroniser leurs serveurs avec l'heure de leur pays [de résidence] dotée de spécifications GMT.
RESSOURCES
+ Europol: Original PDF version:
http://www.radicalparty.org/europol/europol.pdf
+ G8 / Public release after the May 13-14 meeting:
http://www.g8j-i.ca/english/chair.html
+ G8 / "Principles on the Availability of Data Essential to Protecting Public Safety"
http://www.g8j-i.ca/english/doc3.html
+ G8 / "Recommendations for Tracing Networked Communications "
http://www.g8j-i.ca/english/doc2.html
©left bulletin lambda
Juin 2002
Contact
I home I abonnement