En ce beau dimanche, je me décide à me mettre à l'heure de la vie 2.0 et de demander un avis au plus grand nombre:
je suis rendu à travailler un peu sur mon "offre" d'hébergement (bon, heu... disons que je m'auto-héberge, enfin je vais m'auto-héberger, et que je veux bien en faire profiter d'autres, dans l'esprit du RHIEN) et je m'interroge sur la partie "comment être sur de savoir qui est mon hébergé ?", en deux parties:
1. Comment l'authentifier et lui communiquer son couple login/pass ?
2. Comment être sur que l'état civil qui m'est transmis est correct ? que ce n'est pas une fausse identité endossée dans le but de commette je-ne-sais-quel crime inavouable et ensuite échapper à la justice ?
Question bonus- ce listing de mes hébergés-à-priori-coupables que je tient avec diligence à disposition du premier policier venu, doit-il être déclaré à la CNIL ? en effet je stocke quand même de la données on ne peut plus personnelle et nominative.
Mon petit cerveau fertile pensait à un échange par SMS: Au lieu d'un formulaire classique " nom/prénom/adresse/e-mail/veuillez confirmer votre mot de passe/les champs précédés d'un * sont obligatoires ", le futur hébergé me fait un petit mail avec les infos qui vont bien, et après un adduser, je lui envoie son couple login/pass par SMS au numéro qu'il m'aura préalablement indiqué, ou l'utilisateur devra m'envoyer son login/pass souhaité sur mon portable.
Les avantages:
*Canal " a priori infalsifiable", le spoof de numéro pour envoyer/recevoir du SMS doit bien exister, mais est bien, bien moins que du traficottage d'adresse IP, par exemple.
*Coordonnées durables, certains changent d'adresses e-mail tout les 4 matins, les rendant de fait injoignable, changer du numéro de GSM est un acte moins anodin, le risque de ne plus pouvoir contacter un hébergé est dimininué.
*Relié à l'état civil, à priori il n'est plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers d'identités (qu'ils soient faux est un autre problème), donc en cas de problèmes, il est toujours possible de balancer le numéro de téléphone, qui est forcément authentique, en plus de l'état civil que hébergé s'est contenté de déclarer (et qui n'est donc qu'hypothétique). La LCEN m'impose t'elle cependant de pouvoir relier (même indirectement) un hébergé et un état civil ? ou voudrais-je faire plus sécuritaire que la loi ne l'exige ?
Les inconvénients :
*Le coût:
*si je décide d'être l'émetteur des SMS, je fais quoi le jour ou 6 hébergés oublient leurs pass chaque semaine ? j'envoie plus de SMS à mes hébergés qu'à ma propre épouse ?
*Si je décide de demander aux hébergés de m'envoyer un SMS je ne pourrais pas prétendre être gratuit, puisque s'inscrire chez moi impliquera de dépenser un SMS (non surtaxé), même si je ne touche pas un kopek dans l'opération.
*Je doit tenir un listing faisant correspondre le login unix/ssh/ftp , un /home/user, un nom de domaine, un état civil déclaré, un e-mail et un numéro de téléphone, ca fait beaucoup de choses dans un même fichier, allô la CNIL ?
*confiance dans le numéro de téléphone: a priori (sauf faux papiers) un numéro de téléphone est relié à une personne physique, et il est passé dans les mœurs que le téléphone portable est un strictement personnel, ceci dit je fait quoi le jour ou l'on découvre que Mr Adolfama Ben DuTrou (le célébre terroriste pédo-nazi) à piqué le portable de son collègue de bureau juste le temps d'envoyer/recevoir le fameux login/pass par SMS?
*et ceux qui refusent de posséder un portable ? je les traite d'imbécile et je leur ferme les portes de mon service ?
Je suis preneur de toute observation de la part de gens ayant réfléchi plus avant à la question, qui ont une autre approche en tête ou qui ont les bases juridiques nécessaires pour comprendre exactement ce que me réclame la LCEN en terme de conservation de log et de vérification d'identité et ce que m'impose la CNIL en terme de respect de la vie privée et de collecte d'infos.
# ...
Posté par insert_coincoin . Évalué à 7.
Tu peux demander son avis à la CNIL, a priori elle n'a encore mangé personne :)
Pour la communication login/mdp, tu peux toujours utiliser notre fier service postal.
# Tu ne demandes rien à la CNIL
Posté par Calvin0c7 . Évalué à 7.
Tu déclares ton fichier tout simplement.
De toute façon ce qui les intéresse c'est ce que tu vas en faire de ce fichier. Si tu déclares ne pas vouloir l'échanger, le donner, le céder, le vendre mais le garder pour toi seul pour te permettre de continuer ton activité, ça ne les dérangera pas tant que :
- L'inscription à ce fichier est volontaire (ce qui sera le cas chez toi)
- Que tu indiques que la personne a le droit de consulter / modifier les informations la concernant dans le fichier.
Je l'ai fait pour une base qui stocke aujourd'hui +20 000 nom/prenom/adresse+nom des enfants et leur date de naissance. Au bout de 3 semaines j'ai dû rappeler la CNIL pour leur dire qu'ils n'avaient pas répondu à ma déclaration. La personne que j'ai eu au tel m'a dit qu'ils étaient débordé, et elle m'a validé ma déclaration pendant qu'elle me parlait, en me disant que tant que je gardais les infos pour moi il n'y avait pas de problème.
[^] # Re: Tu ne demandes rien à la CNIL
Posté par muchos (site web personnel) . Évalué à -2.
Ah la CNIL…
S'ils sont si débordés, pourquoi n'embauchent-ils pas ? Ça créerait de l'emploi dans le service public et ça les rendrait plus efficace.
Debug the Web together.
[^] # Re: Tu ne demandes rien à la CNIL
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Parce que leur budget n'est pas illimité ? La CNIL se plaint tous les ans de son budget. Les entités qui contrôlent les entreprises (médecins du travail, inspecteurs du travail, répression des fraudes, inspecteurs CNIL, brigade financière, etc.) n'ont pas trop la côte ces derniers temps, parce qu'il ne faut pas trop embêter les entreprises qui doivent produire de la croissance... Par contre, côté contrôles des particuliers et des étrangers...
[^] # Re: Tu ne demandes rien à la CNIL
Posté par muchos (site web personnel) . Évalué à 1.
+1.
Si la CNIL était indépendante, le gouvernement n'aurait même pas eu le temps de dire "LOPSI"...
Debug the Web together.
[^] # Re: Tu ne demandes rien à la CNIL
Posté par Maclag . Évalué à 7.
Usage personnel:
"Oui, je ne m'en sers que pour détecter les jeunes femmes riches diponibles (célibataires, veuves ou n'habitant plus avec leur mari). J'en profite pour scruter les personnes âgées riches, isolées et mentalement fragiles.
Vous pouvez me compléter cette déclaration vite fait s'il vous plaît?"
À se demander l'intérêt de cette référence de déclarations...
---------------> [ ]
# plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers
Posté par Ludo . Évalué à 2.
On peut acheter pour 15€ un téléphone portable préchargé, prêt à l'emploi.
Pas de papiers, rien.
[^] # Re: plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers
Posté par Thibault Taillandier . Évalué à 2.
Je suis assez d'accord avec Ludo.
Personnellement je change bien plus souvent de numéro de téléphone que d'adresse e-mail.
Mon adresse e-mail date de 2004. En 7 ans j'ai changé au moins 3 fois de numéro de téléphone.
Les méthodes des opérateurs de téléphonie sont bien plus propices au changement de numéro de téléphone que d'adresse e-mail.
Mais en même temps il est bien plus facile de se créer un compte email bidon plutôt qu'un numéro de téléphone bidon, déjà parce que c'est gratuit chez de nombreux fournisseurs de services.
[^] # Re: plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers
Posté par thy (site web personnel) . Évalué à -1.
non non, tu dois présenter ta piece d'identité au buraliste si t achetes ce genre de téléphone.
[^] # Re: plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers
Posté par Ludo . Évalué à 0.
Je ne parle pas des cartes SIM seules mais d'un téléphone presque "jetable" avec la batterie déjà chargée en vente dans les grandes surfaces. L'identification n'est obligatoire que pour le recharger.
Par contre, je me suis trompé sur le prix.
Le BIC® phone
[^] # Re: plus possible en France de contracter un abonnement à un réseau GSM sans présenter de papiers
Posté par thy (site web personnel) . Évalué à 0.
http://www.bic-phone.fr/comment_mutiliser.html
Comment m'utiliser ?
Sortez moi de ma boîte et suivez simplement les 2 étapes pour m’utiliser
1 Allumez Vous n'avez qu'à retirer la languette d'activation, appuyer ensuite sur la touche rouge pendant une seconde pour m'allumer, et voilà, je suis prêt !
2 Telephonez ! Je fonctionne immédiatement. Pas besoin de me charger ou de rentrer un code. Tapez le numéro que vous souhaitez joindre et appuyez sur ma touche verte. C'est tout !
Identifiez-vous Pour vous faire profiter de la totalité du crédit offert, il faut vous identifier.
M'identifier oui, mais comment ?
Remplissez simplement le coupon d'identification fourni dans ma boîte, glissez-le dans l’enveloppe T avec une photocopie de votre pièce d’identité et postez le tout gratuitement.
# Facebook Connect
Posté par xumelc . Évalué à 2.
T'as qu'à lier les comptes de tes hébergés à leur compte facebook, c'est l'authentification du futur !
[^] # Re: Facebook Connect
Posté par BFG . Évalué à 4.
J'ai hâte qu'on me demande mon compte Facebook plutôt que ma carte d'identité quand j'irai voter. On pourrait même voter depuis son compte Facebook et publier son vote sur son mur, après tout, "on n'a rien à cacher", non ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.