Sécurité

La sécurité de votre hotspot WiFi passe avant toute chose par une mise en conformité avec la législation française, en enregistrant toutes les connexions effectuées via votre connexion internet. C’est le rôle du gestionnaire d’accès Wifipak de transmettre les connexions à l’enregistreur automatisé Weblogpack.

Il n’est pas nécessaire de demander le nom et prénom. Seules les personnes habilitées peuvent vous forcer à demander une pièce d’ identité. Ex : forces de police, de gendarmerie.

Informations recueillies :

  • ⇒  Adresses MAC
  • ⇒  Heure et date des connexions
  • ⇒  Adresse IP des sites distants
  • ⇒  Protocole utilisé

Pour plus de détail sur les obligations légales, consultez le décret sur Léfifrance en cliquant ici.

Retenir les connexions, c’est la raison d’être de notre module Weblogpack, un enregistreur compact destiné à se relier à Wifipak ou à tout autre module utilisant le protocole syslog client.

Le principe de connexion physique est le suivant :

schema-hotspot-wifipak-weblogpack-borne-wifi2

Toutes les connexions “capturées” par votre Wifipak seront alors enregistrées : vous n’avez rien à faire, tout est automatisé, seul un accès aux enregistrements vous est possible en cas de contrôle (format ZIP, protocole FTP), sans possibilité d’effacer ou modifier les fichiers stockés.

Nos développements ont permis de réduire la taille de l’enregistreur : plus compact, plus réactif, moins gourmand en énergie

weblogpackv6Enregistreur de connexions

Vine de notre enregistreur de connexions

wifipak_enregistreur

Wifipak + enregistreur de connexions

FILTRAGE :

La sécurité passe également par le contrôle des données qui transitent via Wifipak, une exigence de la récente loi Hadopi par exemple. Cela est rendu possible par l’ouverture ou la fermeture de certains ports, mais également par le filtrage de certains protocoles, la priorité donnée à certaines transmissions, l’identification par adresse MAC, etc. Wifipak vous est livré avec une configuration de base mais son interface de gestion vous reste totalement accessible, permettant d’intervenir vous même sur le paramètrage.

Vous pouvez ainsi décider de ne laisser passer que le surf web classique (http et https), les emails (pop, imap, smtp), les différents services de messagerie instantanée (MSN, AIM, Gtalk, etc.), mais également autoriser des accès plus complets et complexes, ou n’autoriser que le surf http : c’est vous qui décidez de la configuration, vous qui la ferez évoluer à votre guise, selon vos besoins.

Le filtrage de sites est possible mais l’expérience montre qu’il est très facilement contournable. C’est la raison pour laquelle nous déconseillons d’intervenir sur cette fonctionnalité, l’exploitant ne peut se substituer à une quelconque juridiction, ce n’est pas son rôle.

 

HADOPI :

La communication des données de connexion peuvent vous être demandée par la HADOPI ou les autorités judiciaires dans le cadre d’une procédure pénale. Vous accéderez alors à l’enregistrement du jour concerné, au format ZIP, et le communiquerez in extenso à votre interlocuteur. Pour en savoir plus sur cet organisme, suivez ce lien.

 

BLOCAGE P2P (PEER TO PEER) :

Le blocage des protocoles P2P est présenté comme une évidence par nombre de fournisseurs de solutions hotspot, mais dans la réalité il est pratiquement impossible : le P2P utilise des connexions sécurisées, changeantes, et passera sans difficultés les filtrages de base mis en place.

 

QUELLES INFORMATIONS SONT ENREGISTREES ?

Approfondissons un peu le fonctionnement du Weblogpack en vous présentant un exemple d’enregistrement, tel que figurant dans les fichiers archivés :

Aug 16 11:20:41 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
 Aug 16 11:21:26 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 006789661757740, 00:25:00:4c:9e:05, 192.168.3.198
 Aug 16 11:23:29 ANantes-xxxxxx logportalauth[448]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
 Aug 16 11:34:48 ANantes-xxxxxx logportalauth[3106]: TIMEOUT: 00635456876177740, 00:25:00:4c:9e:05, 192.168.3.198
 Aug 16 11:39:59 ANantes-xxxxxx logportalauth[3656]: TIMEOUT: 1218778969315756, 00:1b:9e:06:c9:f2, 192.168.3.244
 Aug 16 12:23:33 ANantes-xxxxxx logportalauth[8581]: TIMEOUT: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201
 Aug 16 12:24:03 ANantes-xxxxxx logportalauth[444]: USER LOGIN: 977164789777954, 00:0e:35:7d:65:0b, 192.168.3.201

Pour une question évidente de discrétion, nous avons remplacé l’adresse IP de notre client par des « xxxxxxx »… Vous aurez par contre compris qu’il se situait en région Nantaise : « ANantes-xxxxxx » indique l’adresse IP attribuée par son fournisseur d’accès à sa connexion, facile à identifier en cas de besoin.

Plongeons-nous dans les détails : le 16 août à 11:20 et 41 secondes, soyons précis, l’utilisateur du coupon d’accès 1218778969315756 s’est connecté (les codes ont bien entendu été changés, inutile de les essayer). Sa carte WiFi utilise l’adresse MAC 00:1b:9e:06:c9:f2 et l’IP 192.168.3.244 lui a été attribuée par le Wifipak chargé de la supervision des accès. Une déconnexion par timeout a été effectuée à 11h39 et 59 secondes : là encore on retrouve l’adresse IP locale et l’adresse MAC.

Résumons :
Nous savons que sur internet, nous avions la connexion ANantes-xxxxxx, que l’utilisateur à 11h20 avait une adresse MAC 00:1b:9e:06:c9:f2 et l’ip locale 192.168.3.244.

Cherchons un peu le contenu des sites visités vers 11h20 et nous trouvons :

Aug 16 11:20:16 ANantes-xxxxxxxxxx pf: 5. 151592 rule 46/0(match): pass in on vr0: (tos 0×0, ttl 128, id 53946, offset 0, flags [DF], proto TCP (6), length 52) 192.168.3.244.4650 > 217.12.5.161.80: S, cksum 0xee4e (correct), 3523737851:3523737851(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>

217.125.161 port 80 nous dirige sur Yahoo, plus exactement sur le login d’un compte Yahoo.com : notre utilisateur a donc vraisemblablement consulté ses emails. Toutefois, Weblogpack ne capture PAS les données échangées : seules les adresses IP des sites visités sont enregistrées ! Il est donc fort heureusement impossible de voir les contenus d’un email, les discussions Skype ou Facebook Messenger, etc…

Vous l’aurez compris, l’enregistreur vous dédouane de tout soupçon, montrant clairement qui a fait quoi, comment, sur quel site, avec quel port (protocole) et quelle adresse MAC. Il est alors simple de prouver que vous n’êtes pas le coupable initialement désigné, simplement en laissant l’autorité judiciaire étudier votre disque dur Weblogpack !