Table des matières

2021/10/07 (hub-admin) : ccj

Présences :

Mumble : https://mumble.src.brussels IL est tout cassé 😢

Ou Jitsi : https://conf.domainepublic.net/neutrinet

Météo

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire 🙂

Attente(s) forte(s)

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

Ordre du jour

Contexte de la réunion

On cherche à comprendre le périmètre de la ccj, son implication légale et technique dans le cadre du service VPN (en faire le moins possible, mais rester conforme). Voire trouver une solution pour ne pas subir les contraintes de la ccj (24/24h 7/7j).

On cherche également à comprendre en quoi consiste l'enquête de sécurité qui sera effectuée sur les membres de la CCJ.

Nous avons une contrainte de temps 15/10, mais on a aussi plusieurs pistes de réponse, du coup nous n'avons pas non plus le couteau sous la gorge de devoir constituer une ccj.

Le but de cette réunion n'est pas de constituer une CCJ, puisqu'il n'est pas raisonnable de s'engager dans quelque chose dont on ne connaît pas les tentants et aboutissants.

Historique chez Neutrinet

À l'IBPT, on est enregistré comme faisant: - VPN - Internet Wifi En pratique on ne fait que du VPN, à l'époque (2014?) on avait comme projet de faire du wifi public (réseau citoyen).

Une piste pour « gagner du temps », c'est qu'on est une organisation « horizontale » et donc constituer une CCJ devrait, pour nous, passer par une AG Extraordinaire.

Pour le moment, on leur a dit qu'on était une ASBL, ils ont dit que la statut n'avait rien à voir, mais on n'a pas encore expliqué qu'on n'avait pas de permanents.

Il faut mettre une partie technique en place pour garder les infos potentiellement demandées dans le cadre d'une enquête.

Est-ce que c'est spécifique aux fournisseurs de VPN ?

Une expérience vécue fait part de mail envoyés (souvent en néerlandais) demandant, en 2019, en général une levée d'identité d'un·e abonné·e·s.

Service VPN et CCJ

Question à se poser : est-ce que c'est juste lié au wifi public (où chacun pourrait se connecter) ou bien est-ce nécessaire pour le VPN ?

Juriste XXX

Une personne connaissant ces sujets (juriste de formation, contributeur Wikipédien) nous propose un petit atelier pour dégrossir le terrain. Nous lui avons envoyer un mail demandant ses dates. cf. Ticket# 8772725

Une personne a pu discuté avec un juriste qui s'est reconverti dans l'informatique. Il était plutôt rassurant, il a déjà fait cela pour des boîtes et pourrait nous aider à mettre en place le protocole.

Candidat officier CCJ ?

Lionel se propose comme candidat. Pas de problème à subir l'enquête nécessaire pour l'accréditation. Selon lui, rien d'alarmant, principalement des procédures juridiques. Toute demande d'enquête vient d'un juge d'instruction ou d'un procureur du roi.

Difficultés techniques ?

PCAP : pouvoir enregistrer tout le traffic Internet en termes de méta-données. On devrait enregistrer le traffic, potentiellement pendant 90 jours, renouvelable.

En gros, ça demande de « fliquer » tout nos membres au cas où il y aurait une enquête. (pas forcément, voir sous-titre suivant)

C'est pour ça qu'on aimerait savoir exactement ce qui nous est demandé. Le problème avec ce système, c'est les dérive… et ça peut être piraté, etc.

GDPR\RGPD / Règlement général de protection des données ?

Nous sommes censés avoir un Data Protection Officer qui accompagne les requêtes pour « s'assurer » qu'il n'y a pas de débordemments dans le cadre du RGPD.

L'IP fait partie des données personnelles, c'est pour ça qu'il y a toujours une tension avec la loi européenne.

Le RGPD est apparu après la création de la loi qui nous impose la CCJ. Il faut voir quelle est l'intention du RGPD par rapport à cette loi. Pour le moment, on n'a pas vraiment de trace de la manière dont cela s'articule.

Mais, le RGPD prévoir la protection des données des utilisateurs. On devrait avoir un registre pour les gens qui utilisent nos services. Mais là, la demande concerne surtout la CCJ dans le cadre des requêtes judiciaire.

Ici, le caractère personnel des données n'intervient plus de la même manière puisque soumis à une enquête judiciaire.

Dans le doc de l'IBPT, il semble qu'il n'est pas nécessaire de tenir les données de tous les membres mais uniquement des personnes concernées par l'enquête.

GDPR : nous impose d'être clair sur les données qu'on collecte où qu'on est susceptible de fournir. Si on devait commencer à surveiller du traffic, ça doit apparaître clairement.

Quelles données devons-nous fournir ?

Si nous sommes sensés au moins « lever des identités », nous sommes censés demander les papiers d'identités lorsqu'un membre demande un de nos sorvices.

Il y a donc quand même certaines informations qui doivent être relevées en amont, préventivement.

En gros, c'est repris dans la deuxième partie du billet de blog.

Lors d'une demande, généralement signée par un procureur, cela se fait par mail et c'est dans l'idée de fournir des informations sur l'identité du client.

Il y a le motif de la demande. Vu que c'est signé du procureur, ça n'est pas des demandes qui émaneraient seules de la police.

Un exemple avec Protonmail

Un activiste écologiste étant sur le coup d'une enquête interpol, Protonmail à dû lever son identité.

Donc il faut faire attention à ne pas faire croire à des services sécurisés alors qu'ils ne le sont pas et tombent sous le coup d'une levée d'identité.

Mais de notre côté, pas de volonté de ne pas être légal. Notre rôle sera néanmoins de rappeler la manière dont les choses se passent les choses en Belgique. Ne pas se placer hors la loi, mais être conscient, et communiquer, sur la manière dont ça se passe.

https://bxl.indymedia.org/France-Suisse-Securite-IT-Protonmail-a-communique-a-la-police-l-adresse-IP-de-militant-es-anti?lang=fr

Sortir de l'urgence ?

Premièrement, nous n'avons encore jamais subit de requête judiciaire en 10 ans.

En terme de communication envers nos membres

C'est peut-être surtout le « Wifi Public » qui motive la demande de l'IBPT

Mais nous n'avons pas de Wifi Public.

Pour rappel, un wifi public, ce serait un wifi que Neutrinet diffuserait par exemple dans tout Bruxelles. C'était quelque chose de lié au réseau citoyen. Mais ça n'a jamais été fait.

Dans ce cas, Neutrinet serait responsable de la levée d'identité des personnes se connectant à ce wifi.

Actuellement, ça n'est plus dans les plans de Neutrinet… on envisage la collecte, mais on est encore à des phases de tests. Il n'y a pas d'offre publique.

PISTE D'ACTION : dire à l'IBPT que nous n'avons pas de Wifi Publique plutôt changer l'inscription à l'IBPT et ne plus mettre ca dedans, non?

Le VPN, on peut simplement leur dire que telle IP correspond à telle IP de proximux.

Plateforme TANK ?

Actuellement, le travail de coopération avec la justice se fait par mail.

Témoignages de deux personnes : elles ont du fournir des demandes mais sans passer par cette plateforme.

Des doutes si cette application / plateforme existe même, jamais vu, que de demande de statistiques (montant des requests e.g.) par l'IBPT.

Enquête de sécurité

Une personne nous explique ce qu'elle a eu comme enquête (mais pour des clients comme Google / Facebook) :

Pour une CCJ en revanche : → certificat de bonne moeurs.

Disponibilité 24h/24 et 7j/7

Deux exemples vécus, jamais eu à répondre de nuit.

Neutrinet n'a pas de permanent, comment on fait ? Est-ce que cette contrainte s'applique à nous ?

L'IBPT s'attend à une personne de référence qu'elle est sûre de pouvoir contacter. Maintenant, il faut voir la taille de Neutrinet, pour le moment, on a relativement peu d'IP. On ne croûlera pas non plus sur les demandes.

Selon un membre, pour une levée d'identité IP, on ne fera pas une demande en pleine nuit. La loi demande une réponse immédiate, mais il faut aussi voir la théorie et la pratique.

Question : faut-il fournir un numéro de téléphone, un mail spécial ? Oui, mais on peut avoir un numéro chez OVH, qui est activté par chacun à tour de rôle.

Mais là on est déjà dans la solution technique. On pense qu'on doit plutôt commencer par les problèmes humains.

Déjà, se dire que si on ne va pas répondre forcément en pleine nuit, c'est rassurant, car ça reste disproportionné par rapport à nos ressources.

Poursuivre le dialogue avec les institutions

Avoir un dialogue en amont, pour mettre en évidence les ressources de l'ASBL. Il n'est pas forcément sage de tabler sur le fait qu'il n'y aura pas de demande la nuit… On doit montrer ce qui fait notre différence par rapport à un VOO ou un Proximus.

Si le dialogue est impossible, se tourner vers d'autres associations, comme par exemple EDRI.

PISTE d'ACTION : contacter Luc Beirens Tél. +32 2 642 76 48 (le numéro est public, sur la brochure de l'IBPT.) Peut-être plutôt contacter quelqu'un de l'IBPT parce que M. Beirens est / était membre de la Computer Crime Unit, et que c'est peut-être mieux de contacter les gens de l'IBPT avant.

PISTE d'ACTION : communiquer à l'IBPT nos rapports publiques sur le Wiki. Quelques retenues pour ne pas « les faire flipper » à cause du contraste de fonctionnement.

Quitter l'IBPT ?

Si on fournit du VPN à nos membres de l'asbl, on est pas vraiment un FAI parce que les membres ne paient pas pour avoir un VPN, c'est pour être membre. Donc on pourrait se comparer à une entreprise qui fournit des VPN à ses employés.

À quel point quelqu'un qui n'est pas juriste, peut valider un document d'identité ? (parce que en tant que FAI, nous sommes sensé demander l'identité des « client·e·s / membres »)

Mais : si on veut poursuivre nos projets (comme la collecte), on devra revenir à l'IBPT à un moment donné.

Pistes d'action retenues

PISTE D'ACTION : dire à l'IBPT que nous n'avons pas de Wifi Public plutôt changer l'inscription à l'IBPT et ne plus mettre ca dedans, non?

PISTE d'ACTION : communiquer à l'IBPT nos rapports publics sur le Wiki. Quelques retenues pour ne pas « les faire flipper » à cause du contraste de fonctionnement.

PISTE d'ACTION : dpo@neutrinet.be, c'est hors cadre mais quand même un peu lié à ce(s) dossier(s).

PISTE d'ACTION : avoir un point de contact à l'IBPT (tél, email)

PISTE d'ACTION : Workshop avec Sébastien (on attend des dates)

PISTE d'ACTION : Doit-on être enregistré l'IBPT ?

PISTE d'ACTION : Workshop : faire du full disk encryption sur les disques durs

Prochaine réunion

Question : Qui a envie de participer à la prochaine réunion ? Donc, qui est intéressé par suivre activement le sujet de la CCJ ?

FIXME Prochaine réunion : MM/JJ à HH:MM

FIXME Lieu : Mumble ? Caldarium ? Autre ?

Météo de fin

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.