Les entreprises, quelle que soit leur taille, sont responsables de leur réseau de connexion à Internet, surtout si elles offrent un accès gratuit Wi-Fi (hôtels, camping, cybercafés, bars…). Pour être conformes à la LCEN, elles doivent mettre en place une solution spécialisée dans la traçabilité des accès. Le contrôleur d’accès Open source ALCASAR est adapté aux besoins et contraintes des petites entités.
Entretien avec Rexy, co-concepteur de ce projet libre.
Propos recueillis par Philippe Richard
Rexy, pouvez-vous nous présenter la genèse de ce projet ? Rexy : Le ministère, pour lequel je travaillais, déployait pour ses collaborateurs et ses propres besoins un réseau de consultation d’internet parallèlement à d’autres réseaux dédiés réservés aux informations plus sensibles,).
La Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) impose aux propriétaires d’un réseau de consultation de tracer toutes les connexions. Les entreprises deviennent ainsi responsables. Dans le cadre d’une enquête officielle, elles doivent fournir aux autorités policières toutes les traces de connexion afin de disculper le responsable du réseau et d’imputer des actes délictueux au salarié (ou à un client s’il s’agit d’un Wi-Fi gratuit proposé par un hôtel, un bar ou un camping par exemple, Ndlr).
La LCEN n’impose pas de savoir ce que fait le salarié ; elle impose d’avoir les informations liées à ses connexions : à qui il a téléphoné, pendant combien de temps, la durée et le volume de données téléchargées sur un site de P2P par exemple. Mais cette loi n’autorise pas d’enregistrer la conversation.
Lorsque nous avons étudié les solutions existantes (libres ou commerciales), capables officiellement de tracer et d’imputer, nous avons constaté que les résultats n’étaient pas convaincants. Soit, elles ne stockaient rien pendant 1 an comme l’oblige la loi, soit elles ne traçaient que les protocoles connus comme le http, https et ftp. Il était donc facile de les contourner. Par ailleurs, certaines solutions libres étaient trop compliquées pour être exploitées par des équipes non qualifiées ou ne maitrisant pas tous les aspects réseau notamment.
Un PC miniature qui coûtera moins de 50 €/an
Comment fonctionne ALCASAR ?
Rexy : ALCASAR (Application Libre pour le Contrôle d’Accès Sécurisé et Authentifié au Réseau) est un démonstrateur technique qui a deux vocations principales. Premièrement, il permet à ceux qui le déploient d’appliquer la loi. Deuxièmement, il est utilisé pour la formation, comme « bouillon de culture ». C’est une sorte de « bac à sable » qui permet à des étudiants et à des développeurs de « jouer » avec de nombreuses « briques » techniques (une vingtaine de logiciels libres).
Par ailleurs, l’objectif de ce projet est double. Premièrement, il s’agit de proposer une solution qui puisse être déployée par une personne qui n’a pas de compétences particulières. ALCASAR est en effet un simple PC positionné entre le réseau de consultation et la box du fournisseur d’accès Internet. Deuxième but : permettre son installation sur du matériel qui ne soit pas récent ; il faut juste qu’il y ait deux cartes réseau. La documentation présente sur notre site (LIEN : http://www.alcasar.net/) explique comment concevoir son propre PC miniature qui coûtera moins de 50 €/an en coûts et électricité et qui sera installé à la cave.
Qui utilise ALCASAR ?
Rexy : Notre solution est destinée en priorité aux PME et aux « petits » (cybercafés, restaurants, hôtels, clubs de vacances…) qui ne maîtrisent pas toujours tous les aspects techniques et juridiques de la sécurité informatique et qui apprennent souvent par les Chambres de commerce et d’industrie (CCI) qu’en mettant à disposition de leurs clients un accès wi-fi gratuit ils deviennent responsables. Il est donc très important de leur proposer une solution adaptée à leurs besoins et moyens. C’est la raison pour laquelle nous nous sommes efforcés de rendre très simples l’installation et la configuration du système. En une matinée, une entreprise peut bénéficier d’une solution de contrôle d’accès gratuite et performante.
Une fois installée, la charge d’exploitation consiste à créer les comptes associés à chaque client. Comme cela peut devenir très énergivore pour les grosses structures d’accueil, nous avons prévu que le responsable d’un réseau pourra aussi créer un système d’auto-enregistrement qui ne lui coûte rien ; l’utilisateur enverra un SMS pour créer un compte. C’est une solution simple et qui présente surtout l’avantage d’être valable devant la justice : un abonnement à un forfait mobile constitue en effet une donnée vérifiable, car le souscripteur doit donner entre autres une preuve de domicile. Cette nouvelle fonctionnalité demandée par les grosses structures utilisatrices d’ALCASAR sera présente dans la prochaine version du portail (avant la fin de l’année si tout va bien).
Le filtrage de contenu
Concernant l’Éducation nationale et les centres accueillant des mineurs (MJC, centres de vacances, etc.), nous avons dû répondre à une exigence particulière. Comme son nom l’indique, ALCASAR est un contrôleur d’accès. À l’origine, il ne filtre donc pas le contenu. Mais des proviseurs et des responsables informatiques de collèges nous ont demandé d’intégrer un filtrage, car ils doivent respecter des directives internes à propos de la protection des mineurs. Disponible depuis 3 ans, notre système de filtrage a été conçu après analyse d’un grand nombre de dispositifs de contournement. Nous pensons ainsi qu’il est très difficile de contourner le système de filtrage intégré.
Différentes lois et la jurisprudence considèrent l’employeur comme responsable des agissements de ses salariés et des personnes accédant à son réseau. C’est le cas notamment des cybercafés, des hôtels-restaurants, des campings… Si ces entreprises s’appuient sur un outil qui n’est pas conforme à la LCEN, elles sont responsables ?
Rexy : Il existe en réalité différents cas de figure. Une entreprise peut « déléguer » sa responsabilité sur l’éditeur qui lui loue une solution censée être compatible avec la LCEN. L’entreprise se protège derrière le contrat de location. Par contre, si elle achète ou développe en interne une solution destinée à la traçabilité et à l’imputabilité, elle devient responsable d’avoir acheté ou créer un produit inadapté. Elle doit tout mettre en œuvre pour vérifier que son système est efficace. Seul problème, personne ne le fait, car cette analyse exhaustive exige des compétences particulières. Devant cette situation inquiétante, l’État français est en train de mettre en place un ensemble de procédures qui permettront de faire le tri dans ces solutions.
Securiteoff.com : Cette volonté des pouvoirs publics va donc se traduire par des certifications de l’ANSSI ?
Rexy : À propos des CSPN (Certification de Sécurité de Premier Niveau), il faut d’abord rappeler qu’une certification ne s’applique qu’à la version testée du produit et en fonction l’état des connaissances en sécurité à la date de la certification.
Par ailleurs, une CSPN peut avoir un aspect public ou privé. Si un éditeur de logiciels considère une CSPN comme un objectif « commercial » pour l’un de ses produits, il doit la financer afin qu’un Centre d’évaluation agréé pour la CSPN réalise une évaluation. Si ce produit est certifié, l’entreprise pourra communiquer en montrant que sa solution est conforme à la loi française. C’est l’aspect public d’une CSPN.
CSPN pas publique
Mais, et c’est moins connu par définition, un produit peut obtenir une CSPN sans qu’elle ne soit rendue publique.
Prenons le cas d’une entreprise ou d’un ministère souhaitant déployer une solution. Mais avant, elle tient à connaître son niveau de sécurité réel . Elle va donc demander une CSPN. Un Centre d’évaluation agréé va la tester et rendre son verdict. Mais ses conclusions seront réservées à l’ANSSI et à l’entreprise ou au ministère commanditaire. La certification (ou la non-certification) n’a pas à être rendue publique. Le commanditaire peut faire ce qu’il veut. Deux options sont possibles :
1-Tenir compte des avis du Centre d’évaluation et décider d’utiliser ou de ne pas utiliser ce logiciel
2-Déployer ce produit malgré l’absence de CSPN, si le commanditaire considère que l’avis négatif n’a pas d’incidence majeure.
Quelles sont les prochaines étapes d’ALCASAR ?
Rexy : Nous préparons une nouvelle version avec des nouveautés au cœur du système permettant de proposer un filtrage très précis, c’est-à-dire un filtrage associé à chaque utilisateur. Cette nouvelle version confirme la pérennité de notre projet. Tous les développeurs à l’origine d’ALCASAR sont restés et nous avons une solide communauté.