Salut 
En tant qu’hébergeur on doit garder des log pour pouvoir identifier les personnes qui postent du contenu sur notre site (eg : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id).
Est-ce qu’il existe des outils pour créer et stocker ses données à partir des logs ? En particulier pour Peertube et Funkwhale.
Bonjour,
J’ai du mal à comprendre le besoin. La justice peut demander les logs, dans ce cas, il faut fournir les logs, pas un fichier spécifique.
Attention aussi, la France en demande beaucoup trop par rapport à l’Europe, et des associations comme La Quadrature du Net se battent contre ça 
De ce que je comprend la justice ne demande pas des logs, elles demandent des informations qui doivent être reproduites par une interprétation des logs.
Par exemple, même pour quelque chose d’aussi simple que les dates de connexion et de déconnexion, il faut aller chercher dans les logs nginx (j’imagine), la première requête d’une ip donnée et la dernière requêtes. Il faut aussi être capable d’assigner un compte à des adresses ip qui varient.
Et il y a des choses qui sont, à mes yeux, beaucoup plus dure à fournir que ca. Comme par exemple “Les caractéristiques de la ligne de l’abonné” ou “les mots de passes” que sont sensé être hasher et donc non lisibles…
Je suis d’accord que la France en demande bcp trop. Mais ont est contraint de faire avec quand on a un serveur chez soit qu’on ne peut pas mettre dans un pays plus respectueux des liberté individuelles.
Salut,
D’abord une chose : le respect de la loi est indispensable à toute vie en société, et je ne peux que te féliciter de vouloir le faire. Mais de là à être très scrupuleux envers ce qu’on peut appeler une loi scélérate (liberticide, contraire aux directives européennes - et donc à ce qui règle la vie sociale des européens ! -, qui ne respecte plus la séparation des pouvoirs et donc la base même de la démocratie etc.), il y a une marge !
Si j’ai bien compris, la loi n’est d’ailleurs pas très claire sur ce point. D’après FFDN, les FAI associatifs ne seraient tenus de fournir que ce qu’ils peuvent, et il me semble bien qu’ils affirment que les logs suffisent. D’ailleurs, le conseil constitutionnel a revu certaines de ces lois : voir ici, mais il doit y en avoir d’autres, et des actions sont en cours, qui pourraient bien amener le Conseil Constitutionnel ou les instances européennes à en faire revoir certaines autres…
Pour ce qui est des CHATONS, certains prennent des dispositions (cf Hadoly et ses statuts qui interdisent aux membres du bureau d’avoir l’accès root aux serveurs) pour ne pas être en mesure de répondre immédiatement à une requête policière et se donner ainsi le temps de s’assurer de ce qu’ils doivent fournir ou non.
Je t’invite à contacter ces deux collectifs qui pourront te conseiller de manière très avisée : il s’agit de professionnels - même s’ils sont bénévoles ! - qui ne peuvent pas s’amuser à être en infraction, mais qui ont la volonté de défendre la liberté et la vie privée. Voir aussi avec la Quadrature du Net, bien sûr.
PS : désolé, étant nouveau ici je n’ai droit qu’à deux liens. Tu ne devrais pas avoir beaucoup de difficultés à trouver ceux qui manquent…
Merci pour la réponse
Je serait aussi scrupuleux qu’il le faudra pour ne pas finir endetté à vie par des procédures judiciaire infinies…
Je ne vois pas en quoi la décision que tu cite change quelque chose au fait que je resterais dans l’obligation de fournir des données en cas de réquisition judiciaire (et non policière).
Si j’ai bien compris, les chatons conseillent de se dédoinner dans les condition d’utilisations des services, mais ma question ne porte pas la dessus…je sais que je ne serait pas tenue responsable pour les actes illégaux réalisés a travers mon serveur. Par contre je serais tenu de balancer les gens qui l’on fait.
Merci beaucoup pour l’exemple de Hadoly mais je ne suis pas du tous dans ce cas pour le moment, je suis un particulier, donc j’ai les plein pouvoir sur mon serveur. J’avais réfléchi à l’idée de monté un collectif et de diviser le pouvoir entre les différents membres mais je n’ai personne avec qui le faire pour l’instant.
Salut et bonne année !
Non, cette décision ne change rien dans ce cas, je la mentionnais simplement pour t’inviter à relativiser tes craintes et scrupules que je comprends tout à fait.
Que tu sois un particulier ne change rien, ça rend juste ta position un peu plus inconfortable parce que tu ne peux effectivement pas, comme Hadoly, te retrancher devant une impossibilité d’accès au(x) serveur(s) pour te donner un peu de temps pour savoir ce qu’il en est réellement de la requête.
Je te conseille donc à nouveau de prendre contact avec les CHATONS (ou simplement Framasoft) et FFDN (dont certains membres sont aussi fondateurs de la quadrature du Net et des exégètes amateurs) pour savoir exactement ce que tu dois fournir. Je te redis : c’est à confirmer, mais il me semble bien que, surtout pour un particulier, les logs suffisent pour être parfaitement en règle avec la loi, pas besoin de les interpréter.
Salut,
Selon ce que tu héberges, il y a aussi la possibilité de faire du chiffrement de données avec clé côté client, à la ZeroBin. Tu peux toujours donner des ip/mails d’accès mais tu n’as pas toi-même accès aux données.
Sinon pour centraliser les données de tes logs (sans parler du côté légal, ça reste important pour le monitoring de ton serveur et la sécu), tu devrais regarder du côté d’Elasticsearch, c’est un moteur de recherche / base NoSQL opensource.
Tu peux ensuite utiliser un agent filebeat, logstash ou autre pour récupérer et découper tes logs (il existe pleins de modules ou de templates pour les technos courantes), et Kibana ou Grafana pour la visualisation.
Salut,
Chiffrement des données et analyse des logs sont effectivement intéressants, mais surtout dans le cadre d’administration du serveur. On peut considérer que ça peut aider dans certains cas de dérive juridique, mais je n’en suis pas si sûr, surtout maintenant que des cas d’abus et leurs graves conséquences ont fait la une.
Je viens de voir une conférence de Rézine qui confirme assez largement ce que je disais : pour les associations (FAI ou hébergeurs associatifs), la seule obligation est de fournir les données de connexion : quelle IP s’est connectée à quoi, à quelle date/heure. C’est tout ! On ne demande même pas la correspondance avec une personne physique, ce qu’une association ne peut légalement pas fournir, n’étant pas tenue, selon la loi 1901 sur les associations, de vérifier l’identité de ses membres.
Je n’ai pas été rechercher les textes juridiques correspondants, le conférencier n’ayant pas cité plus précisément ses sources. En tous cas, comme je le disais, une association qui fait “professionnellement” de la fourniture d’accès ou de l’hébergement ne peut pas se permettre d’être dans l’illégalité, l’info ne peut donc qu’être fiable.
Après, il peut y avoir des différences pour un particulier. Mais je ne vois pas pourquoi un particulier aurait plus d’obligations qu’une association.
Je réalise que je n’ai pas évoqué une autre obligation, un peu en marge de ta question : l’obligation de “retrait immédiat” de tout contenu porté à ta connaissance comme étant illégal.
Là encore, l’obligation est précise et limitée : pas d’obligation de surveillance ou de détection automatisée du contenu illégal, pas de contrôle préalable, pas d’obligation de dire qui l’a mis sauf à fournir, si on te les demande aussi, les données de connexion définies dans mon post précédant.
Et là encore, on voit que la loi est très floue (et donc coupable de générer de potentielles injustices et inégalités !), puisqu’elle ne précise pas le temps de l’immédiateté : a-t-on quelques nano-secondes ou quelques heures pour retirer le contenu ? Il semble qu’un consensus se fasse aux alentours de 12 à 24h…
Salut,
Benjamin Bayart donne des réponses intéressantes à des questions sur l’hébergement dans la seconde partie de sa conférence. Voir la vidéo “Les questions” à la minute 19.
Merci pour cette référence, c’est très clarifiant. Notamment la distinction héberger/éditeur.
En gros faut voir ce comment les juges interpréterons les lois et comment elles vont évoluer. Vous avez des cas de jugements d’instances du fediverse ou pas encore ?
Salut,
Je suis plutôt du genre à m’en tenir à l’esprit de la loi et à agir dans ce sens, même s’il y a des risques. Donc, je ne m’intéresse pas trop aux jugements mais plus à ce qu’est et devrait être l’esprit de la loi.
Il me semble toutefois que tout ça évolue plutôt dans le bon sens. Très, trop lentement, mais on peut dire assez sûrement. Certaines affaires d’hébergeurs condamnés ont fait assez de bruit et de buzz pour que les juges commencent à comprendre, semble-t-il, que :
Bien sûr, je ne parle ici que des hébergeurs en tant qu’intermédiaires techniques, pas de ceux qui se sont sciemment fait complices d’actes répréhensibles ni de ceux que Benjamin Bayart appelle, à très juste titre AMHA, les éditeurs.
C’est courageux de ta part. En ce qui me concerne je prendrai des risques sur un serveur hébergé en Norvège, payé avec du bitcoin et administré via tor hahaha Ou alors avec une asso ou une organisation, mais pas avec le serveur qu’il y a dans mon garage haha
Pour ma part je fais de l’hébergement sur mon serveur dans mon garage. Je connais les gens que j’héberge, je considère donc ne prendre aucun risque.
Ne pas oublier, par ailleurs, que la loi Haine (PPL Avia) qui est en train de tenter de débarquer cherche à rendre les plateformes responsables de leur contenu, ce qui est totalement improbable et va à l’encontre de ce qui pourrait être envisagé sereinement. Voir les articles de la quadrature du net pour plus d’info 
C’est vrai que l’avancée de cette loi va plutôt à l’encontre de ce que je dis et est fort inquiétante. D’un autre côté, il s’agit là de ce que les politiques essaient de faire, et j’espère bien que les juges cesseront de plus en plus de leur emboîter le pas et trouveront les parades.
Je ne suis pas trop l’affaire de près, mais cette nouvelle loi me semble aller à l’encontre de la LCEN qui ne rend l’hébergeur responsable que du contenu « manifestement illégal » et dont il aurait connaissance, et les juges semblent avoir de plus en plus tendance à prendre en compte soit que le contenu n’est pas « manifestement illégal » (pour le savoir, il faut généralement être juriste, cf l’exemple de Benjamin Bayart dans la vidéo que j’ai indiquée sur les droits d’auteur du Petit Prince), soit que l’hébergeur n’a pas le devoir de contrôler le contenu qu’il héberge. Pour ce dernier point, c’est lui donner des fonctions de police et de justice qu’il n’a pas à avoir, et AMHA c’est contraire à la Constitution !
Voilà, le bilan vu par LQdN : https://www.laquadrature.net/2020/01/22/coup-detat-sur-la-loi-haine/
On atteint des sommets d’inouïtude…
Salut,
toutafé 
Bon, reste plus qu’à téléphoner à nos députés et soutenir la quadrature et les exégètes amateurs…
Cela dit, pour les hébergeurs, je pense que la solution proposée par Benjamin Bayart peut être mise en oeuvre : le formulaire qui propose les deux boutons, avec mise en oeuvre immédiate pour l’un d’eux, n’est pas bien difficile à mettre en place. Certes, ça rend la censure policière possible et immédiate, mais ça dégage l’hébergeur de toute responsabilité, reportée dans ce cas sur l’utilisateur de l’@IP initiatrice et qui peut être retrouvé. Et avec un peu de chance, le contenu non « manifestement illégal » sera simplement signalé avec nécessité de passer par un juge pour le faire supprimer et éventuellement condamner l’hébergeur.
… En attendant, j’espère bien, que les députés, les juges, le Conseil d’Etat ou le Conseil Constitutionnel, voire les instances européennes fassent abroger ou sérieusement retoquer cette loi dictatoriale.