Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Conservation d’adresses IP

Conservation d’adresses IP

D 24 novembre 2014     H 09:11     A Genma     C 0 messages   Logo Tipee

TAGS : Tor Vie privée Anonymat

C’est le billet de Greg @Cappadocius sur Twitter Des outils de traque où il dit j’ai de nouveau pléthore d’information : les adresses IP, le navigateur utilisé,… qui m’a fait me pencher sur mon propre blog. Cela fait un moment que j’ai enlevé les traqueurs du site depuis un moment, pour pour être cohérent avec mes préoccupations aux sujets du respect de la vie privée

Mais en fouillant un peu dans le contenu d’administration de SPIP, j’ai pu constaté que quand on commente sur le blog, les métadonnées associées aux commentaires sont stockées dans la base de données. Je demande un mail (pratique pour contacter des personnes qui ont fait un commentaire pertinent), mais je ne fais aucune vérification sur la validité du mail, un pseudo et un message (et ce ne sont même pas là des champs obligatoires). Etant donné la popularité relative du blog, je n’ai pas besoin de mettre de captcha, j’ai un plugin qui gère assez bien les spams, je mets les commentaires en mode "modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site."

La table spip_forum contient donc entre autres, le champ auteur, le mail mais le plus important ’adresse IP de la personne ayant posté le message. C’est bien pratique pour bloquer des spammeurs (en ajoutant les adresses IP dans la zone DenyFrom du fichier .htacess d’Apache). Mais dans le cas d’une personne peu au fait des problématiques liées à l’anonymat sur Internet, j’ai potentiellement son mail et surtout l’adresse IP de la personne. Et je sais donc potentiellement à quelle heure et où se trouvait la personne..., et ce si, bien sûr, elle n’a pas utilisé Tor, un pseudo à usage unique (ou un autre décorrélé de ceux qu’elle utilise habituellement), un mail jetable...

Un grand pouvoir entraîne de grandes responsabilités.

Je sais bien qu’à chaque fois que l’on va sur un site web, on laisse une trace de son adresse IP dans les logs. Mais il faut être administrateur de la machine pour le voir. Là, c’est n’importe quel administrateur du CMS (le système de gestion du blog). Je suis seul administrateur, j’ai confiance en SPIP et je fais régulièrement les mises à jour de sécurité, mais je suis hébergé sur les pages persos de Free.fr, je ne sais pas à quel point c’est sécurisé de ce côté. Et j’ai donc accès des données assez personnelles auxquelles je ne souhaiterais pas avoir accès.

Pour la publication d’un message répréhensible par la loi, vu que comme je le disais, la publication des messages n’apparaissant qu’après ma validation, l’auteur est donc "moi" et c’est donc moi qui portera(it) la responsabilité des propos. Pas besoin de remonter à l’auteur via son IP par exemple... Il faudrait que je creuse le sujet sur la responsabilité de la publication, le fait que je conserve des IP et la possibilité de désactiver ça dans SPIP. A suivre donc.

A lire Des outils de traque sur le blog l’Antre du greg.