Qu’est-ce qu’un log de communication électronique ?

Jean-Cloud · Février 17, 2020, 11:00

Salut les chatons,
Je commence à travailler sur l’aspect légal de l’hébergement et je suis tombé sur cette phrase :
« Les logs de communication électronique doivent être conservés 1 an (note : et si on dépasse les 1 an, on viole la loi informatique et libertés…) »
Qui vient de la litière : https://wiki.chatons.org/doku.php?id=pointsjuridiques#conservation_des_logs
Et je me demande ce que contient un log de communication, et donc ce que l’on doit pouvoir fournir à la justice, et ce que l’on doit refuser de fournir.
Concrètement : mon serveur a accès à plusieurs information ; l’IP du client, la date précise de connexion, le résultat (du code retour HTTP au contenu de la page), le contenu de la requête…
Je ne trouve d’information claire (je n’ai pas lu le texte de loi) qui me dit où je dois trancher dans la rétention de logs.

Si vous avez des pistes…
Merci, Jean-Cloud

ljf · Février 17, 2020, 1:44

Alors ce que moi j’ai compris sur cette question des logs:

Dans le cas d’un service de communication à destination du public (donc pas les emails qui sont privés). La loi française demande de conserver 365 jours de log (pas un de plus) avec uniquement les requêtes opérant les modifications/ajout de contenu (les consultations ne sont pas concernées), il doit y avoir la date, l’heure, l’ip, la ressource (genre url), pas le contenu de la requête (encore heureux).

MAIS, cette loi est en contradiction avec des réglementation européenne, qui parle de 3 mois de conservation des logs.

ET, cette loi a été attaquée à la cour européenne des droits de l’homme qui a déclaré que logué de façon continue et indiférencié l’ensemble de la population et sur de si grandes periodes était contraire au droit de l’homme.

MAIS, la loi française n’est toujours pas changée.

DONC, les juriste dans les boites/administration se mouillent pas, et considérent qu’il y a moins de chance de se faire attaquer pour avoir conserver plus, que pas assez… puisque la crainte c’est que la police réclame et qu’il n’y ai rien à donner et qu’ils se fâchent en poursuivant…

Je ne crois pas qu’il y ai de précision vis à vis de l’archivage des sauvegardes. Car c’est assez complexe de toutes façon de faire pile 365 jours. Donc la dessus je crois que c’est flou.

Voilà pour le résumé de ce que j’ai compris, quelques juriste à la quadra seront sans doute plus précis.

La quadrature conseille de conserver 14 jours ou 3 mois je ne sais plus trop.

Beaucoup de petites boites laissent les logs configurés par défaut. Idem les gens qui utilisent du YunoHost ne configurent en général pas les logs non plus. Et si les logs sont configurés il est extrêmement rare qu’il y ai une nuances entre les modification et la lecture…

Autrement dit c’est un peu comme le RGPD, un texte long compliqué, faisant référence à plein d’autres définitions et texte et qui dans la pratique est mis en oeuvre par des informaticiens qui ne comprennent pas ce que les textes demandent.

Pour l’anecdote, une équipe de juriste à la FFDN a bossé sur le sujet pendant plusieurs mois sans réussir à se mettre d’accord. ^^

pyg · Juin 1, 2021, 10:02

(Je déterre ce sujet, qu’on m’a signalé par ailleurs)

Hello @Jean-Cloud
Alors, à Framasoft, on a été plusieurs fois confronté à la question.

On reçoit de temps à autres des requêtes de police judiciaire (et à titre pro, il m’est arrivé d’avoir été convoqué au commissariat pour les affaires les plus graves).
Les sujets : utilisation de services Framasoft pour : diffusion de malwares bancaire, diffusion de fichiers liés au terrorisme, diffusion de fichiers pédopornographiques. Les requêtes peuvent émaner des services français, et parfois étrangers.

La position de Framasoft (qui n’engage pas CHATONS), est en gros la suivante :

on vérifie systématiquement la qualité de l’interlocuteur (= on demande un écrit avec les coordonnées, on ne répond pas aux demandes spécifiques par téléphone). On vérifie le service, le numéro de téléphone ou le mail du service en question. Et on répond par ces moyens.
on vérifie la qualité de la demande. Pour qu’il y ait requête, il doit y avoir enquête ou délit. On ne va jamais répondre à une question du type « On voudrait savoir qui a créé le pad XYZ, merci de nous envoyer les logs ». Une demande se fait dans un contexte, et on doit savoir le contexte (ne serait-ce que pour bien répondre). Quel service
on n’envoie que ce qu’on nous demande. C’est habituellement indiqué dans la requête, mais sinon on préfère demander quelles sont les infos demandées (IP ? Date ? Heure ? plage de dates ? etc). Les flics connaissent (la plupart du temps) leur boulot, et savent ce qu’iels recherchent.
La nature des logs dépend de la requête, mais dans l’immense majorité des cas, il s’agit de logs Nginx
Nous conservons nos logs 1 an max. Certaines actions n’ont pas l’obligation d’être logguées et ne le sont donc pas (par exemple les consultations d’URL, qui sont, suivant les interpretations, non considérées comme une données de connexion). Bon, parfois, « c’est compliqué ».

Par ailleurs, Framasoft n’est pas une association de défense des libertés (ça fait aussi partie de nos actions, mais ça n’est pas le cœur de ce que nous faisons), donc on a choisi de ne pas faire d’obstructions aux demandes en bonnes et dues forme, et de conserver les logs un an et non 14j. (encore une fois, ces choix sont issues de discussions internes, et chaque chatons gère comme il veut).