Reponse de la CNIL au sujet du filtrage semantique des courriels par Free
64 réponses
Stephane Faure
Bonjour,
Durant le mois d'octobre dernier, j'avais soulevé sur
fr.misc.droit.internet (où je place le suivi) le problème de la
légalité du filtrage sémantique des courriels envoyés sur les
adresses Free, mis en place notamment pour lutter contre le virus
Swen. Après un long débat, j'avais décidé de demander son avis à la
CNIL. Pour rappel, je vous retranscris la lettre ci-dessous.
======================================================================
Commission Nationale de l'Informatique et des Libertés
21, rue St-Guillaume
75340 PARIS CEDEX 7
Objet : Demande d'avis sur le filtrage du courrier électronique par le
FAI
Le 3 novembre 2003
Madame, Monsieur
En tant que client du fournisseur d'accès à Internet FREE - 75371
PARIS CEDEX 08, je me permets de demander votre avis concernant sa
gestion des courriers électroniques.
Suite à la recrudescence sans précédent de messages infectés,
dernièrement par le virus Swen, le gestionnaire des serveurs de
courriel de Free a mis en place un filtrage concernant l'ensemble de
ses usagers. Bien qu'aucun préavis n'a été donné officiellement (j'en
ai pris connaissance par hasard dans un forum de support du FAI),
c'est une mesure qui, dans l'urgence, paraît tout à fait respectable :
les boîtes aux lettres, tout comme les serveurs, étaient réellement
saturés. Mais il se trouve que ce filtrage repose sur la recherche de
mots-clés contenus dans le nom de l'expéditeur et dans le sujet du
courriel. Sont ainsi rejetés les messages répondant à ces critères,
écrits en langage Perl :
(documentation sur
<http://www.perldoc.com/perl5.8.0/pod/perlretut.html>)
Un tel filtrage, touchant au contenu sémantique de
correspondances privées, et effectuant une sélection sur le nom de
l'expéditeur, est-il légal, au vu des articles L33-1 et D98-1 du Code
des Postes et Télécommunications, et 432-9 du Code Pénal ? Le fait que
ces messages soient susceptibles de porter atteinte à l'intégrité du
réseau du fournisseur d'accès, et/ou des systèmes informatiques de ses
utilisateurs, permet-il à l'administrateur de mettre en place un
système automatisé qui ne détecte pas le risque informatique en lui-
même, engendrant par là un risque d'erreur ? Ayant débattu de cette
question dans un forum Usenet (http://minilien.com/?u8VjyeXijJ), ayant
pris connaissance de la décision de la Cour d'Appel de Paris du 17
décembre 2001 (11ème chambre, section A), ainsi que de la directive
européenne 2002/58/CE du 12 juillet 2002 (article 5 et afférents),
rien ne me permet de répondre avec certitude par l'affirmative ;
aussi, je demande votre avis. De plus, d'autres filtres, contre
d'autres virus, dont j'ignore s'ils portaient réellement atteinte à
l'intégrité du réseau, ont été mis en place, mais je n'ai pas pu en
connaître la teneur, malgré mes demandes auprès du gestionnaire.
Il faut noter que les messages répondant à ces critères,
lorsqu'ils proviennent de l'extérieur du réseau de Free, ne sont pas
renvoyés à leur expéditeur déclaré, et sont simplement supprimés. Ceci
permet d'éviter la propagation du virus, étant donné que l'expéditeur
déclaré n'est pas le véritable émetteur du message. Les virus
introduisent en effet souvent des adresses volées dans le carnet
d'adresse électronique du poste émetteur. Mais par analogie avec ce
que fait La Poste des colis suspects, est-ce légalement acceptable,
notamment si on considère l'incertitude liée à un tel filtrage
automatisé ?
J'ai fait remarquer au gestionnaire des serveurs que la mise en
place d'un antivirus règlerait à mon avis ces questions. Il
détecterait les virus en se basant sur une portion de leur code
informatique, qu'il rechercherait uniquement dans les pièces jointes,
et non dans le contenu confidentiel de l'ensemble des messages. Cela
présenterait l'avantage de réduire considérablement le risque
d'erreur. De plus, lorsqu'un courriel est détecté comme étant infecté,
des annonces sont générées pour faire savoir à l'expéditeur et au
destinataire présumés qu'il n'a pas été délivré, et celles-ci ne
contiennent évidemment pas de virus, contrairement à ce que produirait
un simple message de rejet d'un serveur (" bounce "). Ces
considérations faites, un gestionnaire de correspondance privée
n'aurait-il le choix qu'entre utiliser un antivirus, ou ne pas filtrer
du tout ? Autrement, a-t-il obligation d'informer l'ensemble de ses
usagers du filtrage effectué ?
Un autre filtrage du courrier électronique par le FAI Free, pour
le moment à l'état de projet, serait destiné à la lutte contre le
spam, lui aussi de plus en plus envahissant, au point d'engendrer une
saturation des serveurs selon leur gestionnaire. Il consisterait à
rejeter les messages provenant d'adresses IP réputées être des relais
SMTP ouverts, c'est-à-dire des serveurs d'envoi de courriel
accessibles à quiconque dispose d'un accès à Internet, et qui sont
fréquemment utilisés par des spammeurs. Les adresses IP (qui sont donc
fixes, en l'occurrence) seraient consultées sur une des nombreuses
listes noires disponibles sur Internet (voir <http://rbls.org/>), et
qui sont donc maintenues par des tiers, la plupart du temps situés à
l'étranger. Si la collecte des adresses IP, que vous considérez, à ma
connaissance, comme des données nominatives, n'est pas du ressort du
fournisseur d'accès, en revanche, l'utilisation en France de telles
bases de données n'est-elle pas illégale ? De plus, ne porte-t-elle
pas atteinte au principe de neutralité de l'opérateur dans les
correspondances, énoncé dans l'article D98-1 du Code des Postes et
Télécommunications, dans la mesure où elle effectue une sélection des
expéditeurs de messages ? Le fait que ces expéditeurs puissent
potentiellement nuire à l'intégrité du réseau, ou ne pas être en
conformité avec la directive 2002/58/CE, suffit-il à la justifier ?
Dans l'attente de votre réponse avisée, je reste à votre
disposition pour toute demande de précisions, soit à l'adresse postale
indiquée, soit par courriel à <mysterion.nospam@free.fr>. Je vous
serais également très reconnaissant de me donner l'autorisation de
copier tout ou partie de votre avis sur les forums, ou bien à
destination de Free.
Vous remerciant de l'attention que vous porterez à ma demande, je
vous prie d'accepter, Madame, Monsieur, mes sincères salutations.
N'ayant pas eu l'autorisation explicite de copier leur réponse, je la
résume :
----
La CNIL n'est pas compétente pour répondre à ma question. Elle me
renvoie à la loi du 10 juillet 1991 relative au secret des
correspondances émises par la voie de télécommunications, et me laisse
le soin d'apprécier la nécessité de saisir les autorités judiciaires
ou de contacter l'Association des Fournisseurs d'Accès et de Services
Internet. Concernant le filtrage anti-spam, la CNIL déclare avoir pris
attache avec Free, étant donné sa préoccupation sur le sujet.
----
La lecture de la loi du 10 juillet 1991
(intrégralité sur
http://www.legifrance.gouv.fr/texteconsolide/PCEAR.htm) me laisse
circonspect :
======================================================================
TITRE II : Des interceptions de sécurité.
Article 3
Peuvent être autorisées, à titre exceptionnel, dans les conditions
prévues par l'article 4, les interceptions de correspondances émises
par la voie des télécommunications ayant pour objet de rechercher des
renseignements intéressant la sécurité nationale, la sauvegarde des
éléments essentiels du potentiel scientifique et économique de la
France, ou la prévention du terrorisme, de la criminalité et de la
délinquance organisées et de la reconstitution ou du maintien de
groupements dissous en application de la loi du 10 janvier 1936 sur
les groupes de combat et les milices privées.
======================================================================
Un filtrage automatisé relève-t-il d'une interception au sens où
l'entend cette loi ? Le moins que l'on puisse dire, c'est que la CNIL
ne nous a guère avancés.
Je n'ai pas l'intention de saisir les autorités judiciaires pour un
problème qui est somme toute mieux traité par Free que par la plupart
des autres FSI -quoiqu'ils soient de plus en plus nombreux à
s'équiper d'antivirus. Mais je souhaite relancer ce débat entre
neutralité et secret des correspondances d'une part, et sécurité
informatique d'autre part. Question qui me paraît fondamentale pour
tout fournisseur de service de courrier électronique. Aussi je
m'interroge sur l'opportunité de contacter l'AFA, d'autant plus que
Free a quitté cette association pour des raisons obscures il y a
quelques mois. Qu'en pensez-vous ?
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
J'ai fait remarquer au gestionnaire des serveurs que la mise en place d'un antivirus règlerait à mon avis ces questions. Il détecterait les virus en se basant sur une portion de leur code informatique, qu'il rechercherait uniquement dans les pièces jointes, et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la partie non-confidentielle d'un mail.
A toutes fins utiles - la technique semblant largement vous échapper - ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail, et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Cela présenterait l'avantage de réduire considérablement le risque d'erreur.
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
De plus, lorsqu'un courriel est détecté comme étant infecté, des annonces sont générées pour faire savoir à l'expéditeur et au destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus. Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas de virus.
l'utilisation en France de telles bases (RBL) de données n'est-elle pas illégale ? De plus, ne porte-t-elle pas atteinte au principe de neutralité de l'opérateur dans les correspondances, énoncé dans l'article D98-1
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Celui qui utiliserait ces filtres pour lutter contre Swen serait un
neuneu. Il m'étonnerait que postmaster@free soit un neuneu.
Des solutions qui échappent totalement à votre reproche ont été publiées
à plusieurs reprises sur fr.comp.mail.
J'ai fait remarquer au gestionnaire des serveurs que la mise en
place d'un antivirus règlerait à mon avis ces questions. Il
détecterait les virus en se basant sur une portion de leur code
informatique, qu'il rechercherait uniquement dans les pièces jointes,
et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la
partie non-confidentielle d'un mail.
A toutes fins utiles - la technique semblant largement vous échapper -
ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail,
et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Cela présenterait l'avantage de réduire considérablement le risque
d'erreur.
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
De plus, lorsqu'un courriel est détecté comme étant infecté,
des annonces sont générées pour faire savoir à l'expéditeur et au
destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus.
Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas
de virus.
l'utilisation en France de telles bases (RBL) de données n'est-elle pas
illégale ? De plus, ne porte-t-elle pas atteinte au principe de neutralité
de l'opérateur dans les correspondances, énoncé dans l'article D98-1
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
J'ai fait remarquer au gestionnaire des serveurs que la mise en place d'un antivirus règlerait à mon avis ces questions. Il détecterait les virus en se basant sur une portion de leur code informatique, qu'il rechercherait uniquement dans les pièces jointes, et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la partie non-confidentielle d'un mail.
A toutes fins utiles - la technique semblant largement vous échapper - ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail, et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Cela présenterait l'avantage de réduire considérablement le risque d'erreur.
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
De plus, lorsqu'un courriel est détecté comme étant infecté, des annonces sont générées pour faire savoir à l'expéditeur et au destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus. Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas de virus.
l'utilisation en France de telles bases (RBL) de données n'est-elle pas illégale ? De plus, ne porte-t-elle pas atteinte au principe de neutralité de l'opérateur dans les correspondances, énoncé dans l'article D98-1
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Arrêtez de vous masturber sur vos directives.
-- Jean-Yves Bernier http://www.pescadoo.net/
Stephane Faure
Laurent Wacrenier <lwa@ teaser . fr>, in :
Stephane Faure écrit: > La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous avez tout dit.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne violent aucun secret.
Preuves ?
Accessoirement, l'article ne donne que des droits d'interceptions pour la puissance publique sans interdire l'interception en général.
Il faudrait avoir lu la loi en entier :
"Article 1
Le secret des correspondances émises par la voie des télécommunications est garanti par la loi.
Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci."
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
Laurent Wacrenier <lwa@ teaser . fr>, in
<slrnc348dt.1pjh.lwa@victor.teaser.fr> :
Stephane Faure <mysterion@alussinan.org> écrit:
> La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous
avez tout dit.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne
violent aucun secret.
Preuves ?
Accessoirement, l'article ne donne que des
droits d'interceptions pour la puissance publique sans interdire
l'interception en général.
Il faudrait avoir lu la loi en entier :
"Article 1
Le secret des correspondances émises par la voie des
télécommunications est garanti par la loi.
Il ne peut être porté atteinte à ce secret que par l'autorité
publique, dans les seuls cas de nécessité d'intérêt public prévus par
la loi et dans les limites fixées par celle-ci."
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Stephane Faure écrit: > La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous avez tout dit.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne violent aucun secret.
Preuves ?
Accessoirement, l'article ne donne que des droits d'interceptions pour la puissance publique sans interdire l'interception en général.
Il faudrait avoir lu la loi en entier :
"Article 1
Le secret des correspondances émises par la voie des télécommunications est garanti par la loi.
Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci."
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Et donc, logiquement, c'est à moi que revient le titre de neuneu, n'est-ce pas ? Je ne sais pas ce que François Petillon va penser de vous, maintenant, je crois qu'il lit fmdi...
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
C'est tout le bien que je puisse vous souhaiter.
> J'ai fait remarquer au gestionnaire des serveurs que la mise en > place d'un antivirus règlerait à mon avis ces questions. Il > détecterait les virus en se basant sur une portion de leur code > informatique, qu'il rechercherait uniquement dans les pièces jointes, > et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la partie non-confidentielle d'un mail.
Un antivirus ne recherche que des signatures de virus dans du code binaire, pas des mots. Pour les filtres anti-spam, un autre problème, qui mérite d'être posé.
A toutes fins utiles - la technique semblant largement vous échapper - ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail, et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Ah, voilà que Monsieur le Grand Admin a des velléités éducatives, maintenant. Mais va falloir améliorer les tests d'entrée, hein...
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
L'erreur, c'est de croire qu'un monde sans virus soit possible.
> De plus, lorsqu'un courriel est détecté comme étant infecté, > des annonces sont générées pour faire savoir à l'expéditeur et au > destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus. Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas de virus.
Sur ce point, je suis assez d'accord avec vous (si si !).
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Arrêtez de vous masturber sur vos directives.
Au lieu d'insulter les gens, vous feriez mieux de vous poser quelques questions d'éthique, ça vous donnerait un air plus raffiné.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
Jean-Yves Bernier, in <1g9br91.1wwt9in1wisn6mN%grokub@pescadoo.net> :
Celui qui utiliserait ces filtres pour lutter contre Swen serait un
neuneu. Il m'étonnerait que postmaster@free soit un neuneu.
Et donc, logiquement, c'est à moi que revient le titre de neuneu,
n'est-ce pas ? Je ne sais pas ce que François Petillon va penser de
vous, maintenant, je crois qu'il lit fmdi...
Des solutions qui échappent totalement à votre reproche ont été publiées
à plusieurs reprises sur fr.comp.mail.
C'est tout le bien que je puisse vous souhaiter.
> J'ai fait remarquer au gestionnaire des serveurs que la mise en
> place d'un antivirus règlerait à mon avis ces questions. Il
> détecterait les virus en se basant sur une portion de leur code
> informatique, qu'il rechercherait uniquement dans les pièces jointes,
> et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la
partie non-confidentielle d'un mail.
Un antivirus ne recherche que des signatures de virus dans du code
binaire, pas des mots. Pour les filtres anti-spam, un autre problème,
qui mérite d'être posé.
A toutes fins utiles - la technique semblant largement vous échapper -
ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail,
et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Ah, voilà que Monsieur le Grand Admin a des velléités éducatives,
maintenant. Mais va falloir améliorer les tests d'entrée, hein...
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
L'erreur, c'est de croire qu'un monde sans virus soit possible.
> De plus, lorsqu'un courriel est détecté comme étant infecté,
> des annonces sont générées pour faire savoir à l'expéditeur et au
> destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus.
Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas
de virus.
Sur ce point, je suis assez d'accord avec vous (si si !).
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Arrêtez de vous masturber sur vos directives.
Au lieu d'insulter les gens, vous feriez mieux de vous poser quelques
questions d'éthique, ça vous donnerait un air plus raffiné.
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident)
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Et donc, logiquement, c'est à moi que revient le titre de neuneu, n'est-ce pas ? Je ne sais pas ce que François Petillon va penser de vous, maintenant, je crois qu'il lit fmdi...
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
C'est tout le bien que je puisse vous souhaiter.
> J'ai fait remarquer au gestionnaire des serveurs que la mise en > place d'un antivirus règlerait à mon avis ces questions. Il > détecterait les virus en se basant sur une portion de leur code > informatique, qu'il rechercherait uniquement dans les pièces jointes, > et non dans le contenu confidentiel de l'ensemble des messages.
Va falloir nous expliquer où on trouve la partie confidentielle et la partie non-confidentielle d'un mail.
Un antivirus ne recherche que des signatures de virus dans du code binaire, pas des mots. Pour les filtres anti-spam, un autre problème, qui mérite d'être posé.
A toutes fins utiles - la technique semblant largement vous échapper - ce qu'on nomme "pièces-jointes" ne sont autres que des sections du mail, et le HTML (sans doute confidentiel dans votre idée) peut en être une.
Ah, voilà que Monsieur le Grand Admin a des velléités éducatives, maintenant. Mais va falloir améliorer les tests d'entrée, hein...
L'erreur, c'est les logiciels qui permettent ax virus de proliférer.
L'erreur, c'est de croire qu'un monde sans virus soit possible.
> De plus, lorsqu'un courriel est détecté comme étant infecté, > des annonces sont générées pour faire savoir à l'expéditeur et au > destinataire présumés qu'il n'a pas été délivré
Ces notifications sont une plaie au moins aussi malignes que les virus. Elles ne servent strictement à rien et nous font ch*er puisqu'on n'a pas de virus.
Sur ce point, je suis assez d'accord avec vous (si si !).
Vous êtes malade ou vous êtes avocat?
Si vous voulez bouffer de la merde, prenez un compte mail non filtré.
Arrêtez de vous masturber sur vos directives.
Au lieu d'insulter les gens, vous feriez mieux de vous poser quelques questions d'éthique, ça vous donnerait un air plus raffiné.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident)
manu
Laurent Wacrenier wrote:
> Bref, on est dans une situation juridiquement scabreuse alors que la > solution technique existe pour faire les choses sans qu'il n'y ait rien > à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en > oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très > bien. Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité et on en parle plus. Tu peux même les empiler à mesure que ta charge augmente, alors faut pas m'embêter avec ça! :-)
-- Emmanuel Dreyfus A lire: 240 pages en français sur l'administration UNIX avec BSD http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Laurent Wacrenier <lwa@teaser.fr> wrote:
> Bref, on est dans une situation juridiquement scabreuse alors que la
> solution technique existe pour faire les choses sans qu'il n'y ait rien
> à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en
> oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très
> bien.
Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité
et on en parle plus. Tu peux même les empiler à mesure que ta charge
augmente, alors faut pas m'embêter avec ça! :-)
--
Emmanuel Dreyfus
A lire: 240 pages en français sur l'administration UNIX avec BSD
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
> Bref, on est dans une situation juridiquement scabreuse alors que la > solution technique existe pour faire les choses sans qu'il n'y ait rien > à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en > oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très > bien. Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité et on en parle plus. Tu peux même les empiler à mesure que ta charge augmente, alors faut pas m'embêter avec ça! :-)
-- Emmanuel Dreyfus A lire: 240 pages en français sur l'administration UNIX avec BSD http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu
Stephane Faure wrote:
> Que si Free faisait ce filtrage sur le MX du domaine en refusant le > courrier qui tombe dans les critères du filtre, il n'y aurait pas de > destruction de courrier. Ce serait simplement un refus de service. Et > que je sache, aucune loi n'oblige un FSI à accepter un courrier. Si elle interdit de les intercepter (sauf cas cités dans la loi en question), c'est quelle oblige de les transmettre, non ?
Bon, pour bien comprendre comment ca marche, faut quelques explications.
Lorsqu'un message passe d'un client à un serveur de messagerie, ou bien d'un serveur de messagerie à un autre, tout le message est envoyé, et à la fin, le recepteur indique à l'emetteur qu'il a bien recu le message et qu'il en prends la responsabilité. A ce moment là l'emetteur a le droit d'effacer le message de ses files d'attentes.
Ce mécanisme est là pour eviter que le message ne soit perdu si par exemple le recepteur plante en cours de transfer, ou si au moment d'ecrire le message sur le disque il découvre que le disque est plein.
C'est à ce moment là qu'il faut faire le filtrage pour eviter les rebonds dus aux fausses adresses: le recepteur reçoit tout le message avant d'en prendre la responsabilité. Il a le loisir de l'examiner avant de dire si oui ou non il l'accepte. Et on a même le droit de prendre son temps pour décider, la connexion SMTP mettant quand même pas mal de temps avant de partir en timeout.
Si le message est refusé, le recepteur n'a pas besoin d'envoyer un message de notification d'erreur, puisque le message n'a jamais été sous sa responsabilité. C'est à l'emetteur qu'echoit cette obligation. Et, en bout de chaine, cet emetteur, c'est le spammeur ou la machine infectée par un virus, qui ne va pas s'ecrire une notification à elle-même: ca n'est pas son but.
Bref, dans ce scenario, il n'y a pas d'interception, mais un refus de service. Exactement comme quand tu essayes d'envoyer un paquet trop gros à la Poste: le guichetier te dis non, et tu restes avec ton colis. La Poste n'a rien intercepté du tout, c'est parfaitement légal, il n'y a aucune equivoque juridique.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Stephane Faure <mysterion@alussinan.org> wrote:
> Que si Free faisait ce filtrage sur le MX du domaine en refusant le
> courrier qui tombe dans les critères du filtre, il n'y aurait pas de
> destruction de courrier. Ce serait simplement un refus de service. Et
> que je sache, aucune loi n'oblige un FSI à accepter un courrier.
Si elle interdit de les intercepter (sauf cas cités dans la loi en
question), c'est quelle oblige de les transmettre, non ?
Bon, pour bien comprendre comment ca marche, faut quelques explications.
Lorsqu'un message passe d'un client à un serveur de messagerie, ou bien
d'un serveur de messagerie à un autre, tout le message est envoyé, et à
la fin, le recepteur indique à l'emetteur qu'il a bien recu le message
et qu'il en prends la responsabilité. A ce moment là l'emetteur a le
droit d'effacer le message de ses files d'attentes.
Ce mécanisme est là pour eviter que le message ne soit perdu si par
exemple le recepteur plante en cours de transfer, ou si au moment
d'ecrire le message sur le disque il découvre que le disque est plein.
C'est à ce moment là qu'il faut faire le filtrage pour eviter les
rebonds dus aux fausses adresses: le recepteur reçoit tout le message
avant d'en prendre la responsabilité. Il a le loisir de l'examiner avant
de dire si oui ou non il l'accepte. Et on a même le droit de prendre son
temps pour décider, la connexion SMTP mettant quand même pas mal de
temps avant de partir en timeout.
Si le message est refusé, le recepteur n'a pas besoin d'envoyer un
message de notification d'erreur, puisque le message n'a jamais été sous
sa responsabilité. C'est à l'emetteur qu'echoit cette obligation. Et,
en bout de chaine, cet emetteur, c'est le spammeur ou la machine
infectée par un virus, qui ne va pas s'ecrire une notification à
elle-même: ca n'est pas son but.
Bref, dans ce scenario, il n'y a pas d'interception, mais un refus de
service. Exactement comme quand tu essayes d'envoyer un paquet trop gros
à la Poste: le guichetier te dis non, et tu restes avec ton colis. La
Poste n'a rien intercepté du tout, c'est parfaitement légal, il n'y a
aucune equivoque juridique.
--
Emmanuel Dreyfus
Un bouquin en français sur BSD:
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
> Que si Free faisait ce filtrage sur le MX du domaine en refusant le > courrier qui tombe dans les critères du filtre, il n'y aurait pas de > destruction de courrier. Ce serait simplement un refus de service. Et > que je sache, aucune loi n'oblige un FSI à accepter un courrier. Si elle interdit de les intercepter (sauf cas cités dans la loi en question), c'est quelle oblige de les transmettre, non ?
Bon, pour bien comprendre comment ca marche, faut quelques explications.
Lorsqu'un message passe d'un client à un serveur de messagerie, ou bien d'un serveur de messagerie à un autre, tout le message est envoyé, et à la fin, le recepteur indique à l'emetteur qu'il a bien recu le message et qu'il en prends la responsabilité. A ce moment là l'emetteur a le droit d'effacer le message de ses files d'attentes.
Ce mécanisme est là pour eviter que le message ne soit perdu si par exemple le recepteur plante en cours de transfer, ou si au moment d'ecrire le message sur le disque il découvre que le disque est plein.
C'est à ce moment là qu'il faut faire le filtrage pour eviter les rebonds dus aux fausses adresses: le recepteur reçoit tout le message avant d'en prendre la responsabilité. Il a le loisir de l'examiner avant de dire si oui ou non il l'accepte. Et on a même le droit de prendre son temps pour décider, la connexion SMTP mettant quand même pas mal de temps avant de partir en timeout.
Si le message est refusé, le recepteur n'a pas besoin d'envoyer un message de notification d'erreur, puisque le message n'a jamais été sous sa responsabilité. C'est à l'emetteur qu'echoit cette obligation. Et, en bout de chaine, cet emetteur, c'est le spammeur ou la machine infectée par un virus, qui ne va pas s'ecrire une notification à elle-même: ca n'est pas son but.
Bref, dans ce scenario, il n'y a pas d'interception, mais un refus de service. Exactement comme quand tu essayes d'envoyer un paquet trop gros à la Poste: le guichetier te dis non, et tu restes avec ton colis. La Poste n'a rien intercepté du tout, c'est parfaitement légal, il n'y a aucune equivoque juridique.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Le second filtre, sûrement, mais le premier me semble légitime puisqu'il allie l'intitulé du champ en majuscules avec le contenu dudit champ. La majorité des autres postmasters n'ont pas pris cette précaution et ont viré purement et simplement ^SUBJECT, ce qui a engendré quelques (très rares) faux positifs.
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
Je confirme en flinguer encore une dizaine par jour avec le filtre qu'avait donné Olivier Miakinen dans les heures qui avaient suivi l'apparition de la bête. Mais bon, comme c'est un filtre sémantique, ça n'aurait pas résolu le problème de M. Faure, dont les correspondants risqueraient d'employer la chaîne « <iFrame » dans le courrier qu'ils lui envoient. -- Thierry.
Celui qui utiliserait ces filtres pour lutter contre Swen serait un
neuneu. Il m'étonnerait que postmaster@free soit un neuneu.
Le second filtre, sûrement, mais le premier me semble légitime puisqu'il
allie l'intitulé du champ en majuscules avec le contenu dudit champ. La
majorité des autres postmasters n'ont pas pris cette précaution et ont viré
purement et simplement ^SUBJECT, ce qui a engendré quelques (très rares)
faux positifs.
Des solutions qui échappent totalement à votre reproche ont été publiées
à plusieurs reprises sur fr.comp.mail.
Je confirme en flinguer encore une dizaine par jour avec le filtre qu'avait
donné Olivier Miakinen dans les heures qui avaient suivi l'apparition de la
bête.
Mais bon, comme c'est un filtre sémantique, ça n'aurait pas résolu le
problème de M. Faure, dont les correspondants risqueraient d'employer la
chaîne « <iFrame » dans le courrier qu'ils lui envoient.
--
Thierry.
Celui qui utiliserait ces filtres pour lutter contre Swen serait un neuneu. Il m'étonnerait que soit un neuneu.
Le second filtre, sûrement, mais le premier me semble légitime puisqu'il allie l'intitulé du champ en majuscules avec le contenu dudit champ. La majorité des autres postmasters n'ont pas pris cette précaution et ont viré purement et simplement ^SUBJECT, ce qui a engendré quelques (très rares) faux positifs.
Des solutions qui échappent totalement à votre reproche ont été publiées à plusieurs reprises sur fr.comp.mail.
Je confirme en flinguer encore une dizaine par jour avec le filtre qu'avait donné Olivier Miakinen dans les heures qui avaient suivi l'apparition de la bête. Mais bon, comme c'est un filtre sémantique, ça n'aurait pas résolu le problème de M. Faure, dont les correspondants risqueraient d'employer la chaîne « <iFrame » dans le courrier qu'ils lui envoient. -- Thierry.
ludovic.cynomys
Emmanuel Dreyfus wrote:
Et on a même le droit de prendre son temps pour décider, la connexion SMTP mettant quand même pas mal de temps avant de partir en timeout.
Ça doit être de l'ordre de la milliseconde, en général ? Pour ouanadoux, on dira une journée...
Le record, je viens de le voir chez moi, un message refusé *5 jours* après son envoi !
Pour info, c'était un message pour l'ANCV (chèques vacances) On avait un formulaire sur le site, qui a déclenché l'envoi d'un message "Mail" normal avec les données du formulaire... 5 jours après, j'ai un "connection refused" ;->
-- Arf !
Emmanuel Dreyfus <manu@netbsd.org> wrote:
Et on a même le droit de prendre son temps pour décider, la connexion SMTP
mettant quand même pas mal de temps avant de partir en timeout.
Ça doit être de l'ordre de la milliseconde, en général ?
Pour ouanadoux, on dira une journée...
Le record, je viens de le voir chez moi, un message refusé *5 jours*
après son envoi !
Pour info, c'était un message pour l'ANCV (chèques vacances)
On avait un formulaire sur le site, qui a déclenché l'envoi d'un message
"Mail" normal avec les données du formulaire...
5 jours après, j'ai un "connection refused" ;->
Et on a même le droit de prendre son temps pour décider, la connexion SMTP mettant quand même pas mal de temps avant de partir en timeout.
Ça doit être de l'ordre de la milliseconde, en général ? Pour ouanadoux, on dira une journée...
Le record, je viens de le voir chez moi, un message refusé *5 jours* après son envoi !
Pour info, c'était un message pour l'ANCV (chèques vacances) On avait un formulaire sur le site, qui a déclenché l'envoi d'un message "Mail" normal avec les données du formulaire... 5 jours après, j'ai un "connection refused" ;->
-- Arf !
Laurent Wacrenier
Stephane Faure écrit:
> La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous avez tout dit.
LISEZ ET COMPRENNEZ CE QU'ON VOUT DIT.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne violent aucun secret.
Preuves ?
LISEZ ET COMPRENNEZ LA LOI.
Accessoirement, l'article ne donne que des droits d'interceptions pour la puissance publique sans interdire l'interception en général.
Il faudrait avoir lu la loi en entier :
LISEZ ET COMPRENNEZ CE QUE VOUS CITEZ.
Stephane Faure <mysterion@alussinan.org> écrit:
> La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous
avez tout dit.
LISEZ ET COMPRENNEZ CE QU'ON VOUT DIT.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne
violent aucun secret.
Preuves ?
LISEZ ET COMPRENNEZ LA LOI.
Accessoirement, l'article ne donne que des
droits d'interceptions pour la puissance publique sans interdire
l'interception en général.
> La CNIL n'est pas compétente pour répondre à ma question. Elle me
On vous l'avait dit, non ?
Non. Sauf à considérez par principe que vous savez tout et que vous avez tout dit.
LISEZ ET COMPRENNEZ CE QU'ON VOUT DIT.
> TITRE II : Des interceptions de sécurité.
Ça recommence ? Ces filtres ne sont pas des interceptions et ne violent aucun secret.
Preuves ?
LISEZ ET COMPRENNEZ LA LOI.
Accessoirement, l'article ne donne que des droits d'interceptions pour la puissance publique sans interdire l'interception en général.
Il faudrait avoir lu la loi en entier :
LISEZ ET COMPRENNEZ CE QUE VOUS CITEZ.
Laurent Wacrenier
Emmanuel Dreyfus écrit:
> Bref, on est dans une situation juridiquement scabreuse alors que la > solution technique existe pour faire les choses sans qu'il n'y ait rien > à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en > oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très > bien. Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité et on en parle plus. Tu peux même les empiler à mesure que ta charge augmente, alors faut pas m'embêter avec ça! :-)
Bref, ça engendre un surcoût.
Emmanuel Dreyfus <manu@netbsd.org> écrit:
> Bref, on est dans une situation juridiquement scabreuse alors que la
> solution technique existe pour faire les choses sans qu'il n'y ait rien
> à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en
> oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très
> bien.
Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité
et on en parle plus. Tu peux même les empiler à mesure que ta charge
augmente, alors faut pas m'embêter avec ça! :-)
> Bref, on est dans une situation juridiquement scabreuse alors que la > solution technique existe pour faire les choses sans qu'il n'y ait rien > à redire. Et je ne parle pas en l'air, cette solution je l'ai mise en > oeuvre sur la messagerie dont j'ai la charge, et ca fonctionne très > bien. Combien de centaines de milliers de messages par jour ?
Si t'as trop de charge, tu met plusieurs MX au même niveau de priorité et on en parle plus. Tu peux même les empiler à mesure que ta charge augmente, alors faut pas m'embêter avec ça! :-)
Bref, ça engendre un surcoût.
Laurent Wacrenier
Stephane Faure écrit:
Si elle interdit de les intercepter (sauf cas cités dans la loi en question), c'est quelle oblige de les transmettre, non ?
Lisez la loi (CPP), "intercepter" n'a pas le sens que vous lui prétez.
Stephane Faure <mysterion@alussinan.org> écrit:
Si elle interdit de les intercepter (sauf cas cités dans la loi en
question), c'est quelle oblige de les transmettre, non ?
Lisez la loi (CPP), "intercepter" n'a pas le sens que vous lui prétez.
