Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Historisation des commandes sous UNIX, est-ce légal ?
Bonjour,
Je souhaite poser une question.
Comme vous le savez les dernières commandes saisies sont historisées par le système, si je souhaite faire un script qui sauvegarde cette historisation dans un ficher afin de conserver sur de très longues durées l'intégralité des commandes saisie sur une console.
Est-ce illégal de faire ce type de script sauf si une déclaration à la CNIL est effectuée et que tout les utilisateurs sont avertis ?
Pouvez m'éclairer ?
Merci pour votre aide.
Salut,
Effectivement on t'as bien renseigné.
A partir du moment ou il y a conservation de données liées à un utilisateur de l'outil informatique, traitement de données fournies par des personnes, ...
Il faut déclarer à la CNIL la façon dont ces données sont récoltées, conservées et traitées.
Dans ton cas, la surveillance à l'insu du salarié qui amènerait à sont renvoi serait illégale. Le salarié pourrait demander sa réintégration au sein de l'entreprise et l'obtiendrai.
Si on informe les salariés est-ce illégale ? Faut-il donc créer des purges automatique de toutes les traces (commandes et connexions) ?
En standard Apache Oracle et d'autres progiciels conservent les données de connexion très longtemps par un système de rotation de logs sur nos serveurs, on a aussi des bases de données qui enregistres toutes les sessions (ip + login windows) sur nos applis. Et même si on faisait des purges il y a une sauvegarde tous les jours.
Donc toutes ces traces seraient illégales (listener Oracle, Apache, le fichier bash_history de chaque user etc . )?
Si je m'aperçois que notre application a été piratée et que je retrouve l'IP du coupable dans les trace Apache je suis donc dans l'illégalité ?
Faire des sauvegardes quotidiennes d'un serveur serait donc illégale puisque je peux restorer les fichiers bash_history et savoir quelle commandes on été passées un mois avant
Je précise qu'il s'agit de serveurs avec des login génériques et nom pas de postes clients nominatifs.
Merci.
Salut,
Je ne suis pas juriste et n'ai fait que rapporter l'idée générale de ce que j'ai pu lire ici ou là.
A mon avis la meilleure source sur ce sujet c'est la CNIL elle-même.
Au moins tu sauras exactement ce qu'il en est en fonction de ce que tu souhaite faire.
La CNIL à aussi un rôle de conseil en plus de celui de gendarme
Irrecevable surement parce que la manière dont a été obtenu est jugée illégale.Envoyé par kyake
Si on informe les salariés est-ce illégale ? Faut-il donc créer des purges automatique de toutes les traces (commandes et connexions) ?
En standard Apache Oracle et d'autres progiciels conservent les données de connexion très longtemps par un système de rotation de logs sur nos serveurs, on a aussi des bases de données qui enregistres toutes les sessions (ip + login windows) sur nos applis. Et même si on faisait des purges il y a une sauvegarde tous les jours.
Donc toutes ces traces seraient illégales (listener Oracle, Apache, le fichier bash_history de chaque user etc . )?
Si je m'aperçois que notre application a été piratée et que je retrouve l'IP du coupable dans les trace Apache je suis donc dans l'illégalité ?
Faire des sauvegardes quotidiennes d'un serveur serait donc illégale puisque je peux restorer les fichiers bash_history et savoir quelle commandes on été passées un mois avant
Je précise qu'il s'agit de serveurs avec des login génériques et nom pas de postes clients nominatifs.
Merci.
Je t'avoue que je me suis jamais posé la question pour les .bash_history et autre....
Mais sont elles des données nominatives?
Un compte oracle est souvent utilisé par deux ou trois dba...
A ce moment, il faudrait déclarer chaque serveur Unix parce que syslog log les connexions?
On atteint des sommets là ... (merde 500 serveurs à déclarer à la CNIL)
Bonjour,
Aucun compte Unix n'est nominatif, on a des centaines de serveurs et moi aussi je suis étonné qu'il faille tous les déclarer à la CNIL pour avoir le droit d'historiser les commandes passées sur les consoles. Vous pensez réellement que tous les serveurs Unix en France soit déclarés à la CNIL ?
Merci
Bonjour,
Oui, il est legal de laisser l'historisation pour les programmes cites, sans devoir les declarer a la CNIL.
En revanche, non il n'est pas legal de se servir de ces logs contre des employes, a moins qu'ils n'aient ete avertis (lettre signee par les deux parties) et que la declaration idoine ait ete faite a la CNIL.
Concernant un piratage exterieur que tu decouvrirais a travers une analyse de log, il s'agit d'autre chose puisqu'il question ici d'intrusion dans un systeme.
Bonjour,
Donc si je mais en place des scripts qui sauvegardent toutes les traces (commandes, heures de connexion etc) et que je ne m'en sert pas contre une personne pour la faire licencier c'est légal, merci pour l'infos c'est exactement ce que je cherche à faire. Il se passe des choses bizarre sur nos serveur je souhaite juste savoir quoi ? Si il s'avère qu'une personne fait de fausses manip je lui indiquerai tout simplement mais on n'engagera aucune poursuite, de toute façon ce n'est pas très grave et certainement pas volontaire, il faut juste que cela s'arrête.
Si il s'agit d'une intrusion c'est donc autre chose mais je dois forcément faire le lien entre les commandes passé à une certaine heure et les traces de connexion aux serveur aux mêmes heures.
Merci.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager