HOWTO Partager mon accès internet avec l'installation d'un portail captif

Objectif L'opération consiste à installer sur un boîtier routeur wifi du commerce un portail captif que vous installerez chez vous afin de disposer des fonctionnalités suivantes: Permettre de partager simplement sa connexion internet en proposant un accès wifi authentifié sans avoir à donner des codes ou à intervenir dans la configuration de boîtiers ou de logiciels. Filtrer les connexion pour restreindre l'usage du partage de la connexion à internet à des utilisations normales et réduire les risques d'infraction ou d'abus. Archiver (journaliser ou logger dans le jargon) l'historique des accès qui s'effectuent via la connexion internet partagée. C'est à dire conserver les traces de "qui se connecte à quoi, quand et à partir de quelle machine". En aucun cas le contenu des échanges (mail, pages et images consultées etc...) n'est lu ou stocké.

Comment ça marche

L'infrastructure, la connexion

L'équipement 'Portail Captif' consiste en un petit boîtier qui va venir s'interfacer sur un réseau informatique, souvent très simple. Il viendra généralement s'installer entre votre boîtier modem ADSL et votre poste PC fixe déjà existant. Il va permettre de séparer votre usage personnel de l'accès internet, généralement illimité, de celui partagé avec des tiers pour lesquels le boîtier va limiter les fonctionnalités à des usages basiques mais souvent suffisants (consultation de sites web et récupération de mèls).

Si la zone à couvrir en WiFi est de faible étendue (un bâtiment avec quelques pièces et alentours très proches), un seul boîtier 'portail captif' suffira généralement. Si la zone à couvrir est plus vaste (plusieurs bâtiments, ou présence d'obstacles devant être contournés) alors il faudra une installation avec plusieurs boîtiers permettant de couvrir l'ensemble de la zone.

Il est aussi possible de la même façon de partager sa connexion de façon sécurisée avec un poste utilisateur fixe de type "boîtier tour" connecté en filaire (ou wifi aussi).

La sécurité, la responsabilité

Toute personne qui partage son accès à internet (même personnel) devient, au regard de la loi, un fournisseur d'accès à internet. La personne qui partage sa connexion à internet est ainsi soumise aux réglementations et aux obligations légales des fournisseurs d'accès, en particulier l'obligation de mise en place de dispositifs de contrôles et d'archivage des connexions. En cas de litige, le fournisseur d'accès (de fait) est tenu de fournir précisément à la justice l'identité des personnes s'étant connectées à partir de sa connexion internet, principalement pour se disculper et être en mesure de dire "voila la preuve que ce n'était pas moi".

La solution proposée par le 'portail captif' est simple et peu onéreuse, elle permet de se mettre en conformité avec les réglementations et de se protéger en cas d'abus.

Les accès internet partagés, filtrés par le portail captif (et l'on parle bien des connexions et non des information échangées), seront archivés sur un serveur distant sur internet au cas ou un tiers utiliserait votre connexion internet pour un usage frauduleux. Ces informations sont conservées de façon confidentielles et ne peuvent être demandées et obtenues que par la justice sur commission rogatoire, comme cela s'est déjà produit.

Le portail captif permet aussi de cloisonner et isoler les machines qui se connectent, c'est à dire que votre réseau personnel ne sera pas visible par les personnes qui utiliseront le partage de connexion contrôlé. Vous éviterez ainsi que des petits malins viennent voir sur votre réseau ou sur votre machine personnelle ou professionnelle ce qui s'y trouve, ce qui s'y passe ou qu'il décide de vous laisser pour tout remerciement un joli virus ou troyen qui vous causera bien des ennuis.

La facilité

Le portail captif sécurise donc le partage d'accès à internet. Mais il simplifie aussi la configuration d'accès en rendant les opérations informatiques automatiques. Pas besoin d'intervention humaine pour donner un code à la personne voulant se connecter, lui fournir une carte prépayées ou bricoler un appareil ou un logiciel....

En effet, "portail captif" signifie que lorsque un utilisateur tentera d'utiliser la connexion semi-ouverte partagée pour la première fois, il se trouvera capté par le portail. C'est à dire qu'il se connectera au réseau sans aucun problème particulier, il aura juste à cliquer sur le réseau qui apparaîtra dans la liste des réseaux disponibles, pas mot de passe compliqué ou code à saisir, rien à bricoler sur la box ADSL. Mais lorsqu'il tentera de se connecter à internet pour la première fois, il sera automatiquement invité à fournir un identifiant et un mot de passe qu'il aura lui même préalablement choisi pour pouvoir continuer. A la toute première tentative d'utilisation du service, l'utilisateur devra s'inscrire sur le portail, il devra fournir son identité, choisir un identifiant et un mot de passe et confirmer son adresse mail. Un fois cette confirmation effectuée l'utilisateur pourra se connecter sur le portail et surfer sur internet. A chaque fois qu'il utilisera la connexion partagée ultérieurement, il devra simplement redonner l'identifiant et le mot de passe qu'il a choisi lors de son inscription pour pouvoir surfer sur la toile.

Installation du point d'accès

1. Le choix d'un site d'implantation
2. Le choix d'un matériel adapté au besoin et au site d'implantation (type de routeur, antenne), un équipement standard prêt à l'emploi coûte un peu moins de 200 euros
3. La mise en conformité réglementaire (choix d'un fournisseur d'accès, récupération et gestion des journaux de connexion, restriction et contrôle des accès)
4. Inscription et ouverture d'un compte chez France Wireless pour bénéficier du serveur d'authentification et la gestion des logs (peut être fait par ou via ARCHLOSS directement)
5. L'installation et la configuration du firmware
6. Réalisation de tests de qualité du signal (position des éléments actifs et passifs), implantation dans le réseau existant

Le Journal Curieux a interrogé ARCHLOSS sur le partage d'accès internet et la solution 'portail captif'

JC: Nombreux sont ceux qui se débrouillent autrement et partagent leur accès sans avoir recours à ce type de portail captif, pourquoi ?

Archloss: En effet nombreux sont ceux, souvent des professionnels, qui font autrement, généralement par manque d'information, parfois pour économiser quelques dizaines d'euros et le plus souvent parce qu'ils n'ont pas trouvé d'offre sérieuse ou que celles qui leur ont été proposées ne sont pas adptées à leur besoin, trop contraignantes ou trop chères.

JC: Mon voisin à une connexion internet chez 'celui qui a tout compris', il a configuré sa box pour que tout le monde puisse se connecter, ce n'est pas une solution simple pour partager son accès internet ?

Archloss: Ce type de configuration est en effet très fréquent. C'est en fait, celui qui présente le plus de risque. La personne qui partage sa connexion internet de cette façon supprime tous les mot de passe (WEP,WPA...) et tous les moyens de filtrages configurés par les FAI sur les box ADSL du commerce.

L'utilisation de la connexion internet par des inconnus est alors totalement libre, sans aucune limitation ni contrôle. N'importe qui peut l'utiliser pour accéder au web sans aucune difficulté technique sans aucune restriction, pas besoin de craquer une clef ou un mot de passe, pas besoin d'écouter et analyser le trafic réseau.

Ce type d'accès ouvert est aujourd'hui un des moyens les plus recherchés par les grands délinquants sur le web pour dissimuler leurs agissements derrière l'identité d'un autre. La recherche active de ces réseaux ouverts par des délinquants est une activité bien connue appelée wardriving. Elle consiste à se promener avec un récepteur pour trouver le réseau ouvert pouvant facilement être utilisé pendant quelques instants pour des activités illégales, puis aller plus loin en trouver un autre pour continuer cette activité répréhensible.

Les faits conduisant à des plaintes et des poursuites pénales sont peu fréquents, mais sont généralement très graves (terrorisme, pédophilie, usurpation d'identité, trafics divers ....). Dans ces cas, le titulaire de l'accès internet utilisé pour ces agissements est mis en cause dans l'enquête, sa responsabilité ou participation est évaluée lors de l'instruction judiciaire.

Les nouvelles réglementations votées ces derniers mois visent d'ailleurs à responsabiliser d'avantage les titulaires de l'abonnement internet et prévoient désormais des sanctions. On parle même de lois encore plus sévères en préparation...

JC: Et la seule solution, c'est donc le 'portail captif' ?

Archloss: Non, il y a bien sûr d'autres solutions. Il est possible de filtrer et journaliser soi-même les accès avec diverses solutions logicielles, en particulier les logiciels libres proposent par exemple depuis longtemps l'attirail nécessaire pour cela.

Disons cependant que techniquement c'est un peu complexe à mettre en oeuvre si l'on souhaite automatiser les choses convenablement et cela nécessite des connaissances en informatique des réseaux et un peu d'expérience. Mais surtout cela prend généralement beaucoup de temps.

Les solutions à base de filtrage des adresses MAC sont de bonnes solutions, c'est d'ailleurs le principe du fonctionnement du portail captif wifidog que nous embarquons sur nos boîtiers. Mais si à chaque fois qu'une personne veut se connecter, il faut chercher avec elle sur son PC ou téléphone l'adresse MAC, puis la saisir sur l'interface de configuration de la box, puis appuyer sur le petit bouton noir et attendre et vérifier que la personne se connecte avant que la petite led rouge arrête de clignoter, cela devient compliqué. Si cela doit se répéter, cela devient difficilement possible à gérer, sauf à aimer cela et avoir du temps à y consacrer.

Le portail captif embarqué apporte une réelle simplification et automatisation de ces démarches. C'est facile pour l'utilisateur, transparent et sécurisé pour celui qui partage sa connexion, et cela ne nécessite aucune intervention humaine.

JC: A qui s'adresse cette solution de portail captif, comment la mettre en place ?

Archloss: La solution s'adresse à toute personne qui souhaite partager son accès internet et sécuriser ce partage. Il y a de nombreuses documentation sur le web qui expliquent comment procéder, en particulier sur le site de la Fédération France Wireless. La configuration et l'installation restent cependant un ensemble d'opérations technique relativement complexes et pour la personne qui ne veut pas y passer des semaines, la solution la plus simple est de s'adresser aux associations locales comme ARCHLOSS ou CaenSansFil qui ont une bonne expérience de ces problématiques et ont des solutions simples à mettre en oeuvre et largement éprouvées.

JC: Continuez-vous à développer votre solution de portail captif ?

Archloss: Naturellement, c'est un sujet très interssant pour nous qui repose sur le logiciel libre, pour lequel nous militons depuis toujours, et attrait à la sécurité et les réseaux qui sont des sujets qui nous intéressent particulièrement. La solution actuellement distribuée est très stable, mais nous avons toujours des extentions et des améliorations à imaginer et développer, la TODO liste est déjà assez longue mais nous comptons sur le retour des utilisateurs pour nous emmener encore plus loin.

Liens Puissance maximale autorisée de l'émetteur Howto CSF Obligations réglementaires en France

Site internet