Utilisation d'un accès par plusieurs personnes

Bonjour à vous !

Je m'occupe d'un site Internet pour lequel est délivré un accès par membre !

On s'est rendu compte (en discutant avec nos clients) que certains donnaient leur identifiant et mot de passe à d'autres personnes ce qui est formellement interdit selon nos conditions particulières.

Je souhaiterais savoir comment identifier le mieux possible les accès utilisés par plusieurs personnes différentes au lieu d'une seule...

Merci d'avance !

Bonjour,

la prévention peut consister à faire signer une charte d'utilisation simple et claire et à responsabiliser les utilisateurs: ils ne voient en général même pas où est le problème, la sécurité ça leur parle pas vraiment et les enjeux ou les conséquences leur passent au-dessus ...

Pourquoi font-ils ça?
La prévention peut consister aussi à avoir un système le moins contraignant possible pour eux (temps ou embêtements minimaux pour avoir un compte pour quelqu'un d'autre que eux), sans quoi ils le contourneront allègrement! C'est juste plus simple pour eux de faire comme ça ...

Sinon pourquoi vous interdisez cela? Il y a des conséquences possibles? Essayez de le faire comprendre à ces personnes ...
Est-ce que ce sont des clients de votre entreprise, les tuteurs de stagiaires qui ont pas droit à un compte, des salariés de la boîte?


Pour tenter de répondre techniquement à ta question: détecter l'IP, le FAI, le type de navigateur, les cookies est une première étape pour détecter les accès multiples (*) mais ce n'est pas suffisant.
Tu peux essayer de détecter les accès simultanés avec un même compte (c'est louche) ou, en ayant établi un profil des habitudes d'un compte, t'alerter des nouveautés (le Directeur machin se connecte de son poste à l'IP fixe et de chez lui via le FAI Huit Telecom, puis un jour apparaît une connexion d'un autre poste ou via AOL ou en pleine nuit ou le soir pour la 1ère fois: huh?)

(*) attention avec certains FAI comme AOL, toutes les connexions de tous les clients semblent sortir d'une quinzaine de proxys au pif. 2 PC auront la même IP en même temps et un PC changera d'IP toutes les secondes parfois, en restant dans cette liste d'IP des proxys ...
Modifié par Felipe (08 Jan 2008 - 12:27)

Pris de court pas Felipe sur les explications technique, par contre, j'avais pas pensé à la prévention http://www.grid-france.fr/forum/img/smilies/plus1.gif

a écrit :
Sinon pourquoi vous interdisez cela ? Il y a des conséquences possibles ?

Il s'agit d'un accès payant pour des clients se trouvant dans des sociétés différentes. Au lieu de souscrire à notre abonnement, certains s'arrangent entre eux (entre sociétés !) pour se partager le prix de l'abonnement ainsi que les moments de connexions.

C'est-à-dire que tous les matins jusqu'à une certaine heure, c'est telle société qui se connecte. Après cette "heure", c'est l'autre société qui se connecte. Edit: Ca c'est pour les plus malins de nos clients, bien entendu !

Pourquoi font-ils ça ? Probablement à cause de notre système de sécurité où seul un compte peut être actif à la fois sur notre site Internet. Si un deuxième membre avec le même compte se connecte (alors que le compte est déjà connecté avec le premier membre), il éjecte le premier membre du site Internet pour laisser la place au deuxième membre.
Modifié par Alphonse (08 Jan 2008 - 12:38)

a écrit :
Pour tenter de répondre techniquement à ta question: détecter l'IP, le FAI, le type de navigateur, les cookies est une première étape pour détecter les accès multiples

Qu'est-ce que les cookies peuvent m'apporter ? Ou quelle information puis-je en tirer ?

Les cookies, dans ce cas, te permettront de détecter si deux personnes se connectent en même temps au réseau. Vu qu'en l'occurence, ils ne se connectent pas en même temps, ça n'a pas un énorme intérêt mais c'est déjà ça de plus. On peut également imaginer de restreindre l'accès à : un compte = une inscription = un cookie = un ordinateur. Mais je crains que ça ne soit guère utile car bon nombres d'utilisateurs suppriment leurs cookies régulièrement ...

Pars bien avec l'idée qu'il n'y a pas de solution miracle à ta question. Si tu peux limiter le nombre de connexions simultanées, rien ne te permettra de définir clairement qui peut y accéder. Sensibiliser tes clients reste la solution la plus adaptée ... car c'est malheuresement la seule solution .

Ok d'accord. Je vous remercie tous pour vos réponses.

Je vais mettre un système au point pour que lorsqu'un membre se fait éjecter par un autre, un mail me soit envoyé comme quoi il y aurait éventuellement un risque de "piratage".

De plus, toutes les connexions faites à moins de 30 minutes d'intervalle seront mises en évidence dans le listing des connexions.

Ah oui tu as affaire à des malins quand même

cookies> C'est plus les sessions en fait (que l'on stocke dans un cookie en général) et +1 avec Gaylord.P, mais comme on peut nettoyer à fond son navigateur ...

Si les gens se connectent depuis des entreprises séparées, l'IP va te permettre de discriminer tout ça. Jusqu'à ce qu'ils se montent un tunnel VPN (mais entre entreprises ça passera mal avec leurs services infos)
Modifié par Felipe (08 Jan 2008 - 15:30)

a écrit :
Si les gens se connectent depuis des entreprises séparées, l'IP va te permettre de discriminer tout ça.

Tout à fait, mais il est également possible que ces gens se déplacent et, du coup, se connectent à des endroits différents avec des IPs différentes...

Je vais avancer doucement sur ce terrain car il s'agit pas d'accuser un client à tort ! Dans un premier temps, je vais voir si il est possible d'en tirer quelque chose.

Puis comme tu l'as dit, essayez au fil du temps de déterminer un profil pour chaque utilisateur : adresse ip, FAI, type de navigateur web, etc.

Une solution unique, est impossible de contourner (sauf connaissance poussées).

Associer l'ip (Fixe) d'une entreprise, à un compte. Cette dernière ne pourrais alors donc consulter son compte que depuis son siège.

Oui mais, si il veux un accès externe extraordinaire, lui permettre dans son compte de désactivé cette bride pendant une période de 24h.

Toi de l'autre côté, tu tiens un historique de ça. (Ip + Hostname). Si tu vois que la personne le fait très souvent, et que ce sont toujours les même ip/hostname qui reviennent, c'est que soit, c'est qu'il se connecte de chez lui, ou soit, c'est que c'est une autre entreprise qui s'en sert.

En général toutes les entreprises sont en IP Fixe (ftp, webmail etc...).