Où commence le hacking ?
Le
mpg
Bonjour,
Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.
Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?
Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.
De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?
Merci d'avance pour vos éclairages.
Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.
Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?
Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.
De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?
Merci d'avance pour vos éclairages.
Poser une question
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Tout dépend du contexte, parce que l'introduction en soi est déjà
condamnable ; cela dépendra d'ééments d'appréciation de l'intention,
et l'usage d'un logiciel spécifiquement prévu pour cela, sur un réseau où
tu n'avais que vaire, jouera contre toi, de la même manière que bricoler
la serrure de ton voisin sans raison réelle et sérieuse peut te valoir des
ennuis.
Quant au crackage des mots de passe en tant que tel, c'est un acte normal
d'administration de la sécurité quand il a lieu dans l'exercice des
fonctions de l'intéressé et dans la limite de ses droits et de ceux des
administrés.
L'emploi des mots de passe collectés pour tout autre usage que le
renforcement de la sécurité de l'organisation est en revanche proscrit, et
il sera difficile de jouer l'innocence puisque si l'on est responsable de
la sécurité informatique, on est d'autant plus au fait des lois
applicables.
Un principe simple qui devrait trier pas mal de cas : toute action que tu
entreprends avec la propriété ou les données personnelles d'autrui sans
son consentement est condamnable.
Bien sûr ça ne colle pas à 100% des cas mais c'est une règle directrice
utile.
Amicalement,
--
Albert.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...
Amusez-vous bien
Thibaut
Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.
C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.
JNSPUJEJNEJPUALT. :)
Amicalement,
--
Albert.
Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.
Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+
D'où la bêtise d'une telle loi ... Ça n'engage que moi, mais encore
hier, j'ai fait un TP en Master 2, spécialité "Sécu info" et
franchement, si on devait suivre la loi, on leur apprendrait limite rien
du tout. On formerai alors des experts sécu complètement incompétent et
ignorant tout du domaine de la sécu info et du piratage. (Qui a dit que
les experts sécu l'était déjà..., j'en entend rire au fond ...).
Bon, après, il y a le "motif légitime" et moi, je vois le fait de former
un expert sécu comme motif légitime à lui montrer le contenu d'une
backdoor, et autres choses interdites.
Dison, que c'était une image. Je veux dire que même si la loi interdit à
Mme Michu de détenir un truc qu'elle savait même pas qu'elle détenait,
surtout vu son niveau d'info, je pense pas qu'elle risque grand chose,
je pense justement que les juges et leurs collègues sont doué de bon sens.
Parce qu'en même temps, un virus, ça contien le code d'au moins un
exploit, plus des techniques de camouflage, ... et donc, qui que ce soit
se faisant infecté par un virus devient automatiquement dans
l'illégalité puisqu'il détient le code d'un exploit ... (Vive la Loi,
Vive la République :p)