La loi Godfrain est-elle applicable dans les bagnoles ?
Le
Dominique Blas
Bonsoir,
Je reviens après quelques temps d'absence avec une petite question
innocente.
A la lumière de vols de voitures perpétrés en 2004 par usage de failles
contenus dans l'informatique embarquée de certains véhicules haut de
gamme (accessible via RFID) je me pose une question applicable sur le
territoire français.
Le vol est un délit bien entendu.
Mais doit-on considérer la bagnole comme un système automatisé de
traitement de données et la loi Godfrain s'applique-t-elle à ce type de SI ?
Je pourrais poser la même question au sujet des systèmes RFID des
portails de contrôle d'accès mais ceux-ci étant de plus en plus
raccordés au SI de l'entreprise la réponse me semble plus claire.
Je parle des systèmes mal conçus par des concepteurs inconscients bien
entendu.
Je rappelle succinctement la loi Godfrain amendée par la LCEN en juin 2004.
art. 323-1
<< le fait d'accéder ou de se maintenir, frauduleusement, dans
tout ou partie d'un système de traitement automatisé de données
est puni de 2 ans d'emprisonnement et de 30000 euros d'amende
>>.
ainsi que << la suppression ou la modification de données
contenues dans le système >> => 45000 euros.
art. 323-2 : sur le fait d'entraver ou de fausser
art. 323-3 : syur le fait d'introduire fraudulemensement des
données dans un système
En clair, si je me balade dans un parking et que je modifie par exemple
les valeurs de consigne d'injection électronique, quelques registres
ayant trait à l'allumage des feux, le nom du propriétaire, tel ou tel
numéro de série, je débloque la condamnation, etc de tel ou tel véhicule
en profitant d'une faille de conception du logiciel embarqué (accessible
via RFID ou bluetooth) qu'est ce que j'encours si je me fais prendre (en
admettant que ce soit possible [avec un ampli, à 10 mètres, ça doit le
faire]) ?
La jursiprudence sera-t-elle clémente avec moi en considérant de sa
grande hauteur le vide juridique en la matière ?
Attention je ne commets aucun autre délit : ni effraction (au sens
physique), ni vol.
db
Je reviens après quelques temps d'absence avec une petite question
innocente.
A la lumière de vols de voitures perpétrés en 2004 par usage de failles
contenus dans l'informatique embarquée de certains véhicules haut de
gamme (accessible via RFID) je me pose une question applicable sur le
territoire français.
Le vol est un délit bien entendu.
Mais doit-on considérer la bagnole comme un système automatisé de
traitement de données et la loi Godfrain s'applique-t-elle à ce type de SI ?
Je pourrais poser la même question au sujet des systèmes RFID des
portails de contrôle d'accès mais ceux-ci étant de plus en plus
raccordés au SI de l'entreprise la réponse me semble plus claire.
Je parle des systèmes mal conçus par des concepteurs inconscients bien
entendu.
Je rappelle succinctement la loi Godfrain amendée par la LCEN en juin 2004.
art. 323-1
<< le fait d'accéder ou de se maintenir, frauduleusement, dans
tout ou partie d'un système de traitement automatisé de données
est puni de 2 ans d'emprisonnement et de 30000 euros d'amende
>>.
ainsi que << la suppression ou la modification de données
contenues dans le système >> => 45000 euros.
art. 323-2 : sur le fait d'entraver ou de fausser
art. 323-3 : syur le fait d'introduire fraudulemensement des
données dans un système
En clair, si je me balade dans un parking et que je modifie par exemple
les valeurs de consigne d'injection électronique, quelques registres
ayant trait à l'allumage des feux, le nom du propriétaire, tel ou tel
numéro de série, je débloque la condamnation, etc de tel ou tel véhicule
en profitant d'une faille de conception du logiciel embarqué (accessible
via RFID ou bluetooth) qu'est ce que j'encours si je me fais prendre (en
admettant que ce soit possible [avec un ampli, à 10 mètres, ça doit le
faire]) ?
La jursiprudence sera-t-elle clémente avec moi en considérant de sa
grande hauteur le vide juridique en la matière ?
Attention je ne commets aucun autre délit : ni effraction (au sens
physique), ni vol.
db
Poser une question
Là est tout la question en effet que de savoir si le système embarqué
dans la voiture est un STAD ou non, pour savoir si la loi Godfrain
s'applique.
En effet, si la voiture _contient_ un STAD et qu'on interfère avec lui,
alors on est susceptible de tomber sous le coup de la loi Godfrain.
C'est amha le cas. Un RFID est un système qui traite des données, et à
ce titre sera considéré comme un STAD (comme la CB dans l'affaire
Humpich).
Les 0,02¤ d'un non-juriste.
--
BOFH excuse #34:
(l)user error
Oui, il y a un microcontrôleur pourvu de mémoire qui traite quelques Ko
de données et accessoirement raccordé à un système plus vaste.
implications politiques. ET il n'y avait pas que le fait d'avoir copié
la CB (peut-être considérée comme STAD) mais également de leurrer les
distributeurs et le système entier et de l'avoir volé.
Bref, en fait, je posais la question pour provoquer une réflexion pas
forcément pour avoir une réponse aujourd'hui (il faut attendre une
décision de justice pour cela si jamais il y en a une un jour).
Il y a une autre question, plus proche de nous car elle concerne les
assurances.
Qui paye en cas d'avarie du système de régulation ? Aujourd'hui il y a
des options complémentaires à un contrat comme le bris de glace, les
passagers, le vol, l'attentat. Le << tout-risque >> couvre-t-il ce
risque ? Connaissant les assurances, je pense que non. Pour l'instant on
s'en tape ça ne concerne que les berlines haut de gamme mais demain ...
Comme boutade j'oserai dire que si ça continu le fait de regarder
quelqu'un dans les yeux sera considéré comme interférant avec son STAD
incorporé. :-)
db
Donc STAD, donc loi Godfrain. Après, le reste, on peut laisser ça aux
avocats.
Je ne pose pas sur le plan psychologique, éthique, circonstanciel ou
politique de la chose. Je reprends juste la base de l'argumentation du
jugement qui repose sur le fait que la CB soit un STAD. Le reste (STAD ou
pas, intrusion ou pas, qui est propriétaire de la CB, etc.), on peut en
discuter, mais cette jurisprudence traduit à mon sens l'importance de
savoir si un système donné peut-être considéré comme un STAD ou non.
À mon sens, c'est très vite discuté, dans le sens où cette notion de
STAD me semble difficilement contestable, et que de même, l'intrusion me
semble également difficilement contestable.
"Pardon M. le Juge, j'ai reprogrammé le RFID par accident"...
Les assurances automobiles ne relèvent pas de ce forum ;)))
Mais si tu veux un parallèle dans le monde informatique, je vais
t'en donner un. Aujourd'hui, tu peux faire assurer un laptop, et ton
assurance peut tenir compte du fait que celui-ci est protégé par un
câble anti-vol. Si on arrive à forcer ce dispositif sans le fracturer
(cf. thread précédent sur la question), alors ton assurance considérera
que ce dispositif n'était pas présent, et donc que tu n'as pas rempli
tes obligations, etc. Idem, le constructeur du dispositif te garantit que
jamais, ô grand jamais, on ne te volera ton laptop avec leur truc, mais
ne te rendront rien si celui-ci n'est pas retrouvé _détérioré_. Genre
si on arrive à crocheter la serrure, ils ne feront rien.
Interférer le Ghost d'autrui est illégal, c'est bien connu :)))
--
B: Quelqu'un a-t-il déjà fait fonctionner ce modem sous linux ????
G.P.: Je me demande si ça ne marcherait pas en faisant un proxy
avec un vieux PC sous Windows en réseau avec un PC sous Linux.
-+- in Guide de linuxien pervers : "le réseau, c'est simple comme un proxy"
Et les téléphones portables ?
--
Jacques L'helgoualc'h
"Ordinateur de bord" (= STAD) + "accès frauduleux" (= lecture/écriture
des données du STAD) + "intention" (= ampli Bluetooth) => loi Godfrain.
J'ai un cas plus tordu : je suis dans une propriété privée (chez moi),
je lance un soft comme Kismet et je regarde passer le trafic (en clair) de
mes voisins. Si c'est accidentel => pas de problème, si c'est volontaire
=> loi Godfrain (STAD + accès + intention).
Nicob