Bonjour,
Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.
Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?
Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.
De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?
Bonjour,
Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.
Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?
Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.
De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?
Bonjour,
Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.
Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?
Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.
De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...
Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...
Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'aman des
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'aman des
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'aman des
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
On 30 jan, 09:00, Thibaut Henin wrote:Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+
On 30 jan, 09:00, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+
On 30 jan, 09:00, Thibaut Henin wrote:Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.
Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.
Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+
Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
motif légitime ?
(Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
trucs dans mon coin, je découvre des choses et je les gardes pour moi,
c'est autorisé ou pas ?)
Après, je vois mal un juge condamner Mme Michu à 300 000 euros
d'amandes et 5 ans de prisons parce que son petit neveu lui a filé le
truc, sans que le dit juge ne se prenne d'un fou rire.
C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.
Justement, "la compréhension du caractère illicite", j'ai entendu par un
juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
ce que vous venez de dire...
En fait, si je diffuse une documentation sur internet, parce que je la
trouve intéressante, utile, ... Pas de chance pour moi, elle est
interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
"j'était pas au courant m'sieux", ça passerait ?
Par contre, si un juriste dans l'assistance pouvait préciser mes
propos, ça m'arrangerait beaucoup...
JNSPUJEJNEJPUALT. :)
Là par contre, ...
Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:
Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
motif légitime ?
(Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
trucs dans mon coin, je découvre des choses et je les gardes pour moi,
c'est autorisé ou pas ?)
Après, je vois mal un juge condamner Mme Michu à 300 000 euros
d'amandes et 5 ans de prisons parce que son petit neveu lui a filé le
truc, sans que le dit juge ne se prenne d'un fou rire.
C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.
Justement, "la compréhension du caractère illicite", j'ai entendu par un
juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
ce que vous venez de dire...
En fait, si je diffuse une documentation sur internet, parce que je la
trouve intéressante, utile, ... Pas de chance pour moi, elle est
interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
"j'était pas au courant m'sieux", ça passerait ?
Par contre, si un juriste dans l'assistance pouvait préciser mes
propos, ça m'arrangerait beaucoup...
JNSPUJEJNEJPUALT. :)
Là par contre, ...
Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:Albert ARIBAUD wrote:Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.
Bonjour,
Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.
Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.
Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
motif légitime ?
(Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
trucs dans mon coin, je découvre des choses et je les gardes pour moi,
c'est autorisé ou pas ?)
Après, je vois mal un juge condamner Mme Michu à 300 000 euros
d'amandes et 5 ans de prisons parce que son petit neveu lui a filé le
truc, sans que le dit juge ne se prenne d'un fou rire.
C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.
Justement, "la compréhension du caractère illicite", j'ai entendu par un
juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
ce que vous venez de dire...
En fait, si je diffuse une documentation sur internet, parce que je la
trouve intéressante, utile, ... Pas de chance pour moi, elle est
interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
"j'était pas au courant m'sieux", ça passerait ?
Par contre, si un juriste dans l'assistance pouvait préciser mes
propos, ça m'arrangerait beaucoup...
JNSPUJEJNEJPUALT. :)
Là par contre, ...
Albert ARIBAUD a écrit :Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
l'obligatoin est me semble t il non pas contractuelle mais legale.
d'ailleurs une obligation contractuelle ne constituerait certainement
pas un motif legitime au regard de la loi.
Albert ARIBAUD a écrit :
Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
l'obligatoin est me semble t il non pas contractuelle mais legale.
d'ailleurs une obligation contractuelle ne constituerait certainement
pas un motif legitime au regard de la loi.
Albert ARIBAUD a écrit :Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
l'obligatoin est me semble t il non pas contractuelle mais legale.
d'ailleurs une obligation contractuelle ne constituerait certainement
pas un motif legitime au regard de la loi.
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
On Feb 1, 7:45 am, Albert ARIBAUD wrote:Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.
On Feb 1, 7:45 am, Albert ARIBAUD <albert.arib...@free.fr> wrote:
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.
On Feb 1, 7:45 am, Albert ARIBAUD wrote:Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?
Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.
> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.
Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.
Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.
Albert ARIBAUD wrote:Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit
« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions
prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée. »
Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
par la sécu et autres, j'ai donné un cours dans une formations là
dessus... à côté, j'aimerais faire un site web avec de la doc
informatique sur la sécu... Le problème, c'est que cette loi interdit
bien de diffuser des exploits, mais à partir de où les choses sont
interdites ?
Parce que publier un tuto sur le C, c'est publier une documentation
particulièrement adaptée à la compréhension des exploits codés par les
pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
une documentation parfaitement adaptée pour pouvoir commetre les
infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
pas corriger les erreurs volontaires laissées dans les exploits).
Publier les normes et les RFC relatives au réseau, c'est une
documentations parfaitement adaptées pour trouver ensuite les failles et
les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
je vois pas en quoi la RFC devrait ne pas être diffusée...
J'aimerais bien aussi, dans mon site, donner des exemple de
cryptosystèmes et proposer des challenges pour les casser... Or, les
résultats des challenges sont justement des programmes qui seraient
adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
un code, on peut pas savoir quand un code est efficace !
En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
"tenter et on verra une fois devant le juge". C'est dommage, parce
qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
avancera jamais.
C'est pour ça que j'aimerais savoir où on en est là dessus ...
Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
la jurisprudence)
Albert ARIBAUD wrote:
Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit
« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions
prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée. »
Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
par la sécu et autres, j'ai donné un cours dans une formations là
dessus... à côté, j'aimerais faire un site web avec de la doc
informatique sur la sécu... Le problème, c'est que cette loi interdit
bien de diffuser des exploits, mais à partir de où les choses sont
interdites ?
Parce que publier un tuto sur le C, c'est publier une documentation
particulièrement adaptée à la compréhension des exploits codés par les
pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
une documentation parfaitement adaptée pour pouvoir commetre les
infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
pas corriger les erreurs volontaires laissées dans les exploits).
Publier les normes et les RFC relatives au réseau, c'est une
documentations parfaitement adaptées pour trouver ensuite les failles et
les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
je vois pas en quoi la RFC devrait ne pas être diffusée...
J'aimerais bien aussi, dans mon site, donner des exemple de
cryptosystèmes et proposer des challenges pour les casser... Or, les
résultats des challenges sont justement des programmes qui seraient
adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
un code, on peut pas savoir quand un code est efficace !
En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
"tenter et on verra une fois devant le juge". C'est dommage, parce
qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
avancera jamais.
C'est pour ça que j'aimerais savoir où on en est là dessus ...
Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
la jurisprudence)
Albert ARIBAUD wrote:Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:
Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?
Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.
En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit
« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions
prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée. »
Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
par la sécu et autres, j'ai donné un cours dans une formations là
dessus... à côté, j'aimerais faire un site web avec de la doc
informatique sur la sécu... Le problème, c'est que cette loi interdit
bien de diffuser des exploits, mais à partir de où les choses sont
interdites ?
Parce que publier un tuto sur le C, c'est publier une documentation
particulièrement adaptée à la compréhension des exploits codés par les
pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
une documentation parfaitement adaptée pour pouvoir commetre les
infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
pas corriger les erreurs volontaires laissées dans les exploits).
Publier les normes et les RFC relatives au réseau, c'est une
documentations parfaitement adaptées pour trouver ensuite les failles et
les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
je vois pas en quoi la RFC devrait ne pas être diffusée...
J'aimerais bien aussi, dans mon site, donner des exemple de
cryptosystèmes et proposer des challenges pour les casser... Or, les
résultats des challenges sont justement des programmes qui seraient
adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
un code, on peut pas savoir quand un code est efficace !
En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
"tenter et on verra une fois devant le juge". C'est dommage, parce
qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
avancera jamais.
C'est pour ça que j'aimerais savoir où on en est là dessus ...
Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
la jurisprudence)