Où commence le hacking ?

Le
mpg
Bonjour,

Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.

Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.

Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?

Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?

Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.

De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?

Merci d'avance pour vos éclairages.
  • Partager ce contenu :
Vos réponses Page 1 / 3
Trier par : date / pertinence
Albert ARIBAUD
Le #14191231
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:

Bonjour,

Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.

Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.

Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?



Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.

Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?



Tout dépend du contexte, parce que l'introduction en soi est déjà
condamnable ; cela dépendra d'ééments d'appréciation de l'intention,
et l'usage d'un logiciel spécifiquement prévu pour cela, sur un réseau où
tu n'avais que vaire, jouera contre toi, de la même manière que bricoler
la serrure de ton voisin sans raison réelle et sérieuse peut te valoir des
ennuis.

Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.



Quant au crackage des mots de passe en tant que tel, c'est un acte normal
d'administration de la sécurité quand il a lieu dans l'exercice des
fonctions de l'intéressé et dans la limite de ses droits et de ceux des
administrés.

L'emploi des mots de passe collectés pour tout autre usage que le
renforcement de la sécurité de l'organisation est en revanche proscrit, et
il sera difficile de jouer l'innocence puisque si l'on est responsable de
la sécurité informatique, on est d'autant plus au fait des lois
applicables.

De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?



Un principe simple qui devrait trier pas mal de cas : toute action que tu
entreprends avec la propriété ou les données personnelles d'autrui sans
son consentement est condamnable.

Bien sûr ça ne colle pas à 100% des cas mais c'est une règle directrice
utile.

Amicalement,
--
Albert.
Thibaut Henin
Le #14191221
Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:



Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?




Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.





Bonjour,

Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).

Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.

Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.

Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.

Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...

Amusez-vous bien

Thibaut
Albert ARIBAUD
Le #14191211
Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:

Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:



Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?




Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.





Bonjour,

Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).

Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.

Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.



Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.

Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.



C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.

Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...



JNSPUJEJNEJPUALT. :)

Amicalement,
--
Albert.
Ouimais
Le #14191201
On 30 jan, 09:00, Thibaut Henin
Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.




Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.

Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'aman des
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.



Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+
Thibaut Henin
Le #14191191
Ouimais wrote:

On 30 jan, 09:00, Thibaut Henin

Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.





Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.




D'où la bêtise d'une telle loi ... Ça n'engage que moi, mais encore
hier, j'ai fait un TP en Master 2, spécialité "Sécu info" et
franchement, si on devait suivre la loi, on leur apprendrait limite rien
du tout. On formerai alors des experts sécu complètement incompétent et
ignorant tout du domaine de la sécu info et du piratage. (Qui a dit que
les experts sécu l'était déjà..., j'en entend rire au fond ...).

Bon, après, il y a le "motif légitime" et moi, je vois le fait de former
un expert sécu comme motif légitime à lui montrer le contenu d'une
backdoor, et autres choses interdites.


Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.




Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+




Dison, que c'était une image. Je veux dire que même si la loi interdit à
Mme Michu de détenir un truc qu'elle savait même pas qu'elle détenait,
surtout vu son niveau d'info, je pense pas qu'elle risque grand chose,
je pense justement que les juges et leurs collègues sont doué de bon sens.

Parce qu'en même temps, un virus, ça contien le code d'au moins un
exploit, plus des techniques de camouflage, ... et donc, qui que ce soit
se faisant infecté par un virus devient automatiquement dans
l'illégalité puisqu'il détient le code d'un exploit ... (Vive la Loi,
Vive la République :p)
Albert ARIBAUD
Le #14191181
Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:

Albert ARIBAUD wrote:
Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:


Albert ARIBAUD wrote:

Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:



Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?




Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.





Bonjour,

Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).

Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.

Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.




Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.




Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?



Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.

Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
motif légitime ?



A la base, la notion de "pirater son propre PC" a quelque chose de
juridiquement étrange, puisque l'on a déjà accès au système qu'on serait
accusé d'infiltrer.

Au-delà de ce point, s'introduire sur son propre PC s'analyse comme
s'introduire sur son propre réseau Wifi : ce peut être une préoccupation
légitime d'une personne soucieuse de comprendre les risques liés à sa
responsabilité.

(Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
trucs dans mon coin, je découvre des choses et je les gardes pour moi,
c'est autorisé ou pas ?)



C'est un domaine bien trop complexe pour répondre oui ou non. Il faut
savoir quels moyens tu utilises, quels dispositifs tu contournes, quel
objectif tu suis...

(et C'est surtout indétectable vu que gardé pour soi, donc la loi peut
condamner l'acte tant qu'elle veut, il y aura quelques difficultés à
l'appliquer.)

Après, je vois mal un juge condamner Mme Michu à 300 000 euros
d'amandes et 5 ans de prisons parce que son petit neveu lui a filé le
truc, sans que le dit juge ne se prenne d'un fou rire.



C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.



Justement, "la compréhension du caractère illicite", j'ai entendu par un
juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
ce que vous venez de dire...



Ce n'est pas incompatible car je ne parle pas de la même chose. La
méconnaissance du caractère illicite ne rend pas caduque l'accusation,
mais le juge a tout de même une certaine latitude dans la force avec
laquelle il appliquera la loi : une Mme Michu se voyant accusée d'avoir
piraté l'accès Wifi de son voisin court le risque d'une condamnation, mais
elle a peu de chance d'en subir une aussi forte que, disons, moi, qui
viens de démontrer que je sais de quoi je parle ; en démontrant son
ignorance du domaine, elle peut atténuer la gravité de son acte. Moi, en
plaidant l'ignorance, je prendrais plein pot et en prime j'encourrais
l'outrage à magistrat. :)

En fait, si je diffuse une documentation sur internet, parce que je la
trouve intéressante, utile, ... Pas de chance pour moi, elle est
interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
"j'était pas au courant m'sieux", ça passerait ?



Plaider l'ignorance de la loi elle-même n'éviterait pas la condamnation.
Plaider l'ignorance technique impliquant l'ignorance de l'applicabilité de
la loi à ton cas pourrait adoucir le juge, si personne ne vient lui mettre
nos échanges sous les yeux. :)

Par contre, si un juriste dans l'assistance pouvait préciser mes
propos, ça m'arrangerait beaucoup...




JNSPUJEJNEJPUALT. :)



Là par contre, ...



Plaisanterie sur l'usuel et anglo-saxon IANAL(BIPOOT), "I am not a lawyer
(but I play one on TV)" : pour ma part, "Je ne suis pas un juriste et je
n'en joue pas un à la télé".

Amicalement,
--
Albert.
Albert ARIBAUD
Le #14191171
Le Thu, 01 Feb 2007 06:44:39 +0100, Dwarfpower a écrit:

Albert ARIBAUD a écrit :

Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.




l'obligatoin est me semble t il non pas contractuelle mais legale.



Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?

d'ailleurs une obligation contractuelle ne constituerait certainement
pas un motif legitime au regard de la loi.



Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.

Amicalement,
--
Albert.
dwarfpower
Le #14191161
On Feb 1, 7:45 am, Albert ARIBAUD
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?



Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.

> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.

Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.




Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.

dwarf.
Albert ARIBAUD
Le #14191151
Le Thu, 01 Feb 2007 02:18:37 -0800, dwarfpower a écrit:

On Feb 1, 7:45 am, Albert ARIBAUD
Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?



Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.



Justement, c'est la source qui m'intéresse. Dans le cadre de la question
posée dans ce fil, à savoir "un particulier utilisant un point Wifi pour
son accès au Net est-il légalement tenu d'en vérifier la bonne sécurité
?", je ne connais aucun texte de loi qui dispose que oui, il y a une telle
obligation.

> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.

Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.



Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.



Il me semble que tu ne te places pas dans le même cadre que Thibaut et moi.

Dans le cadre de ce fil, il n'est pas question d'un tiers dans
l'interrogation de Thibaut, qui veut seulement savoir si un particulier
peut avoir un motif légitime à "casser" son propre accès au Net ; ma
réponse ne considère donc que le particulier et son fournisseur d'accès
éventuellement.

Amicalement,
--
Albert.
Albert ARIBAUD
Le #14191141
Le Thu, 01 Feb 2007 12:50:21 +0100, Thibaut Henin a écrit:

Albert ARIBAUD wrote:
Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:

Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?




Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.





En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit

« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions
prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée. »

Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
par la sécu et autres, j'ai donné un cours dans une formations là
dessus... à côté, j'aimerais faire un site web avec de la doc
informatique sur la sécu... Le problème, c'est que cette loi interdit
bien de diffuser des exploits, mais à partir de où les choses sont
interdites ?



La loi ne le précise pas, justement pour que l'appréciation soit faite au
cas par cas, de façon à laisser au juge toute latitude d'apprécier les
faits selon le contexte.

Parce que publier un tuto sur le C, c'est publier une documentation
particulièrement adaptée à la compréhension des exploits codés par les
pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
une documentation parfaitement adaptée pour pouvoir commetre les
infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
pas corriger les erreurs volontaires laissées dans les exploits).



Mais un tutoriel sur le C n'a pas le caractère "conçu ou spécialement
adapté" requis par le 323-3-1 : la grande majorité des applications du
langage C démontrent qu'il n'est pas conçu en vue de commettre les
infractions décrites aux 323-1 à 323-3.

Publier les normes et les RFC relatives au réseau, c'est une
documentations parfaitement adaptées pour trouver ensuite les failles et
les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
je vois pas en quoi la RFC devrait ne pas être diffusée...



Idem : l'objectif premier et l'écrasante majorité des applications des RFC
démontrent que ces dernières n'ont pas été conçues ou spécialement
adaptées pour commettre des infractions. On peut même, au contraire,
démontrer que ces RFC se sont vu incorporer des modifications destinées à
lutter contre de telles infractions, et qu'il existe même des RFC
consacrées à une telle lutte.

J'aimerais bien aussi, dans mon site, donner des exemple de
cryptosystèmes et proposer des challenges pour les casser... Or, les
résultats des challenges sont justement des programmes qui seraient
adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
un code, on peut pas savoir quand un code est efficace !



Note : proposer un défi n'est pas interdit par le 323-3-1 ; c'est la
proposition d'une solution au défi, si elle est publique, qui peut
l'être.

Par ailleurs, pour peu que les défis portent sur des cryptosystèmes
d'exercice sans doute pas mal simplifiés par rapport à l'état de l'art (ce
qui est bien le cas je suppose, puisque ton projet n'est pas de former des
experts mondiaux en crypto), et non sur des cryptosystèmes en utilisation
réelle, il n'y aura aucun risque pratique d'autant que cela s'inscrit dans
le cadre d'un site visant à former les gens à la crypto, domaine dans
lequel la notion d'attaque est intrinsèquement présente et *doit* être
étudiée.

En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
"tenter et on verra une fois devant le juge". C'est dommage, parce
qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
avancera jamais.



Ah, tu as remarqué, toi aussi ? Le plus, disons, amusant est que le
323-3-1 n'est rien comparé aux dispositions analogues de DADVSI.

C'est pour ça que j'aimerais savoir où on en est là dessus ...

Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
la jurisprudence)



Bof... Tu ne risques pas grand chose en reprenant le matériel couramment
enseigné dans les filières informatiques ; les affaires que tu trouveras
porteront sur des cas d'intrusion réels -- qu'ils soient avérés ou pas --
et pas sur de la (re)diffusion d'information publiquement disponibles.

Cela dit, un exemple non de jurisprudence mais d'analyse du 323-3-1 se
trouve dans un des commentaires du bilet que voici :


... en gros, la publication spontanée d'informations ("full disclosure")
sur une faille n'est pas, en soi, un acte tombant sous le coup du 323-3-1
car ce dernier définit, en fait, un acte de complicité d'un délit
informatique. Sans délit, pas de complicité ; si tes actions ne tombent
pas sous le coup des 323-1 à 323-3, il est difficile de leur appliquer le
323-3-1 en "autonome".

Amicalement,
--
Albert.
Poster une réponse
Anonyme