[Hacking site ecommerce] Responsabilité en cas d'insertion de page de fishing dans un site par un pirate
14 réponses
Grillot sebastien
Bonjour,
Suite a l'attaque par un pirate informatique d'un site de e-commerce
Y, celui-ci c'est vu devenir la plateforme de relais de fishing en
h=E9bergeant les pages pour le Fishing. La question pos=E9e est de r=E9ussir=
a d=E9terminer qui a la responsabilit=E9 de quoi. En effet, ce site a =E9t=
=E9
r=E9alis=E9 par un prestataire W qui r=E9alise =E9galement l'h=E9bergement.
L'h=E9bergeur nous semble donc responsable car c'est un h=E9bergement dit
"D=E9di=E9", cependant le e-commercant
pourrait sembler l'=EAtre tout autant a cause de clause dans le contrat
non ?
Si la s=E9curit=E9 n'est pas un th=E8me aborde dans le contrat, quel est le
droit s'appliquant par d=E9faut ?
Si l'h=E9bergeur se d=E9fausse de toutes responsabilit=E9 dans son contrat,
cela pourrait-il =EAtre une clause abusive ?
Et inversement vis a vis du e-commercant.
Qui est responsable de l'attaque de ce site l=E9galement parlant ?
Qui sera tenu pour responsable des cons=E9quences potentiels de ce
fishing ?
En vous remerciant de vos r=E9ponses, cela m'int=E9resse h=E9las beaucoup.
Dans le message fpmcnq$ofh$, Thibaut Henin exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ? Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine ne sont pas responsables du piratage. C'est le pirate (et éventuellement ses complices) qui le sont. (Articles 323-1 et suivants du code pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la responsabilité civile peut parfaitement échoir au propriétaire du site et/ou à son hébergeur. S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire ne peut garantir de la programmation sans aucune faille de sécurité, et quant à fixer la limite entre du code "professionnel" et du code "insécurisé" ... je pense que ce serait sujet à beaucoup de controverses :)
Dans le message fpmcnq$ofh$1@amma.irisa.fr, Thibaut Henin
<thenin@irisa.fr> exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ?
Qui sera tenu pour responsable des conséquences potentiels de ce
fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine ne
sont pas responsables du piratage. C'est le pirate (et éventuellement
ses complices) qui le sont. (Articles 323-1 et suivants du code
pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la
responsabilité civile peut parfaitement échoir au propriétaire du site et/ou
à son hébergeur.
S'il apparaît des erreurs dans la protection et la sécurisation des données
que n'auraient pas commise un professionel, la notion de faute lourde
assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les
jours, je vois mal un concepteur de site être tenu toute sa vie de
corriger au fur et à mesure lesdites failles sur les sites qu'il a
conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat
d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire
ne peut garantir de la programmation sans aucune faille de sécurité, et
quant à fixer la limite entre du code "professionnel" et du code
"insécurisé" ... je pense que ce serait sujet à beaucoup de
controverses :)
Dans le message fpmcnq$ofh$, Thibaut Henin exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ? Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine ne sont pas responsables du piratage. C'est le pirate (et éventuellement ses complices) qui le sont. (Articles 323-1 et suivants du code pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la responsabilité civile peut parfaitement échoir au propriétaire du site et/ou à son hébergeur. S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire ne peut garantir de la programmation sans aucune faille de sécurité, et quant à fixer la limite entre du code "professionnel" et du code "insécurisé" ... je pense que ce serait sujet à beaucoup de controverses :)
Dans le message fpmcnq$ofh$, Thibaut Henin exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ? Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup. Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine ne sont pas responsables du piratage. C'est le pirate (et éventuellement ses complices) qui le sont. (Articles 323-1 et suivants du code pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la responsabilité civile peut parfaitement échoir au propriétaire du site et/ou à son hébergeur. S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire ne peut garantir de la programmation sans aucune faille de sécurité, et quant à fixer la limite entre du code "professionnel" et du code "insécurisé" ... je pense que ce serait sujet à beaucoup de controverses :)
Pas tant que cela finalement. La notion de faute lourde assimilable au dol este issue d'une très ancienne construction jurisprudentielle. Je vous donne un exemple qui concernanit mon ancienne branche d'activité. Le transporteur qui stationne son véhicule sur une aire d'autoroute ne commet aucune imprudence si un vol servenait, et serait donc en droit de limiter sa responsabilité à l'indemnisation prévue au contrat. Mais si ce transporteur laisse son véhicule plusieurs jours sur le quai de la Joliette à Marseille, endroit où même les crachats au sol sont volés, on considèrera qu'il a commis une faute indigne d'un professionel. Je suppose qu'en matière de sécurité informatique il existe des comportements similaires. A+
--
Dans le message mn.2c4c7d8347327929.68583@undefined.invalid, O.L.
<null@undefined.invalid> exprime ceci:
Après mûre réflexion, Moisse a écrit :
Dans le message fpmcnq$ofh$1@amma.irisa.fr, Thibaut Henin
<thenin@irisa.fr> exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ?
Qui sera tenu pour responsable des conséquences potentiels de ce
fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas
beaucoup. Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine
ne sont pas responsables du piratage. C'est le pirate (et
éventuellement ses complices) qui le sont. (Articles 323-1 et
suivants du code pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la
responsabilité civile peut parfaitement échoir au propriétaire du
site et/ou à son hébergeur.
S'il apparaît des erreurs dans la protection et la sécurisation des
données que n'auraient pas commise un professionel, la notion de
faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous
les jours, je vois mal un concepteur de site être tenu toute sa vie de
corriger au fur et à mesure lesdites failles sur les sites qu'il a
conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat
d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire
ne peut garantir de la programmation sans aucune faille de sécurité,
et quant à fixer la limite entre du code "professionnel" et du code
"insécurisé" ... je pense que ce serait sujet à beaucoup de
controverses :)
Pas tant que cela finalement.
La notion de faute lourde assimilable au dol este issue d'une très
ancienne construction jurisprudentielle.
Je vous donne un exemple qui concernanit mon ancienne branche
d'activité.
Le transporteur qui stationne son véhicule sur une aire d'autoroute ne
commet aucune imprudence si un vol servenait, et serait donc en droit de
limiter sa responsabilité à l'indemnisation prévue au contrat.
Mais si ce transporteur laisse son véhicule plusieurs jours sur le quai
de la Joliette à Marseille, endroit où même les crachats au sol sont
volés, on considèrera qu'il a commis une faute indigne d'un
professionel.
Je suppose qu'en matière de sécurité informatique il existe des
comportements similaires.
A+
Dans le message fpmcnq$ofh$, Thibaut Henin exprime ceci:
Grillot sebastien a écrit :
Qui est responsable de l'attaque de ce site légalement parlant ? Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup. Sébastien
Tout d'abord, l'auteur du site et les administrateurs de la machine ne sont pas responsables du piratage. C'est le pirate (et éventuellement ses complices) qui le sont. (Articles 323-1 et suivants du code pénal).
Certes la responsabilité pénale est bien celle du pirate, mais la responsabilité civile peut parfaitement échoir au propriétaire du site et/ou à son hébergeur. S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé. Sauf si bien sûr c'est prévu dans un contrat d'entretien et de maintenance du site ...
De la même manière, un code n'est jamais sûr à 100%, aucun prestataire ne peut garantir de la programmation sans aucune faille de sécurité, et quant à fixer la limite entre du code "professionnel" et du code "insécurisé" ... je pense que ce serait sujet à beaucoup de controverses :)
Pas tant que cela finalement. La notion de faute lourde assimilable au dol este issue d'une très ancienne construction jurisprudentielle. Je vous donne un exemple qui concernanit mon ancienne branche d'activité. Le transporteur qui stationne son véhicule sur une aire d'autoroute ne commet aucune imprudence si un vol servenait, et serait donc en droit de limiter sa responsabilité à l'indemnisation prévue au contrat. Mais si ce transporteur laisse son véhicule plusieurs jours sur le quai de la Joliette à Marseille, endroit où même les crachats au sol sont volés, on considèrera qu'il a commis une faute indigne d'un professionel. Je suppose qu'en matière de sécurité informatique il existe des comportements similaires. A+
--
Stephane Catteau
O.L. n'était pas loin de dire :
S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé.
Il y a une différence entre les failles du serveur et/ou du langage, et celles imputables directement au site. Moisse parle explicitement d'erreurs, et les places dans un cadre précis, à savoir "la protection et la sécurisation des données". C'est-à-dire d'une faute humaine qui intervient à un niveau différent des failles dont tu parles.
Une faille du serveur HTTP permet de contourner les protections mises en place par le concepteur, sa responsabilité est donc dégagée, ce qu'il a fait n'a même pas eu le temps de servir. Prenons l'auto-index d'Apache en exemple, et plaçons nous sur un server dont la configuration est figée. Si le concepteur du site à mis un fichier d'index pour protéger l'accès au contenu du repertoire, il a fait son travail ; sa responsabilité est dégagée et elle l'était même à l'époque où Apache avait une faille qui permettait de passer outre ce fichier. Par contre, s'il n'a pas placé ce fichier, faille ou pas il est seul responsable, il n'a pas assuré suffisement la protection des données. Même chose pour une injection SQL qui permettrait d'obtenir des droits d'administration sur le site, sauf que là on se situe après les protections mises en place par le concepteur. S'il s'assure que les données reçues correspondent à ce qu'il attend et ne semblent pas contenir de code d'injection (donc aucun des mots clés du langage SQL correspondant au serveur qu'il utilise), il a fait son boulot. Si demain le serveur dispose d'une faille qui lui fait afficher toutes les données importantes lorsqu'il reçoit le mot "toto" (ou n'importe quel suite de caractères ne désignant pas un mot clé de son langage), le concepteur n'y est pour rien, il a fait tout son possible. Par contre, s'il n'y a qu'un controle superficiel (voire aucun controle) des données reçues, le succes de l'injection SQL est de la seule responsabilité du concepteur. Surtout qu'en général elles ne se basent pas sur des failles.
O.L. n'était pas loin de dire :
S'il apparaît des erreurs dans la protection et la sécurisation des données
que n'auraient pas commise un professionel, la notion de faute lourde
assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les
jours, je vois mal un concepteur de site être tenu toute sa vie de
corriger au fur et à mesure lesdites failles sur les sites qu'il a
conçu par le passé.
Il y a une différence entre les failles du serveur et/ou du langage,
et celles imputables directement au site. Moisse parle explicitement
d'erreurs, et les places dans un cadre précis, à savoir "la protection
et la sécurisation des données". C'est-à-dire d'une faute humaine qui
intervient à un niveau différent des failles dont tu parles.
Une faille du serveur HTTP permet de contourner les protections mises
en place par le concepteur, sa responsabilité est donc dégagée, ce
qu'il a fait n'a même pas eu le temps de servir.
Prenons l'auto-index d'Apache en exemple, et plaçons nous sur un
server dont la configuration est figée. Si le concepteur du site à mis
un fichier d'index pour protéger l'accès au contenu du repertoire, il a
fait son travail ; sa responsabilité est dégagée et elle l'était même à
l'époque où Apache avait une faille qui permettait de passer outre ce
fichier. Par contre, s'il n'a pas placé ce fichier, faille ou pas il
est seul responsable, il n'a pas assuré suffisement la protection des
données.
Même chose pour une injection SQL qui permettrait d'obtenir des droits
d'administration sur le site, sauf que là on se situe après les
protections mises en place par le concepteur. S'il s'assure que les
données reçues correspondent à ce qu'il attend et ne semblent pas
contenir de code d'injection (donc aucun des mots clés du langage SQL
correspondant au serveur qu'il utilise), il a fait son boulot. Si
demain le serveur dispose d'une faille qui lui fait afficher toutes les
données importantes lorsqu'il reçoit le mot "toto" (ou n'importe quel
suite de caractères ne désignant pas un mot clé de son langage), le
concepteur n'y est pour rien, il a fait tout son possible.
Par contre, s'il n'y a qu'un controle superficiel (voire aucun
controle) des données reçues, le succes de l'injection SQL est de la
seule responsabilité du concepteur. Surtout qu'en général elles ne se
basent pas sur des failles.
S'il apparaît des erreurs dans la protection et la sécurisation des données que n'auraient pas commise un professionel, la notion de faute lourde assimilable au dol pourra être retenue.
Sachant que des nouvelles failles de sécurité sont découvertes tous les jours, je vois mal un concepteur de site être tenu toute sa vie de corriger au fur et à mesure lesdites failles sur les sites qu'il a conçu par le passé.
Il y a une différence entre les failles du serveur et/ou du langage, et celles imputables directement au site. Moisse parle explicitement d'erreurs, et les places dans un cadre précis, à savoir "la protection et la sécurisation des données". C'est-à-dire d'une faute humaine qui intervient à un niveau différent des failles dont tu parles.
Une faille du serveur HTTP permet de contourner les protections mises en place par le concepteur, sa responsabilité est donc dégagée, ce qu'il a fait n'a même pas eu le temps de servir. Prenons l'auto-index d'Apache en exemple, et plaçons nous sur un server dont la configuration est figée. Si le concepteur du site à mis un fichier d'index pour protéger l'accès au contenu du repertoire, il a fait son travail ; sa responsabilité est dégagée et elle l'était même à l'époque où Apache avait une faille qui permettait de passer outre ce fichier. Par contre, s'il n'a pas placé ce fichier, faille ou pas il est seul responsable, il n'a pas assuré suffisement la protection des données. Même chose pour une injection SQL qui permettrait d'obtenir des droits d'administration sur le site, sauf que là on se situe après les protections mises en place par le concepteur. S'il s'assure que les données reçues correspondent à ce qu'il attend et ne semblent pas contenir de code d'injection (donc aucun des mots clés du langage SQL correspondant au serveur qu'il utilise), il a fait son boulot. Si demain le serveur dispose d'une faille qui lui fait afficher toutes les données importantes lorsqu'il reçoit le mot "toto" (ou n'importe quel suite de caractères ne désignant pas un mot clé de son langage), le concepteur n'y est pour rien, il a fait tout son possible. Par contre, s'il n'y a qu'un controle superficiel (voire aucun controle) des données reçues, le succes de l'injection SQL est de la seule responsabilité du concepteur. Surtout qu'en général elles ne se basent pas sur des failles.
Ariel Dahan
"Grillot sebastien" a écrit dans le message de news:
Suite a l'attaque par un pirate informatique d'un site de e-commerce Y, celui-ci c'est vu devenir la plateforme de relais de fishing en hébergeant les pages pour le Fishing. La question posée est de réussir a déterminer qui a la responsabilité de quoi. En effet, ce site a été réalisé par un prestataire W qui réalise également l'hébergement. L'hébergeur nous semble donc responsable car c'est un hébergement dit "Dédié", cependant le e-commercant pourrait sembler l'être tout autant a cause de clause dans le contrat non ?
avant de répondre sur un contrat il faut voir le contrat.
Celà dit, il y a un cumul de responsabilité, qu'il faut analyser/
Le premier responsable est le prestataire en charge de la sécurisation du site internet. Ce peut être l'hébergeur. Ou l'ingé qui a conçu le site sécurisé Ou le revendeur de la prestation de sécurité.
Une expertise s'impose pour savoir qui est intervenu.
Mais en outre, il faut comprendre que le commerçant est responsable vis à vis de ses clients. De même que s'il avait vendu une marchandise avariée il serait responsable des conséquences, il est directement responsable des conséquences du phishing sur son site. A lui de se retourner contre le technicien responsable du laissé faire.
Si la sécurité n'est pas un thème aborde dans le contrat, quel est le droit s'appliquant par défaut ?
Tout dépend des rapports juridiques. rapport client phishé/commerçant vérolé : Obligation de sécurité + Responsabilité civile rapport commerçant vérolé / prestataire incompétent : Obligation de conseil, obligation de sécurité, garantie contractuelle
Si l'hébergeur se défausse de toutes responsabilité dans son contrat, cela pourrait-il être une clause abusive ?
Totalement. Retenez le principe qu'on ne peut s'exonérer de toutes ses responsabiltés. Ni de sa faute lourde. Or, s'agissant de la mise en sécurité du phishing, le phénomène étant déjà vieux de plus d'un an, un des prestataires aurai dû s'émouvoir de cette situation et mettre à niveau. Ou proposer de mettre à niveau.
Et inversement vis a vis du e-commercant.
Qui est responsable de l'attaque de ce site légalement parlant ?
Le hacker. :-)
Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
Le commerçant + le responsable sécurité du site sécurisé + l'hébergeur à défaut
Mais la réponse n'est jamais aussi tranchée. Elle est très factuelle et repose sur une analyse complexe des faits.
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
>Sébastien
Cordialement,
Ariel DAHAN Avocat
"Grillot sebastien" <sebastiengrillot@gmail.com> a écrit dans le message de
news:395cc41c-5be1-42bb-b88d-81dc18c04985@m23g2000hsc.googlegroups.com...
Suite a l'attaque par un pirate informatique d'un site de e-commerce
Y, celui-ci c'est vu devenir la plateforme de relais de fishing en
hébergeant les pages pour le Fishing. La question posée est de réussir
a déterminer qui a la responsabilité de quoi. En effet, ce site a été
réalisé par un prestataire W qui réalise également l'hébergement.
L'hébergeur nous semble donc responsable car c'est un hébergement dit
"Dédié", cependant le e-commercant pourrait sembler l'être tout autant a
cause de clause dans le contrat non ?
avant de répondre sur un contrat il faut voir le contrat.
Celà dit, il y a un cumul de responsabilité, qu'il faut analyser/
Le premier responsable est le prestataire en charge de la sécurisation du
site internet.
Ce peut être l'hébergeur.
Ou l'ingé qui a conçu le site sécurisé
Ou le revendeur de la prestation de sécurité.
Une expertise s'impose pour savoir qui est intervenu.
Mais en outre, il faut comprendre que le commerçant est responsable vis à
vis de ses clients.
De même que s'il avait vendu une marchandise avariée il serait responsable
des conséquences, il est directement responsable des conséquences du
phishing sur son site.
A lui de se retourner contre le technicien responsable du laissé faire.
Si la sécurité n'est pas un thème aborde dans le contrat, quel est le
droit s'appliquant par défaut ?
Tout dépend des rapports juridiques.
rapport client phishé/commerçant vérolé : Obligation de sécurité +
Responsabilité civile
rapport commerçant vérolé / prestataire incompétent : Obligation de conseil,
obligation de sécurité, garantie contractuelle
Si l'hébergeur se défausse de toutes responsabilité dans son contrat,
cela pourrait-il être une clause abusive ?
Totalement.
Retenez le principe qu'on ne peut s'exonérer de toutes ses responsabiltés.
Ni de sa faute lourde.
Or, s'agissant de la mise en sécurité du phishing, le phénomène étant déjà
vieux de plus d'un an, un des prestataires aurai dû s'émouvoir de cette
situation et mettre à niveau.
Ou proposer de mettre à niveau.
Et inversement vis a vis du e-commercant.
Qui est responsable de l'attaque de ce site légalement parlant ?
Le hacker. :-)
Qui sera tenu pour responsable des conséquences potentiels de ce
fishing ?
Le commerçant
+ le responsable sécurité du site sécurisé
+ l'hébergeur à défaut
Mais la réponse n'est jamais aussi tranchée. Elle est très factuelle et
repose sur une analyse complexe des faits.
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
"Grillot sebastien" a écrit dans le message de news:
Suite a l'attaque par un pirate informatique d'un site de e-commerce Y, celui-ci c'est vu devenir la plateforme de relais de fishing en hébergeant les pages pour le Fishing. La question posée est de réussir a déterminer qui a la responsabilité de quoi. En effet, ce site a été réalisé par un prestataire W qui réalise également l'hébergement. L'hébergeur nous semble donc responsable car c'est un hébergement dit "Dédié", cependant le e-commercant pourrait sembler l'être tout autant a cause de clause dans le contrat non ?
avant de répondre sur un contrat il faut voir le contrat.
Celà dit, il y a un cumul de responsabilité, qu'il faut analyser/
Le premier responsable est le prestataire en charge de la sécurisation du site internet. Ce peut être l'hébergeur. Ou l'ingé qui a conçu le site sécurisé Ou le revendeur de la prestation de sécurité.
Une expertise s'impose pour savoir qui est intervenu.
Mais en outre, il faut comprendre que le commerçant est responsable vis à vis de ses clients. De même que s'il avait vendu une marchandise avariée il serait responsable des conséquences, il est directement responsable des conséquences du phishing sur son site. A lui de se retourner contre le technicien responsable du laissé faire.
Si la sécurité n'est pas un thème aborde dans le contrat, quel est le droit s'appliquant par défaut ?
Tout dépend des rapports juridiques. rapport client phishé/commerçant vérolé : Obligation de sécurité + Responsabilité civile rapport commerçant vérolé / prestataire incompétent : Obligation de conseil, obligation de sécurité, garantie contractuelle
Si l'hébergeur se défausse de toutes responsabilité dans son contrat, cela pourrait-il être une clause abusive ?
Totalement. Retenez le principe qu'on ne peut s'exonérer de toutes ses responsabiltés. Ni de sa faute lourde. Or, s'agissant de la mise en sécurité du phishing, le phénomène étant déjà vieux de plus d'un an, un des prestataires aurai dû s'émouvoir de cette situation et mettre à niveau. Ou proposer de mettre à niveau.
Et inversement vis a vis du e-commercant.
Qui est responsable de l'attaque de ce site légalement parlant ?
Le hacker. :-)
Qui sera tenu pour responsable des conséquences potentiels de ce fishing ?
Le commerçant + le responsable sécurité du site sécurisé + l'hébergeur à défaut
Mais la réponse n'est jamais aussi tranchée. Elle est très factuelle et repose sur une analyse complexe des faits.
En vous remerciant de vos réponses, cela m'intéresse hélas beaucoup.
