Quel comportement adopter ?

(¯`·..Yttrium ...·´¯) wrote:

A notre quand meme que je n'ai rien fais d'illegal pour acceder à cette
machine.
Tout part d'une erreur.

Tu vas avoir du mal à le prouver face à une expertise juridique qui ne
manquera pas de mentionner que les accès via netbios sur Internet ne sont
pas en général une utilisation "normale" du réseau :/

amicalement,

--
Christophe Casalegno | Groupe Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.securite-reseaux.com
TISTC | OFREMHI | IIHEC | IICRAI | CIRET-AVT | KESAC | TIIX
Technical director | Security Intrusion techniques & infowar specialist.

On Fri May 20 2005 at 21:55, (¯`·..Yttrium ...·´¯) wrote:

Je ne suis pas expert ès sécurité, mais pensez vous réellement qu'un honey
pot prendrait le risque de mettre à disposition du public des fichiers si
confidentiels et ayant autant de valeur que ce que j'ai pu apercevoir ??

Tant que ça ? Mais alors, tu es riche !
Mais souviens toi : "you can run, but you cannot hide".

Sérieusement, laisse tomber. Si vraiment ça te stresse trop et que ça
t'empêche de dormir, essaie la tisane de tilleul.

(¯`·..Yttrium ...·´¯) wrote:

Bonsoir,

Desole de ne pas repondre a la question (d'autres affichent bien mieux
que moi des avis tres senses) mais je n'ai pu m'empecher de reagir.

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!

Ta machine sort en netbios sur Internet ? Tu n'aurais pas un pb de
filtrage en sortie a des fois ? Si tu as une machine infectee, tu
pollues tout Internet ? Aie.

Je suis deja -->[]

--
pc

On 20 May 2005 19:55:02 GMT, "(¯`·..Yttrium ...·´¯)"
<POUSSIERES.piegaspam@yahoo.fr>:

mais pensez vous réellement qu'un honey
pot prendrait le risque de mettre à disposition du public des fichiers si
confidentiels et ayant autant de valeur que ce que j'ai pu apercevoir ??

As-tu pu confirmer qu'il s'agissait bien de fichiers confidentiels et
pas de données bidon ?
Ça peut même être des données fabriquées, et l'entreprise en question
espère que ses concurrents vont perdre du temps avec...

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

On Fri, 20 May 2005 10:27:30 +0200, (¯`·..Yttrium ...·´¯)
<POUSSIERES.piegaspam@yahoo.fr> wrote:

Bonjour ,

Bonjour,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois
intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une
autre
machine.

Ce sont des choses qui arrivent...

Cette machine, appartient à une grand société, et est accessible
directement
sur le net en NetBios !!

En es-tu certain ? Si oui, informes le CERT IST :
http://www.cert-ist.com/francais/contacts/contacts_fr.htm

Ne s'agit-il pas d'un leurre ?

Tous les disqaues dur sont accessibles par internet, sans aucune
protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui;
et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

En es-tu certain ?

Un conseil : ne vas pas te "promener" dans un environnement où tu n'as pas
été autorisé/invité. Car c'est illégal en droit pénal français.

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de
détruire
quoi que ce soit,

Soit mais en droit pénal français tu t'exposes quand même à des risques.

je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ne le fais pas. Informes directement le CERT IST. Il est là pour ça.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans
pour
autant prendre le risque que ceux ci se retournent contre moi au regard
de
la loi de 78.

Contentes-toi uniquement de contacter le CERT IST (si tu es "sûr" de ce
que tu as découvert) :
http://www.cert-ist.com/francais/contacts/contacts_fr.htm

En effet, si je ne dis rien,

Tu as posté ici.

je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs,
en
revanche, si je souhaite agir honnetement et leur rendre service, je
prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

A la lumière des informations que tu fournis, au plan pénal tu peux être
condamné. Car ton cas/exemple relève de l'article 323-1 du code pénal.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."

L'accès est considéré comme frauduleux si le délinquant a conscience
d'accèder anormalement dans un système informatique.

Le maintien est considéré comme frauduleux si le délinquant a conscience
de se maintenir anormalement dans un système informatique.

Ici, tout est ouvert directement à n'importe qui .!!

Amha tu t'es fait leurrer comme d'autres ici te l'ont signalé. Sinon c'est
grave.

Autrement un conseil n'insistes pas sinon signales ce que tu as observé au
CERT IST.

Merci de vos conseils et avis sur la question.

Je t'en prie.


--
We have no control over the length of Our lives but We can control the
width and depth of Our lives.

[...]

Se mettre dans l'illégalité pour ça ?! Mettre les gens dans la merde
pour ça ?! ça sent la lose-lose situation ça :)

1. On ne se met pas dans l'illégalité pour autant ; la loi
française s'applique pour un délit commis sur le territoire non
(voir plus bas) ?
2. Il reste à prouver qu'un tel comportement gènerait davabntage
quelqu'un qu'il ne l'est déjà.

Au passage, j'avoue que je n'adhère pas du tout du tout au
pseudo-consensus établit autour de la non-divulgation des failles de
sécurité.
Mais chut, chut c'est vraiement un autre débat !

Excuse-moi de ne pas partager ton enthousiasme... Même si ça m'exaspère
aussi de voir ça et là des gens qui n'en ont rien à faire de leur
sécurité et de l'impact que ça a sur le reste du monde, il n'en reste
pas moins que la fin ne justifie pas les moyens. Ce n'est pas parce que
presqu'à chaque fois que je vais à l'aéroport je tombe sur un mec
vulnérable au RCP/DCOM ou au LSASS (si si, je t'assure) connecté au
hotspot que je vais gueuler au milieu de la salle d'embarquement que le
possesseur du laptop blablabla est un gros nain de jardin ou lui pourrir
son poste pour "lui faire prendre conscience".

Non, il y a une différence entre :
clamer que l'utilisateur lambda est un
naze (la sécurité n'est pas de sa compétence, c'est celle des
concepteurs de logiciels et, en entreprise, des responsables
désignés)

et clamer que le responsable informatique, RSSI, DG, CTO, etc de
telle société importante l'est.

En effet, critiquer une PME de ce point de vue est mesquin : les PME
sont vulnérables par monque de moyens.

En dehors de toute manipulation (honeynet, comportement US Air Force) il
est inadmissible qu'une grande société (qu'est ce qu'une grande société
?) s'expose ainsi.
Il reste toutefois à prouver que nous sommes bien en présence de ce cas
de figure et non d'un pauvre ère qui réclame un budget depuis 3 ans pour
sécuriser son réseau, en vain.

En gros, j'aimerais faire en sorte que les gens prennent conscience des
enjeux de la sécurité et donc que leur niveau de sécurité augmente.
Mais par contre, je n'ai pas envie de les exposer encore plus qu'ils ne le
sont sous ce prétexte là, parce que la punition ne va pas dans le sens
de mon but. Les exposer, c'est les faire compromettre rapidement, et in
fine, c'est donner des balles aux méchants, donc faire baisser le niveau
de sécurité global.

Euh, au fait, la << proclamation publique >> était située en dernière
position dans la chronologie que j'ai exposée hum ?
Bien après le signalement aux responsablex.

Par ailleurs, à une dénonciation exposée en anglais depuis un cybercafé
sud-coréen, cantonnais, hong-kongais dans un ng international, la LCEN
n'y pourra pas grand chose entre nous.

(*)

[...]

Au tribunal ? Certainement...

---

Bien, afin d'éviter que tout cela parte en flame (comme pour le GPS)
quelle est donc la conclusion de la communauté ?
J'apprécie tout de même les conclusions claires et nettes.

1. Ne rien faire, ne rien dire et passer son chemin. Après tout le champ
des possibles est tellement important (honeynet, PME sans moyen, action
volantaire, etc) que cela ne vaut pas la peine de s'intéresser au cas ?

2. En référer simplement au CERT par souci déontologique et passer son
chemin ?

Conclusion à placer dans une FAQ pour une réponse ultérieure
facilitée.

Merci,

db


(*) Je sais, je sais, d'aucuns jugeront cette attitude non
professsionnelle et ne correspondant pas à l'éthique de la profession.
Tant pis. Je mets un point d'honneur à faire mes boulots correctement
(et ça prend vraiment du temps) pourquoi n'en serait-il pas ainsi des
autres professionnels : éditeurs, responsables, etc ?

Trop naïf ? Très certainement !

--

Courriel : usenet blas net

Le Sun, 22 May 2005 17:05:39 +0000, Dominique Blas a écrit :

1. On ne se met pas dans l'illégalité pour autant ; la loi
française s'applique pour un délit commis sur le territoire non
(voir plus bas) ?

Dans le cas présent, le système est en France, et, si je ne m'abuse (cf.
un article de MISC si je me souviens bien), le droit français permet
d'engager des poursuites à l'encontre de contrevenants au delà des
frontières du pays.

2. Il reste à prouver qu'un tel comportement gènerait davabntage
quelqu'un qu'il ne l'est déjà.

C'est une grosse tartine de mauvaise foi ça. Dire qu'une faille
divulguée ne gêne pas plus que si elle ne l'est pas relève de la sombre
ignorance. Il suffit de regarder les faits.

Au passage, j'avoue que je n'adhère pas du tout du tout au
pseudo-consensus établit autour de la non-divulgation des failles de
sécurité.

Quel consensus ? S'il y a un consensus, je pense qu'il est plutôt autour
de la divulgation _responsable_ de failles, laissant à l'éditeur la
possibilité d'engager un dialogue et de corriger la faille. Il y a
quelques éditeurs récalcitrant, mais dans la majorité des cas, ça
marche bien.

Mais chut, chut c'est vraiement un autre débat !

Qui a d'ailleurs fait l'objet de nombreuses discussion. Mais c'est un
sujet éternellement intéressant.

Non, il y a une différence entre :
clamer que l'utilisateur lambda est un naze (la sécurité n'est pas de
sa compétence, c'est celle des concepteurs de logiciels et, en
entreprise, des responsables désignés)
et clamer que le responsable informatique, RSSI, DG, CTO, etc de telle
société importante l'est.

En plus, il va falloir sortir la boule de cristal pour deviner qui est au
bout du fil ?

Et entre nous, dans le cas présenter par l'OP, il ne s'agit pas juste de
clamer sur la place publique l'incompétence de quelqu'un, mais donner à
tous le monde le moyen de compromettre le SI de son employeur. Comment ils
disent les américains ? "Dommage collatéraux" ?

En effet, critiquer une PME de ce point de vue est mesquin: les PME
sont vulnérables par monque de moyens.

C'est pas toi qui chougnait contre les gens qui ne voulaient pas mettre
les moyens ou faisaient appel à des incompétents ?

il est inadmissible qu'une grande société (qu'est ce qu'une grande
société ?) s'expose ainsi.

Bien sûr. Mais qui es-tu pour décider des actions à mener ?

Il reste toutefois à prouver que nous sommes bien en présence de ce
cas de figure et non d'un pauvre ère qui réclame un budget depuis 3
ans pour sécuriser son réseau, en vain.

Mais ça, tu ne sauras probablement pas. "Root reconnaîtra les siens"...

Euh, au fait, la << proclamation publique >> était située en dernière
position dans la chronologie que j'ai exposée hum ? Bien après le
signalement aux responsablex.

Qui es-tu pour décider de punir ? Parce que c'est clairement de la
punition : "si tu corriges pas, je te dénonce".

Par ailleurs, à une dénonciation exposée en anglais depuis un
cybercafé sud-coréen, cantonnais, hong-kongais dans un ng
international, la LCEN n'y pourra pas grand chose entre nous.

Ça ne changera rien au caractère répréhensible de la chose. Le fait de
ne pas pouvoir être techniquement tracé, et donc poursuivi, ne change
rien au côté contraire à l'éthique (amha) du geste.

1. Ne rien faire, ne rien dire et passer son chemin. Après tout le
champ des possibles est tellement important (honeynet, PME sans moyen,
action volantaire, etc) que cela ne vaut pas la peine de s'intéresser
au cas ?

C'est une attitude qu'on peut avoir, mais pas pour cette raison dans mon
cas. Pour moi, ce serait plutôt qu'en ce moment, la conjoncture pousse
tous les nazes de la Terre à poursuivre à tort et à travers, et que je
n'ai pas envie de me retrouver dans le collimateur par excès de
gentillesse, juste parce que je suis tombé sur un mec dont la boîte ne
va pas fort et qui cherche un moyen détourné de renflouer les caisses.

2. En référer simplement au CERT par souci déontologique et passer
son chemin ?

C'est ce que je ferais. Ensuite, le CERT fera ce que bon lui semblera.

Dernière hypothèse : on a des relations dans certaines institutions
potentiellement concernées et on fait suivre l'information autour d'une
bière à quelqu'un qui fera remonter. S'il s'agit d'une grand compte
français, ça finira bien par remonter...

Conclusion à placer dans une FAQ pour une réponse ultérieure
facilitée.

:P

(*) Je sais, je sais, d'aucuns jugeront cette attitude non
professsionnelle et ne correspondant pas à l'éthique de la profession.
Tant pis. Je mets un point d'honneur à faire mes boulots correctement
(et ça prend vraiment du temps) pourquoi n'en serait-il pas ainsi des
autres professionnels : éditeurs, responsables, etc ?

Parce que rien de les y contraint, malheureusement. Je pense que des gens
creusent le sujet, mais pour le moment, c'est comme ça. Il y a pour moi
un pas énorme entre faire son boulot correctement et décider de passer
au stade "Punisher de l'Internet".

Trop naïf ? Très certainement !

Manichéen est plus adapté amha.


--
Ecoute-moi bien. A partir de maintenant, travaille au chrono parce qu'une
minute d'ecart ca veut pas dire forcement 60 secondes. Ça peut se transformer
en annees de placard. Crois-moi, je connais la question.
-+- Melodie en sous-sol

1. On ne se met pas dans l'illégalité pour autant ; la loi
française s'applique pour un délit commis sur le territoire non ?

Non, la loi pénale française est applicable à tout crime commis par un
Français hors du territoire de la République.

Elle est applicable aux délits commis par des Français hors du
territoire de la République si les faits sont punis par la législation
du pays où ils ont été commis.

Elle est applicable à tout crime, ainsi qu'à tout délit puni
d'emprisonnement, commis par un Français ou par un étranger hors du
territoire de la République lorsque la victime est de nationalité
française au moment de l'infraction.

--
Roland Garcia

On 22 May 2005 17:05:39 GMT, Dominique Blas :

[...]

Je te propose un truc : si jamais je découvre une faille quelconque,
une machine avec des documents importants facilement accessibles,
etc., je t'envoie un courrier (anonyme bien sûr) et tu te charges de
prévenir le responsable, avec tous les ennuis juridiques qui vont
avec.
T'es partant ?

--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>

On Sat, 21 May 2005 15:37:33 +0000, LaDDL wrote:

Ici, tout est ouvert directement à n'importe qui .!!

Amha tu t'es fait leurrer comme d'autres ici te l'ont signalé.

Je dois vivre sur une autre planète, mais je vois *très peu* de
honeypots en production chez des utilisateurs finaux (ie. pas des boites
de sécu). Et encore moins des honeytokens.

Sinon c'est grave.

Malheureusement, cette piste me semble la plus probable ...


Nicob