On Tue, 26 Aug 2003 05:40:40 +0000, Thierry Evangelista wrote:- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat
Et ben j'suis pas dans la merde :)
Plus sérieusement, il ne me semble pas que les choses soient aussi claires
que ça en droit français. Y a-t-il eu une jurisprudence à ce sujet ?
Je ne suis pas au courant d'un jurisprudence concernant ce sujet en
On Tue, 26 Aug 2003 05:40:40 +0000, Thierry Evangelista wrote:
- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat
Et ben j'suis pas dans la merde :)
Plus sérieusement, il ne me semble pas que les choses soient aussi claires
que ça en droit français. Y a-t-il eu une jurisprudence à ce sujet ?
Je ne suis pas au courant d'un jurisprudence concernant ce sujet en
On Tue, 26 Aug 2003 05:40:40 +0000, Thierry Evangelista wrote:- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat
Et ben j'suis pas dans la merde :)
Plus sérieusement, il ne me semble pas que les choses soient aussi claires
que ça en droit français. Y a-t-il eu une jurisprudence à ce sujet ?
Je ne suis pas au courant d'un jurisprudence concernant ce sujet en
Merci pour ces précisions. Pour ma part, je suis scanné en permanence
à mon domicile et je n'ai pas le temps de faire des "contre-scans"
systématiques. Et à mon humble avis, je ne suis pas persuadé que le
type en face se rende compte que tu le scannes en retour (surtout si
c'est un SK qui utilise des outils automatiques).
Par ailleurs, mes commentaires étaient plutôt oriéntés "entreprise"
(quoique valables dans un contexte individuel également) et je connais
malheureusement peu d'admins qui aient le temps d'analyser les scans.
Merci pour ces précisions. Pour ma part, je suis scanné en permanence
à mon domicile et je n'ai pas le temps de faire des "contre-scans"
systématiques. Et à mon humble avis, je ne suis pas persuadé que le
type en face se rende compte que tu le scannes en retour (surtout si
c'est un SK qui utilise des outils automatiques).
Par ailleurs, mes commentaires étaient plutôt oriéntés "entreprise"
(quoique valables dans un contexte individuel également) et je connais
malheureusement peu d'admins qui aient le temps d'analyser les scans.
Merci pour ces précisions. Pour ma part, je suis scanné en permanence
à mon domicile et je n'ai pas le temps de faire des "contre-scans"
systématiques. Et à mon humble avis, je ne suis pas persuadé que le
type en face se rende compte que tu le scannes en retour (surtout si
c'est un SK qui utilise des outils automatiques).
Par ailleurs, mes commentaires étaient plutôt oriéntés "entreprise"
(quoique valables dans un contexte individuel également) et je connais
malheureusement peu d'admins qui aient le temps d'analyser les scans.
N'étant pas avocat, je te renvoie vers l'art 323-1 du Code pénal pour
tout acte de pénétration ou intrusion non autorisée.
art 323-1 alinéa 1
art 323-1 alinéa 2
art 323-2
art 323-3
N'étant pas avocat, je te renvoie vers l'art 323-1 du Code pénal pour
tout acte de pénétration ou intrusion non autorisée.
art 323-1 alinéa 1
art 323-1 alinéa 2
art 323-2
art 323-3
N'étant pas avocat, je te renvoie vers l'art 323-1 du Code pénal pour
tout acte de pénétration ou intrusion non autorisée.
art 323-1 alinéa 1
art 323-1 alinéa 2
art 323-2
art 323-3
Nicob wrote:Ceci incluant un article punissant la fourniture de moyens, un juriste
spécialisé dans le droit de l'Internet m'ayant conseillé de retirer mes
codes offensifs (comme par exemple JAB ou evade_ftp.pl) d'ici le 22
Octobre 2003.
Il a raison.
Actuellement IMHO trop d'outils sont à la disposition de n'importe qui
sur le réseau donc les risques sont accrus.
Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Nicob wrote:
Ceci incluant un article punissant la fourniture de moyens, un juriste
spécialisé dans le droit de l'Internet m'ayant conseillé de retirer mes
codes offensifs (comme par exemple JAB ou evade_ftp.pl) d'ici le 22
Octobre 2003.
Il a raison.
Actuellement IMHO trop d'outils sont à la disposition de n'importe qui
sur le réseau donc les risques sont accrus.
Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Nicob wrote:Ceci incluant un article punissant la fourniture de moyens, un juriste
spécialisé dans le droit de l'Internet m'ayant conseillé de retirer mes
codes offensifs (comme par exemple JAB ou evade_ftp.pl) d'ici le 22
Octobre 2003.
Il a raison.
Actuellement IMHO trop d'outils sont à la disposition de n'importe qui
sur le réseau donc les risques sont accrus.
Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Mais du point de vue de la SI IMHO c'est une abérration.
D'un côté on sécurise et de l'autre on fournit très facilement les
"armes" outils pour introduire/pirater les systèmes.
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
Trop de paradis informatique existent actuellement.
Mais du point de vue de la SI IMHO c'est une abérration.
D'un côté on sécurise et de l'autre on fournit très facilement les
"armes" outils pour introduire/pirater les systèmes.
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
Trop de paradis informatique existent actuellement.
Mais du point de vue de la SI IMHO c'est une abérration.
D'un côté on sécurise et de l'autre on fournit très facilement les
"armes" outils pour introduire/pirater les systèmes.
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
Trop de paradis informatique existent actuellement.
LaDDL nous disait récement dans fr.comp.securite
<news:3f4f66d0$0$2161$ :
[SNAP]
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Ca, c'est clair. Si une telle chose arrive les admins devront suivre
toutes les ML liés de prêt ou de loin à la sécurité, et patcher
d'office tous leurs logiciels, puisqu'ils n'auront aucun moyen simple
de savoir si ceux qu'ils utilisent sont réellement vulnérables ou non.
Tandis qu'à l'inverse les kiddies continueront à trouver des scripts,
plus bancals qu'actuellement ce qui engendrera plus de bruit de fond.
Et ne parlons pas des vrais pirates qui, de toute façon, continueront
tranquillement à écrire leurs propres outils, et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on en
est pas très loin.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Quelqu'un leur a dit ? Si je demande ça moi, c'est parce que les
personnes qui décident en l'occurence ne semblent pas, du moins est-ce
ce que démontre leurs décisions, ^^etre au courant du fait.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ? Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de quoi
s'inquiéter. Tout intéressant que soit son contenu, il démontre, et son
titre aussi, une vision biaisée du problème. Pour reprendre ton
parallèle avec la vraie vie, ces pseudo-experts me font penser aux
généraux qui dirigent leurs armées le cul bien au chaud dans leur
bureau. Ils prennent de grandes décisions qui sont certes en accord
avec le manuel du parfait petit général, mais qui n'ont rien à voir
avec la réalité du terrain.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
LaDDL nous disait récement dans fr.comp.securite
<news:3f4f66d0$0$2161$79c14f64@nan-newsreader-03.noos.net> :
[SNAP]
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Ca, c'est clair. Si une telle chose arrive les admins devront suivre
toutes les ML liés de prêt ou de loin à la sécurité, et patcher
d'office tous leurs logiciels, puisqu'ils n'auront aucun moyen simple
de savoir si ceux qu'ils utilisent sont réellement vulnérables ou non.
Tandis qu'à l'inverse les kiddies continueront à trouver des scripts,
plus bancals qu'actuellement ce qui engendrera plus de bruit de fond.
Et ne parlons pas des vrais pirates qui, de toute façon, continueront
tranquillement à écrire leurs propres outils, et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on en
est pas très loin.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Quelqu'un leur a dit ? Si je demande ça moi, c'est parce que les
personnes qui décident en l'occurence ne semblent pas, du moins est-ce
ce que démontre leurs décisions, ^^etre au courant du fait.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ? Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de quoi
s'inquiéter. Tout intéressant que soit son contenu, il démontre, et son
titre aussi, une vision biaisée du problème. Pour reprendre ton
parallèle avec la vraie vie, ces pseudo-experts me font penser aux
généraux qui dirigent leurs armées le cul bien au chaud dans leur
bureau. Ils prennent de grandes décisions qui sont certes en accord
avec le manuel du parfait petit général, mais qui n'ont rien à voir
avec la réalité du terrain.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
LaDDL nous disait récement dans fr.comp.securite
<news:3f4f66d0$0$2161$ :
[SNAP]
La situation risque de changer radicalement si notre petit monde
de la SI français & international avec nos gouvernements en tête
ne prennent pas conscience qu'il faut appliquer des règles de
fonctionnement et d'éthique dans la fourniture d'outils, la
publication d'exploits, etc.
Ca, c'est clair. Si une telle chose arrive les admins devront suivre
toutes les ML liés de prêt ou de loin à la sécurité, et patcher
d'office tous leurs logiciels, puisqu'ils n'auront aucun moyen simple
de savoir si ceux qu'ils utilisent sont réellement vulnérables ou non.
Tandis qu'à l'inverse les kiddies continueront à trouver des scripts,
plus bancals qu'actuellement ce qui engendrera plus de bruit de fond.
Et ne parlons pas des vrais pirates qui, de toute façon, continueront
tranquillement à écrire leurs propres outils, et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on en
est pas très loin.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
[...] Sans vouloir te vexer les projets de Loi pour la confiance dans
l'Economie Numérique (LEN) ou encore la Loi sur la Sécurité
Quotidienne sont encore en "chantier".
Le but n'ai pas de compliquer les choses mais de mieux les
encadrer. Et de pouvoir appliquer des sanctions quand il y a
altération de données, fraudes, infractions, intrusions, etc.
Quelqu'un leur a dit ? Si je demande ça moi, c'est parce que les
personnes qui décident en l'occurence ne semblent pas, du moins est-ce
ce que démontre leurs décisions, ^^etre au courant du fait.
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ? Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de quoi
s'inquiéter. Tout intéressant que soit son contenu, il démontre, et son
titre aussi, une vision biaisée du problème. Pour reprendre ton
parallèle avec la vraie vie, ces pseudo-experts me font penser aux
généraux qui dirigent leurs armées le cul bien au chaud dans leur
bureau. Ils prennent de grandes décisions qui sont certes en accord
avec le manuel du parfait petit général, mais qui n'ont rien à voir
avec la réalité du terrain.
Il y a même un gros travail de sensibilisation de nos politiques
depuis un certain nombre d'année.
On n'est pas loin dans l'esprit du bon vieux débat open-source vs exécutable
seulement.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!). Un
exploit publié est également pratique pour un admin pressé de vérifier qu'il
a bien patché la faille concernée(1)
Bonjour,
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne qui
n'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Merci ! ;)
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
Accessoirement, si c'est pour appliquer des sanctions les lois actuelles
suffisent.
Oui d'une manière générale.
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Va demander le spécialiste de ces problème à la gendarmerie ou au commissariat
localisé dans une ville de 50000 habitant près de laquelle j'habite. Parle
lui ensuite d'unix ou de linux et la c'est la cata (2). Ce n'est pas la
faute de *la* personne, juste des moyens de formation et de recrutement
qu'on a mis en amont.
Je suis d'accord avec toi.
C'est ici que se trouve le problème avec LaDDL.
Aie lol
Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Juste pour te corriger ici. Je déteste le terme d'expert je me considère
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)
Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
lol
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
Je ne vois pas en quoi nous serions pénalisés.
Outre la réponse de Stephane Catteau indiquant le côté multi-facettes de la
sécurité il reste le problème de qui sensibilise et comment.
Je me passe, personnellement, volontier de faucon(5) à la française.
lol oui moi aussi. Heureusement ce n'est pas le cas.
On n'est pas loin dans l'esprit du bon vieux débat open-source vs exécutable
seulement.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!). Un
exploit publié est également pratique pour un admin pressé de vérifier qu'il
a bien patché la faille concernée(1)
Bonjour,
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne qui
n'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Merci ! ;)
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
Accessoirement, si c'est pour appliquer des sanctions les lois actuelles
suffisent.
Oui d'une manière générale.
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Va demander le spécialiste de ces problème à la gendarmerie ou au commissariat
localisé dans une ville de 50000 habitant près de laquelle j'habite. Parle
lui ensuite d'unix ou de linux et la c'est la cata (2). Ce n'est pas la
faute de *la* personne, juste des moyens de formation et de recrutement
qu'on a mis en amont.
Je suis d'accord avec toi.
C'est ici que se trouve le problème avec LaDDL.
Aie lol
Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Juste pour te corriger ici. Je déteste le terme d'expert je me considère
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)
Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
lol
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
Je ne vois pas en quoi nous serions pénalisés.
Outre la réponse de Stephane Catteau indiquant le côté multi-facettes de la
sécurité il reste le problème de qui sensibilise et comment.
Je me passe, personnellement, volontier de faucon(5) à la française.
lol oui moi aussi. Heureusement ce n'est pas le cas.
On n'est pas loin dans l'esprit du bon vieux débat open-source vs exécutable
seulement.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!). Un
exploit publié est également pratique pour un admin pressé de vérifier qu'il
a bien patché la faille concernée(1)
Bonjour,
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne qui
n'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Merci ! ;)
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
Accessoirement, si c'est pour appliquer des sanctions les lois actuelles
suffisent.
Oui d'une manière générale.
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Va demander le spécialiste de ces problème à la gendarmerie ou au commissariat
localisé dans une ville de 50000 habitant près de laquelle j'habite. Parle
lui ensuite d'unix ou de linux et la c'est la cata (2). Ce n'est pas la
faute de *la* personne, juste des moyens de formation et de recrutement
qu'on a mis en amont.
Je suis d'accord avec toi.
C'est ici que se trouve le problème avec LaDDL.
Aie lol
Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Juste pour te corriger ici. Je déteste le terme d'expert je me considère
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)
Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
lol
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
Je ne vois pas en quoi nous serions pénalisés.
Outre la réponse de Stephane Catteau indiquant le côté multi-facettes de la
sécurité il reste le problème de qui sensibilise et comment.
Je me passe, personnellement, volontier de faucon(5) à la française.
lol oui moi aussi. Heureusement ce n'est pas le cas.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Je ne connais pas LaDDL et loin de moi de mettre ses compétances en cause.
Néanmoins il y a un problème dans sa démarche que j'explicite un peu plus
bas (pas pour le plaisir de faire des références avant comme dans nos lois
mais parce que ça répond à un autre chapitre :) ).
Accessoirement un non-anonymat sur ce forum pourrait être un plus quand on
affirme être expert et visiblement en contact avec les dirigeants.
Le "je tiens à te rassurer" me donne ici encore une désagréable impression
de "faites moi confiance".
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert *et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre nuisible
ne va pénaliser, aux deux sens du terme, réellement que les professionnels
du secteur.
On 25 Aug 2003 13:44:01 GMT, Pierre LALET wrote:Le scan de port est une tentative d'intrusion.
Non. Le scan de port peut être le début d'une tentative d'intrusion. Et
peut être plein d'autres choses.
Pierre
Désolé, j''ai peut être été trop bref dans mon commentaire. Dans ce
cas je reformule. Pour beaucoup d'avocats qui doivent appliquer les
textes de lois, le scan est assimilé à une tentative d'intrusion. La
difficulté pour un expert technique vis à vis de la justice consiste à
démontrer qu'il s'agit effectivement d'un scan volontaire et non d'un
faux positif (du a une application qui se connecterait de manière
rapide a plusieurs ports de la cible par exemple).
Pour ma part, je vois deux principales raisons pour scanner
volontairement un système:
- soit il s'agit effectivement d'une phase de reconnaissance avant
intrusion volontaire
- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat (sauf s'il
s'agit d'un scan effectué sur un modèle ASP, qui est soumis à un
contrat strict entre le scanneur et le scanné).
Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)
On 25 Aug 2003 13:44:01 GMT, Pierre LALET <lalet@enseirb.fr> wrote:
Le scan de port est une tentative d'intrusion.
Non. Le scan de port peut être le début d'une tentative d'intrusion. Et
peut être plein d'autres choses.
Pierre
Désolé, j''ai peut être été trop bref dans mon commentaire. Dans ce
cas je reformule. Pour beaucoup d'avocats qui doivent appliquer les
textes de lois, le scan est assimilé à une tentative d'intrusion. La
difficulté pour un expert technique vis à vis de la justice consiste à
démontrer qu'il s'agit effectivement d'un scan volontaire et non d'un
faux positif (du a une application qui se connecterait de manière
rapide a plusieurs ports de la cible par exemple).
Pour ma part, je vois deux principales raisons pour scanner
volontairement un système:
- soit il s'agit effectivement d'une phase de reconnaissance avant
intrusion volontaire
- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat (sauf s'il
s'agit d'un scan effectué sur un modèle ASP, qui est soumis à un
contrat strict entre le scanneur et le scanné).
Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)
On 25 Aug 2003 13:44:01 GMT, Pierre LALET wrote:Le scan de port est une tentative d'intrusion.
Non. Le scan de port peut être le début d'une tentative d'intrusion. Et
peut être plein d'autres choses.
Pierre
Désolé, j''ai peut être été trop bref dans mon commentaire. Dans ce
cas je reformule. Pour beaucoup d'avocats qui doivent appliquer les
textes de lois, le scan est assimilé à une tentative d'intrusion. La
difficulté pour un expert technique vis à vis de la justice consiste à
démontrer qu'il s'agit effectivement d'un scan volontaire et non d'un
faux positif (du a une application qui se connecterait de manière
rapide a plusieurs ports de la cible par exemple).
Pour ma part, je vois deux principales raisons pour scanner
volontairement un système:
- soit il s'agit effectivement d'une phase de reconnaissance avant
intrusion volontaire
- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat (sauf s'il
s'agit d'un scan effectué sur un modèle ASP, qui est soumis à un
contrat strict entre le scanneur et le scanné).
Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)
