Supposons la situation suivante, pas tout à fait inventée :
Dans une grande entreprise, un DRH exige de d'une partie des employés
qu'ils saisissent - via un logiciel maison - toutes sortes de données
(coordonnées des employés, données relatives à leurs emplois...) ce
logiciel est manifestement destiné au flicage du travail des employés.
Ce logiciel envoie les données par une connexion FTP sur un serveur qui
centralise les dossiers.
Un employé du service informatique, agacé par ce logiciel de merde,
découvre qu'il est possible de récupérer les paramètres de connexion au
serveur simplement en sniffant la connexion : adresse, login et mot de
passe circulent en clair. Ceci permet à n'importe qui de récuperer les
fichiers de données.
La faille est signalée par le bricoleur à sa hiérarchie. Le bricoleur se
contente de vérifier par la lecture d'un fichier et l'écriture/effacement
d'un autre qu'il a bien un accès complet au serveur. RIEN n'a été modifié.
Le logiciel est téléchargeable sur le web (référencé par google), son
démarrage nécessite un mot de passe trivial communiqué par courrier aux
employés, inchangé depuis 3 ans et commun à tous les employés.
Bref, l'aspect sécurité à été totalement bâclée.
Quel est la responsabilité de chacun dans ce merdier ?
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son
intention était bien de mettre les pieds dans le plat et le nez dans le
caca de certains.
Pour le fun, j'ajoute qu'il n'y a vraisemblablement aucune déclaration à
la CNIL du bidule ;-)
Méphisto
--
C'est parce que la lumière est plus rapide que le son que certains
ont l'air brillants avant d'avoir l'air con
Supposons la situation suivante, pas tout à fait inventée :
Dans une grande entreprise, un DRH exige de d'une partie des employés qu'ils saisissent - via un logiciel maison - toutes sortes de données (coordonnées des employés, données relatives à leurs emplois...) ce logiciel est manifestement destiné au flicage du travail des employés.
Ce logiciel envoie les données par une connexion FTP sur un serveur qui centralise les dossiers.
Un employé du service informatique, agacé par ce logiciel de merde, découvre qu'il est possible de récupérer les paramètres de connexion au serveur simplement en sniffant la connexion : adresse, login et mot de passe circulent en clair. Ceci permet à n'importe qui de récuperer les fichiers de données.
S'il y a simple surveillance comportementale du logiciel sans y toucher (décompilation etc...), il n'y a aucunement atteinte au droit d'auteur.
La faille est signalée par le bricoleur à sa hiérarchie. Le bricoleur se contente de vérifier par la lecture d'un fichier et l'écriture/effacement d'un autre qu'il a bien un accès complet au serveur. RIEN n'a été modifié.
Le logiciel est téléchargeable sur le web (référencé par google), son démarrage nécessite un mot de passe trivial communiqué par courrier aux employés, inchangé depuis 3 ans et commun à tous les employés. Bref, l'aspect sécurité à été totalement bâclée.
Si l'accès peut avoir lieu par tout un chacun avec un simple logiciel du commerce et de façon triviale il n'y a pas délit d'intrusion (jurisprudence Tati/Kitetoa).
Inversement le fait de procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables relève de l'article 226-16 du code pénal, et le fait de ne pas prendre de précautions pour en assurer la sécurité de l'article 226-17.
-- Roland Garcia
Professeur Méphisto a écrit :
Bonjour à tous
Supposons la situation suivante, pas tout à fait inventée :
Dans une grande entreprise, un DRH exige de d'une partie des employés
qu'ils saisissent - via un logiciel maison - toutes sortes de données
(coordonnées des employés, données relatives à leurs emplois...) ce
logiciel est manifestement destiné au flicage du travail des employés.
Ce logiciel envoie les données par une connexion FTP sur un serveur qui
centralise les dossiers.
Un employé du service informatique, agacé par ce logiciel de merde,
découvre qu'il est possible de récupérer les paramètres de connexion au
serveur simplement en sniffant la connexion : adresse, login et mot de
passe circulent en clair. Ceci permet à n'importe qui de récuperer les
fichiers de données.
S'il y a simple surveillance comportementale du logiciel sans y toucher
(décompilation etc...), il n'y a aucunement atteinte au droit d'auteur.
La faille est signalée par le bricoleur à sa hiérarchie. Le bricoleur se
contente de vérifier par la lecture d'un fichier et l'écriture/effacement
d'un autre qu'il a bien un accès complet au serveur. RIEN n'a été modifié.
Le logiciel est téléchargeable sur le web (référencé par google), son
démarrage nécessite un mot de passe trivial communiqué par courrier aux
employés, inchangé depuis 3 ans et commun à tous les employés.
Bref, l'aspect sécurité à été totalement bâclée.
Si l'accès peut avoir lieu par tout un chacun avec un simple logiciel du
commerce et de façon triviale il n'y a pas délit d'intrusion
(jurisprudence Tati/Kitetoa).
Inversement le fait de procéder à des traitements de données à caractère
personnel sans qu'aient été respectées les formalités préalables relève
de l'article 226-16 du code pénal, et le fait de ne pas prendre de
précautions pour en assurer la sécurité de l'article 226-17.
Supposons la situation suivante, pas tout à fait inventée :
Dans une grande entreprise, un DRH exige de d'une partie des employés qu'ils saisissent - via un logiciel maison - toutes sortes de données (coordonnées des employés, données relatives à leurs emplois...) ce logiciel est manifestement destiné au flicage du travail des employés.
Ce logiciel envoie les données par une connexion FTP sur un serveur qui centralise les dossiers.
Un employé du service informatique, agacé par ce logiciel de merde, découvre qu'il est possible de récupérer les paramètres de connexion au serveur simplement en sniffant la connexion : adresse, login et mot de passe circulent en clair. Ceci permet à n'importe qui de récuperer les fichiers de données.
S'il y a simple surveillance comportementale du logiciel sans y toucher (décompilation etc...), il n'y a aucunement atteinte au droit d'auteur.
La faille est signalée par le bricoleur à sa hiérarchie. Le bricoleur se contente de vérifier par la lecture d'un fichier et l'écriture/effacement d'un autre qu'il a bien un accès complet au serveur. RIEN n'a été modifié.
Le logiciel est téléchargeable sur le web (référencé par google), son démarrage nécessite un mot de passe trivial communiqué par courrier aux employés, inchangé depuis 3 ans et commun à tous les employés. Bref, l'aspect sécurité à été totalement bâclée.
Si l'accès peut avoir lieu par tout un chacun avec un simple logiciel du commerce et de façon triviale il n'y a pas délit d'intrusion (jurisprudence Tati/Kitetoa).
Inversement le fait de procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables relève de l'article 226-16 du code pénal, et le fait de ne pas prendre de précautions pour en assurer la sécurité de l'article 226-17.
-- Roland Garcia
patpro ~ patrick proniewski
In article , Albert ARIBAUD wrote:
Le Tue, 09 Oct 2007 16:51:23 +0200, patpro ~ Patrick Proniewski a écrit:
> néanmoins, il a le droit de chercher les failles si il est responsable > de la sécurité et/ou du bon fonctionnement de l'infrastructure > informatique/réseau.
Le Code Pénal ne prévoit pas cette excuse dans ses articles 323-1 à 323-3.
> Il peut aussi sans problème dénoncer la politique de mot de passe de > l'application. D'ailleurs, peut être l'entreprise a-t-elle une charte > d'utilisation des outils informatiques qui prohibe le partage de mot de > passe, l'utilisation d'un même mot de passe au delà d'une durée données > ... bref une raison valable aux yeux de la hiérarchie pour mettre le > logiciel en quarantaine.
Il peut très bien faire tout ça, mais si en plus de décrire tout cela il effectue les manipulations décrites, celles-ci risquent de se voir retenues comme accès frauduleux à un système d'information automatisé, aggravé éventuellement des actes de modification.
> je pense que dans ce cas il y a obligation de moyen, pas de résultat (le > mot de passe est un moyen).
Il ne me semble pas que la question du type d'obligation de pose ici ; je viserais plutôt, à voir ce qui est décrit, le fait que les moyens mis en oeuvre sont notoirement insuffisants au regard de l'état de l'art.
merci pour toutes ces précisions.
patpro
-- http://www.patpro.net/
In article <pan.2007.10.09.17.20.24@free.fr>,
Albert ARIBAUD <albert.aribaud@free.fr> wrote:
Le Tue, 09 Oct 2007 16:51:23 +0200, patpro ~ Patrick Proniewski a écrit:
> néanmoins, il a le droit de chercher les failles si il est responsable
> de la sécurité et/ou du bon fonctionnement de l'infrastructure
> informatique/réseau.
Le Code Pénal ne prévoit pas cette excuse dans ses articles 323-1 à 323-3.
> Il peut aussi sans problème dénoncer la politique de mot de passe de
> l'application. D'ailleurs, peut être l'entreprise a-t-elle une charte
> d'utilisation des outils informatiques qui prohibe le partage de mot de
> passe, l'utilisation d'un même mot de passe au delà d'une durée données
> ... bref une raison valable aux yeux de la hiérarchie pour mettre le
> logiciel en quarantaine.
Il peut très bien faire tout ça, mais si en plus de décrire tout cela il
effectue les manipulations décrites, celles-ci risquent de se voir
retenues comme accès frauduleux à un système d'information automatisé,
aggravé éventuellement des actes de modification.
> je pense que dans ce cas il y a obligation de moyen, pas de résultat (le
> mot de passe est un moyen).
Il ne me semble pas que la question du type d'obligation de pose ici ; je
viserais plutôt, à voir ce qui est décrit, le fait que les moyens mis en
oeuvre sont notoirement insuffisants au regard de l'état de l'art.
Le Tue, 09 Oct 2007 16:51:23 +0200, patpro ~ Patrick Proniewski a écrit:
> néanmoins, il a le droit de chercher les failles si il est responsable > de la sécurité et/ou du bon fonctionnement de l'infrastructure > informatique/réseau.
Le Code Pénal ne prévoit pas cette excuse dans ses articles 323-1 à 323-3.
> Il peut aussi sans problème dénoncer la politique de mot de passe de > l'application. D'ailleurs, peut être l'entreprise a-t-elle une charte > d'utilisation des outils informatiques qui prohibe le partage de mot de > passe, l'utilisation d'un même mot de passe au delà d'une durée données > ... bref une raison valable aux yeux de la hiérarchie pour mettre le > logiciel en quarantaine.
Il peut très bien faire tout ça, mais si en plus de décrire tout cela il effectue les manipulations décrites, celles-ci risquent de se voir retenues comme accès frauduleux à un système d'information automatisé, aggravé éventuellement des actes de modification.
> je pense que dans ce cas il y a obligation de moyen, pas de résultat (le > mot de passe est un moyen).
Il ne me semble pas que la question du type d'obligation de pose ici ; je viserais plutôt, à voir ce qui est décrit, le fait que les moyens mis en oeuvre sont notoirement insuffisants au regard de l'état de l'art.
merci pour toutes ces précisions.
patpro
-- http://www.patpro.net/
Roland Garcia
Professeur Méphisto a écrit :
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son intention était bien de mettre les pieds dans le plat et le nez dans le caca de certains.
On peut, mais s'il y a des données personnelles laissées aux quatre vents mieux vaut s'abstenir.
Pour le fun, j'ajoute qu'il n'y a vraisemblablement aucune déclaration à la CNIL du bidule ;-)
Méphisto
-- Roland Garcia
Professeur Méphisto a écrit :
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son
intention était bien de mettre les pieds dans le plat et le nez dans le
caca de certains.
On peut, mais s'il y a des données personnelles laissées aux quatre
vents mieux vaut s'abstenir.
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son intention était bien de mettre les pieds dans le plat et le nez dans le caca de certains.
On peut, mais s'il y a des données personnelles laissées aux quatre vents mieux vaut s'abstenir.
Pour le fun, j'ajoute qu'il n'y a vraisemblablement aucune déclaration à la CNIL du bidule ;-)
Méphisto
-- Roland Garcia
Professeur M
Roland Garcia a écrit :
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
-- C'est parce que la lumière est plus rapide que le son que certains ont l'air brillants avant d'avoir l'air con
Roland Garcia a écrit :
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les
éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur
d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir
ses droits d'auteur ;-)
--
C'est parce que la lumière est plus rapide que le son que certains
ont l'air brillants avant d'avoir l'air con
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
-- C'est parce que la lumière est plus rapide que le son que certains ont l'air brillants avant d'avoir l'air con
Professeur M
Albert ARIBAUD a écrit :
Je pousse la parano un peu plus loin : on n'a donc pas le droit de vérifier que les données transmises correspondent aux données saisies ?
Cela, si. Par contre, effectuer une session FTP peut être considéré comme un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*, les fichiers, c'est ça ?
Ce serait une énorme connerie du DRH, qui engagerait de plus la responsabilité du DSI et du patron, pour atteinte à la vie privée -- du moins si le salarié a bien identifié comme personnel le dossier où se trouvait ce fichier.
Mais bon, on dérive de la question initiale, là.
Oui ;-)
Se limiter à l'observation passive, telle qu'elle peut être faite dans le cadre du travail. Ne pas mentionner les sessions FTP frauduleuses.
Noté.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un cas réel.
Comment as-tu deviné ??
Méph' -- C'est parce que la lumière est plus rapide que le son que certains ont l'air brillants avant d'avoir l'air con
Albert ARIBAUD a écrit :
Je pousse la parano un peu plus loin : on n'a donc pas le droit de
vérifier que les données transmises correspondent aux données saisies ?
Cela, si. Par contre, effectuer une session FTP peut être considéré comme
un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*,
les fichiers, c'est ça ?
Ce serait une énorme connerie du DRH, qui engagerait de plus la
responsabilité du DSI et du patron, pour atteinte à la vie privée -- du
moins si le salarié a bien identifié comme personnel le dossier où se
trouvait ce fichier.
Mais bon, on dérive de la question initiale, là.
Oui ;-)
Se limiter à l'observation passive, telle qu'elle peut être faite dans le
cadre du travail.
Ne pas mentionner les sessions FTP frauduleuses.
Noté.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un
cas réel.
Comment as-tu deviné ??
Méph'
--
C'est parce que la lumière est plus rapide que le son que certains
ont l'air brillants avant d'avoir l'air con
Je pousse la parano un peu plus loin : on n'a donc pas le droit de vérifier que les données transmises correspondent aux données saisies ?
Cela, si. Par contre, effectuer une session FTP peut être considéré comme un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*, les fichiers, c'est ça ?
Ce serait une énorme connerie du DRH, qui engagerait de plus la responsabilité du DSI et du patron, pour atteinte à la vie privée -- du moins si le salarié a bien identifié comme personnel le dossier où se trouvait ce fichier.
Mais bon, on dérive de la question initiale, là.
Oui ;-)
Se limiter à l'observation passive, telle qu'elle peut être faite dans le cadre du travail. Ne pas mentionner les sessions FTP frauduleuses.
Noté.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un cas réel.
Comment as-tu deviné ??
Méph' -- C'est parce que la lumière est plus rapide que le son que certains ont l'air brillants avant d'avoir l'air con
patpro ~ patrick proniewski
In article <470bd6de$0$27389$, Professeur Méphisto wrote:
Roland Garcia a écrit :
> Jugée illégale (jurisprudence Guillermito), et souvent légitime car les > éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
il y a bien des spammers qui poursuivent les fournisseurs de blacklists...
patpro
-- http://www.patpro.net/
In article <470bd6de$0$27389$ba4acef3@news.orange.fr>,
Professeur Méphisto <professeur.mephisto@wanadoodoo.fr> wrote:
Roland Garcia a écrit :
> Jugée illégale (jurisprudence Guillermito), et souvent légitime car les
> éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur
d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir
ses droits d'auteur ;-)
il y a bien des spammers qui poursuivent les fournisseurs de
blacklists...
In article <470bd6de$0$27389$, Professeur Méphisto wrote:
Roland Garcia a écrit :
> Jugée illégale (jurisprudence Guillermito), et souvent légitime car les > éditeurs d'antivirus ne font que ça de la journée, bien obligés.
d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
il y a bien des spammers qui poursuivent les fournisseurs de blacklists...
patpro
-- http://www.patpro.net/
Albert ARIBAUD
Le Tue, 09 Oct 2007 19:34:06 +0000, Professeur Méphisto a écrit:
Albert ARIBAUD a écrit :
Je pousse la parano un peu plus loin : on n'a donc pas le droit de vérifier que les données transmises correspondent aux données saisies ?
Cela, si. Par contre, effectuer une session FTP peut être considéré comme un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*, les fichiers, c'est ça ?
Non, sauf conditions de licence dont je doute qu'elles soient réalisées ici.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un cas réel.
Comment as-tu deviné ??
"La bidouille est faite, le signalement aussi mais je veux me blinder complètement pour éviter les emmerdes.".
Amicalement, -- Albert.
Le Tue, 09 Oct 2007 19:34:06 +0000, Professeur Méphisto a écrit:
Albert ARIBAUD a écrit :
Je pousse la parano un peu plus loin : on n'a donc pas le droit de
vérifier que les données transmises correspondent aux données saisies
?
Cela, si. Par contre, effectuer une session FTP peut être considéré
comme un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*,
les fichiers, c'est ça ?
Non, sauf conditions de licence dont je doute qu'elles soient réalisées
ici.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un
cas réel.
Comment as-tu deviné ??
"La bidouille est faite, le signalement aussi mais je veux me blinder
complètement pour éviter les emmerdes.".
Le Tue, 09 Oct 2007 19:34:06 +0000, Professeur Méphisto a écrit:
Albert ARIBAUD a écrit :
Je pousse la parano un peu plus loin : on n'a donc pas le droit de vérifier que les données transmises correspondent aux données saisies ?
Cela, si. Par contre, effectuer une session FTP peut être considéré comme un accès frauduleux.
Mas j'ai le droit de modifier le logiciel pour qu'il m'envoie, *à moi*, les fichiers, c'est ça ?
Non, sauf conditions de licence dont je doute qu'elles soient réalisées ici.
Ne pas présenter comme un cas d'école ce qui, en fin de compte, est un cas réel.
Comment as-tu deviné ??
"La bidouille est faite, le signalement aussi mais je veux me blinder complètement pour éviter les emmerdes.".
Amicalement, -- Albert.
Albert ARIBAUD
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité de la décompilation. Dire "décompilation : jugée illégale" me paraît une généralisation abusive.
Amicalement, -- Albert.
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les
éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la
copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité de
la décompilation. Dire "décompilation : jugée illégale" me paraît une
généralisation abusive.
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité de la décompilation. Dire "décompilation : jugée illégale" me paraît une généralisation abusive.
Amicalement, -- Albert.
Thibaut Henin
Professeur Méphisto wrote:
Quel est la responsabilité de chacun dans ce merdier ?
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son intention était bien de mettre les pieds dans le plat et le nez dans le caca de certains.
La découverte de failles dans des logiciels à lieu tous les jours, et ça ne pose pas trop de problèmes... Maintenant, comme toujours, tout dépend des circonstances ... Voici par exemple, un site web qui référence des failles dans des logiciels, et c'est tout à fait légal :
http://www.securityfocus.com/archive/1
Tout d'abord, l'accès frauduleux ... (Art 323-1 du code pénal). Quelle est le travail exact de cet "employé informatique" ? Parce que suivant son travail et sa mission au sein de l'entreprise, le fait d'avoir accès au serveur peut ou non être frauduleux. (Exemple, s'il est administrateur du dit serveur, avoir accès via login+motdepasse ou via exploitation d'une faille ne change rien, il en a le droit. Par contre, s'il n'est pas "habilité" à accéder au dit serveur, là par contre, c'est frauduleux). Le fait qu'il ai supprimé/écrit un fichier (un des autres des 323), pareil, c'est pénalisable que si c'est frauduleux.... [Il y a des décisions de la cours de cassation dans ce sens, mais désolé, j'ai perdu mes références...]
Maintenant, la découverte de faille... (Art 323-3-1). Votre amis devrait avoir un motif légitime pour découvrir cette faille. Je pense que "être curieux", et "vouloir aider son entreprise à être mieux sécurisée" (d'autant que puisqu'il n'a rien fait et uniquement montré la faille à ses supérieur, ça renforce l'idée), il ne risque rien... Mais après, ça dépend du juge, et de comment les choses seront présentées par l'entreprise de votre ami, ... [je n'ai pas trouvé de jurisprudence là dessus].
Maintenant, si votre amis affiche clairement ses intention de foutre la merde, le motif légitime risque d'être difficile à exprimer... Mais vouloir montrer du doigt une erreur dans un programme, pour emmerder son éditeur ne constitue pas un délit...
Dans votre cas, le droit d'auteur n'a rien à voir là dedans.
La garantie des logiciel... Rien n'oblige les éditeurs à garantir leur logiciels. La communauté des chercheurs et des agences de sécurité européennes sont en train de discuter de ça, mais personne n'est d'accord avec personne, et ça va mettre un bon moment à savoir si les éditeurs devront garantir leurs logiciels...
Pour l'affaire guillermito, on ne lui a pas repproché d'intrusion, ni de reverse engineering mais de contrefaçon (il a utilisé un bout du code de l'anti-virus dans sa "preuve de concept"). Votre cas est complètement différent.
Voilà voilà
Thibaut
Professeur Méphisto wrote:
Quel est la responsabilité de chacun dans ce merdier ?
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son
intention était bien de mettre les pieds dans le plat et le nez dans le
caca de certains.
La découverte de failles dans des logiciels à lieu tous les jours, et ça
ne pose pas trop de problèmes... Maintenant, comme toujours, tout dépend
des circonstances ... Voici par exemple, un site web qui référence des
failles dans des logiciels, et c'est tout à fait légal :
http://www.securityfocus.com/archive/1
Tout d'abord, l'accès frauduleux ... (Art 323-1 du code pénal). Quelle
est le travail exact de cet "employé informatique" ? Parce que suivant
son travail et sa mission au sein de l'entreprise, le fait d'avoir accès
au serveur peut ou non être frauduleux. (Exemple, s'il est
administrateur du dit serveur, avoir accès via login+motdepasse ou via
exploitation d'une faille ne change rien, il en a le droit. Par contre,
s'il n'est pas "habilité" à accéder au dit serveur, là par contre, c'est
frauduleux). Le fait qu'il ai supprimé/écrit un fichier (un des autres
des 323), pareil, c'est pénalisable que si c'est frauduleux.... [Il y a
des décisions de la cours de cassation dans ce sens, mais désolé, j'ai
perdu mes références...]
Maintenant, la découverte de faille... (Art 323-3-1). Votre amis devrait
avoir un motif légitime pour découvrir cette faille. Je pense que "être
curieux", et "vouloir aider son entreprise à être mieux sécurisée"
(d'autant que puisqu'il n'a rien fait et uniquement montré la faille à
ses supérieur, ça renforce l'idée), il ne risque rien... Mais après, ça
dépend du juge, et de comment les choses seront présentées par
l'entreprise de votre ami, ... [je n'ai pas trouvé de jurisprudence là
dessus].
Maintenant, si votre amis affiche clairement ses intention de foutre la
merde, le motif légitime risque d'être difficile à exprimer... Mais
vouloir montrer du doigt une erreur dans un programme, pour emmerder son
éditeur ne constitue pas un délit...
Dans votre cas, le droit d'auteur n'a rien à voir là dedans.
La garantie des logiciel... Rien n'oblige les éditeurs à garantir leur
logiciels. La communauté des chercheurs et des agences de sécurité
européennes sont en train de discuter de ça, mais personne n'est
d'accord avec personne, et ça va mettre un bon moment à savoir si les
éditeurs devront garantir leurs logiciels...
Pour l'affaire guillermito, on ne lui a pas repproché d'intrusion, ni de
reverse engineering mais de contrefaçon (il a utilisé un bout du code de
l'anti-virus dans sa "preuve de concept"). Votre cas est complètement
différent.
Quel est la responsabilité de chacun dans ce merdier ?
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son intention était bien de mettre les pieds dans le plat et le nez dans le caca de certains.
La découverte de failles dans des logiciels à lieu tous les jours, et ça ne pose pas trop de problèmes... Maintenant, comme toujours, tout dépend des circonstances ... Voici par exemple, un site web qui référence des failles dans des logiciels, et c'est tout à fait légal :
http://www.securityfocus.com/archive/1
Tout d'abord, l'accès frauduleux ... (Art 323-1 du code pénal). Quelle est le travail exact de cet "employé informatique" ? Parce que suivant son travail et sa mission au sein de l'entreprise, le fait d'avoir accès au serveur peut ou non être frauduleux. (Exemple, s'il est administrateur du dit serveur, avoir accès via login+motdepasse ou via exploitation d'une faille ne change rien, il en a le droit. Par contre, s'il n'est pas "habilité" à accéder au dit serveur, là par contre, c'est frauduleux). Le fait qu'il ai supprimé/écrit un fichier (un des autres des 323), pareil, c'est pénalisable que si c'est frauduleux.... [Il y a des décisions de la cours de cassation dans ce sens, mais désolé, j'ai perdu mes références...]
Maintenant, la découverte de faille... (Art 323-3-1). Votre amis devrait avoir un motif légitime pour découvrir cette faille. Je pense que "être curieux", et "vouloir aider son entreprise à être mieux sécurisée" (d'autant que puisqu'il n'a rien fait et uniquement montré la faille à ses supérieur, ça renforce l'idée), il ne risque rien... Mais après, ça dépend du juge, et de comment les choses seront présentées par l'entreprise de votre ami, ... [je n'ai pas trouvé de jurisprudence là dessus].
Maintenant, si votre amis affiche clairement ses intention de foutre la merde, le motif légitime risque d'être difficile à exprimer... Mais vouloir montrer du doigt une erreur dans un programme, pour emmerder son éditeur ne constitue pas un délit...
Dans votre cas, le droit d'auteur n'a rien à voir là dedans.
La garantie des logiciel... Rien n'oblige les éditeurs à garantir leur logiciels. La communauté des chercheurs et des agences de sécurité européennes sont en train de discuter de ça, mais personne n'est d'accord avec personne, et ça va mettre un bon moment à savoir si les éditeurs devront garantir leurs logiciels...
Pour l'affaire guillermito, on ne lui a pas repproché d'intrusion, ni de reverse engineering mais de contrefaçon (il a utilisé un bout du code de l'anti-virus dans sa "preuve de concept"). Votre cas est complètement différent.
Voilà voilà
Thibaut
Albert ARIBAUD
Le Tue, 09 Oct 2007 23:08:33 +0200, Roland Garcia a écrit:
Albert ARIBAUD a écrit :
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité de la décompilation. Dire "décompilation : jugée illégale" me paraît une généralisation abusive.
Et pourtant la cour a bien suivi le premier expert qui concluait à la contrefaçon par "décompilation" puis le contre-expert de Tegam contredisant à son tour l'expert de Guillermito qui lui concluait à la non-contrefaçon.
Ceci concerne la qualification de contrefaçon, pas la licéité de la décompilation.
Dans tous les cas ça ne change rien. D'expérience les éditeurs d'antivirus "décompilent" les programmes ou bouts de programme qui leurs sont envoyés (clients, inconnus etc...) pour analyse.
On peut considérer que c'est à fin d'interopérabilité de l'antivirus avec le virus. :)
Amicalement, -- Albert.
Le Tue, 09 Oct 2007 23:08:33 +0200, Roland Garcia a écrit:
Albert ARIBAUD a écrit :
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car
les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la
copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité
de la décompilation. Dire "décompilation : jugée illégale" me paraît
une généralisation abusive.
Et pourtant la cour a bien suivi le premier expert qui concluait à la
contrefaçon par "décompilation" puis le contre-expert de Tegam
contredisant à son tour l'expert de Guillermito qui lui concluait à la
non-contrefaçon.
Ceci concerne la qualification de contrefaçon, pas la licéité de la
décompilation.
Dans tous les cas ça ne change rien. D'expérience les éditeurs
d'antivirus "décompilent" les programmes ou bouts de programme qui leurs
sont envoyés (clients, inconnus etc...) pour analyse.
On peut considérer que c'est à fin d'interopérabilité de l'antivirus avec
le virus. :)
Le Tue, 09 Oct 2007 23:08:33 +0200, Roland Garcia a écrit:
Albert ARIBAUD a écrit :
Le Tue, 09 Oct 2007 20:03:06 +0200, Roland Garcia a écrit:
Le «reverse engineering» n'est-il pas *parfois* légitime ?
Jugée illégale (jurisprudence Guillermito), et souvent légitime car les éditeurs d'antivirus ne font que ça de la journée, bien obligés.
Il me semble que dans Guillermito, c'est la façon dont il a acquis la copie du logiciel analysé, jugée illégale, qui a entraîné l'illégalité de la décompilation. Dire "décompilation : jugée illégale" me paraît une généralisation abusive.
Et pourtant la cour a bien suivi le premier expert qui concluait à la contrefaçon par "décompilation" puis le contre-expert de Tegam contredisant à son tour l'expert de Guillermito qui lui concluait à la non-contrefaçon.
Ceci concerne la qualification de contrefaçon, pas la licéité de la décompilation.
Dans tous les cas ça ne change rien. D'expérience les éditeurs d'antivirus "décompilent" les programmes ou bouts de programme qui leurs sont envoyés (clients, inconnus etc...) pour analyse.
On peut considérer que c'est à fin d'interopérabilité de l'antivirus avec le virus. :)
