Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe. La différence juridique fondamentale entre eux et nous c'est que nous nous ne pouvons pas nous prévaloir du secret défense, ce qui nous ramène à notre TEXTE.
Maintenant pour les textes je vais être très clair avec vous : débrouillez-vous avec le journal officiel pour retrouver les arrêtés, décrets et directives.
Y'a pas et donc tout le monde est à la même enseigne et prend les mêmes risques, vous en voulez la preuve ? http://www.cnrs.fr/Infosecu/num39.pdf
-- Roland Garcia
LaDDL wrote:
Roland Garcia wrote:
Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe. La
différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense, ce qui nous ramène à
notre TEXTE.
Maintenant pour les textes je vais être très clair avec vous :
débrouillez-vous avec le journal officiel pour retrouver les arrêtés,
décrets et directives.
Y'a pas et donc tout le monde est à la même enseigne et prend les mêmes
risques, vous en voulez la preuve ?
http://www.cnrs.fr/Infosecu/num39.pdf
Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe. La différence juridique fondamentale entre eux et nous c'est que nous nous ne pouvons pas nous prévaloir du secret défense, ce qui nous ramène à notre TEXTE.
Maintenant pour les textes je vais être très clair avec vous : débrouillez-vous avec le journal officiel pour retrouver les arrêtés, décrets et directives.
Y'a pas et donc tout le monde est à la même enseigne et prend les mêmes risques, vous en voulez la preuve ? http://www.cnrs.fr/Infosecu/num39.pdf
-- Roland Garcia
Cedric Blancher
Le Sun, 18 Jul 2004 17:16:30 +0000, LaDDL a écrit :
Pour des motifs légitimes oui.
Tu ne comprends pas ce que je veux dire. Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
-- Je viens avec ma femme une fois. S.v.p., soyez gentils avec elle. Ne lui dites pas que je poste dans fcsm. Elle crois que je traduis du logiciel... -+ JPK in Guide du Macounet Pervers : Bien tromper son monde une fois +-
Le Sun, 18 Jul 2004 17:16:30 +0000, LaDDL a écrit :
Pour des motifs légitimes oui.
Tu ne comprends pas ce que je veux dire. Si tu fais un test à base de
banner grabbing pour identifier les failles, tu ne fais pas d'intrusion,
donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
--
Je viens avec ma femme une fois.
S.v.p., soyez gentils avec elle. Ne lui dites pas que je poste dans
fcsm. Elle crois que je traduis du logiciel...
-+ JPK in Guide du Macounet Pervers : Bien tromper son monde une fois +-
Le Sun, 18 Jul 2004 17:16:30 +0000, LaDDL a écrit :
Pour des motifs légitimes oui.
Tu ne comprends pas ce que je veux dire. Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
-- Je viens avec ma femme une fois. S.v.p., soyez gentils avec elle. Ne lui dites pas que je poste dans fcsm. Elle crois que je traduis du logiciel... -+ JPK in Guide du Macounet Pervers : Bien tromper son monde une fois +-
LaDDL
Cedric Blancher wrote:
Pour des motifs légitimes oui.
Tu ne comprends pas ce que je veux dire. Je t'ai bien lu et par là-même compris. ;)
C'est pourquoi je te disais que ce type d'acte est légitime pour celui (l'admin dans mon exemple) qui est autorisé/invité à accèder dans un SI.
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits. Donc c'est bien un acte illégitime pour celui qui voudrait tester les failles/vulnérabilités s'il n'est pas autorisé à accèder dans un SI.
Cedric Blancher wrote:
Pour des motifs légitimes oui.
Tu ne comprends pas ce que je veux dire.
Je t'ai bien lu et par là-même compris. ;)
C'est pourquoi je te disais que ce type d'acte est légitime pour celui
(l'admin dans mon exemple) qui est autorisé/invité à accèder dans un SI.
Si tu fais un test à base de
banner grabbing pour identifier les failles, tu ne fais pas d'intrusion,
donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans
autorisation ou encore effectuer des opérations multiples illégitimes
sur un SI sans autorisation sont des délits. Donc c'est bien un acte
illégitime pour celui qui voudrait tester les failles/vulnérabilités
s'il n'est pas autorisé à accèder dans un SI.
Tu ne comprends pas ce que je veux dire. Je t'ai bien lu et par là-même compris. ;)
C'est pourquoi je te disais que ce type d'acte est légitime pour celui (l'admin dans mon exemple) qui est autorisé/invité à accèder dans un SI.
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits. Donc c'est bien un acte illégitime pour celui qui voudrait tester les failles/vulnérabilités s'il n'est pas autorisé à accèder dans un SI.
Cedric Blancher
Le Mon, 19 Jul 2004 05:59:02 +0000, LaDDL a écrit :
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès.
-- comment on fait des liens en php? -+- ide in http://www.petitjoueur.net/ : comment on linke en mp3 ? -+-
Le Mon, 19 Jul 2004 05:59:02 +0000, LaDDL a écrit :
Si tu fais un test à base de
banner grabbing pour identifier les failles, tu ne fais pas d'intrusion,
donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans
autorisation ou encore effectuer des opérations multiples illégitimes
sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour
obtenir des informations publiques me laisse un peu pantois... En
particulier, j'ai du mal à imaginer comment un service public pourrait ne
pas être autorisé en accès.
--
comment on fait des liens en php?
-+- ide in http://www.petitjoueur.net/ : comment on linke en mp3 ? -+-
Le Mon, 19 Jul 2004 05:59:02 +0000, LaDDL a écrit :
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès.
-- comment on fait des liens en php? -+- ide in http://www.petitjoueur.net/ : comment on linke en mp3 ? -+-
Roland Garcia
LaDDL wrote:
Selon mes conseils juridique il m'avait indiqué que (je reprends les termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
A part dire qu'effectuer un acte illégitime n'est pas légal (on l'aurait trouvé tout seul), avez vous le texte disant que les faits mentionnés par Cédric sont illégitimes ?
-- Roland Garcia
LaDDL wrote:
Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans
autorisation ou encore effectuer des opérations multiples illégitimes
sur un SI sans autorisation sont des délits.
A part dire qu'effectuer un acte illégitime n'est pas légal (on l'aurait
trouvé tout seul), avez vous le texte disant que les faits mentionnés
par Cédric sont illégitimes ?
Selon mes conseils juridique il m'avait indiqué que (je reprends les termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
A part dire qu'effectuer un acte illégitime n'est pas légal (on l'aurait trouvé tout seul), avez vous le texte disant que les faits mentionnés par Cédric sont illégitimes ?
-- Roland Garcia
Eric Razny
"Cedric Blancher" a écrit dans le message de news:
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès.
même présenté avec un superbe "accès interdit" n'empêche pas le banner grabbing pour autant qu'il n'y ait pas d'accès ou de tentative d'accès (aller plus loin) à partir de ce moment.
Donc même sur un service non public la collecte d'infos sans enfreindre la loi doit être possible[1]. (en clair c'est à l'admin de se démerder pour ne pas laisser passer l'info jusqu'à l'affichage d'accès interdit. Ensuite et seulement ensuite la collecte d'autres infos en passant outre le message d'avertissement est illégale[2]). Il en est bien sur autrement de l'utilisation de ces infos :)
Eric
[1] Même en IP il est tout à fait possible de faire une erreur de numéro ;) [2] Raison de plus pour éviter le "Welcome evrrrrrybody" qu'on voit encore trop fréquement!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"Cedric Blancher" <blancher@cartel-securite.fr> a écrit dans le message de
news:pan.2004.07.19.15.24.36.262021@cartel-securite.fr...
Le caractère illicite d'un accès à un service publique pour
obtenir des informations publiques me laisse un peu pantois... En
particulier, j'ai du mal à imaginer comment un service public pourrait ne
pas être autorisé en accès.
même présenté avec un superbe "accès interdit" n'empêche pas le banner
grabbing pour autant qu'il n'y ait pas d'accès ou de tentative d'accès
(aller plus loin) à partir de ce moment.
Donc même sur un service non public la collecte d'infos sans enfreindre la
loi doit être possible[1]. (en clair c'est à l'admin de se démerder pour ne
pas laisser passer l'info jusqu'à l'affichage d'accès interdit. Ensuite et
seulement ensuite la collecte d'autres infos en passant outre le message
d'avertissement est illégale[2]).
Il en est bien sur autrement de l'utilisation de ces infos :)
Eric
[1] Même en IP il est tout à fait possible de faire une erreur de numéro ;)
[2] Raison de plus pour éviter le "Welcome evrrrrrybody" qu'on voit encore
trop fréquement!
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
"Cedric Blancher" a écrit dans le message de news:
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès.
même présenté avec un superbe "accès interdit" n'empêche pas le banner grabbing pour autant qu'il n'y ait pas d'accès ou de tentative d'accès (aller plus loin) à partir de ce moment.
Donc même sur un service non public la collecte d'infos sans enfreindre la loi doit être possible[1]. (en clair c'est à l'admin de se démerder pour ne pas laisser passer l'info jusqu'à l'affichage d'accès interdit. Ensuite et seulement ensuite la collecte d'autres infos en passant outre le message d'avertissement est illégale[2]). Il en est bien sur autrement de l'utilisation de ces infos :)
Eric
[1] Même en IP il est tout à fait possible de faire une erreur de numéro ;) [2] Raison de plus pour éviter le "Welcome evrrrrrybody" qu'on voit encore trop fréquement!
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
LaDDL
Roland Garcia wrote:
LaDDL wrote:
Roland Garcia wrote: Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe. C'est pourtant vous qui remettez en question la légitimité des actions
des professionnels de la SI/SSI ?! Relisez-vous pour la énième fois !
Et je ne cesse de vous dire/rappeler que même si le cadre législatif français en criminalité & sécurité informatique a pour objectif de responsabiliser/sensibiliser tous les acteurs/citoyens/professionnels face aux risques qu'ils encourent s'ils ne respectent pas certaines règles, je vous redit/répète que les autorités françaises de notre beau pays n'empêcheront pas les professionnels de la SI/SSI d'assurer le maintien de la SI.
C'est clair maintenant dans votre petite tête ? Phew... >p
La différence juridique fondamentale entre eux et nous c'est que nous nous ne pouvons pas nous prévaloir du secret défense, Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un ingénieur. Pourquoi ? Parce que ces autorités dont nous parlons sensibilisent ces acteurs/personnes.
ce qui nous ramène à notre TEXTE. Les textes juridiques reportez-vous au code pénal (ou faites un coup de
DéjàNews sur ce fil et vous retrouverez toutes les lois concernées) Une dernière fois, vous prenez le Journal Officiel pour trouver les arrêtés, décrets, directives.
Pour conclure la justice française ne condamnera (ou n'empêchera) jamais un professionnel de la SI/SSI sans motifs/raisons légitimes.
Maintenant pour les textes je vais être très clair avec vous : débrouillez-vous avec le journal officiel pour retrouver les arrêtés, décrets et directives.
Y'a pas Bah si mais vous ne savez pas tout. >p
et donc tout le monde est à la même enseigne et prend les mêmes risques, Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens, professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les professionnels de la SI/SSI d'assurer le maintien de la SI.
vous en voulez la preuve ? http://www.cnrs.fr/Infosecu/num39.pdf Vous appelez ça une preuve ?! Rofl.
Quel est le rapport avec la population hétérogène qui cherchent des failles/vulnérabilités dont nous parlions ici dans ce fil ? Hein ?!
Décidement vous êtes le *champion* des tentatives de manipulation de propos et noyage de poisson.
Roland Garcia wrote:
LaDDL wrote:
Roland Garcia wrote:
Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe.
C'est pourtant vous qui remettez en question la légitimité des actions
des professionnels de la SI/SSI ?! Relisez-vous pour la énième fois !
Et je ne cesse de vous dire/rappeler que même si le cadre législatif
français en criminalité & sécurité informatique a pour objectif de
responsabiliser/sensibiliser tous les acteurs/citoyens/professionnels
face aux risques qu'ils encourent s'ils ne respectent pas certaines
règles, je vous redit/répète que les autorités françaises de notre beau
pays n'empêcheront pas les professionnels de la SI/SSI d'assurer le
maintien de la SI.
C'est clair maintenant dans votre petite tête ? Phew... >p
La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ? Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
ce qui nous ramène à
notre TEXTE.
Les textes juridiques reportez-vous au code pénal (ou faites un coup de
DéjàNews sur ce fil et vous retrouverez toutes les lois concernées)
Une dernière fois, vous prenez le Journal Officiel pour trouver les
arrêtés, décrets, directives.
Pour conclure la justice française ne condamnera (ou n'empêchera) jamais
un professionnel de la SI/SSI sans motifs/raisons légitimes.
Maintenant pour les textes je vais être très clair avec vous :
débrouillez-vous avec le journal officiel pour retrouver les arrêtés,
décrets et directives.
Y'a pas
Bah si mais vous ne savez pas tout. >p
et donc tout le monde est à la même enseigne et prend les mêmes
risques,
Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens,
professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face
aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les
professionnels de la SI/SSI d'assurer le maintien de la SI.
vous en voulez la preuve ?
http://www.cnrs.fr/Infosecu/num39.pdf
Vous appelez ça une preuve ?! Rofl.
Quel est le rapport avec la population hétérogène qui cherchent des
failles/vulnérabilités dont nous parlions ici dans ce fil ? Hein ?!
Décidement vous êtes le *champion* des tentatives de manipulation de
propos et noyage de poisson.
Roland Garcia wrote: Dites ? ça va durer longtemps ? il est où votre texte ?
Reprenez comme je vous l'ai déjà suggéré la mission de la DST et DGSE.
Je ne vois pas le rapport avec le problème qui nous préoccupe. C'est pourtant vous qui remettez en question la légitimité des actions
des professionnels de la SI/SSI ?! Relisez-vous pour la énième fois !
Et je ne cesse de vous dire/rappeler que même si le cadre législatif français en criminalité & sécurité informatique a pour objectif de responsabiliser/sensibiliser tous les acteurs/citoyens/professionnels face aux risques qu'ils encourent s'ils ne respectent pas certaines règles, je vous redit/répète que les autorités françaises de notre beau pays n'empêcheront pas les professionnels de la SI/SSI d'assurer le maintien de la SI.
C'est clair maintenant dans votre petite tête ? Phew... >p
La différence juridique fondamentale entre eux et nous c'est que nous nous ne pouvons pas nous prévaloir du secret défense, Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un ingénieur. Pourquoi ? Parce que ces autorités dont nous parlons sensibilisent ces acteurs/personnes.
ce qui nous ramène à notre TEXTE. Les textes juridiques reportez-vous au code pénal (ou faites un coup de
DéjàNews sur ce fil et vous retrouverez toutes les lois concernées) Une dernière fois, vous prenez le Journal Officiel pour trouver les arrêtés, décrets, directives.
Pour conclure la justice française ne condamnera (ou n'empêchera) jamais un professionnel de la SI/SSI sans motifs/raisons légitimes.
Maintenant pour les textes je vais être très clair avec vous : débrouillez-vous avec le journal officiel pour retrouver les arrêtés, décrets et directives.
Y'a pas Bah si mais vous ne savez pas tout. >p
et donc tout le monde est à la même enseigne et prend les mêmes risques, Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens, professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les professionnels de la SI/SSI d'assurer le maintien de la SI.
vous en voulez la preuve ? http://www.cnrs.fr/Infosecu/num39.pdf Vous appelez ça une preuve ?! Rofl.
Quel est le rapport avec la population hétérogène qui cherchent des failles/vulnérabilités dont nous parlions ici dans ce fil ? Hein ?!
Décidement vous êtes le *champion* des tentatives de manipulation de propos et noyage de poisson.
LaDDL
Cedric Blancher wrote:
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En d'autres termes, la collecte d'informations d'un SI n'est pas
légitime si l'on y est pas autorisé par le propriétaire du SI/STAD. IHMO ça ne me choque pas, c'est normal car le contexte des réseaux et du réseau des réseaux précisement a profondément évolué durant ces 10 dernières années. Les risques et sinistres sont bien plus importants qu'avant.
En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès. Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une intrusion dans notre fil, non ?
Cedric Blancher wrote:
Si tu fais un test à base de
banner grabbing pour identifier les failles, tu ne fais pas d'intrusion,
donc tu ne tombes pas sous le coup de la loi, motif légitime ou non.
Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans
autorisation ou encore effectuer des opérations multiples illégitimes
sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour
obtenir des informations publiques me laisse un peu pantois...
En d'autres termes, la collecte d'informations d'un SI n'est pas
légitime si l'on y est pas autorisé par le propriétaire du SI/STAD.
IHMO ça ne me choque pas, c'est normal car le contexte des réseaux et du
réseau des réseaux précisement a profondément évolué durant ces 10
dernières années. Les risques et sinistres sont bien plus importants
qu'avant.
En
particulier, j'ai du mal à imaginer comment un service public pourrait ne
pas être autorisé en accès.
Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Si tu fais un test à base de banner grabbing pour identifier les failles, tu ne fais pas d'intrusion, donc tu ne tombes pas sous le coup de la loi, motif légitime ou non. Selon mes conseils juridique il m'avait indiqué que (je reprends les
termes de droit soit leur jargon métier) l'intérrogation sans autorisation ou encore effectuer des opérations multiples illégitimes sur un SI sans autorisation sont des délits.
Le caractère illicite d'un accès à un service publique pour obtenir des informations publiques me laisse un peu pantois... En d'autres termes, la collecte d'informations d'un SI n'est pas
légitime si l'on y est pas autorisé par le propriétaire du SI/STAD. IHMO ça ne me choque pas, c'est normal car le contexte des réseaux et du réseau des réseaux précisement a profondément évolué durant ces 10 dernières années. Les risques et sinistres sont bien plus importants qu'avant.
En particulier, j'ai du mal à imaginer comment un service public pourrait ne pas être autorisé en accès. Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une intrusion dans notre fil, non ?
Tester les faiblesses d'un systèmes n'implique pas forcément une intrusion ou une tentative d'intrusion d'un système. Par exemple, si je balance un scanner RPC/DCOM sur une plage d'IP, il n'y a pas intrusion, pas plus que tentative d'intrusion, même au sens technique. Par contre, je teste bien le fait que les machines sur cette plage puissent être vulnérables à cette faille.
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Car il est fort possible que tout le debat tourne autour de ce point, en effet la tentative (réussite ou non) de s'introduire et/ou de se maintenir sur un système automatisé de traitement (incluant le SI) est repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Donc si vous avez une definition et l'explication entre un test de vulnérabilité et une tentative d'intrusion je suis sur que nous pourrions y voir plus clair.
Sachant que dans le cas ou votre definition n'a pas été dejà exposé devant une instance juridique, celle-ci sera fondamentalement sujette à interpretation.
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
Par exemple, si je balance un scanner RPC/DCOM sur une plage d'IP, il n'y
a pas intrusion, pas plus que tentative d'intrusion, même au sens
technique. Par contre, je teste bien le fait que les machines sur cette
plage puissent être vulnérables à cette faille.
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Car il est fort possible que tout le debat tourne autour de ce point, en
effet la tentative (réussite ou non) de s'introduire et/ou de se
maintenir sur un système automatisé de traitement (incluant le SI) est
repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Donc si vous avez une definition et l'explication entre un test de
vulnérabilité et une tentative d'intrusion je suis sur que nous
pourrions y voir plus clair.
Sachant que dans le cas ou votre definition n'a pas été dejà exposé
devant une instance juridique, celle-ci sera fondamentalement sujette à
interpretation.
Tester les faiblesses d'un systèmes n'implique pas forcément une intrusion ou une tentative d'intrusion d'un système. Par exemple, si je balance un scanner RPC/DCOM sur une plage d'IP, il n'y a pas intrusion, pas plus que tentative d'intrusion, même au sens technique. Par contre, je teste bien le fait que les machines sur cette plage puissent être vulnérables à cette faille.
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Car il est fort possible que tout le debat tourne autour de ce point, en effet la tentative (réussite ou non) de s'introduire et/ou de se maintenir sur un système automatisé de traitement (incluant le SI) est repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Donc si vous avez une definition et l'explication entre un test de vulnérabilité et une tentative d'intrusion je suis sur que nous pourrions y voir plus clair.
Sachant que dans le cas ou votre definition n'a pas été dejà exposé devant une instance juridique, celle-ci sera fondamentalement sujette à interpretation.
Le Mon, 19 Jul 2004 17:24:31 +0000, Renaud RAKOTOMALALA a écrit :
C'est écrit où ça, dans la loi ?
Articles 323-1, 323-2, 323-3 du code pénal. >p
Tester les faiblesses d'un systèmes n'implique pas forcément une intrusion ou une tentative d'intrusion d'un système. Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique. Par contre techniquement, il me semble assez évident qu'interroger un service publiquement accessible dans les limites des autorisations définies n'est pas une intrusion. Or, si je mets en ligne un serveur Apache, avec un accès avec mdp partout, le fait de lui demander une page web est un acte tout à fait normal. Par contre, parvenir à bypasser l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en effet la tentative (réussite ou non) de s'introduire et/ou de se maintenir sur un système automatisé de traitement (incluant le SI) est repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche de failles et de vulnérabilités" que je prends comme une activité de recherche sur des équipements et logiciels utilisés légalement par l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
--
<BODY bgColor=#ffffff> <DIV><FONT color=#000000 face=Arial size=2>bonjour </FONT></DIV> ps : Votre courrier n'est pas très lisible.
-+- PP in: Guide du Cabaliste Usenet - La Cabale balise -+-
Le Mon, 19 Jul 2004 17:24:31 +0000, Renaud RAKOTOMALALA a écrit :
C'est écrit où ça, dans la loi ?
Articles 323-1, 323-2, 323-3 du code pénal. >p
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique.
Par contre techniquement, il me semble assez évident qu'interroger un
service publiquement accessible dans les limites des autorisations
définies n'est pas une intrusion. Or, si je mets en ligne un serveur
Apache, avec un accès avec mdp partout, le fait de lui demander une page
web est un acte tout à fait normal. Par contre, parvenir à bypasser
l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en
effet la tentative (réussite ou non) de s'introduire et/ou de se
maintenir sur un système automatisé de traitement (incluant le SI) est
repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche
de failles et de vulnérabilités" que je prends comme une activité de
recherche sur des équipements et logiciels utilisés légalement par
l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à
la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
--
<BODY bgColor=#ffffff>
<DIV><FONT color=#000000 face=Arial size=2>bonjour </FONT></DIV>
ps : Votre courrier n'est pas très lisible.
-+- PP in: Guide du Cabaliste Usenet - La Cabale balise -+-
Le Mon, 19 Jul 2004 17:24:31 +0000, Renaud RAKOTOMALALA a écrit :
C'est écrit où ça, dans la loi ?
Articles 323-1, 323-2, 323-3 du code pénal. >p
Tester les faiblesses d'un systèmes n'implique pas forcément une intrusion ou une tentative d'intrusion d'un système. Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique. Par contre techniquement, il me semble assez évident qu'interroger un service publiquement accessible dans les limites des autorisations définies n'est pas une intrusion. Or, si je mets en ligne un serveur Apache, avec un accès avec mdp partout, le fait de lui demander une page web est un acte tout à fait normal. Par contre, parvenir à bypasser l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en effet la tentative (réussite ou non) de s'introduire et/ou de se maintenir sur un système automatisé de traitement (incluant le SI) est repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche de failles et de vulnérabilités" que je prends comme une activité de recherche sur des équipements et logiciels utilisés légalement par l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
--
<BODY bgColor=#ffffff> <DIV><FONT color=#000000 face=Arial size=2>bonjour </FONT></DIV> ps : Votre courrier n'est pas très lisible.
-+- PP in: Guide du Cabaliste Usenet - La Cabale balise -+-
