Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Là n'est pas la question voyons.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Roland Garcia wrote:La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Décidement vous êtes le *champion* des tentatives de manipulation de
propos et noyage de poisson.
Roland Garcia wrote:
La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Décidement vous êtes le *champion* des tentatives de manipulation de
propos et noyage de poisson.
Roland Garcia wrote:La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Décidement vous êtes le *champion* des tentatives de manipulation de
propos et noyage de poisson.
Là n'est pas la question voyons.
Ben si quand même.
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Non.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
Pas dans celui qui nous (toi, et moi) concerne. Je te parle de
recherche de failles et de vulnérabilités,
Bon alors on va reprendre ok ?
ce qui à mon sens n'englobe
pas les démarche à la Kitetoa, qui relèvent d'une autre problématique,
à savoir identifier les sites faibles.
Stp on en reste là concernant Kitetoa car je pense que tout à été dit
Là n'est pas la question voyons.
Ben si quand même.
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Non.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
Pas dans celui qui nous (toi, et moi) concerne. Je te parle de
recherche de failles et de vulnérabilités,
Bon alors on va reprendre ok ?
ce qui à mon sens n'englobe
pas les démarche à la Kitetoa, qui relèvent d'une autre problématique,
à savoir identifier les sites faibles.
Stp on en reste là concernant Kitetoa car je pense que tout à été dit
Là n'est pas la question voyons.
Ben si quand même.
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre.
On parle bien de collecte d'information illégitime en vue d'une
intrusion dans notre fil, non ?
Non.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
Pas dans celui qui nous (toi, et moi) concerne. Je te parle de
recherche de failles et de vulnérabilités,
Bon alors on va reprendre ok ?
ce qui à mon sens n'englobe
pas les démarche à la Kitetoa, qui relèvent d'une autre problématique,
à savoir identifier les sites faibles.
Stp on en reste là concernant Kitetoa car je pense que tout à été dit
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Donc pour les détecter, les identifier que fait-on hein ?
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Donc pour les détecter, les identifier que fait-on hein ?
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Donc pour les détecter, les identifier que fait-on hein ?
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique.
Par contre techniquement, il me semble assez évident qu'interroger un
service publiquement accessible dans les limites des autorisations
définies n'est pas une intrusion. Or, si je mets en ligne un serveur
Apache, avec un accès avec mdp partout, le fait de lui demander une page
web est un acte tout à fait normal. Par contre, parvenir à bypasser
l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en
effet la tentative (réussite ou non) de s'introduire et/ou de se
maintenir sur un système automatisé de traitement (incluant le SI) est
repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche
de failles et de vulnérabilités" que je prends comme une activité de
recherche sur des équipements et logiciels utilisés légalement par
l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à
la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique.
Par contre techniquement, il me semble assez évident qu'interroger un
service publiquement accessible dans les limites des autorisations
définies n'est pas une intrusion. Or, si je mets en ligne un serveur
Apache, avec un accès avec mdp partout, le fait de lui demander une page
web est un acte tout à fait normal. Par contre, parvenir à bypasser
l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en
effet la tentative (réussite ou non) de s'introduire et/ou de se
maintenir sur un système automatisé de traitement (incluant le SI) est
repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche
de failles et de vulnérabilités" que je prends comme une activité de
recherche sur des équipements et logiciels utilisés légalement par
l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à
la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
Pourriez-vous nous indiquer votre definition d'une tentative d'intrusion ?
Je n'ai pas de définition toute faite d'une intrusion au sens juridique.
Par contre techniquement, il me semble assez évident qu'interroger un
service publiquement accessible dans les limites des autorisations
définies n'est pas une intrusion. Or, si je mets en ligne un serveur
Apache, avec un accès avec mdp partout, le fait de lui demander une page
web est un acte tout à fait normal. Par contre, parvenir à bypasser
l'authentification est une intrusion.
Car il est fort possible que tout le debat tourne autour de ce point, en
effet la tentative (réussite ou non) de s'introduire et/ou de se
maintenir sur un système automatisé de traitement (incluant le SI) est
repréhensible au regard de la loi "loi GODFRAIN datant de 1988".
Non. Je pense que le problème tourne plus à la définition de "recherche
de failles et de vulnérabilités" que je prends comme une activité de
recherche sur des équipements et logiciels utilisés légalement par
l'auditeur, alors que LaDDL semble inclure dedans les pentests sauvages à
la Kitetoa qui ne relève pas du tout, à mon sens, de la même démarche.
PS : quoter les entêtes ne sert à rien...
En outre le simple fait de vouloir acceder à une page securisé et de
tester un couple nom d'utilisateur/mot de passe suffit à qualifié
l'acte de tentative d'infraction.
La tentative n'implique nullement la reussite de l'attaque, pour
repondre à votre precedente intervention qui consitait que pour
qualifié la tentative il fallait qu'elle soit réussite.
Non. Je pense que le problème tourne plus à la définition de
"recherche de failles et de vulnérabilités" que je prends comme une
activité de recherche sur des équipements et logiciels utilisés
légalement par l'auditeur, alors que LaDDL semble inclure dedans les
pentests sauvages à la Kitetoa qui ne relève pas du tout, à mon
sens, de la même démarche.
La seule chose qui sépare un audit d'un test d'intrusion et
l'autorisation manuscrite et explicite du proprietaire du matériel pour
de tel test.
En outre si nous reprenons votre demarche précédente qui consiste à
dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
Donc ce qui vous sépare d'un audit "légal" d'un audit "illegal" c'est
le simple fait d'avoir les autorisation nécéssaire pour effectuer une
telle chose.
PS : quoter les entêtes ne sert à rien...
Si vous possedez l'intégralité du thread peut être, pour les autres
ca peut toujours servir ...
En outre le simple fait de vouloir acceder à une page securisé et de
tester un couple nom d'utilisateur/mot de passe suffit à qualifié
l'acte de tentative d'infraction.
La tentative n'implique nullement la reussite de l'attaque, pour
repondre à votre precedente intervention qui consitait que pour
qualifié la tentative il fallait qu'elle soit réussite.
Non. Je pense que le problème tourne plus à la définition de
"recherche de failles et de vulnérabilités" que je prends comme une
activité de recherche sur des équipements et logiciels utilisés
légalement par l'auditeur, alors que LaDDL semble inclure dedans les
pentests sauvages à la Kitetoa qui ne relève pas du tout, à mon
sens, de la même démarche.
La seule chose qui sépare un audit d'un test d'intrusion et
l'autorisation manuscrite et explicite du proprietaire du matériel pour
de tel test.
En outre si nous reprenons votre demarche précédente qui consiste à
dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
Donc ce qui vous sépare d'un audit "légal" d'un audit "illegal" c'est
le simple fait d'avoir les autorisation nécéssaire pour effectuer une
telle chose.
PS : quoter les entêtes ne sert à rien...
Si vous possedez l'intégralité du thread peut être, pour les autres
ca peut toujours servir ...
En outre le simple fait de vouloir acceder à une page securisé et de
tester un couple nom d'utilisateur/mot de passe suffit à qualifié
l'acte de tentative d'infraction.
La tentative n'implique nullement la reussite de l'attaque, pour
repondre à votre precedente intervention qui consitait que pour
qualifié la tentative il fallait qu'elle soit réussite.
Non. Je pense que le problème tourne plus à la définition de
"recherche de failles et de vulnérabilités" que je prends comme une
activité de recherche sur des équipements et logiciels utilisés
légalement par l'auditeur, alors que LaDDL semble inclure dedans les
pentests sauvages à la Kitetoa qui ne relève pas du tout, à mon
sens, de la même démarche.
La seule chose qui sépare un audit d'un test d'intrusion et
l'autorisation manuscrite et explicite du proprietaire du matériel pour
de tel test.
En outre si nous reprenons votre demarche précédente qui consiste à
dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
Donc ce qui vous sépare d'un audit "légal" d'un audit "illegal" c'est
le simple fait d'avoir les autorisation nécéssaire pour effectuer une
telle chose.
PS : quoter les entêtes ne sert à rien...
Si vous possedez l'intégralité du thread peut être, pour les autres
ca peut toujours servir ...
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)
Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.
2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
Pour la recherche de faille, il semble qu'il y ait un malentendu.
Il me semble oui et ça fait bien 1 an déjà ! ;p
Quand je
parle de recherche de faille, je parle d'évaluation de produits
informatiques dans le but d'y découvrir des failles.
Ce n'est pas ce que tu disais jusqu'à lors. Mais je prends note au moins
Donc des produits
qu'on utilise légalement. Et quand je parles de produits, je parle de
logiciel et de matériel.
C'est très bien tout ce que tu dis ici. Et je suis heureux de constater
Toi tu embrayes sur les pentests sauvages,
Non je ne fais que parler du cadre législatif. Et sur ce plan une
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
Non. Les pentests
sauvages ne vont pas du tout dans le sens de la recherche de failles au
sens qu'on lui donne dans le monde de la sécurité informatique, c'est à
dire la découverte de failles.
Tu n'as rien compris à mes propos c'est pas possible et qu'est-ce que
Pour les prestations des professionnels comme le pentest, tu nous dis
qu'il va falloir être accrédité pour les faire,
Sois tu es de mauvaise foi ou bien tu n'as absolument pas compris mes
au risque de violer la
loi (une nouvelle fois).
Oui nous sommes exposés à des risques juridiques vois-tu.
Ce que tu as seulement oublié de préciser,
c'est que manifestement, tu parlais de pentests non sollicités, alors que
manifestement, pas mal de monde ici parle de prestations en bonne et due
forme...
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
En gros, ma position très claire est la suivante :
Voyons voir.
1. Tout le monde devrait être autorisé à pratiquer la recherche de
failles sur les produits qu'il possède légalement.
Entièrement d'accord.
La LCEN limite ce
droit dans le sens où elle limite l'accès aux outils et à
l'information qui permettent de le faire,
Non elle rend l'accès à ces informations, outils plus difficiles. C'est
et consacre donc cette
activité au cercle des gens qui disposeront du "motif légitime" de fait
(en gros les professionnels de la SSI),
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
et donc, pour le grand public principalement, un
manque de couverture.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
2. Les sociétés spécialisées dans les SSI sont mandatées pour
réalisées un certain nombre de tâches et ne devraient pas avoir à
être accréditées pour pouvoir offrir ces services.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
Il appartient au
client (qui a toujours raison) de s'assurer que la société qu'il
mandate possède bien les qualifications requises (certifications,
habilitations, etc.).
Et à la société ou au prestataire de jouer la transparence pour
Bref, ne pas soumettre l'exercice du service en SSI
à l'obtention d'un "diplôme" payant, ce qui aura pour effet de
restreindre l'offre aux sociétés les plus riches, et pas forcément les
plus compétentes...
On est sur la même longueur d'ondes sur ce point.
À partir de là, quand on me dit que la recherche en sécurité devrait
être limitée à des personnes identifiées, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand on me dit
que la publication d'informations issues de cette recherche devrait être
limitée à ces mêmes personnes, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand je lis qu'il faudrait
être accrédité pour pouvoir exercer une activité de conseil en SSI, je
dis non.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;)
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Mais pas en vue d'une intrusion.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
Tu nous dis que tester un système viole la loi.
Nan nan.
Je ne fais que te donner
un exemple dans lequel l'évaluation du système (qui vaut ce qu'elle
vaut) s'appuie sur une méthode qui ne viole pas la loi.
Reprenons :
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt. Jolie
[blablablabla le code pénal]
Franchement, je ne vois pas un banner grabbing entrer là-dedans. Mais
bon.
C'est une méthode d'identification. Donc traduite en jargon juridique
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Pas infrastructures, sinon la sienne.
Merci d'apporter cette précision à ce moment précis de notre échange.
Si on touche à celles des autres,
on sort du cadre de la _recherche_, on entre dans celui de la prestation.
ou de l'illégalité si c'est commis sans autorisation.
Le contexte n'est pas le même.
C'est une évidence que de le dire. ;)
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)
Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.
2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
Pour la recherche de faille, il semble qu'il y ait un malentendu.
Il me semble oui et ça fait bien 1 an déjà ! ;p
Quand je
parle de recherche de faille, je parle d'évaluation de produits
informatiques dans le but d'y découvrir des failles.
Ce n'est pas ce que tu disais jusqu'à lors. Mais je prends note au moins
Donc des produits
qu'on utilise légalement. Et quand je parles de produits, je parle de
logiciel et de matériel.
C'est très bien tout ce que tu dis ici. Et je suis heureux de constater
Toi tu embrayes sur les pentests sauvages,
Non je ne fais que parler du cadre législatif. Et sur ce plan une
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
Non. Les pentests
sauvages ne vont pas du tout dans le sens de la recherche de failles au
sens qu'on lui donne dans le monde de la sécurité informatique, c'est à
dire la découverte de failles.
Tu n'as rien compris à mes propos c'est pas possible et qu'est-ce que
Pour les prestations des professionnels comme le pentest, tu nous dis
qu'il va falloir être accrédité pour les faire,
Sois tu es de mauvaise foi ou bien tu n'as absolument pas compris mes
au risque de violer la
loi (une nouvelle fois).
Oui nous sommes exposés à des risques juridiques vois-tu.
Ce que tu as seulement oublié de préciser,
c'est que manifestement, tu parlais de pentests non sollicités, alors que
manifestement, pas mal de monde ici parle de prestations en bonne et due
forme...
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
En gros, ma position très claire est la suivante :
Voyons voir.
1. Tout le monde devrait être autorisé à pratiquer la recherche de
failles sur les produits qu'il possède légalement.
Entièrement d'accord.
La LCEN limite ce
droit dans le sens où elle limite l'accès aux outils et à
l'information qui permettent de le faire,
Non elle rend l'accès à ces informations, outils plus difficiles. C'est
et consacre donc cette
activité au cercle des gens qui disposeront du "motif légitime" de fait
(en gros les professionnels de la SSI),
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
et donc, pour le grand public principalement, un
manque de couverture.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
2. Les sociétés spécialisées dans les SSI sont mandatées pour
réalisées un certain nombre de tâches et ne devraient pas avoir à
être accréditées pour pouvoir offrir ces services.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
Il appartient au
client (qui a toujours raison) de s'assurer que la société qu'il
mandate possède bien les qualifications requises (certifications,
habilitations, etc.).
Et à la société ou au prestataire de jouer la transparence pour
Bref, ne pas soumettre l'exercice du service en SSI
à l'obtention d'un "diplôme" payant, ce qui aura pour effet de
restreindre l'offre aux sociétés les plus riches, et pas forcément les
plus compétentes...
On est sur la même longueur d'ondes sur ce point.
À partir de là, quand on me dit que la recherche en sécurité devrait
être limitée à des personnes identifiées, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand on me dit
que la publication d'informations issues de cette recherche devrait être
limitée à ces mêmes personnes, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand je lis qu'il faudrait
être accrédité pour pouvoir exercer une activité de conseil en SSI, je
dis non.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;)
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Mais pas en vue d'une intrusion.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
Tu nous dis que tester un système viole la loi.
Nan nan.
Je ne fais que te donner
un exemple dans lequel l'évaluation du système (qui vaut ce qu'elle
vaut) s'appuie sur une méthode qui ne viole pas la loi.
Reprenons :
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt. Jolie
[blablablabla le code pénal]
Franchement, je ne vois pas un banner grabbing entrer là-dedans. Mais
bon.
C'est une méthode d'identification. Donc traduite en jargon juridique
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Pas infrastructures, sinon la sienne.
Merci d'apporter cette précision à ce moment précis de notre échange.
Si on touche à celles des autres,
on sort du cadre de la _recherche_, on entre dans celui de la prestation.
ou de l'illégalité si c'est commis sans autorisation.
Le contexte n'est pas le même.
C'est une évidence que de le dire. ;)
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)
Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.
2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
Pour la recherche de faille, il semble qu'il y ait un malentendu.
Il me semble oui et ça fait bien 1 an déjà ! ;p
Quand je
parle de recherche de faille, je parle d'évaluation de produits
informatiques dans le but d'y découvrir des failles.
Ce n'est pas ce que tu disais jusqu'à lors. Mais je prends note au moins
Donc des produits
qu'on utilise légalement. Et quand je parles de produits, je parle de
logiciel et de matériel.
C'est très bien tout ce que tu dis ici. Et je suis heureux de constater
Toi tu embrayes sur les pentests sauvages,
Non je ne fais que parler du cadre législatif. Et sur ce plan une
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
Non. Les pentests
sauvages ne vont pas du tout dans le sens de la recherche de failles au
sens qu'on lui donne dans le monde de la sécurité informatique, c'est à
dire la découverte de failles.
Tu n'as rien compris à mes propos c'est pas possible et qu'est-ce que
Pour les prestations des professionnels comme le pentest, tu nous dis
qu'il va falloir être accrédité pour les faire,
Sois tu es de mauvaise foi ou bien tu n'as absolument pas compris mes
au risque de violer la
loi (une nouvelle fois).
Oui nous sommes exposés à des risques juridiques vois-tu.
Ce que tu as seulement oublié de préciser,
c'est que manifestement, tu parlais de pentests non sollicités, alors que
manifestement, pas mal de monde ici parle de prestations en bonne et due
forme...
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
En gros, ma position très claire est la suivante :
Voyons voir.
1. Tout le monde devrait être autorisé à pratiquer la recherche de
failles sur les produits qu'il possède légalement.
Entièrement d'accord.
La LCEN limite ce
droit dans le sens où elle limite l'accès aux outils et à
l'information qui permettent de le faire,
Non elle rend l'accès à ces informations, outils plus difficiles. C'est
et consacre donc cette
activité au cercle des gens qui disposeront du "motif légitime" de fait
(en gros les professionnels de la SSI),
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
et donc, pour le grand public principalement, un
manque de couverture.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
2. Les sociétés spécialisées dans les SSI sont mandatées pour
réalisées un certain nombre de tâches et ne devraient pas avoir à
être accréditées pour pouvoir offrir ces services.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
Il appartient au
client (qui a toujours raison) de s'assurer que la société qu'il
mandate possède bien les qualifications requises (certifications,
habilitations, etc.).
Et à la société ou au prestataire de jouer la transparence pour
Bref, ne pas soumettre l'exercice du service en SSI
à l'obtention d'un "diplôme" payant, ce qui aura pour effet de
restreindre l'offre aux sociétés les plus riches, et pas forcément les
plus compétentes...
On est sur la même longueur d'ondes sur ce point.
À partir de là, quand on me dit que la recherche en sécurité devrait
être limitée à des personnes identifiées, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand on me dit
que la publication d'informations issues de cette recherche devrait être
limitée à ces mêmes personnes, je dis non.
Nan nan. Je n'ai pas présenté les choses comme ça.
Quand je lis qu'il faudrait
être accrédité pour pouvoir exercer une activité de conseil en SSI, je
dis non.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;)
C'est toi qui me parle de banner grabbing, qui sert à collecter des
informations sur les services actifs/ouverts d'un système (OS par
exemple). Faudrait savoir ?!
Mais pas en vue d'une intrusion.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
Tu nous dis que tester un système viole la loi.
Nan nan.
Je ne fais que te donner
un exemple dans lequel l'évaluation du système (qui vaut ce qu'elle
vaut) s'appuie sur une méthode qui ne viole pas la loi.
Reprenons :
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
Surtout que dans notre échange me semble-t-il on parle d'actions non
autorisées par le code pénal.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt. Jolie
[blablablabla le code pénal]
Franchement, je ne vois pas un banner grabbing entrer là-dedans. Mais
bon.
C'est une méthode d'identification. Donc traduite en jargon juridique
On parle bien de failles/vulnérabilités dans des applications,
systèmes, infrastructures, etc.
Pas infrastructures, sinon la sienne.
Merci d'apporter cette précision à ce moment précis de notre échange.
Si on touche à celles des autres,
on sort du cadre de la _recherche_, on entre dans celui de la prestation.
ou de l'illégalité si c'est commis sans autorisation.
Le contexte n'est pas le même.
C'est une évidence que de le dire. ;)
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
En outre si nous reprenons votre demarche précédente qui
consiste à dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
En outre si nous reprenons votre demarche précédente qui
consiste à dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
En outre si nous reprenons votre demarche précédente qui
consiste à dire "si je lance un scan sur une plage IP (sous-entendu sans
authorisation) à la recherche de faille RPC ou autre, je test des
vulnerabilité", autrement appelé test d'intrusion !
Cedric Blancher wrote:Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Heureusement ce genre de pratique a largement disparu.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Tu nous dis que tester un système viole la loi.
Nan nan.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Jolie tentative pour retomber sur tes pieds. ;p
Donc stp de quelle violation parles-tu ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Cedric Blancher wrote:
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)
Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.
2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Heureusement ce genre de pratique a largement disparu.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Tu nous dis que tester un système viole la loi.
Nan nan.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Jolie tentative pour retomber sur tes pieds. ;p
Donc stp de quelle violation parles-tu ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Cedric Blancher wrote:Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Heureusement ce genre de pratique a largement disparu.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Tu nous dis que tester un système viole la loi.
Nan nan.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Jolie tentative pour retomber sur tes pieds. ;p
Donc stp de quelle violation parles-tu ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
