Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Même le navigateur d'une personne possédant le mdp valide fait cette
requête sans credentials, et c'est en lisant l'erreur 403 qui va revenir
qu'il va demander un login/mdp à l'utilisateur.
Même le navigateur d'une personne possédant le mdp valide fait cette
requête sans credentials, et c'est en lisant l'erreur 403 qui va revenir
qu'il va demander un login/mdp à l'utilisateur.
Même le navigateur d'une personne possédant le mdp valide fait cette
requête sans credentials, et c'est en lisant l'erreur 403 qui va revenir
qu'il va demander un login/mdp à l'utilisateur.
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Les laisser faire leur métier oui. Mais empêcher les autres à faire
la même chose, non. Personne ne t'empêche d'aller déboucher l'évier
de ta voisine, non ? Ensuite, ta voisine fait ce qu'elle veut. Elle fait
appel à toi, ou à un professionnel.
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités. Je trouve ça assez mathématique.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles. À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des
gens qui sont autorisés à le faire, quelles que soient leurs
méthodes. Parce que l'accréditation ne les empêchera pas de publier
comme des cons...
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Les laisser faire leur métier oui. Mais empêcher les autres à faire
la même chose, non. Personne ne t'empêche d'aller déboucher l'évier
de ta voisine, non ? Ensuite, ta voisine fait ce qu'elle veut. Elle fait
appel à toi, ou à un professionnel.
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités. Je trouve ça assez mathématique.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles. À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des
gens qui sont autorisés à le faire, quelles que soient leurs
méthodes. Parce que l'accréditation ne les empêchera pas de publier
comme des cons...
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Les laisser faire leur métier oui. Mais empêcher les autres à faire
la même chose, non. Personne ne t'empêche d'aller déboucher l'évier
de ta voisine, non ? Ensuite, ta voisine fait ce qu'elle veut. Elle fait
appel à toi, ou à un professionnel.
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités. Je trouve ça assez mathématique.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles. À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des
gens qui sont autorisés à le faire, quelles que soient leurs
méthodes. Parce que l'accréditation ne les empêchera pas de publier
comme des cons...
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Même si c'est le GIE qui a "demandé" des preuves, Serge H. s'est mis
dans la merde tout seul en faisant constater par huissier l'utilisation
d'une YesCard sur une machine publique, et donc un acte *illégal* par
lui-même.
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Même si c'est le GIE qui a "demandé" des preuves, Serge H. s'est mis
dans la merde tout seul en faisant constater par huissier l'utilisation
d'une YesCard sur une machine publique, et donc un acte *illégal* par
lui-même.
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Même si c'est le GIE qui a "demandé" des preuves, Serge H. s'est mis
dans la merde tout seul en faisant constater par huissier l'utilisation
d'une YesCard sur une machine publique, et donc un acte *illégal* par
lui-même.
Cedric Blancher wrote:Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Je n'ai pas parle de test.
Reprends le fil de notre discussion dans le thread à partir d'ici stp :
J'ai parlé :
1. de recherche de failles/vulnérabilité
Oui et moi aussi mais cf mon sentiment ci-dessus.
2. de méthode non intrusives de recueil d'informations publiques pouvant
indiquer la présence ou non de failles
Oui mais cf mon sentiment ci-haut.
Grosso modo, dans la discussion, j'ai deux problèmes avec ce que tu dis :
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici !
2. l'affirmation très générale comme quoi l'évaluation d'un système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici !
Les deux affirmation peuvent être retrouvée dans tes posts sans aucune
précision de contexte. En particulier, la première fait l'objet d'un
post à elle toute seule.
Si si le contexte est très clair étant donné que je ne cesse de parler
Mon propos, c'est que :
1. rechercher des failles n'implique pas forcément de violer la loi dans
la mesure où il existe de nombreux cadres qui permettent de le faire,
même si amha la LCEN rend cette activité difficile
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
2. que l'évaluation d'un système peut passer par des méthodes de
recueil d'information non intrusives et porter sur des informations
publiques
Oui mais l'accès à des informations sur un système informatique/STAD
Le point 1 me semble évident.
On est d'accord.
Pour le point 2, je vais prendre l'exemple
du port scan. Le port scan est une méthode de recueil d'information dont
pas mal de juristes s'accordent à dire qu'elle ne peut seule constituer
un délit.
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à des
Par contre, et je pense que nous sommes d'accord, il constitue
un facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
Je dis qu'il y a des données qui sont publiques, liées à la mise ne
ligne de services, et que je ne vois comment on pourrait criminaliser
l'accès à ces données, dans la mesure où la mise en ligne du service
me semble de facto autoriser l'accès à ces données.
L'accès à des informations sur un système informatique/STAD sans
Tu fais des affirmations extrêmement larges, que tu précises par la
suite, qui ne sont pas vraies sans précision de contexte.
Je m'inscris encore en faux Cédric avec ce que tu dis ici une nouvelle
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Donc si j'ai bien compris, si je m'achète un firewall, et que je
l'étudie dans le but d'y rechercher des failles, je tombe sous le coup de
la loi ? C'est bien ce que tu es en train d'écrire ? Parce que là, on
n'est clairement pas d'accord.
Je ne te demande pas d'être d'accord avec moi.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
Je lis ce que tu écris, et je le commente/questionne.
Sur cet aspect des choses je n'y trouve rien à dire.
Et si ça commence à te gaver, que veux-tu que je te dise ?
Je souhaites que tu prennes conscience que c'est anormal de prêter des
C'est quand même étrange le
nombre de personnes qui te prêtes des intentions ici...
Rofl. Il n'est un secret pour toute personne qui a des activités en
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
Pourquoi DONC. Pourquoi à chaque fois que quelqu'un procède à une
recherche de faille, il tomberait forcément sous le coup de la loi ?
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je m'inscris encore en faux avec ce que tu prétends à mon sujet.
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte de
la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
mais je ne te parle pas de ça.
Ok alors passons et avançons. ;)
Et c'est d'ailleurs pourquoi je ne
redirige pas la discussion vers fr.misc.droit.internet,
Je l'ai fait car je pensais que le cadre législatif était plus approprié
parce que je te
parle d'affirmations bien précise (cf. au dessus, cf. au dessous).
Et moi donc alors ! Rofl.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
Et bien justement, j'aimerais bien le savoir. Tu n'arrêtes pas de me
ressortir l'affaire Kitetoa à tout bout de champ...
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Un client te mandate et par voie de conséquence t'autorise à réaliser
une évaluation de sa plateforme.
Exactement et ce pour n'importe quel type de prestation d'audit, etc.
Il ne t'accrédite pas en tant
qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Tout à fait.Heureusement ce genre de pratique a largement disparu.
Pas encore assez.
Il y aura toujours des abus et même notre profession n'y échappe pas.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
C'est toi qui amalgame mes propose avec tes autres contradicteurs.
Non je prends tes propos comme tel et j'en fais une interpétation
Je pars
d'affirmations que tu fais dans la discussion qui me semble trop
générales et je les contredis.
Bah oui mais tu interprêtes mal mon propos.
[LCEN]Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
Les laisser faire leur métier oui. Mais empêcher les autres à faire la
même chose, non.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
Personne ne t'empêche d'aller déboucher l'évier de ta voisine, non ?
Non.
Ensuite, ta voisine fait ce qu'elle veut.
Exactement mais ton exemple ne tient pas une seconde car où sont les
Elle fait appel à toi, ou à un professionnel.
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités.
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
Je trouve ça assez mathématique.
C'est idiot comme raisonnement et non fondé.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Il y a deux choses. Il y a l'avant et l'après. Le système juridique
français _sanctionne_ les intrusions et les tentatives d'intrusion.
Pour être précis encore une fois il sanctionne les intrusions non
Ça,
c'est l'après.
Oui c'est le résultat d'une action constatée et donc qualifiée comme
Mais ce qui me semble important en SSI, c'est l'avant.
Aussi mais pas seulement. Tu dois avoir une vision transversale de
En
effet, la SSI a pour vocation d'empêcher les intrusions,
Pas seulement. La SSI consiste à définir les orientations, élaborer et
et une phase
primordiale dans ce mécanisme est l'évaluation des outils qu'on utilise.
Oui les audits et tests font partie du processus avant leur mise en
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
Si j'insiste sur les particuliers, c'est parce qu'ils n'auront alors plus
les moyens de tester leurs outils eux-même, par manque d'outils et
d'information et surtout parce qu'ils auront du mal à invoquer le motif
légitime.
Quels outils ?
En effet, comment savoir si, à priori, M. Michu décortique
le dernier anti-spyware dispo en freeware sur telecharger.com pour la
bonne cause ?
Chacun fait ce qu'il veut dans son coin (dans le privé).
Or, nous savons très bien que les professionnels
s'intéressent très peu aux produits utilisé par les particuliers
et se focalisent sur ceux qui entrent dans le cadre d'une utilisation
professionnelle.
Ce n'est pas totalement vrai. Cf vulnérabilités de nombreux soft à
Par exemple, combien d'advisories issus de sociétés ont
été publiés sur des outils de P2P.
http://www.google.com/
Combien issus de personnes ayant
réalisé l'étude à titre privé ?
http://www.google.com/
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Oui. Mais cela reste la responsabilité du client de ne pas faire appel à
des tocards.
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
C'est comme quand tu achètes une bagnole. Tu peux choisir à
qui tu l'achètes, avec différents niveaux de garantie. Le truc qui est
drôle en SSI, c'est que les gens achètent des prestations à n'importe
qui (pas seulement de sécurité),
Y a des escros et incompétents partout.
souvent sans même exprimer d'exigences
de sécurité,
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
et s'étonnent ensuite de se retrouve avec des applis web
buggées, des serveurs pas à jour, etc. Par contre, il ne leur viendra
jamais à l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
Ça s'appelle de l'éthique.
C'est ce que je te dis et je suis ravi de constater que tu es d'accord
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
Et qu'est-ce qu'on fait une fois qu'on les a identifié ? On considère
que eux ont le droit de le faire, et les autres non ?
Exactement.
Sinon, je ne vois pas à quoi ça sert...
C'est évident. ;)
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des gens
qui sont autorisés à le faire, quelles que soient leurs méthodes. Parce
que l'accréditation ne les empêchera pas de publier comme des cons...
Quoiqu'il en soit et tu le sais très bien cette population hétérogène
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Cf. plus bas, avec ta population hétérogène qu'il faudrait identifier
blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Non tu n'as pas dit cela.
Exactement je n'ai pas écrit ce que tu avances ici.
Je ne fais pas _que_ répéter ce que tu écris
comme certains, cela ne fait pas avancer la discussion. J'extrapole.
Nuance tu déformes mon propos.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Je n'ai pas parlé d'intrusion,
Reprends le fil de la discussion à son commencement. Once again.
mais d'une méthode non intrusive pour
identifier des failles, et pas pour une intrusion.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Tu nous dis que tester un système viole la loi.
Nan nan.
Ben écoute, il faut préciser tes propos alors.
Je l'ai fait à plusieurs reprises mais tu ne m'as pas compris.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Au moins maintenant c'est clair.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Pas du tout.
On va voir alors ce que tu dis ci-dessous
La question étant de savoir ce que tu grabbes. Parce que quand on met en
ligne un service, on donne de facto un certain nombre d'informations.
Accéder à ces informations, intimement liées à cette mise en ligne,
constitue-t-elle un délit ?
L'accès non autorisé à ces informations est un délit dans notre code
Je n'en suis pas persuadé.
Capiche ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Comme une méthode permettant d'identifier des failles sans
procéder à une intrusion du système,
L'accès non autorisé aux données/informations d'un SI/STAD est un délit
donc un exemple qui contredit ta
très générale affirmation comme quoi rechercher les failles d'un
système induit forcément un délit.
Je m'inscris encore en faux avec ce que tu dis.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Je pensais que ça coulait de source.
Non car tu manques de clarté à propos d'un sujet qui mérite d'avoir une
Jolie tentative pour retomber sur tes pieds. ;p
En te lisant, on prend des leçons...
Rofl.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être utilisés
dans le cadre d'une intrusion.
On va être binaire ok ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Je mets en ligne sciemment un
service, donc le rend accessible au public, avec un certain nombre
d'information publiquement accessibles. Mais je ne veux pas qu'on les
regarde... Hummm, léger, non ?
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Justement, cf. plus bas, toute mon opposition à ce que tu écris vient du
fait que tu as balancé nombre d'affirmations très générales sans
préciser de contexte.
Dit quand je dis "on" c'est pour être correct. Mais si tu n'as pas
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
Et pourquoi ne serait-on pas autorisé à le faire ?
L'accès non autorisé à un SI/STAD est sanctionné par le code pénal.
Je veux dire,
pourquoi la recherche de failles serait-elle _systématiquement_ un délit
?
bah justement ce n'est pas systèmatiquement un délit !!!
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Je cite :Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils
auront le droit, ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr tu
mais le fait reste.On
autorisera certains à faire des intrusions, et d'autres non. Ai-je mal
compris ?
C'est le cas aujourd'hui en France et c'est tant mieux.
Cedric Blancher wrote:
Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)
Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.
2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Je n'ai pas parle de test.
Reprends le fil de notre discussion dans le thread à partir d'ici stp :
J'ai parlé :
1. de recherche de failles/vulnérabilité
Oui et moi aussi mais cf mon sentiment ci-dessus.
2. de méthode non intrusives de recueil d'informations publiques pouvant
indiquer la présence ou non de failles
Oui mais cf mon sentiment ci-haut.
Grosso modo, dans la discussion, j'ai deux problèmes avec ce que tu dis :
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici !
2. l'affirmation très générale comme quoi l'évaluation d'un système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici !
Les deux affirmation peuvent être retrouvée dans tes posts sans aucune
précision de contexte. En particulier, la première fait l'objet d'un
post à elle toute seule.
Si si le contexte est très clair étant donné que je ne cesse de parler
Mon propos, c'est que :
1. rechercher des failles n'implique pas forcément de violer la loi dans
la mesure où il existe de nombreux cadres qui permettent de le faire,
même si amha la LCEN rend cette activité difficile
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
2. que l'évaluation d'un système peut passer par des méthodes de
recueil d'information non intrusives et porter sur des informations
publiques
Oui mais l'accès à des informations sur un système informatique/STAD
Le point 1 me semble évident.
On est d'accord.
Pour le point 2, je vais prendre l'exemple
du port scan. Le port scan est une méthode de recueil d'information dont
pas mal de juristes s'accordent à dire qu'elle ne peut seule constituer
un délit.
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à des
Par contre, et je pense que nous sommes d'accord, il constitue
un facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
Je dis qu'il y a des données qui sont publiques, liées à la mise ne
ligne de services, et que je ne vois comment on pourrait criminaliser
l'accès à ces données, dans la mesure où la mise en ligne du service
me semble de facto autoriser l'accès à ces données.
L'accès à des informations sur un système informatique/STAD sans
Tu fais des affirmations extrêmement larges, que tu précises par la
suite, qui ne sont pas vraies sans précision de contexte.
Je m'inscris encore en faux Cédric avec ce que tu dis ici une nouvelle
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Donc si j'ai bien compris, si je m'achète un firewall, et que je
l'étudie dans le but d'y rechercher des failles, je tombe sous le coup de
la loi ? C'est bien ce que tu es en train d'écrire ? Parce que là, on
n'est clairement pas d'accord.
Je ne te demande pas d'être d'accord avec moi.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
Je lis ce que tu écris, et je le commente/questionne.
Sur cet aspect des choses je n'y trouve rien à dire.
Et si ça commence à te gaver, que veux-tu que je te dise ?
Je souhaites que tu prennes conscience que c'est anormal de prêter des
C'est quand même étrange le
nombre de personnes qui te prêtes des intentions ici...
Rofl. Il n'est un secret pour toute personne qui a des activités en
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
Pourquoi DONC. Pourquoi à chaque fois que quelqu'un procède à une
recherche de faille, il tomberait forcément sous le coup de la loi ?
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je m'inscris encore en faux avec ce que tu prétends à mon sujet.
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte de
la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
mais je ne te parle pas de ça.
Ok alors passons et avançons. ;)
Et c'est d'ailleurs pourquoi je ne
redirige pas la discussion vers fr.misc.droit.internet,
Je l'ai fait car je pensais que le cadre législatif était plus approprié
parce que je te
parle d'affirmations bien précise (cf. au dessus, cf. au dessous).
Et moi donc alors ! Rofl.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
Et bien justement, j'aimerais bien le savoir. Tu n'arrêtes pas de me
ressortir l'affaire Kitetoa à tout bout de champ...
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Un client te mandate et par voie de conséquence t'autorise à réaliser
une évaluation de sa plateforme.
Exactement et ce pour n'importe quel type de prestation d'audit, etc.
Il ne t'accrédite pas en tant
qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Tout à fait.
Heureusement ce genre de pratique a largement disparu.
Pas encore assez.
Il y aura toujours des abus et même notre profession n'y échappe pas.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
C'est toi qui amalgame mes propose avec tes autres contradicteurs.
Non je prends tes propos comme tel et j'en fais une interpétation
Je pars
d'affirmations que tu fais dans la discussion qui me semble trop
générales et je les contredis.
Bah oui mais tu interprêtes mal mon propos.
[LCEN]
Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
Les laisser faire leur métier oui. Mais empêcher les autres à faire la
même chose, non.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
Personne ne t'empêche d'aller déboucher l'évier de ta voisine, non ?
Non.
Ensuite, ta voisine fait ce qu'elle veut.
Exactement mais ton exemple ne tient pas une seconde car où sont les
Elle fait appel à toi, ou à un professionnel.
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités.
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
Je trouve ça assez mathématique.
C'est idiot comme raisonnement et non fondé.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Il y a deux choses. Il y a l'avant et l'après. Le système juridique
français _sanctionne_ les intrusions et les tentatives d'intrusion.
Pour être précis encore une fois il sanctionne les intrusions non
Ça,
c'est l'après.
Oui c'est le résultat d'une action constatée et donc qualifiée comme
Mais ce qui me semble important en SSI, c'est l'avant.
Aussi mais pas seulement. Tu dois avoir une vision transversale de
En
effet, la SSI a pour vocation d'empêcher les intrusions,
Pas seulement. La SSI consiste à définir les orientations, élaborer et
et une phase
primordiale dans ce mécanisme est l'évaluation des outils qu'on utilise.
Oui les audits et tests font partie du processus avant leur mise en
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
Si j'insiste sur les particuliers, c'est parce qu'ils n'auront alors plus
les moyens de tester leurs outils eux-même, par manque d'outils et
d'information et surtout parce qu'ils auront du mal à invoquer le motif
légitime.
Quels outils ?
En effet, comment savoir si, à priori, M. Michu décortique
le dernier anti-spyware dispo en freeware sur telecharger.com pour la
bonne cause ?
Chacun fait ce qu'il veut dans son coin (dans le privé).
Or, nous savons très bien que les professionnels
s'intéressent très peu aux produits utilisé par les particuliers
et se focalisent sur ceux qui entrent dans le cadre d'une utilisation
professionnelle.
Ce n'est pas totalement vrai. Cf vulnérabilités de nombreux soft à
Par exemple, combien d'advisories issus de sociétés ont
été publiés sur des outils de P2P.
http://www.google.com/
Combien issus de personnes ayant
réalisé l'étude à titre privé ?
http://www.google.com/
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Oui. Mais cela reste la responsabilité du client de ne pas faire appel à
des tocards.
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
C'est comme quand tu achètes une bagnole. Tu peux choisir à
qui tu l'achètes, avec différents niveaux de garantie. Le truc qui est
drôle en SSI, c'est que les gens achètent des prestations à n'importe
qui (pas seulement de sécurité),
Y a des escros et incompétents partout.
souvent sans même exprimer d'exigences
de sécurité,
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
et s'étonnent ensuite de se retrouve avec des applis web
buggées, des serveurs pas à jour, etc. Par contre, il ne leur viendra
jamais à l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
Ça s'appelle de l'éthique.
C'est ce que je te dis et je suis ravi de constater que tu es d'accord
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
Et qu'est-ce qu'on fait une fois qu'on les a identifié ? On considère
que eux ont le droit de le faire, et les autres non ?
Exactement.
Sinon, je ne vois pas à quoi ça sert...
C'est évident. ;)
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des gens
qui sont autorisés à le faire, quelles que soient leurs méthodes. Parce
que l'accréditation ne les empêchera pas de publier comme des cons...
Quoiqu'il en soit et tu le sais très bien cette population hétérogène
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Cf. plus bas, avec ta population hétérogène qu'il faudrait identifier
blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Non tu n'as pas dit cela.
Exactement je n'ai pas écrit ce que tu avances ici.
Je ne fais pas _que_ répéter ce que tu écris
comme certains, cela ne fait pas avancer la discussion. J'extrapole.
Nuance tu déformes mon propos.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.
Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Je n'ai pas parlé d'intrusion,
Reprends le fil de la discussion à son commencement. Once again.
mais d'une méthode non intrusive pour
identifier des failles, et pas pour une intrusion.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Tu nous dis que tester un système viole la loi.
Nan nan.
Ben écoute, il faut préciser tes propos alors.
Je l'ai fait à plusieurs reprises mais tu ne m'as pas compris.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Au moins maintenant c'est clair.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Pas du tout.
On va voir alors ce que tu dis ci-dessous
La question étant de savoir ce que tu grabbes. Parce que quand on met en
ligne un service, on donne de facto un certain nombre d'informations.
Accéder à ces informations, intimement liées à cette mise en ligne,
constitue-t-elle un délit ?
L'accès non autorisé à ces informations est un délit dans notre code
Je n'en suis pas persuadé.
Capiche ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Comme une méthode permettant d'identifier des failles sans
procéder à une intrusion du système,
L'accès non autorisé aux données/informations d'un SI/STAD est un délit
donc un exemple qui contredit ta
très générale affirmation comme quoi rechercher les failles d'un
système induit forcément un délit.
Je m'inscris encore en faux avec ce que tu dis.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Je pensais que ça coulait de source.
Non car tu manques de clarté à propos d'un sujet qui mérite d'avoir une
Jolie tentative pour retomber sur tes pieds. ;p
En te lisant, on prend des leçons...
Rofl.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être utilisés
dans le cadre d'une intrusion.
On va être binaire ok ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Je mets en ligne sciemment un
service, donc le rend accessible au public, avec un certain nombre
d'information publiquement accessibles. Mais je ne veux pas qu'on les
regarde... Hummm, léger, non ?
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Justement, cf. plus bas, toute mon opposition à ce que tu écris vient du
fait que tu as balancé nombre d'affirmations très générales sans
préciser de contexte.
Dit quand je dis "on" c'est pour être correct. Mais si tu n'as pas
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
Et pourquoi ne serait-on pas autorisé à le faire ?
L'accès non autorisé à un SI/STAD est sanctionné par le code pénal.
Je veux dire,
pourquoi la recherche de failles serait-elle _systématiquement_ un délit
?
bah justement ce n'est pas systèmatiquement un délit !!!
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Je cite :
Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils
auront le droit, ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr tu
mais le fait reste.On
autorisera certains à faire des intrusions, et d'autres non. Ai-je mal
compris ?
C'est le cas aujourd'hui en France et c'est tant mieux.
Cedric Blancher wrote:Tu peux arrêter de louvoyer stp c'est chiant pour te suivre. Poses
clairement tes questions et/ou le(s) problème(s) ça facilitera notre
échange.
C'est très simple.
On va voir ça ;)Nous avons grosso modo deux gros sujets desquels nous
discutons :
1. la recherche de failles
dans le cadre législatif français pour être plus précis.2. les prestations des professionnels de la SSI qui seront mises à mal
par la LCEN
On parle de certaines actions des professionnels de la SI/SSI au regard
du cadre législatif français soit : la recherche, les tests de
failles/vulnéravilités dans des SI/STAD.
Je n'ai pas parle de test.
Reprends le fil de notre discussion dans le thread à partir d'ici stp :
J'ai parlé :
1. de recherche de failles/vulnérabilité
Oui et moi aussi mais cf mon sentiment ci-dessus.
2. de méthode non intrusives de recueil d'informations publiques pouvant
indiquer la présence ou non de failles
Oui mais cf mon sentiment ci-haut.
Grosso modo, dans la discussion, j'ai deux problèmes avec ce que tu dis :
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici !
2. l'affirmation très générale comme quoi l'évaluation d'un système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici !
Les deux affirmation peuvent être retrouvée dans tes posts sans aucune
précision de contexte. En particulier, la première fait l'objet d'un
post à elle toute seule.
Si si le contexte est très clair étant donné que je ne cesse de parler
Mon propos, c'est que :
1. rechercher des failles n'implique pas forcément de violer la loi dans
la mesure où il existe de nombreux cadres qui permettent de le faire,
même si amha la LCEN rend cette activité difficile
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
2. que l'évaluation d'un système peut passer par des méthodes de
recueil d'information non intrusives et porter sur des informations
publiques
Oui mais l'accès à des informations sur un système informatique/STAD
Le point 1 me semble évident.
On est d'accord.
Pour le point 2, je vais prendre l'exemple
du port scan. Le port scan est une méthode de recueil d'information dont
pas mal de juristes s'accordent à dire qu'elle ne peut seule constituer
un délit.
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à des
Par contre, et je pense que nous sommes d'accord, il constitue
un facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Maleureusement pour toi notre échange dans tout ce thread est consacré
au *cadre* *législatif* français en criminalité et sécurité
informatique. Et dans ce contexte tes prises de position m'inquiètent
vois-tu ? Par exemple tu dis qu'on peut collecter des données sans
autorisations alors que je ne cesse de te dire qu'au plan pénal c'est
sanctionné. So ?
Je dis qu'il y a des données qui sont publiques, liées à la mise ne
ligne de services, et que je ne vois comment on pourrait criminaliser
l'accès à ces données, dans la mesure où la mise en ligne du service
me semble de facto autoriser l'accès à ces données.
L'accès à des informations sur un système informatique/STAD sans
Tu fais des affirmations extrêmement larges, que tu précises par la
suite, qui ne sont pas vraies sans précision de contexte.
Je m'inscris encore en faux Cédric avec ce que tu dis ici une nouvelle
mais ce fut difficile de s'en rendre compte en clamant haut et fort que la
rechercher de faille est une activité illégale.
Pour la *énième* fois ce n'est pas moi qui l'est promulguée cette loi
bordel ! Je te répète que c'est dans le code pénal !!! Je connais très
bien le sujet pour l'avoir analysé, étudié.
Donc si j'ai bien compris, si je m'achète un firewall, et que je
l'étudie dans le but d'y rechercher des failles, je tombe sous le coup de
la loi ? C'est bien ce que tu es en train d'écrire ? Parce que là, on
n'est clairement pas d'accord.
Je ne te demande pas d'être d'accord avec moi.
Mais stp arrêtes de me prêter des intentions que je n'ai pas car ça fait
plus d'un an que ça dure et tu commences à me gaver sérieusement avec
ça.
Je lis ce que tu écris, et je le commente/questionne.
Sur cet aspect des choses je n'y trouve rien à dire.
Et si ça commence à te gaver, que veux-tu que je te dise ?
Je souhaites que tu prennes conscience que c'est anormal de prêter des
C'est quand même étrange le
nombre de personnes qui te prêtes des intentions ici...
Rofl. Il n'est un secret pour toute personne qui a des activités en
3/ nous en sommes arrivés à parler de la recherche de
failles/vulnérabilités et donc d'intrusions toujours au regard du code
pénal français et des nouveaux textes
Pourquoi DONC. Pourquoi à chaque fois que quelqu'un procède à une
recherche de faille, il tomberait forcément sous le coup de la loi ?
C'est l'exemple parfait d'affirmation générique fausse que tu nous sers
depuis le début de la discussion et qui la fait traîner en longueur.
Je m'inscris encore en faux avec ce que tu prétends à mon sujet.
4/ j'ai donc précisé que la recherche de failles étaient sanctionné dans
notre code pénal (alors que tu dis/prétends le contraire) et ce n'est
d'ailleurs pas nouveau Cf affaire Serge H/GIE
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé pour
acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte de
la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
5/ j'ai ajouté que selon les cas (à partir de tes questions sur les
intrusions) le code pénal sanctionne les intrusions sans autorisations
et pour des motifs/raisons illégitimes.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
mais je ne te parle pas de ça.
Ok alors passons et avançons. ;)
Et c'est d'ailleurs pourquoi je ne
redirige pas la discussion vers fr.misc.droit.internet,
Je l'ai fait car je pensais que le cadre législatif était plus approprié
parce que je te
parle d'affirmations bien précise (cf. au dessus, cf. au dessous).
Et moi donc alors ! Rofl.
Donc quel est le rapport avec les tests d'intrusion pratiqués par les
professionnels de la SI/SSI qui eux sont mandatés soient autorisés par
le faire ?!
Et bien justement, j'aimerais bien le savoir. Tu n'arrêtes pas de me
ressortir l'affaire Kitetoa à tout bout de champ...
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
et tu devrais savoir que les audits techniques et tests d'intrusion sont
encadrés. Et pour les réaliser il faut être accrédité/autorisé par le
propriétaire du SI cible.
Un client te mandate et par voie de conséquence t'autorise à réaliser
une évaluation de sa plateforme.
Exactement et ce pour n'importe quel type de prestation d'audit, etc.
Il ne t'accrédite pas en tant
qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Là encore, si tu ne parlais pas d'accréditation à
tort et à travers, les choses seraient plus claires.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Pourquoi ? Parce que c'est lui qui en fait la
demande. Et non des inconnus qui lui signale en douce qu'il faut qu'il
réalise un pentest. Car ça c'est des démarches/méthodes de voyous.
Tout à fait.Heureusement ce genre de pratique a largement disparu.
Pas encore assez.
Il y aura toujours des abus et même notre profession n'y échappe pas.
Ici c'est une chose Cédric. Mais dans le thread tu tiens un autre
discours. Relis-toi stp.
C'est toi qui amalgame mes propose avec tes autres contradicteurs.
Non je prends tes propos comme tel et j'en fais une interpétation
Je pars
d'affirmations que tu fais dans la discussion qui me semble trop
générales et je les contredis.
Bah oui mais tu interprêtes mal mon propos.
[LCEN]Non elle rend l'accès à ces informations, outils plus difficiles.
C'est IHMO un frein légitime.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
C'est quand même normal que la SI/SSI soit confiée à des personnes dont
c'est la spécialité non ? IHMO ça me paraît logique de laisser les pro
faire leur métier.
Les laisser faire leur métier oui. Mais empêcher les autres à faire la
même chose, non.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
Personne ne t'empêche d'aller déboucher l'évier de ta voisine, non ?
Non.
Ensuite, ta voisine fait ce qu'elle veut.
Exactement mais ton exemple ne tient pas une seconde car où sont les
Elle fait appel à toi, ou à un professionnel.
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
ce qui me semble mauvais aussi
parce que cela va conduire à un appauvrissement du parc logiciel et
matériel audité,
Qu'est-ce qui t'amène à avancer une telle abérration ?!
Parce que s'il y a moins de monde pour auditer les systèmes, il y aura
moins de systèmes audités.
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
Je trouve ça assez mathématique.
C'est idiot comme raisonnement et non fondé.
Je ne vois pas en quoi le cadre législatif français rend plus vulnérable
les environnements/systèmes du grand public. Au contraire ! La loi va
dans le sens d'une meilleure assurance contre les risques. Car tout le
monde dispose dorénavant de moyens de se défendre juridiquement : apr
exemple en cas d'intrusion dans son environnement ou système.
Il y a deux choses. Il y a l'avant et l'après. Le système juridique
français _sanctionne_ les intrusions et les tentatives d'intrusion.
Pour être précis encore une fois il sanctionne les intrusions non
Ça,
c'est l'après.
Oui c'est le résultat d'une action constatée et donc qualifiée comme
Mais ce qui me semble important en SSI, c'est l'avant.
Aussi mais pas seulement. Tu dois avoir une vision transversale de
En
effet, la SSI a pour vocation d'empêcher les intrusions,
Pas seulement. La SSI consiste à définir les orientations, élaborer et
et une phase
primordiale dans ce mécanisme est l'évaluation des outils qu'on utilise.
Oui les audits et tests font partie du processus avant leur mise en
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
Si j'insiste sur les particuliers, c'est parce qu'ils n'auront alors plus
les moyens de tester leurs outils eux-même, par manque d'outils et
d'information et surtout parce qu'ils auront du mal à invoquer le motif
légitime.
Quels outils ?
En effet, comment savoir si, à priori, M. Michu décortique
le dernier anti-spyware dispo en freeware sur telecharger.com pour la
bonne cause ?
Chacun fait ce qu'il veut dans son coin (dans le privé).
Or, nous savons très bien que les professionnels
s'intéressent très peu aux produits utilisé par les particuliers
et se focalisent sur ceux qui entrent dans le cadre d'une utilisation
professionnelle.
Ce n'est pas totalement vrai. Cf vulnérabilités de nombreux soft à
Par exemple, combien d'advisories issus de sociétés ont
été publiés sur des outils de P2P.
http://www.google.com/
Combien issus de personnes ayant
réalisé l'étude à titre privé ?
http://www.google.com/
Désolé mais tous les acteurs & sociétés qui pratiquent les audits
technique et tests d'intrusion doivent avoir une exigence d'éthique,
responsabilité & transparence envers leurs clients.
Oui. Mais cela reste la responsabilité du client de ne pas faire appel à
des tocards.
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
C'est comme quand tu achètes une bagnole. Tu peux choisir à
qui tu l'achètes, avec différents niveaux de garantie. Le truc qui est
drôle en SSI, c'est que les gens achètent des prestations à n'importe
qui (pas seulement de sécurité),
Y a des escros et incompétents partout.
souvent sans même exprimer d'exigences
de sécurité,
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
et s'étonnent ensuite de se retrouve avec des applis web
buggées, des serveurs pas à jour, etc. Par contre, il ne leur viendra
jamais à l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Et à la société ou au prestataire de jouer la transparence pour
instaurer un rapport de confiance avec son client.
Ça s'appelle de l'éthique.
C'est ce que je te dis et je suis ravi de constater que tu es d'accord
J'ai dit que je considérais que la population hétérogène (les blancs et
gris) concernée par la recherche de failles/vulnérabilités devaient être
identifiée afin qu'elle puisse oeuvrer pour assurer le maintien d'un bon
niveau de sécurité & qu'enfin elle ne soit pas confondue avec les
criminels et délinquants (les noirs) qui n'ont pas les mêmes objectifs
que les premiers (les blancs et gris).
Et qu'est-ce qu'on fait une fois qu'on les a identifié ? On considère
que eux ont le droit de le faire, et les autres non ?
Exactement.
Sinon, je ne vois pas à quoi ça sert...
C'est évident. ;)
J'ai dit que je considérais qu'on ne pouvait pas continuer à publier des
données/informations en SI comme c'est le cas aujourd'hui. Et qu'il
fallait instaurer de nouvelles pratiques.
Tu as parlé d'accréditations pour avoir le droit de faire de la
recherche de failles.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
À partir de là, soumettre une activité à
l'obtention d'une accréditation restreint de fait la population des gens
qui sont autorisés à le faire, quelles que soient leurs méthodes. Parce
que l'accréditation ne les empêchera pas de publier comme des cons...
Quoiqu'il en soit et tu le sais très bien cette population hétérogène
Tout dépend de l'activité de conseil ou d'ingénierie en SI/SSI. Mais
certaines activités requièrent absolument des accréditations. Ce
serait d'ailleurs inconcevable de ne pas les appliquer.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Et quand je lis qu'il faudrait pouvoir accréditer des gens pour
qu'ils puissent impunément violer la loi, je dis non aussi.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Cf. plus bas, avec ta population hétérogène qu'il faudrait identifier
blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
Ce serait
dégager les RSSI vers des individus, chargés de leur remonter leurs
failles, d'une partie de leur travail.
La tu affabules et divagues complétement. Je n'ai jamais dit cela.
Non tu n'as pas dit cela.
Exactement je n'ai pas écrit ce que tu avances ici.
Je ne fais pas _que_ répéter ce que tu écris
comme certains, cela ne fait pas avancer la discussion. J'extrapole.
Nuance tu déformes mon propos.
Maintenant, si l'État veut créer
une cellule dont le boulot sera de tester les SI à la sauvage, why
not.
Ca existe déjà mais ce n'est pas présenté comme ça. ;) Les missions
et objectifs sont clairs : se défendre contre l'ennemi et riposter ou
carrément l'attaquer pour l'anéantir, le contrôler ou encore le
détruire.Bah écoutes c'est toi qui m'en as parlé alors que je te disais que dans
le code pénal une intrusion non autorisée est sanctionnée. Cf les
détails des articles que j'ai précisé
Je n'ai pas parlé d'intrusion,
Reprends le fil de la discussion à son commencement. Once again.
mais d'une méthode non intrusive pour
identifier des failles, et pas pour une intrusion.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Tu nous dis que tester un système viole la loi.
Nan nan.
Ben écoute, il faut préciser tes propos alors.
Je l'ai fait à plusieurs reprises mais tu ne m'as pas compris.
J'ai dit que sans autorisation on viole la loi ! La nuance a son
importance ici.
Au moins maintenant c'est clair.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
Tu ne violes pas la loi si tu es autorisé à grabber dans un SI.
Au contraire sans autorisation de grabber dans un SI tu t'exposes à des
sanctions pénales.
Est-ce plus clair dans ton esprit maintenant ?
Pas du tout.
On va voir alors ce que tu dis ci-dessous
La question étant de savoir ce que tu grabbes. Parce que quand on met en
ligne un service, on donne de facto un certain nombre d'informations.
Accéder à ces informations, intimement liées à cette mise en ligne,
constitue-t-elle un délit ?
L'accès non autorisé à ces informations est un délit dans notre code
Je n'en suis pas persuadé.
Capiche ?
Je n'ai jamais
parlé de réutiliser ces information en vue d'une intrusion.
Tu as pourtant présenté cette méthode d'identification comme un
argument.
Comme une méthode permettant d'identifier des failles sans
procéder à une intrusion du système,
L'accès non autorisé aux données/informations d'un SI/STAD est un délit
donc un exemple qui contredit ta
très générale affirmation comme quoi rechercher les failles d'un
système induit forcément un délit.
Je m'inscris encore en faux avec ce que tu dis.
Quand je parle de violation, je parle de violation de l'article ajouté
par la LCEN.
Si c'était si limpide pourquoi ne pas l'avoir dit plus tôt.
Je pensais que ça coulait de source.
Non car tu manques de clarté à propos d'un sujet qui mérite d'avoir une
Jolie tentative pour retomber sur tes pieds. ;p
En te lisant, on prend des leçons...
Rofl.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être utilisés
dans le cadre d'une intrusion.
On va être binaire ok ?
C'est une méthode d'identification. Donc traduite en jargon juridique
cela signifie collecte d'information et si c'est dans un contexte où
c'est non autorisé => sanction cf article 323-1 du code pénal.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Je mets en ligne sciemment un
service, donc le rend accessible au public, avec un certain nombre
d'information publiquement accessibles. Mais je ne veux pas qu'on les
regarde... Hummm, léger, non ?
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel.
Car pour info on a parlé précédemment de recherche de
failles/vulnérabilités sans préciser le contexte.
Justement, cf. plus bas, toute mon opposition à ce que tu écris vient du
fait que tu as balancé nombre d'affirmations très générales sans
préciser de contexte.
Dit quand je dis "on" c'est pour être correct. Mais si tu n'as pas
Donc pour les détecter, les identifier que fait-on hein ?
Pleins de choses tout à fait légales.
.....
Dans quel contexte, environnement stp ?
Sinon c'est légal quand on est autorisé à le faire.
Et pourquoi ne serait-on pas autorisé à le faire ?
L'accès non autorisé à un SI/STAD est sanctionné par le code pénal.
Je veux dire,
pourquoi la recherche de failles serait-elle _systématiquement_ un délit
?
bah justement ce n'est pas systèmatiquement un délit !!!
tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Si le système c'est le mien ? Hein ?
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
Pour conclure, le fait que tu puisses considérer les pentests sauvages
comme quelque chose d'envisageable pour un nombre restreints de gens
"accrédités" qui auraient le droit de violer la loi me laisse sur le
cul. C'est amha totalement contraire à l'éthique.
Tu affabules encore complétement ! Où aurai-je tenu de tels propos aussi
invraisemblable stp ?! Tu es en plein delirium tremens ma parole.
Je cite :Mais il y a aussi IHMO l'identification de la population hétérogène
(bienveillante : les blancs et gris) qui cherche des
failles/vulnérabilités dans les applications, composants logiciels,
systèmes (OS), réseaux (infrastructures), etc.
En gros je pense qu'il devrait se constituer une entité, un organisme
pour rassembler cette population hétérogène afin de lui donner les
accréditations/autorisations nécessaires pour oeuvrer *légitimement*
dans le sens de l'amélioration constante de la sécurité des SI.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils
auront le droit, ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr tu
mais le fait reste.On
autorisera certains à faire des intrusions, et d'autres non. Ai-je mal
compris ?
C'est le cas aujourd'hui en France et c'est tant mieux.
Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Erwan David wrote:LaDDL écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Quels outils ?
Pour faire quoi ?
Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Y a des escros et incompétents partout.
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
C'est le cas aujourd'hui en France et c'est tant mieux.
Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Erwan David wrote:
LaDDL <alamaisonMOVEOUT@HIt-THE-DIRTnoos.fr> écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Quels outils ?
Pour faire quoi ?
Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Y a des escros et incompétents partout.
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
C'est le cas aujourd'hui en France et c'est tant mieux.
Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Erwan David wrote:LaDDL écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Quels outils ?
Pour faire quoi ?
Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Y a des escros et incompétents partout.
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
C'est le cas aujourd'hui en France et c'est tant mieux.
Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ? Parce que [la DST & la DGSE] dont nous parlons
sensibilisent ces acteurs/personnes.
et donc tout le monde est à la même enseigne et prend les mêmes
risques,
Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens,
professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face
aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les
professionnels de la SI/SSI d'assurer le maintien de la SI.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ? Parce que [la DST & la DGSE] dont nous parlons
sensibilisent ces acteurs/personnes.
et donc tout le monde est à la même enseigne et prend les mêmes
risques,
Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens,
professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face
aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les
professionnels de la SI/SSI d'assurer le maintien de la SI.
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ? Parce que [la DST & la DGSE] dont nous parlons
sensibilisent ces acteurs/personnes.
et donc tout le monde est à la même enseigne et prend les mêmes
risques,
Le cadre législatif français en criminalité & sécurité informatique a
pour objectif de responsabiliser/sensibiliser tout le monde (citoyens,
professionnels de la SI/SSI, chercheurs, employés/salariés, etc) face
aux risques qu'ils encourent s'ils ne respectent pas certaines règles.
Last but not least : les autorités françaises n'empêcheront pas les
professionnels de la SI/SSI d'assurer le maintien de la SI.
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Tu cites les articles 323 du code pénal. Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Tu cites les articles 323 du code pénal. Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Tu cites les articles 323 du code pénal. Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
