J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Je te parle d'un test simple, le banner grabbing,
Oui mais tu n'as pas précisé dans quel contexte ?
pour répondre à
l'affirmation que tu fais dans le post
Cette affirmation ne tombe pas du ciel.
<40f80892$0$6750$ dans lequel tu
écris :Erwan David wrote:LaDDL écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
C'est l'intégralité de ton post. Il n'y a pas :
Juste pour rappel Cédric, le contexte c'est le droit pénal autrement dit
. définition de ce qu'est un système (un SI complet, un firewall, un
OS, etc? ?)
En droit un système informatique est appelé STAD.
. définition de contexte (autorisé ou non)
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
De fait, je me me permets de dire que c'est faux.
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
Cette affirmation est beaucoup trop générique.
Pour le profane oui sans aucun doute j'en conviens. Mais quand on
Et de prendre un exemple d'information publique
récupérable (i.e. la version d'un serveur HTTP quand elle est diffusée)
qui me semble contredire cette affirmation.
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de sa
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
C'est sur le moment où on passe le stade de l'intrusion qu'on n'est pas
d'accord manifestement.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
Je viens de le faire.
J'ai vu. ;)
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ?
Ce service exporte des données, comme sa version.
Est-ce que récupérer cette version est une intrusion ? Je pense que non.
Le droit pénal comme je viens de te le dire/rappeler l'entend tout
Voilà ce que je t'ai écrit.1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
<40f8079d$0$6116$
En prenant le (mauvais) exemple de l'affaire Humpich.
Reprends les éléments de cette affaire tu verras car ce que j'ai précisé
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
<40f80892$0$6750$
Tu n'es pas obligé de répéter 2 fois la même chose...
Il y a deux points : 1. et 2. donc, je les distingue même si le résultat
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Le contexte,
C'est le droit pénal.
c'est une question de la part de Nicob sur l'analyse d'un
logiciel pour vérifier l'absence de cheval de Troie,
Quel type de logiciel ? logiciel commercial ? autre ?
à qui tu réponds :Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Le voilà le contexte.
On passe à un autre contexte situation mais on est toujours dans le
C'est à dire tester un soft dans son coin pour
vérifier son niveau de sécurité.
Le droit pénal sanctionne le contournement des mesures techniques de
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Je suis désolé de t'apprendre que c'est ce que je défend, avec un
exemple, depuis le début. Cf.
Dans le contexte du droit pénal français un accès, une intrusion non
dans lequel j'écris :
Pas seulement il y a l'exemple aussi du scan hein ?
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
Et de te donner un exemple de test qui récupère des information
publiques.
Dans le contexte du droit pénal français, on ne sanctionne pas ce qui
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Non.
Reprenons : le droit pénal est une sphère du droit qui traite des
Il y a des informations protégées dont l'accès est interdit,
Vi.
et il
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
[légalité du port scan]Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Ça dépend des informations que tu glanes et de leur caractère public ou
privé, et de la manière dont tu les glanes.
Ca dépend surtout du contexte, environnement dans lequel tu glanes ces
Dans ce cas précis, le port
scan, la banner grabbing, tous les spécialistes que j'ai consultés sur
la question me réponde qu'il est difficile de les considérer comme des
intrusions.
Ce ne sont pas des intrusions mais des accès non autorisés à des
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Non. Ce n'est pas une intrusion. Mais lorsqu'il est le prémisse d'une
intrusion (dont je n'ai pas parlé), il constitue un facteur aggravant.Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Cf. les deux articles ci-dessus.Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Ce n'est pas le code pénal qui le dit, c'est toi qui interprète.
Si tu veux mais je connais bien le sujet pour l'avoir ressassé depuis
Le code
pénal réprime l'intrusion. Et pour tomber sous le coup de cette
répression, il faut que l'action soit reconnue comme étant une
intrusion. Bref, je trouve que tu sautes une étape, à savoir la
caractérisation d'un acte sur un SI en tant qu'intrusion.
J'ai pourtant détaillé tous les cas articles par articles ! Reprends le
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Je ne sais pas ce qu'il te faut ! Peut être plus d'éléments pour
Tu cites les articles 323 du code pénal.
Et je détaille en passant en revue les cas de figure possibles.
Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Distingue bien le caractère *intrusif* dans le contexte du droit pénal
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Je pourrais te retourner le compliment.Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Il ne me dérange pas, je ne suis pas d'accord avec.
Dont acte.
Maintenant, ce qu'en
pense M. Garcia
No comment.
et d'autres contributeurs que je ne connais d'ailleurs
pas, je m'en fous un peu.
Pour les autres ce n'est pas correct de ne pas prendre en considération
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
C'est bien là le point du débat.
Sans aucun doute. Mais précises alors la nature de ces informations.
Les
informations publiques ne peuvent pas donner lieu à une intrusion,
puisqu'étant publiques, leur accès est autorisé de fait.
Qu'entends-tu par informations publiques ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
CQFD.Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Ouf, on est d'accord sur un autre point.Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
Mais parfois dans tes écrits on se le demande.
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
L'affaire Kitetoa dépasse largement amha le simple banner grabbing.
Idem.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Et cette accréditation n'est pas nécessaire pour toutes les
missions de SSI, mais seulement pour des contextes particuliers dans
lesquels le client exige cette "patte blanche".
Exact.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Peut-être qu'en l'exprimant plus clairement...
Et pour tes propos c'est limpide ? Rofl
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Parce que ce dont je discute avec toi est le fait qu'on puisse récupérer
des informations pertinentes en terme de sécurité sans pour autant
réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
La question
n'est pas de savoir si une intrusion est réprimée,
Bah si quand même et heureusement que ça l'est depuis un moment.
mais de savoir si le
receuil de la bannière d'un service est une intrusion ou non,
Sans identification il ne peut y avoir d'intrusion. Cette phase
et le lien
me semble plus technique que juridique à ce niveau là.
C'est une méthode d'identification.
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Une interprétation n'est jamais objective. Mais souffre que je fasse de
même avec tes propos.Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
Je pense qu'on commence à se comprendre, et qu'on voit apparaître les
points de désaccord.
Yep ! Phew...
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ça commençait à ne plus être évident...
Sisi.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas sûr
Je pense que là aussi,
il y a une sérieuse différence entre nous.
Avec ce que tu viens d'écrire ci-dessus oh oui !
Quand j'écris pentest, je
parle de prestation de SSI, avec le cadre légal qui va avec.
Ah ! La forme me convient ici .
De fait, le
pentest étant légal ainsi défini, n'importe qui devrait avoir le droit
d'en faire, au même titre que n'importe qui a le droit d'ouvrir un
garage automobile.
Je ne suis absolument pas d'accord avec toi pour plusieurs raisons :
Maintenant, il appartiendra au client de choisir ses
prestataires en fonction de ses critères.
Tout le monde ne peut pas faire de tests d'intrusion.
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Ton exemple est clairement aussi mal choisi que le mien, d'un extrême à
l'autre...
C'était pour te montrer la bétise de ton exemple.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
C'est con ça.
Rofl.
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Ton voisin te demande de lui changer ses plaquettes de frein.
Je lui conseille de prendre Rdv avec son garagiste BMW. ;)
Qu'est-ce
qui se passe si tu le fais mal et qu'il se gauffre en voiture ?
S'il se plante c'est qu'il n'aura pas suivi mon conseil (ci-dessus).
Oups, t'as pas de voisin ;)))
Bah si tu vois pas. Lol
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Prenons l'ensemble des gens qui à l'instant T travaille dans la SSI.
En France ou WorldWide ?
Maintenant, tu nous dit qu'il faudrait être accrédité pour travailler
dans la SSI.
Uniquement pour certaines actions sensibles.
Tout ce beau monde va donc passer l'accréditation
Non certains pour exercer certaines missions.
et
certains vont ne pas l'avoir, pour pleins de raison, dont une pourrait
être qu'ils n'ont pas les sous pour la passer.
Ce peut être une raison mais certainement pas la seule.
De fait, tu as diminué ta
population de départ, et par là même la capacité globale de travail de
l'ensemble de cette population.
Non si tu as suivi mon cheminement.
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Elle les avaient déjà.
Il y en a d'autres afin de limiter les nouveaux abus et risques.
D'ailleurs on n'a pas attendu la LCEN pour
condamner Serge H...
Oui et alors quel est le rapport avec la choucroute ?
Et la LCEN interdit la diffusion d'information ou d'outils permettant la
réalisation d'intrusion, alors que ces mêmes outils sont utilisés pour
tester la sécurité de SI.
Elle a introduit quand même (heureusement malgré tout) le concept de
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes leur
SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans aucun
doute profiter du motif légitime. En effet, moi j'aurais le droit
d'accéder, d'utiliser des outils et informations pour tester les SI de
mes clients qui ne peuvent plus le faire eux-mêmes avec ces mêmes
outils, parce qu'eux ne bénéficient pas du motif légitime pour
l'utilisation et la détention de ces outils/informations. Ou comment se
créer un marché captif.
C'est une vision complétement irréaliste.
Quels outils ?
Exploits, scanners, etc.Pour faire quoi ?
Évaluer la sécurité de son SI.Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
C'est le flou dont
tout le monde s'inquiète, toi compris, tu l'as déjà écrit.
Bah vi parce que motif légitime ne me satisfait pas c'est pas précis une
Demain, M. Michu peut se faire poursuivre parce qu'il possède un exploit
dont il s'est servi pour tester son propre système, parce que la
détention de cet exploit est réprimé par le code pénal grâce à la LCEN.
Non parce que c'est pour un motif légitime.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Oui, et sur ce point, la LCEN n'a rien apporté. Un intrusion était
déjà réprimée par la loi Godfrain.Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Ouf, on est d'accord...Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Crois-tu que le fait d'ajouter une accréditation empêchera tes escrocs
de dire qu'ils l'ont ? Où ces mêmes escrocs de l'avoir ? ;)
Quel est le rapport ?!
Y a des escros et incompétents partout.
Ben oui, malheureusement...C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
Oui. Ça fait partie de l'obligation de conseil que je pense attachée à
cette activité.
Phew. Tu me rassures. Le doute m'a traversé un instant l'esprit.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu serais étonné par certaines _grosses_ entités alors.
Je ne m'étonnes plus de rien en SI/SSI comme dans la vie ;p
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Mais à ce que j'ai compris de ton propos, tu vas classer ta population
hétérogène pour en extraire une catégorie que tu vas accréditer,
Je ne vais rien faire pour l'instant car je propose & suggère. ;)
et
donc créer deux ensembles : ceux qui sont accrédités et ceux qui ne le
sont pas.
Une accréditation c'est un peu comme une habilitation. On te la donne si
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Pourtant, ça y ressemble.
Bah non. ;)
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Ben oui, c'est pour ça que soumettre l'exercice de la profession à une
accréditation ne me semble pas franchement utile.
Pour la recherche de failles, vulnérabilités il faut en tout cas changer
Et dans la mesure où
cette efficacité est très limitée,
Expliques pourquoi alors.
et que la contre-partie, elle, me
semble pouvoir être néfaste,
Expliques pourquoi alors.
je suis contre.
Oui mais pourquoi. Développes stp.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
OK.Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Mais comment, sur quels critères ?
Déjà modifier les méthodes de publication. Car cela engendre plus de
Pour le moment, la seule initiative
avec un peu d'ampleur est l'OIS, et c'est un ramassis de lobbyistes
véreux.
Tu veux parler de ça :
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Ben non puisque j'avance cette méthode comme seule action d'évaluation.
Je prends la bannière et j'essaie de dire si oui ou non le service est
vulnérable. Point.
Oui si c'est pour collecter de l'information pour un motif légitime sur
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Oui. Ça la rend illégale ?
Au plan pénal la collecte d'information non autorisée sur un SI/STAD est
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
Je suis un peu con, j'ai du mal...
Lol
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
Sous quel motif ?
Illégitime.
Je t'en prie, ne me récite pas le code pénal, mais
donne moi une explication claire de pourquoi récupérer la bannière
d'un service public est illégal.
Trop tard déjà fait juste au-dessus.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
C'est la 5e fois que tu nous le dit. Moi je te demande : QUELLES
informations ?
La nature importe peu en premier lieu puisque ce qui est d'abord
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est une
information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
La LCEN a introduit un délit de
détention et de fourniture d'outils et d'informations spécialement
adaptés à la réalisation d'intrusion. Et ce texte n'est modéré que
par le motif légitime de cette détention, et sûrement pas par le fait
d'avoir réalisé une intrusion préalable.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un manuel
d'ARP cache poisoning, je tombe potentiellement sous le coup de la loi,
même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
OK, donc consulter un service public n'est pas une acation non autorisée
à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas autorisé.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec, non
?
Oui.
Donc c'est légal de consulter cette information non ?
Oui
Quand j'accède à
un serveur FTP, il me file une bannière, non ?
Oui
Donc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
_accès non autorisé_
Tout est là. Faire un GET / HTTP/1.0 sur un serveur Web dans le but de
récupérer la version dans l'entête est-il un accès non autorisé ? Je
pense que non. Tu en penses quoi ?
Je n'y vois rien de grave ou risqué.
De plus, en droit français, l'intention avec laquelle est réalisée une
action banale ne la rend pas illégale, tant que le délit n'est pas
commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter des
Par contre, comme je le disais précédemment, et chose sur
laquelle nous sommes d'accord, une fois le délit commis, ces actions
banales préalables serviront à prouver la préméditation, voire
l'entente délictueuse. Mais en l'absence de délit, elles ne sont pas
répréhensibles.
Exactement.
Donc, pour en revenir au coeur du problème, je considère qu'un banner
grabbing n'est pas intrusif, bien que les informations _publiques_ qu'il
permet de récupérer puisse renseigner sur la vulnérabilité du
système. Capiche ?
Roger !
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Ah ben voilà, c'est dit.
Depuis longtemps...
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
OK.Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
C'est le cas aujourd'hui en France et c'est tant mieux.
Je trouve ça NAVRANT.Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
On est d'accord sur ce point.
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
et cette histoire d'accréditation
pour avoir le droit de tester les systèmes à la sauvage.
Là faut que tu développes un peu stp.
J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Je te parle d'un test simple, le banner grabbing,
Oui mais tu n'as pas précisé dans quel contexte ?
pour répondre à
l'affirmation que tu fais dans le post
Cette affirmation ne tombe pas du ciel.
<40f80892$0$6750$79c14f64@nan-newsreader-06.noos.net> dans lequel tu
écris :
Erwan David wrote:
LaDDL <alamaisonMOVEOUT@HIt-THE-DIRTnoos.fr> écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
C'est l'intégralité de ton post. Il n'y a pas :
Juste pour rappel Cédric, le contexte c'est le droit pénal autrement dit
. définition de ce qu'est un système (un SI complet, un firewall, un
OS, etc? ?)
En droit un système informatique est appelé STAD.
. définition de contexte (autorisé ou non)
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
De fait, je me me permets de dire que c'est faux.
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
Cette affirmation est beaucoup trop générique.
Pour le profane oui sans aucun doute j'en conviens. Mais quand on
Et de prendre un exemple d'information publique
récupérable (i.e. la version d'un serveur HTTP quand elle est diffusée)
qui me semble contredire cette affirmation.
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de sa
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
C'est sur le moment où on passe le stade de l'intrusion qu'on n'est pas
d'accord manifestement.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
Je viens de le faire.
J'ai vu. ;)
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ?
Ce service exporte des données, comme sa version.
Est-ce que récupérer cette version est une intrusion ? Je pense que non.
Le droit pénal comme je viens de te le dire/rappeler l'entend tout
Voilà ce que je t'ai écrit.
1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
<40f8079d$0$6116$79c14f64@nan-newsreader-07.noos.net>
En prenant le (mauvais) exemple de l'affaire Humpich.
Reprends les éléments de cette affaire tu verras car ce que j'ai précisé
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
<40f80892$0$6750$79c14f64@nan-newsreader-06.noos.net>
Tu n'es pas obligé de répéter 2 fois la même chose...
Il y a deux points : 1. et 2. donc, je les distingue même si le résultat
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Le contexte,
C'est le droit pénal.
c'est une question de la part de Nicob sur l'analyse d'un
logiciel pour vérifier l'absence de cheval de Troie,
Quel type de logiciel ? logiciel commercial ? autre ?
à qui tu réponds :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Le voilà le contexte.
On passe à un autre contexte situation mais on est toujours dans le
C'est à dire tester un soft dans son coin pour
vérifier son niveau de sécurité.
Le droit pénal sanctionne le contournement des mesures techniques de
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Je suis désolé de t'apprendre que c'est ce que je défend, avec un
exemple, depuis le début. Cf.
<pan.2004.07.17.07.19.13.812473@cartel-securite.fr>
Dans le contexte du droit pénal français un accès, une intrusion non
dans lequel j'écris :
Pas seulement il y a l'exemple aussi du scan hein ?
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
Et de te donner un exemple de test qui récupère des information
publiques.
Dans le contexte du droit pénal français, on ne sanctionne pas ce qui
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Non.
Reprenons : le droit pénal est une sphère du droit qui traite des
Il y a des informations protégées dont l'accès est interdit,
Vi.
et il
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
[légalité du port scan]
Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Ça dépend des informations que tu glanes et de leur caractère public ou
privé, et de la manière dont tu les glanes.
Ca dépend surtout du contexte, environnement dans lequel tu glanes ces
Dans ce cas précis, le port
scan, la banner grabbing, tous les spécialistes que j'ai consultés sur
la question me réponde qu'il est difficile de les considérer comme des
intrusions.
Ce ne sont pas des intrusions mais des accès non autorisés à des
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Non. Ce n'est pas une intrusion. Mais lorsqu'il est le prémisse d'une
intrusion (dont je n'ai pas parlé), il constitue un facteur aggravant.
Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Cf. les deux articles ci-dessus.
Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Ce n'est pas le code pénal qui le dit, c'est toi qui interprète.
Si tu veux mais je connais bien le sujet pour l'avoir ressassé depuis
Le code
pénal réprime l'intrusion. Et pour tomber sous le coup de cette
répression, il faut que l'action soit reconnue comme étant une
intrusion. Bref, je trouve que tu sautes une étape, à savoir la
caractérisation d'un acte sur un SI en tant qu'intrusion.
J'ai pourtant détaillé tous les cas articles par articles ! Reprends le
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Je ne sais pas ce qu'il te faut ! Peut être plus d'éléments pour
Tu cites les articles 323 du code pénal.
Et je détaille en passant en revue les cas de figure possibles.
Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Distingue bien le caractère *intrusif* dans le contexte du droit pénal
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Je pourrais te retourner le compliment.
Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Il ne me dérange pas, je ne suis pas d'accord avec.
Dont acte.
Maintenant, ce qu'en
pense M. Garcia
No comment.
et d'autres contributeurs que je ne connais d'ailleurs
pas, je m'en fous un peu.
Pour les autres ce n'est pas correct de ne pas prendre en considération
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
C'est bien là le point du débat.
Sans aucun doute. Mais précises alors la nature de ces informations.
Les
informations publiques ne peuvent pas donner lieu à une intrusion,
puisqu'étant publiques, leur accès est autorisé de fait.
Qu'entends-tu par informations publiques ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
CQFD.
Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Ouf, on est d'accord sur un autre point.
Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
Mais parfois dans tes écrits on se le demande.
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
L'affaire Kitetoa dépasse largement amha le simple banner grabbing.
Idem.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Et cette accréditation n'est pas nécessaire pour toutes les
missions de SSI, mais seulement pour des contextes particuliers dans
lesquels le client exige cette "patte blanche".
Exact.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Peut-être qu'en l'exprimant plus clairement...
Et pour tes propos c'est limpide ? Rofl
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Parce que ce dont je discute avec toi est le fait qu'on puisse récupérer
des informations pertinentes en terme de sécurité sans pour autant
réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
La question
n'est pas de savoir si une intrusion est réprimée,
Bah si quand même et heureusement que ça l'est depuis un moment.
mais de savoir si le
receuil de la bannière d'un service est une intrusion ou non,
Sans identification il ne peut y avoir d'intrusion. Cette phase
et le lien
me semble plus technique que juridique à ce niveau là.
C'est une méthode d'identification.
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Une interprétation n'est jamais objective. Mais souffre que je fasse de
même avec tes propos.
Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
Je pense qu'on commence à se comprendre, et qu'on voit apparaître les
points de désaccord.
Yep ! Phew...
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ça commençait à ne plus être évident...
Sisi.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas sûr
Je pense que là aussi,
il y a une sérieuse différence entre nous.
Avec ce que tu viens d'écrire ci-dessus oh oui !
Quand j'écris pentest, je
parle de prestation de SSI, avec le cadre légal qui va avec.
Ah ! La forme me convient ici .
De fait, le
pentest étant légal ainsi défini, n'importe qui devrait avoir le droit
d'en faire, au même titre que n'importe qui a le droit d'ouvrir un
garage automobile.
Je ne suis absolument pas d'accord avec toi pour plusieurs raisons :
Maintenant, il appartiendra au client de choisir ses
prestataires en fonction de ses critères.
Tout le monde ne peut pas faire de tests d'intrusion.
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Ton exemple est clairement aussi mal choisi que le mien, d'un extrême à
l'autre...
C'était pour te montrer la bétise de ton exemple.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
C'est con ça.
Rofl.
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Ton voisin te demande de lui changer ses plaquettes de frein.
Je lui conseille de prendre Rdv avec son garagiste BMW. ;)
Qu'est-ce
qui se passe si tu le fais mal et qu'il se gauffre en voiture ?
S'il se plante c'est qu'il n'aura pas suivi mon conseil (ci-dessus).
Oups, t'as pas de voisin ;)))
Bah si tu vois pas. Lol
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Prenons l'ensemble des gens qui à l'instant T travaille dans la SSI.
En France ou WorldWide ?
Maintenant, tu nous dit qu'il faudrait être accrédité pour travailler
dans la SSI.
Uniquement pour certaines actions sensibles.
Tout ce beau monde va donc passer l'accréditation
Non certains pour exercer certaines missions.
et
certains vont ne pas l'avoir, pour pleins de raison, dont une pourrait
être qu'ils n'ont pas les sous pour la passer.
Ce peut être une raison mais certainement pas la seule.
De fait, tu as diminué ta
population de départ, et par là même la capacité globale de travail de
l'ensemble de cette population.
Non si tu as suivi mon cheminement.
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Elle les avaient déjà.
Il y en a d'autres afin de limiter les nouveaux abus et risques.
D'ailleurs on n'a pas attendu la LCEN pour
condamner Serge H...
Oui et alors quel est le rapport avec la choucroute ?
Et la LCEN interdit la diffusion d'information ou d'outils permettant la
réalisation d'intrusion, alors que ces mêmes outils sont utilisés pour
tester la sécurité de SI.
Elle a introduit quand même (heureusement malgré tout) le concept de
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes leur
SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans aucun
doute profiter du motif légitime. En effet, moi j'aurais le droit
d'accéder, d'utiliser des outils et informations pour tester les SI de
mes clients qui ne peuvent plus le faire eux-mêmes avec ces mêmes
outils, parce qu'eux ne bénéficient pas du motif légitime pour
l'utilisation et la détention de ces outils/informations. Ou comment se
créer un marché captif.
C'est une vision complétement irréaliste.
Quels outils ?
Exploits, scanners, etc.
Pour faire quoi ?
Évaluer la sécurité de son SI.
Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
C'est le flou dont
tout le monde s'inquiète, toi compris, tu l'as déjà écrit.
Bah vi parce que motif légitime ne me satisfait pas c'est pas précis une
Demain, M. Michu peut se faire poursuivre parce qu'il possède un exploit
dont il s'est servi pour tester son propre système, parce que la
détention de cet exploit est réprimé par le code pénal grâce à la LCEN.
Non parce que c'est pour un motif légitime.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Oui, et sur ce point, la LCEN n'a rien apporté. Un intrusion était
déjà réprimée par la loi Godfrain.
Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Ouf, on est d'accord...
Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Crois-tu que le fait d'ajouter une accréditation empêchera tes escrocs
de dire qu'ils l'ont ? Où ces mêmes escrocs de l'avoir ? ;)
Quel est le rapport ?!
Y a des escros et incompétents partout.
Ben oui, malheureusement...
C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
Oui. Ça fait partie de l'obligation de conseil que je pense attachée à
cette activité.
Phew. Tu me rassures. Le doute m'a traversé un instant l'esprit.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu serais étonné par certaines _grosses_ entités alors.
Je ne m'étonnes plus de rien en SI/SSI comme dans la vie ;p
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Mais à ce que j'ai compris de ton propos, tu vas classer ta population
hétérogène pour en extraire une catégorie que tu vas accréditer,
Je ne vais rien faire pour l'instant car je propose & suggère. ;)
et
donc créer deux ensembles : ceux qui sont accrédités et ceux qui ne le
sont pas.
Une accréditation c'est un peu comme une habilitation. On te la donne si
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Pourtant, ça y ressemble.
Bah non. ;)
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Ben oui, c'est pour ça que soumettre l'exercice de la profession à une
accréditation ne me semble pas franchement utile.
Pour la recherche de failles, vulnérabilités il faut en tout cas changer
Et dans la mesure où
cette efficacité est très limitée,
Expliques pourquoi alors.
et que la contre-partie, elle, me
semble pouvoir être néfaste,
Expliques pourquoi alors.
je suis contre.
Oui mais pourquoi. Développes stp.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
OK.
Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Mais comment, sur quels critères ?
Déjà modifier les méthodes de publication. Car cela engendre plus de
Pour le moment, la seule initiative
avec un peu d'ampleur est l'OIS, et c'est un ramassis de lobbyistes
véreux.
Tu veux parler de ça :
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Ben non puisque j'avance cette méthode comme seule action d'évaluation.
Je prends la bannière et j'essaie de dire si oui ou non le service est
vulnérable. Point.
Oui si c'est pour collecter de l'information pour un motif légitime sur
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Oui. Ça la rend illégale ?
Au plan pénal la collecte d'information non autorisée sur un SI/STAD est
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
Je suis un peu con, j'ai du mal...
Lol
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
Sous quel motif ?
Illégitime.
Je t'en prie, ne me récite pas le code pénal, mais
donne moi une explication claire de pourquoi récupérer la bannière
d'un service public est illégal.
Trop tard déjà fait juste au-dessus.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
C'est la 5e fois que tu nous le dit. Moi je te demande : QUELLES
informations ?
La nature importe peu en premier lieu puisque ce qui est d'abord
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est une
information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
La LCEN a introduit un délit de
détention et de fourniture d'outils et d'informations spécialement
adaptés à la réalisation d'intrusion. Et ce texte n'est modéré que
par le motif légitime de cette détention, et sûrement pas par le fait
d'avoir réalisé une intrusion préalable.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un manuel
d'ARP cache poisoning, je tombe potentiellement sous le coup de la loi,
même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
OK, donc consulter un service public n'est pas une acation non autorisée
à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas autorisé.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec, non
?
Oui.
Donc c'est légal de consulter cette information non ?
Oui
Quand j'accède à
un serveur FTP, il me file une bannière, non ?
Oui
Donc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
_accès non autorisé_
Tout est là. Faire un GET / HTTP/1.0 sur un serveur Web dans le but de
récupérer la version dans l'entête est-il un accès non autorisé ? Je
pense que non. Tu en penses quoi ?
Je n'y vois rien de grave ou risqué.
De plus, en droit français, l'intention avec laquelle est réalisée une
action banale ne la rend pas illégale, tant que le délit n'est pas
commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter des
Par contre, comme je le disais précédemment, et chose sur
laquelle nous sommes d'accord, une fois le délit commis, ces actions
banales préalables serviront à prouver la préméditation, voire
l'entente délictueuse. Mais en l'absence de délit, elles ne sont pas
répréhensibles.
Exactement.
Donc, pour en revenir au coeur du problème, je considère qu'un banner
grabbing n'est pas intrusif, bien que les informations _publiques_ qu'il
permet de récupérer puisse renseigner sur la vulnérabilité du
système. Capiche ?
Roger !
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Ah ben voilà, c'est dit.
Depuis longtemps...
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
OK.
Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
C'est le cas aujourd'hui en France et c'est tant mieux.
Je trouve ça NAVRANT.
Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
On est d'accord sur ce point.
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
et cette histoire d'accréditation
pour avoir le droit de tester les systèmes à la sauvage.
Là faut que tu développes un peu stp.
J'y parle notamment de la sanction par le code pénal d'intrusion sans
autorisation. Ensuite dans la suite du fil de la discussion, tu bases
ton argumentation sur des méthodes ou des tests dont tu ne précises même
pas le contexte, les conditions : autorisé ou légitime ? C'est là que ça
prête à confusion.
Je te parle d'un test simple, le banner grabbing,
Oui mais tu n'as pas précisé dans quel contexte ?
pour répondre à
l'affirmation que tu fais dans le post
Cette affirmation ne tombe pas du ciel.
<40f80892$0$6750$ dans lequel tu
écris :Erwan David wrote:LaDDL écrivait :
Les personnes "autorisées à pratiquer le RE" sont les chercheurs,
les professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Ah non. Ça c'était dans la première proposition de loi et ça a été
retiré...
Tester de sa propre initiative, les faiblesses de la sécurité
informatique d'un système est un délit pénal.
C'est l'intégralité de ton post. Il n'y a pas :
Juste pour rappel Cédric, le contexte c'est le droit pénal autrement dit
. définition de ce qu'est un système (un SI complet, un firewall, un
OS, etc? ?)
En droit un système informatique est appelé STAD.
. définition de contexte (autorisé ou non)
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
De fait, je me me permets de dire que c'est faux.
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
Cette affirmation est beaucoup trop générique.
Pour le profane oui sans aucun doute j'en conviens. Mais quand on
Et de prendre un exemple d'information publique
récupérable (i.e. la version d'un serveur HTTP quand elle est diffusée)
qui me semble contredire cette affirmation.
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de sa
Moi je ne fais que répéter et surtout expliciter comment le code
pénal sanctionne certaines intrusions et je les détaille.
C'est sur le moment où on passe le stade de l'intrusion qu'on n'est pas
d'accord manifestement.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
Si je me trompe sur tes intentions alors stp poses clairement tes
questions et où les problèmes qui t'amènent à croire ou penser je ne
sais trop quoi à mon encontre. Par avance merci.
Je viens de le faire.
J'ai vu. ;)
J'ajouterai encore une fois que le code pénal est très clair à ce
sujet il sanctionne l'accès à un SI sans autorisation. Tu comprends
maintenant la nuance ou pas ? Car je me demande si ce n'est pas ça qui
manque de clarté dans ton esprit.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ?
Ce service exporte des données, comme sa version.
Est-ce que récupérer cette version est une intrusion ? Je pense que non.
Le droit pénal comme je viens de te le dire/rappeler l'entend tout
Voilà ce que je t'ai écrit.1. l'affirmation très générale comme quoi la recherche de
failles/vulnérabilité viole la loi
Je m'inscris en faux Cédric avec ce que tu dis ici ! Où ai-je fait une
affirmation "générale" à ce sujet stp ?!
<40f8079d$0$6116$
En prenant le (mauvais) exemple de l'affaire Humpich.
Reprends les éléments de cette affaire tu verras car ce que j'ai précisé
2. l'affirmation très générale comme quoi l'évaluation d'un
système
viole la loi
Je m'inscris encore en faux Cédric avec ce que tu dis ici ! Où ai-je
fait une affirmation "générale" à ce sujet stp ?!
<40f80892$0$6750$
Tu n'es pas obligé de répéter 2 fois la même chose...
Il y a deux points : 1. et 2. donc, je les distingue même si le résultat
Si si le contexte est très clair étant donné que je ne cesse de
parler du cadre législatif en criminalité et sécurité informatique
et j'ai explicité ce qui est autorisé, légitime et sanctionné par le
code pénal.
Le contexte,
C'est le droit pénal.
c'est une question de la part de Nicob sur l'analyse d'un
logiciel pour vérifier l'absence de cheval de Troie,
Quel type de logiciel ? logiciel commercial ? autre ?
à qui tu réponds :Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Sinon à titre individuel et privé c'est à ses risques et périls.
Le voilà le contexte.
On passe à un autre contexte situation mais on est toujours dans le
C'est à dire tester un soft dans son coin pour
vérifier son niveau de sécurité.
Le droit pénal sanctionne le contournement des mesures techniques de
Eh ben tu vois quand tu veux en 3 lignes tu arrives à rejoindre ma
position.
Je suis désolé de t'apprendre que c'est ce que je défend, avec un
exemple, depuis le début. Cf.
Dans le contexte du droit pénal français un accès, une intrusion non
dans lequel j'écris :
Pas seulement il y a l'exemple aussi du scan hein ?
Tester les faiblesses d'un systèmes n'implique pas forcément une
intrusion ou une tentative d'intrusion d'un système.
Et de te donner un exemple de test qui récupère des information
publiques.
Dans le contexte du droit pénal français, on ne sanctionne pas ce qui
2. que l'évaluation d'un système peut passer par des méthodes
de recueil d'information non intrusives et porter sur des
informations publiques
Oui mais l'accès à des informations sur un système informatique/STAD
sans autorisation c'est sanctionné par le code pénal. Do you copy ?
Non.
Reprenons : le droit pénal est une sphère du droit qui traite des
Il y a des informations protégées dont l'accès est interdit,
Vi.
et il
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
[légalité du port scan]Ca se discute. Mais il est pourtant clairement sanctionné l'accès à
des informations sur un système informatique/STAD sans autorisation
dans le code pénal.
Ça dépend des informations que tu glanes et de leur caractère public ou
privé, et de la manière dont tu les glanes.
Ca dépend surtout du contexte, environnement dans lequel tu glanes ces
Dans ce cas précis, le port
scan, la banner grabbing, tous les spécialistes que j'ai consultés sur
la question me réponde qu'il est difficile de les considérer comme des
intrusions.
Ce ne sont pas des intrusions mais des accès non autorisés à des
Par contre, et je pense que nous sommes d'accord, il constitue un
facteur aggravant d'une intrusion (ou tentative d'intrusion)
constituée.
Phew !!! Eh ben tout ce temps pour que tu l'avoues enfin. Houlala !
Non. Ce n'est pas une intrusion. Mais lorsqu'il est le prémisse d'une
intrusion (dont je n'ai pas parlé), il constitue un facteur aggravant.Où ai-je fait une affirmation "générale" à ce sujet stp ?!
Cf. les deux articles ci-dessus.Je ne te demande pas d'être d'accord avec moi. Je ne cesse de te dire
qu'il y a un cadre législatif qui nous expose à certains risques. Et
que tester la sécurité d'un système ou démontrer que la sécurité
n'est pas respectée rentre dans le cadre de l'incrimination d'accès
frauduleux.
C'est dans le code pénal ce n'est pas moi qui l'invente ! Do you copy ?
Ce n'est pas le code pénal qui le dit, c'est toi qui interprète.
Si tu veux mais je connais bien le sujet pour l'avoir ressassé depuis
Le code
pénal réprime l'intrusion. Et pour tomber sous le coup de cette
répression, il faut que l'action soit reconnue comme étant une
intrusion. Bref, je trouve que tu sautes une étape, à savoir la
caractérisation d'un acte sur un SI en tant qu'intrusion.
J'ai pourtant détaillé tous les cas articles par articles ! Reprends le
Sur cet aspect des choses je n'y trouve rien à dire. Mais tu
stigmatises constamment mon propos alors qu'il y a du fond, des
justifications et preuves de ce que j'avance.
Il y a du fond, il y a des justifications, mais très peu de preuves amha.
Je ne sais pas ce qu'il te faut ! Peut être plus d'éléments pour
Tu cites les articles 323 du code pénal.
Et je détaille en passant en revue les cas de figure possibles.
Soit. Mais le point qui nous
oppose, ce n'est pas le fait de réprimer l'intrusion ou sa tentative,
c'est la limite qui fait qu'un acte sera intrusif et un autre non.
Distingue bien le caractère *intrusif* dans le contexte du droit pénal
Je souhaites que tu prennes conscience que c'est anormal de prêter des
intentions à qqun surtt quand ce n'est pas avéré.
Je pourrais te retourner le compliment.Rofl. Il n'est un secret pour toute personne qui a des activités en
SI/SSI Cédric que fcs regroupe une "bande de copain" issue de ce même
secteur et qui partage plus ou moins les mêmes idées. Et mon
discours à propos de la législation en criminalité et sécurité
informatique te (vous soit qq autres personnes ici) dérange. Je me
trompe ?
Il ne me dérange pas, je ne suis pas d'accord avec.
Dont acte.
Maintenant, ce qu'en
pense M. Garcia
No comment.
et d'autres contributeurs que je ne connais d'ailleurs
pas, je m'en fous un peu.
Pour les autres ce n'est pas correct de ne pas prendre en considération
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Je m'inscris encore en faux avec ce que tu prétends à mon sujet. Je
t'ai dit/répété à X reprises que l'accès à des informations sur un
système informatique/STAD sans autorisation est sanctionné dans le
code pénal. Capiche ?
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
C'est bien là le point du débat.
Sans aucun doute. Mais précises alors la nature de ces informations.
Les
informations publiques ne peuvent pas donner lieu à une intrusion,
puisqu'étant publiques, leur accès est autorisé de fait.
Qu'entends-tu par informations publiques ?
Je peux me tromper, mais Serge H n'a pas été condamné pour avoir
découvert une faille dans le système CB, mais pour l'avoir utilisé
pour acheter des tickets de métro dans un distributeur public.
Grosso modo oui c'est ça.
CQFD.Dès lors, ce qui est en cause n'est pas la recherche et la découverte
de la faille, mais son exploitation qui conduit à une intrusion.
Bah oui et pour exploiter qqch selon notre code pénal il faut y être
autorisé autrement on s'expose à des risques : peines, sanctions.
Ouf, on est d'accord sur un autre point.Oui. Les intrusions sont réprimées par la loi, c'est une bonne chose,
Les intrusions non autorisées pour être précis !
Si elles sont autorisées, ce ne sont plus des intrusions...
Mais parfois dans tes écrits on se le demande.
Bah écoutes c'est toi qui me parles d'accès à des informations sur un
système sans autorisation et je t'ai expliqué, prouvé qu'à ce sujet
le code pénal sanctionnait.
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Et cette affaire comme les autres que j'ai cité illustre cet aspect de
notre échange.
L'affaire Kitetoa dépasse largement amha le simple banner grabbing.
Idem.
Il ne t'accrédite pas en tant qu'auditeur de SI.
Si si pour certaines missions d'audit il faut être accrédité.
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Et cette accréditation n'est pas nécessaire pour toutes les
missions de SSI, mais seulement pour des contextes particuliers dans
lesquels le client exige cette "patte blanche".
Exact.
Ce n'est pas de ma faute si tu interprêtes mal mon propos !
Peut-être qu'en l'exprimant plus clairement...
Et pour tes propos c'est limpide ? Rofl
D'ailleurs pourquoi étais-tu contre la charte proposée par la FPTI stp
? (car tu ne m'as jamais dit pourquoi)
Parce que ce dont je discute avec toi est le fait qu'on puisse récupérer
des informations pertinentes en terme de sécurité sans pour autant
réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
La question
n'est pas de savoir si une intrusion est réprimée,
Bah si quand même et heureusement que ça l'est depuis un moment.
mais de savoir si le
receuil de la bannière d'un service est une intrusion ou non,
Sans identification il ne peut y avoir d'intrusion. Cette phase
et le lien
me semble plus technique que juridique à ce niveau là.
C'est une méthode d'identification.
Non je prends tes propos comme tel et j'en fais une interpétation
objective.
Une interprétation n'est jamais objective. Mais souffre que je fasse de
même avec tes propos.Bah oui mais tu interprêtes mal mon propos. Donc si tu es de bonne foi
on devrait arriver à se comprendre. Ce qui n'implique pas que l'on soit
d'accord sur tout.
Je pense qu'on commence à se comprendre, et qu'on voit apparaître les
points de désaccord.
Yep ! Phew...
C'est là qu'on s'oppose.
Ca saute aux yeux (aux miens en tout cas).
Ça commençait à ne plus être évident...
Sisi.
Ah oui ?! Donc tu es en train de dire qu'il faut que tout le monde ai le
droit de faire des pentests c'est ça ?
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas sûr
Je pense que là aussi,
il y a une sérieuse différence entre nous.
Avec ce que tu viens d'écrire ci-dessus oh oui !
Quand j'écris pentest, je
parle de prestation de SSI, avec le cadre légal qui va avec.
Ah ! La forme me convient ici .
De fait, le
pentest étant légal ainsi défini, n'importe qui devrait avoir le droit
d'en faire, au même titre que n'importe qui a le droit d'ouvrir un
garage automobile.
Je ne suis absolument pas d'accord avec toi pour plusieurs raisons :
Maintenant, il appartiendra au client de choisir ses
prestataires en fonction de ses critères.
Tout le monde ne peut pas faire de tests d'intrusion.
Tout le monde selon toi aurait le droit de faire joujou avec des armes
ou des substances dangeureuses ou explosives c'est ça ?
Ton exemple est clairement aussi mal choisi que le mien, d'un extrême à
l'autre...
C'était pour te montrer la bétise de ton exemple.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
Je me démerde en bricolage. Je pourrais bien la dépanner mais j'ai pas
de voisine. Lol
C'est con ça.
Rofl.
Trouves d'autres exemples cohérents pour argumenter stp. Merci. ;)
Ton voisin te demande de lui changer ses plaquettes de frein.
Je lui conseille de prendre Rdv avec son garagiste BMW. ;)
Qu'est-ce
qui se passe si tu le fais mal et qu'il se gauffre en voiture ?
S'il se plante c'est qu'il n'aura pas suivi mon conseil (ci-dessus).
Oups, t'as pas de voisin ;)))
Bah si tu vois pas. Lol
Comment peux-tu dire ou prétendre qu'il y aura moins de monde pour
réaliser des audits (peu importe la nature et le type ici) et que donc
ils seront de moins en moins testés ?!
Prenons l'ensemble des gens qui à l'instant T travaille dans la SSI.
En France ou WorldWide ?
Maintenant, tu nous dit qu'il faudrait être accrédité pour travailler
dans la SSI.
Uniquement pour certaines actions sensibles.
Tout ce beau monde va donc passer l'accréditation
Non certains pour exercer certaines missions.
et
certains vont ne pas l'avoir, pour pleins de raison, dont une pourrait
être qu'ils n'ont pas les sous pour la passer.
Ce peut être une raison mais certainement pas la seule.
De fait, tu as diminué ta
population de départ, et par là même la capacité globale de travail de
l'ensemble de cette population.
Non si tu as suivi mon cheminement.
Or la LCEN limite la diffusion des informations et des outils utilisés
pour tester ses outils parce que la plupart d'entre eux peuvent être
utilisés pour une intrusion (ou tentative).
Faux. Elle encadre ces risques. Ainsi s'il y a un délit constaté la
victime dispose de moyens juridiques pour se retourner.
Elle les avaient déjà.
Il y en a d'autres afin de limiter les nouveaux abus et risques.
D'ailleurs on n'a pas attendu la LCEN pour
condamner Serge H...
Oui et alors quel est le rapport avec la choucroute ?
Et la LCEN interdit la diffusion d'information ou d'outils permettant la
réalisation d'intrusion, alors que ces mêmes outils sont utilisés pour
tester la sécurité de SI.
Elle a introduit quand même (heureusement malgré tout) le concept de
Pour la énième fois la LCEN n'empêche absolument pas d'assurer son
niveau de sécurité pour son SI. Mais elle responsabilise tout le monde
pour gérer les risques.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes leur
SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans aucun
doute profiter du motif légitime. En effet, moi j'aurais le droit
d'accéder, d'utiliser des outils et informations pour tester les SI de
mes clients qui ne peuvent plus le faire eux-mêmes avec ces mêmes
outils, parce qu'eux ne bénéficient pas du motif légitime pour
l'utilisation et la détention de ces outils/informations. Ou comment se
créer un marché captif.
C'est une vision complétement irréaliste.
Quels outils ?
Exploits, scanners, etc.Pour faire quoi ?
Évaluer la sécurité de son SI.Si c'est pour réaliser des tests sur leur environnement système la
LCEN ne les sanctionne pas.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
C'est le flou dont
tout le monde s'inquiète, toi compris, tu l'as déjà écrit.
Bah vi parce que motif légitime ne me satisfait pas c'est pas précis une
Demain, M. Michu peut se faire poursuivre parce qu'il possède un exploit
dont il s'est servi pour tester son propre système, parce que la
détention de cet exploit est réprimé par le code pénal grâce à la LCEN.
Non parce que c'est pour un motif légitime.
Si c'est pour commettre des actes non autorisés dont avons déjà
longuement parlé ils seront sanctionnés.
Oui, et sur ce point, la LCEN n'a rien apporté. Un intrusion était
déjà réprimée par la loi Godfrain.Chacun fait ce qu'il veut dans son coin (dans le privé). Ce qui est
sanctionné ce sont certains actes et intentions. La nuance en droit a
toute son importance.
Ouf, on est d'accord...Par exemple, combien d'advisories issus de sociétés ont été
publiés sur des outils de P2P.
http://www.google.com/
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
Encore faut-il que ceux qui se présentent comme des pros ne soient pas
des escros.
Crois-tu que le fait d'ajouter une accréditation empêchera tes escrocs
de dire qu'ils l'ont ? Où ces mêmes escrocs de l'avoir ? ;)
Quel est le rapport ?!
Y a des escros et incompétents partout.
Ben oui, malheureusement...C'est au soi disant au professionnel en SI/SSI d'accompagner son client,
de le sensibiliser aux risques, d'être transparent et surtout d'avoir
une éthique.
Oui. Ça fait partie de l'obligation de conseil que je pense attachée à
cette activité.
Phew. Tu me rassures. Le doute m'a traversé un instant l'esprit.
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu serais étonné par certaines _grosses_ entités alors.
Je ne m'étonnes plus de rien en SI/SSI comme dans la vie ;p
Mais c'est qui les autres ? Etant donné que je te parle d'une
population hétérogène.
Mais à ce que j'ai compris de ton propos, tu vas classer ta population
hétérogène pour en extraire une catégorie que tu vas accréditer,
Je ne vais rien faire pour l'instant car je propose & suggère. ;)
et
donc créer deux ensembles : ceux qui sont accrédités et ceux qui ne le
sont pas.
Une accréditation c'est un peu comme une habilitation. On te la donne si
Je n'ai pas exposé les choses en ces termes là. Reprends le fil de la
discussion tu verras.
Pourtant, ça y ressemble.
Bah non. ;)
Quoiqu'il en soit et tu le sais très bien cette population
hétérogène (blancs et gris) agit pour la bonne cause. Les brebis
galeuses ont les détectent facilement à un moment donné et les vrais
noirs s'en foutent royalement des règles car ce qui compte pour eux
c'est l'atteinte de leurs objectifs.
Ben oui, c'est pour ça que soumettre l'exercice de la profession à une
accréditation ne me semble pas franchement utile.
Pour la recherche de failles, vulnérabilités il faut en tout cas changer
Et dans la mesure où
cette efficacité est très limitée,
Expliques pourquoi alors.
et que la contre-partie, elle, me
semble pouvoir être néfaste,
Expliques pourquoi alors.
je suis contre.
Oui mais pourquoi. Développes stp.
Accréditer <> mandater
Non je fais bien la distinction cf dictionnaire ou Isaca ou Afai.
OK.Cf. plus bas, avec ta population hétérogène qu'il faudrait
identifier blablabla.
Oui pour la recherche en failles/vulnérabilités il faut réorganiser,
structurer notre mode de fonctionnement. Car IHMO il est imparfait
aujourd'hui et laisse planer certains doutes/suspicions sur les
professionnels de la SI/SSI.
Mais comment, sur quels critères ?
Déjà modifier les méthodes de publication. Car cela engendre plus de
Pour le moment, la seule initiative
avec un peu d'ampleur est l'OIS, et c'est un ramassis de lobbyistes
véreux.
Tu veux parler de ça :
Tu ne le précises pas que ce n'est pas pour réaliser une intrusion.
Ben non puisque j'avance cette méthode comme seule action d'évaluation.
Je prends la bannière et j'essaie de dire si oui ou non le service est
vulnérable. Point.
Oui si c'est pour collecter de l'information pour un motif légitime sur
D'autant plus que cette méthode figure parmi les différentes méthodes
employées pour préparer un pentest par exemple.
Oui. Ça la rend illégale ?
Au plan pénal la collecte d'information non autorisée sur un SI/STAD est
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Ca l'était bien avant et ce depuis longtemps mais je suis ravi de
constater maintenant que tu as compris.
Je suis un peu con, j'ai du mal...
Lol
L'accès non autorisé à ces informations est un délit dans notre code
pénal.
Sous quel motif ?
Illégitime.
Je t'en prie, ne me récite pas le code pénal, mais
donne moi une explication claire de pourquoi récupérer la bannière
d'un service public est illégal.
Trop tard déjà fait juste au-dessus.
L'accès non autorisé aux données/informations d'un SI/STAD est un
délit dans notre code pénal.
C'est la 5e fois que tu nous le dit. Moi je te demande : QUELLES
informations ?
La nature importe peu en premier lieu puisque ce qui est d'abord
Si tu as bien lu ce que je viens de te rappeler juste au-dessus tu
comprends que c'est qualifié comme étant un délit.
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est une
information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Donc stp de quelle violation parles-tu ?
Possession et diffusion d'information ou d'outils pouvant être
utilisés dans le cadre d'une intrusion.
On va être binaire ok ?
- Si l'intrusion est autorisée c'est un motif légitime - Si
l'intrusion n'est pas autorisée c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
La LCEN a introduit un délit de
détention et de fourniture d'outils et d'informations spécialement
adaptés à la réalisation d'intrusion. Et ce texte n'est modéré que
par le motif légitime de cette détention, et sûrement pas par le fait
d'avoir réalisé une intrusion préalable.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un manuel
d'ARP cache poisoning, je tombe potentiellement sous le coup de la loi,
même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
Définition du contexte non autorisé ?
Ici = Accèder ou s'introduire dans un SI/STAD sans y avoir le droit.
OK, donc consulter un service public n'est pas une acation non autorisée
à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas autorisé.
Tu mélanges tout. Tu le fais exprès ou bien t'es bouché bordel. Le
cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec, non
?
Oui.
Donc c'est légal de consulter cette information non ?
Oui
Quand j'accède à
un serveur FTP, il me file une bannière, non ?
Oui
Donc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
Le code pénal sanctionne l'accès non *autorisé* à un SI/STAD pour
collecter des informations pouvant servir à commettre une intrusion.
(déjà dit pourquoi longuement précédemment)
_accès non autorisé_
Tout est là. Faire un GET / HTTP/1.0 sur un serveur Web dans le but de
récupérer la version dans l'entête est-il un accès non autorisé ? Je
pense que non. Tu en penses quoi ?
Je n'y vois rien de grave ou risqué.
De plus, en droit français, l'intention avec laquelle est réalisée une
action banale ne la rend pas illégale, tant que le délit n'est pas
commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter des
Par contre, comme je le disais précédemment, et chose sur
laquelle nous sommes d'accord, une fois le délit commis, ces actions
banales préalables serviront à prouver la préméditation, voire
l'entente délictueuse. Mais en l'absence de délit, elles ne sont pas
répréhensibles.
Exactement.
Donc, pour en revenir au coeur du problème, je considère qu'un banner
grabbing n'est pas intrusif, bien que les informations _publiques_ qu'il
permet de récupérer puisse renseigner sur la vulnérabilité du
système. Capiche ?
Roger !
bah justement ce n'est pas systèmatiquement un délit !!! Ca l'est
uniquement quand l'accès est non autorisé. C'est normal on ne rentre
pas chez les gens sans y être autorisé/invité.
Ah ben voilà, c'est dit.
Depuis longtemps...
Oui mais tu sors la phrase de son contexte. Dans le fil de la discussion
c'est très clair.
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
Donc en gros, un organisme qui dira "toi tu as le droit d'aller tester,
mais pas toi".
Oui c'est ça.
OK.Alors oui, une fois reçue l'accréditation, vu qu'ils auront le droit,
ils ne commettront plus de délit,
Non c'est pour ça que le code pénal s'applique à tout le monde. Grrr
tu ne saisis pas les subtilités juridiques. Eek !
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
C'est le cas aujourd'hui en France et c'est tant mieux.
Je trouve ça NAVRANT.Mais que tout le monde puisse s'en prendre à n'importe quel hôte venu
sans savoir ce qu'il y a derrière je dis non.
Donc je suis pour les intrusions autorisées et non "sauvages".
On est d'accord sur ce point.
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
et cette histoire d'accréditation
pour avoir le droit de tester les systèmes à la sauvage.
Là faut que tu développes un peu stp.
On Fri, 16 Jul 2004 06:18:31 +0000, LaDDL wrote:
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Ce qui nous prévoit une belle inédependance ...
Par rapport à quoi stp ?
Sinon à titre individuel et privé c'est à ses risques et périls.
Et cela ne te semble pas problématique ?
Qu'est-ce qui est problèmatique ? Précises donc ta pensée car je ne suis
Perso, le simple fait que seules
des entités commerciales ou gouvernementales aient le *droit* de faire du
reverse-engineering m'hérisse le poil ...
Attends je ne parles pas du RE au sens large ?!!! Mais d'un cadre et
On Fri, 16 Jul 2004 06:18:31 +0000, LaDDL wrote:
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Ce qui nous prévoit une belle inédependance ...
Par rapport à quoi stp ?
Sinon à titre individuel et privé c'est à ses risques et périls.
Et cela ne te semble pas problématique ?
Qu'est-ce qui est problèmatique ? Précises donc ta pensée car je ne suis
Perso, le simple fait que seules
des entités commerciales ou gouvernementales aient le *droit* de faire du
reverse-engineering m'hérisse le poil ...
Attends je ne parles pas du RE au sens large ?!!! Mais d'un cadre et
On Fri, 16 Jul 2004 06:18:31 +0000, LaDDL wrote:
Les personnes "autorisées à pratiquer le RE" sont les chercheurs, les
professionnels de la SI/SSI, certains organismes gouvernementaux.
Ce qui nous prévoit une belle inédependance ...
Par rapport à quoi stp ?
Sinon à titre individuel et privé c'est à ses risques et périls.
Et cela ne te semble pas problématique ?
Qu'est-ce qui est problèmatique ? Précises donc ta pensée car je ne suis
Perso, le simple fait que seules
des entités commerciales ou gouvernementales aient le *droit* de faire du
reverse-engineering m'hérisse le poil ...
Attends je ne parles pas du RE au sens large ?!!! Mais d'un cadre et
On Fri, 16 Jul 2004 06:18:32 +0000, LaDDL wrote:
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
Moi qui croyais que c'était déjà le cas avec la loi Godfrain ...
Oui mais le cadre législatif vient d'évoluer avec la LCEN. Cf droit
On Fri, 16 Jul 2004 06:18:32 +0000, LaDDL wrote:
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
Moi qui croyais que c'était déjà le cas avec la loi Godfrain ...
Oui mais le cadre législatif vient d'évoluer avec la LCEN. Cf droit
On Fri, 16 Jul 2004 06:18:32 +0000, LaDDL wrote:
Mais on dispose malgré tout d'un cadre législatif à présent qui permet
de sanctionner les crimes et délits informatique.
Moi qui croyais que c'était déjà le cas avec la loi Godfrain ...
Oui mais le cadre législatif vient d'évoluer avec la LCEN. Cf droit
LaDDL wrote:Roland Garcia wrote:
La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Quelles missions et quel rapport ? parlez que diable.
Leur mission ou rôle si vous préférez dans nos institutions et pour la
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Oui tiens, pourquoi ?
Cf juste ci-dessous (ou bien relisez mon post auquel vous venez de
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Ah ? et quand on est "sensibilisé" on devient hors d'atteinte de la loi?
Qui a parlé d'immunité ?!!!
LaDDL wrote:
Roland Garcia wrote:
La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Quelles missions et quel rapport ? parlez que diable.
Leur mission ou rôle si vous préférez dans nos institutions et pour la
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Oui tiens, pourquoi ?
Cf juste ci-dessous (ou bien relisez mon post auquel vous venez de
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Ah ? et quand on est "sensibilisé" on devient hors d'atteinte de la loi?
Qui a parlé d'immunité ?!!!
LaDDL wrote:Roland Garcia wrote:
La différence juridique fondamentale entre eux et nous c'est que nous nous
ne pouvons pas nous prévaloir du secret défense,
Une énième fois reprenez la/les mission(s) de ces autorités françaises
soit : la DST & DGSE.
Quelles missions et quel rapport ? parlez que diable.
Leur mission ou rôle si vous préférez dans nos institutions et pour la
Enfin cela démontre bien que vous n'êtes ni un professionnel de la
SI/SSI, ni un chercheur appartenant à un laboratoire public, ni un
ingénieur. Pourquoi ?
Oui tiens, pourquoi ?
Cf juste ci-dessous (ou bien relisez mon post auquel vous venez de
Parce que ces autorités dont nous parlons
sensibilisent ces acteurs/personnes.
Ah ? et quand on est "sensibilisé" on devient hors d'atteinte de la loi?
Qui a parlé d'immunité ?!!!
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
Je serais étonné que tu trouves des gens enthousiates ...
Vu comment tu déformes, interprêtes, présentes mon propos c'est sûr que
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:
Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
Je serais étonné que tu trouves des gens enthousiates ...
Vu comment tu déformes, interprêtes, présentes mon propos c'est sûr que
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:Et mon discours à propos de la législation en criminalité et
sécurité informatique te (vous soit qq autres personnes ici) dérange.
Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
Je serais étonné que tu trouves des gens enthousiates ...
Vu comment tu déformes, interprêtes, présentes mon propos c'est sûr que
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu es sérieux, là ?
Arf ! Sur ces 4 mots j'ai joué sur la dernière phrase de Cédric.
Mon expérience personnelle des tests intrusifs et
audits de code/d'architecture montre que dans 95% (au moins !) des cas, je
rentre dans les délais impartis.
T'es sûr de ton chiffre ? Parce que même s'il est vrai c'est ton
Le tout sans 0-day et sans
social-engineering ...
Sur ce plan là je confirme.
Et parmi les "testés", il y a ce que tu appelles des "grosses entités"
(grands comptes, collectivités publiques, administration, e-business,
ISP, éditeurs de logiciels, laboratoires de recherche, ...).
Le niveau de sécurité des SI reste toujours perfectible. Il doit évoluer
Et les conséquences (quand elles sont chiffrables en $$) sont parfois
énormes.
Je confirme aussi sur ce plan là.
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:
et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu es sérieux, là ?
Arf ! Sur ces 4 mots j'ai joué sur la dernière phrase de Cédric.
Mon expérience personnelle des tests intrusifs et
audits de code/d'architecture montre que dans 95% (au moins !) des cas, je
rentre dans les délais impartis.
T'es sûr de ton chiffre ? Parce que même s'il est vrai c'est ton
Le tout sans 0-day et sans
social-engineering ...
Sur ce plan là je confirme.
Et parmi les "testés", il y a ce que tu appelles des "grosses entités"
(grands comptes, collectivités publiques, administration, e-business,
ISP, éditeurs de logiciels, laboratoires de recherche, ...).
Le niveau de sécurité des SI reste toujours perfectible. Il doit évoluer
Et les conséquences (quand elles sont chiffrables en $$) sont parfois
énormes.
Je confirme aussi sur ce plan là.
On Tue, 20 Jul 2004 14:42:31 +0000, LaDDL wrote:et s'étonnent ensuite de se retrouve avec des applis web buggées, des
serveurs pas à jour, etc. Par contre, il ne leur viendra jamais à
l'idée de ne pas faire appel à une société de nettoyage
sérieuse...
Les grosses entités si...
Tu es sérieux, là ?
Arf ! Sur ces 4 mots j'ai joué sur la dernière phrase de Cédric.
Mon expérience personnelle des tests intrusifs et
audits de code/d'architecture montre que dans 95% (au moins !) des cas, je
rentre dans les délais impartis.
T'es sûr de ton chiffre ? Parce que même s'il est vrai c'est ton
Le tout sans 0-day et sans
social-engineering ...
Sur ce plan là je confirme.
Et parmi les "testés", il y a ce que tu appelles des "grosses entités"
(grands comptes, collectivités publiques, administration, e-business,
ISP, éditeurs de logiciels, laboratoires de recherche, ...).
Le niveau de sécurité des SI reste toujours perfectible. Il doit évoluer
Et les conséquences (quand elles sont chiffrables en $$) sont parfois
énormes.
Je confirme aussi sur ce plan là.
Nicob wrote:Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
encore moins missions car la formation ne figure pas dans mes
fonctions/responsabilités.
Plus sérieusement quand je parle d'accréditation cela signifie grosso
modo être habilité à pratiquer la recherche de failles/vulnérabilités et
publier. Cela ne veut pas dire disposer d'une immunité comme j'ai pu le
lire dans d'autres posts. Les sanctions pénales sont valables pour tout
le monde. Mais pour assurer le maintien de la sécurité d'un SI il faut
pratiquer, réaliser certaines actions que seules des personnes
compétentes, qualifiées, rigoureuses et sûres peuvent exécuter.
Nicob wrote:
Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
encore moins missions car la formation ne figure pas dans mes
fonctions/responsabilités.
Plus sérieusement quand je parle d'accréditation cela signifie grosso
modo être habilité à pratiquer la recherche de failles/vulnérabilités et
publier. Cela ne veut pas dire disposer d'une immunité comme j'ai pu le
lire dans d'autres posts. Les sanctions pénales sont valables pour tout
le monde. Mais pour assurer le maintien de la sécurité d'un SI il faut
pratiquer, réaliser certaines actions que seules des personnes
compétentes, qualifiées, rigoureuses et sûres peuvent exécuter.
Nicob wrote:Tu devrais essayer de faire passer tes idées (accréditation des
personnes habilitées à faire de la recherche de failles, imposition
d'une politique de diffusion des failles, réglementation "tombée du
ciel" de la qualité du code commercial, ..) ailleurs, comme par exemple
à l'OSSIR ou au SSTIC.
C'est n'est pas dans mes objectifs en raison de mes responsabilités et
encore moins missions car la formation ne figure pas dans mes
fonctions/responsabilités.
Plus sérieusement quand je parle d'accréditation cela signifie grosso
modo être habilité à pratiquer la recherche de failles/vulnérabilités et
publier. Cela ne veut pas dire disposer d'une immunité comme j'ai pu le
lire dans d'autres posts. Les sanctions pénales sont valables pour tout
le monde. Mais pour assurer le maintien de la sécurité d'un SI il faut
pratiquer, réaliser certaines actions que seules des personnes
compétentes, qualifiées, rigoureuses et sûres peuvent exécuter.
Donc peux-tu expliquer dans quel contexte tu parles de l'usage de cette
méthode ? Car IHMO c'est uniquement quand on est mandaté que l'on a le
droit de collecter des données permettant d'identifier sa cible pour la
préparation d'un test d'intrusion par exemple.
Le droit pénal français est on ne peut plus clair à ce sujet. Si tu
ne me crois pas consultes alors un avocat spécialisé.
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
parle uniquement d'actions non autorisées !!!
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Sans vouloir te vexer le droit pénal est une sphère du droit qui
traite des comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences).
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
pénal où une intrusion est sanctionnée.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ? Car si c'est accèder à un
service en ligne il n'y a rien d'illégal voyons. En outre collecter des
données sur le système informatique/STAD c'est illégal si on en a pas
l'autorisation.
C'est pourquoi il a été introduit le concept de "motif légitime".
Pas seulement il y a l'exemple aussi du scan hein ? Là encoredans quel
contexte environnement tu le réalises stp ?
Reprenons : le droit pénal est une sphère du droit qui traite des
comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences). Conséquence : on ne parle
que de ce qui est illégitime en droit pénal. C'est pourquoi on parle
de *motifs* légitimes.
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
Posé ainsi ce que tu dis ne poses aucun problèmes juridique.
Mais dans le contexte de collecte d'informations pour identifier un SI
c'est sanctionné par le code pénal. Sans autorisation d'accès à un
SI/STAD tu ne collectes pas d'informations sur un SI quelconque sauf
pour des motifs/raisons légitimes : être autorisé, invité ou
mandaté à le faire.
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Parce que ce dont je discute avec toi est le fait qu'on puisse
récupérer des informations pertinentes en terme de sécurité sans
pour autant réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
Sans identification il ne peut y avoir d'intrusion. Cette phase
participe à l'intrusion puisqu'elle permet d'obtenir des informations
sur la cible.
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas
sûr de bien te saisir (j'hallucine même pour tout te dire) et afin
d'éviter tout malentendu je te demande de clarifier les choses.
Au fait, j'y pense maintenant mais qu'entends-tu par test d'intrusion
car si ça se trouve tu vas encore me surprendre ?
Tout le monde ne peut pas faire de tests d'intrusion.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
question évidente de confidentialité, risques et sécurité.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes
leur SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans
aucun doute profiter du motif légitime. En effet, moi j'aurais le
droit d'accéder, d'utiliser des outils et informations pour tester les
SI de mes clients qui ne peuvent plus le faire eux-mêmes avec ces
mêmes outils, parce qu'eux ne bénéficient pas du motif légitime
pour l'utilisation et la détention de ces outils/informations. Ou
comment se créer un marché captif.
C'est une vision complétement irréaliste. Sinon il va y avoir beaucoup
d'admins au chômage et licenciés. Pas sérieux ton truc une seconde.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
été ajouté)
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
http://www.checkpoint.com/securitycenter/advisories/2004/cpai-2004-05.html
Site du soft concerné:
www.slsknet.org/
Pour le moment, la seule initiative avec un peu d'ampleur est l'OIS, et
c'est un ramassis de lobbyistes véreux.
Tu veux parler de ça :
http://www.oisafety.org/
Si c'est le cas ce n'est pas français. ;)
Au plan pénal la collecte d'information non autorisée sur un SI/STAD
est sanctionnée par le code pénal.
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Illégitime.
Soit : la collecte d'information non autorisée sur un SI/STAD.
Au plan pénal on sanctionne ce qui est illégitime ok ?
Identifier ce qui est actif/ouvert comme service donc vulnérable sur un
SI/STAD où l'on est pas autorisé, ni invité à le faire c'est
sanctionné,
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est
une information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Au plan pénal, l'accès non autorisé à un SI/STAD est sanctionné.
Donc y accèder sans autorisation même pour identifier des services
actifs/ouverts donc vulnérables c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un
manuel d'ARP cache poisoning, je tombe potentiellement sous le coup de
la loi, même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
OK, donc consulter un service public n'est pas une acation non
autorisée à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas
autorisé.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec,
non ?
Oui.Donc c'est légal de consulter cette information non ?
OuiQuand j'accède à
un serveur FTP, il me file une bannière, non ?
OuiDonc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc."
Tu viens de me paraphraser le sais-tu ? Mais si ça te rassures. ;p
Mais pénalement il en va tout autrement comme tu as pu déjà le
constater.
De plus, en droit français, l'intention avec laquelle est réalisée
une action banale ne la rend pas illégale, tant que le délit n'est
pas commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter
des données à partir d'une url. Rofl Même si l'exemple est pour le
moins ridicule il montre néanmoins que le droit pénal sanctionne. :(
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
..et maintenant ?
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
Au plan pénal ? J'ai pourtant déjà expliqué pourquoi.
Donc peux-tu expliquer dans quel contexte tu parles de l'usage de cette
méthode ? Car IHMO c'est uniquement quand on est mandaté que l'on a le
droit de collecter des données permettant d'identifier sa cible pour la
préparation d'un test d'intrusion par exemple.
Le droit pénal français est on ne peut plus clair à ce sujet. Si tu
ne me crois pas consultes alors un avocat spécialisé.
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
parle uniquement d'actions non autorisées !!!
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Sans vouloir te vexer le droit pénal est une sphère du droit qui
traite des comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences).
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
pénal où une intrusion est sanctionnée.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ? Car si c'est accèder à un
service en ligne il n'y a rien d'illégal voyons. En outre collecter des
données sur le système informatique/STAD c'est illégal si on en a pas
l'autorisation.
C'est pourquoi il a été introduit le concept de "motif légitime".
Pas seulement il y a l'exemple aussi du scan hein ? Là encoredans quel
contexte environnement tu le réalises stp ?
Reprenons : le droit pénal est une sphère du droit qui traite des
comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences). Conséquence : on ne parle
que de ce qui est illégitime en droit pénal. C'est pourquoi on parle
de *motifs* légitimes.
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
Posé ainsi ce que tu dis ne poses aucun problèmes juridique.
Mais dans le contexte de collecte d'informations pour identifier un SI
c'est sanctionné par le code pénal. Sans autorisation d'accès à un
SI/STAD tu ne collectes pas d'informations sur un SI quelconque sauf
pour des motifs/raisons légitimes : être autorisé, invité ou
mandaté à le faire.
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Parce que ce dont je discute avec toi est le fait qu'on puisse
récupérer des informations pertinentes en terme de sécurité sans
pour autant réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
Sans identification il ne peut y avoir d'intrusion. Cette phase
participe à l'intrusion puisqu'elle permet d'obtenir des informations
sur la cible.
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas
sûr de bien te saisir (j'hallucine même pour tout te dire) et afin
d'éviter tout malentendu je te demande de clarifier les choses.
Au fait, j'y pense maintenant mais qu'entends-tu par test d'intrusion
car si ça se trouve tu vas encore me surprendre ?
Tout le monde ne peut pas faire de tests d'intrusion.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
question évidente de confidentialité, risques et sécurité.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes
leur SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans
aucun doute profiter du motif légitime. En effet, moi j'aurais le
droit d'accéder, d'utiliser des outils et informations pour tester les
SI de mes clients qui ne peuvent plus le faire eux-mêmes avec ces
mêmes outils, parce qu'eux ne bénéficient pas du motif légitime
pour l'utilisation et la détention de ces outils/informations. Ou
comment se créer un marché captif.
C'est une vision complétement irréaliste. Sinon il va y avoir beaucoup
d'admins au chômage et licenciés. Pas sérieux ton truc une seconde.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
été ajouté)
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
http://www.checkpoint.com/securitycenter/advisories/2004/cpai-2004-05.html
Site du soft concerné:
www.slsknet.org/
Pour le moment, la seule initiative avec un peu d'ampleur est l'OIS, et
c'est un ramassis de lobbyistes véreux.
Tu veux parler de ça :
http://www.oisafety.org/
Si c'est le cas ce n'est pas français. ;)
Au plan pénal la collecte d'information non autorisée sur un SI/STAD
est sanctionnée par le code pénal.
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Illégitime.
Soit : la collecte d'information non autorisée sur un SI/STAD.
Au plan pénal on sanctionne ce qui est illégitime ok ?
Identifier ce qui est actif/ouvert comme service donc vulnérable sur un
SI/STAD où l'on est pas autorisé, ni invité à le faire c'est
sanctionné,
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est
une information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Au plan pénal, l'accès non autorisé à un SI/STAD est sanctionné.
Donc y accèder sans autorisation même pour identifier des services
actifs/ouverts donc vulnérables c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un
manuel d'ARP cache poisoning, je tombe potentiellement sous le coup de
la loi, même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
OK, donc consulter un service public n'est pas une acation non
autorisée à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas
autorisé.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec,
non ?
Oui.
Donc c'est légal de consulter cette information non ?
Oui
Quand j'accède à
un serveur FTP, il me file une bannière, non ?
Oui
Donc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc."
Tu viens de me paraphraser le sais-tu ? Mais si ça te rassures. ;p
Mais pénalement il en va tout autrement comme tu as pu déjà le
constater.
De plus, en droit français, l'intention avec laquelle est réalisée
une action banale ne la rend pas illégale, tant que le délit n'est
pas commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter
des données à partir d'une url. Rofl Même si l'exemple est pour le
moins ridicule il montre néanmoins que le droit pénal sanctionne. :(
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
..et maintenant ?
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
Au plan pénal ? J'ai pourtant déjà expliqué pourquoi.
Donc peux-tu expliquer dans quel contexte tu parles de l'usage de cette
méthode ? Car IHMO c'est uniquement quand on est mandaté que l'on a le
droit de collecter des données permettant d'identifier sa cible pour la
préparation d'un test d'intrusion par exemple.
Le droit pénal français est on ne peut plus clair à ce sujet. Si tu
ne me crois pas consultes alors un avocat spécialisé.
Le droit pénal sanctionne les actions illégitimes voyons ?! Donc on
parle uniquement d'actions non autorisées !!!
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Sans vouloir te vexer le droit pénal est une sphère du droit qui
traite des comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences).
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
Bah oui et je t'ai pourtant communiqué tous les cas de figure au plan
pénal où une intrusion est sanctionnée.
L'accès à un service public ne peut être qu'autorisé, puisque le
service est public.
Tu parles de quel type d'accès stp ? Car si c'est accèder à un
service en ligne il n'y a rien d'illégal voyons. En outre collecter des
données sur le système informatique/STAD c'est illégal si on en a pas
l'autorisation.
C'est pourquoi il a été introduit le concept de "motif légitime".
Pas seulement il y a l'exemple aussi du scan hein ? Là encoredans quel
contexte environnement tu le réalises stp ?
Reprenons : le droit pénal est une sphère du droit qui traite des
comportements nuisibles pour l'ensemble de la société (les
infractions) et qui prévoit des peines en cas de non-respect de
celles-ci (les peines, sanctions, sentences). Conséquence : on ne parle
que de ce qui est illégitime en droit pénal. C'est pourquoi on parle
de *motifs* légitimes.
y a des informations publiques, dont l'accès est autorisé.
Vivi.
Récupérer ces dernières information ne viole pas la loi.
Non.
Posé ainsi ce que tu dis ne poses aucun problèmes juridique.
Mais dans le contexte de collecte d'informations pour identifier un SI
c'est sanctionné par le code pénal. Sans autorisation d'accès à un
SI/STAD tu ne collectes pas d'informations sur un SI quelconque sauf
pour des motifs/raisons légitimes : être autorisé, invité ou
mandaté à le faire.
Par contre oui, je suis copain avec Nicob.
C'est pas une info tu sais. ;)
Mais QUELLES informations ?
A toi de me dire leurs natures, types. Donc ?
Je te parle de récupérer des infos _publiques_.
Comme je te l'ai demandé plus haut qu'entends-tu par infos publiques ?
Oui, mais ce n'est pas ton client qui le fait, c'est un organisme
extérieur.
Isaca, Afai par exemple. Etc.
Parce que ce dont je discute avec toi est le fait qu'on puisse
récupérer des informations pertinentes en terme de sécurité sans
pour autant réaliser d'intrusion, avec l'exemple du banner grabbing.
C'est une des phases préparatoires à une intrusion.
Sans identification il ne peut y avoir d'intrusion. Cette phase
participe à l'intrusion puisqu'elle permet d'obtenir des informations
sur la cible.
Dans le cadre légal qui entoure un pentest, oui.
Là pardonnes-moi mais faut que tu développes plus car je ne suis pas
sûr de bien te saisir (j'hallucine même pour tout te dire) et afin
d'éviter tout malentendu je te demande de clarifier les choses.
Au fait, j'y pense maintenant mais qu'entends-tu par test d'intrusion
car si ça se trouve tu vas encore me surprendre ?
Tout le monde ne peut pas faire de tests d'intrusion.
Je suis contre la réglementation de l'accès à la profession.
Si pour certaines prestations comme les tests d'intrusion pour des
question évidente de confidentialité, risques et sécurité.
Dans la mesure où elle limite la diffusion d'outils et d'informations,
elle pose un frein à la capacité de certains à auditer eux-mêmes
leur SI.
Qu'entends-tu par *certains* stp ?
Maintenant, si je veux être bien cynique, je peux dire que la LCEN est
une excellente chose, dans la mesure où ma profession me fera sans
aucun doute profiter du motif légitime. En effet, moi j'aurais le
droit d'accéder, d'utiliser des outils et informations pour tester les
SI de mes clients qui ne peuvent plus le faire eux-mêmes avec ces
mêmes outils, parce qu'eux ne bénéficient pas du motif légitime
pour l'utilisation et la détention de ces outils/informations. Ou
comment se créer un marché captif.
C'est une vision complétement irréaliste. Sinon il va y avoir beaucoup
d'admins au chômage et licenciés. Pas sérieux ton truc une seconde.
La LCEN sanctionne la diffusion et la mise à disposition d'outils ou
d'information spécialement adaptés à la réalisation d'intrusion.
Sauf pour des motifs légitimes. ;p (heureusement d'ailleurs que cela a
été ajouté)
Elle
ne définit pas le contexte dans lequel on les utilise.
Si pour des motifs légitimes. ;p
Mouarf. La réponse, je la connais :)))
Tu me surprends. Bah voilà un exmple :
http://www.checkpoint.com/securitycenter/advisories/2004/cpai-2004-05.html
Site du soft concerné:
www.slsknet.org/
Pour le moment, la seule initiative avec un peu d'ampleur est l'OIS, et
c'est un ramassis de lobbyistes véreux.
Tu veux parler de ça :
http://www.oisafety.org/
Si c'est le cas ce n'est pas français. ;)
Au plan pénal la collecte d'information non autorisée sur un SI/STAD
est sanctionnée par le code pénal.
Ça empêche de ne pas passer à la suite ?
Ca c'est une autre histoire... >p
Illégitime.
Soit : la collecte d'information non autorisée sur un SI/STAD.
Au plan pénal on sanctionne ce qui est illégitime ok ?
Identifier ce qui est actif/ouvert comme service donc vulnérable sur un
SI/STAD où l'on est pas autorisé, ni invité à le faire c'est
sanctionné,
Mais tu ne le démontres pas, parce que tu ne démontres pas que
l'information dont je parle, i.e. la bannière du service public, est
une information dont l'accès n'est pas autorisé.
Aie t'es dur de la feuille.
Au plan pénal, l'accès non autorisé à un SI/STAD est sanctionné.
Donc y accèder sans autorisation même pour identifier des services
actifs/ouverts donc vulnérables c'est un motif illégitime.
Je ne parle pas d'intrusion ici.
Bah si pourtant. Tu parles d'outils, etc dans le cadre d'une intrusion.
Ce qui veut dire que si j'ai un exploit sur mon disque dur, ou un
manuel d'ARP cache poisoning, je tombe potentiellement sous le coup de
la loi, même si je n'ai commis aucune intrusion.
Non car tu les as pour des motifs légitimes. Ou bien je me trompe ?
OK, donc consulter un service public n'est pas une acation non
autorisée à ce que je sache?
Selon le code pénal il y a risque de sanctions si ce n'est pas
autorisé.
"surfer sur des pages html"...
Quand le serveur me renvoie la page HTML, il me file sa version avec,
non ?
Oui.Donc c'est légal de consulter cette information non ?
OuiQuand j'accède à
un serveur FTP, il me file une bannière, non ?
OuiDonc c'est légal de
consulter cette information ?
Oui
Je finis par me demander qui est le plus bouché ici...
J'ai dit : "Le cadre législatif ne sanctionne pas la consultation de
données/informations légitimes soit : surfer sur des pages html,
consulter une BDD, ou accèder à un FTP, etc."
Tu viens de me paraphraser le sais-tu ? Mais si ça te rassures. ;p
Mais pénalement il en va tout autrement comme tu as pu déjà le
constater.
De plus, en droit français, l'intention avec laquelle est réalisée
une action banale ne la rend pas illégale, tant que le délit n'est
pas commis.
Le délit ici serait l'accès non autorisé à un SI/STAD pour collecter
des données à partir d'une url. Rofl Même si l'exemple est pour le
moins ridicule il montre néanmoins que le droit pénal sanctionne. :(
Je l'ai remonté assez loin, et franchement, non, ce n'est pas clair.
Si tu le dis alors...
..et maintenant ?
OK, donc ils auront le droit de commettre des délits ?
Une accrédidation ne signifie pas disposer d'une immunité ?!!!
Les points majeurs de désaccord qui restent sont cette histoire de
récupération d'informations publiques
A quel niveau ?
Au plan pénal ? J'ai pourtant déjà expliqué pourquoi.
Mon expérience personnelle des tests intrusifs et audits de
code/d'architecture montre que dans 95% (au moins !) des cas, je rentre
dans les délais impartis.
T'es sûr de ton chiffre ?
Parce que même s'il est vrai c'est ton expérience personnelle et donc
il est impossible d'en faire une généralité.
Le plus gros risque actuellement IHMO c'est la protection des
applications web contre les attaques.
Mon expérience personnelle des tests intrusifs et audits de
code/d'architecture montre que dans 95% (au moins !) des cas, je rentre
dans les délais impartis.
T'es sûr de ton chiffre ?
Parce que même s'il est vrai c'est ton expérience personnelle et donc
il est impossible d'en faire une généralité.
Le plus gros risque actuellement IHMO c'est la protection des
applications web contre les attaques.
Mon expérience personnelle des tests intrusifs et audits de
code/d'architecture montre que dans 95% (au moins !) des cas, je rentre
dans les délais impartis.
T'es sûr de ton chiffre ?
Parce que même s'il est vrai c'est ton expérience personnelle et donc
il est impossible d'en faire une généralité.
Le plus gros risque actuellement IHMO c'est la protection des
applications web contre les attaques.
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Ça pourrait faire rire...
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
En quoi récupérer la bannière d'une service constitue techniquement un
test des faiblesses de ce service ? Sur quoi vas-tu appuyer ton
argumentation pour dire que c'est un délit et que ça viole les articles
de loi associés ?
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Ça pourrait faire rire...
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
En quoi récupérer la bannière d'une service constitue techniquement un
test des faiblesses de ce service ? Sur quoi vas-tu appuyer ton
argumentation pour dire que c'est un délit et que ça viole les articles
de loi associés ?
Si tu veux mais arrêtes ce genre de décorticage ridicule pour masquer
ton ignorance (ça n'a rien de péjoratif de ma part) des risques
juridiques réels ici.
Ça pourrait faire rire...
Ce qui manque juste dans ma réponse c'est d'avoir précisé : Tester de
sa propre initiative, les faiblesses de la SI d'un système sans
autorisation est un délit pénal.
En quoi récupérer la bannière d'une service constitue techniquement un
test des faiblesses de ce service ? Sur quoi vas-tu appuyer ton
argumentation pour dire que c'est un délit et que ça viole les articles
de loi associés ?
