SSH

Eric Razny

11/07/2004 à 21:59

"LaDDL" a écrit

Eric Razny wrote:

Parce que comme d'autres avant moi dans ce thread lui ont aussi
demandé

pourquoi tenait-il tant à être si anonyme que cela. Résultat : il ne
nous donne aucunes explications précises.

J'ai relu intégralement ce fil.
Bsr, je viens de le parcourir à nouveau. ;)

Voyons donc...
Je précise si besoin est que mes réponses, quand elles ne sont pas
"techniques pures" ne font qu'exprimer mon avis -pas LA vérité- ; expression
que j'essai d'accompagner d'argument ou de début de démonstration.

Certains ont demandé des précisions
"techniques" (ou une certaines rigueur dans l'énoncé de la demande) mais
pas

_pourquoi_ il tenait à être anonyme.
ce n'est pas par plaisir que je te contredis mais j'ai relevé dans ce

thread des questions à ce sujet de la part d'intervenants. C'est
pourquoi j'ai demandé à notre Alexandre d'être plus précis. Mais
bizarrement depuis
Je me permets de les citer :

Bien sur, aucun problème, au contraire.

- Dans le message <cbi9mf$2mf1$ Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi! Cette question permet une réponse future plus
précise. Elle ne demande absolument pas de justificatif (le pourquoi).

- Dans le message Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine. Pas de "pourquoi?".

- Dans le message <40d96e09$0$14506$ Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu. Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation. Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."

Au sujet du post précédent je tiens à présenter mes excuses à tous pour les
innombrables fautes qui parsèment mon texte. Et comme je suis encore pas mal
fatigué je préviens que ça risque de durer encore un peu... :)

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime

(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme. D'où certaines questions d'intervenant et ma réponse assez
large.

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin. Nul raison
de le justifier.

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible. Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
C'est clair net et sans bavure. C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post. Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.

=> NO COMMENT.

Ben si, justement

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A

la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur

de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière. Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.

- Internet est-il une zone de non droit pour toi ?

Tu as suffisament lu (puisque répondu) à mes divers propos ça et là pour
savoir très bien que non.
Tu me rassures. ;)

Comme indiqué tu connaissais la réponse avant de poser la question :)

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.

b) -parfois conséquence de a - ne réfléchissent pas aux implications des
lois qu'ils pondent
Il y a des imperfections dans tous les domaines et la législation

française ne fait pas exception bien au contraire. >p

Le fait que les imperfections existent n'est pas une excuse pour se
permettre de ne pas réfléchir quand on pond "la suite"!

- En quoi les lois françaises actuelles seraient-elles liberticides ?!

Pas LES lois, DES lois. Celles qui arrivent en indiquant que posseder ou
créer quelque chose qui *pourrait* être utilisé pour commettre certains
délits rend passible le possesseur / créateur, sans motif légitime[1]
des

mêmes sanctions que s'il commet ce délit.

Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Extrait de la loi :
(merci je lis les lois dont je parle avant de faire mes commentaires!)

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à

d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire, quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Résultat : le gars a bien crée un outil :
a) sans motif légitime (boulot par exemple)
b) pouvant serir à commettre un delit.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
a) le juge n'a que peu de chance d'être un spécialiste.
b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence. Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière

anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche. Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel) soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La phase de "full disclosure" est, amha, importante car elle donne des
éclaircissement sur ce qu'il faut éviter de faire et permet au développeurs
responsables de parfaire leurs connaissances.

Enfin le responsable disclosure peut aboutir à un "full disclosure" rapide
si un workaround efficace existe.

Il serait bien de ne pas oublier la responsabilité des personnes s'occupant
des SI : elles doivent au moins mettre correctement à jour leur système![3]

Eric

[1] succeptible d'être contrôlée pour raison d'état.
[2] je ne suis d'ailleurs pas un extrémiste ou intégriste, je n'ai jamais
dis qu'il faut jetter la LEN en bloc.
[3] en prenant en compte les tests de non-regression, cf M$ recement.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

"LaDDL" a écrit

Eric Razny wrote:

Parce que comme d'autres avant moi dans ce thread lui ont aussi
demandé

pourquoi tenait-il tant à être si anonyme que cela. Résultat : il ne
nous donne aucunes explications précises.

J'ai relu intégralement ce fil.
Bsr, je viens de le parcourir à nouveau. ;)

Voyons donc...
Je précise si besoin est que mes réponses, quand elles ne sont pas
"techniques pures" ne font qu'exprimer mon avis -pas LA vérité- ; expression
que j'essai d'accompagner d'argument ou de début de démonstration.

Certains ont demandé des précisions
"techniques" (ou une certaines rigueur dans l'énoncé de la demande) mais
pas

_pourquoi_ il tenait à être anonyme.
ce n'est pas par plaisir que je te contredis mais j'ai relevé dans ce

thread des questions à ce sujet de la part d'intervenants. C'est
pourquoi j'ai demandé à notre Alexandre d'être plus précis. Mais
bizarrement depuis
Je me permets de les citer :

Bien sur, aucun problème, au contraire.

- Dans le message <cbi9mf$2mf1$1@cantal.sis.pasteur.fr> Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi! Cette question permet une réponse future plus
précise. Elle ne demande absolument pas de justificatif (le pourquoi).

- Dans le message <f8thd0l3qv9plmgov1r2iknnvihrp6c0cm@4ax.com> Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine. Pas de "pourquoi?".

- Dans le message <40d96e09$0$14506$626a14ce@news.free.fr> Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu. Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation. Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."

Au sujet du post précédent je tiens à présenter mes excuses à tous pour les
innombrables fautes qui parsèment mon texte. Et comme je suis encore pas mal
fatigué je préviens que ça risque de durer encore un peu... :)

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime

(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme. D'où certaines questions d'intervenant et ma réponse assez
large.

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin. Nul raison
de le justifier.

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible. Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
C'est clair net et sans bavure. C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post. Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.

=> NO COMMENT.

Ben si, justement

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A

la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur

de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière. Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.

- Internet est-il une zone de non droit pour toi ?

Tu as suffisament lu (puisque répondu) à mes divers propos ça et là pour
savoir très bien que non.
Tu me rassures. ;)

Comme indiqué tu connaissais la réponse avant de poser la question :)

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.

b) -parfois conséquence de a - ne réfléchissent pas aux implications des
lois qu'ils pondent
Il y a des imperfections dans tous les domaines et la législation

française ne fait pas exception bien au contraire. >p

Le fait que les imperfections existent n'est pas une excuse pour se
permettre de ne pas réfléchir quand on pond "la suite"!

- En quoi les lois françaises actuelles seraient-elles liberticides ?!

Pas LES lois, DES lois. Celles qui arrivent en indiquant que posseder ou
créer quelque chose qui *pourrait* être utilisé pour commettre certains
délits rend passible le possesseur / créateur, sans motif légitime[1]
des

mêmes sanctions que s'il commet ce délit.

Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Extrait de la loi :
(merci je lis les lois dont je parle avant de faire mes commentaires!)

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à

d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire, quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Résultat : le gars a bien crée un outil :
a) sans motif légitime (boulot par exemple)
b) pouvant serir à commettre un delit.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
a) le juge n'a que peu de chance d'être un spécialiste.
b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence. Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière

anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche. Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel) soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La phase de "full disclosure" est, amha, importante car elle donne des
éclaircissement sur ce qu'il faut éviter de faire et permet au développeurs
responsables de parfaire leurs connaissances.

Enfin le responsable disclosure peut aboutir à un "full disclosure" rapide
si un workaround efficace existe.

Il serait bien de ne pas oublier la responsabilité des personnes s'occupant
des SI : elles doivent au moins mettre correctement à jour leur système![3]

Eric

[1] succeptible d'être contrôlée pour raison d'état.
[2] je ne suis d'ailleurs pas un extrémiste ou intégriste, je n'ai jamais
dis qu'il faut jetter la LEN en bloc.
[3] en prenant en compte les tests de non-regression, cf M$ recement.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Vous avez filtré cet utilisateur ! Consultez son message

"LaDDL" a écrit

Eric Razny wrote:

Parce que comme d'autres avant moi dans ce thread lui ont aussi
demandé

pourquoi tenait-il tant à être si anonyme que cela. Résultat : il ne
nous donne aucunes explications précises.

J'ai relu intégralement ce fil.
Bsr, je viens de le parcourir à nouveau. ;)

Voyons donc...
Je précise si besoin est que mes réponses, quand elles ne sont pas
"techniques pures" ne font qu'exprimer mon avis -pas LA vérité- ; expression
que j'essai d'accompagner d'argument ou de début de démonstration.

Certains ont demandé des précisions
"techniques" (ou une certaines rigueur dans l'énoncé de la demande) mais
pas

_pourquoi_ il tenait à être anonyme.
ce n'est pas par plaisir que je te contredis mais j'ai relevé dans ce

thread des questions à ce sujet de la part d'intervenants. C'est
pourquoi j'ai demandé à notre Alexandre d'être plus précis. Mais
bizarrement depuis
Je me permets de les citer :

Bien sur, aucun problème, au contraire.

- Dans le message <cbi9mf$2mf1$ Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi! Cette question permet une réponse future plus
précise. Elle ne demande absolument pas de justificatif (le pourquoi).

- Dans le message Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine. Pas de "pourquoi?".

- Dans le message <40d96e09$0$14506$ Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu. Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation. Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."

Au sujet du post précédent je tiens à présenter mes excuses à tous pour les
innombrables fautes qui parsèment mon texte. Et comme je suis encore pas mal
fatigué je préviens que ça risque de durer encore un peu... :)

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime

(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme. D'où certaines questions d'intervenant et ma réponse assez
large.

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin. Nul raison
de le justifier.

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible. Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
C'est clair net et sans bavure. C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post. Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.

=> NO COMMENT.

Ben si, justement

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A

la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur

de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière. Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.

- Internet est-il une zone de non droit pour toi ?

Tu as suffisament lu (puisque répondu) à mes divers propos ça et là pour
savoir très bien que non.
Tu me rassures. ;)

Comme indiqué tu connaissais la réponse avant de poser la question :)

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.

b) -parfois conséquence de a - ne réfléchissent pas aux implications des
lois qu'ils pondent
Il y a des imperfections dans tous les domaines et la législation

française ne fait pas exception bien au contraire. >p

Le fait que les imperfections existent n'est pas une excuse pour se
permettre de ne pas réfléchir quand on pond "la suite"!

- En quoi les lois françaises actuelles seraient-elles liberticides ?!

Pas LES lois, DES lois. Celles qui arrivent en indiquant que posseder ou
créer quelque chose qui *pourrait* être utilisé pour commettre certains
délits rend passible le possesseur / créateur, sans motif légitime[1]
des

mêmes sanctions que s'il commet ce délit.

Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Extrait de la loi :
(merci je lis les lois dont je parle avant de faire mes commentaires!)

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à

d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire, quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Résultat : le gars a bien crée un outil :
a) sans motif légitime (boulot par exemple)
b) pouvant serir à commettre un delit.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
a) le juge n'a que peu de chance d'être un spécialiste.
b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence. Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière

anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche. Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel) soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La phase de "full disclosure" est, amha, importante car elle donne des
éclaircissement sur ce qu'il faut éviter de faire et permet au développeurs
responsables de parfaire leurs connaissances.

Enfin le responsable disclosure peut aboutir à un "full disclosure" rapide
si un workaround efficace existe.

Il serait bien de ne pas oublier la responsabilité des personnes s'occupant
des SI : elles doivent au moins mettre correctement à jour leur système![3]

Eric

[1] succeptible d'être contrôlée pour raison d'état.
[2] je ne suis d'ailleurs pas un extrémiste ou intégriste, je n'ai jamais
dis qu'il faut jetter la LEN en bloc.
[3] en prenant en compte les tests de non-regression, cf M$ recement.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

LaDDL

12/07/2004 à 15:32

Eric Razny wrote:

[...]

- Dans le message <cbi9mf$2mf1$ Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Cette question permet une réponse future plus
précise.
Certes mais notre ami Alexandre n'a pas répondu à la question posée par

Daniel.

Elle ne demande absolument pas de justificatif (le pourquoi).
Alexandre n'est pas obligé de rentrer dans le détail de ses données et

communications mais qu'il nous éclaire un peu.

- Dans le message Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine.
Non parce qu'Alexandre nous dit : "Je me demande si je reste "anonyme"

en utilisant SSH par le port 443 à partir du bureau à mon poste de
travail à la maison? Je veux transférer des données par FTP/SSH par le
port 443 et utiliser mon ordinateur à distance avec RADMIN."

Pas de "pourquoi?".
Tu pinailles encore.

- Dans le message <40d96e09$0$14506$ Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!
Bah non. Alexandre ne répond toujours pas.

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
Simplement quand je lis des threads comme ça aussi flou je ne peux

m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation.
Soit.

Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.
Je te l'ai dit c'est de la provocation afin d'entrainer une réaction.

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."
C'est ton interprétation des propos tenus et pas la mienne.

[...]

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
Soit.

J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime
(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme.
Tout ce qu'Alexandre nous dit c'est : "Je me demande si je reste

"anonyme" en utilisant SSH par le port 443 à partir du bureau à mon
poste de travail à la maison? Je veux transférer des données par FTP/SSH
par le port 443 et utiliser mon ordinateur à distance avec RADMIN."

D'où certaines questions d'intervenant et ma réponse assez
large.
Exactement.

Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin.
On arrive à être d'accord. Phew ;)

Nul raison
de le justifier.
Pour sa demande d'anonymat j'aimerais qu'il m'explique parce que je ne

comprends pas étant donné qu'il nous dit : "Je veux transférer des
données par FTP/SSH par le port 443 et utiliser mon ordinateur à
distance avec RADMIN".

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"
C'est une affirmation provocante afin de susciter une réaction.

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible.
Exactement.

Je cite à nouveau Alexandre : "Je veux que ça soit le plus incognito
possible, voilà. (...) J'aimerais cacher vers où la comunication s'en
va. Est-ce possible?"

Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
Comme je te l'ai signalé plus haut quand je lis des threads comme ça

aussi flou je ne peux m'empêcher de penser client <-> masters <->
daemons => DDoS.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

C'est clair net et sans bavure.
Exactement.

C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post.
Tu peux t'insurger mais moi je considère qu'il y a des étapes, des

niveaux, des phases dans l'accès à la connaissance, l'information, au
savoir pour certaines approches/démarches/méthodes.

Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Peu m'importe car je respecte ton point de vue mais je ne suis pas

d'accord avec ton interprétation.

Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.
Cela n'a rien de confidentiel mais pourquoi expliquer à quelqu'un un

sujet "sensible" qu'il ne maîtrise pas.
D'autant plus que pour répondre à son besoin il n'a pas BESOIN de savoir
cela.

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

Donc je ne fais que l'avertir des risques.

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A
la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur
de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière.
Son dernier post : est

très clair. IMHO à partir des éléments qu'il nous communique je mets les
WARNINGS vois-tu.

Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.
Il n'y a aucunes contradictions. Ne cherches pas stp à déformer mon

propos. Merci.

[...]

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!
C'est la France mon cher ! On aime les lois parce que ça rassure tout le

monde. Mais on en vient à rendre les choses encore plus complexe. ;(

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.
IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais

il existe.
C'est une première mouture. Il y aura des évolutions.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.
Pour moi le seul point vulnérable dans notre cadre législatif est celui

concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

[...]

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à
d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?
A ton avis ? Rolf

Bien sûr !

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
J'y ai déjà consacré beaucoup de temps, avec mes conseils (avocats),

relations (experts, juges) & confrères (professionnels de la SI/SSI).

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière
anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche.
C'est rare que l'on soit du même avis pour que je le souligne. ;)

Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel)
Exactement.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La prochaine étape législative c'est la responsibilité des éditeurs. Car

il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

[...]

Eric Razny wrote:

[...]

- Dans le message <cbi9mf$2mf1$1@cantal.sis.pasteur.fr> Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Cette question permet une réponse future plus
précise.
Certes mais notre ami Alexandre n'a pas répondu à la question posée par

Daniel.

Elle ne demande absolument pas de justificatif (le pourquoi).
Alexandre n'est pas obligé de rentrer dans le détail de ses données et

communications mais qu'il nous éclaire un peu.

- Dans le message <f8thd0l3qv9plmgov1r2iknnvihrp6c0cm@4ax.com> Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine.
Non parce qu'Alexandre nous dit : "Je me demande si je reste "anonyme"

en utilisant SSH par le port 443 à partir du bureau à mon poste de
travail à la maison? Je veux transférer des données par FTP/SSH par le
port 443 et utiliser mon ordinateur à distance avec RADMIN."

Pas de "pourquoi?".
Tu pinailles encore.

- Dans le message <40d96e09$0$14506$626a14ce@news.free.fr> Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!
Bah non. Alexandre ne répond toujours pas.

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
Simplement quand je lis des threads comme ça aussi flou je ne peux

m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation.
Soit.

Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.
Je te l'ai dit c'est de la provocation afin d'entrainer une réaction.

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."
C'est ton interprétation des propos tenus et pas la mienne.

[...]

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
Soit.

J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime
(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme.
Tout ce qu'Alexandre nous dit c'est : "Je me demande si je reste

"anonyme" en utilisant SSH par le port 443 à partir du bureau à mon
poste de travail à la maison? Je veux transférer des données par FTP/SSH
par le port 443 et utiliser mon ordinateur à distance avec RADMIN."

D'où certaines questions d'intervenant et ma réponse assez
large.
Exactement.

Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin.
On arrive à être d'accord. Phew ;)

Nul raison
de le justifier.
Pour sa demande d'anonymat j'aimerais qu'il m'explique parce que je ne

comprends pas étant donné qu'il nous dit : "Je veux transférer des
données par FTP/SSH par le port 443 et utiliser mon ordinateur à
distance avec RADMIN".

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"
C'est une affirmation provocante afin de susciter une réaction.

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible.
Exactement.

Je cite à nouveau Alexandre : "Je veux que ça soit le plus incognito
possible, voilà. (...) J'aimerais cacher vers où la comunication s'en
va. Est-ce possible?"

Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
Comme je te l'ai signalé plus haut quand je lis des threads comme ça

aussi flou je ne peux m'empêcher de penser client <-> masters <->
daemons => DDoS.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

C'est clair net et sans bavure.
Exactement.

C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post.
Tu peux t'insurger mais moi je considère qu'il y a des étapes, des

niveaux, des phases dans l'accès à la connaissance, l'information, au
savoir pour certaines approches/démarches/méthodes.

Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Peu m'importe car je respecte ton point de vue mais je ne suis pas

d'accord avec ton interprétation.

Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.
Cela n'a rien de confidentiel mais pourquoi expliquer à quelqu'un un

sujet "sensible" qu'il ne maîtrise pas.
D'autant plus que pour répondre à son besoin il n'a pas BESOIN de savoir
cela.

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

Donc je ne fais que l'avertir des risques.

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A
la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur
de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière.
Son dernier post : <be89f864.0406231433.2ed87505@posting.google.com> est

très clair. IMHO à partir des éléments qu'il nous communique je mets les
WARNINGS vois-tu.

Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.
Il n'y a aucunes contradictions. Ne cherches pas stp à déformer mon

propos. Merci.

[...]

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!
C'est la France mon cher ! On aime les lois parce que ça rassure tout le

monde. Mais on en vient à rendre les choses encore plus complexe. ;(

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.
IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais

il existe.
C'est une première mouture. Il y aura des évolutions.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.
Pour moi le seul point vulnérable dans notre cadre législatif est celui

concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

[...]

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à
d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?
A ton avis ? Rolf

Bien sûr !

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
J'y ai déjà consacré beaucoup de temps, avec mes conseils (avocats),

relations (experts, juges) & confrères (professionnels de la SI/SSI).

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière
anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche.
C'est rare que l'on soit du même avis pour que je le souligne. ;)

Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel)
Exactement.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La prochaine étape législative c'est la responsibilité des éditeurs. Car

il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

[...]

Vous avez filtré cet utilisateur ! Consultez son message

Eric Razny wrote:

[...]

- Dans le message <cbi9mf$2mf1$ Daniel Azuelos
disait : "Que voulez-vous protéger ?"

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Cette question permet une réponse future plus
précise.
Certes mais notre ami Alexandre n'a pas répondu à la question posée par

Daniel.

Elle ne demande absolument pas de justificatif (le pourquoi).
Alexandre n'est pas obligé de rentrer dans le détail de ses données et

communications mais qu'il nous éclaire un peu.

- Dans le message Fabien Le
Lez disait : "Anonyme par rapport à qui ?"

idem! On reste dans le même domaine.
Non parce qu'Alexandre nous dit : "Je me demande si je reste "anonyme"

en utilisant SSH par le port 443 à partir du bureau à mon poste de
travail à la maison? Je veux transférer des données par FTP/SSH par le
port 443 et utiliser mon ordinateur à distance avec RADMIN."

Pas de "pourquoi?".
Tu pinailles encore.

- Dans le message <40d96e09$0$14506$ Fab disait :
"Vous voulez faire quoi bon sang ?
- Sortir de votre boîte et que l'Admin BOFH ne le voit pas ?
- qu'il ne voit pas vers où ?
- qu'il ne voit pas le quoi ??
Et si c'est une sortie furtive, c'est que c'est pas autorisé..."

Pareil!
Bah non. Alexandre ne répond toujours pas.

C'est pourquoi j'ai demandé à notre Alexandre d'apporter un complément
d'information et de nous expliquer pourquoi il tenait tant à l'anonymat.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Le pourquoi avec un (même pas
sous-entendu) jugement à la clef (s'arroger le droit de voir si c'est
"légitime" selon *ses* critères) n'a, amha, rien a voir avec la demande du
posteur initial.
Simplement quand je lis des threads comme ça aussi flou je ne peux

m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

A la rigueur demander pourquoi pourrait être compréhensible car cela permet
du même coup de répondre aux questions d'objet de dissimulation.
Soit.

Dans ton
cas le "c'est pas pour toi" indique clairement un critère de jugement.
Je te l'ai dit c'est de la provocation afin d'entrainer une réaction.

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Donc je répête :
"Certains ont demandé des précisions "techniques" (ou une certaines rigueur
dans l'énoncé de la demande) mais pas _pourquoi_ il tenait à être anonyme."
C'est ton interprétation des propos tenus et pas la mienne.

[...]

[...parce que je ne veux pas alimenter le troll]

Quel est le rapport?
Parce que cette partie du post est IMHO du bon gros Troll Eric.

Mais puisque tu veux que l'on confronte nos points de vue à ce sujet
allons-y.

Ce n'est pas un troll je le confirme.
Soit.

J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Moi :
Explique moi comment tu fais la différence, sans la connaître entre la
personne de bonne foi et celle qui va inventer une pseudo raison
légitime
(pour un autre) d'avoir accès à la "technique"?

Je ne vais pas parler d'autre chose que de l'intervention d'Alexandre.
Tout au long du thread il ne nous donne aucun élément pour argumenter
sérieusement donc chacun des participants s'engage dans une
direction/voie.

Oui effectivement on peut se demander si c'est par exemple un e-mail, le
contenu d'une transaction, ou les extrémités de la connexion qu'il veut
rendre anonyme.
Tout ce qu'Alexandre nous dit c'est : "Je me demande si je reste

"anonyme" en utilisant SSH par le port 443 à partir du bureau à mon
poste de travail à la maison? Je veux transférer des données par FTP/SSH
par le port 443 et utiliser mon ordinateur à distance avec RADMIN."

D'où certaines questions d'intervenant et ma réponse assez
large.
Exactement.

Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Alexandre insiste à plusieurs reprises sur sa volonté d'être anonyme (ce
qui est légitime) mais il n'indique pas pourquoi

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

et ne réponds pas aux
questions posées.

C'est un fait, il serait plus pratique qu'il précise son besoin.
On arrive à être d'accord. Phew ;)

Nul raison
de le justifier.
Pour sa demande d'anonymat j'aimerais qu'il m'explique parce que je ne

comprends pas étant donné qu'il nous dit : "Je veux transférer des
données par FTP/SSH par le port 443 et utiliser mon ordinateur à
distance avec RADMIN".

Donc je le provoque pour susciter une réaction

Non, tu affirme clairement :
"Oui mais là c'est plus pour toi. C'était bien tenté. ;)"
C'est une affirmation provocante afin de susciter une réaction.

Le oui implique que tu as compris sa demande et tu indique que ce qu'il
demande est possible.
Exactement.

Je cite à nouveau Alexandre : "Je veux que ça soit le plus incognito
possible, voilà. (...) J'aimerais cacher vers où la comunication s'en
va. Est-ce possible?"

Et tu indique clairement derrière que tu *juge* que
tes "connaissances" n'ont pas à lui être révélées.
Comme je te l'ai signalé plus haut quand je lis des threads comme ça

aussi flou je ne peux m'empêcher de penser client <-> masters <->
daemons => DDoS.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

C'est clair net et sans bavure.
Exactement.

C'est contre ce genre de juge à deux balles
que je me suis insurgé dans mon post.
Tu peux t'insurger mais moi je considère qu'il y a des étapes, des

niveaux, des phases dans l'accès à la connaissance, l'information, au
savoir pour certaines approches/démarches/méthodes.

Ceci n'a rien de personnel. J'aurais
répondu la même chose à quiconque aurait fait la même réponse que toi.
Peu m'importe car je respecte ton point de vue mais je ne suis pas

d'accord avec ton interprétation.

Et ce d'autant plus qu'en ce qui concerne ce cas il n'y a pas besoin d'une
connaissance "confidentielle"[1] pour répondre à la demande.
Cela n'a rien de confidentiel mais pourquoi expliquer à quelqu'un un

sujet "sensible" qu'il ne maîtrise pas.
D'autant plus que pour répondre à son besoin il n'a pas BESOIN de savoir
cela.

Content de voir que nous sommes d'accord sur ce point.
Quand je t'ai lu la première fois, j'ai été interloqué par ta remarque

que je trouve déplacée & inopportune ici. Enfin bref, il n'y a pas de
procès d'intention de ma part vis à vis de notre Alexandre.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te faut-il
pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

Donc je ne fais que l'avertir des risques.

et lui donner les
renseignements qu'il demande (surtout qu'ils n'ont rien de
"confidentiel". A
la rigueur j'aurais mieux compris un "va apprendre à te servir d'un
moteur
de recherche!").

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort de
répondre aux siennes.

Tu fais pourtant l'effort, comme indique plus haut que tu comprends au moins
une partie de sa demande et juge qu'il n'a pas à recevoir ta lumière.
Son dernier post : est

très clair. IMHO à partir des éléments qu'il nous communique je mets les
WARNINGS vois-tu.

Ca
serait cool d'éviter des déclarations contradictoires dans tes posts success
ifs.
Il n'y a aucunes contradictions. Ne cherches pas stp à déformer mon

propos. Merci.

[...]

Il y a un gouffre entre la loi et son application et son respect. ;)

Raison de plus pour éviter d'ajouter une couche de débilités sur des textes
qui devraient d'abord commencer par être appliqués!
C'est la France mon cher ! On aime les lois parce que ça rassure tout le

monde. Mais on en vient à rendre les choses encore plus complexe. ;(

Par contre le droit existant est généralement largement suffisant.
IMHO l'arsenal législatif en matière de criminalité informatique et

sécurité informatique/des NTIC reste encore à améliorer.

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience et la mise en
place de mesures techniques et organisationnelles adéquates. Il reste
encore beaucoup à faire pour harmoniser les cadres législatifs de
certains pays et renforcer la coopération internationale (cf le problème
du spam par exemple).

Beaucoup de lois actuelles (entendu avant la LEN[2]) sont soit directement
applicable aux techniques actuelles soit ne demandent qu'un nouveau décret
d'application.
En plus une loi nécessite du temps pour pouvoir être correctement appliquées
par les tribuneaux (ie que la jurisprudence soit claire, via la cours
d'appel ou mieux les attendus de cassation). C'est pour ça qu' amha il est
dangereux de vouloir pondre une loi du type de celle qu'on voit arriver avec
des gens qui ne réfléchissent visiblement aux problèmes que facette par
facette sans prêter une attention suffisante aux interactions entres les
différentes (parties des) lois.
IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais

il existe.
C'est une première mouture. Il y aura des évolutions.

Mon problème est que les nouvelles lois semblent crées par des gens qui
:

a) manquent de compétance (ou de conseil).

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.
Pour moi le seul point vulnérable dans notre cadre législatif est celui

concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

[...]

Un simple exemple : nmap est très
utile pour des motifs légitimes et peut très bien servir, combiné ou non
à
d'autres outils, à commettre des délits. Ces lois à la con empêchent
quelqu'un qui a les connaissances et compétance -mais qui n'est pas
nécessairement admin reseau ou sécurité par exemple- d'écrire ce type
d'outil pour que d'autres s'en servent.

C'est faux.
Le Sénat a introduit l'exception de "motif légitime" et il reviendrait
au juge d'apprécier.
Relis les textes.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Résultat : ceux qui bafouent la loi ne vont pas s'arrêter à ça,
Ceux-là s'en foutent puisqu'ils transgressent qq soit le cadre

législatif.

C'est bien ce que je veux dire. On est donc d'accord sur ce point?
A ton avis ? Rolf

Bien sûr !

mais ceux
qui sont du "bon" côté risquent de se retrouver emmerdé voir emprisonné.
Faux.

Relis les textes + ci-haut.

Ben justement. Relis les attentivement.
J'y ai déjà consacré beaucoup de temps, avec mes conseils (avocats),

relations (experts, juges) & confrères (professionnels de la SI/SSI).

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait pu
être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

d) le défendeur peut très bien ne pas être dans une position "équilibrée"
face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Prends un moment pour regarder le cas de mon joueur d'échec plus haut. Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

C'est ce type de loi qui peut faire condamner des gens innocents qui n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Il n'est qu'à voir les conseils de ceux qui remontent des failles de
sécurité en france (grosso modo : laisser pisser ou remonter ça de
manière
anonyme) pour comprendre qu'il y a un problème avec la façon de faire
actuelle.
IMHO je suis pour le responsible disclosure et non le full disclosure

qui va complétement à l'encontre des démarches & principes de protection
& sécurisation.

Pour moi le "responsible disclosure" est clairement la bonne démarche.
C'est rare que l'on soit du même avis pour que je le souligne. ;)

Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel)
Exactement.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La prochaine étape législative c'est la responsibilité des éditeurs. Car

il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

[...]

Eric Razny

12/07/2004 à 23:58

"LaDDL" a écrit

Eric Razny wrote:

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Il ne s'agit pas de pinailler. Sans la référence à "là ce n'est plus pour
toi" je n'aurais pas relevé. Par contre l'utilisation du pourquoi, en
prenant en compte le reste de ta contribution, montre une différence
sérieuse.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Si c'est la cas tant mieux, on peut clore le thread alors :)

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici. Même pour un SK ça signifie
qu'il sait utiliser les moteurs de recherche...

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos et jugé qu'il est
indigne de recevoir l'info.

J'estime que le climat actuel des gens qui s'arrogent le droit
d'interdire à

d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel
(souvent

je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

Dont acte.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise). La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus. Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir. Pas à moi qui me contente,
ici, de simplement répondre à une question "technique" (je te l'accorde,
dans ce cas la question est plus floue que technique).

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne c'est justement le manque de critère objectif
annoncé ; j'ai simplement horreur des juges auto-proclamés. A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te
faut-il

pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".

Pour le reste c'est à chacun de prendre ses responsabilités.

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera

facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord. Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour

la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi? Ils leur suffit de répondre non
presque à chaque coup...
Ensuite ça rend le gus vulnérable à tout changement politique (Bush n'est
peut être pas que pour les USA...)

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à

l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier, que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait
pu

être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

Ca me suffit. On est d'accord.

d) le défendeur peut très bien ne pas être dans une position
"équilibrée"

face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Il est (très?) peu probable de gagner au lotto aussi. Et pourtant chaque
année...

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son

"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire. Je ne
dis pas que la condamnation est assurée, je dis qu'elle est possible en
respectant cette loi. Ca me suffit a trouver cette loi débile.
Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle. Il me semble pourtant que ce n'est pas ton cas?

J'insiste (lourdement!) : je ne dis pas que cette loi envoie les innocents
en prison, simplement que son imprécision risque d'aboutir à ça et qu'en
conséquence c'est une loi liberticide.

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée. Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont

pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!. Le résultat risque de ne pas être en accord avec les
objectifs.

mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Revoir le déséquilibre évoqué entre accusation et défense.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état

d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!

Je te rappelle que dans les licenses actuelles tu ne peux déjà pas faire
grand chose si ton tableur t'annonce que 2+2=7! [1]

Eric

[1] oui oui, le "!" permet deux interprétations :)

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

"LaDDL" a écrit

Eric Razny wrote:

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Il ne s'agit pas de pinailler. Sans la référence à "là ce n'est plus pour
toi" je n'aurais pas relevé. Par contre l'utilisation du pourquoi, en
prenant en compte le reste de ta contribution, montre une différence
sérieuse.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Si c'est la cas tant mieux, on peut clore le thread alors :)

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici. Même pour un SK ça signifie
qu'il sait utiliser les moteurs de recherche...

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos et jugé qu'il est
indigne de recevoir l'info.

J'estime que le climat actuel des gens qui s'arrogent le droit
d'interdire à

d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel
(souvent

je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

Dont acte.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise). La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus. Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir. Pas à moi qui me contente,
ici, de simplement répondre à une question "technique" (je te l'accorde,
dans ce cas la question est plus floue que technique).

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne c'est justement le manque de critère objectif
annoncé ; j'ai simplement horreur des juges auto-proclamés. A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te
faut-il

pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".

Pour le reste c'est à chacun de prendre ses responsabilités.

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera

facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord. Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour

la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi? Ils leur suffit de répondre non
presque à chaque coup...
Ensuite ça rend le gus vulnérable à tout changement politique (Bush n'est
peut être pas que pour les USA...)

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à

l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier, que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait
pu

être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

Ca me suffit. On est d'accord.

d) le défendeur peut très bien ne pas être dans une position
"équilibrée"

face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Il est (très?) peu probable de gagner au lotto aussi. Et pourtant chaque
année...

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son

"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire. Je ne
dis pas que la condamnation est assurée, je dis qu'elle est possible en
respectant cette loi. Ca me suffit a trouver cette loi débile.
Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle. Il me semble pourtant que ce n'est pas ton cas?

J'insiste (lourdement!) : je ne dis pas que cette loi envoie les innocents
en prison, simplement que son imprécision risque d'aboutir à ça et qu'en
conséquence c'est une loi liberticide.

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée. Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont

pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!. Le résultat risque de ne pas être en accord avec les
objectifs.

mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Revoir le déséquilibre évoqué entre accusation et défense.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état

d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!

Je te rappelle que dans les licenses actuelles tu ne peux déjà pas faire
grand chose si ton tableur t'annonce que 2+2=7! [1]

Eric

[1] oui oui, le "!" permet deux interprétations :)

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Vous avez filtré cet utilisateur ! Consultez son message

"LaDDL" a écrit

Eric Razny wrote:

Que est différent de pourquoi!
On va pas pinailler Eric stp.

Il ne s'agit pas de pinailler. Sans la référence à "là ce n'est plus pour
toi" je n'aurais pas relevé. Par contre l'utilisation du pourquoi, en
prenant en compte le reste de ta contribution, montre une différence
sérieuse.

C'est pour ceci que je suis intervenu.
Tu te trompes sur mes intentions.

Si c'est la cas tant mieux, on peut clore le thread alors :)

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici. Même pour un SK ça signifie
qu'il sait utiliser les moteurs de recherche...

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos et jugé qu'il est
indigne de recevoir l'info.

J'estime que le climat actuel des gens qui s'arrogent le droit
d'interdire à

d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel
(souvent

je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.
Sur ce point je partage ton avis.

Mais dans le cadre de ce thread la/les demandes d'Alexandre
m'interpelle. Et j'ai un doute car il ne répond pas aux questions
posées. Voilà.

Dont acte.

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise). La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus. Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir. Pas à moi qui me contente,
ici, de simplement répondre à une question "technique" (je te l'accorde,
dans ce cas la question est plus floue que technique).

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne c'est justement le manque de critère objectif
annoncé ; j'ai simplement horreur des juges auto-proclamés. A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.

Pardon? "Ce n'est pas pour toi" suivit d'un rappel à la loi, que te
faut-il

pour un procès d'intention???
Vois-tu Alexandre nous dit qu'il veut utiliser sa machine du bureau pour

transférer des données en toute confidentialité sous l'anonymat.

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".

Pour le reste c'est à chacun de prendre ses responsabilités.

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera

facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord. Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour

la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi? Ils leur suffit de répondre non
presque à chaque coup...
Ensuite ça rend le gus vulnérable à tout changement politique (Bush n'est
peut être pas que pour les USA...)

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à

l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier, que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)

b) il ne s'agit pas de voir si un delit a été commis, mais s'il aurait
pu

être commis.
c) le motif légitime est complètement vaporeux et n'a de fait aucune
signification en ce moment.
Il ne fait aucun doute que le "motif légitime" est un concept beaucoup

trop imprécis.

Ca me suffit. On est d'accord.

d) le défendeur peut très bien ne pas être dans une position
"équilibrée"

face à l'accusation faute de moyens (déplacement, paiment d'experts
réputés...)
C'est peu probable (en rapport avec cette loi).

Il est (très?) peu probable de gagner au lotto aussi. Et pourtant chaque
année...

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son

"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire. Je ne
dis pas que la condamnation est assurée, je dis qu'elle est possible en
respectant cette loi. Ca me suffit a trouver cette loi débile.
Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle. Il me semble pourtant que ce n'est pas ton cas?

J'insiste (lourdement!) : je ne dis pas que cette loi envoie les innocents
en prison, simplement que son imprécision risque d'aboutir à ça et qu'en
conséquence c'est une loi liberticide.

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée. Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont

pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!. Le résultat risque de ne pas être en accord avec les
objectifs.

mais de responsabiliser toute la chaîne des acteurs concernées
par la sécurité informatique. Le juge appréciera.

Revoir le déséquilibre évoqué entre accusation et défense.

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état

d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!

Je te rappelle que dans les licenses actuelles tu ne peux déjà pas faire
grand chose si ton tableur t'annonce que 2+2=7! [1]

Eric

[1] oui oui, le "!" permet deux interprétations :)

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Roland Garcia

12/07/2004 à 23:59

Eric Razny wrote:

J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.

Oui, c'est le gros problème actuel.

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.

Il faut bien faire des lois pour pouvoir poursuivre efficacement les
délinquants, reste ensuite à savoir ce qu'on en fait. Pour ce qui
concerne la LEN il est évident que sa mauvaise application (poursuites
inopportunes des RSSI, des internautes) aurait un effet pervers allant
dans le sens de la diminution de la sécurité, tout le contraire de
l'objectif initial.

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Pour moi le "responsible disclosure" est clairement la bonne démarche. Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel) soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La phase de "full disclosure" est, amha, importante car elle donne des
éclaircissement sur ce qu'il faut éviter de faire et permet au développeurs
responsables de parfaire leurs connaissances.

Oui, et toujours le même problème résultant du climat d'incertitude
actuel.

Roland Garcia

Eric Razny wrote:

J'estime que le climat actuel des gens qui s'arrogent le droit d'interdire à
d'autres l'accès à certaines connaissances (et par la même occasion de
s'intégrer dans la pseudo-elite -celle qui "sait"-) sans motif réel (souvent
je n'y vois que du FUD) est réellement nocif, in fine, à la sécurité.

Oui, c'est le gros problème actuel.

Ils les ont. Le problème est le pouvoir d'influence de certains lobbies
auprès des politiques.

Dans tous les cas on arrive quand même à soit des choses inapplicables
soient qui diminue la sécurité ; tout le contraire de l'objectif.

Il faut bien faire des lois pour pouvoir poursuivre efficacement les
délinquants, reste ensuite à savoir ce qu'on en fait. Pour ce qui
concerne la LEN il est évident que sa mauvaise application (poursuites
inopportunes des RSSI, des internautes) aurait un effet pervers allant
dans le sens de la diminution de la sécurité, tout le contraire de
l'objectif initial.

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Pour moi le "responsible disclosure" est clairement la bonne démarche. Il
s'accompagne simplement d'une étape de "full disclosure" soit une fois le
patch publie (après un petit délai éventuel) soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).
La phase de "full disclosure" est, amha, importante car elle donne des
éclaircissement sur ce qu'il faut éviter de faire et permet au développeurs
responsables de parfaire leurs connaissances.

Oui, et toujours le même problème résultant du climat d'incertitude
actuel.

Roland Garcia

Vous avez filtré cet utilisateur ! Consultez son message

Roland Garcia

12/07/2004 à 23:59

LaDDL wrote:

Eric Razny wrote:

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

On n'en est plus là, des lois il n'en manque pas (loi sur la garantie,
loi sur la responsabilité, loi sur la publicité mensongère....). Il y a
encore mieux, la loi prévoit que le client est libre de changer de
crêmerie, c'est le plus efficace et le plus appliqué.

Roland Garcia

Roland Garcia

13/07/2004 à 00:19

LaDDL wrote:

Les progrès sont considérables en matière de développement d'une culture
de la sécurité où chacun à un rôle à jouer. Mais la sécurité
informatique nécessite une véritable prise de conscience...

...que tout le monde a, et de connaissance que très peu ont.

et la mise en
place de mesures techniques et organisationnelles adéquates.

Je crains le pire. Dans un système aussi complexe et imprévisible
l'histoire a montré qu'on ne peut faire confiance qu'à l'équivalent de
*la loi du marché* et (condition fondamentale) des usagers *réellement
informés*.

Notez qu'en informatique aucune condition n'est réunie, dans l'industrie
automobile les deux, ça explique pourquoi les voitures font plus de cent
mètres sans incident.

Roland Garcia

Eric Razny

13/07/2004 à 13:48

"Roland Garcia" a écrit

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Entièrement d'accord.
Malheureusement qui peut être certain d'avoir ce genre d'avocat général en
face?
Surtout en première instance! :(

Ca en refroidira plus d'un de seulement imaginer risquer de perdre temps
argent et réputation (tous trois perdu généralement définitivement même en
cas de gain en appel) simplement pour la "bonne cause". Sans compter que le
risque est loin d'être nul que même en appel on ne trouve pas un Etienne
Madranges mais un fondu de tout-(pseudo)sécuritaire.

Es tu d'accord dans ce cas pour reconnaitre que le simple fait de vouloir
éviter des ennuis potentiels finit par nuire à la sécurité? (outils et/ou
informations qui n'apparaitront pas etc)

Eric.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

LaDDL

13/07/2004 à 19:10

Eric Razny wrote:

[...]

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici.
Qu'en savons-nous ? ;)

Et surtout quand il demande : "J'aimerais cacher vers où la comunication
s'en va. Est-ce possible?"
[cf ]

[...]

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos
On peut l'entendre ainsi.

J'ai simplement interprêté son propos comme tu le fais avec moi tout
comme moi avec le tien.

et jugé qu'il est indigne de recevoir l'info.
Non tu vas trop loin là ?!

Comme je te le rappelais dans mon post précédent, tu peux t'insurger
mais moi je considère qu'il y a des étapes, des niveaux, des phases dans
l'accès à la connaissance, l'information, au savoir pour certaines
approches/démarches/méthodes.

En résumé, JE considère qu'il n'a pas le niveau pour accèder à ce type
d'information.

Libre à toi ou à n'importe qui ici de lui répondre.

Je lui recommande enfin de faire ceci :
http://www.shibumi.org/EotI/

[...]

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").
Il y a bien plus grave encore. Enfin bref.

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!
Justement qu'il apprenne par lui-même, c'est la meilleure démarche.

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Je n'ai rien contre la protection & le respect de sa vie privée au

contraire "chacun a le droit au respect de sa vie privée" article 9 du
code civil.

Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Exactement. Mais ce qui me dérange c'est qu'il nous dit entre autre

vouloir faire du transfert entre sa machine du bureau et celle de son
domicile en toute "discrétion".

Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise).
De manière générale je partage ton point de vue.

Après les cas particuliers ça se discute. C'est un autre débat.

La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus.
C'est juste.

Notre Alexandre nous en donne semble-t-il l'illustration.

Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.
Ces mêmes personnes sont incompétentes et ignorantes c'est certain. >p

Cela prouve que la prise de conscience n'est pas si généralisée !
Il y a encore beaucoup de travail d'éducation, formation,
sensibilisation.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir.
Oui mais notre Alexandre poste ici dans un groupe de discussion.

Et pour ma part je l'avertis en lui rappellant qq risques qu'il encourt.

Pas à moi qui me contente,
ici, de simplement répondre à une question "technique"
Je ne te reproche rien voyons ?!

J'avertis simplement notre Alexandre & le "bouscule/provoque" un peu.

[...]

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?
J'ai déjà expliqué pourquoi je trouve qu'il doit nous en dire plus.

Il lèverai certains doutes.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne
Cela n'a rien à voir avec la dignité mais dans le cas de notre Alexandre

de compétences.
Et j'ai jugé qu'il ne se donnait pas les moyens de savoir ce qu'il veut
trouver.

c'est justement le manque de critère objectif
annoncé
Tu plaisantes ! J'ai argumenté dans mes derniers posts et encore dans

celui-ci mon jugement.

Et pour rappel je suis très attaché à la classification de l'information
notamment en SI/SSI.

; j'ai simplement horreur des juges auto-proclamés.
Rolf. Tu préjuges beaucoup trop.

A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.
Etant donné que nous avons clarifié dorénavant l'un et l'autre nos

positions à ce sujet il me semble que nous avons fait le tour. ;)

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".
L'interprétation que tu donnes ici de la loi est erronée.

La loi n'interdit pas à l'admin d'exercer son métier ?!

[...]

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).
C'est ce que je lui suggère de chercher et trouver par lui-même.

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.
Idem. Même si les risques sont limités de voir des innocents condamner.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.
Je vais ouvrir un autre thread pour développer le sujet.

Je posterai plus tard dans la soirée sans doute.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.
Quand tu cherches que tu sois un chercheur du dimanche ou bien un vrai

chercheur ton objectif est de publier tes travaux à un moment donné. La
loi actuelle prête à confusion mais elle n'a pas pour objectif de
condamner qui que ce soit publiant un nmap like par exemple.
En outre l'arsenal législatif actuel permet de condamner celui qui
utiliserait ce nmap like à des fins malveillantes.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi
En connaissance de cause d'un crime ou délit commis par un/le tiers.

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"
Oui mais comme je te l'ai souligné ci-haut il sera puni s'il facilite,

prépare ou aide à commettre un crime ou délit à un tiers.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord.
Sur ce point évidemment.

Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)
Il sera condamné/puni s'il facilite, prépare ou aide à commettre un

crime ou délit à un tiers.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!
Oui.

Mais la loi condamne/puni celui qui facilite, prépare ou aide à
commettre un crime ou délit à un tiers.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi?
La personne physique ou morale est habilitée.

(Cf la cryptologie, le port d'armes par exemple)

Ils leur suffit de répondre non
presque à chaque coup...
Rolf. C'est possible aussi.

[...]

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Non je ne le crois/pense pas. (je t'ai déjà dit pourquoi)

Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier,
Quelle est la nature de ces travaux utiles ? Ou leurs types ?

que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.
Tout dépend de la nature ou du type de travaux auxquels tu fais

allusion.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)
Va savoir ? Ne préjuges pas.

[...]

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire.
Seul le juge appréciera.

Je ne
dis pas que la condamnation est assurée,
Heureusement ! ;)

je dis qu'elle est possible en
respectant cette loi.
En appliquant la loi tu veux dire.

Mais je te confirme que non (déjà expliqué pourquoi).

Ca me suffit a trouver cette loi débile.
Je ne stigmatise pas comme toi même si sur un certain nombre de points

tu as pu constaté que nos avis convergeaient.

Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.
Cela va sans dire.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle.
De quel corpus idéologique parles-tu ?

Il me semble pourtant que ce n'est pas ton cas?
Il me semble que nous ne faisons qu'échanger nos avis à propos de cette

loi mais certainement pas d'autre chose ! Où veux-tu en venir stp ?

J'insiste (lourdement!) :
IHMO un peu trop.

je ne dis pas que cette loi envoie les innocents
en prison,
A peine !

Relis-toi car sans être désagréable ton propos entretient la confusion
et c'est de la désinformation.

simplement que son imprécision risque d'aboutir à ça
Faux. (déjà expliqué pourquoi)

et qu'en
conséquence c'est une loi liberticide.
Ton cheminement est un peu trop simpliste à mon goût pour en arriver à

cette conclusion.
IHMO nous disposons en France dorénavant d'un cadre législatif pour la
criminalité informatique certes perfectible mais nous avons une bonne
base.
Et cette loi n'est absolument pas liberticide comme certains cherchent à
le faire croire. C'est beau la manipulation !

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi
Pas complétement oui.

mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée.
IHMO oui ce concept de "motif légitime" est beaucoup trop flou et

imprécis.

Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.
Peux-tu t'exprimer autrement car je ne comprends pas ce que tu veux

dire ? (je précise qu'il n'y a rien d'ironque de ma part)

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!.
Pourtant c'est ce que tu ne cesses d'assainer ici.

Le résultat risque de ne pas être en accord avec les
objectifs.
L'avenir nous le dira.

[...]

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!
Détrompes-toi les discussions sont déjà en cours.

Toute l'industrie informatique est concernée il n'y a pas que MS.
Pourquoi ? Parce qu'un éditeur vend son produit sans engager sa
responsabilité.
Les vulnérabilités des logiciels publiées quotidiennement amènent tous
les acteurs à avancer en ce sens.

[...]

Eric Razny wrote:

[...]

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici.
Qu'en savons-nous ? ;)

Et surtout quand il demande : "J'aimerais cacher vers où la comunication
s'en va. Est-ce possible?"
[cf <be89f864.0406231433.2ed87505@posting.google.com>]

[...]

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos
On peut l'entendre ainsi.

J'ai simplement interprêté son propos comme tu le fais avec moi tout
comme moi avec le tien.

et jugé qu'il est indigne de recevoir l'info.
Non tu vas trop loin là ?!

Comme je te le rappelais dans mon post précédent, tu peux t'insurger
mais moi je considère qu'il y a des étapes, des niveaux, des phases dans
l'accès à la connaissance, l'information, au savoir pour certaines
approches/démarches/méthodes.

En résumé, JE considère qu'il n'a pas le niveau pour accèder à ce type
d'information.

Libre à toi ou à n'importe qui ici de lui répondre.

Je lui recommande enfin de faire ceci :
http://www.shibumi.org/EotI/

[...]

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").
Il y a bien plus grave encore. Enfin bref.

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!
Justement qu'il apprenne par lui-même, c'est la meilleure démarche.

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Je n'ai rien contre la protection & le respect de sa vie privée au

contraire "chacun a le droit au respect de sa vie privée" article 9 du
code civil.

Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Exactement. Mais ce qui me dérange c'est qu'il nous dit entre autre

vouloir faire du transfert entre sa machine du bureau et celle de son
domicile en toute "discrétion".

Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise).
De manière générale je partage ton point de vue.

Après les cas particuliers ça se discute. C'est un autre débat.

La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus.
C'est juste.

Notre Alexandre nous en donne semble-t-il l'illustration.

Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.
Ces mêmes personnes sont incompétentes et ignorantes c'est certain. >p

Cela prouve que la prise de conscience n'est pas si généralisée !
Il y a encore beaucoup de travail d'éducation, formation,
sensibilisation.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir.
Oui mais notre Alexandre poste ici dans un groupe de discussion.

Et pour ma part je l'avertis en lui rappellant qq risques qu'il encourt.

Pas à moi qui me contente,
ici, de simplement répondre à une question "technique"
Je ne te reproche rien voyons ?!

J'avertis simplement notre Alexandre & le "bouscule/provoque" un peu.

[...]

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?
J'ai déjà expliqué pourquoi je trouve qu'il doit nous en dire plus.

Il lèverai certains doutes.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne
Cela n'a rien à voir avec la dignité mais dans le cas de notre Alexandre

de compétences.
Et j'ai jugé qu'il ne se donnait pas les moyens de savoir ce qu'il veut
trouver.

c'est justement le manque de critère objectif
annoncé
Tu plaisantes ! J'ai argumenté dans mes derniers posts et encore dans

celui-ci mon jugement.

Et pour rappel je suis très attaché à la classification de l'information
notamment en SI/SSI.

; j'ai simplement horreur des juges auto-proclamés.
Rolf. Tu préjuges beaucoup trop.

A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.
Etant donné que nous avons clarifié dorénavant l'un et l'autre nos

positions à ce sujet il me semble que nous avons fait le tour. ;)

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".
L'interprétation que tu donnes ici de la loi est erronée.

La loi n'interdit pas à l'admin d'exercer son métier ?!

[...]

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).
C'est ce que je lui suggère de chercher et trouver par lui-même.

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.
Idem. Même si les risques sont limités de voir des innocents condamner.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.
Je vais ouvrir un autre thread pour développer le sujet.

Je posterai plus tard dans la soirée sans doute.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.
Quand tu cherches que tu sois un chercheur du dimanche ou bien un vrai

chercheur ton objectif est de publier tes travaux à un moment donné. La
loi actuelle prête à confusion mais elle n'a pas pour objectif de
condamner qui que ce soit publiant un nmap like par exemple.
En outre l'arsenal législatif actuel permet de condamner celui qui
utiliserait ce nmap like à des fins malveillantes.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi
En connaissance de cause d'un crime ou délit commis par un/le tiers.

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"
Oui mais comme je te l'ai souligné ci-haut il sera puni s'il facilite,

prépare ou aide à commettre un crime ou délit à un tiers.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord.
Sur ce point évidemment.

Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)
Il sera condamné/puni s'il facilite, prépare ou aide à commettre un

crime ou délit à un tiers.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!
Oui.

Mais la loi condamne/puni celui qui facilite, prépare ou aide à
commettre un crime ou délit à un tiers.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi?
La personne physique ou morale est habilitée.

(Cf la cryptologie, le port d'armes par exemple)

Ils leur suffit de répondre non
presque à chaque coup...
Rolf. C'est possible aussi.

[...]

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Non je ne le crois/pense pas. (je t'ai déjà dit pourquoi)

Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier,
Quelle est la nature de ces travaux utiles ? Ou leurs types ?

que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.
Tout dépend de la nature ou du type de travaux auxquels tu fais

allusion.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)
Va savoir ? Ne préjuges pas.

[...]

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire.
Seul le juge appréciera.

Je ne
dis pas que la condamnation est assurée,
Heureusement ! ;)

je dis qu'elle est possible en
respectant cette loi.
En appliquant la loi tu veux dire.

Mais je te confirme que non (déjà expliqué pourquoi).

Ca me suffit a trouver cette loi débile.
Je ne stigmatise pas comme toi même si sur un certain nombre de points

tu as pu constaté que nos avis convergeaient.

Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.
Cela va sans dire.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle.
De quel corpus idéologique parles-tu ?

Il me semble pourtant que ce n'est pas ton cas?
Il me semble que nous ne faisons qu'échanger nos avis à propos de cette

loi mais certainement pas d'autre chose ! Où veux-tu en venir stp ?

J'insiste (lourdement!) :
IHMO un peu trop.

je ne dis pas que cette loi envoie les innocents
en prison,
A peine !

Relis-toi car sans être désagréable ton propos entretient la confusion
et c'est de la désinformation.

simplement que son imprécision risque d'aboutir à ça
Faux. (déjà expliqué pourquoi)

et qu'en
conséquence c'est une loi liberticide.
Ton cheminement est un peu trop simpliste à mon goût pour en arriver à

cette conclusion.
IHMO nous disposons en France dorénavant d'un cadre législatif pour la
criminalité informatique certes perfectible mais nous avons une bonne
base.
Et cette loi n'est absolument pas liberticide comme certains cherchent à
le faire croire. C'est beau la manipulation !

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi
Pas complétement oui.

mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée.
IHMO oui ce concept de "motif légitime" est beaucoup trop flou et

imprécis.

Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.
Peux-tu t'exprimer autrement car je ne comprends pas ce que tu veux

dire ? (je précise qu'il n'y a rien d'ironque de ma part)

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!.
Pourtant c'est ce que tu ne cesses d'assainer ici.

Le résultat risque de ne pas être en accord avec les
objectifs.
L'avenir nous le dira.

[...]

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!
Détrompes-toi les discussions sont déjà en cours.

Toute l'industrie informatique est concernée il n'y a pas que MS.
Pourquoi ? Parce qu'un éditeur vend son produit sans engager sa
responsabilité.
Les vulnérabilités des logiciels publiées quotidiennement amènent tous
les acteurs à avancer en ce sens.

[...]

Vous avez filtré cet utilisateur ! Consultez son message

Eric Razny wrote:

[...]

Simplement quand je lis des threads comme ça aussi flou je ne peux
m'empêcher de penser client <-> masters <-> daemons => DDoS.
Sans doute ma déformation professionnelle.

S'il en est a gérer une armée de zombie m'est avis qu'il n'a pas vraiment
besoin de venir poser de telles questions ici.
Qu'en savons-nous ? ;)

Et surtout quand il demande : "J'aimerais cacher vers où la comunication
s'en va. Est-ce possible?"
[cf ]

[...]

Enfin c'est mon interprétation des propos d'Alexandre. Il ne tient qu'à
lui de me démontrer le contraire.

Ca confirme ma lecture : tu as bien qualifié ses propos
On peut l'entendre ainsi.

J'ai simplement interprêté son propos comme tu le fais avec moi tout
comme moi avec le tien.

et jugé qu'il est indigne de recevoir l'info.
Non tu vas trop loin là ?!

Comme je te le rappelais dans mon post précédent, tu peux t'insurger
mais moi je considère qu'il y a des étapes, des niveaux, des phases dans
l'accès à la connaissance, l'information, au savoir pour certaines
approches/démarches/méthodes.

En résumé, JE considère qu'il n'a pas le niveau pour accèder à ce type
d'information.

Libre à toi ou à n'importe qui ici de lui répondre.

Je lui recommande enfin de faire ceci :
http://www.shibumi.org/EotI/

[...]

[Maintenant n'en faisons pas une affaire la toile regorge d'espaces de
discussion où l'on trouve des questions toutes aussi "spéciales"]

Bien plus spéciales, mettant clairement en avant la volonter de commettre
des délis (du genre "je fais comment pour cacher mon IP quand je télécharge
les DivX des films pas encore sortis en France...").
Il y a bien plus grave encore. Enfin bref.

Clairement dans ce cas je ne réponds pas mais je ne vais pas lui dire "c'est
possible mais ce n'est pas pour toi" (ne serais-ce que parce que je ne le
connais pas). A noter d'ailleurs que cette réponse, par opposition à une
absence de réponse, risque de le pousser à mener des recherches plus
fructueuses!
Justement qu'il apprenne par lui-même, c'est la meilleure démarche.

D'où certaines questions d'intervenant et ma réponse assez
large.

Exactement.
Mais j'insiste sur le fait que je ne comprends pas son désir d'être
anonyme pour faire simplement du tranfert de données ! (en plus en
utilisant sa machine du bureau !).

Par simple principe de protection de la vie privée je trouve normale
l'utilisation de logiciels type GnuPG (même si dans la pratique je m'en sers
surtout pour le boulot avec certains correspondants).
Je n'ai rien contre la protection & le respect de sa vie privée au

contraire "chacun a le droit au respect de sa vie privée" article 9 du
code civil.

Maintenant le fait de le faire a partir du bureau peut poser problème mais
c'est à l'admin local de voir.
Exactement. Mais ce qui me dérange c'est qu'il nous dit entre autre

vouloir faire du transfert entre sa machine du bureau et celle de son
domicile en toute "discrétion".

Je suis personnellement pour qu'un employeur ait la possibilité d'interdire
tout traffic non lié à l'entreprise et en conséquence considérer tout flux
comme "public" (pour des personnes accrédités par l'entreprise).
De manière générale je partage ton point de vue.

Après les cas particuliers ça se discute. C'est un autre débat.

La
possibilité actuelle de pouvoir se servir des services de l'entreprise pour
les besoins perso du salarié est certes compréhensible ("liberté", meilleurs
climat social etc) mais ne permet pas de juguler efficacement les abus.
C'est juste.

Notre Alexandre nous en donne semble-t-il l'illustration.

Je
me fais généralement traiter de dangereux réactionnaire quand j'écris ça,
mais généralement par des personnes qui n'ont pas eu à gérer les abus de
salariés indélicats.
Ces mêmes personnes sont incompétentes et ignorantes c'est certain. >p

Cela prouve que la prise de conscience n'est pas si généralisée !
Il y a encore beaucoup de travail d'éducation, formation,
sensibilisation.

Maintenant si l'employé utilise un moyen technique pour contrevenir au
règlement interne c'est a l'entreprise de réagir.
Oui mais notre Alexandre poste ici dans un groupe de discussion.

Et pour ma part je l'avertis en lui rappellant qq risques qu'il encourt.

Pas à moi qui me contente,
ici, de simplement répondre à une question "technique"
Je ne te reproche rien voyons ?!

J'avertis simplement notre Alexandre & le "bouscule/provoque" un peu.

[...]

Il n'a pas a le faire et a se justifier.
Bah si étant donné qu'il nous dit : "Je veux transférer des données par

FTP/SSH par le port 443 et utiliser mon ordinateur à distance avec
RADMIN".

Et alors?
J'ai déjà expliqué pourquoi je trouve qu'il doit nous en dire plus.

Il lèverai certains doutes.

Je considère qu'il est à un niveau de connaissance insuffisant pour
accèder à ce type d'information. Est-ce plus clair ainsi ?

Enfin une réponse claire!
Ce qui me gêne quand quelqu'un prétend détenir un savoir et ne le donner
qu'à ceux qui en sont digne
Cela n'a rien à voir avec la dignité mais dans le cas de notre Alexandre

de compétences.
Et j'ai jugé qu'il ne se donnait pas les moyens de savoir ce qu'il veut
trouver.

c'est justement le manque de critère objectif
annoncé
Tu plaisantes ! J'ai argumenté dans mes derniers posts et encore dans

celui-ci mon jugement.

Et pour rappel je suis très attaché à la classification de l'information
notamment en SI/SSI.

; j'ai simplement horreur des juges auto-proclamés.
Rolf. Tu préjuges beaucoup trop.

A partir de ces
deux positions (la tienne et la mienne) clairement exprimée je suggère de
clore cette partie du thread ici.
Etant donné que nous avons clarifié dorénavant l'un et l'autre nos

positions à ce sujet il me semble que nous avons fait le tour. ;)

Petit rappel : Une entreprise dont certaines informations sont dérobées
peut encourir des poursuites juridiques. En cas de procès, la loi
française spécifie que ses représentants sont coupables si toutes les
précautions utiles n'ont pas été prises. C'est la justice qui apprécie
le degré de sensibilité des informations et les efforts mis en place.

C'est bien pour ça que je suis contre l'interprétation actuelles des textes
qui interdit à un admin d'aller voir le fichier
"secrets-derobés-attente-paiement.sxw" sous prétexte qu'il se situe dans un
dossier nommé "personnel_et_confidentiel".
L'interprétation que tu donnes ici de la loi est erronée.

La loi n'interdit pas à l'admin d'exercer son métier ?!

[...]

Comme je l'ai rappelé plus haut il ne répond pas aux questions qui lui
sont adressées. En ce qui me concerne je ne ferai pas alors l'effort
de

répondre aux siennes.

Tu lui réponds déjà que c'est possible (il n'a plus qu'à mieux chercher!).
C'est ce que je lui suggère de chercher et trouver par lui-même.

IMHO on dispose aujourd'hui d'un cadre législatif certes imparfait mais
il existe.
C'est une première mouture. Il y aura des évolutions.

Je préfère qu'une première mouture reste sous forme de projet et murrisse,
plutôt que de risquer de finir en tôle avec ce genre de conneries déjà
applicables.
Idem. Même si les risques sont limités de voir des innocents condamner.

Pour moi le seul point vulnérable dans notre cadre législatif est celui
concernant la cryptologie. Là nous sommes vulnérables. Nos politiques
devraient suivre les exemples du Canada ou de la Suisse.

Je les connais mal, peux tu préciser?
Pour moi je pense qu'une libéralisation totale de la crypto, associée à
l'obligation -sous le contrôle nécessaire d'un juge- de fournir les clefs de
sessions (ou équivalent) à la demande, par exemple, serait une bonne
solution. Je suis complètement contre l'obligtion des tiers de
(non!)confiance.
Je vais ouvrir un autre thread pour développer le sujet.

Je posterai plus tard dans la soirée sans doute.

Justement. Si un gus quelconque (par exemple un simple passionné qui ne
bosse pas en informatique) pondait et publiait actuellement un nmap-like
français il n'aurait absolument aucune justification pour le faire,
Si la recherche.

La France n'interdit à personne de rechercher même dans des domaines
dits sensibles.

Dans ce cas précis il ne s'agit pas de chercher mais de publier ou mettre à
disposition ; ça n'a rien à voir.
Quand tu cherches que tu sois un chercheur du dimanche ou bien un vrai

chercheur ton objectif est de publier tes travaux à un moment donné. La
loi actuelle prête à confusion mais elle n'a pas pour objectif de
condamner qui que ce soit publiant un nmap like par exemple.
En outre l'arsenal législatif actuel permet de condamner celui qui
utiliserait ce nmap like à des fins malveillantes.

quand
bien même cet outils serait diablement utile. Et l'appréciation du juge
sera
facilement biaisé par un procureur qui fera venir un expert qui montre
comment commettre un déli avec l'outil.
Oui mais dans le droit pénal on retient l'intention.

Dans ton exemple où l'auteur a-t-il commis un délit stp ?

S'il le met a disposition de tiers il rentre sous le coup de la loi
En connaissance de cause d'un crime ou délit commis par un/le tiers.

Résultat : le gars a bien crée un outil :
Oui.

a) sans motif légitime (boulot par exemple)
Si la recherche.

Non. Je suppose qu'il met a disposition l'outil crée.
Sinon -ce ne serait peut être pas plus mal!- cette loi ne serait pas du tout
applicable : "je cherchais m'sieur l'juge!"
Oui mais comme je te l'ai souligné ci-haut il sera puni s'il facilite,

prépare ou aide à commettre un crime ou délit à un tiers.

b) pouvant serir à commettre un delit.
Et ça fait de lui un criminel et un délinquant ?!

Absolument pas.

On est d'accord.
Sur ce point évidemment.

Sauf que la le non délinquant risque la case prison (sans
recevoir 20000...)
Il sera condamné/puni s'il facilite, prépare ou aide à commettre un

crime ou délit à un tiers.

Pour prendre un image caricaturale si on transpose cette loi un joueur
professionnel d'échec (pour enlever le motif légitime) pourrait être
poursuivi pour avoir créé une "voiture à hydrogène" (et ce qui va avec
pour
la production moins poluante d'hydrogène pas exemple) au motif que cette
voiture peut être utilisée pour commettre un délit (voiture bélier).
Pardon de te signaler que tu divagues complétement.

La loi n'interdit à personne de créer, concevoir des programmes
informatiques qui peuvent être utilisés à des fins malveillantes.
Ce qui est répréhensible ce sont les actes & intentions de nuire.

Relis le texte que tu as publié ici même!
Oui.

Mais la loi condamne/puni celui qui facilite, prépare ou aide à
commettre un crime ou délit à un tiers.

Pour limiter certains risques il a été proposé de prévoir une
déclaration auprès des services du Premier Ministre.

Outre la difficulté pratique ça change quoi?
La personne physique ou morale est habilitée.

(Cf la cryptologie, le port d'armes par exemple)

Ils leur suffit de répondre non
presque à chaque coup...
Rolf. C'est possible aussi.

[...]

Petit rappel, ce n'est pas parce que tu n'enfreinds pas la loi que tu es
à
l'abris de te retrouver derrière les barreaux :
Ce n'est pas le propos ici. Nous parlons de la législation en matière de

criminalité informatique.

Ben si justement c'est le propos. Mal utilisée cette loi pénalise les
"gentils" (ou pas trop gris) et in fine la sécurité elle même.
Non je ne le crois/pense pas. (je t'ai déjà dit pourquoi)

Entre publier des travaux utiles à tous et (risquer de) finir en tôle et ne
rien publier,
Quelle est la nature de ces travaux utiles ? Ou leurs types ?

que crois-tu qu'un humain "moyen" (ie non idéaliste, militant
de je ne sais quoi etc) choissira? Certainement pas mettre sa famille en
péril.
Tout dépend de la nature ou du type de travaux auxquels tu fais

allusion.

a) le juge n'a que peu de chance d'être un spécialiste.
Ce n'est pas sa compétence et ce n'est absolument pas ce qu'on lui

demande.

Tout a fait. C'est juste une constatation liminaire (conséquence : ce n'est
pas le juge qui fera un tri éclairé dans les conneries qu'on va lui
raconter)
Va savoir ? Ne préjuges pas.

[...]

Prends un moment pour regarder le cas de mon joueur d'échec plus haut.
Son
"innocence" me semble une évidence.
A partir de ton exemple il n'y a rien à ajouter ou dire.

Applique le au domaine informatique et
cette loi *peut* très bien le faire condamner.
Pour en avoir longuement débattu avec mes conseils (avocats), relations

(experts, juges) & confrères (professionnels de la SI/SSI) je te dirai
que non.

Le problème c'est qu'on en est réduit à des conjectures. Et comme le "motif
légitime" est imprécis on peut lui faire dire tout et son contraire.
Seul le juge appréciera.

Je ne
dis pas que la condamnation est assurée,
Heureusement ! ;)

je dis qu'elle est possible en
respectant cette loi.
En appliquant la loi tu veux dire.

Mais je te confirme que non (déjà expliqué pourquoi).

Ca me suffit a trouver cette loi débile.
Je ne stigmatise pas comme toi même si sur un certain nombre de points

tu as pu constaté que nos avis convergeaient.

Je fais partie des quelques andouilles d'idéalistes qui préfèrent voir
quelques coupables en liberté plutôt qu'être assuré de voir (presque) tous
les compables punis en même temps qu'une grande quantité d'innocents.
Cela va sans dire.

Ceux qui ont une idéologie inverse ne peuvent evidement qu'aprouver les lois
dont je parle.
De quel corpus idéologique parles-tu ?

Il me semble pourtant que ce n'est pas ton cas?
Il me semble que nous ne faisons qu'échanger nos avis à propos de cette

loi mais certainement pas d'autre chose ! Où veux-tu en venir stp ?

J'insiste (lourdement!) :
IHMO un peu trop.

je ne dis pas que cette loi envoie les innocents
en prison,
A peine !

Relis-toi car sans être désagréable ton propos entretient la confusion
et c'est de la désinformation.

simplement que son imprécision risque d'aboutir à ça
Faux. (déjà expliqué pourquoi)

et qu'en
conséquence c'est une loi liberticide.
Ton cheminement est un peu trop simpliste à mon goût pour en arriver à

cette conclusion.
IHMO nous disposons en France dorénavant d'un cadre législatif pour la
criminalité informatique certes perfectible mais nous avons une bonne
base.
Et cette loi n'est absolument pas liberticide comme certains cherchent à
le faire croire. C'est beau la manipulation !

Nous ne sommes pas d'accord sur *l'interprétation* de cette loi
Pas complétement oui.

mais tu
reconnais toi même que la notion de "motif légitime" (qui va faire la
différence entre condamnation et relaxe) n'est pas précisée.
IHMO oui ce concept de "motif légitime" est beaucoup trop flou et

imprécis.

Pour la suite
nos discussions ont déjà montrés que tu bascule des comportements dans
"illégitime" bien avant moi, mais ce ne sont des choix personnels.
Peux-tu t'exprimer autrement car je ne comprends pas ce que tu veux

dire ? (je précise qu'il n'y a rien d'ironque de ma part)

C'est ce type de loi qui peut faire condamner des gens innocents qui
n'ont
pas les moyens (financier, connaissances) de se défendre que je combats.
IMHO tu te trompes la loi n'a pas pour objectif de condamner des

innocents

J'espère bien!!!.
Pourtant c'est ce que tu ne cesses d'assainer ici.

Le résultat risque de ne pas être en accord avec les
objectifs.
L'avenir nous le dira.

[...]

soit après une étape de
constatation de je-m-en-foutisme de l'éditeur (et une indication de cet
état
d'esprit de l'éditeur que ça ne gêne pas de mettre ses clients en
danger).

La prochaine étape législative c'est la responsibilité des éditeurs. Car
il y a beaucoup trop d'enjeux mais surtout de risques aujourd'hui pour
que l'on laisse certains éditeurs/profiteurs abuser d'un vide juridique.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!
Détrompes-toi les discussions sont déjà en cours.

Toute l'industrie informatique est concernée il n'y a pas que MS.
Pourquoi ? Parce qu'un éditeur vend son produit sans engager sa
responsabilité.
Les vulnérabilités des logiciels publiées quotidiennement amènent tous
les acteurs à avancer en ce sens.

[...]

Roland Garcia

13/07/2004 à 21:04

Eric Razny wrote:

"Roland Garcia" a écrit

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Entièrement d'accord.
Malheureusement qui peut être certain d'avoir ce genre d'avocat général en
face?
Surtout en première instance! :(

A mon avis et pour le moment aucun car les juristes n'ont jamais eu à
traiter ce genre de chose, la seule affaire jugée étant il me semble
celle de Kitetoa (je ne compte pas toutes celles relatives au respect du
secret de la correspondance car là les juristes sont dans leur élément).

Sur une affaire on peut dire que la jurisprudence est très favorable,
mais une affaire ce n'est pas suffisant.

Il semble qu'avec la "contrefaçon" de Guillermito on s'oriente vers une
affaire tout à fait semblable. J'ai un peu réfléchi à la question et ne
compte plus les cas pour lesquels je "violerais" le Code de le Propriété
Intellectuelle. Rien que le fait de me servir de mon anti-virus me rend
théoriquement coupable plus de 90.000 fois du délit de recel de
contrefaçon (les signatures reprennent sans autorisation du code
caractéristique d'un programme original).

Le fait d'envoyer à un éditeur d'anti-virus un programme commercial
contenant manifestement un cheval de Troie (c'est arrivé) ou un spyware
(très courant) oblige à commettre théoriquement plusieurs délits:
- On est possesseur d'un code malveillant.
- On l'a obtenu sans autorisation de son auteur (par exemple envoyé par
un usager le trouvant suspect).
- On l'analyse sans l'autorisation de son auteur.
- Une fois la signature intégrée à l'anti-virus on est possesseur d'un
bout de code du programme original, bien sûr sans autorisation de
l'auteur.

En conséquence si l'on suit le CPI à la lettre la nation française n'est
plus capable d'assurer la sécurité de ses citoyens, qui est pourtant le
premier devoir pour l'une et le premier droit pour l'autre.

Ca en refroidira plus d'un de seulement imaginer risquer de perdre temps
argent et réputation (tous trois perdu généralement définitivement même en
cas de gain en appel) simplement pour la "bonne cause". Sans compter que le
risque est loin d'être nul que même en appel on ne trouve pas un Etienne
Madranges mais un fondu de tout-(pseudo)sécuritaire.

Es tu d'accord dans ce cas pour reconnaitre que le simple fait de vouloir
éviter des ennuis potentiels finit par nuire à la sécurité? (outils et/ou
informations qui n'apparaitront pas etc)

Tout à fait et je pense même (je suis même sûr) que nos gouvernants en
ont conscience depuis longtemps.

Roland Garcia

Eric Razny wrote:

"Roland Garcia" a écrit

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Entièrement d'accord.
Malheureusement qui peut être certain d'avoir ce genre d'avocat général en
face?
Surtout en première instance! :(

A mon avis et pour le moment aucun car les juristes n'ont jamais eu à
traiter ce genre de chose, la seule affaire jugée étant il me semble
celle de Kitetoa (je ne compte pas toutes celles relatives au respect du
secret de la correspondance car là les juristes sont dans leur élément).

Sur une affaire on peut dire que la jurisprudence est très favorable,
mais une affaire ce n'est pas suffisant.

Il semble qu'avec la "contrefaçon" de Guillermito on s'oriente vers une
affaire tout à fait semblable. J'ai un peu réfléchi à la question et ne
compte plus les cas pour lesquels je "violerais" le Code de le Propriété
Intellectuelle. Rien que le fait de me servir de mon anti-virus me rend
théoriquement coupable plus de 90.000 fois du délit de recel de
contrefaçon (les signatures reprennent sans autorisation du code
caractéristique d'un programme original).

Le fait d'envoyer à un éditeur d'anti-virus un programme commercial
contenant manifestement un cheval de Troie (c'est arrivé) ou un spyware
(très courant) oblige à commettre théoriquement plusieurs délits:
- On est possesseur d'un code malveillant.
- On l'a obtenu sans autorisation de son auteur (par exemple envoyé par
un usager le trouvant suspect).
- On l'analyse sans l'autorisation de son auteur.
- Une fois la signature intégrée à l'anti-virus on est possesseur d'un
bout de code du programme original, bien sûr sans autorisation de
l'auteur.

En conséquence si l'on suit le CPI à la lettre la nation française n'est
plus capable d'assurer la sécurité de ses citoyens, qui est pourtant le
premier devoir pour l'une et le premier droit pour l'autre.

Ca en refroidira plus d'un de seulement imaginer risquer de perdre temps
argent et réputation (tous trois perdu généralement définitivement même en
cas de gain en appel) simplement pour la "bonne cause". Sans compter que le
risque est loin d'être nul que même en appel on ne trouve pas un Etienne
Madranges mais un fondu de tout-(pseudo)sécuritaire.

Es tu d'accord dans ce cas pour reconnaitre que le simple fait de vouloir
éviter des ennuis potentiels finit par nuire à la sécurité? (outils et/ou
informations qui n'apparaitront pas etc)

Tout à fait et je pense même (je suis même sûr) que nos gouvernants en
ont conscience depuis longtemps.

Roland Garcia

Vous avez filtré cet utilisateur ! Consultez son message

Eric Razny wrote:

"Roland Garcia" a écrit

On en revient toujours à la phrase de l'avocat général Etienne
Madranges: "Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité permanente,
juridique et judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui découvrent les failles de systèmes informatiques
manifestement non sécurisés"

Entièrement d'accord.
Malheureusement qui peut être certain d'avoir ce genre d'avocat général en
face?
Surtout en première instance! :(

A mon avis et pour le moment aucun car les juristes n'ont jamais eu à
traiter ce genre de chose, la seule affaire jugée étant il me semble
celle de Kitetoa (je ne compte pas toutes celles relatives au respect du
secret de la correspondance car là les juristes sont dans leur élément).

Sur une affaire on peut dire que la jurisprudence est très favorable,
mais une affaire ce n'est pas suffisant.

Il semble qu'avec la "contrefaçon" de Guillermito on s'oriente vers une
affaire tout à fait semblable. J'ai un peu réfléchi à la question et ne
compte plus les cas pour lesquels je "violerais" le Code de le Propriété
Intellectuelle. Rien que le fait de me servir de mon anti-virus me rend
théoriquement coupable plus de 90.000 fois du délit de recel de
contrefaçon (les signatures reprennent sans autorisation du code
caractéristique d'un programme original).

Le fait d'envoyer à un éditeur d'anti-virus un programme commercial
contenant manifestement un cheval de Troie (c'est arrivé) ou un spyware
(très courant) oblige à commettre théoriquement plusieurs délits:
- On est possesseur d'un code malveillant.
- On l'a obtenu sans autorisation de son auteur (par exemple envoyé par
un usager le trouvant suspect).
- On l'analyse sans l'autorisation de son auteur.
- Une fois la signature intégrée à l'anti-virus on est possesseur d'un
bout de code du programme original, bien sûr sans autorisation de
l'auteur.

En conséquence si l'on suit le CPI à la lettre la nation française n'est
plus capable d'assurer la sécurité de ses citoyens, qui est pourtant le
premier devoir pour l'une et le premier droit pour l'autre.

Ca en refroidira plus d'un de seulement imaginer risquer de perdre temps
argent et réputation (tous trois perdu généralement définitivement même en
cas de gain en appel) simplement pour la "bonne cause". Sans compter que le
risque est loin d'être nul que même en appel on ne trouve pas un Etienne
Madranges mais un fondu de tout-(pseudo)sécuritaire.

Es tu d'accord dans ce cas pour reconnaitre que le simple fait de vouloir
éviter des ennuis potentiels finit par nuire à la sécurité? (outils et/ou
informations qui n'apparaitront pas etc)

Tout à fait et je pense même (je suis même sûr) que nos gouvernants en
ont conscience depuis longtemps.

Roland Garcia

Roland Garcia

14/07/2004 à 00:15

LaDDL wrote:

Eric Razny wrote:

et qu'en
conséquence c'est une loi liberticide.

Ton cheminement est un peu trop simpliste à mon goût pour en arriver à
cette conclusion.
IHMO nous disposons en France dorénavant d'un cadre législatif pour la
criminalité informatique certes perfectible mais nous avons une bonne
base.
Et cette loi n'est absolument pas liberticide comme certains cherchent à
le faire croire. C'est beau la manipulation !

La LEN est tout à fait dans la norme et ne change rien, de nombreuses
autres lois exposent les RSSI aux mêmes risques.

Quand tu vois comment se défilent les politiques devant les puissances
commerciales j'attends avec impatience une loi qui punirait un éditeur qui
continue à mettre ses clients en danger après en avoir pris connaissance ;
et son application à MS par exemple... Je suis parfois idéaliste mais pas à
ce point!

Détrompes-toi les discussions sont déjà en cours.

Pour discuter ça discute, mais vous semblez oublier qu'il y a séparation
des pouvoirs et que la justice est indépendante, et que sur la SI elle
ne va pas à la même vitesse que l'exécutif.

Roland Garcia

SSH

10 réponses

Veuillez sélectionner un problème