Euh...

http://www.les-ernest.fr/et-si-le-theoreme-de-pythagore-netait-pas-vrai/

Colle ton oreille sur ton PC et écoute. Si tu entends la mer, c'est que tu approches de la solution.
Sinon, au risque de me répéter, le seul indice qui tienne a déjà été donné : RTFM.

On est bien d'accord. C'était le sens de mon message d'alerte (?) sur le 226-17 qui pèse sur les responsables de SI.

Je ne parlais pas des demandes d'avis ou d'autorisations des déclarants. Je voulais juste dire que concernant les décrets relatifs à l'article 34, j'ai comme l'intuition (pas plus) que le gouvernement n'a jamais demandé d'avis à la CNIL car il n'a jamais envisagé de sortir de décrets, ceux-ci n'étant pas obligatoires et la loi pouvant s'appliquer en l'absence de décrets "éventuels".

En l'occurrence, la CNIL ne peut rien faire si elle n'est pas saisie d'un projet de décret par le gouvernement. Et comme le texte dit que des décrets "peuvent être pris", je suppose que ledit gouvernement ne s'est pas vraiment senti obligé...

Bon, allez, the lsd... On leur dit que le poisson d'avril c'est que ce n'était pas un poisson d'avril ?

[Article 226-17 du code pénal]

Petit complément pour les webmasters, propriétaires de site, DSI, RSSI et autres. Là c'est le visité qui est visé, et non plus le visiteur
Article 226-17 du code pénal :
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Article 34 de la loi 78-17 (Informatique et libertés) :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Bref, si un site ressemble à une passoire, y en a qui peuvent se faire du mouron sur le plan pénal (voire sur le plan de la responsabilité civile si les failles ont entraîné un dommage pour quelqu'un et que le lien entre faille et dommage est établi).

Il peut arriver qu'une page appelée à parti d'un lien autorisé révèle une faille. En ce cas, pas de problème : le 323-1 ne s'applique pas (l'accès n'est pas illégal car accidentel).... sauf si à partir de là je commence à fouiller (je me maintiens sans autorisation).  Mais soyons pragmatiques... Neuf fois sur dix, c'est en tentant quelque chose que la faille sera découverte par le "visiteur". Et donc on aura bien un accès illégal. En gros, « dès lors qu'une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d'autorisation, peu importe le mobile » dit le TGI de Vannes par exemple.
Quant à la notion de STAD, dès qu'il y a trois informations, structurées en BDD ou non, et deux liens hypertexte, on est dans un STAD.
Pour plus de précisions voir les sites ou blogs d'avocats spécialisés genre Alian Bensoussan, Hervé Schauer, Murielle Cahen. Exemple :
http://www.murielle-cahen.com/publications/p_intrusions.asp

Sur le plan de l'intention de nuire, pour reprendre l'expression utilisée, l'article 121 du code pénal dispose qu'il n'y a nul crime nul délit sans l'intention de le commettre. Mais cet élément "moral" ou "intentionnel" de l'infraction est souvent en pratique limité à la conscience qu'avait l'individu de franchir la "ligne jaune". Et au cas particulier, peu importe qu'il ait ou non voulu nuire. Et donc si l'accès ou le maintien (ou les deux) sont "irréguliers", bingo.

Donc en gros, attention où vous mettez les pieds...

Code pénal
Article 323-1

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
------------------------
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement. La situation que tu évoques me fait penser à la vieille affaire KITEKOA/TATI, une des plus connues sur le sujet. Voir par exemple http://www.droit-ntic.com/news/afficher.php?id=99.

PS. Je ne suis pas avocat.

De trois, oui, je suis un vieux con.

Allez, Soso, t'en fais pas. On est au moins deux.

Moi c'est pareil.
Les treize mots sont :
"Sors de là tout de suite sinon tu vas t'en prendre une."
J'espère que je n'en dis pas trop.

the lsd... the lsd...t'étais pas sur un site de challenges, toi ?

En tout cas je n'ai pas compris le rapport avec la pioche

N'aurais-je pas écrit quelque chose sur le sujet le 8 janvier 2009 à 20:13:50 ?

Bien vu