NewbieContest

salut,
bon déjà de 1 je suis un super débutant en hacking  :o
et j'ai trouver un site, avec un livre d'or.
je me suis dit : je vais essayer de mettre du script dedans (totalement au bol car je n'ai jamais vraiment rien hacké: j'en suis que a 2 épreuve niveau hacking donc vous voyez le genre lol)
Bon en gros:
j'essai de commencer par une balise html (je sais pas si ça sert a grand chose mais quand on débute on tente de tout  =D)
je tape :
<s>un bidule</s>
et la,(le livre d'or possède une prévisualisation), je remarque que le code html est exectuté dans la prévisualisation.(ce qui donne : un bidule)
Donc je tente de poster...
mais une fois le message posté le html ne s'exécute pas...( tatatta a écrit : <s>un bidule</s>
donc la je me dit que le livre est protégé, mais que je peux peut-être tirer quelque chose de la prévisualisation... (hé oui on espère tout quand on y connait pas grand chose)^^
 je tape donc:
<input type="button" name="hack" value="hack" onclick="alert('salut')">
pour voir s'il s'exécute...
je regarde dans la prévisualisation et hop le bouton est apparu
je clic dessus et la hop un message d'alert

Est-ce normal de pouvoir exécuter du code javascript comme ça sur un livre d'or ? y a t'il une faille ? (moi qui n'y connait pas grand chose biensûr...j'en sais rien et c'est peut-être rien du tout^^)

j'ai donc essayer alert(document.cookie) et je tombe sur un code bizarre que je ne connait pas^^

quelqu'un pourrai t'il m'éclairé ?

merci


je regarde

D4rKpr3d4toR :

Tu as effectivement trouvé une faille, la première je suppose et ça, ça se fête WOOT Champagne !

Tu as dégoté une faille de type "XSS" dans la prévisualisation.

Par contre, d'après ce que tu dis elle est comblée dans la fonction "poster".

Voici quelques explications sur cette faille (tu peux trouver des millions de documents dessus) :

- http://fr.wikipedia.org/wiki/Cross-site_scripting

- http://www.newbiecontest.org/forums/index.php?topic=981.0


Pour le code avec document.cookie il s'agit d'une exploitation malicieuse des failles XSS.
Là encore, lis de la doc et tu comprendras.

Néanmoins, sans connaitre la faille t'as eu un bon raisonnement.

C'est ça l'esprit 'newbie'.


ps : Dans la catégorie "Hacking", il y a quelques épreuves où il faudra exploiter une XSS. Bonne chance !

Pourquoi vouloir chercher des failles sur d'autres sites Web qui vous ont rien demandé.
Et entre nous, j'appelle pas ça "trouver une faille" lorsque l'on arrive à injecter du code.
Je te conseille de passer à autre chose car c'est illégal et tu n'as pas l'air de savoir vraiment ce que tu fais.

déjà merci beaucoup pour les réponses =)
Ensuite : Si je ne modifie rien sur son site donc si je fait pas le lamer c'est bon non, xJustice ?
De plus mes intentions ne sont pas mauvaises. Je voulais juste découvrir ce type de faille en millieu "non-artificiel" (donc une faille pas laissée exprès).

Je rajouterais :
1. Pourquoi perdre son temps à essayer de hacker des forums ou des livres d'or ou autres choses du genre ?!!
2. Si l'admin du site ne t'a pas donné d'autorisation stricte (en règle avec la loi), c'est illégal et passible d'emprisonnement et d'amendes salées (Est-ce pareil en France ?).

xJustice et mathgl24 sont horriblement démoralisant. Ils ont une idéologie obscurantiste. Si tout le monde les écoutait, personne ne deviendrait de bons hackers ...

Si le sujet t'intéresse, amuse toi le plus que tu peux, découvre s'en des failles, exploite les même si tu peux (sans faire chier personne), mais en gardant en tête que les chapeaux blancs sont tellement plus cool ^^ En gros, ne fais pas aux autres ce que tu ne veux pas te faire faire.

Un conseil : tu devrais avertir l'administrateur du site en question; il serait sans doute heureux d'apprendre qu'on peut hacker facilement son site.

je ne comprend pas bien le sens de ta 1ère question...
Dans ce cas la je pourrais te retourner :
Pourquoi perdre son temps à essayer de résoudre les challenge de Newbiecontest ??
Ben tout simplement parce que l'homme est curieux et il souhaite tester ses connaissances et ses capacités. non?
ou même de rendre service à un webMaster qui risquerait de se faire hacké dans le futur.

Sinon, si ton point 2 est en rapport avec ton point 1, tu voulais me dire : A quoi cela sert si c'est illégal ?... retour à ma 1ère réponse

Et maintenant que fais-je ?
Est-ce que j'avertis l'admin de cette faille ?... Est-ce que je ne fait rien ...? ^^

J'aime résoudre les challenges de NC car ils sont là pour me faire réfléchir, apprendre et grâce à eux, je peux aller au bout de mon apprentissage (dans la plus grande légalité) car ils me permettent de pratiquer même si cela ne reste qu'une simple simulation.

Tu ne comprends pas le fait que ta démarche "chercher une faille" soit interdite. Tu pourrais avoir de graves ennuis. Personne ne t'a demandé de vérifier la sécurité du site Web et personne ne t'a donné une autorisation pour le faire.

Certes, tu fais rien de mal, je suis d'accord mais est ce que tu aimerais qu'une personne inconnue vienne chez toi sans que tu le saches pour vérifier si toutes tes serrures sont bétons niveau sécurité ? J'imagine que non. Ici c'est la même chose.

Je te conseille donc d'arrêter tes petits bidouillages aussi infimes soient-ils. Exerce-toi plutôt sur NC qui est fait pour ça.

Ce n'est absolument PAS la même chose : un site web est un lieu public. Ce serait plutôt comparable à une personne dans un centre commercial (lieu public) qui remarque qu'une serrure à l'air mal en point, qui va vérifier et qui se rend compte qu'elle fonctionne absolument mal, qu'une simple pression vers la gauche déverrouille la porte! Une fois rendu là, la personne PEUT agir comme un imbécile et entrer par infraction le soir et voler la marchandise. Mais elle peut aussi agir intelligemment et avertir les gens concernés.

N'agissez pas comme des petits citoyens modèles qui reste à la maison à écouter des émissions stupides et qui laisse l'état libre de faire n'importe quoi. Vous avez des droits et encore un peu de libertés; n'allez pas inventer encore plus de règles! C'est parfaitement légal de regarder un objet (qui t'appartient ou dans un lieu public) et d'essayer de le comprendre. C'est de modifier l'objet en question qui est souvent illégal.

Personnellement je serais beaucoup plus pour l'avis de Nil, certes NC à l'avantage de pouvoir exercer en toute légalité, mais cela dit le hack en situation réelle a ses avantages, et rares sont les admins qui poursuivront en justice quelqu'un qui ( certes sans leur permission ) à mis à jour une vulnérabilité de leur site sans rien demander en retour.

Have fun

Faerasgar

xJustice et mathgl24 vous voulez nous faire croire que vous avez jamais testé des petits hacks comme insérer du html dans un forum, livre d'or alors que le site n'était pas à vous ?

MaZ ... lol, il y a beaucoup de personnes qui n'ont pas l'âme d'un hacker et qui n'essaient pas d'hacker tout ce qu'ils voient. Personnellement, je te jure que je n'ai jamais essayé d'hacker aucun site pour le fun, sauf NC et hackquest. :D J'aime l'informatique et j'aime comprendre ce qui se passe dans la machine, mais je n'ai ni la motivation ni le goût d'apprendre plein de failles ou même d'en découvrir des nouvelles. Je laisse ce travail à d'autres.

Absolument pas. De plus, je trouve qu'injecte du code HTML dans un livre d'or est une idée vraiment stupide. C'est un peu le meilleur moyen de se faire "démasquer" si je puis dire.

Nil, mon exemple est tout à fait valable. Un site Web est une propriété privée qui appartient à l'administrateur. Si celui-ci juge nécessaire de vérifier sa sécurité il fait appel à un spécialiste. Toi tu n'auras jamais le droit juridiquement parlant d'essayer de chercher une faille.

Néanmoins, je suis tout à fait d'accord avec la morale qui dit qu'il faut prévenir l'administrateur en cas de trou de sécurité. Je trouve que c'est rendre un service gratuit (si la démarche de celui qui essaye de trouver une faille est tout à fait honnête).

Seulement, et c'est ça qu'il faut comprendre, c'est que cela est interdit par la loi. Et il y a des raisons. En effet, nous ne sommes pas tous des "gentils" certains, poussés par la curiosité vont vouloir aller de plus en plus loin jusqu'à violer une intimité dans certains cas.

On ne peut pas contrôler tout le monde, et je trouve qu'il est nécessaire de prévenir une personne qui demande ce qu'elle doit faire après avoir vu qu'un site ne protégeait pas l'affichage de ses variables.

NC est fait pour hacker des sites "tests" et c'est fait pour apprendre c'est logique me semble. Je te parle de sites qui ne sont PAS des sites de challenges et pour lesquels tu dois avertir l'admin et avoir son autorisation légale.

Y'a des sites réservés pour ça, c'est amplement suffisant et légal.
D'accord! J'aime l'idée que c'est une propriété privée. Je crois que personne ici n'aimerait qu'une personne quelconque entre dans sa maison sous prétexte qu'il a réussi à débarrer la porte par un tour quelconque. Sachant ça, le propriétaire va sûrement se sentir moins en sécurité non pas seulement pour sa serrure, mais pour l'individu qui est entré. Pourquoi? Parce que c'est louche tout bonnement!
(ça revient à ce que Échap a dit aussi :))

Peut-être que mon analogie maison / site web est un peu extrémiste, c'est pourquoi je suis d'accord avec le fait de demander à l'admin d'offrir ces services pour tester les possibles failles sur le site. Cela mettra l'admin en confiance et après, s'il a besoin de toi, ben tu peux t'amuser comme tu veux, car c'est devenu légal ;).

C'est mon opinion qui se rapproche beaucoup de celle de xJustice.
Bref, si vous avez suffisamment de confiance et que vous jugez votre niveau assez élevé pour hacker des gros site (gouvernement, militaire, commercial, etc.) allez-y mais assumez-en les conséquences si vous vous faites prendre ;).

Sinon, ben il y a la catégorie hacking qui sert à vous pratiquer à comprendre les failles et surtout, à comprendre comment les sécurisé contre d'éventuelles attaques.

Et puis, à quoi ça sert de faire un XSS sur la prévisualisation franchement ?
Sinon, je suis d'accord avec xJustice : c'est le meilleur moyen de se faire repérer. C'est comme NC, si quelqu'un hacke le système de messagerie privée, personne ne s'en rendra compte avant un bout de temps. En revanche, on a repéré depuis belle lurette ceux qui font des essais infructueux sur la shootbox ^^

Bullshit, c'est un bon début, je suis d'accord, mais ce n'est pas amplement suffisant et ce n'est pas réel. Tu sais très bien que ce sont des simulations. Donc, oui, c'est une bonne méthode pour apprendre, mais il faut tester ses connaissances dans le vrai monde. Maintenant que tu as ton chapeau en hacking, tu connais tout :rolleyes:



Ok, je sais pas c'est quoi votre problème avec le concept de propriété privée, mais une site web n'est clairement pas une propriété privée. Prenons blizzard.com, lorsque je tape cette adresse dans mon navigateur, la compagnie activision me donne le droit de regarder la page, donc le code source. Bref, en quoi c'est illégal de regarder ce qu'une compagnie X me montre? Je lui ai demandé "gentiment" (en suivant le protocole ^^), il me l'a donné autant gentiment (lui aussi il a suivi le protocole) et j'ai regardé ce qu'il m'a donné. Si c'est un crime, ne regarde plus jamais ce que tes amis te donnent, le gouvernement veut pas. This is so stupid, I want to puke on myself.

SI c'est réellement illégal de regarder, alors la loi est mal faite. Ce que je vais écrire n'implique que moi, mais quand une loi est mal faite, c'est important de la bafouer le plus possible. C'est une méthode comme une autre de montrer mon désagrément.

Plutot d'accord avec Nil
Je suis pas tout à fait d'accord avec vous...
Là on parle d'un Livre d'or donc les personnes sont amenés à écrire dedans sans que l'admin du site ne les aie autorisées...
c'est comme si c'était normal que des types étaient chez toi ...ou moi en l'occurrence ^^
L'idée du centre commercial est plutôt pas mal de plus elle atténue la gravité du fait.
Mais il est difficile d'imaginer une représentation de ce type dans la vie réel.

ceci-dit,
je suis un débutant qui cherchait a voir au moins une fois si ça marchait. Il n'y aura donc surement pas de récidive...
(ne penser pas que maintenant je vais m'amusé à chercher les failles de chaque site xD)

Ce sujet a tout de même ouvert un débat intéressant ou les idées sont assez partagé^^


pour ceux qui pose la question : Mais franchement a quoi ça sert de hacké un livre d'or ?
Ben le but n'était pas de hacké mais de voir si je pouvais trouver une telle faille (comme on en raconte dans les contes xD) en réel.

je suis juste passé sur ce site et je me suis dit : tiens je vais essayer de mettre du javascript et voir si ça marche...

Sur ce bonne soirée et dorénavant je me contenterai des épreuves de NC, même si ce n'est pas tout à fait la même chose que si ces failles n'étaient pas prévues  ;)

Edit : P.S. : je n'avais pas vu le message de Nil avant de posté celui-ci

J'aime ce genre de débat où les opinions sont bien souvent partagées. :)

Chapeau ? Ouin, si on enlève l'épreuve fantôme ;)
J'aime quand tu pousses à l'extrême Nil. Selon moi, je ne connais que la base (sans prétention). Le fait est qu'il manque d'épreuves qui représentent la vraie vie. Mais il faut comprendre que de concevoir ce genre de simulation n'est pas une tâche facile. Ce qui serait merveilleux serait de créer une épreuve réaliste, très réaliste et ce, sans fournir le moindre indice aux challengers. Le but serait d'obtenir le passwd de l'admin et son login puis de valider avec ça. Pourquoi je n'en crée pas ? La tentation est forte, mais je n'ai pas le goût de tout concevoir ça. De plus, ça demanderait beaucoup de temps et je n'ai plus le temps pour ça.

J'espère avoir répondu à tes extrêmes pensées mon cher Nil   :D

De toute manière cela servirait à rien de le cacher car une page Web n'est que le reflet du code HTML que tu peux voir dans la source. (Je prends pas en compte le PHP côté server).


L'admin du site Web t'autorise à poster un message sur son livre d'or mais en revanche, il t'interdit d'essayer de corrompre son script qu'il a eu tant de mal à mettre sur pied. Il y a une nuance que tu n'as pas bien saisie.

Par ailleurs, un site Web est bien une propriété privée. Le contenu appartient à celui qui l'a fait. C'est ce que l'on appèle le copyright. On t'offre la possibilité d'avoir accès à certains médias ou types d'informations, mais en revanche, on t'interdit d'en faire ce que tu veux. Par exemple, certains sites Web refusent la copie partielle ou totale des pages. D'autres refusent que tu essayes de faire planter le script même si cela part d'une bonne intention.


Haha Nil ne serais-tu pas un tentiné anarchique ?
Même si une loi est mal faite, il n'est pas nécessaire de la violer bafouer le plus possible. Cela n'arrangerait pas les choses je pense. Je trouve que tu as une pensée un peu contradictoire (sans vouloir être prétentieux). Tu dis qu'il faut bafouer une loi mal faite mais tu es contre le fait d'hacker un site mal programmer!

Hahaha, I see what you did here.

Ma pensée peut sembler contradictoire, mais elle est bien simple : fais tout ce que tu veux sans faire chier les autres. Sérieusement, c'est du gros bon sens.  Voici un exemple très simple :
- Me faire voler les mots de passe de mes usagers à cause d'un hacker stupides, j'aime pas, ça me fait chier.
- Me faire indiquer que j'ai une faille sur mon site par un gentil hacker, j'aime, ça empêche qu'un méchant me fasse chier.

Vous voyez, c'est du gros bon sens! Et, non, ce n'est pas que MON avis personnel, faut être un idiot total pour être frustré qu'une personne t'aide.

C'est un peu comme la question : "Est-ce qu'un crime sans victime devrait être puni?" Voyant votre genre de philosophie, vous allez surement dire que, si c'est illégal, alors ça devrait être puni, mais je trouve que c'est une pensé de merde.

C'est un bon point que tu apportes. Ne pas faire chier, mais aider!
C'est moi qui était un peu trop extrême vu de même. :oops:
Mais c'est cool le débat qui s'en dégage. Dans ce cas-ci, il faudrait se poser la question suivante : Jusqu'où est la limite de l'illégalité ?

Mais on est tout à fait d'accord avec toi Nil ! Seulement pour éviter toute ambiguïté et pour être sûr de ne faire chier personne, il est préférable de demander l'autorisation à l'admin avant de vouloir chercher une faille. Et c'est ça que je dis depuis tout à l'heure.


Personnellement, je serais heureux que quelqu'un m'informe que mon site a été codé avec les pieds et qu'il est bon à jeter à poubelle étant donné les nombreuses failles de sécurité. Seulement, si j'étais une personne qui aurait des informations personnelles, je serais bien triste de savoir que ma vie privée a été bafouée par un illustre inconnu...

J'en reviens donc au fait qu'il faille demander la permission avant d'entamer quoi que ce soit.


Cette limite est indiquée par la loi tout simplement. Certains vont au delà de cette limite dans le but d'aider et je les félicite. Seulement, il faut savoir ne pas aller trop loin.

Par exemple, imaginons une personne qui cherche une faille sur un site pour passer le temps et qu'elle a une autorisation de l'admin. Elle trouve une faille XSS, en effet sont code JS a été exécuté. Elle a deux options :
- soit il fait rien d'autre et prévient l'admin,
- soit il essayer de chopper les cookies de l'admin et exploite au maximum la faille.

Pour moi le premier choix est plus louable que le premier. La personne n'a rien fait de grave, elle va juste indiquer qu'une attaque est possible à ce niveau là. Par contre, le deuxième choix va trop loin car il va abuser de la confiance de l'admin et va lui voler quelque chose qui ne lui appartient pas.

La loi est peut-être mal faite mais tu ne peux pas être trop laxiste car certaines personnes vont forcément en abuser. C'est à cause de ça que la loi est mal faite selon moi.

@Echap: Techniquement, il donne l'autorisation d'utiliser son script, donc d'y entrer les caractères qu'on veut, donc sur un point de vue pratique, si on entre des balises ou autres, tu as le droit de le faire, ce qui est interdit, c'est d'exploiter le fait que ça fasse une erreur.
Donc, si tu trouve une faille sans l'exploiter, tu es dans ton droit, tu ne fais qu'utiliser ce que le créateur du site t'as donné le droit d'utiliser. Après tout, il te donne le droit d'accéder à son site web, donc aussi aux failles, pour bien faire il faudrait qu'il stipules précisément sur son site qu'il est interdit d'aller dans des endroits autres que ceux indiqués par des boutons ou des liens trouvés sur les pages auxquelles on a accédés via ces boutons. Seulement la loi est mal foutue, elle condamne aussi les gens qui utilisent les failles qu'ils trouvent.

C'est comme si tu avais un nouveau jouet étant gosse, par exemple un action-man, il est fait pour être joué comme un personnage, imaginons ( ok, c'est primaire comme image ) que tu t'en serve comme d'une massue en le prenant par les pieds, c'est du hack donc ? Tu utilise l'objet que les constructeurs te présentent à des fins qui ne sont pas celles pour lesquelles il est prévu ?

Seulement voilà, et c'est là qu'il faut tous se le mettre dans la tête, la LOI fait que c'est interdit d'appliquer ce principe aux site web et à leur failles potentielles ..

Have fun

Faerasgar

Salut !

Le débat chapeau blanc / chapeau noir n'est pas nouveau et provoquera, je pense, encore de nombreux vilains trolls ;)

Pour le risque penal lié à une gentille petite xss, la loi ne date pas d' hier:
(la loi est vague et cela fait le bonheur des avocats. Cf les cas de jurisprudence)

Loi Godfrain du 5 janvier 1988

Article 462-2
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données sera puni d'un emprisonnement de deux mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines. Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de deux mois à deux ans et l'amende de 10.000F à 100.000F.

(Le délit d'intrusion (accès dans un système informatique) est puni d'un an d'emprisonnement de 100000 francs d'amende. Cette peine s'applique à un grand éventail d'accès frauduleux, incluant l'accès à un système avec un nom d'utilisateur et un mot de passe autre que le sien.)

==> Une petite backdoor, un vol de session anodin, vous êtes cuits.

Article 462-3
Quiconque aura, intentionnellement et au mépris des droits d'autrui, entravé ou faussé le fonctionnement d'un système de traitement automatisé de données sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 10.000F à 100.000F ou de l'une de ces deux peines.

==> un bout de php ou une requete SQL injectée de travers, vous etes cuits.

Article 462-4
Quiconque aura, intentionnellement et au mépris des droits d'autrui, directement ou indirectement, introduit des données dans un système de traitement automatisé ou supprimé ou modifié les données qu'il contient ou leurs modes de traitement ou de transmission, sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 2.000F à 500.000F ou de l'une de ces deux peines.

==>  une requete SQL injectée, vous êtes cuits.


Article 462-7
La tentative des délits prévus par les articles 462-2 à 462-6 est punie des mêmes peines que le délit lui-même.

==> ma préférée ^^,juste un coup de SQLInjectMe, vous êtes cuits.

Article 462-8
Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d'une ou de plusieurs infractions prévues par les articles 462-2 à 462-6 sera puni des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

=> En groupe, c'est plus cool la prison !

La loi est ainsi faite et nul n'est censé l'ignorer.
Il est vrai que je gentil hacker qui se fait plaisir en testant des failles et en prevenant l'admin ne fait rien de mal, mais si le webmaster est un peu obtus,
vous n' obtiendrez pas gain de cause devant un tribunal.
Pire encore, s' il est averé que vous actes ont provoqué (directement ou pas) une interruption de service, alors vous devrez indemniser la victime.

Bref pour le fun, perso j' préfère Disneyland.

Faerasgar, j'ai édité mon message afin d'apporter d'avantage de précision.

Je ne voudrais pas passer pour ce que je ne suis pas. Non mon père n'est pas un flic et non je suis pas un gentil bonhomme qui respect toutes les lois. Je dis juste qu'il ne faut pas jouer sur les mots. Je préviens que le fait d'injecter du code dans un livre d'or par exemple est illégale. Si, si car en faisant ça, tu essayes de voir si la faille est présente. C'est donc un acte prémédité qui va engendrer différentes actions (bonnes ou mauvaises).


Non, il n'est pas au courant des failles. Cela n'est pas une porte ouverte avec marqué dessus "venez tester la sécurité de mon site Web".

Imagine que tu es un personne qui cherche une faille sur un site. Tu découvres une faille SQL. Tu arrives donc à bypasser le système d'authentification. Tu as maintenant accès à une partie qui normalement t'es interdite. Pour toi c'est normal vu que tu as accès au site (et donc aux failles). Pour moi c'est illégale car tu n'as pas le droit d'avoir un accès à la partie admin (en théorie).


Cela résume bien le fait qu'il est préférable de refouler sa bonne volonté étant donné les sanctions que cela peut entrainer.


Disneyland fun OMG ! C'est un monde de dingues avec des musiques de dingue, avec des parents dingues et des mômes dingues.  

[HS]Drôle ta signature akway. Surtout en ce moment ![/HS]

@Echap, je n'ai pas dit qu'il était normal d'être dans une zone ou on est pas censé être car on a accès au failles, j'ai dit que l'on avait le droit de mettre en évidence une faille, sans pour autant l'exploiter.
Et, même si il n'est pas au courant qu'il y a des failles, toi, techniquement, tu n'es pas censé savoir que les failles qui sont présentes ne sont pas partie intégrante du site  :P

Faerasgar

Pour moi sans une autorisation de l'admin cela reste illégal. CF textes de loi postés plus haut.


Ca serait me prendre moi-même pour un con  :lol: !

Bon, je n'ai plus d'argument. J'aime juste pas les lois qui empêchent le monde de faire des choses simples ou qui empêchent le monde d'apprendre.
- J'ai un ami qui a eu une contravention parce qu'il a traversé la rue sans être sur la ligne jaune.
- Le cas qu'on discute ... de la prison parce qu'on veut aider un webmaster incompétent (qui devrait même pas avoir le droit de faire un site web), c'est stupide.
- Plein de lois incohérentes et stupides.

C'est ça, euh, plus rien à dire.

Des lois stupides, c'est pas ça qui manque au Québec  :mad:
Pour le hacking, on est cuit partout selon le post de akway  =D

Je crois qu'il faut user du GROS BON SENS  autant pour celui qui navigue sur le site que pour l'admin. Oui, l'admin peut dénoncer la personne qui essaie de l'aider et lui foutre de la merde. C'est totalement ... (Je m'abstiens ici :)). Idem pour le black hat qui essaie de faire du tort à l'admin.

C'est là que ça devient difficile de juger et donc avoir une sorte de confiance l'un à l'autre. L'admin pourrait aussi bien laisser le hacker (white hat) lui dire les failles de son site et le remercier. Puis, il le dénonce (pire cas, mais la loi le protège). Soit le hacker (black hat) vole de l'information importante sur le site et s'en sert dans un but maléfique. Puis, il se fait prendre par l'admin et la loi le punit. Or, il pourrait aussi bien s'en sortir, which is bad!

Bref, je crois qu'il faut néanmoins rester prudent dans ce genre de chose. Si on est white hat, alors s'assurer de connaître l'admin ou ben de faire des actions pour lesquelles on est sûr de ne pas se faire retracer.

Nil : T'as plus d'arguments ? Je n'y crois pas une minute =D.

Moi j'ai pas tout lu, mais je veux juste préciser le post d'akway, c'est l'article 323 du code pénal, pas le 462, et accessoirement, le 323-1 définit que l'accès non autorisé, même sans modification, est passible d'amende/prison, article qui n'était pas mis dans le post d'akway.

Enjoy

The lsd

Au niveau du Hacking (au sens le plus large) on ne t'empêche pas de te documenter au maximum. Ce que l'on t'empêche c'est d'appliquer ce que tu apprends. Je trouve ça stupide c'est comme si l'on te disait "Tu as le droit d'apprendre un métier mais tu n'as pas le droit de l'exercer !"


C'est navrant de constater qu'il ne faut pas donner le pouvoir aux imbéciles qui vont forcément en abuser. La loi ne protège pas toujours les bonnes personnes et c'est pas nouveau malheureusement...


Après tout, si il sait mal coder c'est son problème. Il se mettra dans la merde tout seul et cela sera quelque part pédagogique pour lui de voir son site totalement détruit. C'est en se brûlant le doigt pour la première fois que l'on comprend qu'il ne faut pas toucher la bougie sur la table.
Ma pensée pourrait sembler égoïste mais parfois je pense qu'il ne faut pas se mêler des affaires des autres surtout lorsque l'on y est pas invité.
 

Et c'est ainsi que le débat de Full disclosure naquit.

Echap, ton raisonnement est pas top :

"Mieux vaut, pour webmaster en herbe, qu'il se fasse crasher son site au lieu d'être prévenu ça lui apprendra à ce garnement !"

 :/

Je résume/caricature peut être, mais je ne suis pas loin de ton propos.

Tu as surement déjà été débutant dans un domaine non ?

Si oui, peut être que tu as du apprécier différents conseils entendus.


La devise des white hats pourrait peut être se résumer par "Mieux vaut prévenir que guérir".

Vous ne pensez pas ?

Non je n'ai pas du tout dit ça. J'ai dit que cela peut servir d'apprentissage de se faire défacer car on apprend mieux de ses erreurs. Je veux dire par là que c'est une forme d'apprentissage comme une autre.

maléfique =)
genre ====> mouahahahahaha !!!!^^
Bon bref suffit de m'absenté une demi-journée pour voir quasi 20 messages supplémentaires =)
Ca devient très intéressant car tout le monde donne son avis  :P

Pour ma part si je possède un site et que quelqu'un me mail pour m'annoncer qu'il y a une faille quelque part. Je le remercierais...pourquoi le poursuivre ? c'est stupide
(c'est un peu comme si vous perdez un billet de monnaie et qu'une personne le ramasse, vous interpèle pour vous dire que vous venez de perdre ce billet, et que vous vous poser plainte pour vol ) xD ce qui n'a donc aucun sens
C'est une question de savoir-vivre.

Ensuite on parle de risque en parlant des pennes d'amende et de prison. J'ai l'impression que certaines personnes voient directement la plus grande punition...

Donc je suis d'accord, il y a des chance (si on peut parler de chance dans ces cas-là xD) mais les chances sont des plus minimes non ?

(attention : je ne dit pas que parce que les chances sont minimes que l'on peut faire ce que l'on veut sans rien risquer...)

hehe, debat tres intéressant !!

Perso, j'ai commence a me renseigner sur la sécurité info lorsqu'un gars m'a envoyé un mail pour me dire qu'il avait pu se connecter en tant qu'admin... j'ai trouve ca enorme et on a échangé pas mal d'infos.
Mais c'est ma personnalité, et d'autres webmaster pourraient tres bien a gagner de l'argent en attaquant le hacker, white hat ou non.  :(

En revanche, laisser un site se faire hacker pour donner une leçon au webmaster pourrait sembler être de l'égoïsme dans la mesure ou soi-meme ou des amis ou TOUTE autre personne possédant des infos dans ce site pourrait courir le risque que ses infos soient mal utilisées par des black hats.

J'aime l'idee que les white hats sont du bon cotes et tentent d'être en avance sur les black hats.
C'est une guerre entre "chiffreurs" et "déchiffreurs"... 8)

A chacun de faire ses choix, perso, je suis plus du genre a ne pas tenter de "hacker" les autres sites (et je ne l'ai d'ailleurs jamais tente a part sur la shoutbox de NC sur laquelle j'ai lamentablement échoué... :oops:), cela ne m'apporterait rien.
Mais qui sait...

La notion de légalité est differente d'une personne a une autre, la loi est faite pour unifier ces divergences et ceux qui la franchissent sont autant important que ceux qui la protege. C'est ce qui permet l'evolution.

<script>alert("I WOULD LIKE TO BE A WHITE HAT, BUT LAW HUNT MY POPULATION");<script> ;)

Loi mal faites ? je ne pense pas, je m'explique.

Aujourd'hui, sur internet, amateur comme professionnel, tout le monde peut mettre du contenu online. Blog, video, programme, le milieu est ouvert à tous. En partant de ce point la, il va forcement y avoir du contenu sécurisé, et d'autres pas (et je ne rentre même dans les divers degrés de ce qu'est la sécurité).
Donc dans un domaine aussi vaste de possibilités de ce qui peut être une fraude ou de ce qui peut léser quelqu'un, de mon point de vue, il ne reste qu'une possibilité pour protéger le plus de monde possible, la tolérance zéro.
Imaginons une banque qui vous laisse voir les millions dans le coffre du voisin, vous laissant seul avec, en vous précisant que s'il vous plait, il ne faut pas toucher.

Ensuite, le hacking en général pose divers problème selon moi. Pour un programmeur professionnel, le hacking est une connaissance indispensable, mais son apprentissage est complexe.
- Tout d'abord, l'accès à la connaissance. Les sites parlant de hacking parlent souvent des 3 même conneries en voient d'extinctions et datant de 10ans, mais bon, c'est la base, apprenons la.
- Ensuite l'expérimentation. Où pratiquer ? Heureusement que des sites comme NC existent. Sinon comme le disait Akway, on est cuit :)
- Et enfin l'aide. Une chose rare et difficile à obtenir en tant que débutant. C'est une mentalité un peu extrême que j'ai découverte en démarrant, mais les personnes ayant la connaissance vous aiderons sur une condition:  "Vous devez avoir fait un gros travail de recherche préalable et demander de l'aide sur un point très spécifique". Sans cela, on se fait jeter. Un "je ne comprend pas" global, entraine une réaction de "blaze", se concluant par un "RTFM". De ce fait, démarrer est difficile quand on ne sait pas pour où passer. il y a une barrière énorme à franchir au début qui peut en rebuter beaucoup.

Voila, selon moi, les deux aspects totalement contradictoire du hacking. D'un coté on clame qu'il faut avoir accès à la connaissance pour ne pas faire de dev de boulet, d'un autre coté, on n'encourage pas cette progression en conservant, presque jalousement, ces connaissances.

Donc il est très clair que sur le sujet, la loi est brutale et dénué de bon sens. Mais si elle l'était, elle devrait supposer que les gens sont réglo, or, toutes personnes ayant un peu vécu sait que ca n'existe pas. Ya toujours quelqu'un qui essaiera de vous entuber, alors pas le choix.
Donc pour aller plus loin, je dirais que la loi est conne, oui, mais parce qu'il y a des connards qui tenteront forcement de profiter des faiblesses du système.


Après, d'un point de vue personnel, il est vrai que de voir certains sites codés avec les pieds et encore .... le mec devait être unijambiste, ca fait mal au cul. Que l'envi de lui péter avec un petit mot dessus est grande, mais si on commence à palabrer sur ce qu'est une sécurité suffisante sur un site, on en finit plus. Il y aura toujours un mec qui en connait un poil plus et qui va réussir la où vous pensiez que personne ne passerait. Donc pour moi, un définition satisfaisante de la sécurité est ceci: "L'important est que l'abruti qui va avoir lu son petit tuto de hack et qui va l'expérimenter chez moi échoue". Après si un mec trouve une faille et m'explique comment régler le soucis, je lui dirais merci, mais faut être réaliste. Vous aurez beau avoir une porte blindé avec 17 serrures chez vous, si un mec se pointe et défonce le mur au marteau piqueur vous êtes baisé ...