NewbieContest

Salut à tous,
Les lois informatiques sont bien faite, je les ai donc bien lus une à une (même si j'en ai oublié pas mal), et je me demandais si découvrir une faille, la révéler à l'administrateur sans l'avoir exploitée, est légal ou non.

Exemple:
Découvrir une faille web sur un site et le dire à l'administrateur réseau de cette page.

Ou encore:
Trouver un document(crypté) avec tous les mots de passes d'un serveur, et le dire à l'administrateur.

Car je ne souhaiterai pas aller en prison pour avoir aider un administrateur.
Merci de votre réponse.
X-One
 

Si l'admin n'est pas au courant que tu teste la sécurité de son environnement, oui, t'es es totalement hors la loi. (300k€ d'amende et 3 ans de prison, ou quelque chose du genre)

T'as de la chance, ici, t'as des épreuves pour tester en toute légalité :)

Enjoy

The lsd

Merci beaucoup,
Ce n'est pas vous l'avocat?

o0 Euhhhhh, non, j'suis pas trop dans le droit moi. Je sais même pas s'il y a un avocat qui traîne dans le coin.

Enjoy

The lsd

Y en a un dans mon frigo

Doit pas être mûr à cette période, je l'aurais pas acheté moi à ta place.

Enjoy

The lsd

lool =D =D =D

Erreur: l'avocat c'est moi =D

http://anthony-fitness.com/wp-content/uploads/2012/12/avocat-300x199.jpg (http://anthony-fitness.com/wp-content/uploads/2012/12/avocat-300x199.jpg)

ferbos

Code pénal
Article 323-1

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
------------------------
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement. La situation que tu évoques me fait penser à la vieille affaire KITEKOA/TATI, une des plus connues sur le sujet. Voir par exemple http://www.droit-ntic.com/news/afficher.php?id=99 (http://www.droit-ntic.com/news/afficher.php?id=99).

PS. Je ne suis pas avocat.

A cela, on peut rajouter les articles 323-2, 323-3, et 323-4, qui condamnent respectivement, le fait d'entraver l'accès à un Système d'Information, la modification/suppression de données d'un SI, et le regroupement de plusieurs personnes pour faire les délits précédents.

Toujours pour le 323-1, il y a les affaires de Zataz et de bluetouff qui sont relativement connues.

Enjoy

The lsd

Trouver une faille, est-ce nécessairement accéder ou se maintenir dans un système? Exemple: je peux trouver une faille XSS sur un site sans pour autant m'y introduire.


Ce dernier reste à définir et savoir ce que recouvre les "données": BDD uniquement, ou site web (formulaire, pages web, ....)

Je pense que ce n'est pas aussi simple. Et puis, il manque "l'intention de nuire" ou non (en analogie à homicide volontaire ou involontaire): en tombant par hasard, sur un fichier très mal protégé, suis-je passible d'une peine de 2 ans de prison. Ce serait fort de café =D

Sinon: http://legifrance.gouv.fr/ (http://legifrance.gouv.fr/)

ferbos

Il peut arriver qu'une page appelée à parti d'un lien autorisé révèle une faille. En ce cas, pas de problème : le 323-1 ne s'applique pas (l'accès n'est pas illégal car accidentel).... sauf si à partir de là je commence à fouiller (je me maintiens sans autorisation).  Mais soyons pragmatiques... Neuf fois sur dix, c'est en tentant quelque chose que la faille sera découverte par le "visiteur". Et donc on aura bien un accès illégal. En gros, « dès lors qu'une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d'autorisation, peu importe le mobile » dit le TGI de Vannes par exemple.
Quant à la notion de STAD, dès qu'il y a trois informations, structurées en BDD ou non, et deux liens hypertexte, on est dans un STAD.
Pour plus de précisions voir les sites ou blogs d'avocats spécialisés genre Alian Bensoussan, Hervé Schauer, Murielle Cahen. Exemple :
http://www.murielle-cahen.com/publications/p_intrusions.asp (http://www.murielle-cahen.com/publications/p_intrusions.asp)

Sur le plan de l'intention de nuire, pour reprendre l'expression utilisée, l'article 121 du code pénal dispose qu'il n'y a nul crime nul délit sans l'intention de le commettre. Mais cet élément "moral" ou "intentionnel" de l'infraction est souvent en pratique limité à la conscience qu'avait l'individu de franchir la "ligne jaune". Et au cas particulier, peu importe qu'il ait ou non voulu nuire. Et donc si l'accès ou le maintien (ou les deux) sont "irréguliers", bingo.

Donc en gros, attention où vous mettez les pieds...

Exactement ce que je voulais entendre =D

Mon problème c'est la "ligne jaune" car elle dépend implicitement du niveau de sécurité mis en place. Le simple fait de vouloir être sécurisé sans pour autant avoir une sécurité pose cette ligne à un niveau très bas donc à des poursuites au civil et non pénal par le simple fai de la protection de données sensibles.

En recoupant une autre information (ci-dessous), ce qui me révolte donc c'est le coup de la NSA qui aurait dû nous (en Europe) rapporter un maximum de pognon: potentiellement 70 000 000 x 30 000€.... Cela laisse rêveur =D Justice à deux vitesses... il faut croire que oui....

http://www.newbiecontest.org/forums/index.php?topic=4174.0 (http://www.newbiecontest.org/forums/index.php?topic=4174.0)

ferbos

Petit complément pour les webmasters, propriétaires de site, DSI, RSSI et autres. Là c'est le visité qui est visé, et non plus le visiteur :)
Article 226-17 du code pénal :
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Article 34 de la loi 78-17 (Informatique et libertés) :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Bref, si un site ressemble à une passoire, y en a qui peuvent se faire du mouron sur le plan pénal (voire sur le plan de la responsabilité civile si les failles ont entraîné un dommage pour quelqu'un et que le lien entre faille et dommage est établi).

Il ne faut pas être trop pressé avec la CNIL =D

ferbos

En l'occurrence, la CNIL ne peut rien faire si elle n'est pas saisie d'un projet de décret par le gouvernement. Et comme le texte dit que des décrets "peuvent être pris", je suppose que ledit gouvernement ne s'est pas vraiment senti obligé...

et bien c'est un peu plus tordu que ça:
"Cas particulier : pour les demandes d’autorisation et les demandes d’avis, la CNIL a deux mois pour se prononcer, par décision qui vous est notifiée par courrier."
http://www.cnil.fr/vos-obligations/declarer-a-la-cnil/mode-demploi/et-apres/ (http://www.newbiecontest.org/vos-obligations/declarer-a-la-cnil/mode-demploi/et-apres/)

C'est plus simple encore. Sachant que la CNIL a deux mois pour répondre et sachant qu'en ce moment ce ne sont pas des flèches, il est possible d'avoir des avis favorables pour le moins assez aisément si la commission ne répond pas dans les temps =D

On peut imaginer un flood d'avis CNIL =D

ferbos

Je ne parlais pas des demandes d'avis ou d'autorisations des déclarants. Je voulais juste dire que concernant les décrets relatifs à l'article 34, j'ai comme l'intuition (pas plus) que le gouvernement n'a jamais demandé d'avis à la CNIL car il n'a jamais envisagé de sortir de décrets, ceux-ci n'étant pas obligatoires et la loi pouvant s'appliquer en l'absence de décrets "éventuels".

Sûr.

La Loi peut s'appliquer sans décret mais "le responsable du traitement est tenu de prendre toutes les précautions utiles": cela signifie que, si ce n'est pas le gouvernement qui établit les demandes d'avis auprès de la Commission au travers de décrets pour définir les prescriptions techniques, le "responsable" doit le faire =D

Le responsable "doit", les décrets "peuvent" =D

ferbos

On est bien d'accord. C'était le sens de mon message d'alerte (?) sur le 226-17 qui pèse sur les responsables de SI.

Je pense qu'il y a grosse bourde car une loi sans décret d'application n'est pas tenue d'être appliquée.... mais dans cette loi on institue la CNIL. On est donc dans un contexte un peu différent.

Et puis deux petits "détails" =D
- le premier:
je ne retrouve pas l'article n°34 dûment cité: http://legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=19780107&pageDebut=00227&pageFin=&pageCourante=00230 (http://legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=19780107&pageDebut=00227&pageFin=&pageCourante=00230)
- de plus,concernant les décrets:
Sur cela, j'ai un article n°46: http://legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=19780107&pageDebut=00227&pageFin=&pageCourante=00231 (http://legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=19780107&pageDebut=00227&pageFin=&pageCourante=00231)

Autre petit détail: les décrets, s'ils ne sont pas fait dans les règles notamment dans le temps imparti, peuvent être annulés avec la loi qui l'accompagne par le Conseil d'Etat.

Cela, ça ne change pas mais je ne retrouve pas le texte =D

ferbos

Et pourtant, il est ici
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/#Article34
Hum..

Autant (au temps?) pour moi, j'avais la version originelle et non la version consolidée au 10 avril 2015 (mais c'est aujourd'hui =D):
http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460&categorieLien=cid (http://www.newbiecontest.org/affichTexte.do?cidTexte=JORFTEXT000000886460&categorieLien=cid)

Du coup, ici c'est l'article 71 qui précise qu'il y a des décrets d'applications:
Cela dit donc qu'il y a des décrets d'application mais pas nécessairement avec des spécifications techniques.

Merci pixis =D

ferbos

Salut à tous,
Merci beaucoup pour votre réponse...
J'ai bien compris, je ne m'amuserai donc pas à fouiner.(sauf sur les épreuves de ce site)
X-One

Aujourd'hui, je sais: http://bescherelletamere.fr/autant-pour-moi-ou-au-temps-pour-moi/ (http://bescherelletamere.fr/autant-pour-moi-ou-au-temps-pour-moi/)
J'ai toujours eu de la mémoire pour les trucs inutiles ^^

ferbos

Merci, j'ai encore appris quelque chose aujourd'hui. J'avais toujours utilisé la formulation "Autant", mais à tord ! :-)