[Nil]

Y'a des sites réservés pour ça, c'est amplement suffisant et légal.

Bullshit, c'est un bon début, je suis d'accord, mais ce n'est pas amplement suffisant et ce n'est pas réel. Tu sais très bien que ce sont des simulations. Donc, oui, c'est une bonne méthode pour apprendre, mais il faut tester ses connaissances dans le vrai monde. Maintenant que tu as ton chapeau en hacking, tu connais tout

Nil, mon exemple est tout à fait valable. Un site Web est une propriété privée qui appartient à l'administrateur. Si celui-ci juge nécessaire de vérifier sa sécurité il fait appel à un spécialiste. Toi tu n'auras jamais le droit juridiquement parlant d'essayer de chercher une faille.

Ok, je sais pas c'est quoi votre problème avec le concept de propriété privée, mais une site web n'est clairement pas une propriété privée. Prenons blizzard.com, lorsque je tape cette adresse dans mon navigateur, la compagnie activision me donne le droit de regarder la page, donc le code source. Bref, en quoi c'est illégal de regarder ce qu'une compagnie X me montre? Je lui ai demandé "gentiment" (en suivant le protocole ^^), il me l'a donné autant gentiment (lui aussi il a suivi le protocole) et j'ai regardé ce qu'il m'a donné. Si c'est un crime, ne regarde plus jamais ce que tes amis te donnent, le gouvernement veut pas. This is so stupid, I want to puke on myself.

SI c'est réellement illégal de regarder, alors la loi est mal faite. Ce que je vais écrire n'implique que moi, mais quand une loi est mal faite, c'est important de la bafouer le plus possible. C'est une méthode comme une autre de montrer mon désagrément.

[D4rKpr3d4toR]

Plutot d'accord avec Nil

Certes, tu fais rien de mal, je suis d'accord mais est ce que tu aimerais qu'une personne inconnue vienne chez toi sans que tu le saches pour vérifier si toutes tes serrures sont bétons niveau sécurité ? J'imagine que non. Ici c'est la même chose.

Je suis pas tout à fait d'accord avec vous...
Là on parle d'un Livre d'or donc les personnes sont amenés à écrire dedans sans que l'admin du site ne les aie autorisées...
c'est comme si c'était normal que des types étaient chez toi ...ou moi en l'occurrence ^^
L'idée du centre commercial est plutôt pas mal de plus elle atténue la gravité du fait.
Mais il est difficile d'imaginer une représentation de ce type dans la vie réel.

ceci-dit,
je suis un débutant qui cherchait a voir au moins une fois si ça marchait. Il n'y aura donc surement pas de récidive...
(ne penser pas que maintenant je vais m'amusé à chercher les failles de chaque site xD)

Ce sujet a tout de même ouvert un débat intéressant ou les idées sont assez partagé^^


pour ceux qui pose la question : Mais franchement a quoi ça sert de hacké un livre d'or ?
Ben le but n'était pas de hacké mais de voir si je pouvais trouver une telle faille (comme on en raconte dans les contes xD) en réel.

je suis juste passé sur ce site et je me suis dit : tiens je vais essayer de mettre du javascript et voir si ça marche...

Sur ce bonne soirée et dorénavant je me contenterai des épreuves de NC, même si ce n'est pas tout à fait la même chose que si ces failles n'étaient pas prévues  

Edit : P.S. : je n'avais pas vu le message de Nil avant de posté celui-ci

[mathgl24]

J'aime ce genre de débat où les opinions sont bien souvent partagées.

Maintenant que tu as ton chapeau en hacking, tu connais tout

Chapeau ? Ouin, si on enlève l'épreuve fantôme
J'aime quand tu pousses à l'extrême Nil. Selon moi, je ne connais que la base (sans prétention). Le fait est qu'il manque d'épreuves qui représentent la vraie vie. Mais il faut comprendre que de concevoir ce genre de simulation n'est pas une tâche facile. Ce qui serait merveilleux serait de créer une épreuve réaliste, très réaliste et ce, sans fournir le moindre indice aux challengers. Le but serait d'obtenir le passwd de l'admin et son login puis de valider avec ça. Pourquoi je n'en crée pas ? La tentation est forte, mais je n'ai pas le goût de tout concevoir ça. De plus, ça demanderait beaucoup de temps et je n'ai plus le temps pour ça.

J'espère avoir répondu à tes extrêmes pensées mon cher Nil  

[Echap]

Prenons blizzard.com, lorsque je tape cette adresse dans mon navigateur, la compagnie activision me donne le droit de regarder la page, donc le code source.

De toute manière cela servirait à rien de le cacher car une page Web n'est que le reflet du code HTML que tu peux voir dans la source. (Je prends pas en compte le PHP côté server).

Je suis pas tout à fait d'accord avec vous...
Là on parle d'un Livre d'or donc les personnes sont amenés à écrire dedans sans que l'admin du site ne les aie autorisées...

L'admin du site Web t'autorise à poster un message sur son livre d'or mais en revanche, il t'interdit d'essayer de corrompre son script qu'il a eu tant de mal à mettre sur pied. Il y a une nuance que tu n'as pas bien saisie.

Par ailleurs, un site Web est bien une propriété privée. Le contenu appartient à celui qui l'a fait. C'est ce que l'on appèle le copyright. On t'offre la possibilité d'avoir accès à certains médias ou types d'informations, mais en revanche, on t'interdit d'en faire ce que tu veux. Par exemple, certains sites Web refusent la copie partielle ou totale des pages. D'autres refusent que tu essayes de faire planter le script même si cela part d'une bonne intention.

SI c'est réellement illégal de regarder, alors la loi est mal faite. Ce que je vais écrire n'implique que moi, mais quand une loi est mal faite, c'est important de la bafouer le plus possible. C'est une méthode comme une autre de montrer mon désagrément.

Haha Nil ne serais-tu pas un tentiné anarchique ?
Même si une loi est mal faite, il n'est pas nécessaire de la violer bafouer le plus possible. Cela n'arrangerait pas les choses je pense. Je trouve que tu as une pensée un peu contradictoire (sans vouloir être prétentieux). Tu dis qu'il faut bafouer une loi mal faite mais tu es contre le fait d'hacker un site mal programmer!

[Nil]

Hahaha, I see what you did here.

Ma pensée peut sembler contradictoire, mais elle est bien simple : fais tout ce que tu veux sans faire chier les autres. Sérieusement, c'est du gros bon sens.  Voici un exemple très simple :
- Me faire voler les mots de passe de mes usagers à cause d'un hacker stupides, j'aime pas, ça me fait chier.
- Me faire indiquer que j'ai une faille sur mon site par un gentil hacker, j'aime, ça empêche qu'un méchant me fasse chier.

Vous voyez, c'est du gros bon sens! Et, non, ce n'est pas que MON avis personnel, faut être un idiot total pour être frustré qu'une personne t'aide.

C'est un peu comme la question : "Est-ce qu'un crime sans victime devrait être puni?" Voyant votre genre de philosophie, vous allez surement dire que, si c'est illégal, alors ça devrait être puni, mais je trouve que c'est une pensé de merde.

[mathgl24]

Hahaha, I see what you did here.

Ma pensée peut sembler contradictoire, mais elle est bien simple : fais tout ce que tu veux sans faire chier les autres. Sérieusement, c'est du gros bon sens.  Voici un exemple très simple :
- Me faire voler les mots de passe de mes usagers à cause d'un hacker stupides, j'aime pas, ça me fait chier.
- Me faire indiquer que j'ai une faille sur mon site par un gentil hacker, j'aime, ça empêche qu'un méchant me fasse chier.

Vous voyez, c'est du gros bon sens! Et, non, ce n'est pas que MON avis personnel, faut être un idiot total pour être frustré qu'une personne t'aide.

C'est un peu comme la question : "Est-ce qu'un crime sans victime devrait être puni?" Voyant votre genre de philosophie, vous allez surement dire que, si c'est illégal, alors ça devrait être puni, mais je trouve que c'est une pensé de merde.

C'est un bon point que tu apportes. Ne pas faire chier, mais aider!
C'est moi qui était un peu trop extrême vu de même.
Mais c'est cool le débat qui s'en dégage. Dans ce cas-ci, il faudrait se poser la question suivante : Jusqu'où est la limite de l'illégalité ?

[Echap]

Hahaha, I see what you did here.

Ma pensée peut sembler contradictoire, mais elle est bien simple : fais tout ce que tu veux sans faire chier les autres. Sérieusement, c'est du gros bon sens.

Mais on est tout à fait d'accord avec toi Nil ! Seulement pour éviter toute ambiguïté et pour être sûr de ne faire chier personne, il est préférable de demander l'autorisation à l'admin avant de vouloir chercher une faille. Et c'est ça que je dis depuis tout à l'heure.

 Voici un exemple très simple :
- Me faire voler les mots de passe de mes usagers à cause d'un hacker stupides, j'aime pas, ça me fait chier.
- Me faire indiquer que j'ai une faille sur mon site par un gentil hacker, j'aime, ça empêche qu'un méchant me fasse chier.

Personnellement, je serais heureux que quelqu'un m'informe que mon site a été codé avec les pieds et qu'il est bon à jeter à poubelle étant donné les nombreuses failles de sécurité. Seulement, si j'étais une personne qui aurait des informations personnelles, je serais bien triste de savoir que ma vie privée a été bafouée par un illustre inconnu...

J'en reviens donc au fait qu'il faille demander la permission avant d'entamer quoi que ce soit.

Dans ce cas-ci, il faudrait se poser la question suivante : Jusqu'où est la limite de l'illégalité ?

Cette limite est indiquée par la loi tout simplement. Certains vont au delà de cette limite dans le but d'aider et je les félicite. Seulement, il faut savoir ne pas aller trop loin.

Par exemple, imaginons une personne qui cherche une faille sur un site pour passer le temps et qu'elle a une autorisation de l'admin. Elle trouve une faille XSS, en effet sont code JS a été exécuté. Elle a deux options :
- soit il fait rien d'autre et prévient l'admin,
- soit il essayer de chopper les cookies de l'admin et exploite au maximum la faille.

Pour moi le premier choix est plus louable que le premier. La personne n'a rien fait de grave, elle va juste indiquer qu'une attaque est possible à ce niveau là. Par contre, le deuxième choix va trop loin car il va abuser de la confiance de l'admin et va lui voler quelque chose qui ne lui appartient pas.

La loi est peut-être mal faite mais tu ne peux pas être trop laxiste car certaines personnes vont forcément en abuser. C'est à cause de ça que la loi est mal faite selon moi.

[Faerasgar]

@Echap: Techniquement, il donne l'autorisation d'utiliser son script, donc d'y entrer les caractères qu'on veut, donc sur un point de vue pratique, si on entre des balises ou autres, tu as le droit de le faire, ce qui est interdit, c'est d'exploiter le fait que ça fasse une erreur.
Donc, si tu trouve une faille sans l'exploiter, tu es dans ton droit, tu ne fais qu'utiliser ce que le créateur du site t'as donné le droit d'utiliser. Après tout, il te donne le droit d'accéder à son site web, donc aussi aux failles, pour bien faire il faudrait qu'il stipules précisément sur son site qu'il est interdit d'aller dans des endroits autres que ceux indiqués par des boutons ou des liens trouvés sur les pages auxquelles on a accédés via ces boutons. Seulement la loi est mal foutue, elle condamne aussi les gens qui utilisent les failles qu'ils trouvent.

C'est comme si tu avais un nouveau jouet étant gosse, par exemple un action-man, il est fait pour être joué comme un personnage, imaginons ( ok, c'est primaire comme image ) que tu t'en serve comme d'une massue en le prenant par les pieds, c'est du hack donc ? Tu utilise l'objet que les constructeurs te présentent à des fins qui ne sont pas celles pour lesquelles il est prévu ?

Seulement voilà, et c'est là qu'il faut tous se le mettre dans la tête, la LOI fait que c'est interdit d'appliquer ce principe aux site web et à leur failles potentielles ..

Have fun

Faerasgar

[akway]

Salut !

Le débat chapeau blanc / chapeau noir n'est pas nouveau et provoquera, je pense, encore de nombreux vilains trolls

Pour le risque penal lié à une gentille petite xss, la loi ne date pas d' hier:
(la loi est vague et cela fait le bonheur des avocats. Cf les cas de jurisprudence)

Loi Godfrain du 5 janvier 1988

Article 462-2
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données sera puni d'un emprisonnement de deux mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines. Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de deux mois à deux ans et l'amende de 10.000F à 100.000F.

(Le délit d'intrusion (accès dans un système informatique) est puni d'un an d'emprisonnement de 100000 francs d'amende. Cette peine s'applique à un grand éventail d'accès frauduleux, incluant l'accès à un système avec un nom d'utilisateur et un mot de passe autre que le sien.)

==> Une petite backdoor, un vol de session anodin, vous êtes cuits.

Article 462-3
Quiconque aura, intentionnellement et au mépris des droits d'autrui, entravé ou faussé le fonctionnement d'un système de traitement automatisé de données sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 10.000F à 100.000F ou de l'une de ces deux peines.

==> un bout de php ou une requete SQL injectée de travers, vous etes cuits.

Article 462-4
Quiconque aura, intentionnellement et au mépris des droits d'autrui, directement ou indirectement, introduit des données dans un système de traitement automatisé ou supprimé ou modifié les données qu'il contient ou leurs modes de traitement ou de transmission, sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 2.000F à 500.000F ou de l'une de ces deux peines.

==>  une requete SQL injectée, vous êtes cuits.


Article 462-7
La tentative des délits prévus par les articles 462-2 à 462-6 est punie des mêmes peines que le délit lui-même.

==> ma préférée ^^,juste un coup de SQLInjectMe, vous êtes cuits.

Article 462-8
Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d'une ou de plusieurs infractions prévues par les articles 462-2 à 462-6 sera puni des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

=> En groupe, c'est plus cool la prison !

La loi est ainsi faite et nul n'est censé l'ignorer.
Il est vrai que je gentil hacker qui se fait plaisir en testant des failles et en prevenant l'admin ne fait rien de mal, mais si le webmaster est un peu obtus,
vous n' obtiendrez pas gain de cause devant un tribunal.
Pire encore, s' il est averé que vous actes ont provoqué (directement ou pas) une interruption de service, alors vous devrez indemniser la victime.

Bref pour le fun, perso j' préfère Disneyland.

[Echap]

Faerasgar, j'ai édité mon message afin d'apporter d'avantage de précision.

Je ne voudrais pas passer pour ce que je ne suis pas. Non mon père n'est pas un flic et non je suis pas un gentil bonhomme qui respect toutes les lois. Je dis juste qu'il ne faut pas jouer sur les mots. Je préviens que le fait d'injecter du code dans un livre d'or par exemple est illégale. Si, si car en faisant ça, tu essayes de voir si la faille est présente. C'est donc un acte prémédité qui va engendrer différentes actions (bonnes ou mauvaises).

Après tout, il te donne le droit d'accéder à son site web, donc aussi aux failles

Non, il n'est pas au courant des failles. Cela n'est pas une porte ouverte avec marqué dessus "venez tester la sécurité de mon site Web".

Imagine que tu es un personne qui cherche une faille sur un site. Tu découvres une faille SQL. Tu arrives donc à bypasser le système d'authentification. Tu as maintenant accès à une partie qui normalement t'es interdite. Pour toi c'est normal vu que tu as accès au site (et donc aux failles). Pour moi c'est illégale car tu n'as pas le droit d'avoir un accès à la partie admin (en théorie).

La loi est ainsi faite et nul n'est censé l'ignorer.
Il est vrai que je gentil hacker qui se fait plaisir en testant des failles et en prevenant l'admin ne fait rien de mal, mais si le webmaster est un peu obtus,
vous n' obtiendrez pas gain de cause devant un tribunal.
Pire encore, s' il est averé que vous actes ont provoqué (directement ou pas) une interruption de service, alors vous devrez indemniser la victime.

Cela résume bien le fait qu'il est préférable de refouler sa bonne volonté étant donné les sanctions que cela peut entrainer.

Bref pour le fun, perso j' préfère Disneyland.

Disneyland fun OMG ! C'est un monde de dingues avec des musiques de dingue, avec des parents dingues et des mômes dingues.  

[HS]Drôle ta signature akway. Surtout en ce moment ![/HS]

[Faerasgar]

@Echap, je n'ai pas dit qu'il était normal d'être dans une zone ou on est pas censé être car on a accès au failles, j'ai dit que l'on avait le droit de mettre en évidence une faille, sans pour autant l'exploiter.
Et, même si il n'est pas au courant qu'il y a des failles, toi, techniquement, tu n'es pas censé savoir que les failles qui sont présentes ne sont pas partie intégrante du site 

Faerasgar

[Echap]

@Echap, je n'ai pas dit qu'il était normal d'être dans une zone ou on est pas censé être car on a accès au failles, j'ai dit que l'on avait le droit de mettre en évidence une faille, sans pour autant l'exploiter.

Pour moi sans une autorisation de l'admin cela reste illégal. CF textes de loi postés plus haut.

Et, même si il n'est pas au courant qu'il y a des failles, toi, techniquement, tu n'es pas censé savoir que les failles qui sont présentes ne sont pas partie intégrante du site 

Ca serait me prendre moi-même pour un con  !

[Nil]

Bon, je n'ai plus d'argument. J'aime juste pas les lois qui empêchent le monde de faire des choses simples ou qui empêchent le monde d'apprendre.
- J'ai un ami qui a eu une contravention parce qu'il a traversé la rue sans être sur la ligne jaune.
- Le cas qu'on discute ... de la prison parce qu'on veut aider un webmaster incompétent (qui devrait même pas avoir le droit de faire un site web), c'est stupide.
- Plein de lois incohérentes et stupides.

C'est ça, euh, plus rien à dire.

[mathgl24]

Des lois stupides, c'est pas ça qui manque au Québec 
Pour le hacking, on est cuit partout selon le post de akway 

Je crois qu'il faut user du GROS BON SENS  autant pour celui qui navigue sur le site que pour l'admin. Oui, l'admin peut dénoncer la personne qui essaie de l'aider et lui foutre de la merde. C'est totalement ... (Je m'abstiens ici ). Idem pour le black hat qui essaie de faire du tort à l'admin.

C'est là que ça devient difficile de juger et donc avoir une sorte de confiance l'un à l'autre. L'admin pourrait aussi bien laisser le hacker (white hat) lui dire les failles de son site et le remercier. Puis, il le dénonce (pire cas, mais la loi le protège). Soit le hacker (black hat) vole de l'information importante sur le site et s'en sert dans un but maléfique. Puis, il se fait prendre par l'admin et la loi le punit. Or, il pourrait aussi bien s'en sortir, which is bad!

Bref, je crois qu'il faut néanmoins rester prudent dans ce genre de chose. Si on est white hat, alors s'assurer de connaître l'admin ou ben de faire des actions pour lesquelles on est sûr de ne pas se faire retracer.

Nil : T'as plus d'arguments ? Je n'y crois pas une minute .

[the lsd]

Moi j'ai pas tout lu, mais je veux juste préciser le post d'akway, c'est l'article 323 du code pénal, pas le 462, et accessoirement, le 323-1 définit que l'accès non autorisé, même sans modification, est passible d'amende/prison, article qui n'était pas mis dans le post d'akway.

Enjoy

The lsd