News
Challenges
Crackme
ClientSide
Cryptographie
Forensics
Hacking
Logique
Programmation
Stéganographie
Wargame
Tous les challenges
Forum
Tutoriaux
FAQ
Liens utiles
IRC
Newbie Connect
Liens
Partenaires
Réglement
Goodies
L'incubateur
A propos
L'équipe
Hall Of Fame
NewbieContest
Divers
»
Hacking
»
Légalité ou non?
Username:
1 heure
1 jour
1 semaine
1 mois
Toujours
Password:
Accueil
Aide
Rechercher
Recherche rapide
Recherche avancée
[Fermer]
Identifiez-vous
Inscrivez-vous
Pages: [
1
]
2
Imprimer
Auteur
Fil de discussion: Légalité ou non? (Lu 21482 fois)
X-One
Profil challenge
Classement : 5849/54743
Néophyte
Hors ligne
Messages: 21
Ce qui est sécurisé à 99% n'est pas sécurisé!!!
Légalité ou non?
«
le:
29 Mars 2015 à 22:46:22 »
Salut à tous,
Les lois informatiques sont bien faite, je les ai donc bien lus une à une (même si j'en ai oublié pas mal), et je me demandais si découvrir une faille, la révéler à l'administrateur sans l'avoir exploitée, est légal ou non.
Exemple:
Découvrir une faille web sur un site et le dire à l'administrateur réseau de cette page.
Ou encore:
Trouver un document(crypté) avec tous les mots de passes d'un serveur, et le dire à l'administrateur.
Car je ne souhaiterai pas aller en prison pour avoir aider un administrateur.
Merci de votre réponse.
X-One
Journalisée
the lsd
Administrateur
Profil challenge
Classement : 181/54743
Membre Héroïque
Hors ligne
Messages: 3096
poulping for fun & profit
Re : Légalité ou non?
«
#1 le:
30 Mars 2015 à 09:06:51 »
Si l'admin n'est pas au courant que tu teste la sécurité de son environnement, oui, t'es es totalement hors la loi. (300k€ d'amende et 3 ans de prison, ou quelque chose du genre)
T'as de la chance, ici, t'as des épreuves pour tester en toute légalité
Enjoy
The lsd
Journalisée
Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
X-One
Profil challenge
Classement : 5849/54743
Néophyte
Hors ligne
Messages: 21
Ce qui est sécurisé à 99% n'est pas sécurisé!!!
Re : Légalité ou non?
«
#2 le:
30 Mars 2015 à 18:01:24 »
Merci beaucoup,
Ce n'est pas vous l'avocat?
Journalisée
the lsd
Administrateur
Profil challenge
Classement : 181/54743
Membre Héroïque
Hors ligne
Messages: 3096
poulping for fun & profit
Re : Re : Légalité ou non?
«
#3 le:
31 Mars 2015 à 08:32:01 »
Citation de: X-One le 30 Mars 2015 à 18:01:24
Ce n'est pas vous l'avocat?
o0 Euhhhhh, non, j'suis pas trop dans le droit moi. Je sais même pas s'il y a un avocat qui traîne dans le coin.
Enjoy
The lsd
Journalisée
Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Asteriksme
Modérateur Global
Profil challenge
Classement : 34/54743
Membre Héroïque
Hors ligne
Messages: 787
.
Re : Légalité ou non?
«
#4 le:
31 Mars 2015 à 12:47:37 »
Y en a un dans mon frigo
Journalisée
"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
the lsd
Administrateur
Profil challenge
Classement : 181/54743
Membre Héroïque
Hors ligne
Messages: 3096
poulping for fun & profit
Re : Légalité ou non?
«
#5 le:
31 Mars 2015 à 13:13:13 »
Doit pas être mûr à cette période, je l'aurais pas acheté moi à ta place.
Enjoy
The lsd
Journalisée
Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
X-One
Profil challenge
Classement : 5849/54743
Néophyte
Hors ligne
Messages: 21
Ce qui est sécurisé à 99% n'est pas sécurisé!!!
Re : Légalité ou non?
«
#6 le:
31 Mars 2015 à 22:19:40 »
lool
Journalisée
ferbos
Profil challenge
Classement : 12/54743
Membre Senior
Hors ligne
Messages: 356
The Godfather is back....
Re : Légalité ou non?
«
#7 le:
01 Avril 2015 à 16:19:27 »
Erreur: l'avocat c'est moi
http://anthony-fitness.com/wp-content/uploads/2012/12/avocat-300x199.jpg
ferbos
Journalisée
"Les seules limites sont les fautes."
CommComm
Profil challenge
Classement : 87/54743
Membre Héroïque
Hors ligne
Messages: 1283
Re : Légalité ou non?
«
#8 le:
01 Avril 2015 à 19:34:52 »
Code pénal
Article 323-1
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
------------------------
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement. La situation que tu évoques me fait penser à la vieille affaire KITEKOA/TATI, une des plus connues sur le sujet. Voir par exemple
http://www.droit-ntic.com/news/afficher.php?id=99
.
PS. Je ne suis pas avocat.
Journalisée
En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
the lsd
Administrateur
Profil challenge
Classement : 181/54743
Membre Héroïque
Hors ligne
Messages: 3096
poulping for fun & profit
Re : Légalité ou non?
«
#9 le:
01 Avril 2015 à 20:07:28 »
A cela, on peut rajouter les articles 323-2, 323-3, et 323-4, qui condamnent respectivement, le fait d'entraver l'accès à un Système d'Information, la modification/suppression de données d'un SI, et le regroupement de plusieurs personnes pour faire les délits précédents.
Toujours pour le 323-1, il y a les affaires de Zataz et de bluetouff qui sont relativement connues.
Enjoy
The lsd
Journalisée
Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos
Profil challenge
Classement : 12/54743
Membre Senior
Hors ligne
Messages: 356
The Godfather is back....
Re : Re : Légalité ou non?
«
#10 le:
01 Avril 2015 à 20:37:32 »
Citation de: CommComm le 01 Avril 2015 à 19:34:52
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement.
Trouver une faille, est-ce nécessairement accéder ou se maintenir dans un système? Exemple: je peux trouver une faille XSS sur un site sans pour autant m'y introduire.
Citation de: CommComm le 01 Avril 2015 à 19:34:52
un système de traitement automatisé de données
Ce dernier reste à définir et savoir ce que recouvre les "données": BDD uniquement, ou site web (formulaire, pages web, ....)
Je pense que ce n'est pas aussi simple. Et puis, il manque "l'intention de nuire" ou non (en analogie à homicide volontaire ou involontaire): en tombant par hasard, sur un fichier très mal protégé, suis-je passible d'une peine de 2 ans de prison. Ce serait fort de café
Sinon:
http://legifrance.gouv.fr/
ferbos
«
Dernière édition: 01 Avril 2015 à 20:40:00 par ferbos
»
Journalisée
"Les seules limites sont les fautes."
CommComm
Profil challenge
Classement : 87/54743
Membre Héroïque
Hors ligne
Messages: 1283
Re : Légalité ou non?
«
#11 le:
01 Avril 2015 à 21:43:12 »
Il peut arriver qu'une page appelée à parti d'un lien autorisé révèle une faille. En ce cas, pas de problème : le 323-1 ne s'applique pas (l'accès n'est pas illégal car accidentel).... sauf si à partir de là je commence à fouiller (je me maintiens sans autorisation). Mais soyons pragmatiques... Neuf fois sur dix, c'est en tentant quelque chose que la faille sera découverte par le "visiteur". Et donc on aura bien un accès illégal. En gros, « dès lors qu'une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d'autorisation, peu importe le mobile » dit le TGI de Vannes par exemple.
Quant à la notion de STAD, dès qu'il y a trois informations, structurées en BDD ou non, et deux liens hypertexte, on est dans un STAD.
Pour plus de précisions voir les sites ou blogs d'avocats spécialisés genre Alian Bensoussan, Hervé Schauer, Murielle Cahen. Exemple :
http://www.murielle-cahen.com/publications/p_intrusions.asp
Sur le plan de l'intention de nuire, pour reprendre l'expression utilisée, l'article 121 du code pénal dispose qu'il n'y a nul crime nul délit sans l'intention de le commettre. Mais cet élément "moral" ou "intentionnel" de l'infraction est souvent en pratique limité à la conscience qu'avait l'individu de franchir la "ligne jaune". Et au cas particulier, peu importe qu'il ait ou non voulu nuire. Et donc si l'accès ou le maintien (ou les deux) sont "irréguliers", bingo.
Donc en gros, attention où vous mettez les pieds...
Journalisée
En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
ferbos
Profil challenge
Classement : 12/54743
Membre Senior
Hors ligne
Messages: 356
The Godfather is back....
Re : Légalité ou non?
«
#12 le:
02 Avril 2015 à 07:53:02 »
Exactement ce que je voulais entendre
Mon problème c'est la "ligne jaune" car elle dépend implicitement du niveau de sécurité mis en place. Le simple fait de vouloir être sécurisé sans pour autant avoir une sécurité pose cette ligne à un niveau très bas donc à des poursuites au civil et non pénal par le simple fai de la protection de données sensibles.
En recoupant une autre information (ci-dessous), ce qui me révolte donc c'est le coup de la NSA qui aurait dû nous (en Europe) rapporter un maximum de pognon: potentiellement 70 000 000 x 30 000€.... Cela laisse rêveur
Justice à deux vitesses... il faut croire que oui....
http://www.newbiecontest.org/forums/index.php?topic=4174.0
ferbos
Journalisée
"Les seules limites sont les fautes."
CommComm
Profil challenge
Classement : 87/54743
Membre Héroïque
Hors ligne
Messages: 1283
Re : Légalité ou non?
«
#13 le:
02 Avril 2015 à 14:49:17 »
Petit complément pour les webmasters, propriétaires de site, DSI, RSSI et autres. Là c'est le visité qui est visé, et non plus le visiteur
Article 226-17 du code pénal
:
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Article 34 de la loi 78-17
(Informatique et libertés) :
Le responsable du traitement est tenu de
prendre toutes précautions utiles
, au regard de la nature des données et des risques présentés par le traitement, pour
préserver la sécurité des données
et, notamment,
empêcher
qu'elles soient déformées, endommagées, ou
que des tiers non autorisés y aient accès
.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.
Bref, si un site ressemble à une passoire, y en a qui peuvent se faire du mouron sur le plan pénal (voire sur le plan de la responsabilité civile si les failles ont entraîné un dommage pour quelqu'un et que le lien entre faille et dommage est établi).
Journalisée
En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
ferbos
Profil challenge
Classement : 12/54743
Membre Senior
Hors ligne
Messages: 356
The Godfather is back....
Re : Re : Légalité ou non?
«
#14 le:
02 Avril 2015 à 15:45:04 »
Citation de: CommComm le 02 Avril 2015 à 14:49:17
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.
Il ne faut pas être trop pressé avec la CNIL
ferbos
Journalisée
"Les seules limites sont les fautes."
Pages: [
1
]
2
Imprimer
Aller à:
Merci de choisir une destination:
-----------------------------
Général
-----------------------------
=> Proposition de tutoriaux
=> Général
=> Suggestions/Dev. du site
=> Projet en Cours
=> Defouloir
=> Sondage pour le site
=> Bugs
-----------------------------
News
-----------------------------
=> News du site
=> News Hacking/Cracking/Phreaking
=> News Informatique/Hardware/Tuning
-----------------------------
Challenges
-----------------------------
=> Aide Crackme
=> Aide Cryptographie
=> Aide Forensics
=> Aide Hacking
=> Aide Javascript/Java/HTML
=> Aide Logique
=> Aide Programmation
=> Aide Stéganographie
=> Aide Wargame
-----------------------------
Afterwards
-----------------------------
=> Afterwards Crackme
=> Afterwards Cryptographie
=> Afterwards Forensics
=> Afterwards Hacking
=> Afterwards Javascript/Java/HTML
=> Afterwards Logique
=> Afterwards Programmation
=> Afterwards Stéganographie
=> Afterwards Wargame
-----------------------------
Divers
-----------------------------
=> Linux
=> Hacking
=> Cracking
=> Hardware
=> Informatique
-----------------------------
Programmation
-----------------------------
=> Langages compilés
=> Autres langages
=> Langages Web
Chargement...