logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Légalité ou non?
Username:
Password:
Pages: [1] 2
  Imprimer  
Auteur Fil de discussion: Légalité ou non?  (Lu 21482 fois)
X-One

Profil challenge

Classement : 5849/54743

Néophyte
*
Hors ligne Hors ligne
Messages: 21

Ce qui est sécurisé à 99% n'est pas sécurisé!!!


Voir le profil
« le: 29 Mars 2015 à 22:46:22 »

Salut à tous,
Les lois informatiques sont bien faite, je les ai donc bien lus une à une (même si j'en ai oublié pas mal), et je me demandais si découvrir une faille, la révéler à l'administrateur sans l'avoir exploitée, est légal ou non.

Exemple:
Découvrir une faille web sur un site et le dire à l'administrateur réseau de cette page.

Ou encore:
Trouver un document(crypté) avec tous les mots de passes d'un serveur, et le dire à l'administrateur.

Car je ne souhaiterai pas aller en prison pour avoir aider un administrateur.
Merci de votre réponse.
X-One
 
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 181/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #1 le: 30 Mars 2015 à 09:06:51 »

Si l'admin n'est pas au courant que tu teste la sécurité de son environnement, oui, t'es es totalement hors la loi. (300k€ d'amende et 3 ans de prison, ou quelque chose du genre)

T'as de la chance, ici, t'as des épreuves pour tester en toute légalité

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
X-One

Profil challenge

Classement : 5849/54743

Néophyte
*
Hors ligne Hors ligne
Messages: 21

Ce qui est sécurisé à 99% n'est pas sécurisé!!!


Voir le profil
« #2 le: 30 Mars 2015 à 18:01:24 »

Merci beaucoup,
Ce n'est pas vous l'avocat?
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 181/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #3 le: 31 Mars 2015 à 08:32:01 »

Ce n'est pas vous l'avocat?

o0 Euhhhhh, non, j'suis pas trop dans le droit moi. Je sais même pas s'il y a un avocat qui traîne dans le coin.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Asteriksme
Modérateur Global

Profil challenge

Classement : 34/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 787

.


Voir le profil WWW
« #4 le: 31 Mars 2015 à 12:47:37 »

Y en a un dans mon frigo
Journalisée

"It's a funny thing about some mathematicians. We often don't care if the results have applications because the results are themselves so pretty."
the lsd
Administrateur

Profil challenge

Classement : 181/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #5 le: 31 Mars 2015 à 13:13:13 »

Doit pas être mûr à cette période, je l'aurais pas acheté moi à ta place.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
X-One

Profil challenge

Classement : 5849/54743

Néophyte
*
Hors ligne Hors ligne
Messages: 21

Ce qui est sécurisé à 99% n'est pas sécurisé!!!


Voir le profil
« #6 le: 31 Mars 2015 à 22:19:40 »

lool
Journalisée
ferbos

Profil challenge

Classement : 12/54743

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #7 le: 01 Avril 2015 à 16:19:27 »

Erreur: l'avocat c'est moi

http://anthony-fitness.com/wp-content/uploads/2012/12/avocat-300x199.jpg

ferbos
Journalisée

"Les seules limites sont les fautes."
CommComm

Profil challenge

Classement : 87/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1283


Voir le profil
« #8 le: 01 Avril 2015 à 19:34:52 »

Code pénal
Article 323-1

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
------------------------
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement. La situation que tu évoques me fait penser à la vieille affaire KITEKOA/TATI, une des plus connues sur le sujet. Voir par exemple http://www.droit-ntic.com/news/afficher.php?id=99.

PS. Je ne suis pas avocat.

Journalisée

En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
the lsd
Administrateur

Profil challenge

Classement : 181/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #9 le: 01 Avril 2015 à 20:07:28 »

A cela, on peut rajouter les articles 323-2, 323-3, et 323-4, qui condamnent respectivement, le fait d'entraver l'accès à un Système d'Information, la modification/suppression de données d'un SI, et le regroupement de plusieurs personnes pour faire les délits précédents.

Toujours pour le 323-1, il y a les affaires de Zataz et de bluetouff qui sont relativement connues.

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 12/54743

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #10 le: 01 Avril 2015 à 20:37:32 »

Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement.

Trouver une faille, est-ce nécessairement accéder ou se maintenir dans un système? Exemple: je peux trouver une faille XSS sur un site sans pour autant m'y introduire.

un système de traitement automatisé de données

Ce dernier reste à définir et savoir ce que recouvre les "données": BDD uniquement, ou site web (formulaire, pages web, ....)

Je pense que ce n'est pas aussi simple. Et puis, il manque "l'intention de nuire" ou non (en analogie à homicide volontaire ou involontaire): en tombant par hasard, sur un fichier très mal protégé, suis-je passible d'une peine de 2 ans de prison. Ce serait fort de café

Sinon: http://legifrance.gouv.fr/

ferbos
« Dernière édition: 01 Avril 2015 à 20:40:00 par ferbos » Journalisée

"Les seules limites sont les fautes."
CommComm

Profil challenge

Classement : 87/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1283


Voir le profil
« #11 le: 01 Avril 2015 à 21:43:12 »

Il peut arriver qu'une page appelée à parti d'un lien autorisé révèle une faille. En ce cas, pas de problème : le 323-1 ne s'applique pas (l'accès n'est pas illégal car accidentel).... sauf si à partir de là je commence à fouiller (je me maintiens sans autorisation).  Mais soyons pragmatiques... Neuf fois sur dix, c'est en tentant quelque chose que la faille sera découverte par le "visiteur". Et donc on aura bien un accès illégal. En gros, « dès lors qu'une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d'autorisation, peu importe le mobile » dit le TGI de Vannes par exemple.
Quant à la notion de STAD, dès qu'il y a trois informations, structurées en BDD ou non, et deux liens hypertexte, on est dans un STAD.
Pour plus de précisions voir les sites ou blogs d'avocats spécialisés genre Alian Bensoussan, Hervé Schauer, Murielle Cahen. Exemple :
http://www.murielle-cahen.com/publications/p_intrusions.asp

Sur le plan de l'intention de nuire, pour reprendre l'expression utilisée, l'article 121 du code pénal dispose qu'il n'y a nul crime nul délit sans l'intention de le commettre. Mais cet élément "moral" ou "intentionnel" de l'infraction est souvent en pratique limité à la conscience qu'avait l'individu de franchir la "ligne jaune". Et au cas particulier, peu importe qu'il ait ou non voulu nuire. Et donc si l'accès ou le maintien (ou les deux) sont "irréguliers", bingo.

Donc en gros, attention où vous mettez les pieds...
Journalisée

En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
ferbos

Profil challenge

Classement : 12/54743

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #12 le: 02 Avril 2015 à 07:53:02 »

Exactement ce que je voulais entendre

Mon problème c'est la "ligne jaune" car elle dépend implicitement du niveau de sécurité mis en place. Le simple fait de vouloir être sécurisé sans pour autant avoir une sécurité pose cette ligne à un niveau très bas donc à des poursuites au civil et non pénal par le simple fai de la protection de données sensibles.

En recoupant une autre information (ci-dessous), ce qui me révolte donc c'est le coup de la NSA qui aurait dû nous (en Europe) rapporter un maximum de pognon: potentiellement 70 000 000 x 30 000€.... Cela laisse rêveur Justice à deux vitesses... il faut croire que oui....

http://www.newbiecontest.org/forums/index.php?topic=4174.0

ferbos
Journalisée

"Les seules limites sont les fautes."
CommComm

Profil challenge

Classement : 87/54743

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1283


Voir le profil
« #13 le: 02 Avril 2015 à 14:49:17 »

Petit complément pour les webmasters, propriétaires de site, DSI, RSSI et autres. Là c'est le visité qui est visé, et non plus le visiteur
Article 226-17 du code pénal :
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Article 34 de la loi 78-17 (Informatique et libertés) :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Bref, si un site ressemble à une passoire, y en a qui peuvent se faire du mouron sur le plan pénal (voire sur le plan de la responsabilité civile si les failles ont entraîné un dommage pour quelqu'un et que le lien entre faille et dommage est établi).
Journalisée

En essayant continuellement, on finit par réussir.
Donc plus ça rate, plus on a de chances que ça marche.
(Devise d'un newbie shadok)
ferbos

Profil challenge

Classement : 12/54743

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #14 le: 02 Avril 2015 à 15:45:04 »

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Il ne faut pas être trop pressé avec la CNIL

ferbos
Journalisée

"Les seules limites sont les fautes."
Pages: [1] 2
  Imprimer  
 
Aller à: