[X-One]

Salut à tous,
Les lois informatiques sont bien faite, je les ai donc bien lus une à une (même si j'en ai oublié pas mal), et je me demandais si découvrir une faille, la révéler à l'administrateur sans l'avoir exploitée, est légal ou non.

Exemple:
Découvrir une faille web sur un site et le dire à l'administrateur réseau de cette page.

Ou encore:
Trouver un document(crypté) avec tous les mots de passes d'un serveur, et le dire à l'administrateur.

Car je ne souhaiterai pas aller en prison pour avoir aider un administrateur.
Merci de votre réponse.
X-One
 

[the lsd]

Si l'admin n'est pas au courant que tu teste la sécurité de son environnement, oui, t'es es totalement hors la loi. (300k€ d'amende et 3 ans de prison, ou quelque chose du genre)

T'as de la chance, ici, t'as des épreuves pour tester en toute légalité

Enjoy

The lsd

[X-One]

Merci beaucoup,
Ce n'est pas vous l'avocat?

[the lsd]

Ce n'est pas vous l'avocat?

o0 Euhhhhh, non, j'suis pas trop dans le droit moi. Je sais même pas s'il y a un avocat qui traîne dans le coin.

Enjoy

The lsd

[Asteriksme]

Y en a un dans mon frigo

[the lsd]

Doit pas être mûr à cette période, je l'aurais pas acheté moi à ta place.

Enjoy

The lsd

[X-One]

lool

[ferbos]

Erreur: l'avocat c'est moi

http://anthony-fitness.com/wp-content/uploads/2012/12/avocat-300x199.jpg

ferbos

[CommComm]

Code pénal
Article 323-1

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
------------------------
Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement. La situation que tu évoques me fait penser à la vieille affaire KITEKOA/TATI, une des plus connues sur le sujet. Voir par exemple http://www.droit-ntic.com/news/afficher.php?id=99.

PS. Je ne suis pas avocat.

[the lsd]

A cela, on peut rajouter les articles 323-2, 323-3, et 323-4, qui condamnent respectivement, le fait d'entraver l'accès à un Système d'Information, la modification/suppression de données d'un SI, et le regroupement de plusieurs personnes pour faire les délits précédents.

Toujours pour le 323-1, il y a les affaires de Zataz et de bluetouff qui sont relativement connues.

Enjoy

The lsd

[ferbos]

Donc si tu trouves une faille, c'est forcément que tu as accédé ou que tu t'es maintenu dans un système sans autorisation, donc frauduleusement.

Trouver une faille, est-ce nécessairement accéder ou se maintenir dans un système? Exemple: je peux trouver une faille XSS sur un site sans pour autant m'y introduire.

un système de traitement automatisé de données

Ce dernier reste à définir et savoir ce que recouvre les "données": BDD uniquement, ou site web (formulaire, pages web, ....)

Je pense que ce n'est pas aussi simple. Et puis, il manque "l'intention de nuire" ou non (en analogie à homicide volontaire ou involontaire): en tombant par hasard, sur un fichier très mal protégé, suis-je passible d'une peine de 2 ans de prison. Ce serait fort de café

Sinon: http://legifrance.gouv.fr/

ferbos

[CommComm]

Il peut arriver qu'une page appelée à parti d'un lien autorisé révèle une faille. En ce cas, pas de problème : le 323-1 ne s'applique pas (l'accès n'est pas illégal car accidentel).... sauf si à partir de là je commence à fouiller (je me maintiens sans autorisation).  Mais soyons pragmatiques... Neuf fois sur dix, c'est en tentant quelque chose que la faille sera découverte par le "visiteur". Et donc on aura bien un accès illégal. En gros, « dès lors qu'une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d'autorisation, peu importe le mobile » dit le TGI de Vannes par exemple.
Quant à la notion de STAD, dès qu'il y a trois informations, structurées en BDD ou non, et deux liens hypertexte, on est dans un STAD.
Pour plus de précisions voir les sites ou blogs d'avocats spécialisés genre Alian Bensoussan, Hervé Schauer, Murielle Cahen. Exemple :
http://www.murielle-cahen.com/publications/p_intrusions.asp

Sur le plan de l'intention de nuire, pour reprendre l'expression utilisée, l'article 121 du code pénal dispose qu'il n'y a nul crime nul délit sans l'intention de le commettre. Mais cet élément "moral" ou "intentionnel" de l'infraction est souvent en pratique limité à la conscience qu'avait l'individu de franchir la "ligne jaune". Et au cas particulier, peu importe qu'il ait ou non voulu nuire. Et donc si l'accès ou le maintien (ou les deux) sont "irréguliers", bingo.

Donc en gros, attention où vous mettez les pieds...

[ferbos]

Exactement ce que je voulais entendre

Mon problème c'est la "ligne jaune" car elle dépend implicitement du niveau de sécurité mis en place. Le simple fait de vouloir être sécurisé sans pour autant avoir une sécurité pose cette ligne à un niveau très bas donc à des poursuites au civil et non pénal par le simple fai de la protection de données sensibles.

En recoupant une autre information (ci-dessous), ce qui me révolte donc c'est le coup de la NSA qui aurait dû nous (en Europe) rapporter un maximum de pognon: potentiellement 70 000 000 x 30 000€.... Cela laisse rêveur Justice à deux vitesses... il faut croire que oui....

http://www.newbiecontest.org/forums/index.php?topic=4174.0

ferbos

[CommComm]

Petit complément pour les webmasters, propriétaires de site, DSI, RSSI et autres. Là c'est le visité qui est visé, et non plus le visiteur
Article 226-17 du code pénal :
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Article 34 de la loi 78-17 (Informatique et libertés) :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Bref, si un site ressemble à une passoire, y en a qui peuvent se faire du mouron sur le plan pénal (voire sur le plan de la responsabilité civile si les failles ont entraîné un dommage pour quelqu'un et que le lien entre faille et dommage est établi).

[ferbos]

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Il ne faut pas être trop pressé avec la CNIL

ferbos