Articles précédents : Sécurité
- [13] IDS en Open Source
- [6] Mise a jour d'apache pour contrer les attaques de type DoS
- [7] Nouvelle faille de sécurité dans Sendmail
- [4] Phpnuke touché par une vulnérabilité importante
- [78] Faille de sécurité dans le noyau Linux
- [26] Remote root dans Samba
- [0] Faille de sécurité dans l'outil « lprm » de OpenBSD
- [142] Faille de sécurité importante dans Sendmail
- [58] RedHat Advanced Server certifié COE
- [5] systrace rencontre iptables: fireflier (manque plus que "Xtrace")
Liens connexes
- L'article (1137 hits)
- La contre-enquête (560 hits)
- Le site secuser.com (455 hits)
- La news-letter (452 hits)
- Sommaire du dossier sur l'affaire Tati versus Kitetoa (537 hits)
Dépêche modérée par
Sécurité : Jurisprudence Tati/Kitetoa ?
Posté par PloufPlouf (Jabber id, page perso, ). Modéré le 18 avril 2003.
On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.
![[fr]](../../../images/fr.png)
L'article (1137 hits)-
La contre-enquête (560 hits)
-
Le site secuser.com (455 hits)
-
La news-letter (452 hits)
-
Sommaire du dossier sur l'affaire Tati versus Kitetoa (537 hits)
> Lire la suite (33 commentaires, moyenne: 4,8). [dépêche : 539 caractères]
Au delà de cet aspect technique cet article nous informe sur les risque de cette jurisprudence, et aborde évidemment l'innévitable question (Troll?) : Faut-il diffuser les exploits ?
NdM : plutôt : Comment faut-il diffuser les failles ?
(merci à Sunglasses d'avoir également proposé la news)
Re: Jurisprudence Tati/Kitetoa ?
Je pense que le comportement éthique quand on découvre une faille de sécurité est d'en avertir l'administrateur et faire de son mieux pour l'aider à corriger son système.
Toute publication avant que la parade ne soit disponible est hautement répréhensible. De plus, il faut laisser le temps à l'administrateur de faire son travail.
Dans un dernier temps, si rien n'est fait et que le risque d'intrusion fait courir des risque à des tiers (accès à des listes de clients), la médiatisation est le seul moyen de pression. À moins que la justice ne préfère s'en charger ? C'est une option peu crédible vu son extrême lenteur.
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Beretta_Vexee () le 18/04/2003 à 22:49. (lien). Évalué à 11.D'apres Kitetoa, c'est tout a fait la demarche qu'ils ont suivit, mais celon eux le mec promut au grade d'admin du serveur était incompetent et incapable.
Apres qui croire.
Mais perso, je connais quelques exemple d'admin je m'en foutiste au possible, et cela ne m'etonnerait pas, ils ont sut faire passé a leur patrons que le piratage ou les pannes fesait partie du systéme, et qu'on pouvait toujours rejeter la faute sur quelqu'un d'autre, genre sur les logiciel que eux méme on choisit, ou sont sencé administré.--
Il relève de la responsabilité du lecteur de contrôler, par tous moyens, l'adéquation du message à ses besoins et de s'assurer qu'il ne causera pas de dommages aux personnes et aux biens.-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara () le 19/04/2003 à 01:21. (lien). Évalué à 10.Apres qui croire.
Ce point est établi. secuser fourni la réponse à cette question sous la forme de ce lien :
http://www.zdnet.fr/img/zdnn/2002/kittatiprocgen.htm(...)-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Pierre Jarillon (page perso, ) le 20/04/2003 à 00:28. (lien). Évalué à 2.Il y a un mot important dans ces "réquisitions aux fins de relaxe", c'est le mot malveillance. Je le préfère au mot frauduleux. C'est ce qui a fait déraper le premier jugement qui a voulu coller aveuglément à la lettre de la loi et non à son esprit. J'ai bien aimé aussi : «Le Garde des Sceaux a souligné au cours des débats que le droit pénal ne doit pas compenser l'insuffisance ou la défaillance des mesures de sécurité».
-
-
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ () le 20/04/2003 à 17:47. (lien). Évalué à 1.Dans le cas de Tati, la médiatisation rapide de l'existence de la faille avec suffisamment d'indications pour reconnaître l'exploit concerné aura permis à ceux qui ont lu l'article de Kitetoa de télécharger la base de données de clients entre le moment où elle a été mise en ligne et le moment où Kitetoa s'est aperçu de sa présence, en repassant un an plus tard.
Je ne suis pas certain que les 4000 clients aient vraiment apprécié le coup de la médiatisation comme moyen de pression. C'est à manier avec beaucoup de précautions, surtout si l'administrateur concerné est incompétent ou... absent.
Pour éviter les problèmes, l'idéal serait de créé un "Samu Cyber", organisme public dont la probité des agents ne pourrait être mise en doute et auquel serait rapportée l'existence de toute faille trouvée dans les sites web français. Charge à eux de vérifier les informations, de contacter les webmestres, d'assurer le suivi et pourquoi pas de sanctionner financièrement les récalcitrants. A bons entendeurs...-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Morreale Jean Roc () le 20/04/2003 à 19:04. (lien). Évalué à 2.l'admin avait été avertit AVANT, la faute lui en aurait incombée totalement....
et je crois pas que porter plainte soit une mesure efficace contre un gros problème de sécurité ^^
ce "samu cyber" pourrait être la cnil mais bon il faut pas attendre quelque chose de ce côté là
-
Re: Jurisprudence Tati/Kitetoa ?
ne pas donner l'addresse de kitetoa ne me semble pas très equitable vu le contenu des articles donnés en lien !
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kiteto(...)
vous y trouverez la "version" du principal interresse.
Re: Jurisprudence Tati/Kitetoa ?
Les deux articles de secuser.com (et non secureuser.com) sont du foutage de gueule...
l'auteur n'a, à l'evidence, meme pas pris la peine de consulter le site dont il parle...
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Morreale Jean Roc () le 18/04/2003 à 23:06. (lien). Évalué à 8.je suis viendu, j'ai lu et j'ai bien rigolu, c'est un ami à Jean Paul Net le monsieur ?
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara () le 19/04/2003 à 01:30. (lien). Évalué à 9.apparemment, il partage effectivement avec J.P. Ney le gout de la sécurité par l'obscurité. ;)
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Cereal Killer (Jabber id, ) le 19/04/2003 à 10:12. (lien). Évalué à 7.J'peus pas m'empecher de rire à chaque fois que je relis ça :
http://groups.google.fr/groups?dq=&hl=fr&lr=&ie=UTF-8&a(...)
Le pauvre, après une boulette comme ça, sa carrière de journaliste spécialisé en sécurité informatique n'a plus vraiment de sens :-) il est grillé a vie
Ma définition d'un jean paul ney (aka casse bonbon => http://www.kitetoa.com/Pages/Textes/Textes/Ney/jean-paul-ney-trolle(...)) tiens en 1 mot : pathétique.
Et vu l'acharnement qu' a eut ce type pour emmerd*r kitetoa, ça m'étonnerai même pas qu'il se soit mis d'accord avec le type de secuser pour faire ces sois disant contre enquête.
Alors perso, faudrait que quelqu'un de" totalement impartial critique le jugement pour que j'y attache un minimum de crédibilité.
-
-
Re: Jurisprudence Tati/Kitetoa ?
Le plus fou dans cette histoire c'est qu'il y eu des fichiers nominatifs librement (n'en deplaise à l'autre) accessibles sur le web, qui revèlent des informations privées, cela pendant un an ou deux, et, PERSONNE n'est tombé sous le coup de la loi.
"Ce constat aurait dû faire hurler les défenseurs de la vie privée" comme dirait l'autre.
Contrairement à ce que l'autre pense, les hackers sont à proteger parceque c'est justement la vie privée des individus et la sécurité des systèmes d'informations qui est en jeux. Sinon qui va les defendre ? les editeurs de logiciels qui vendent des softs troués jusqu'au trognon ("si vous etes pas content, vous n'avez qu'à pas utiliser le logiciel, et de toute façon, vous ne pouvez pas engager notre responsabilité") ? les entreprises qui se revendent leurs fichiers clients parfois non déclarés à la CNIL, et qui ne risquent de toute façon rien à laisser trainer leurs fichiers clients sur le web pendant 1 an ou plus ? la justice avec des lois liberticides, sa lenteur ou sont cout ? les SSII, ce qui voudrait dire que la confidentialité n'est que le privilège des fortunés ? les vrais méchants ?
Pour l'histoire du "vrai/faux hackers pirate gentils mais en fait mechant qui est un chercheur de faille mais pas vraiment", et bien il y a un truc dans le droit français: la presomption d'innocence.
Je me demande si TATI, qui N'a _visiblement_ PAS voulu s'"offrir", non pas un expert en sécurité informatique bac+12 15 ans d'experience, mais un admin système (en interne ou via ssii), à quand même fait des économies en se payant ces procès et salissant ainsi son image sur le web et ailleurs. Vu que de toute façon personne ne les a poursuivi ca limite les frais ( et ca les deresponsabilise de surcroit. )
Forcer un login/password, ca c'est s'introduire de façon frauduleuse dans un système.
L'autre aurait du se poser une question du genre: Combien de temps après qu'une faille et son correctif ont été rendus publics (bugtraq ou autre) ou l'admin averti (dev specifique), doit-on considerer qu'une société ne se donne pas les moyens d'assurer la confidentialité de "ses" informations, rendant ainsi la société condamnable, le vrai hacker irreprochable et le mechant condamnable avec des circonstances attenuantes ?
L'autre aurait pu eviter les analogies stupides du type vol sans infraction. Dans le reel c'est une personne physique qui commet l'acte, sur la toile... c'est une machine et il va falloir prouver que c'etait bien moi qui était derrières les 6 proxies (Russie, US, Chine, Australie, Corrée du Nord, Angleterre ) et que j'ai bien tapé bien les commandes (et pas la machine toute seule via mail+macro+os_de_merde). Dans un cas, on parle de biens privées, dans l'autre d'information confidentielles.... Dans un cas c'est un lieu privé, dans l'autre c'est un espace libre d'accès. Bref, Ca n'a aucun rapport. En suivant le raisonnement, on interdit les cyber café, on emprisonne ceux qui "aurraient" pu faire une tentative d'infraction, on interdit les softs qui "pourraient" causer des problèmes (compilos), on nous file une IP dès la naissance et on se connecte au net uniquement via un système biometrique, et tout ca avec une justice/police centralisée et mondiale... Tout ca parceque des boites se foutent de tout (sauf de leur porte monnaie) en toute impunité ? Faut arreter...
TATI aurrait du se faire condamner, ca aurrait fait reflechir les boites qui pensent que les informations nominatives et en relation avec la vie privée de leurs clients ne meritent pas "un truc" qui se nomme sécurité, parceque, pour elles, c'est uniquement "un truc" qui coute et ne rapporte rien.
Re: Jurisprudence Tati/Kitetoa ?
mmmh il me semble que l'on a pas de le DROIT de commenter une decision de justice, un volontaire pour attaquer manu? devant la justice, par ce que la il en fait des commentaires :-). surtout a propos de la decision pour kitetoa, histoire de lui apprendre a vivre.
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Mickaël L () le 19/04/2003 à 10:12. (lien). Évalué à 0.Pourquoi on n'aurait pas le droit de commenter une décision de justice? La justice ne peut pas être considérée comme détentrice de la vérité, si?
-
[^]Re: Jurisprudence Tati/Kitetoa ?
-
[^]Re: Jurisprudence Tati/Kitetoa ?
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Brice Arnould ( un_brice ) (page perso, ) le 20/04/2003 à 17:48. (lien). Évalué à 2.<blockquote>
dans des conditions de nature à porter atteinte à l'autorité de la justice ou à son indépendance
[...]
Les dispositions de l'alinéa précédent ne s'appliquent pas aux commentaires techniques ni aux actes, paroles, écrits ou images de toute nature tendant à la réformation, la cassation ou la révision d'une décision.
</blockquote>
Donc on a le droit de critiquer une décision de justice à condition que ce soit dans le but de l'aider à être plus juste et pas de la rediculiser au point de nuire à son autorité.
Je vois pas pourquoi ce serait le cas ici.--
Respect à RMS.
-
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara () le 19/04/2003 à 15:14. (lien). Évalué à 2.Imagine une personne physique ou morale qui a les moyens politiques et/ou économiques et/ou médiatiques de contester toute décision de justice en sa défaveur jusqu'à imposer sa propre "version" de la "vérité". (toute ressemblance... ;))
Les "groupes de pression" ou "lobby" de tous poils ne sont pas "controlables" par le peuple, à l'inverse de la justice de ton pays. Le fait de ne pas pouvoir remettre en cause publiquement une décision de justice est un garde-fou précieux pour le citoyen lambda.
La justice, quelques soient ses "erreurs", _doit_ avoir le "dernier mot". sinon, c'est la loi du plus fort (ie de la plus "grande gueule") qui prévaut. Ne pas oublier que les différentes procédures d'appel permmettent déjà de "discuter" une décision de justice de manière légale.-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Mickaël L () le 21/04/2003 à 14:33. (lien). Évalué à 1.Quoi qu'il en soit, c'est toujours la question de la censure. On a le droit de censurer les gens si c'est pour leur bien, quoi.
Et puis il faut quand même remarquer que les groupes de pression font du boulot aussi bon en taisant qu'ne parlant.
-
-
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Photo
J'ai des envies de meurtre à chaque fois que je vois un article "illustré" par la photo idiote et complaisante de l'auteur souriant comme un gamin trop sage lors de sa première communion... Quel genre de pertinence a la tronche de l'auteur de l'article ? Est-ce que ça le rend plus crédible ? Ou est-ce pour sous-entendre que c'est quelqu'un d'important ?
Le pire c'est que dans le cas présent, le type a une tronche de vendeur dans une société d'assurances (le genre de gars qui veut à tout prix vous refiler trois mutuelles différentes et des garanties complémentaires pour protéger la descendance de votre chien en cas d'attaque nucléaire surprise).
-
[^]Re: Photo
-
[^]Re: Photo
[+] Re: Jurisprudence Tati/Kitetoa ?
C'est vrai que cela fait réfléchir : http://www.secuser.com/dossiers/affaire_tati_kitetoa.htm
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo () le 20/04/2003 à 15:13. (lien). Évalué à 4.* Qu'il faut retirer toutes fonctionnalités d'un navigateur, y compris le fait de pouvoir modifier l'URL à la main ?
* Qu'il faut supprimer le binaire telnet des postes de l'utilisateur lambda ( après tout une infime partie de la population l'utilise... ) ?
* Qu'il faut supprimer les compilos qui permettent d'obtenir un telnet ?
* Qu'il faut supprimer les études d'informatiques qui permmettent d'ecrire un compilo ?
* Que le fait de mettre "confidentiel" (l'histoire de la charte graphique) sur un serveur PUBLIQUE, permet à une boite de ne mettre AUCUNE securité ? C'est clair, les vrais mechants, ils respectent les pancartes "Attention, ceci est un document confidentiel, merci de ne pas le telecharger".
* Qu'il faut proteger les boites qui se foutent de la loi et en particulier la n° 78-17 du 6 janvier 1978 en mettant les SEULES personnes qui montrent du doigt le problème en prison, ou les empecher d'oeuvrer avec des textes à la con ?
* Qu'il faut supprimer les journalistes qui pointent du doigt les problèmes ?
La réalité:
"Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés"
Le veritable danger vient des boites qui font des fichiers nominatifs et qui ne s'assurent pas qu'ils soient protégés avec toutes les précautions utiles.-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ () le 20/04/2003 à 17:15. (lien). Évalué à 0.Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants, y compris des navigateurs web. Il n'existe pas d'outil intrinsèquement "bon" ou "mauvais".
Ca n'est pas parce qu'un couteau de cuisine sert à couper les aliments que son usage ne peut pas être détourné. Si vous instaurez une jurisprudence comme quoi il ne peut pas y avoir homicide volontaire dans le cas de l'utilisation d'un couteau de cuisine, vous ne serez pas déçu du résultat.
Ceci dit, ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes, c'est complémentaire.-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo () le 21/04/2003 à 00:49. (lien). Évalué à 3.Je vous en prie, arretez vos analogies.
"Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants"
Absolument pas. Mon commentaire est l'illustration qu'il faut condamner un acte delictueux . Rien d'autre. Vous voyez des dérives possibles (dans votre article), j'en vois d'autres.
"Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés"
"il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites [...] devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès".
Cela defend la liberté des citoyens: "tout ce qui n'est pas explicitement prohibé est permis". Que voulez vous faire ? Interdire aux personnes de chercher/trouver des failles (meme sur des systèmes manifestement non sécurisés) ? Interdire la communication sur ces failles ? Interdire les outils qui permettent de les trouver ? Couvrir, par rebond, les gens qui visiblement ne respectent pas la loi ?
"ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes"
Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de 300.000 euros d'amende". Ce n'est pas rien.-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo () le 21/04/2003 à 20:33. (lien). Évalué à 1.C'etait dans ma boite.
From: "Emmanuel JUD"
To: Gloo
Bonjour,
> Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
> un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
> (dans votre article), j'en vois d'autres.
S'introduire dans un système étranger en utilisant un exploit doit être
considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
l'utilisation irrégulière d'un navigateur web.
> "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
> il résulterait une véritable insécurité permanente, juridique et
> judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
> découvrent les failles de systèmes informatiques manifestement non
> sécurisés"
Le Procureur ne parle que de protéger les découvreurs de faille, pas
d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
avait fait les captures d'écran "à travers le web". N'importe qui s'y
connaît un peu en informatique sait que c'est faux, mais cet argument a été
repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
rétablir modestement la vérité...
> "il ne peut être reproché à un internaute d'accéder aux, ou de se
> maintenir dans les parties des sites [...] devant être réputées non
> confidentielles à défaut de toute indication contraire et de tout
> obstacle à l'accès".
En autorisant un "hacker" à télécharger des fichiers confidentiels vous
autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
individu malveillant à télécharger ces mêmes fichiers.
> Cela defend la liberté des citoyens: "tout ce qui n'est pas
> explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
> personnes de chercher/trouver des failles (meme sur des systèmes
> manifestement non sécurisés) ? Interdire la communication sur ces
> failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
> par rebond, les gens qui visiblement ne respectent pas la loi ?
Il faux trouver un compromis protégeant à la fois les internautes et les
entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
le maintien frauduleux et le vol de données.
Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
Tati et permettre à tout lecteur de l'article de télécharger la base de
données de 4000 clients était le meilleur moyen de protéger les clients en
question? Evidemment non. Si pour vous la liberté c'est de favoriser le
piratage, alors nous n'avons pas les mêmes objectifs.
> Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
> 300.000 euros d'amende". Ce n'est pas rien.
Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
frauduleux et le vol de données est complémentaire d'une protection active.
Ca permet simplement de dissuader les personnes malveillantes et dans le cas
contraire de les sanctionner. Si vous autorisez le maintien et le vol de
données il n'y a plus de sanction possible pour les pirates.
Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
prêt à mettre en danger la sécurité de l'ensemble des internautes et des
entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
maintenir et de ne pas voler de données confidentielles.
Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
droits nécessaires pour participer à la discussion.
EJ
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo () le 21/04/2003 à 21:58. (lien). Évalué à 1."S'introduire dans un système étranger en utilisant un exploit"
Dans l'affaire kitetoa, c'est une absence de "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés" le problème, pas un exploit. Le serveur de TATI était ouvert à tous les vents pendant très longtemps.
"à l'exception de l'utilisation irrégulière d'un navigateur web"
Il faudra qu'un legislateur m'explique ce qu'est une utilisation irregulière d'un navigateur web, d'un telnet, d'un compilo, d'un ordinateur... Mon navigateur me permet de retoucher une URL, je ne vois pas où est l'irregularité.
La justice a simplement dit qu'il n'y avait aucune mesure de securité, ce qui est vrai. "
Il en irait autrement si l'internaute "testeur" forçait un passage". Ce qui n'était pas le cas.
"Kitetoa a soutenu devant la Cour qu'il n'avait pas téléchargé la base de données [...] Vous comprenez maintenant pourquoi je tente de rétablir modestement la vérité...
La cours d'appel: "Quant au fait de télécharger certaines données, cela n'est pas reproché au prévenu". Bein oui, c'etait accès frauduleux ou maintien dans un [site web ] qui etait reproché a kitetoa, pas vol de fichier ou je ne sais quoi il me semble...
"Votre citation est de mauvaise fois, car tronquée"
Non, la peine encourue pour ne pas avoir protegé un fichier nominatif est celle que j'ai ecrite. Rien de plus rien de moins.
"Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes [...]"
Mais oui, ce sont de grands enfants... Vaut mieux laisser ça à des "experts" de la sécurité avec espèce sonnante et trébuchante, et mettre en prison ces grands enfant. Tout le monde se sentira ainsi en sécurité...
-
-
[^]Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo () le 21/04/2003 à 20:35. (lien). Évalué à 0.C'est tombé dans ma boite.
To: Gloo
Subject: Re: Jurisprudence Tati/Kitetoa ?
From: Emmanuel JUD
Bonjour,
> Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
> un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
> (dans votre article), j'en vois d'autres.
S'introduire dans un système étranger en utilisant un exploit doit être
considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
l'utilisation irrégulière d'un navigateur web.
> "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
> il résulterait une véritable insécurité permanente, juridique et
> judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
> découvrent les failles de systèmes informatiques manifestement non
> sécurisés"
Le Procureur ne parle que de protéger les découvreurs de faille, pas
d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
avait fait les captures d'écran "à travers le web". N'importe qui s'y
connaît un peu en informatique sait que c'est faux, mais cet argument a été
repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
rétablir modestement la vérité...
> "il ne peut être reproché à un internaute d'accéder aux, ou de se
> maintenir dans les parties des sites [...] devant être réputées non
> confidentielles à défaut de toute indication contraire et de tout
> obstacle à l'accès".
En autorisant un "hacker" à télécharger des fichiers confidentiels vous
autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
individu malveillant à télécharger ces mêmes fichiers.
> Cela defend la liberté des citoyens: "tout ce qui n'est pas
> explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
> personnes de chercher/trouver des failles (meme sur des systèmes
> manifestement non sécurisés) ? Interdire la communication sur ces
> failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
> par rebond, les gens qui visiblement ne respectent pas la loi ?
Il faux trouver un compromis protégeant à la fois les internautes et les
entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
le maintien frauduleux et le vol de données.
Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
Tati et permettre à tout lecteur de l'article de télécharger la base de
données de 4000 clients était le meilleur moyen de protéger les clients en
question? Evidemment non. Si pour vous la liberté c'est de favoriser le
piratage, alors nous n'avons pas les mêmes objectifs.
> Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
> 300.000 euros d'amende". Ce n'est pas rien.
Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
frauduleux et le vol de données est complémentaire d'une protection active.
Ca permet simplement de dissuader les personnes malveillantes et dans le cas
contraire de les sanctionner. Si vous autorisez le maintien et le vol de
données il n'y a plus de sanction possible pour les pirates.
Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
prêt à mettre en danger la sécurité de l'ensemble des internautes et des
entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
maintenir et de ne pas voler de données confidentielles.
Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
droits nécessaires pour participer à la discussion.
EJ
-
[^]Re: Jurisprudence Tati/Kitetoa ?
-
-
-
-
Note de l'auteur de l'article concerné
Merci à PloufPlouf d'avoir cité mon article dans sa dépêche et d'avoir provoqué cette discussion, mais il me faut préciser que sa présentation est essentiellement un commentaire personnel et qu'elle comporte quelques inexactitudes de nature à induire le lecteur en erreur quant au contenu réel de mon article sur la jurisprudence Tati/Kitetoa.
Tout d'abord, l'article en question ne porte pas sur la technique utilisée mais bien sur les conséquences de la jurisprudence, qui par définition fera désormais référence dans les situations similaires. La Justice ne pouvait-elle pas relaxer Kitetoa sans instaurer une jurisprudence qui autorise tout internaute à exploiter certaines failles des serveurs ou des applications web et à en télécharger les fichiers confidentiels? A qui profite réellement cette jurisprudence?
Ensuite, il ne s'agissait pas pour moi de m'interroger sur le fait de savoir s'il faut diffuser les exploits. La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Enfin, même si je n'approuve pas toujours ses méthodes, j'ai fait partie de ceux qui ont envoyé un message de soutien à Kitetoa après sa condamnation en première instance. Que ceux qui contestent mon article uniquement parce qu'ils y voient une attaque personnelle veuillent bien mettre leur rancoeur de côté deux minutes et prendre réellement connaissance de mon papier, en respectant mon point du vue autant que je respecte le leur.
Personnellement, je ne demande qu'à confronter mon article à une critique constructive. Je préfère passer sur le rejet en bloc sans probablement l'avoir lu, sur les insinuations calomnieuses destinées à mettre en doute mon intégrité et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine, et je vais essayer de répondre aux quelques messages intéressants afin d'engager un vrai débat.
EJ
-
[^]Re: Note de l'auteur de l'article concerné
Posté par Moby-Dik () le 20/04/2003 à 17:53. (lien). Évalué à 5.Bonjour à l'auteur,
La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Non, il y a une confusion dans ce que tu dis entre :
- l'utilisation d'un "exploit" (Dieu que ce terme est laid ;-)) à des fins de démonstration technique ou scientifique
- l'utilisation d'un "exploit" à des fins délictueuses ("vol de données")
Même si le premier cas est autorisé, il est évident que le vol de données reste, lui, sanctionné. La jurisprudence consiste juste à dire que tester les failles d'un système n'est pas, en soi, répréhensible. Ce qui est plutôt une bonne nouvelle pour les professionnels de la sécurité, à mon avis.
et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine,
Je maintiens que la présence systématique de la photo de l'auteur dans certaines colonnes m'énerve au plus haut point (ce n'est pas spécifique à ton site). Quant à l''envie de meurtre", un conseil : se procurer un sens de l'hyperbole et de la dérision, d'urgence ;)
Cette page a été générée par Templeet en 0.1369s (dont 0.0233 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.