On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404. Or, ayant assisté à une démonstration de cet exploit par Mr Kitetoa, à l'occasion de la première Zelig, je ne me rappelle pas qu'il ait mentionné cela, il soutenait que l'adresse existait et qu'on pouvait y accéder si on la connaissait.
Au delà de cet aspect technique cet article nous informe sur les risque de cette jurisprudence, et aborde évidemment l'innévitable question (Troll?) : Faut-il diffuser les exploits ?
NdM : plutôt : Comment faut-il diffuser les failles ?
(merci à Sunglasses d'avoir également proposé la news)
Aller plus loin
- L'article (99 clics)
- La contre-enquête (26 clics)
- Le site secuser.com (17 clics)
- La news-letter (7 clics)
- Sommaire du dossier sur l'affaire Tati versus Kitetoa (63 clics)
# Re: Jurisprudence Tati/Kitetoa ?
Posté par Pierre Jarillon (site web personnel) . Évalué à 10.
Toute publication avant que la parade ne soit disponible est hautement répréhensible. De plus, il faut laisser le temps à l'administrateur de faire son travail.
Dans un dernier temps, si rien n'est fait et que le risque d'intrusion fait courir des risque à des tiers (accès à des listes de clients), la médiatisation est le seul moyen de pression. À moins que la justice ne préfère s'en charger ? C'est une option peu crédible vu son extrême lenteur.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Beretta_Vexee . Évalué à 10.
Apres qui croire.
Mais perso, je connais quelques exemple d'admin je m'en foutiste au possible, et cela ne m'etonnerait pas, ils ont sut faire passé a leur patrons que le piratage ou les pannes fesait partie du systéme, et qu'on pouvait toujours rejeter la faute sur quelqu'un d'autre, genre sur les logiciel que eux méme on choisit, ou sont sencé administré.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara . Évalué à 10.
Ce point est établi. secuser fourni la réponse à cette question sous la forme de ce lien :
http://www.zdnet.fr/img/zdnn/2002/kittatiprocgen.htm(...)
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ . Évalué à 1.
Je ne suis pas certain que les 4000 clients aient vraiment apprécié le coup de la médiatisation comme moyen de pression. C'est à manier avec beaucoup de précautions, surtout si l'administrateur concerné est incompétent ou... absent.
Pour éviter les problèmes, l'idéal serait de créé un "Samu Cyber", organisme public dont la probité des agents ne pourrait être mise en doute et auquel serait rapportée l'existence de toute faille trouvée dans les sites web français. Charge à eux de vérifier les informations, de contacter les webmestres, d'assurer le suivi et pourquoi pas de sanctionner financièrement les récalcitrants. A bons entendeurs...
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Jean Roc Morreale . Évalué à 2.
et je crois pas que porter plainte soit une mesure efficace contre un gros problème de sécurité ^^
ce "samu cyber" pourrait être la cnil mais bon il faut pas attendre quelque chose de ce côté là
# Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara . Évalué à 10.
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kiteto(...)
vous y trouverez la "version" du principal interresse.
# Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara . Évalué à 10.
l'auteur n'a, à l'evidence, meme pas pris la peine de consulter le site dont il parle...
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Jean Roc Morreale . Évalué à 8.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara . Évalué à 9.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Cereal Killer . Évalué à 7.
http://groups.google.fr/groups?dq=&hl=fr&lr=&ie=UTF-8&a(...)
Le pauvre, après une boulette comme ça, sa carrière de journaliste spécialisé en sécurité informatique n'a plus vraiment de sens :-) il est grillé a vie
Ma définition d'un jean paul ney (aka casse bonbon => http://www.kitetoa.com/Pages/Textes/Textes/Ney/jean-paul-ney-trolle(...)) tiens en 1 mot : pathétique.
Et vu l'acharnement qu' a eut ce type pour emmerd*r kitetoa, ça m'étonnerai même pas qu'il se soit mis d'accord avec le type de secuser pour faire ces sois disant contre enquête.
Alors perso, faudrait que quelqu'un de" totalement impartial critique le jugement pour que j'y attache un minimum de crédibilité.
# Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 10.
"Ce constat aurait dû faire hurler les défenseurs de la vie privée" comme dirait l'autre.
Contrairement à ce que l'autre pense, les hackers sont à proteger parceque c'est justement la vie privée des individus et la sécurité des systèmes d'informations qui est en jeux. Sinon qui va les defendre ? les editeurs de logiciels qui vendent des softs troués jusqu'au trognon ("si vous etes pas content, vous n'avez qu'à pas utiliser le logiciel, et de toute façon, vous ne pouvez pas engager notre responsabilité") ? les entreprises qui se revendent leurs fichiers clients parfois non déclarés à la CNIL, et qui ne risquent de toute façon rien à laisser trainer leurs fichiers clients sur le web pendant 1 an ou plus ? la justice avec des lois liberticides, sa lenteur ou sont cout ? les SSII, ce qui voudrait dire que la confidentialité n'est que le privilège des fortunés ? les vrais méchants ?
Pour l'histoire du "vrai/faux hackers pirate gentils mais en fait mechant qui est un chercheur de faille mais pas vraiment", et bien il y a un truc dans le droit français: la presomption d'innocence.
Je me demande si TATI, qui N'a _visiblement_ PAS voulu s'"offrir", non pas un expert en sécurité informatique bac+12 15 ans d'experience, mais un admin système (en interne ou via ssii), à quand même fait des économies en se payant ces procès et salissant ainsi son image sur le web et ailleurs. Vu que de toute façon personne ne les a poursuivi ca limite les frais ( et ca les deresponsabilise de surcroit. )
Forcer un login/password, ca c'est s'introduire de façon frauduleuse dans un système.
L'autre aurait du se poser une question du genre: Combien de temps après qu'une faille et son correctif ont été rendus publics (bugtraq ou autre) ou l'admin averti (dev specifique), doit-on considerer qu'une société ne se donne pas les moyens d'assurer la confidentialité de "ses" informations, rendant ainsi la société condamnable, le vrai hacker irreprochable et le mechant condamnable avec des circonstances attenuantes ?
L'autre aurait pu eviter les analogies stupides du type vol sans infraction. Dans le reel c'est une personne physique qui commet l'acte, sur la toile... c'est une machine et il va falloir prouver que c'etait bien moi qui était derrières les 6 proxies (Russie, US, Chine, Australie, Corrée du Nord, Angleterre ) et que j'ai bien tapé bien les commandes (et pas la machine toute seule via mail+macro+os_de_merde). Dans un cas, on parle de biens privées, dans l'autre d'information confidentielles.... Dans un cas c'est un lieu privé, dans l'autre c'est un espace libre d'accès. Bref, Ca n'a aucun rapport. En suivant le raisonnement, on interdit les cyber café, on emprisonne ceux qui "aurraient" pu faire une tentative d'infraction, on interdit les softs qui "pourraient" causer des problèmes (compilos), on nous file une IP dès la naissance et on se connecte au net uniquement via un système biometrique, et tout ca avec une justice/police centralisée et mondiale... Tout ca parceque des boites se foutent de tout (sauf de leur porte monnaie) en toute impunité ? Faut arreter...
TATI aurrait du se faire condamner, ca aurrait fait reflechir les boites qui pensent que les informations nominatives et en relation avec la vie privée de leurs clients ne meritent pas "un truc" qui se nomme sécurité, parceque, pour elles, c'est uniquement "un truc" qui coute et ne rapporte rien.
# Re: Jurisprudence Tati/Kitetoa ?
Posté par youri_b . Évalué à 1.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par mickabouille . Évalué à 0.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par qdm . Évalué à 8.
"Article 434-25
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait de chercher à jeter le discrédit, publiquement par actes, paroles, écrits ou images de toute nature, sur un acte ou une décision juridictionnelle, dans des conditions de nature à porter atteinte à l'autorité de la justice ou à son indépendance est puni de six mois d'emprisonnement et de 7500 euros d'amende.
Les dispositions de l'alinéa précédent ne s'appliquent pas aux commentaires techniques ni aux actes, paroles, écrits ou images de toute nature tendant à la réformation, la cassation ou la révision d'une décision.
Lorsque l'infraction est commise par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
L'action publique se prescrit par trois mois révolus, à compter du jour où l'infraction définie au présent article a été commise, si dans cet intervalle il n'a été fait aucun acte d'instruction ou de poursuite."
Dans le 2eme paragraphe, on voit que nos amis juristes se sont réservés une porte de sortie via les commentaires techniques. S'ils avaient pu en faire profiter les copains. La suite du paragraphe est un peu floue, mais j'imagine que ce droit est réservé aux avocats des parties dans leurs comunications purement juridiques, mais qui pourtant se répandent dans les médias sur le pourvoi en cassation qu'ils vont faire. C'est con mais c'est comme ça. Je crois que y a régulierement des tentatives pour éliminer cet article mais pour l'instant....
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Psychofox (Mastodon) . Évalué à 1.
commenter une décision de justice, ce n'est pas ce que font quasimment tous les avocats des parties concernées quand ils sont interrogés par les journalistes à l'issue d'un procès ?
on m'aurait menti ?
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par un_brice (site web personnel) . Évalué à 2.
dans des conditions de nature à porter atteinte à l'autorité de la justice ou à son indépendance
[...]
Les dispositions de l'alinéa précédent ne s'appliquent pas aux commentaires techniques ni aux actes, paroles, écrits ou images de toute nature tendant à la réformation, la cassation ou la révision d'une décision.
</blockquote>
Donc on a le droit de critiquer une décision de justice à condition que ce soit dans le but de l'aider à être plus juste et pas de la rediculiser au point de nuire à son autorité.
Je vois pas pourquoi ce serait le cas ici.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Ange Bara . Évalué à 2.
Les "groupes de pression" ou "lobby" de tous poils ne sont pas "controlables" par le peuple, à l'inverse de la justice de ton pays. Le fait de ne pas pouvoir remettre en cause publiquement une décision de justice est un garde-fou précieux pour le citoyen lambda.
La justice, quelques soient ses "erreurs", _doit_ avoir le "dernier mot". sinon, c'est la loi du plus fort (ie de la plus "grande gueule") qui prévaut. Ne pas oublier que les différentes procédures d'appel permmettent déjà de "discuter" une décision de justice de manière légale.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par mickabouille . Évalué à 1.
Et puis il faut quand même remarquer que les groupes de pression font du boulot aussi bon en taisant qu'ne parlant.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Damien . Évalué à 6.
# Photo
Posté par Moby-Dik . Évalué à 7.
Le pire c'est que dans le cas présent, le type a une tronche de vendeur dans une société d'assurances (le genre de gars qui veut à tout prix vous refiler trois mutuelles différentes et des garanties complémentaires pour protéger la descendance de votre chien en cas d'attaque nucléaire surprise).
[^] # Re: Photo
Posté par qdm . Évalué à 3.
[^] # Re: Photo
Posté par Ange Bara . Évalué à 1.
Les articles sont suffisamment criticables sur le fond.
# Re: Jurisprudence Tati/Kitetoa ?
Posté par toub . Évalué à -2.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 4.
* Qu'il faut supprimer le binaire telnet des postes de l'utilisateur lambda ( après tout une infime partie de la population l'utilise... ) ?
* Qu'il faut supprimer les compilos qui permettent d'obtenir un telnet ?
* Qu'il faut supprimer les études d'informatiques qui permmettent d'ecrire un compilo ?
* Que le fait de mettre "confidentiel" (l'histoire de la charte graphique) sur un serveur PUBLIQUE, permet à une boite de ne mettre AUCUNE securité ? C'est clair, les vrais mechants, ils respectent les pancartes "Attention, ceci est un document confidentiel, merci de ne pas le telecharger".
* Qu'il faut proteger les boites qui se foutent de la loi et en particulier la n° 78-17 du 6 janvier 1978 en mettant les SEULES personnes qui montrent du doigt le problème en prison, ou les empecher d'oeuvrer avec des textes à la con ?
* Qu'il faut supprimer les journalistes qui pointent du doigt les problèmes ?
La réalité:
"Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés"
Le veritable danger vient des boites qui font des fichiers nominatifs et qui ne s'assurent pas qu'ils soient protégés avec toutes les précautions utiles.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ . Évalué à 0.
Ca n'est pas parce qu'un couteau de cuisine sert à couper les aliments que son usage ne peut pas être détourné. Si vous instaurez une jurisprudence comme quoi il ne peut pas y avoir homicide volontaire dans le cas de l'utilisation d'un couteau de cuisine, vous ne serez pas déçu du résultat.
Ceci dit, ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes, c'est complémentaire.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 3.
"Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants"
Absolument pas. Mon commentaire est l'illustration qu'il faut condamner un acte delictueux . Rien d'autre. Vous voyez des dérives possibles (dans votre article), j'en vois d'autres.
"Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés"
"il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites [...] devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès".
Cela defend la liberté des citoyens: "tout ce qui n'est pas explicitement prohibé est permis". Que voulez vous faire ? Interdire aux personnes de chercher/trouver des failles (meme sur des systèmes manifestement non sécurisés) ? Interdire la communication sur ces failles ? Interdire les outils qui permettent de les trouver ? Couvrir, par rebond, les gens qui visiblement ne respectent pas la loi ?
"ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes"
Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de 300.000 euros d'amende". Ce n'est pas rien.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 1.
From: "Emmanuel JUD"
To: Gloo
Bonjour,
> Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
> un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
> (dans votre article), j'en vois d'autres.
S'introduire dans un système étranger en utilisant un exploit doit être
considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
l'utilisation irrégulière d'un navigateur web.
> "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
> il résulterait une véritable insécurité permanente, juridique et
> judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
> découvrent les failles de systèmes informatiques manifestement non
> sécurisés"
Le Procureur ne parle que de protéger les découvreurs de faille, pas
d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
avait fait les captures d'écran "à travers le web". N'importe qui s'y
connaît un peu en informatique sait que c'est faux, mais cet argument a été
repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
rétablir modestement la vérité...
> "il ne peut être reproché à un internaute d'accéder aux, ou de se
> maintenir dans les parties des sites [...] devant être réputées non
> confidentielles à défaut de toute indication contraire et de tout
> obstacle à l'accès".
En autorisant un "hacker" à télécharger des fichiers confidentiels vous
autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
individu malveillant à télécharger ces mêmes fichiers.
> Cela defend la liberté des citoyens: "tout ce qui n'est pas
> explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
> personnes de chercher/trouver des failles (meme sur des systèmes
> manifestement non sécurisés) ? Interdire la communication sur ces
> failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
> par rebond, les gens qui visiblement ne respectent pas la loi ?
Il faux trouver un compromis protégeant à la fois les internautes et les
entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
le maintien frauduleux et le vol de données.
Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
Tati et permettre à tout lecteur de l'article de télécharger la base de
données de 4000 clients était le meilleur moyen de protéger les clients en
question? Evidemment non. Si pour vous la liberté c'est de favoriser le
piratage, alors nous n'avons pas les mêmes objectifs.
> Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
> 300.000 euros d'amende". Ce n'est pas rien.
Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
frauduleux et le vol de données est complémentaire d'une protection active.
Ca permet simplement de dissuader les personnes malveillantes et dans le cas
contraire de les sanctionner. Si vous autorisez le maintien et le vol de
données il n'y a plus de sanction possible pour les pirates.
Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
prêt à mettre en danger la sécurité de l'ensemble des internautes et des
entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
maintenir et de ne pas voler de données confidentielles.
Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
droits nécessaires pour participer à la discussion.
EJ
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 1.
Dans l'affaire kitetoa, c'est une absence de "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés" le problème, pas un exploit. Le serveur de TATI était ouvert à tous les vents pendant très longtemps.
"à l'exception de l'utilisation irrégulière d'un navigateur web"
Il faudra qu'un legislateur m'explique ce qu'est une utilisation irregulière d'un navigateur web, d'un telnet, d'un compilo, d'un ordinateur... Mon navigateur me permet de retoucher une URL, je ne vois pas où est l'irregularité.
La justice a simplement dit qu'il n'y avait aucune mesure de securité, ce qui est vrai. "
Il en irait autrement si l'internaute "testeur" forçait un passage". Ce qui n'était pas le cas.
"Kitetoa a soutenu devant la Cour qu'il n'avait pas téléchargé la base de données [...] Vous comprenez maintenant pourquoi je tente de rétablir modestement la vérité...
La cours d'appel: "Quant au fait de télécharger certaines données, cela n'est pas reproché au prévenu". Bein oui, c'etait accès frauduleux ou maintien dans un [site web ] qui etait reproché a kitetoa, pas vol de fichier ou je ne sais quoi il me semble...
"Votre citation est de mauvaise fois, car tronquée"
Non, la peine encourue pour ne pas avoir protegé un fichier nominatif est celle que j'ai ecrite. Rien de plus rien de moins.
"Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes [...]"
Mais oui, ce sont de grands enfants... Vaut mieux laisser ça à des "experts" de la sécurité avec espèce sonnante et trébuchante, et mettre en prison ces grands enfant. Tout le monde se sentira ainsi en sécurité...
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 0.
To: Gloo
Subject: Re: Jurisprudence Tati/Kitetoa ?
From: Emmanuel JUD
Bonjour,
> Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
> un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
> (dans votre article), j'en vois d'autres.
S'introduire dans un système étranger en utilisant un exploit doit être
considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
l'utilisation irrégulière d'un navigateur web.
> "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
> il résulterait une véritable insécurité permanente, juridique et
> judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
> découvrent les failles de systèmes informatiques manifestement non
> sécurisés"
Le Procureur ne parle que de protéger les découvreurs de faille, pas
d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
avait fait les captures d'écran "à travers le web". N'importe qui s'y
connaît un peu en informatique sait que c'est faux, mais cet argument a été
repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
rétablir modestement la vérité...
> "il ne peut être reproché à un internaute d'accéder aux, ou de se
> maintenir dans les parties des sites [...] devant être réputées non
> confidentielles à défaut de toute indication contraire et de tout
> obstacle à l'accès".
En autorisant un "hacker" à télécharger des fichiers confidentiels vous
autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
individu malveillant à télécharger ces mêmes fichiers.
> Cela defend la liberté des citoyens: "tout ce qui n'est pas
> explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
> personnes de chercher/trouver des failles (meme sur des systèmes
> manifestement non sécurisés) ? Interdire la communication sur ces
> failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
> par rebond, les gens qui visiblement ne respectent pas la loi ?
Il faux trouver un compromis protégeant à la fois les internautes et les
entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
le maintien frauduleux et le vol de données.
Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
Tati et permettre à tout lecteur de l'article de télécharger la base de
données de 4000 clients était le meilleur moyen de protéger les clients en
question? Evidemment non. Si pour vous la liberté c'est de favoriser le
piratage, alors nous n'avons pas les mêmes objectifs.
> Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
> 300.000 euros d'amende". Ce n'est pas rien.
Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
frauduleux et le vol de données est complémentaire d'une protection active.
Ca permet simplement de dissuader les personnes malveillantes et dans le cas
contraire de les sanctionner. Si vous autorisez le maintien et le vol de
données il n'y a plus de sanction possible pour les pirates.
Pour permettre à une minorité d'internautes technophiles de conserver leur
passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
prêt à mettre en danger la sécurité de l'ensemble des internautes et des
entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
maintenir et de ne pas voler de données confidentielles.
Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
droits nécessaires pour participer à la discussion.
EJ
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par Gloo . Évalué à 1.
# Note de l'auteur de l'article concerné
Posté par EmJ . Évalué à 3.
Tout d'abord, l'article en question ne porte pas sur la technique utilisée mais bien sur les conséquences de la jurisprudence, qui par définition fera désormais référence dans les situations similaires. La Justice ne pouvait-elle pas relaxer Kitetoa sans instaurer une jurisprudence qui autorise tout internaute à exploiter certaines failles des serveurs ou des applications web et à en télécharger les fichiers confidentiels? A qui profite réellement cette jurisprudence?
Ensuite, il ne s'agissait pas pour moi de m'interroger sur le fait de savoir s'il faut diffuser les exploits. La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Enfin, même si je n'approuve pas toujours ses méthodes, j'ai fait partie de ceux qui ont envoyé un message de soutien à Kitetoa après sa condamnation en première instance. Que ceux qui contestent mon article uniquement parce qu'ils y voient une attaque personnelle veuillent bien mettre leur rancoeur de côté deux minutes et prendre réellement connaissance de mon papier, en respectant mon point du vue autant que je respecte le leur.
Personnellement, je ne demande qu'à confronter mon article à une critique constructive. Je préfère passer sur le rejet en bloc sans probablement l'avoir lu, sur les insinuations calomnieuses destinées à mettre en doute mon intégrité et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine, et je vais essayer de répondre aux quelques messages intéressants afin d'engager un vrai débat.
EJ
[^] # Re: Note de l'auteur de l'article concerné
Posté par Moby-Dik . Évalué à 5.
La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Non, il y a une confusion dans ce que tu dis entre :
- l'utilisation d'un "exploit" (Dieu que ce terme est laid ;-)) à des fins de démonstration technique ou scientifique
- l'utilisation d'un "exploit" à des fins délictueuses ("vol de données")
Même si le premier cas est autorisé, il est évident que le vol de données reste, lui, sanctionné. La jurisprudence consiste juste à dire que tester les failles d'un système n'est pas, en soi, répréhensible. Ce qui est plutôt une bonne nouvelle pour les professionnels de la sécurité, à mon avis.
et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine,
Je maintiens que la présence systématique de la photo de l'auteur dans certaines colonnes m'énerve au plus haut point (ce n'est pas spécifique à ton site). Quant à l''envie de meurtre", un conseil : se procurer un sens de l'hyperbole et de la dérision, d'urgence ;)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.