Jurisprudence Tati/Kitetoa ?

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
19
avr.
2003
Justice
Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.

On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404. Or, ayant assisté à une démonstration de cet exploit par Mr Kitetoa, à l'occasion de la première Zelig, je ne me rappelle pas qu'il ait mentionné cela, il soutenait que l'adresse existait et qu'on pouvait y accéder si on la connaissait.

Au delà de cet aspect technique cet article nous informe sur les risque de cette jurisprudence, et aborde évidemment l'innévitable question (Troll?) : Faut-il diffuser les exploits ?

NdM : plutôt : Comment faut-il diffuser les failles ?
(merci à Sunglasses d'avoir également proposé la news)

  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par (page perso) . Évalué à 10.

    Je pense que le comportement éthique quand on découvre une faille de sécurité est d'en avertir l'administrateur et faire de son mieux pour l'aider à corriger son système.
    Toute publication avant que la parade ne soit disponible est hautement répréhensible. De plus, il faut laisser le temps à l'administrateur de faire son travail.
    Dans un dernier temps, si rien n'est fait et que le risque d'intrusion fait courir des risque à des tiers (accès à des listes de clients), la médiatisation est le seul moyen de pression. À moins que la justice ne préfère s'en charger ? C'est une option peu crédible vu son extrême lenteur.
    • [^] # Re: Jurisprudence Tati/Kitetoa ?

      Posté par . Évalué à 10.

      D'apres Kitetoa, c'est tout a fait la demarche qu'ils ont suivit, mais celon eux le mec promut au grade d'admin du serveur était incompetent et incapable.

      Apres qui croire.

      Mais perso, je connais quelques exemple d'admin je m'en foutiste au possible, et cela ne m'etonnerait pas, ils ont sut faire passé a leur patrons que le piratage ou les pannes fesait partie du systéme, et qu'on pouvait toujours rejeter la faute sur quelqu'un d'autre, genre sur les logiciel que eux méme on choisit, ou sont sencé administré.
      • [^] # Re: Jurisprudence Tati/Kitetoa ?

        Posté par . Évalué à 10.

        Apres qui croire.
        Ce point est établi. secuser fourni la réponse à cette question sous la forme de ce lien :
        http://www.zdnet.fr/img/zdnn/2002/kittatiprocgen.htm(...)
        • [^] # Re: Jurisprudence Tati/Kitetoa ?

          Posté par (page perso) . Évalué à 2.

          Il y a un mot important dans ces "réquisitions aux fins de relaxe", c'est le mot malveillance. Je le préfère au mot frauduleux. C'est ce qui a fait déraper le premier jugement qui a voulu coller aveuglément à la lettre de la loi et non à son esprit. J'ai bien aimé aussi : «Le Garde des Sceaux a souligné au cours des débats que le droit pénal ne doit pas compenser l'insuffisance ou la défaillance des mesures de sécurité».
    • [^] # Re: Jurisprudence Tati/Kitetoa ?

      Posté par . Évalué à 1.

      Dans le cas de Tati, la médiatisation rapide de l'existence de la faille avec suffisamment d'indications pour reconnaître l'exploit concerné aura permis à ceux qui ont lu l'article de Kitetoa de télécharger la base de données de clients entre le moment où elle a été mise en ligne et le moment où Kitetoa s'est aperçu de sa présence, en repassant un an plus tard.

      Je ne suis pas certain que les 4000 clients aient vraiment apprécié le coup de la médiatisation comme moyen de pression. C'est à manier avec beaucoup de précautions, surtout si l'administrateur concerné est incompétent ou... absent.

      Pour éviter les problèmes, l'idéal serait de créé un "Samu Cyber", organisme public dont la probité des agents ne pourrait être mise en doute et auquel serait rapportée l'existence de toute faille trouvée dans les sites web français. Charge à eux de vérifier les informations, de contacter les webmestres, d'assurer le suivi et pourquoi pas de sanctionner financièrement les récalcitrants. A bons entendeurs...
      • [^] # Re: Jurisprudence Tati/Kitetoa ?

        Posté par . Évalué à 2.

        l'admin avait été avertit AVANT, la faute lui en aurait incombée totalement....

        et je crois pas que porter plainte soit une mesure efficace contre un gros problème de sécurité ^^

        ce "samu cyber" pourrait être la cnil mais bon il faut pas attendre quelque chose de ce côté là
  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par . Évalué à 10.

    ne pas donner l'addresse de kitetoa ne me semble pas très equitable vu le contenu des articles donnés en lien !

    http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kiteto(...)

    vous y trouverez la "version" du principal interresse.
  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par . Évalué à 10.

    Les deux articles de secuser.com (et non secureuser.com) sont du foutage de gueule...
    l'auteur n'a, à l'evidence, meme pas pris la peine de consulter le site dont il parle...
  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par . Évalué à 10.

    Le plus fou dans cette histoire c'est qu'il y eu des fichiers nominatifs librement (n'en deplaise à l'autre) accessibles sur le web, qui revèlent des informations privées, cela pendant un an ou deux, et, PERSONNE n'est tombé sous le coup de la loi.

    "Ce constat aurait dû faire hurler les défenseurs de la vie privée" comme dirait l'autre.

    Contrairement à ce que l'autre pense, les hackers sont à proteger parceque c'est justement la vie privée des individus et la sécurité des systèmes d'informations qui est en jeux. Sinon qui va les defendre ? les editeurs de logiciels qui vendent des softs troués jusqu'au trognon ("si vous etes pas content, vous n'avez qu'à pas utiliser le logiciel, et de toute façon, vous ne pouvez pas engager notre responsabilité") ? les entreprises qui se revendent leurs fichiers clients parfois non déclarés à la CNIL, et qui ne risquent de toute façon rien à laisser trainer leurs fichiers clients sur le web pendant 1 an ou plus ? la justice avec des lois liberticides, sa lenteur ou sont cout ? les SSII, ce qui voudrait dire que la confidentialité n'est que le privilège des fortunés ? les vrais méchants ?

    Pour l'histoire du "vrai/faux hackers pirate gentils mais en fait mechant qui est un chercheur de faille mais pas vraiment", et bien il y a un truc dans le droit français: la presomption d'innocence.

    Je me demande si TATI, qui N'a _visiblement_ PAS voulu s'"offrir", non pas un expert en sécurité informatique bac+12 15 ans d'experience, mais un admin système (en interne ou via ssii), à quand même fait des économies en se payant ces procès et salissant ainsi son image sur le web et ailleurs. Vu que de toute façon personne ne les a poursuivi ca limite les frais ( et ca les deresponsabilise de surcroit. )

    Forcer un login/password, ca c'est s'introduire de façon frauduleuse dans un système.

    L'autre aurait du se poser une question du genre: Combien de temps après qu'une faille et son correctif ont été rendus publics (bugtraq ou autre) ou l'admin averti (dev specifique), doit-on considerer qu'une société ne se donne pas les moyens d'assurer la confidentialité de "ses" informations, rendant ainsi la société condamnable, le vrai hacker irreprochable et le mechant condamnable avec des circonstances attenuantes ?

    L'autre aurait pu eviter les analogies stupides du type vol sans infraction. Dans le reel c'est une personne physique qui commet l'acte, sur la toile... c'est une machine et il va falloir prouver que c'etait bien moi qui était derrières les 6 proxies (Russie, US, Chine, Australie, Corrée du Nord, Angleterre ) et que j'ai bien tapé bien les commandes (et pas la machine toute seule via mail+macro+os_de_merde). Dans un cas, on parle de biens privées, dans l'autre d'information confidentielles.... Dans un cas c'est un lieu privé, dans l'autre c'est un espace libre d'accès. Bref, Ca n'a aucun rapport. En suivant le raisonnement, on interdit les cyber café, on emprisonne ceux qui "aurraient" pu faire une tentative d'infraction, on interdit les softs qui "pourraient" causer des problèmes (compilos), on nous file une IP dès la naissance et on se connecte au net uniquement via un système biometrique, et tout ca avec une justice/police centralisée et mondiale... Tout ca parceque des boites se foutent de tout (sauf de leur porte monnaie) en toute impunité ? Faut arreter...

    TATI aurrait du se faire condamner, ca aurrait fait reflechir les boites qui pensent que les informations nominatives et en relation avec la vie privée de leurs clients ne meritent pas "un truc" qui se nomme sécurité, parceque, pour elles, c'est uniquement "un truc" qui coute et ne rapporte rien.
  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par . Évalué à 1.

    mmmh il me semble que l'on a pas de le DROIT de commenter une decision de justice, un volontaire pour attaquer manu? devant la justice, par ce que la il en fait des commentaires :-). surtout a propos de la decision pour kitetoa, histoire de lui apprendre a vivre.
    • [^] # Re: Jurisprudence Tati/Kitetoa ?

      Posté par . Évalué à 0.

      Pourquoi on n'aurait pas le droit de commenter une décision de justice? La justice ne peut pas être considérée comme détentrice de la vérité, si?
      • [^] # Re: Jurisprudence Tati/Kitetoa ?

        Posté par . Évalué à 8.

        Eh non, c'est con mais c'est comme ça (chercher sur http://www.legifrance.gouv.fr(...)

        "Article 434-25

        (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)

        Le fait de chercher à jeter le discrédit, publiquement par actes, paroles, écrits ou images de toute nature, sur un acte ou une décision juridictionnelle, dans des conditions de nature à porter atteinte à l'autorité de la justice ou à son indépendance est puni de six mois d'emprisonnement et de 7500 euros d'amende.
        Les dispositions de l'alinéa précédent ne s'appliquent pas aux commentaires techniques ni aux actes, paroles, écrits ou images de toute nature tendant à la réformation, la cassation ou la révision d'une décision.
        Lorsque l'infraction est commise par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
        L'action publique se prescrit par trois mois révolus, à compter du jour où l'infraction définie au présent article a été commise, si dans cet intervalle il n'a été fait aucun acte d'instruction ou de poursuite."

        Dans le 2eme paragraphe, on voit que nos amis juristes se sont réservés une porte de sortie via les commentaires techniques. S'ils avaient pu en faire profiter les copains. La suite du paragraphe est un peu floue, mais j'imagine que ce droit est réservé aux avocats des parties dans leurs comunications purement juridiques, mais qui pourtant se répandent dans les médias sur le pourvoi en cassation qu'ils vont faire. C'est con mais c'est comme ça. Je crois que y a régulierement des tentatives pour éliminer cet article mais pour l'instant....
        • [^] # Re: Jurisprudence Tati/Kitetoa ?

          Posté par . Évalué à 1.

          euuuuh...

          commenter une décision de justice, ce n'est pas ce que font quasimment tous les avocats des parties concernées quand ils sont interrogés par les journalistes à l'issue d'un procès ?

          on m'aurait menti ?
        • [^] # Re: Jurisprudence Tati/Kitetoa ?

          Posté par (page perso) . Évalué à 2.

          <blockquote>
          dans des conditions de nature à porter atteinte à l'autorité de la justice ou à son indépendance
          [...]
          Les dispositions de l'alinéa précédent ne s'appliquent pas aux commentaires techniques ni aux actes, paroles, écrits ou images de toute nature tendant à la réformation, la cassation ou la révision d'une décision.
          </blockquote>

          Donc on a le droit de critiquer une décision de justice à condition que ce soit dans le but de l'aider à être plus juste et pas de la rediculiser au point de nuire à son autorité.
          Je vois pas pourquoi ce serait le cas ici.
      • [^] # Re: Jurisprudence Tati/Kitetoa ?

        Posté par . Évalué à 2.

        Imagine une personne physique ou morale qui a les moyens politiques et/ou économiques et/ou médiatiques de contester toute décision de justice en sa défaveur jusqu'à imposer sa propre "version" de la "vérité". (toute ressemblance... ;))

        Les "groupes de pression" ou "lobby" de tous poils ne sont pas "controlables" par le peuple, à l'inverse de la justice de ton pays. Le fait de ne pas pouvoir remettre en cause publiquement une décision de justice est un garde-fou précieux pour le citoyen lambda.

        La justice, quelques soient ses "erreurs", _doit_ avoir le "dernier mot". sinon, c'est la loi du plus fort (ie de la plus "grande gueule") qui prévaut. Ne pas oublier que les différentes procédures d'appel permmettent déjà de "discuter" une décision de justice de manière légale.
        • [^] # Re: Jurisprudence Tati/Kitetoa ?

          Posté par . Évalué à 1.

          Quoi qu'il en soit, c'est toujours la question de la censure. On a le droit de censurer les gens si c'est pour leur bien, quoi.
          Et puis il faut quand même remarquer que les groupes de pression font du boulot aussi bon en taisant qu'ne parlant.
    • [^] # Re: Jurisprudence Tati/Kitetoa ?

      Posté par . Évalué à 6.

      Ca me fait penser à l'affaire "Calimero" sur altern où le jugement précisait que V. Lacambre n'avait pas le droit de commenter cette affaire en disant "c'est vraiment trop injuste" !
  • # Photo

    Posté par . Évalué à 7.

    J'ai des envies de meurtre à chaque fois que je vois un article "illustré" par la photo idiote et complaisante de l'auteur souriant comme un gamin trop sage lors de sa première communion... Quel genre de pertinence a la tronche de l'auteur de l'article ? Est-ce que ça le rend plus crédible ? Ou est-ce pour sous-entendre que c'est quelqu'un d'important ?

    Le pire c'est que dans le cas présent, le type a une tronche de vendeur dans une société d'assurances (le genre de gars qui veut à tout prix vous refiler trois mutuelles différentes et des garanties complémentaires pour protéger la descendance de votre chien en cas d'attaque nucléaire surprise).
    • [^] # Re: Photo

      Posté par . Évalué à 3.

      En passant ça me rappelle que j'avais lu que l'assurance de ma carte bleue ne jouait pas en cas de contamination radioactive. Ce genre de précision me fait toujours à demi-sourire
    • [^] # Re: Photo

      Posté par . Évalué à 1.

      Bon, il ne faudrait pas non plus tomber dans le "déli de salle gueule"... ou le déli de sallle mise en page.
      Les articles sont suffisamment criticables sur le fond.
  • # Re: Jurisprudence Tati/Kitetoa ?

    Posté par . Évalué à -2.

    C'est vrai que cela fait réfléchir : http://www.secuser.com/dossiers/affaire_tati_kitetoa.htm
    • [^] # Re: Jurisprudence Tati/Kitetoa ?

      Posté par . Évalué à 4.

      * Qu'il faut retirer toutes fonctionnalités d'un navigateur, y compris le fait de pouvoir modifier l'URL à la main ?

      * Qu'il faut supprimer le binaire telnet des postes de l'utilisateur lambda ( après tout une infime partie de la population l'utilise... ) ?

      * Qu'il faut supprimer les compilos qui permettent d'obtenir un telnet ?

      * Qu'il faut supprimer les études d'informatiques qui permmettent d'ecrire un compilo ?

      * Que le fait de mettre "confidentiel" (l'histoire de la charte graphique) sur un serveur PUBLIQUE, permet à une boite de ne mettre AUCUNE securité ? C'est clair, les vrais mechants, ils respectent les pancartes "Attention, ceci est un document confidentiel, merci de ne pas le telecharger".

      * Qu'il faut proteger les boites qui se foutent de la loi et en particulier la n° 78-17 du 6 janvier 1978 en mettant les SEULES personnes qui montrent du doigt le problème en prison, ou les empecher d'oeuvrer avec des textes à la con ?

      * Qu'il faut supprimer les journalistes qui pointent du doigt les problèmes ?

      La réalité:

      "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés"

      Le veritable danger vient des boites qui font des fichiers nominatifs et qui ne s'assurent pas qu'ils soient protégés avec toutes les précautions utiles.
      • [^] # Re: Jurisprudence Tati/Kitetoa ?

        Posté par . Évalué à 0.

        Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants, y compris des navigateurs web. Il n'existe pas d'outil intrinsèquement "bon" ou "mauvais".

        Ca n'est pas parce qu'un couteau de cuisine sert à couper les aliments que son usage ne peut pas être détourné. Si vous instaurez une jurisprudence comme quoi il ne peut pas y avoir homicide volontaire dans le cas de l'utilisation d'un couteau de cuisine, vous ne serez pas déçu du résultat.

        Ceci dit, ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes, c'est complémentaire.
        • [^] # Re: Jurisprudence Tati/Kitetoa ?

          Posté par . Évalué à 3.

          Je vous en prie, arretez vos analogies.

          "Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants"

          Absolument pas. Mon commentaire est l'illustration qu'il faut condamner un acte delictueux . Rien d'autre. Vous voyez des dérives possibles (dans votre article), j'en vois d'autres.

          "Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés"

          "il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites [...] devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès".

          Cela defend la liberté des citoyens: "tout ce qui n'est pas explicitement prohibé est permis". Que voulez vous faire ? Interdire aux personnes de chercher/trouver des failles (meme sur des systèmes manifestement non sécurisés) ? Interdire la communication sur ces failles ? Interdire les outils qui permettent de les trouver ? Couvrir, par rebond, les gens qui visiblement ne respectent pas la loi ?

          "ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes"

          Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de 300.000 euros d'amende". Ce n'est pas rien.
          • [^] # Re: Jurisprudence Tati/Kitetoa ?

            Posté par . Évalué à 1.

            C'etait dans ma boite.

            From: "Emmanuel JUD"
            To: Gloo


            Bonjour,

            > Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
            > un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
            > (dans votre article), j'en vois d'autres.

            S'introduire dans un système étranger en utilisant un exploit doit être
            considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
            de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
            l'utilisation irrégulière d'un navigateur web.

            > "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
            > il résulterait une véritable insécurité permanente, juridique et
            > judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
            > découvrent les failles de systèmes informatiques manifestement non
            > sécurisés"

            Le Procureur ne parle que de protéger les découvreurs de faille, pas
            d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
            devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
            avait fait les captures d'écran "à travers le web". N'importe qui s'y
            connaît un peu en informatique sait que c'est faux, mais cet argument a été
            repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
            fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
            rétablir modestement la vérité...

            > "il ne peut être reproché à un internaute d'accéder aux, ou de se
            > maintenir dans les parties des sites [...] devant être réputées non
            > confidentielles à défaut de toute indication contraire et de tout
            > obstacle à l'accès".

            En autorisant un "hacker" à télécharger des fichiers confidentiels vous
            autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
            individu malveillant à télécharger ces mêmes fichiers.

            > Cela defend la liberté des citoyens: "tout ce qui n'est pas
            > explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
            > personnes de chercher/trouver des failles (meme sur des systèmes
            > manifestement non sécurisés) ? Interdire la communication sur ces
            > failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
            > par rebond, les gens qui visiblement ne respectent pas la loi ?

            Il faux trouver un compromis protégeant à la fois les internautes et les
            entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
            failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
            le maintien frauduleux et le vol de données.

            Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
            Tati et permettre à tout lecteur de l'article de télécharger la base de
            données de 4000 clients était le meilleur moyen de protéger les clients en
            question? Evidemment non. Si pour vous la liberté c'est de favoriser le
            piratage, alors nous n'avons pas les mêmes objectifs.

            > Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
            > 300.000 euros d'amende". Ce n'est pas rien.

            Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
            frauduleux et le vol de données est complémentaire d'une protection active.
            Ca permet simplement de dissuader les personnes malveillantes et dans le cas
            contraire de les sanctionner. Si vous autorisez le maintien et le vol de
            données il n'y a plus de sanction possible pour les pirates.

            Pour permettre à une minorité d'internautes technophiles de conserver leur
            passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
            prêt à mettre en danger la sécurité de l'ensemble des internautes et des
            entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
            entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
            maintenir et de ne pas voler de données confidentielles.

            Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
            réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
            droits nécessaires pour participer à la discussion.

            EJ
            • [^] # Re: Jurisprudence Tati/Kitetoa ?

              Posté par . Évalué à 1.

              "S'introduire dans un système étranger en utilisant un exploit"

              Dans l'affaire kitetoa, c'est une absence de "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non autorisés" le problème, pas un exploit. Le serveur de TATI était ouvert à tous les vents pendant très longtemps.

              "à l'exception de l'utilisation irrégulière d'un navigateur web"

              Il faudra qu'un legislateur m'explique ce qu'est une utilisation irregulière d'un navigateur web, d'un telnet, d'un compilo, d'un ordinateur... Mon navigateur me permet de retoucher une URL, je ne vois pas où est l'irregularité.

              La justice a simplement dit qu'il n'y avait aucune mesure de securité, ce qui est vrai. "
              Il en irait autrement si l'internaute "testeur" forçait un passage". Ce qui n'était pas le cas.

              "Kitetoa a soutenu devant la Cour qu'il n'avait pas téléchargé la base de données [...] Vous comprenez maintenant pourquoi je tente de rétablir modestement la vérité...

              La cours d'appel: "Quant au fait de télécharger certaines données, cela n'est pas reproché au prévenu". Bein oui, c'etait accès frauduleux ou maintien dans un [site web ] qui etait reproché a kitetoa, pas vol de fichier ou je ne sais quoi il me semble...

              "Votre citation est de mauvaise fois, car tronquée"

              Non, la peine encourue pour ne pas avoir protegé un fichier nominatif est celle que j'ai ecrite. Rien de plus rien de moins.

              "Pour permettre à une minorité d'internautes technophiles de conserver leur
              passe-temps favori qui consiste à s'introduire dans les systèmes [...]"


              Mais oui, ce sont de grands enfants... Vaut mieux laisser ça à des "experts" de la sécurité avec espèce sonnante et trébuchante, et mettre en prison ces grands enfant. Tout le monde se sentira ainsi en sécurité...
          • [^] # Re: Jurisprudence Tati/Kitetoa ?

            Posté par . Évalué à 0.

            C'est tombé dans ma boite.

            To: Gloo
            Subject: Re: Jurisprudence Tati/Kitetoa ?
            From: Emmanuel JUD


            Bonjour,

            > Absolument pas. Mon commentaire est l'illustration qu'il faut condamner
            > un acte delictueux . Rien d'autre. Vous voyez des dérives possibles
            > (dans votre article), j'en vois d'autres.

            S'introduire dans un système étranger en utilisant un exploit doit être
            considéré comme un acte délictueux quel que soit le motif. C'était l'esprit
            de la loi "Godfrain" jusqu'à présent et ça l'est encore à l'exception de
            l'utilisation irrégulière d'un navigateur web.

            > "Il semble inenvisageable d'instaurer une jurisprudence répressive dont
            > il résulterait une véritable insécurité permanente, juridique et
            > judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui
            > découvrent les failles de systèmes informatiques manifestement non
            > sécurisés"

            Le Procureur ne parle que de protéger les découvreurs de faille, pas
            d'autoriser le téléchargement des fichiers confidentiels. Kitetoa a soutenu
            devant la Cour qu'il n'avait pas téléchargé la base de données mais qu'il
            avait fait les captures d'écran "à travers le web". N'importe qui s'y
            connaît un peu en informatique sait que c'est faux, mais cet argument a été
            repris (de mémoire) par le premier Procureur dans sa démonstration qu'il
            fallait relaxer Kitetoa. Vous comprenez maintenant pourquoi je tente de
            rétablir modestement la vérité...

            > "il ne peut être reproché à un internaute d'accéder aux, ou de se
            > maintenir dans les parties des sites [...] devant être réputées non
            > confidentielles à défaut de toute indication contraire et de tout
            > obstacle à l'accès".

            En autorisant un "hacker" à télécharger des fichiers confidentiels vous
            autorisez aussi un spammer, un script-kiddy, une cellule de veille et tout
            individu malveillant à télécharger ces mêmes fichiers.

            > Cela defend la liberté des citoyens: "tout ce qui n'est pas
            > explicitement prohibé est permis". Que voulez vous faire ? Interdire aux
            > personnes de chercher/trouver des failles (meme sur des systèmes
            > manifestement non sécurisés) ? Interdire la communication sur ces
            > failles ? Interdire les outils qui permettent de les trouver ? Couvrir,
            > par rebond, les gens qui visiblement ne respectent pas la loi ?

            Il faux trouver un compromis protégeant à la fois les internautes et les
            entreprises, tout en laissant aux "hackers" la possibilité de rechercher les
            failles. Il suffit d'assouplir le délit d'accès frauduleux et de conserver
            le maintien frauduleux et le vol de données.

            Pensez-vous vraiment que révéler l'existence de la faille dans le serveur de
            Tati et permettre à tout lecteur de l'article de télécharger la base de
            données de 4000 clients était le meilleur moyen de protéger les clients en
            question? Evidemment non. Si pour vous la liberté c'est de favoriser le
            piratage, alors nous n'avons pas les mêmes objectifs.

            > Ils DOIVENT le faire. C'est la loi. "cinq ans d'emprisonnement et de
            > 300.000 euros d'amende". Ce n'est pas rien.

            Votre citation est de mauvaise fois, car tronquée. Interdire le maintien
            frauduleux et le vol de données est complémentaire d'une protection active.
            Ca permet simplement de dissuader les personnes malveillantes et dans le cas
            contraire de les sanctionner. Si vous autorisez le maintien et le vol de
            données il n'y a plus de sanction possible pour les pirates.

            Pour permettre à une minorité d'internautes technophiles de conserver leur
            passe-temps favori qui consiste à s'introduire dans les systèmes vous êtes
            prêt à mettre en danger la sécurité de l'ensemble des internautes et des
            entreprises, ça n'est pas très rationnel. Chacun doit faire un effort : aux
            entreprises d'accepter l'accès non autorisé, aux "hackers" de ne pas se
            maintenir et de ne pas voler de données confidentielles.

            Maintenant, si vous êtes de bonne fois, vous voudrez bien poster cette
            réponse sous la vôtre ou préciser aux lecteurs que je ne dispose plus des
            droits nécessaires pour participer à la discussion.

            EJ
  • # Note de l'auteur de l'article concerné

    Posté par . Évalué à 3.

    Merci à PloufPlouf d'avoir cité mon article dans sa dépêche et d'avoir provoqué cette discussion, mais il me faut préciser que sa présentation est essentiellement un commentaire personnel et qu'elle comporte quelques inexactitudes de nature à induire le lecteur en erreur quant au contenu réel de mon article sur la jurisprudence Tati/Kitetoa.

    Tout d'abord, l'article en question ne porte pas sur la technique utilisée mais bien sur les conséquences de la jurisprudence, qui par définition fera désormais référence dans les situations similaires. La Justice ne pouvait-elle pas relaxer Kitetoa sans instaurer une jurisprudence qui autorise tout internaute à exploiter certaines failles des serveurs ou des applications web et à en télécharger les fichiers confidentiels? A qui profite réellement cette jurisprudence?

    Ensuite, il ne s'agissait pas pour moi de m'interroger sur le fait de savoir s'il faut diffuser les exploits. La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.

    Enfin, même si je n'approuve pas toujours ses méthodes, j'ai fait partie de ceux qui ont envoyé un message de soutien à Kitetoa après sa condamnation en première instance. Que ceux qui contestent mon article uniquement parce qu'ils y voient une attaque personnelle veuillent bien mettre leur rancoeur de côté deux minutes et prendre réellement connaissance de mon papier, en respectant mon point du vue autant que je respecte le leur.

    Personnellement, je ne demande qu'à confronter mon article à une critique constructive. Je préfère passer sur le rejet en bloc sans probablement l'avoir lu, sur les insinuations calomnieuses destinées à mettre en doute mon intégrité et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine, et je vais essayer de répondre aux quelques messages intéressants afin d'engager un vrai débat.

    EJ
    • [^] # Re: Note de l'auteur de l'article concerné

      Posté par . Évalué à 5.

      Bonjour à l'auteur,

      La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.

      Non, il y a une confusion dans ce que tu dis entre :

      - l'utilisation d'un "exploit" (Dieu que ce terme est laid ;-)) à des fins de démonstration technique ou scientifique
      - l'utilisation d'un "exploit" à des fins délictueuses ("vol de données")

      Même si le premier cas est autorisé, il est évident que le vol de données reste, lui, sanctionné. La jurisprudence consiste juste à dire que tester les failles d'un système n'est pas, en soi, répréhensible. Ce qui est plutôt une bonne nouvelle pour les professionnels de la sécurité, à mon avis.

      et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine,

      Je maintiens que la présence systématique de la photo de l'auteur dans certaines colonnes m'énerve au plus haut point (ce n'est pas spécifique à ton site). Quant à l''envie de meurtre", un conseil : se procurer un sens de l'hyperbole et de la dérision, d'urgence ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.