kitetoa condamné

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Amaury.
Tags : aucun
0
18
fév.
2002
Sécurité

Après avoir montré l'existence d'une faille de sécurité sur le site de tati.fr, kitetoa se voit poursuivi en justice. Bilan, le TGI de paris condamne avec sursis kitetoa à payer 1000 € pour fraude informatique.

Moralité : si vous découvrez une faille, gardez-vous bien de faire quoi que ce soit. Kitetoa prévient toujours les admins du serveur avant de publier quoi que ce soit sur leur site.

  • # La sécurité avance !

    Posté par (page perso) . Évalué à 10.

    Maintenant, lorsque les mécanos découvriront une faille majeure dans la sécurité d'un véhicule automobile, pouvant mettre en péril la vie des utilisateurs, si ils dévoilent le dysfonctionnement de ce véhicule, ils seront poursuivis par le constructeur.

    Un seul mot, bravo.
    • [^] # Entrave à la liberté d'expression

      Posté par . Évalué à 10.

      Une faille de sécurité sur un serveur visible sur internet est bien une information 'visible par tous', pourvu qu'on ait les compétences adéquates ?

      Si l'on pas le droit de le signaler, il y a entrave à la liberté d'expression, non ?
      • [^] # Re: Entrave à la liberté d'expression

        Posté par (page perso) . Évalué à 10.

        Oui surtout qu'il ne donnait l'info qu'aux personnes concernes dans le cas ou ils plubieraient leurs infos directement en ligne sans prevenir les admins , la j'aurai compris la poursuite .
      • [^] # Re: Entrave à la liberté d'expression

        Posté par (page perso) . Évalué à 10.

        J'en profite pour rappeler la loi:
        les responsables sécurité ou directeurs informatique sont passibles de peines similaires que des pirates s'ils n'ont pas pris les précautions nécessaires pour assurer la sécurité de leur système d'information.
        • [^] # Re: Entrave à la liberté d'expression

          Posté par . Évalué à 10.

          Ce n'est pas seulement la faute de l'admin sys quand il y a un problème d'accès à un serveur sécurisé.
          Exemple : une boîte vend un service en ligne à d'autres entreprises. Ces dernières s'en servent pour gérer une liste de revendeurs. Ce service utilise des ASP sur un IIS (bêêêrk, mais bon), et il y a une base SQLServer derrière. Or, l'admin sys (qui aimerait bien virer les Windows, mais bon, 'va falloir aller dire aux développeurs de se passer des ASP...), même en sécurisant tout ce qu'il veut, ne peut pas empêcher l'appli ASP d'être pourrie. Il m'a montré l'autre jour que n'importe qui pouvait se logger sur le service, car la vérification de la requête sur le login n'était pas faite.
          En gros, il suffit de fermer une quote, et mettre -- (commentaire en SQL, si j'ai bien compris), et hop, on rentre comme on veut. Là, c'est les développeurs qui ont fait un boulot de porcs, et ce n'est pas à l'admin sys d'aller leur expliquer comment coder, en théorie. Ce qui m'a fait tiquer, quand on me l'a montré, c'est une phrase en bas sur le site : «Ce site est protégé, et vous êtes le seul à pouvoir y accéder» ou quelque chose du genre.
          Donc l'admin sys aura beau sécuriser sa machine au maximum, il ne peut rien contre l'incompétence des développeurs.
          Et là, comment ça se passe ? On ne peut tout de même pas envoyer en taule (peines similaires) les développeurs parce qu'il y a des bugs dans leurs applis, ou alors, cela créerait un précédent douteux.
          • [^] # Re: Entrave à la liberté d'expression

            Posté par . Évalué à 10.

            >En gros, il suffit de fermer une quote, et mettre -- (commentaire en SQL, si j'ai bien compris) [...]
            >il ne peut rien contre l'incompétence des développeurs

            Je pense que le terme incompétence est correct. C'est une 'faille' qui existe avec n'importe quel site accédant à une base de données.
            On peut faire la même chose avec MySQL (et postgresql, et autres). Par exemple, ma requete de verif de mot de passe:
            SELECT user_id FROM table_user WHERE user_login='$login' AND user_password='$pass';
            Si dans le formulaire on passe le login user'# ou ici user'--, alors la fin de la requete est prise pour un commentaire, donc pas de verification du password.
            C'est plus que basique (il faut mettre un \ (ou autre selon la base) devant les caracteres tendencieux comme ', #, -.... En php on peut utiliser addslashes).

            [-1] car avis perso sur les devs
            • [^] # Re: Entrave à la liberté d'expression

              Posté par . Évalué à 1.

              Ah, oui, ça devait être ça.

              [-1] car avis perso sur les devs
              Ben, ce qui me fait peur, c'est que ce cas n'est certainement pas unique, et qu'on doit en trouver à la pelle, des «start-up» à la con, qui ont embauché des gars qui ont déjà bidouillé 2 ou 3 lignes de code sur leur PC sans avoir eu une formation rigoureuse sur la sécurité, et qui râlent dès qu'on leur fait la moindre remarque sur leur façon de faire (Bon, disons que sur ce coup-là, ils ne l'ont pas trop ramené, surtout qu'il y avait 2 ou 3 de leurs sites en production qui étaient affectés).

              -1, car ça fait pas avancer le schmilblick
          • [^] # Re: Entrave à la liberté d'expression

            Posté par (page perso) . Évalué à 3.

            Je ne parle pas forcement d'un admin, mais plutot d'un responsable sécurité qui, si il est au courant, est sensé avoir le pouvoir nécessaire au sein de la direction pour imposer la correction d'un pb de ce type.
            Et c'est le boulot du RSSI de vérifier que les dev réalisés ont un niveau de sécurité conforme aux attentes de sa société.
            • [^] # Re: Entrave à la liberté d'expression

              Posté par . Évalué à 7.

              Bah, dans la boîte que je cite, il n'y a pas de RSSI, et je pense que c'est loin d'être la seule boîte dans ce cas. Alors c'est l'admin sys qui vérifie selon ses recherches, mais il est clair qu'il n'est pas là pour aller regarder le code des développeurs (ça faisait 6 mois que c'était dans cet état-là, quand même).
              De plus, quand on voit qu'ils se demandent des fois à quoi peut servir un admin sys (pas tout-à-fait, mais presque), ils ne sont certainement pas prêt d'embaucher un responsable sécurité.
              Tu cernes plus le problème ? Les petites entreprises du type start-up négligent complètement l'aspect sécurité, vu que c'est sûr, ça coûte des sous. Et je ne pense pas que la boîte citée soit un cas isolé, il n'y a qu'à voir comment Kitetoa a épinglé ATOS, qui est loin d'être une petite start-up à 2 balles.
              • [^] # Re: Entrave à la liberté d'expression

                Posté par (page perso) . Évalué à 2.

                La sécurité, ça coûte ! Une bonne serrure c'est plus cher qu'un cadenas de bas de gamme.
                Lorsque la sécurité est prise en main par des gestionnaires financiers, il ne faut pas s'attendre à autre chose.
                Il serait temps de les DSI embauchent de vrais spécialistes de la sécurité. Les linuxiens y trouveraient leur compte !
    • [^] # Re: La sécurité avance !

      Posté par . Évalué à 10.

      Ben moi, je vais laisser mon coffre fort ouvert devant chez moi et le premier qui y touchera aura un procès au cul, et je gagnerai...

      Y'a plus qu'une chose à faire: boycoter Tati (de toute façon, ça ne se trouve que sur Paris ces trucs là, non?).
      • [^] # Non

        Posté par (page perso) . Évalué à -10.

        Il y en a un à Nancy en tout cas

        L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Re: La sécurité avance !

        Posté par . Évalué à -3.

        Non, y'en a un sur marseille.
      • [^] # Re: La sécurité avance !

        Posté par (page perso) . Évalué à 3.

        si c'est le truc qui vend des habits dans des caisses, y'en a un a toulouse aussi :)
      • [^] # Re: La sécurité avance !

        Posté par . Évalué à 1.

        et a Lyon... tu ne dois donc pas habiter ds une grande ville :)))
        • [^] # Re: La sécurité avance !

          Posté par . Évalué à 3.

          Si ça se trouve, il y en a un dans ma ville (Rennes), mais je m'en fous vu que je boycote Tati :-)
    • [^] # Re: La sécurité avance !

      Posté par . Évalué à 10.

      Yep, sauf que là les gars sont allés sur la bécane de tati, au lieu de faire l'expérience chez eux. Donc bon, l'avis du juge est compréhensible d'un certains point de vue : il ne fait qu'appliquer la loi, (très) bêtement.

      Rappel juridique : l'intrusion dans un "système automatisé de données" est passible de mor^h^h^h pas loin mais presque :-)

      C'est très con mais bon, l'affaire Lacambre/altern.org/Estelle Halliday avait bien montré que la connaissance des juges en matière d'Internet était très limitée...

      N'hésitez pas à envoyer un 'tit mail de soutient à kitetoa, ça leur fera plaisir.
      • [^] # Re: La sécurité avance !

        Posté par . Évalué à 10.

        En même temps, mettre en place un serveur web puis considérer que se connecter à ce serveur est illégal, c'est de la bétise pur (et je suis poli).

        Mais c'est vrai qu'un petit juge ne peut pas comprendre qu'un serveur web est fait pour recevoir des connexions...
        • [^] # Re: La sécurité avance !

          Posté par . Évalué à 6.

          Je suppose qu'on parle ici de connexion non autorisé. C'est pas parce qu'un serveur est public que tout le monde peut faire n'importe quoi. C'est pas parce que une bande est ouverte au public qu'on a le droit de se servir dans les coffres.
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à 10.

            Une société propose au public un site web dont l'URL de base est http://tati.fr/

            D'après le jugement, il est interdit d'utiliser le serveur web pour y faire une requête du style http://tati.fr/base_de_donnees_des_clients.xls

            Si quelqu'un arrive à trouver ça normal, il faut qu'il m'explique pourquoi. Pour moi, il n'y a rien d'illégal à envoyer un paquet IP à une machine dont la fonction première est de recevoir des paquets.

            Pour ce qui est des banques ouvertes au public, je n'ai encore jamais vu une telle banque laisser son coffre fort ouvert au public.
            • [^] # Re: La sécurité avance !

              Posté par (page perso) . Évalué à 1.

              Moi qui croyais que les "attaques" informatiques étaient bien définies et que ce type de requète n'en faisait pas partie...
              Quelqu'un aurait plus d'info là dessus ?
          • [^] # Pas aussi simple....

            Posté par . Évalué à 10.

            Gardons cette comparaison avec les banques (qui change un peu de la comparaison avec les bagnoles...).

            Une banque se fait cambrioler, elle porte plainte, et si on choppe les cambrioleurs, ils sont condamnés. Normal.

            Si une banque a une "porte de service" qui ferme meme pas a cle, que quelqu'un rentre dedans, met un mot "faites gaffe les gars, j'aurais pu piquer du pognon", et previent *ensuite* tout le monde (en laissant a la banque un minimum de temps pour mettre une vraie porte ou reboucher), j'estime que la banque devrait jouer profil bas et remercier le gars. D'un autre cote, le gars pouvait simplement prevenir la banque, sans rentrer.

            Maintenant, si le gars en question trouve une faille dans un système pourtant assez bien blindé, ca se complique: des failles, il y en a toujours, plus ou moins faciles a voir et/ou a exploiter.

            La encore, s'il se contente de prevenir la banque, et ne fait *aucun* degat, ca se discute.

            Mais s'il fait le moindre degat, on est en droit de se demander s'il pouvait le faire, ou s'il ne pouvait pas plus simplement donner une explication theorique, sans demonstration (quitte a la faire plus tard si on ne le croit pas).


            Donc, c'est pas aussi simple: le fait que l'equipe de kitetoi trouve les failles de serveurs, previennent les admins *puis* previenne le grand public (apres avoir laisse un temps raisonnable de reaction aux adminsys), c'est plutot bien.

            Mais ont-ils le *droit* (legal et/ou logique) de rentrer effectivement sur les systemes en question, ca se discute....
            • [^] # Re: Pas aussi simple....

              Posté par . Évalué à 5.

              J'aime bien l'exemple de la banque. Comment tu fais pour savoir si une porte est verrouillée à clef ou pas ? Tu tournes la poignée, ce qui peut être considéré comme une intrusion.
              Il est impossible d'analyser la sécurité d'une boite noire sans y toucher, et la toucher peut être considéré comme une intrusion.
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à 8.

            Je tiens à rappeler que Kitetoa s'est specialisé dans l'intrusion à l'aide de browser netscape (raison pour laquelle il parle uniquement de sites web d'entreprises).
            Le but de Kitetoa n'est pas (spécialement :) de divulguer des informations concernant la sécurité de ces serveurs publics ou d'aider les administrateurs, mais surtout de dénoncer ces administrations ou entreprises qui divulguent des fichiers nominatifs informatiques à cause d'un défaut de sécurité qui bien souvent n'est dû qu'à un manque de configuration (et non pas de développement).

            Avec la recherche par extensions de google, ou bien l'introduction de liens vers des CGI dans une page crawlées, on peut également réaliser de magnifiques "intrusions". Je pense que c'est l'incompétence et l'igorance de la loi qui devraient être punis, pas le citoyen qui les pointe.

            (en passant, comment savoir si les données sont reservées/privées/interdites puisqu'on se trouve sur un serveur public et qu'on tape de simples URL ? On peut invoquer s'être trompé, ou même être arrivé là par un lien du site en quesion, etc. C'est pas scalable comme jugement :)
        • [^] # Re: La sécurité avance !

          Posté par . Évalué à 2.

          Je suis d'accord avec toi, les autorités aussi bien politique que judiciaire sont dépassées par ce genre de problème. MAIS le fait de se connecter ou tenter de se connecter peut être un acte illégal. Je m'explique: Tu montes un serveur web. Derrière se cachent des backends serveurs théoriquement inaccessibles. Si quelqu'un se connecte à ton serveur dans le but de pirater un des backends serveurs, ton hypothèse ne tient plus, car elles devient une tentative d'effraction. Certes, l'admin est censé protégé sa machine, mais on ne sait pas se protéger de tout, il y aura toujours des failles...
      • [^] # Re: La sécurité avance !

        Posté par (page perso) . Évalué à 10.

        Effectivement, je ne pense pas qu'il faille "réformé" les juges, mais plutot les lois. Les juges sont là pour faire appliquer les lois.

        Si la loi dit "l'intrusion dans un "système automatisé de données" est passible ...", les juges l'appliquent avant même de savoir dans quel but est faite l'intrusion. La notion de but est à ajouter dans la loi, encore qu'un but véritable et avéré est difficilement démontrable. Si un cracker entre dans un système avec le but d'y nuire, et ne réussit pas son mauvais coup, il peut toujours dire qu'il avait l'intention de détecter les trous de sécurité pour prévenir l'admin...

        Si vous avez déjà été cambriolé vous savez que toute intrusion est suspecte et désagréable. Sans compter la divulgation d'informations potentiellement confidentielles.

        A relativiser donc.
        • [^] # Re: La sécurité avance !

          Posté par (page perso) . Évalué à 10.

          ouais mais la le probleme et que les personnes de tati ont ete prevenu et ont bien du voir que rien n avait ete vole [ enfin apparement pas vu leur niveau de competence ] .

          Personnellement moi j ai rien contre les gens qui me disent que ma portiere de voiture est mal fermee ou qui me previenne quand mon sac a dos est ouvert .
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à -10.

            Certe. Mais entre te prévenir que ta portière est mal fermée, et aller le raconter à tout le monde, quitte à ce que l'information tombe dans la mauvaise oreille, il y a quand même un gouffre que Kitetoa ne s'est pas géné pour franchir. Ils ont fait preuve d'irresposabilité, et ils n'ont que ce qu'ils méritent.
            • [^] # Re: La sécurité avance !

              Posté par (page perso) . Évalué à 10.

              Pour qu'il y'ait vol, il faut qu'il y'ait effraction. Que le système soit forcé.

              Si tu laisse ta porte ouverte, qu'on pénètre chez toi, tu va avoir du mal à faire reconnaitre l'infraction. Si ta porte est fracturée ça change tout.

              Et là se pose un problème, en informatique, peut-on considèrer qu'utiliser un logiciel utilisant des failles connues sont des « portes ouvertes » ?
              • [^] # Re: La sécurité avance !

                Posté par . Évalué à 1.

                > Pour qu'il y'ait vol, il faut qu'il y'ait
                > effraction. Que le système soit forcé.

                > Si tu laisse ta porte ouverte, qu'on pénètre
                > chez toi, tu va avoir du mal à faire reconnaitre
                > l'infraction. Si ta porte est fracturée ça
                > change tout

                Un vol c'est un vol, qu'il y ait effraction ou pas. Tu peux toujours essayer de combrioler un appartement dont la porte est restée ouverte, en laissant ta carte de visite, si tu ne me crois pas ;-)
                C'est surtout du coté de l'assurance que ça risque effectivement de poser problème.

                > Et là se pose un problème, en informatique,
                > peut-on considèrer qu'utiliser un logiciel
                > utilisant des failles connues sont des « portes
                > ouvertes » ?

                À partir du moment où on détourne un serveur de son fonctionnement "normal", on considère qu'il y a effraction. Et je doute que la consultation des données personnelles stockées sur le serveur soit considérée comme une utilisation "normale".
                • [^] # Re: La sécurité avance !

                  Posté par (page perso) . Évalué à 5.

                  Oui mais kitetoa ne vole rien, il pousse la porte, dit au proprio de fermer la porte car c'est dangereux, le proprio fait rien ..
                • [^] # Re: La sécurité avance !

                  Posté par . Évalué à 2.

                  À partir du moment où on détourne un serveur de son fonctionnement "normal", on considère qu'il y a effraction

                  Attention: je connais le cas d'une entreprise qui avait laissé son serveur ftp ouvert sur internet, avec un accès anonyme ou guest qui avait les droits en lecture ET écriture.
                  Quelqu'un a utilisé ce ftp, et ils n'ont rien pu faire (à part désactiver le compte évidemment) Car c'était considéré comme un service ouvert au public...
                • [^] # Re: La sécurité avance !

                  Posté par . Évalué à 6.

                  À partir du moment où on détourne un serveur de son fonctionnement "normal", on considère qu'il y a effraction

                  Répondre à des requêtes HTTP, tel est le fonctionnement normal d'un serveur web. C'est quand même pas de la faute du pirate si le serveur envoie des fichiers qui n'auraient jamais dus être disponibles...
                  • [^] # Re: La sécurité avance !

                    Posté par . Évalué à -5.

                    Oui, et si tu pars de chez toi en oubliant de fermer la porte et qu'une personne en profite pour entrer, c'est pas non plus sa faute si des objets t'appartenant tombent dans sa poche. J'imagine que les fichiers en question ne seraient jamais arrivé jusqu'au pirate si celui-ci ne s'était pas amusé à aller fouiner sur le serveur...
                    • [^] # Re: La sécurité avance !

                      Posté par . Évalué à 2.

                      En effet, si il y a vol, tu peux porter plainte (même si pour l'assurance, c'est foutu), mais il faut qu'il y ait eu vol ! Si quelqu'un est entré chez toi et qu'il n'a rien fait, tu ne peux rien contre lui, puisqu'il n'y a pas eu d'effraction.
                    • [^] # Re: La sécurité avance !

                      Posté par . Évalué à 4.

                      c'est pas non plus sa faute si des objets t'appartenant tombent dans sa poche

                      C'est de ma faute s'il arrive à rentrer chez moi, mais s'il en profite pour me voler ma HiFi, c'est de sa faute (personne à part lui ne le pousse à me voler) ; au niveau, le vol dans le sens cambriolage ne correspond pas au vol au sens informatique: le cambrioleur, en me volant mon matos, m'empêche de l'utiliser, alors que le hacker, en volant la base de données des clients, n'empêche pas la société d'accéder à ses fichiers vu qu'il ne supprime pas le fichier...
                      • [^] # Re: La sécurité avance !

                        Posté par (page perso) . Évalué à 5.

                        et la violation de propriété privé , tu en fais quoi ? C'est pas parce que la porte est mal fermée qu'il faut entrer , le mieux c est de la fermer ! Le débat n'est pas la car si un type fracture ta porte , il pourrait aussi dire que t'avais mieux te barricader .
                        • [^] # Re: La sécurité avance !

                          Posté par (page perso) . Évalué à -3.

                          trompage de commentaire , il est destine a celui la : au post qui est juste au dessus .

                          -1 , faut que je pense a allumer mon neurone
                          • [^] # Re: La sécurité avance !

                            Posté par . Évalué à 3.

                            Désolé, j'ai répondu à ton post précédent avant de lire celui-ci...

                            -1 (c'est quand que la fonction supprimer un commentaire est disponible, même si c'est unqiuement pendant les 10 minutes qui suivent le post)
                        • [^] # Re: La sécurité avance !

                          Posté par . Évalué à 8.

                          J'ai dit: "Si je laisse ouvert, c'est de ma faute s'il arrive à entrer"... je n'ai jamais dit que c'était de ma faute s'il était entré.

                          Par contre, la propriété privée, je ne vois pas à quoi ça peut correspondre en informatique. Internet appartient à tous ceux qui l'utilise, si une donnée ne doit pas être téléchargée sur Internet, il ne faut pas qu'elle soit téléchargeable... c'est aussi simple que ça.
                    • [^] # Re: La sécurité avance !

                      Posté par . Évalué à 10.

                      Je me répète mais tant pis: quand un serveur est relié à Internet, il est là pour recevoir des requêtes et pour y répondre. Si certaines requêtes permettent d'obtenir des documents confidentiels, ça ne peut pas être de la faute de celui qui a fait la requête, même s'il n'avait aucune raison valable de faire la requête.
              • [^] # Re: La sécurité avance !

                Posté par (page perso) . Évalué à 9.

                Exact, si tu te fais cambrioler et qu'il n'y pas trace sur ta serrure car ta porte etait ouverte, ton assureur ne te remboursera jamais.

                Il est temps que les ATOS/Tati arretent de pleurer, commence a se remetre en question et finissent par prendre leurs responsabilités.
              • [^] # Re: La sécurité avance !

                Posté par . Évalué à 8.

                Il n'y a meme pas eu utilisation de faille. C'est juste que le serveur intranet etait accessible depuis l'exterieur.

                Si on doit faire une analogie, c'est plutot du genre : est-ce une effraction que de rentrer dans un magasin par la porte de derriere sachant qu'elle est directement accessible au public et qu'il n'y a aucun panneau << reserve au personnel >> ?

                Franchement, ici la porte etait bien ouverte et aucune faille n'a ete utilisee (comme dans beaucoup de trous reperes par kitetoa sur le boulot (si on peut encore appeller ca du boulot) fait par Atos Origin dans diverses boites).

                Dans le cas ou ils changent les prix dans le caddie car ils sont stockes dans la requete http, ce n'est pas vraiment une faille, pas plus que changer le code-barre dans un supermarche est une faille.

                [desole pour les accents, cet enc**e de netscape ne prends pas les combos avec Compose sur le clavier qwerty]
              • [^] # Re: La sécurité avance !

                Posté par . Évalué à 1.

                Il y a la notion de "propriete privee" sur ce qui est reel.

                C'est pas parcequ'il n'y a pas de cloture autour de ta maison que tout le monde puisse rentrer chez toi.
                La c'est un peu pareil, c'est grand ouvert mais tu n'as pas a profite de la faille, ni meme a la dire a tout le monde.

                Peut-etre peux tu notifier la faille au responsable du site par lettre recommande avec AR, et enventuellement au noms des utilisateurs porter plainte ... ca me semble plus clean comme demarche.

                RuZed
            • [^] # Re: La sécurité avance !

              Posté par (page perso) . Évalué à 6.

              La comparaison avec une voiture personnelle n'est pas valable.

              Ici, on devrait plutôt dire que kitetoa a prévenu le gardien du parking que toutes les voitures était facilement ouvrable et qu'il ferait bien de faire quelque chose...

              Tati a laissé le bug en place alors que les informations de ses clients était accessibles. Je pense que ce sont eux les plus à blâmer !!!
              De tel comportement montre bien le respect qu'a cette boîte vis à vis de ces clients ! comportement que l'on retrouve un peu partout (l'article du LMI en fait mention, en bas...).

              "Pour vivre heureux, vivons caché...", c'est le leitmotiv de beaucoup d'éditeurs en ce moment, il est vrai qu'il est plus facile de se cacher la tête dans la sable que de faire son boulot et de corriger les bugs !
            • [^] # Re: La sécurité avance !

              Posté par . Évalué à 10.

              Rappel : Kitetoa prévient toujours les admins et leur laisse le temps de corriger.
              Ainsi, aucun papier sur le site de Kitetoa ne concerne tati.
              J'aimerais savoir d'où tu tiens que "un gouffre que Kitetoa ne s'est pas géné pour franchir" ??
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à 1.

            Ca se tient, mais tu reagis comment si apres t'avoir prevenu le mec crie sur la place publique que ta porte est ouverte ....

            C'est pas tres clean.

            Sur le principe c'est sympa de te prevenir mais c'est pas sympa de prevenir la terre entiere.
            Je crois que c'est le fond de la condanation.

            RuZed
    • [^] # y'a t-il un juriste dans la tribune ?

      Posté par (page perso) . Évalué à 10.

      S'agit-il d'une première instance, d'un appel ou d'un référé?

      Je suis sûr qu'on peut trouver une justification sur la publication des failles de sécurité.
      Faut pas pousser, c'est quoi cette Justice digne de Jacques Tati ?
    • [^] # La sécurité avance !

      Posté par . Évalué à 10.

      Il faut voir que la condamnation (est-ce le vrai terme?) est en sursis, elle n'est pas exécutoire. Je suppose que Kitetoa va faire appel, j'espère qu'ils pourront mieux préparer leur défense.
      C'est bien gentil d'attaquer les juges en disant qu'ils n'y connaissent rien, mais ça vient peut-être aussi de l'avocat de kitetoa qui les aurait mal défendus. De plus, les juges ne sont censés être "que" des spécialistes de la justice, ils n'ont pas la science infuse et ne peuvent pas connaître TOUT ce qu'on leur présente (sécurité informatique, mécanique, plomberie, ...) C'est un peu facile de crier à l'incompétence dès qu'on est déçus.
      • [^] # Re: La sécurité avance !

        Posté par (page perso) . Évalué à 8.

        C'est donc celui qui a les moyens de se payer un bon avocat qui doit gagner ? C'est encore pire que ce que je pensais.
        • [^] # ... Et la justice recule, comment veux-tu comment veux-tu que je t'...

          Posté par . Évalué à 4.

          C'est donc celui qui a les moyens de se payer un bon avocat qui doit gagner ? C'est encore pire que ce que je pensais.


          C'est parfois comme ça, oui. Evidemment, si en plus tu prends un avocat complètement nul, incapable de monter un dossier correctement afin que le juge ait toutes les pièces en main pour prendre une décision raisonnable... Dommage!
          Le juge ne va pas faire ta défense à la place de ton avocat (en plus il perdrait son impartialité!)
      • [^] # Re: La sécurité avance !

        Posté par (page perso) . Évalué à 1.

        ouais mais il doit bien avoir des juges specialises suivant les interets et ce n est pas non plus pour ca qu il n a pas le droit de se renseigner ou documenter histoire de savoir ce qu il juge ...
        • [^] # euh ...

          Posté par (page perso) . Évalué à 0.

          Je crois qu'ils ont pas trop le temps malheureusement :(

          La justice manque d'effectif

          L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Re: La sécurité avance !

        Posté par . Évalué à 4.

        "et ne peuvent pas connaître TOUT ce qu'on leur présente ..."
        La moindre des chose, c'est de les comprendre un minimum avant de les juger non ?
        • [^] # Re: La sécurité avance !

          Posté par . Évalué à 3.

          Tu crois pas que c'est un peu le boulot de l'avocat? Y'a déjà pas beaucoup de juges en France, faut voir combien de temps mettent le afaires avant d'être terminées, alors si en plus ils devaient tout apprendre à chaque fois...
          Mais je suis d'accord dans ce cas particulier: Le juge ne devait pas connaître le principe de disclosure en sécurité, qui est pourtant une habitude dans le métier!
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à 2.

            Mais pourquoi n'as-t'on pas des juges spécialisés dans certains domaines ? Un juge ne peut pas tout connaitre sur tout, je suis d'accord, mais il serait bien qu'ils aient au moins des connaissances minimales dans les domaines touchés par le procès, non ? Ou alors au moins qu'il fasse appel à un "spécialiste" du domaine.
            • [^] # Re: La sécurité avance !

              Posté par (page perso) . Évalué à 4.

              C'est à ça que servent les experts...
              Mais il y en a des bons, des mauvais, des partiaux, etc (un expert est seulement un professionnel reconnu dans le secteur, ce qui veut dire tout et rien) et il faut qu'on y fasse appel.
          • [^] # Re: La sécurité avance !

            Posté par . Évalué à 2.

            "Tu crois pas que c'est un peu le boulot de l'avocat? "

            ?? excuse moi, j'ai peu être mal compris.

            Tu me dit qu'il est "normal" qu'on rende un jugement sans comprendre les tenants et aboutissants d'un dossier ?
            l'avocat doit "connaitre" mais le juge doit "comprendre" non ?
            • [^] # Re: La sécurité avance !

              Posté par . Évalué à 0.

              Le juge, il fait ce qu'il peut. Evidemment s'il a pas envie et qu'il aime pas l'informatique, et qu'en plus l'autre avocat est convaincant... il va pas aller chercher plus loin. C'est Pas Bien(tm) mais c'est souvent comme ça (Que l'avocat le plus cher gagne!...)
              • [^] # Re: La sécurité avance !

                Posté par . Évalué à 4.

                STOP
                On parle dans le vide
                papy nous donne plus bas l'adresse :
                www.kitetoa.com/_disc1/showthread.php3?t

                le juge a bien compris.
      • [^] # Re: La sécurité avance !

        Posté par . Évalué à 4.

        C'est bien gentil d'attaquer les juges en disant qu'ils n'y connaissent rien, mais ça vient peut-être aussi de l'avocat de kitetoa qui les aurait mal défendus. De plus, les juges ne sont censés être "que" des spécialistes de la justice, ils n'ont pas la science infuse et ne peuvent pas connaître TOUT ce qu'on leur présente (sécurité informatique, mécanique, plomberie, ...) C'est un peu facile de crier à l'incompétence dès qu'on est déçus.

        Attention, le juge peut etre "incompétent" dans un domaine particulier, qui n'est pas le sien, et il n'y a pas de mal à cela. Des tribunaux se sont déja déclarés "incompétents à juger" certaines situations. Ca n'a rien à voir avec un problème d'incompétence dans le domaine où on est sensé etre compétent.

        Ce qu'ils doivent savoir faire, c'est mesurer à quel point ils sont compétents pour juger, si le domaine en question ne leur est pas familier. Il n'y a pas de honte à se déclarer incompétent en un domaine, surtout dans ce cas, quand une technologie et sa pratique vont plus vite que les lois. Et quand un tribunal n'est pas compétent pour juger, par manque de connaissance (d'ailleurs le manque de moyens est clair, et ils n'en sont pas non plus responsables), la présomption d'innocence n'est pas à oublier. Surtout quand l'action mise en cause n'a pas nuit et que ca n'a rien apporté à l'accusé.
    • [^] # Re: La sécurité avance !

      Posté par . Évalué à -2.

      C'était déjà pas le cas?

      Tu oublies de dire qu'ils recoivent une belle prime pour leur travaille efficace et montent en grade.
    • [^] # Re: La sécurité avance !

      Posté par . Évalué à -4.

      je me demande bien ce que les ports scanner et autres "crackz utilz" de kitetoa allaient faire sur le site de tati.fr...
      la defcon, elle est finie!!!
  • # france

    Posté par (page perso) . Évalué à 10.

    Encore une fois ca montre que le parquet de Paris n'a pas compris grand chose au fonctionnement du monde de l'internet . Comment cela se serait-il passe si il s agissait un site etranger ? on dirait un peu l'affaire ldh.org
    • [^] # Re: france

      Posté par . Évalué à 10.

      En plus, dans le genre crackage à la script kiddie, le "hack au sandwich au jambon"(tm) de kitetoa, c'est pas bien méchant au niveau intrusion ; mais quand les sites sont mal configurés et que les failles classiques sont exploitables, on se retrouve malheureusement assez facilement avec des données sensibles...
      • [^] # Re: france

        Posté par (page perso) . Évalué à 3.

        Dans ce cas la pourquoi ne pas avoir regarder du cote de celui qui a mal configurer le serveur ? Encore une boite/type qui s'acharne sur le premier bouc emissaire venu [ un peu comme un certain site sur NT ]
        • [^] # Re: france

          Posté par . Évalué à -4.

          "la moule est plat qui se mange chaud"

          Cannibale ! Assassin ! Criminel ! Sauvage !

          -1, [jesors] et snif pour mes XPs mais j'ai pas pu résister :(
          • [^] # Re: france

            Posté par (page perso) . Évalué à -3.

            Mais non , c est une metaphore pour dire qu'une moule c est mieux a chaud que a froid [ l'interpretation ne tient qu'a vous q: ]

            -1 dialogue de moule

            D'ailleurs a bruxelles , y a un resto qui s appelle 'la moule sacree' mais j ai pas eu le temps de m y arreter ): . Par contre je crois que Pascal Terjan a pris une photo
    • [^] # Allemagne

      Posté par (page perso) . Évalué à 1.

      En Allemagne, ce sont les articles §303a, b et c du StGB qui règlent la chose.
      Il y est dit que la modification, l'effacement, l'obstuation (?) et la destruction de données est un délit et surtoute que LA TENTATIVE l'est aussi.
      Donc en Allemagne, l'acte de kitetoa serait contre la loi et ils auraient sûrement et malheureusement eu les mêmes conséquences.
      Mais où est la justice dans notre monde ?
      • [^] # Re: Allemagne

        Posté par . Évalué à 4.

        Non, car il n'y a eu ni modification, ni effacement, ni entrave a l'acces, ni destruction de donnees (ni tentative de, d'ailleurs). Juste acces.

        Pour ce qui est du caddie dont on change les prix, ce n'est pas de la modification de donnees, c'est juste une commande personnalisee (d'un certain point de vue).
  • # Le(s) papier(s) incriminé(s)

    Posté par . Évalué à 10.

    • [^] # Re: Le(s) papier(s) incriminé(s)

      Posté par . Évalué à 10.

      Le truc qui choque, quand même, c'est qu'aucune information concernant _comment_ faire n'a été divulguée (ou alors j'ai raté un épisode).

      Kitetoa se contente de rappeler qu'en utilisant des failles connues de tout le monde, on obtient des données sensibles de certains sites.

      Je trouve que Kitetoa est un site primordial sur le net, et même qu'un tel site devrait être obligatoire, peut-être de manière plus institutionnelle, parce qu'en tant que citoyen et internaute, on est en droit de savoir que sur un site bancaire ou un site de commerce en ligne ou autres, on prend des risques considérables en donnant notre numéro de carte bleue ou autre.

      Dans ce cas, condamnons aussi les émissions de télé qui montrent comment frauder, qui parlent de la Yescard en en montrant, voire en montrant des gens qui en programment une, ou qui montrent comment nos données de cartes bancaires données au téléphone à des trucs en VPC sont bien mal gardés.
      • [^] # Re: Le(s) papier(s) incriminé(s)

        Posté par . Évalué à 9.

        Le principe est le listing de directory, a l'epoque des faits, le serveur de TATI tournait sur un netscape server entreprise (server web de netscape) avec une option d'administration accessible.
        La methode est simple en utilisant un navigateur de type netscape, tu te connectes sur le serveur cible, puis dans le menu view, une ligne qui bien souvent est desactivee se retrouve active. c'est la ligne page services. Tu clicke dessus et la le listing directory se fait.
        Il suffit apres de regarder les fichiers, se promener dans l'arborescence du site pour voir des fichiers du types de base de donnees clientes.

        Il faut savoir que Pages Services est active dans le menu netscape que si l'option du cote du serveur est autorise.

        Amicalement
  • # C'est logique...

    Posté par (page perso) . Évalué à 10.

    Pour démontrer une faille de sécurité, il faut pénétrer dans le système de données.
    Or, cette intrusion est interdite par la loi.
    Donc le juge condamne. C'est con mais c'est logique. Le juge est là pour appliquer la loi, il l'a fait, point.

    Je ne vois pas où est le problème.
    • [^] # Re: C'est logique...

      Posté par . Évalué à 3.

      "Je ne vois pas où est le problème."
      loi mal faite, refaire loi.
      • [^] # Re: C'est logique...

        Posté par . Évalué à -5.

        donc selon toi il faudrait autoriser le piratage, le détournement, la divulgation et la falsification de données, afin de permettre à une poignée de R3B3LZ de pouvoir librement publier les failles de sécurité ?
        • [^] # Re: C'est logique...

          Posté par (page perso) . Évalué à 10.

          Autoriser le piratage non, le détournement d'information non, la divulgation et falsification de données non : ça ne profite à personne de bien intentionné.

          Autoriser la divulgation d'informations relatives à des failles de sécurités oui. On devrait être en droit de signaler aux citoyens ce qui les met en péril.
          Que ça soit dans l'agroalimentaire (farines animales...), dans le bancaire (carte bleue)... ou dans le commerce par internet.

          Je pense que les clients du site en question devraient être en droit de connaitre le peu de cas que fait le site des informations les concernants.

          Les lois ne sont pas forcements mauvaises, mais sont interpretées de manière douteuse : dans le cas présent, il ne me semble pas que cela soit en faveur de qui que ce soit d'autre que les auteurs du site : certainenement pas en faveurs des utilisateurs du site.
          • [^] # Re: C'est logique...

            Posté par (page perso) . Évalué à 3.

            (note :

            Que ça soit dans la santé (affaire des hémophiles...), dans l'automobiles (mercedes classe A...), divulguer des failles apparait comme un droit et même un devoir.

            )
            • [^] # Re: C'est logique...

              Posté par . Évalué à -10.

              Tout à fait d'accord.
              Seulement, dans le cas qui nous intéresse, l'information divulguée est potentiellement nuisible: Kiteto aurait pu se contenter de dire "il y a une faille sur le serveur de Tati qui permet d'acceder à des données personnelles", au lieu de vouloir montrer point par point comment faire pour y acceder. C'est tout aussi irresponsable que de publier la methode permettant de faire exploser la Mercedes du voisin...
              • [^] # Re: C'est logique...

                Posté par . Évalué à 5.

                Mais ils n'ont PAS montre point par point comment faire. Ils ont juste montre des screenshots de navigateur web (avec censure) pour prouver leurs dires.

                C'est seulement quelques mois plus tard qu'ils ont donne un lien direct vers l'intranet (juste un href) et ce lien specifique a ete deplace depuis (attention, juste ce lien, je ne sais pas (j'en doute) si le site a ete globalement securise).
              • [^] # Re: C'est logique...

                Posté par (page perso) . Évalué à 1.

                T'es pas un gros trolleur toi ?
                kitetoa ne divulgue pas comment faire ( va voir le site un peu)
        • [^] # Re: C'est logique...

          Posté par . Évalué à 1.

          On est loin du sujet là...
          Mais entre "autoriser le piratage" et respect du droit d'expression il me semble que la balance de la justice soit un peu tarée.
          De plus, mettre en avant une faille de securité (dans les regles : avertir les admin, delai "raisonnable avant publication.. ) ne peu qu'être benefique contre les "R3B3LZ".
          • [^] # Re: C'est logique...

            Posté par . Évalué à -3.

            Je faisait référence à la loi qui interdit les intrusions, pas aux publications. Scroll uuup!
            • [^] # Re: C'est logique...

              Posté par . Évalué à 1.

              euh oui mais sur le lien de pappy :
              www.kitetoa.com/_disc1/showthread.php3?t

              on nous dit que "Vous verrez que le Procureur a dit que "l'infration" n'était "pas constituée".
              "
        • [^] # Re: C'est logique...

          Posté par . Évalué à 5.

          c'est idiot ce que tu dis. Evidemment qu'il ne faut pas authoriser le piratage, et tout ce qui s'ensuit. Mais il y a une différence entre découvrir une faille puis prévenir les intéresser avant de la publier (ce qui correspond à l'approche habituelle "full disclosure"), et s'introduire dans un système afin de voler/endommager/empêcher l'accès à des données....

          Donc, on peut dire que la loi est mal faite, puisqu'elle considère une intrusion de ce type qui avait surtout pour but d'améliorer la sécurité du serveur, d'une intrusion malveillante.

          A ce compte là, les boîtes qui font des audits de sécurrité et s'introduisent dans les systèmes pour en tester la résistance aux attaques sont des pirates ! Ouh, les méchants !!

          J'ai eu le cas dernièrement : sur une machine dédiée de notre centre d'hébergement, un client avait demandé un audit de sécu par une boîte externe. Ils le font faire, la boîte qui effectue l'audit arrive à s'introduire dans le système et à avoir un accès root (un script php mal foutu posé par le client pendant que je regardais pas, heureusement :-) )... C'est du piratage ? c'est malveillant ? non ? pourtant, si j'applique la lettre de la loi (quoique je sois pas sûr, j'ai pas le texte sous les yeux, mais en tout cas si on suit l'exemple de kitetoi), il s'agit d'une intrusion. Donc, d'un délit.

          pfff...
    • [^] # C'est de la logique à 2 euros

      Posté par . Évalué à 7.

      Quand je tape l'URL http://linuxfr.org dans mon navigateur, je consomme des resources sur l'un des serveurs de l'association donc celle-ci peut porter plainte contre tous les utilisateurs du site...

      Arrêtez de naviguer sur Internet ou vous risquez des procès perdus d'avance de la part de tous les sites que vous visitez!!!
    • [^] # Re: C'est logique...

      Posté par . Évalué à 10.

      Le problème est que http://www.kitetoa.com/(...) est l'un des rares sites de salubrité publique, il pointe du doigt les sites qui n'ont aucun respect pour la vie privé des gens, il dénonce les experts sécurité qui ne connaissent qu'un mot (SSL).

      Lorsqu'un français pompe le fichier des clients qui n'est pas protégé, on lui fait un procès plutot que de corriger le problème. Lorsque c'est un roumain (je n'ai rien contre les roumains), il n'y a rien à faire, il va pouvoir exploiter joyeusement les emails voir les n° de CB.

      Lorsque je fais des commandes sur internet, je préfère que mon n° de CB ne se ballade pas partout ensuite, croyez vous que l'on puisse se contenter de faire confiance à celui qui à installé (et facturé) le site ? kitetoa montre justement que ce n'est pas le cas.

      Moi j'aurai condamné Tati pour "divulgation d'informations personnelles, avec circonstances agravantes (ils ont été prévenus)". Aujourd'hui la loi protège les entreprises qui ne font pas ce qu'il faut pour protéger les informations de leurs clients, ce n'est pas normal.
    • [^] # Re: C'est logique...

      Posté par (page perso) . Évalué à 6.

      Le juge est là pour appliquer la loi

      Le juge est là pour faire respecter l'esprit de la loi, me semble t'il.
      Autrement dit, les juges ne sont pas des robots qui appliquent la loi sans chercher à en savoir plus que le fait brut, mais bien au contraire, ils doivent (aurait du dans le cas présent ?) comprendre les motivations et le déroulement des faits. Sinon pour un acte tombant sous le coup de la loi, il y aurait toujours la même peine !

      Dans le cas présent, le juge a t'il bien compris les tenants et les aboutissants de l'affaire ?
    • [^] # Re: Non assistance a site web en danger...

      Posté par . Évalué à 7.

      Et si tu te trouves dans la rue, que tu vois une personne par terre en train de crever. Bah la premiere chose a faire (sauf exception), c'est appeler le samu (15 depuis un phone fixe, 112 depuis un portable).

      Mais apres, tu vas rester les mains dans les poches si tu sais ce qu'il faut faire? Tu vas refuser d'aider la personne parce qu'on va dire "attentat a la pudeur" si tu lui fais du bouche a bouche; parce qu'on va dire "tentative de meutre" parce que tu lui a decoupe la gorge pour lui faire une tracheotomie (si on avale une guepe par exemple...)

      C'est une question d'interpretation.
      La, le juge il a compris "penetration dans le systeme de donnees" et pas "tentative d'assistance a site web en danger". Bref, il a rien compris. Comme y'a pas mort d'homme ni mega-pertes financieres, alors c'est "pas grave".

      Justice a 2 vitesse... tant qu'on y est, y'aurait pas aussi la marche arriere, juste pour les affaires de l'informatique et du web?

      Le bonjour chez vous,
      Yves
    • [^] # Re: C'est logique...

      Posté par . Évalué à 2.

      Le juge est là pour appliquer la loi, il l'a fait, point.

      Non le juge est là pour juger (!). S'il n'y avait qu'à appliquer les lois sans réfléchir, on n'aurait pas besoin de justice puisque les lois sont définies. Il suffirait d'une police pour vérifier les faits, et appliquer sans procès.

      Le juge est bien là pour étudier ce qui s'est passé. Pour confronter ce que dit la loi aux circonstances de l'affaire en question. Et parmi les questions à se poser : quel est le but de la loi ? Qu'a fait l'accusé ? Quelles étaient ses intentions ? Il n'y a pas application systématique, meme si l'accusé a effectivement commis quelque chose d'interdit.
    • [^] # Re: C'est logique...

      Posté par (page perso) . Évalué à 2.

      Tout à fait d'accord, la morale est donc :
      Crackons bien, Crackons caché.
      En fait le seul problème de kitetoa c'est qu'ils n'étaient ni assermentés, ni mandatés. Par conséquent, ils sont intervenus bénévolement et ils ont été punis pour ça. C'est sûr qu'avec des requins comme Tati, le bénévolat c'est louche !
    • [^] # Re: C'est logique...

      Posté par (page perso) . Évalué à 2.

      Le juge doit s'entourer d'experts quand il ne ne sait pas de quoi il parle.
      Je doute qu'il l'ait fait, ou alors, il a été bien mal conseillé.
      A moins que... les juges ripoux, c'est pas posssible ?
  • # la dans forum-blabla de Kitetoa...

    Posté par . Évalué à 8.

    il est dit que lors du proces, le procureur (donc l'etat) etait du coté de kitetoa, et contre tati, ce qui est pas souvent-d'etre du cote de l'accusé plutot que de l'autre- et que le juge a bien reconnu que tout la faute incombait a tati, qu'ils étaient donc déboutés de leur accusation, par contre il a quand meme mit une amende au site kitetoa. Alors axpliquez moi, n'y a t il pas une couille dans le potage?
    • [^] # Re: la dans forum-blabla de Kitetoa...

      Posté par . Évalué à 3.

      Non, c'est pas forcement incompatible: supposons (j'ai pas ete voir de pres, c'est dont une *possibilite*) que tati ait demande un truc enoooorme (genre le max pour ce genre d'actions, soit si je me souvient bien 2 ans de tole et 300 Kf d'amende).

      Le juge dit "euh, la ramenez pas trop, c'est quand meme vous qui avez fait une grosse bourde au debut", mais dit quand meme a kitetoi "bon, ce que vous avez fait, c'est limite quand meme, je vous colle pas un gros coup de boule, mais je dois vous donner une petite baffe quand meme".

      Ca serait assez coherent...
      • [^] # Re: la dans forum-blabla de Kitetoa...

        Posté par . Évalué à 4.

        Fô pas mélanger le civil et le pénal...

        Au civil, on réclame des sous pour dommages et
        intérêts, pas de la tôle ni une amende. Tati a
        été débouté au civil. Fulldot. Exit Tati.

        C'est au pénal (le parquet) qu'on réclame de la
        taule et/ou des amendes.

        Mais bien que le procureur (le parquet) ait dit
        que l'infraction n'était pas constituée, le juge
        leur colle 1000 nouvelles/nouvelles balles
        d'amende avec sursis.

        C'est ça qui est bizarre autant qu'étrange...
  • # avant de dire n'importe quoi ...

    Posté par (page perso) . Évalué à 9.

    Bon, ok, j'aurais pu mettre le lien dans la news, mais je pensais que les gens iraient regarder ...

    Kiteto a déjà donné certaines explications qu'il me semble utiles de lire avant de raconter des conneries :
    http://www.kitetoa.com/_disc1/showthread.php3?threadid=225(...)
  • # que risque l'utilisateur moyen

    Posté par . Évalué à 9.

    Que risque le surfeur moyen qui se retrouve dans les données d'un serveur par hazard.
    J'explique : je me suis déja retrouvé dans ce cas un jour.
    Je me suis retrouvé dans un répertoire sans index et le serveur m'a listé la liste des fichiers. En essayant de trouver par ou rentrer, je me suis retrouvé dans la liste des utilisateurs...

    Bah alors, je passe pas par la case départ, je paye une amende et je vais en prison ???
    • [^] # lecture de logs et population

      Posté par (page perso) . Évalué à 3.

      Entre nous, j'ai un petit serveur de page web qui tourne sur un vieu clou, et je peux vous assurer que l'on repère les chercheurs de failles des autres.

      Pour ma part, je ne n'apprécie pas que l'on s'amuse à faire des scans de ports, et des tentatives d'attaques par chaine malignes.

      Sans être un sysadmin, j'ai tenté de protéger raisonnablement ma boite au vu de mes maigres connaissances. Par contre, je n'hésites jamais à prévenir le responsable du domaine lorsque je me trouve en face d'une attaque avérée.

      Pourquoi?
      Le dialogue permet de vérifier que la personne n'a pas été rootkité, qu'elle est de bonne foi... Mon principe de base c'est qu'il y a
      -les blaireaux (ils envoient un mail pour vous dire qu'il vont vous attaquer)
      -les indélicats (ils vous attaquent)
      -les fanfarrons, ils vous attaquent et après vous envoie un mail pour vous dire que vous êtes nul.

      Et au milieu de tout ça, il y a le reste du monde, des gens qui découvrent des failles par hasard avec une chance inouie, des machines infectées, des personnes qui perdent des heures à auditer votre machine afin de vous rendre service...

      Bref, il faut toujours dialoguer pour savoir qui est l'interlocuteur et lever l'ambiguité.

      Et vous quel est votre premier réflexe quand vous constatez une attaque sur un de vos serveurs ?
  • # Defense des consommateurs et Internet ?

    Posté par . Évalué à 9.

    Pour une fois il semblerait que le juge se soit efforce de comprendre le probleme, ce qui fait que la condamnation est legere. Bon condamnation quand meme, mais cela n'est pas la faute du juge, qui n'a pas d'autres choix qu d'appliquer la loi. Il y a eu bien pire, cf les affaires Humpich et ontelfuck.

    Il est effectivement necessaire de changer la loi en France, qui protege les droits des marques de la meme facon que l'image des dictateurs dans les republiques bananieres (et qui empeche pratiquement de critiquer).

    Mais le plus important, ce serait d'avoir des associations de defenses de consommateurs *puissantes* qui s'interessent a Internet, et qui ont l'habitude de defendre les consommateurs par des actions en justice. En d'autres termes, cela ne sert clairement a rien d'envoyer des emails pour dire quqnd il y a un probleme, il faut accumuler les donnees, les transmettre a l'UFC-Que Chosir (ou autre assoc) et directement porter plainte. L'assoc qui porte plainte sera peut-etre elle aussi condamnee pour piratage, mais elle aura des dommages et interets par la comdamnation de la boite pour compenser.

    Conclusion: ce qui ne va pas dans ce jugement, ce n'est pas la maigre mais absurde condamnation de kitetoa, mais bien le fait qu'apparement personne n'ait essaye de porter plainte contre tati.

    Donc a vos plumes (et pas vos claviers, ca ne sert a rien: pour changer le monde virtuel il faut aussi agir dans le monde reel), et ecrivez a Que Choisir/ 60 Millions de consommateurs, etc... Et merde ca veut dire que je vais devoir le faire moi aussi...
    • [^] # Re: Defense des consommateurs et Internet ?

      Posté par (page perso) . Évalué à 3.

      J ai écris en meme temps que toi , et viens de lire ton post ;)

      Je suis tout à fait d accord avec toi, il faut des associations de consommateurs
      plus puissantes, et plus fortes sur le net. On ne peut pas rendre justice tout seul ;()

      Et il faut je pense légiférer les labels, qui sont crées par des boites et qui ne reflètent
      par la qualité du service. Je crois que c est justemment aux associations de consommateurs
      de délivrer ces lables, et non pas à des sociétés ...

      nb il y a un site de droit pour les jeunes, faites une recherche droit jeunes sur le net, je crois
      qu il donne les url des sites d associations de consommateurs .


      @ Code34
  • # La Logique à 1000 euros et la justice à deux balles Par Code34

    Posté par (page perso) . Évalué à 0.

    yop ;)

    ça me laisse perplexe et pousse fortement la méditation sur les sites commerciaux et de services ...

    déjà on voit clairement que la sécurité pour de nombreuses sociétés n'est pas dans leurs objectifs,
    des chiffres avait été publié , je crois que 50 % des sites web ne se préocupaient pas de la sécurité ...

    Ce qui veut simplement dire qu on a acces à tes infos persos sur le web

    Pour rajouter par dessus, les problemes de sécurité; on pourra pas me faire dire le contraire
    il y a quand meme pas mal de cyberarnaqueurs. J'ai commandé trois fois en ligne avec paiement à la
    réception de la commande, il y a un an ... j ai jamais rien reçu ....

    et le pire , je crois que ce sont les données publiées à votre insu, ou bien
    sous le gage d'un :'ne vous inquietez pas notre système est entierrement sécurisé' qui laisse bien
    souvent prévisagé le pire ...

    Je n utilise plus ma ligne de mobile depuis 4 mois,
    pourtant des appels sont toujours passés dessus, et SFR refuse d admettre que quelqu un
    utilise ma ligne à ma place [..] S il ne s agit pas d un piratage info c est quoi ?

    a propos , j avais publié un post sur les cgus concernant Aol,
    comme je l ai dis les contrats pour les illimités 24/24 sont virtuels
    impossible de remettre la main dessus ;)

    il est toujours possible de se faire entendre rapidement si vous voyez
    qu on abuse de vous en vous estorquant des fonds frauduleusement en
    appellant le tribunal d instance a coté de chez vous (le 12 pour les paresseux ;),
    en demandant un formulaire d injonction de faire (gratuit , qu ils vous envoient rapidement),
    et en envoyant une mise en demeurre à votre contracteur leurs sommant d executer leurs services.

    Achetez en ligne dans ces conditions , c'est une grosse blague ;() le probleme
    c est que meme si il y a des petits sites honnetes les grosses boites leurs font de l ombre
    dans tous les sens du terme ...

    Pour le site tati, déjà la position est double :
    ils invoquent un procès contre quelqu un qui a accès à des données publiques,
    qui n ont donc rien de confidentiels, car il suffisait de cliquer sur un lien au détour
    d un moteur de recherche pour acceder à ces informations

    Donc déjà on peut considérer deux choses:

    Prendre les ref de la dite société, et controller que cette sociétée adhère à la charte informatique
    et liberté. Si oui, informé l'organisme que la dite société ,ne respecte en rien cette charte car elle publie
    et donne accès à tout les utilisateurs du web des informations privées concernant les utilisateurs.
    Ce qui prévaudra à la dite société d etre assignée en justice par ces clients .

    deuxièmenent , si la personne a accèdé à ces données à partir d'un moteur de recherche ou d un outils de recherche,
    on peut admettre que la personne n avait pas l intention de nuire, et qu elles est tombée sur ces informations par idnavertance.

    En fait tout le probleme réside ici, l 'activité du site montre que l auteur recherche
    des failles de sécurité. Ca n est pas reellement comme si, il tombait dessus par idnavertance, et qu il
    en prevenait le proprio. Cependant, il faut mettre dans la balance, que d autres utilisateurs meme
    sans chercher ont acces à ces informations, ainsi que d autres moins scrupuleux qui cherchent aussi ;)

    @+Code34
    • [^] # Commentaire supprimé

      Posté par . Évalué à 4.

      Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # sfr sous coffre ...

        Posté par (page perso) . Évalué à 2.

        ça me parait etre le remède le plus approprié au préjudice. De tt manière, ça fait depuis un an et demi que je me tappe des factures hallucinnantes, et qu ils contestent ma bonne foie.

        En plus, j ai arrété de les payer suite à tout ces problemes depuis 5 ou 6 mois, et au lieu de suspendre le contrat comme on se doit de le faire quand on arrive dans ce type de situation, ils continueant à vouloir prélever sur mon compte, et à me facturer [..]

        Si vous etes dans mon cas, ou vous vous retrouvez avec des factures hallucinnantes non justifiées, demandez une suspension de prélevement à la banque et envoyé une lettre recommandé au contractant en demandant une suspension de services, arreté immédiatement d'utiliser le service en question. Si le contractant ne s'éxecutent pas, et qu ils s acharnent à vouloir continuer de prélever sur votre compte et à vous facturer, il est entierrement dans son tord .

        @+
        Code34
  • # interrogation

    Posté par (page perso) . Évalué à 6.

    En parlant d'intrusions , je trouve que ca serait aussi debile que d'attaquer en justice tt les possesseurs de serveurs IIS qui me pourrissent les logs et tentent de s'introduire sur mon serveur . Suis-je reprehensible si j attaque un IIS verolé ? parce que la c est plus que de l incitation ...
    • [^] # interronégation

      Posté par (page perso) . Évalué à 4.

      Pour qu'il y ait intrusion, j'espère qu'il faut qu'il y ait volonté manfeste, sinon, on risque de s'attaquer aux déjà victimes de rootkit comme red code.

      La seule meilleure manière que je connaisse est d'envoyer des mails d'avertissement à abuse ( domain ( ip ) ).
      Habituellement si le piratage n'est pas clairement défini dans le droit, il l'est toujours dans les chartes d'utilisation de moyens informatique (voir la condamnation pour spam).
      Il est plus efficace d'utiliser des moyens simples.

      PS quelqu'un connait il un script permettant de repérer des attaques code red dans les logs apache et de générer directement des mails à partir du whois sur le domaine de l'adresse IP ?
  • # Ca rappelle l'affaire Humpich

    Posté par (page perso) . Évalué à 7.

    En France, il faut croire que la loi protège plus ceux qui ne veulent rien faire en matière de sécurité que ceux qui cherchent à améliorer les systèmes.

    http://parodie.com/humpich/(...)
    • [^] # Re: Ca rappelle l'affaire Humpich

      Posté par (page perso) . Évalué à 5.

      C'est pas la DST qui dit le contraire dans ses conférences... :-(

      Moralité: quand vous découvrez une faille, au lieu de la publier, postez la sur comp.hack.ru :)
      Non mais ! (nan j'ai rien contre les Russes)
  • # La reponse de kitetoa

    Posté par . Évalué à 8.

    Kitetoa a fait une reponse claire sur son forum des interrogations de ses lecteurs. Allez voir sur [url]http://www.kitetoa.com/_disc1/showthread.php3?threadid=225(...)[/url]
    Donc pour resumer kitetoa a un sursis de cinq ans pour cette amende, mais Tati a ete deboute de sa plainte au civil. C'est donc un jugement mi-figue mi-raisin, qui pose le probleme de la liberte d'expression, ici sujette a la menace du paiement d'une amende. Ca laisse reveur et donne la porte ouverte aux rigolos de chez ZeBank ou Atos...
    Notez que le juge a bien compris la technique, puisqu'il l'expliquait meme a l'avocate de Tati durant le proces !!!
    Maintenant ce qui serait interessant (bien que theorique) c'est que les personnes dont les donnees personnelles n'ont pas ete assez protegees sur le site portent plainte a leur tour contre Tati.
    • [^] # Re: La reponse de kitetoa

      Posté par . Évalué à 4.

      "c'est que les personnes dont les donnees personnelles n'ont pas ete assez protegees"

      La tendance aujourd'hui c'est plutôt, la "tentative", la "possibilité", la "volonté" de ...

      Bref, j'imagine que meme si je ne suis pas directement concerné, etant un client potentiel, je peux porter plainte ( via une assoc ou autre ).
    • [^] # Re: La reponse de kitetoa

      Posté par . Évalué à 2.

      L'idee ca serait pas de prevenir les responsables du site passoir et puis ensuite de porter plainte apres un certain delais au nom des utilisateurs ??

      Je suis pas sur que cela soit faisable, mais c'est je pense la meilleure des solutions.

      RuZed
  • # ca me semble important.

    Posté par . Évalué à 3.

    " Non. L'amende est assortie du sursis. Donc, je ne dois pas la payer."
    Apparemment le jugement est clair, kitetoa pas coupable. Le truc à payer semble plus être un moyen d'éprouver les réelles motivations de kitetoa puisque le juge semble avoir bien compris le coté technique de l'affaire.
    Il faut maintenant qu'ils se contentent pas du "c'est du sursis, on va pas payer" et qu'ils continuent en appel pour défendre leur biftek, qui est important, à savoir:
    Ils ont respecté la maniére qu'a internet de se sécuriser: on prévient les admins, on attend, on diffuse la faille pour que d'autres en profitent (au sens sécurité de "profiter", pour éliminer la faille d'autres systémes) voire pour pousser les administrateurs incompétents ou feignants à agir.
    Puisqu'ils n'ont rien fait de délictueux , il faut maintenant qu'il fasse reconnaitre qu'ils ont essayé en fait d'aider tati, et que c'est ceux ci qui ont essayé de se couvrir de leurs erreurs en se servant de la justice.
    Peut être même qu'il faudrait une association de professionnels de la sécurité informatiques qui se créent et qui agisse dans ce sens:
    se porter partie civile dans des cas ou la loi qui oblige à sécuriser ses services n'est pas appliqué, puisque c'est dans le cadre du bien comun et défendre les professionnels dans des cas similaires.
    Un internet plus sécurisé techniquement est un internet qui n'a pas besoin de lois dures pour se protéger.
    On y a tous intérêt.
    • [^] # Re: ca me semble important.

      Posté par . Évalué à 2.

      D'après kitetoa, ils attendent de connaitre les motivations du juge à propos de l'amende pour savoir si oui ou non, il y aura appel. ( Il y a peut etre une raison qui nous echappe à tous ... ???)

      J'espère sincèrement qu'il y aura appel, et qu'a son tour, tati va être attaqué et condamné.

      C'est le full disclosure qui permet que le respect de la vie privée soit protégé, et que le reseaux dans son ensemble (entreprises ou pas ) soit moins vulnérable. Les admins n'ont pas eu besoin de reflexion à l'assemblée nationale et qu'une loi soit pondue pour le comprendre et l'appliquer. Sans doute, un juge qui fait respecter l'esprit de la loi, le peut aussi.

      Bref, tati ( ou l'admin/sous-traitant/fournisseur proche de la direction ) prend la justice comme terrain de jeux pour faire porter la responsabilité de SON incompétence sur kitetoa.

      - Tenter de mettre en danger le fonctionnement du reseau et la protection de la vie privée par une jurisprudence acquise en attanquant un particulier.
      - Instrumentaliser la justice pour regler ses problèmes internes de pouvoir.

      Ca doit bien être 2 choses condamnables.
      • [^] # Re: ca me semble important.

        Posté par . Évalué à 1.

        EN ce qui concerne tati, si le juge a eu besoin d'expliquer des détails techniques à leur avocat, ca veut dire qu'il sait trés bien à quoi s'en tenir, en ce qui les concerne. Maintenant, il essaye peut être de déterminer "qui" sont les gens de ketetoa, qui au sens juridique et social.
        La capacité à réguler l'internet sans besoins de lois devra être démontré dans chaque domaine de la société. Pour la justice ca se fera en partie au cours de procés, c'est son mode opératoire principal.
        "Les admins n'ont pas eu besoin de reflexion à l'assemblée nationale et qu'une loi soit pondue pour le comprendre et l'appliquer"
        En l'occurence c'est, ici , le juge qui a besoin que cela soit démontré, sa compréhension du probléme est déja un pas en avant, mais cela doit ressortir du procés noir sur blanc, ce n'est pas son role d'affirmer, il doit juger.
        AIlleurs, c'est les députés qui ont besoin d'être informés. Comme noel mamére avait fait, par exemple, avec la visite de stallman à l'assemblée.
        Enfin, on verra quand le procés sera publié.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.