Les "pots de miel" sont-ils légaux?

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes : aucune
0
16
juin
2003
Sécurité
Devant la popularité sans cesse croissante des "pots de miel" ou honeypots, Lance Spitzner de tracking-hackers.com se pose la question de leur légalité vis à vis de la législation aux Etats Unis.

Le problèmes des honeypots c'est qu'ils touchent à 3 points gérés par le législateur:
- l'incitation au crime
- la vie privée
- la responsabilité

Chacun de ces points est présenté et analysé.

Comme le précise l'auteur, ces réflexions lui appartiennent et ne tiennent pas lieu de vérité absolue.

NdR : N'étant pas expert en droit français je me demande si ces questions ne sont pas aussi pertinentes de ce côté-ci de l'Atlantique?

Aller plus loin

  • # Re: Les "pots de miel" sont-ils légaux?

    Posté par  . Évalué à 3.

    Heu, je n'ai plus les références, mais il me semble qu'en france, c'est totalement interdit.

    Ca n'a rien à voir avec l'information, on n'a pas le droit d'inciter quelqu'un à commettre un crime pour pouvoir le condamner.

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 3.

      D'ailleurs aux Etats Unis il est courant de voir qu'un policier femme puisse se faire passer pour une prostitué pour ensuite embarquer le client.
      En France cette pratique est bien sûr interdite, en tout cas pour l'instant.

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 2.

        Je trouve ça vraiment dégueulasse de pousser les personnes à la faute. Au US, le pays des liberté, des libres de pervertir qqu'un puis de le dénoncé, si la france autorise ça, c'est claire, je vais dans les pays scandinaves.

        Mais dans le cas du "pot-au-miel" on n'incite pas le pirate à venir pirater. On ne lui dit pas, "pirate moi c'est simple". Dans le cas des protitués flics aux US, elles forcent carrément les gens, et en plus elle s ont un rendement, là non.

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 0.

          Selon toi, ce sont les policiers féminins américains qui créent la prostitution ? Les clients seraient « forcés », « poussés» ? J'ai comme un doute...

          Si tes clients sont incapables de savoir s'ils apprecient la prostitution ou pas au point d'accepter d'avoir une relation avec une supposée prostituée, il me semble que le problème vient d'eux.

          • [^] # Re: Les "pots de miel" sont-ils légaux?

            Posté par  . Évalué à 1.

            Oui, j'ai regardé deux reportages, et effectivement, elles arrêtes les voitures (qui sont déjà au feu rouge) et elle retient au maximum la personne, jusqu'à ce qu'elle craque.

            La c'est de l'incitation au déli. C'est comme si tu posté sur tout les forum que ta machine est inviolable et qd faite c'est un pot-au-miel, la tu serais condamné pour incitation.

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 7.

          Dans le cas des protitués flics aux US, elles forcent carrément les gens

          Bin non elles n'arrêtent pas la circulation en forcant les conducteurs à dire "how much ?". Elles incitent à la faute, ce qui est déjà abusif de toute manière.

          Au US, le pays des liberté

          Ca me fait bien marrer quand je lis ça. Toutes les lois qui diminues les libertés individuelles sont inspirées des Etats Unis.
          Les Etats Unis ne sont plus un modèle des libertés, il suffit d'ouvrir les yeux. Ils préviligient les libertés des multinationales au dépend des libertés individuelles, ça oui. Mais cela n'a plus rien à voir avec les libertés fondamentales.
          Il y a quelques personnes sensées comme Michael Moore (http://www.michaelmoore.com(...)) qui l'ont remarqué là bas, mais malheureusement l'esprit critique dans leur nature comme en Europe.

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 2.

        > En France cette pratique est bien sûr interdite, en tout cas pour l'instant.

        Non, cette pratique n'est plus interdite en france. Les récentes lois Sarkonardes l'autorisent désormais dans certains cas. Donc tu peux te tirer en scandinavie (où l'état policier est encore plus omni-présent).

        KDO, et je n'en suis pas un.

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à -1.

      j'ai un serveur web a la maison. Je consulte les logs, et je vois des crétins qui cherchent la faille Nimda. Est-ce illégal ?

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 2.

        Ces _crétins_ comme tu dis ne savent même pas que leur serveur IIS sont infectés par ce type de virus... . C'est le virus qui fait le serveur envoyer des requêtes à tous va ....

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à -2.

          Je sais, et je maintiens que quelqu'un qui a un serveur IIS infecte par Nimda est un crétin.
          Mon propos porte sur la légalité des logs, pas sur les crétins.

          • [^] # Re: Les "pots de miel" sont-ils légaux?

            Posté par  (site web personnel) . Évalué à 1.

            les logs sont légaux puisque à partir du moment où tu surfe sur internet tu accepte que ton IP soit visible

            • [^] # Re: Les "pots de miel" sont-ils légaux?

              Posté par  . Évalué à 0.

              aucun rapport.

            • [^] # Re: Les "pots de miel" sont-ils légaux?

              Posté par  (site web personnel) . Évalué à 1.

              Si tu stocke les ip alors tu dois les déclarer à la CNIL et mettre en place un système de sécurité adéquat
              vieux souvenir de droits informatiques

              • [^] # Re: Les "pots de miel" sont-ils légaux?

                Posté par  (site web personnel) . Évalué à 1.

                Je suis donc sense declarer a la CNIL mes logs apaches et tout ce que je loggue niveau iptables ?

                • [^] # Re: Les "pots de miel" sont-ils légaux?

                  Posté par  . Évalué à 1.

                  Non, tu ne dois déclarer à la CNIL que les fichiers qui contiennent des informations personnelles sur des personnes.

                  Évidemment, cela dépend de ce que l'on appelle des informations personnelles, mais en l'occurence pour tes logs apache ou iptables, ces fichiers ne contiennent que l'adresse IP des machines qui ont accèdé à ton site et pas les noms des personnes.

                  Comme d'un point de vue légal il est difficile de faire le lien entre une adresse IP et une personne (qui utilisait l'ordinateur à ce moment, est-ce de l'IP-spoofing, etc) tu peux te convaincre facilement que tes logs ne contiennent aucune information personnelle sur des gens (seulement des infofrmations "personnelles" pour des ordinateurs... :).

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 1.

      Bon, j'ai fais deux trois recherches sans trop de succès:

      http://www.bugbrother.com/blah/121200.txt(...) rechercher piéger dans la page, et lire les deux trois paragraphes.

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 2.

      Sauf qu'un pot de miel n'incite pas. Si une personne attaque apres s'etre fait avoir par un pot de miel, alors c'est que l'intention etait deja la.

      C'est de l'invitation, pas de l'incitation.

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 2.

      Tiens, j'avais cru comprendre que les pots de miel ne servaient qu'à mieux cerner les techniques de piratage et la logique des crackers, j'ignorais que certains les utilisaient pour porter plainte contre les attaquants.

      Je pense que dans un but informatif, les pots de miel sont parfaitement légaux, dans la mesure où on ne divulgue pas les informations "privées" concernant les pirates, et que l'on n'entreprend aucune action punitive (procès, attaque de représaille, etc.).
      Il me semble que dans ce contexte d'utilisation, les pots de miel peuvent permettre de mieux se protéger, sans aller à l'encontre de la loi.

      Ensuite, je trouve fou de parler d'incitation au crime, car un pirate qui commet une attaque l'a bien voulu. On ne porte pas plainte contre une jolie fille pour incitation au crime, alors qu'elle pourrait inciter un pervers à la violer, non ? Ma comparaison est extrème, mais est-elle inapropriée ?
      Idem pour la vie privée, en attaquant une machine, le pirate prend le risque de divulguer son adresse ip, de manière directe ou indirecte.

      Et vous, qu'en pensez-vous ?

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 5.

        Perso j'utilise des pots de miel comme IDS.
        Comme ils sont en amont des FW ce sont les premiers touchés en cas d'attaques (ils pinguent, aucun port filtré, ...).
        Je dis nul part "attaquer ces machines".

        Quand qq'un tombe dessus c'est pour les attquer ou parce qu'il s'est trompé d'ip, donc je peux voir rapidement les IP des gens qui n'on rien à faire sur mon réseau et voir ce qu'ils essaie de faire dessus.

        Je me suis pris un nessus sur mes pots de miels, 5 jour après leur mise en place et j'ai plusieur fois par jour des gens qui essaie de transformer mes machines en serveur FTP warez ou des attaques sur IIS (ver de type nimda ?).

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 3.

      Il ne s'agit pas franchement d'incitation, à mon sens: Le pot de miel est passif, il ne fait qu'attendre !

      Autrement dit, il y a deux forces en présence: Baloo l'ourson qui a faim, et le pot de miel qui ne lui appartient pas. La question est de savoir qui pèche, mais cela dépend énormément des circonstances (qu'a fait Baloo, comment était protégé le pot de miel..)

      Il n'est pas possible de dire que le simple fait de posséde un pot de miel rend coupable d'incitation, pas plus que le fait pour une nana de se mettre en micro-jupe ne la rend co-responsable du viol dont elle a été victime.

      Les autorités et juridictions françaises semblent admettre cette nuance, et prendre en compte, par exemple, les "testing" à l'entrée des boîtes de nuit, en considérant que, même si c'est fait en vue de provoquer une infraction, le simple pour un maghrebin de vouloir entrer en boîte n'est pas une incitation, donc pas une faute.

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 4.

        C'est pas "Baloo l'ourson", c'est "Winnie l'ourson" ... Balloo c'est dans "le livre de la jungle" petit homme.
        ;-)

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 2.

          Tout à fait d'accord !

          Mon propos n'était qu'une libre interprétation d'une chanson "Baloo Baloo aime le miel, mais il n'aime pas les abeilles" [...] (à danser en faisant les mimes qui vont bien).

          Voila, Akela ;-)

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 1.

        Le problème, c'est que ton pot de miel va simuler des failles évidentes (sinon ce ne serait pas attirant et cela ne se serait pas appelé un "pot de miel"). Donc, de par cette simulation de failles, tu incites les pirates à passer à l'action (puisque tu n'as pas ces failles pour de vrai, mais tu les simules).

        Le principe du pot de miel repose un peu sur le principe de la prestidigitation, on donne aux pirates un objet d'attention pour les éloigner de notre vrai réseau et les piéger (ou les étudier) sur un réseau que l'on contrôle totalement.

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 1.

          Oui et non.
          Tu ne doit justement pas laisser de faille trop évidente. Ca devrais être une quasi réplique de tes serveur de prod sensible, a ceci prèt que tu y enlève les donnée, que tu modifie légèrement les rêgle de sécurité.. et que tu le surveille de très très près.

          Mais en sécurité, si tu laisse des faille trop évidente, tu perd tout l'intérêt du honeypot. Son intérêt est, certe, que les pirate s'y attaque plutot qu'a ton serveur/routeur de prod, mais également et surtout à voir quels sont les attaque en cours d'élaboration. Ca te permet de modifier, le cas échéant, les rêgles de sécurité sur tes srv.

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 1.

      Il me semble que la dernière lois sur la sécurité viens de remettre cela en cause.

  • # Re: Les "pots de miel" sont-ils légaux?

    Posté par  . Évalué à 3.

    C'est quoi un pot de miel ?

  • # Re: Les "pots de miel" sont-ils légaux?

    Posté par  (site web personnel) . Évalué à 6.

    Oui, c'est possible. En tous cas j'en ai trouvé un :
    http://www.childrenstoys.co.nz/images/products/lego.jpg(...)

  • # Re: Les "pots de miel" sont-ils légaux?

    Posté par  . Évalué à 3.

    Euh ... si je ne ferme pas, volontairement, la porte de mon appart', je peux être condamné pour incitation au crime ?

    Que l'assurance ne rembourse pas ... je ne dis pas, mais de là à me retrouver en prison.

    Il faudrait, en poussant le raisonnement un peu plus loin, que je coupe l'accès au net de ma boite, parce que c'est peut être déjà incitatif et repréhensible ...

    Y'a pas un problème dans votre raisonnement ?

    M

    • [^] # Re: Les "pots de miel" sont-ils légaux?

      Posté par  . Évalué à 2.

      En faite on n'en n'es pas si loin de la vérité : cf le racolage passif, pour les femme qui porte des mini-jupes?

      Mais il est claire, que le "piège à con" n'est pas une incitation à la faute.

      Par contre si tu cries dans la rue que tu as laissé la porte de ton apart ouverte pour piéger un voleur, la c'est condamnable

      • [^] # Re: Les "pots de miel" sont-ils légaux?

        Posté par  . Évalué à 2.

        Par contre si tu cries dans la rue que tu as laissé la porte de ton apart ouverte pour piéger un voleur, la c'est condamnable
        Dans le même style, vendre des voitures sportives qui roulent à 250km c'est pas de l'incitation à être chauffard. Ceux qui achêtent ce genre de voitures, c'est pas pour rouler pépère.

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 2.

          vu que l'Etat valide la mise sur le marché français des voitures (via le services des Mines), il suffit de se retourner contre lui la prochaine fois qu'un véhicule ira se cogner quelque part à plus de 130 à l'heure.

          moi je dis, y'a du fric à se faire.

        • [^] # Re: Les "pots de miel" sont-ils légaux?

          Posté par  . Évalué à 1.

          Donc si ce soir je vais acheter un nouveau couteau à pain, je ne serai pas inculpé de tentative de meurtre ?

          Trop cool !

          M

          P.S : Spitzner a du picoler en regardant "minority report", je vois que ca.

  • # Winnie l'ourson est dans la merde

    Posté par  . Évalué à 0.

    Moi je vote pour legalisation des pots de miel, sinon mon pauv' Winnie l4ourson sera dans la merde.

    LEGALISONS !!!!


    ok, ->[]

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.