Dans le cas de Tati, la médiatisation rapide de l'existence de la faille avec suffisamment d'indications pour reconnaître l'exploit concerné aura permis à ceux qui ont lu l'article de Kitetoa de télécharger la base de données de clients entre le moment où elle a été mise en ligne et le moment où Kitetoa s'est aperçu de sa présence, en repassant un an plus tard.
Je ne suis pas certain que les 4000 clients aient vraiment apprécié le coup de la médiatisation comme moyen de pression. C'est à manier avec beaucoup de précautions, surtout si l'administrateur concerné est incompétent ou... absent.
Pour éviter les problèmes, l'idéal serait de créé un "Samu Cyber", organisme public dont la probité des agents ne pourrait être mise en doute et auquel serait rapportée l'existence de toute faille trouvée dans les sites web français. Charge à eux de vérifier les informations, de contacter les webmestres, d'assurer le suivi et pourquoi pas de sanctionner financièrement les récalcitrants. A bons entendeurs...
Votre commentaire est l'illustration même qu'il faut sanctionner les utilisations détournées et/ou frauduleuses des utilitaires courants, y compris des navigateurs web. Il n'existe pas d'outil intrinsèquement "bon" ou "mauvais".
Ca n'est pas parce qu'un couteau de cuisine sert à couper les aliments que son usage ne peut pas être détourné. Si vous instaurez une jurisprudence comme quoi il ne peut pas y avoir homicide volontaire dans le cas de l'utilisation d'un couteau de cuisine, vous ne serez pas déçu du résultat.
Ceci dit, ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes, c'est complémentaire.
Merci à PloufPlouf d'avoir cité mon article dans sa dépêche et d'avoir provoqué cette discussion, mais il me faut préciser que sa présentation est essentiellement un commentaire personnel et qu'elle comporte quelques inexactitudes de nature à induire le lecteur en erreur quant au contenu réel de mon article sur la jurisprudence Tati/Kitetoa.
Tout d'abord, l'article en question ne porte pas sur la technique utilisée mais bien sur les conséquences de la jurisprudence, qui par définition fera désormais référence dans les situations similaires. La Justice ne pouvait-elle pas relaxer Kitetoa sans instaurer une jurisprudence qui autorise tout internaute à exploiter certaines failles des serveurs ou des applications web et à en télécharger les fichiers confidentiels? A qui profite réellement cette jurisprudence?
Ensuite, il ne s'agissait pas pour moi de m'interroger sur le fait de savoir s'il faut diffuser les exploits. La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Enfin, même si je n'approuve pas toujours ses méthodes, j'ai fait partie de ceux qui ont envoyé un message de soutien à Kitetoa après sa condamnation en première instance. Que ceux qui contestent mon article uniquement parce qu'ils y voient une attaque personnelle veuillent bien mettre leur rancoeur de côté deux minutes et prendre réellement connaissance de mon papier, en respectant mon point du vue autant que je respecte le leur.
Personnellement, je ne demande qu'à confronter mon article à une critique constructive. Je préfère passer sur le rejet en bloc sans probablement l'avoir lu, sur les insinuations calomnieuses destinées à mettre en doute mon intégrité et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine, et je vais essayer de répondre aux quelques messages intéressants afin d'engager un vrai débat.
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ . En réponse à la dépêche Jurisprudence Tati/Kitetoa ?. Évalué à 1.
Je ne suis pas certain que les 4000 clients aient vraiment apprécié le coup de la médiatisation comme moyen de pression. C'est à manier avec beaucoup de précautions, surtout si l'administrateur concerné est incompétent ou... absent.
Pour éviter les problèmes, l'idéal serait de créé un "Samu Cyber", organisme public dont la probité des agents ne pourrait être mise en doute et auquel serait rapportée l'existence de toute faille trouvée dans les sites web français. Charge à eux de vérifier les informations, de contacter les webmestres, d'assurer le suivi et pourquoi pas de sanctionner financièrement les récalcitrants. A bons entendeurs...
[^] # Re: Jurisprudence Tati/Kitetoa ?
Posté par EmJ . En réponse à la dépêche Jurisprudence Tati/Kitetoa ?. Évalué à 0.
Ca n'est pas parce qu'un couteau de cuisine sert à couper les aliments que son usage ne peut pas être détourné. Si vous instaurez une jurisprudence comme quoi il ne peut pas y avoir homicide volontaire dans le cas de l'utilisation d'un couteau de cuisine, vous ne serez pas déçu du résultat.
Ceci dit, ça ne doit pas empêcher les entreprises et les webmestres de prendre des mesures actives pour assurer la sécurité de leurs systèmes, c'est complémentaire.
# Note de l'auteur de l'article concerné
Posté par EmJ . En réponse à la dépêche Jurisprudence Tati/Kitetoa ?. Évalué à 3.
Tout d'abord, l'article en question ne porte pas sur la technique utilisée mais bien sur les conséquences de la jurisprudence, qui par définition fera désormais référence dans les situations similaires. La Justice ne pouvait-elle pas relaxer Kitetoa sans instaurer une jurisprudence qui autorise tout internaute à exploiter certaines failles des serveurs ou des applications web et à en télécharger les fichiers confidentiels? A qui profite réellement cette jurisprudence?
Ensuite, il ne s'agissait pas pour moi de m'interroger sur le fait de savoir s'il faut diffuser les exploits. La question est plutôt de savoir si la Justice peut autoriser à la fois la libre publication des exploits et la libre utilisation de ces exploits pour s'introduire dans les parties non publiques des systèmes et en télécharger les fichiers sensibles, ce qui reviendrait le cas échéant à légaliser le vol de données.
Enfin, même si je n'approuve pas toujours ses méthodes, j'ai fait partie de ceux qui ont envoyé un message de soutien à Kitetoa après sa condamnation en première instance. Que ceux qui contestent mon article uniquement parce qu'ils y voient une attaque personnelle veuillent bien mettre leur rancoeur de côté deux minutes et prendre réellement connaissance de mon papier, en respectant mon point du vue autant que je respecte le leur.
Personnellement, je ne demande qu'à confronter mon article à une critique constructive. Je préfère passer sur le rejet en bloc sans probablement l'avoir lu, sur les insinuations calomnieuses destinées à mettre en doute mon intégrité et sur la petite phrase assassine faisant état d'une envie de meurtre à la seule vue de ma trombine, et je vais essayer de répondre aux quelques messages intéressants afin d'engager un vrai débat.
EJ