Journal 8 mois de prison pour avoir exploité une faille de sécurité

Posté par  . Licence CC By‑SA.
Étiquettes :
33
18
fév.
2012

Glenn Mangham, un brillant étudiant britannique de 26 ans, qui avait réussi à utiliser en avril 2011 certaines failles de facebook pour passer dans une partie interne du site, et en copier des informations confidentielles, a été condamné à 8 mois de prison.

Je n'ai pas réussi à trouver s'il s'agit de 8 mois de prison ferme, ou avec sursis.

Quoi qu'il en soit, celui que son avocat décrit comme « hacker éthique » (il n'a pas tiré profit de ces informations, ne les a pas redistribuées, ne les a pas revendues, et il avait par ailleurs contribué dans le passé à aider yahoo à corriger des failles de sécurité sur son portail) aura été lourdement condamné pour avoir exploité une négligeance caractérisée de la part de Facebook.

Quelques liens en rapport avec cette affaire :

Ceci nous rappelle un peu les mésaventures de Serge Humpich, ingénieur de génie qui avait découvert et démontré la faille des cartes bancaires, devant huissier, pour se retrouver embarqué par le géniegn (ou apparenté) : https://fr.wikipedia.org/wiki/Serge_Humpich

Cela nous rappelle également un peu l'affaire Tati / Kitetoa (ce dernier avait été relaxé, mais vu les embêtements juste pour avoir navigué sur un site internet avec netscape communicator...) :
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/historique.shtml

Sécurité par l'obscurité...

  • # éthique

    Posté par  (site web personnel) . Évalué à 9.

    Copier des données confidentielles, même sans en tirer profit, c'est pas super éthique.

    • [^] # Re: éthique

      Posté par  . Évalué à 8.

      Copier des données confidentielles, même sans en tirer profit, c'est pas super éthique.

      Et toc !

      Il se prend pour Napoléon, son état empire.

      • [^] # Re: éthique

        Posté par  (site web personnel) . Évalué à 5.

        Copier des données confidentielles, même sans en tirer profit, c'est pas super éthique.

        Et toc !

        Ca peut être une tactique...

        • [^] # Re: éthique

          Posté par  . Évalué à 7.

          Copier des données confidentielles, même sans en tirer profit, c'est pas super éthique.

          Et toc !

          Ca peut être une tactique...

          Je te le dis tout à trac, cette antique tactique est en toc

          Il se prend pour Napoléon, son état empire.

          • [^] # Re: éthique

            Posté par  . Évalué à 4.

            ce tac à tac est typique.

            • [^] # Re: éthique

              Posté par  . Évalué à 2.

              useless use of tac

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: éthique

            Posté par  . Évalué à 3.

            Sa Cathy l'a quitté ?

  • # pas d'accord

    Posté par  . Évalué à 10.

    La personne en question à fait plus que prendre des copies d'écran de dossier accessible à partir à partir d'un navigateur comme l'avait fait Kitetoa à son époque. Installer des programmes sur un système distant, copier des données et ensuite effacer ses traces sur le système distant ce n'est vraiment pas la même chose.

    Il y avait pas mal de limites que cette personne aurait dû s'abstenir de franchir tout en pouvant participer à l'amélioration de la sécurité de Facebook.

    Sinon, mettre en prison (si c'est du ferme) une personne pour ça... c'est pas très malin. ça gâche du potentiel certain et cela ne remet pas les gens sur le droit chemin. Mais c'est une autre histoire.

    Je trolle dès quand ça parle business, sécurité et sciences sociales

    • [^] # Re: pas d'accord

      Posté par  . Évalué à 10.

      Sinon, mettre en prison (si c'est du ferme) une personne pour ça... c'est pas très malin. ça gâche du potentiel certain

      Mais non, il va recevoir une formation sur la sécurité: backdoor, intrusion, effacer ses traces et surtout la plus importante: toujours ne s'attaquer qu'à plus faible que soi.
      Il peut aussi intégrer une équipe établie au sein de laquelle il évoluera en toute sécurité vers une nouvelle carrière prometteuse où il pourra mettre en service ses qualifications. Bien entendu, si le vent tourne mal, c'est les bas échelons qui prendront pendant que les dirigeants auront mis la caisse de coté. Un genre de SSII, quoi.

      • [^] # Re: pas d'accord

        Posté par  (site web personnel) . Évalué à 1.

        En matière de formation je pense qu'une journée sur Aircarck-ng devrait lui faire le plus grand bien.
        Mais c'est vrai que c'est pas non plus super éthique...

  • # en France

    Posté par  . Évalué à 1.

    En France, s'introduire dans un système d'information de manière non autorisée est passible de 2 ou 3 ans de prison et de centaines de milliers d'euros d'amende.
    Et ce depuis 15 ans au moins. (je ne sais plus où on en est actuellement mais les ordres de grandeurs sont les mêmes)

    On peut trouver cela sévère. Mais je trouve raisonnable que la loi punisse de telles intrusions.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 10.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: en France

        Posté par  . Évalué à 6.

        Comment sont punis ceux qui laisse en danger les données d'autrui ?

        Plus sévèrement que ceux qui accèdent illégalement à ces mêmes données :

        • deux ans de prison et 30 000 euros d’amende pour celui qui accède frauduleusement aux données (article 323-1 du code pénal) ;
        • cinq ans de prison et 300 000 euros d’amende pour celui qui « fait procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi numéro 78-17 du 6 janvier 1978 » (article 226-17 du code pénal) — les « mesures prescrites » étant « toutes précautions utiles […] pour préserver la sécurité des données et, notamment, empêcher […] que des tiers non autorisés y aient accès. »
        • [^] # Commentaire supprimé

          Posté par  . Évalué à 5.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: en France

            Posté par  (site web personnel) . Évalué à 2.

            « Theory and practice sometimes clash. And when that happens, theory loses. Every single time. » Torvalds, Linus.

            Ouah super Linus vient de découvrir la méthode scientifique.

          • [^] # Re: en France

            Posté par  . Évalué à 7.

            Je n'arrive pas à me souvenir d'un seul cas de condamnation pour le 2ème cas ?

            Ce qui est incontestablement la preuve qu’il n’y en a jamais eu. Ou pas.

            Au moins deux condamnations a priori définitives (puisque confirmées par la Cour de cassation) :

            • pourvoi (rejeté) 99-82136, confirmation de deux condamnations à 50 000 et 30 000 francs pour absence de déclaration du traitement à la CNIL (article 226-16 du code pénal) et insuffisance des mesures de précaution (article 226-17).

            • pourvoi (rejeté) 94-81431, confirmation d’une condamnation à 50 000 francs d’amende pour absence de précautions dans la collecte de données (226-17).

            Bon, deux cas, c’est pas énorme (mais tous les dossiers ne vont sûrement pas jusqu’en cassation, et je ne sais pas où trouver les jugements de première et deuxième instance), et on n’est pas vraiment dans le cadre qui nous intéresse ici (condamnation du responsable d’un site web sécurisé avec les pieds), mais il n’empêche : l’article 226-17 n’est pas là pour faire joli. On trouve des procureurs pour lancer des poursuites sur la base de cet article, et des juges pour prononcer des condamnations derrière.

            • [^] # Commentaire supprimé

              Posté par  . Évalué à 4.

              Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: en France

        Posté par  . Évalué à 5.

    • [^] # Re: en France

      Posté par  (site web personnel) . Évalué à 5.

      Qu'est-ce qui est le plus punissable ? Négliger les contrôles d'accès aux données de tes utilisateurs ou exploiter cette négligence ? Pourquoi ?

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 3.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: en France

          Posté par  . Évalué à 3.

          Et les comptes en banque, c'est du monde physique ou du monde numérique ?
          Ce sont les deux. Le pirate qui s'introduit dans Facebook, tout le monde s'en fout. Le pirate qui détourne des millions d'euros a une envergure supérieure. Les lois veulent surtout éviter les fraudes graves.

  • # .

    Posté par  . Évalué à 4.

    Ceci nous rappelle un peu les mésaventures de Serge Humpich, ingénieur de génie qui avait découvert et démontré la faille des cartes bancaires,

    T'es sur que la faille n'était pas déjà connu dans le milieu, mais que ca été lui qui a eu "les couille" de la rendre pubique ?

    • [^] # Re: .

      Posté par  . Évalué à 10.

      je ne connais pas assez pour dire (le bonhomme a écrit un livre, que je vais essayer d'acheter à l'occasion, on en saura plus), mais apparemment il a dit aux banques qu'il pouvait leur montrer en quoi leur système de carte était falsifiable s'ils l'engagaient, ce à quoi les banques ont répondu que ce n'était pas un petit ingénieur de rien du tout tout seul dans son garage qui allait leur apprendre quoi que ce soit. Et pour prouver ses dire, il a été acheter un ticket de métro avec une carte falsifié, suite à cela ses ordinateurs ont été confisqués et il a été arrêté. Évidemment il aurait eu un peu de civisme, il aurait expliqué gratuitement les failles aux banques... tout comme l'étudiant aurait pu expliquer gratuitement à facebook etc...

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: .

        Posté par  (site web personnel) . Évalué à 3.

        Dans mes souvenirs, c'est le GIE carte bancaires qui lui a demandé de prouver la véracité de ses dires en lui demandant de faire un achat. Il a acheté un carnet de tickets de métro, devant des journalistes, et les banques se sont servis de ça pour lancer la procédure...

        • [^] # Re: .

          Posté par  . Évalué à 1.

          De mémoire : faux et usage de faux, la création des (vraies) fausses signatures RSA pour acheter deux tickets de métro, ainsi qu'introduction dans un système de traitement automatisé de données.

          L'histoire que l'on m'a racontée est que le GIE CB, pour avoir quelque chose à lui coller sur le dos, a attendu patiemment qu'il fasse un achat pour prouver qu'il avait réussi la factorisation. La factorisation n'étant pas répréhensible en soit, c'était une des seules méthodes qui avait été envisagée.

          L'autre histoire que l'on m'a racontée est que la factorisation était connue publiquement puisque la paire de clefs utilisées avait été utilisée en exemple pour décrire le protocole Guillou-Quisquater, le protocole utilisé par les CB de l'époque. :)

          • [^] # Re: .

            Posté par  . Évalué à 1.

            Edit: Après vérification, il me semblait bien qu'il avait été question de monnayer sa découverte.
            Legalis.net

            • [^] # Re: .

              Posté par  . Évalué à 1.

              qu'est-ce qu'ils sont vénaux ces informaticiens quand même, il aurait pu leur donner gratuitement un correctif...

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

              • [^] # Re: .

                Posté par  . Évalué à 4.

                Heureusement que les suivants à avoir trouvé la faille se sont simplement servi aux distributeurs sans essayer de monnayer leur découverte ! Comme quoi l'expérience de S. Humpich a servi.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.