Forum Linux.général La légalité du scanning (nmap), shodan, toussa

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
6
1
fév.
2018

Avant il était illégal (bien que pas forcément puni) de faire des scans nmap sans l'accord du possesseur de la target. Aujourd'hui il y a Shodan qui scan tout les hostames (1) et les IP/ports qu'il trouve via plein de sources.
Est-ce devenu légal de scanner tout le monde ? Ou peut-être n'est-ce juste pas punis (tant qu'on vise les autres pays?) ? Ou c'est punis pour les européens et open bar pour les autres ? On a le droit de se monter son petit Shodan à la maison ou de lancer un scan "nmap *..." ?

*1 : j'ai même reçu des scans sur des noms temporaire créés pour tester Let's Encrypt

Un exemple d'access.log d'apache2 lorsque Shodan passe par là

198.20.69.74 - - [08/Apr/2015:09:42:43 +0200] "GET / HTTP/1.1" 200 8961 "-" "-"
198.20.69.74 - - [08/Apr/2015:09:42:44 +0200] "GET /robots.txt HTTP/1.1" 404 2161 "-" "-"
198.20.69.74 - - [08/Apr/2015:09:42:51 +0200] "quit" 200 8441 "-" "-"
198.20.69.74 - - [29/Mar/2015:23:41:44 +0200] "GET / HTTP/1.1" 200 8961 "-" "-"
198.20.69.74 - - [29/Mar/2015:23:41:48 +0200] "GET /robots.txt HTTP/1.1" 404 2161 "-" "-"
198.20.69.74 - - [29/Mar/2015:23:42:02 +0200] "quit" 200 8441 "-" "-"

  • # Lex

    Posté par  . Évalué à 9.

    Avant il était illégal (bien que pas forcément puni) de faire des scans nmap sans l'accord du possesseur de la target.

    Tu as une source pour étayer ton assertion ? Parce que ça m’étonne quelque peu et si je demande à mon ami Google je tombe sur ça : http://www.infond.fr/2010/09/legalite-du-scan-de-port.html . On peut notamment y lire :

    Tout d’abord, il est clair que la prise d’empreintes de ports informatiques ne peut pas être assimilée à un accès frauduleux à un système de traitement automatisé de données (STAD) et ne peut donc être sanctionnée au travers de l’article 323 1 du Code pénal. Un scanner de port se contente de collecter des informations qui ne peuvent être qualifiées de confidentielles et sans contourner de systèmes de sécurité, éléments qui conditionnent la poursuite pénale de l’intrusion.

    Toutefois, le scan de port peut être une étape préliminaire à une intrusion et participer au faisceau de preuves attestant de l’intention frauduleuse. Pour autant, l’acte de scan de ports ne semble pas pouvoir être qualifié de tentative d’intrusion punissable par l’article 323 7. En effet, le scan de ports ne dépasserait pas le stade des actes préparatoires qui, selon la jurisprudence, ne saurait être sanctionné, et ne pourrait donc être qualifié de commencement d’exécution. Jusqu'à présent, la jurisprudence n’a pas encore statué sur ce fait.

    L’article est de 2010, si quelqu’un a une source plus récente… la jurisprudence a peut-être statué depuis.

    • [^] # Re: Lex

      Posté par  . Évalué à 3.

      la jurisprudence a peut-être statué depuis.

      Tu cites et graisse toi-même:

      selon la jurisprudence, ne saurait être sanctionné

      Mais bon, le problème, c'est que tout ça, c'est en France. Il n'est pas impossible que dans d'autres nations, les lois relatives à ça soient différentes. Le problème (du flou qui varie en fonction des nations et états) est explicitement abordé dans l'exemplaire de «nmap network scanning» que j'ai, mais ce bouquin date «un peu».

      • [^] # Re: Lex

        Posté par  . Évalué à 1. Dernière modification le 02 février 2018 à 12:18.

        Mais bon, le problème, c'est que stout ça, c'est en France.

        Oui ma question se pose à plus large échelle (a minima je suis surtout intéressé par la position du Benelux et de ses proches voisins, mais compte tenu du nombre de scan chinois/russe/ricain voir anglais/français par moment, ça pousse ma curiosité).

        Je suppose aussi que depuis 2010 il y a eu aussi beaucoup de changements (8 ans dans le domaine numérique c'est une vie).

      • [^] # Re: Lex

        Posté par  . Évalué à 5.

        Tu cites et graisse toi-même:

        De ce que je comprends, la jurisprudence a statué sur le fait que ça ne pouvait pas être sanctionné (un acte préparatoire ne peut être sanctionné), mais pas sur le fait que cela implique que ça puisse constituer, ou non, un « commencement d’exécution » ?

        C’est vraiment pas toujours digeste le langage juridique :\

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.