|
|
|
La cour de cassation confirme que la publication de failles de sécurit
Sujet ouvert par
Guillaume Champeau
- Dernière réponse le 25 décembre 2009 à 01h31
 
De toute façon internet y' a que des pédophiles, des terroristes et des pirates... Vivement la nationalisation (sarcasme)
Disons que l'auteur de la découverte aurait pu prévenir l'éditeur et ensuite publier sa faille 1 ou 2 jours plus tard (même si le patc n'était pas prêt, ça lui faisait un argument de plus pour sa défense). Là il a joué le côté "pub" en publiant avt de prévenir MS.
Cher gouvernement.fr,
j'ai découvert fortuitement une faille sur votre site donnant accès à toute personne cliquant sur un certain lien visible de tous à la liste des salaires, budget prévisionnels, plan sécurité-défense national. Par contre je n'ignore pas la loi, je n'en dirais donc pas plus. Bien cordialement, Jean Bonnot 
De toute façon même en prévenant quand on trouve une faille de sécu, en aidant à la corriger et en publiant après l'exploit, on peut se retrouver condamner comme Zataz.
Question piège, la distribution GNU/Linux est-elle illégale alors qu'elle est souvent utilisée dans des audit de sécurité ? 
Piratomane, le 22/12/2009 - 16:36 non il a prevenu ms AVANT de publier... 
C'est un peu con que personne n'ait pris la peine d'expliquer aux juges que la sécurité par l'obscurité, ça marche vraiment très mal. Cette décision ferait certainement mourir de rire les développeurs d'OpenBSD : ça produira exactement le contraire de ce qui était voulu, à savoir renforcer la sécurité des systèmes informatiques.
En tout cas, ça ne change pas grand chose : l'hébergement se fera sur un site hors de France et puis c'est tout. 
Dans le même genre je peux donc si je suit la logique faire condamner toute entreprise qui transmettraient mes données personnelles à un tiers, puisque celle ci peut nuire à des fins mercantiles à s'avérer dangereuse pour ma sécurité propre.
C'est presque le même système, qui me prouve que ces entreprises ne sont pas des arnaqueurs et chercheraient à profiter!!!! 
Ok, donc on peut plus dénoncer des failles de sécurité dans un logiciel libre avec explications à l'appuie?
j'aime bien la comparaison de PCinpact d'un coutelier condamner pour n'avoir pas anticiper des meurtres avec ses couteaux.
sinon il est clair que la France est devenue une zone noire pour la sécurité informatique... cette confirmation d'interdiction de publication va faire le beurre... de tous les pirates!
Et bien ce sont les chercheurs français qui sont lésés dans l'histoire. Ils n'ont plus le droit de publier les failles qu'ils découvrent en France, ils les publieront donc à l'étranger. La France se moque d'être pionière en nouvelles technologies, développement de logiciels, etc...
Maintenant prenons un exemple concret. Un informaticien lambda découvre au sein des machines à voter une faille de sécurité, quelques jours avant les élections. Il ne peut publier cette faille tant que le patch n'est pas sorti (l'éditeur n'est donc plus préssé de corriger cette faille s'il a d'autres chats à fouetter). Supposons que le patch de la machine à voter sorte quelques jours après, la faille peut être rendue publique, mais trop tard les élections sont passées... Bon ok c'est un peu tiré par les cheveux mais ça n'est pas moins ubuesque que cette jurisprudence. Pourquoi donc en France se borne-t-on à toujours vouloir faire différemment des autres ?
@zobrak : ++Exactement !Hormis la fierté liée à la reconnaissance (motivant dans ce domaine) ils peuvent même publier anonymement.Au final, ce ne sont pas les chercheurs qui perdront au change : meilleure visibilité outre-manche et outre-atlantique.Et peut-être même allons-nous assister à un regain de full disclosures par défi. CE qui ne peut être qu'une bonne chose.Ici, il ne faut pas blâmer les juges mais le législateur.db
Alors là, ça c'est le pompon, et tous ceux qui savent se servir de leur phallus, ce sont des violeurs en puissance à condamner comme tel ? àa devient n'importe quoi la justice, en tout cas pas intérêt d'écrire qu'on sait comment faire avec son kiki sans motif légitime. Ouf, ce ne vaut que pour l'informatique cette aberration, on l'échappe belle.
Non non, ils ne doivent plus les publier.
Ils devront, dorénavant, en informer les ayants-droits des logiciels concernés, après avoir bien sur fournit carte d'identité génétique et approvisionnement d'un compte bloqué permettant de payer les frais de justice en cas de poursuite par les ayants-droits. Et prochainement dans les assemblées de toute démocratie qui se respecte, une loi sera votée interdisant de découvrir une faille de sécurité. N'oubliez surtout pas d'avoir peur... ah oui, et pour finir : Les gouvernements ne sont plus une représentation du peuple, mais une farce capitaliste des lobbys industriels nommée démocratie, que l'on nous introduit dans le fondement à longueur de temps.
Au moins le retour de bâtons sera rapide, tout ce qu'ils vont réussir à faire c'est réduire la qualité de la sécurité informatique de nos entreprises.
La cours de cassation nr juge pas elle vérifie si la procédure est conforme au droit pour elle les fait sont aquit point.
A chaque fois qu'on découvre une faille de sécurité dans Firefox, faudra contacter directement Tristan Nitot par email chiffré ? Le pauvre :/
Fortement incompatible avec l'esprit du logiciel libre, qui veut que toute transparence soit faite. 
Communiquer au premier intéressé que son systeme a une faille est une chose, la communiquer au grand jour pour être bien sur que tout le monde pourra l'exploiter, en est une autre.
M'enfin le discours formaté des hackers on le connait : ils veulent notre bien sous pretexte de s'introduire chez nous. 
Comment peut-on laisser des gens complètement dépassés par la technologie (et souvent malhonnêtes, ou de droite) nous gouverner et nous juger? Sommes nous tous des moutons, du berceau à la tombe? On dirait bien que oui.
Sauf qu'en l'occurrence, c'est Microsoft qui a mis sur le marché un programme informatique spécialement adapté pour commettre une atteinte à un système informatique.
C'est vrai sans déconner quid des logiciels libres? Ne faut-il pas que l'ayant droit attaque pour mettre en branle cette débilité ?
Sinon, c'est bon, z'ont tué le logiciel libre! Et tout ce qui est pcflank ? zappé aussi ? Genre impossible de faire scanner sa cnx internet par un tiers ? Veulent nous propulser vers le darknet pour ne plus s'en faire avec Dura lex sed lex. [message édité par Schlock le 22/12/2009 à 22:02
]
Winael, le 22/12/2009 - 16:50 +1 pour Zataz. Assez dégueulasse d'ailleurs ...
je ne suis pas d'accord avec la conclusion de l'article: ce qui a été condamné ce n'est pas tant la diffusion de la connaissance de la faille que l'explication sur son exploitation.
en clair, annoncer publiquement qu'il y a une faille oui, mais donner suffisamment de détailles pour qu'elle puisse être exploitée, non. et on ne peut être que d'accord avec ça. 
Personnellement la seule faille que j'exploite provient de l'interface clavier/chaise avec la collaboration et le soutien des grandes surfaces et autres industriels du secteur informatique. Surtout ne touchez a rien, le signal est parfait.
@munrau:
dit pas n'importe quoi stp... Quand on prévient un éditeur, ou un admin réseau, qu'il y a une faille dans tel ou tel programme, et que 2 semaines après rien n'est corrigé(et dans le cas de l'admin réseau, le patch est déjà présent), le seul moyen de faire bouger les choses, c'est de rendre public. En entreprise, avant de mettre à jour un programme quelconque il y a des bancs de tests pour s'assurer que le patch en question n'engendre pas plus de problèmes, et si le patch devait en créer, l'entreprise se doit de trouver au plus vite une méthode alternative pour corriger le problème. Mais vu que certains admin réseau(et j'en connais beaucoup comme ça), ont un poil dans la main qui leur sert de canne(du genre à laisser les cassettes de sauvegarde dans la même pièce où elles sont créer...quand elles le sont), tu es obligé à un moment ou à un autre de faire un electro choc en rendant public le problème, afin que quelqu'un de mal intentionné n'exploite pas la faille. 
Il faut bien voir qu'ils ont publiés des scripts utilisables pour exploiter la faille, ce n'est pas du poc ou de la démo théorique, c'est utilisable par n'importe qui. Les "white hat" font justement très attention à celà, en s'applicant à démontrer la faille sans pour autant donner les outils pour l'exploiter. On parle bien de "n équipement, un instrument, un programme", donc une réalisation, pas de le fait de diffuser l'information générale ("attention ya un probleme"). Je crois que le texte est assez clair, publier des failles de sécurité, avec le mode d'emploi, est interdit. Mais publier une faille de sécurité tout court (ie sans outil mis à disposition) est a priori autorisé, et sa relève de la liberté d'expression amha.
zorro3364, le 22/12/2009 - 23:49 Si on pousse la logique jusqu'à son terme, un éditeur de logiciel mettant à disposition de tous une mise à jour de sécurité pourrait alors être poursuivi pour les mêmes faits par ses clients; puisqu'une mise à jour de sécurité contient tous les éléments nécessaires à l'exploitation de la faille qu'elle comble.
Le_PoUnT, le 23/12/2009 - 01:53 Tu changes le contexte : je ne parle bien sur pas des hackers qui previennent l'admin AVANT et celui ci reste le cul sur sa chaise sans rien faire. Je parle des branlos qui installent des ftp chez les entreprises, et quand ils sont découverts, arguent de la sécurité, le bien de l'entreprise, blabla. Bientot faudra remercier les spammeurs, tu verras, sous pretexte que " vous n'aviez qu'à renforcer les filtres de votre messagerie ". Non je crois qu'il faudra même les remercier de siphonner notre compte en banque sous pretexte qu'on avait qu'à pas avoir d'argent dessus, quelle idée hein. Oui je suis de mauvaise foi, comme eux  Quand on est un petit escroc merdeux, on ne se fait pas passer pour un bienfaiteur de l'humanité. Maintenant ceux qui veulent vraiment améliorer la sécurité, et qui sont passés par la procédure honnête qui consiste à avertir le premier concerné, ceux là ne se sentiront pas visés par mes propos. Les autres sont des imposteurs.
Quel que soit la réaction des intéressés je ne vois pas ce qu'il y a de productif à donner les détails techniques d'une faille, dire au grand public "voilà on a découvert une faille qui en substance permet de xxx" je trouve ça sain et normal, dès qu'on dit comment l'exploiter je vois pas sous quel(s) prétexte(s) on peut se couvrir.
Crowell, le 23/12/2009 - 07:40 Parce que bien souvent l'entreprise que tu préviendras fera soit la sourde oreille, soit clamera "notre système est sans faille" ce qui te portera sur les nerfs vu que tu sais que c'est faux... Ensuite, je pense effectivement que tout dépend la façon dont tu procèdes pour le signaler... Mais la vraie raison des plaintes déposées, c'est que les dirigeants des grandes sociétés n'aiment passer pour des abrutis. Ce n'est pas du tout concernant la faille qui a été mise à nue.
Les hackers vont donc encore mieux se protéger histoire qu'ils aient aucune chance de pouvoir les retracer... (ce qu'ils font déjà depuis belle lurette)
Comme si les pirates informatiques postaient publiquement et avec leur vrai identité histoire qu'on puisse les retrouver... "C'est pas aux vieux singes qu'on apprend à faire la grimace." Du coup, y a que les gens honnête comme Zataz qui seront découragés de prévenir de manière bénéfique les victimes identifiées. On sent encore le niveau des spécialistes qui prennent ce genre de décisions.
Tous les profs de sécu informatique qui font des cours sont ils concernés par cette loi ? Car il est important pour un apprenti admin sys de connaitre et comprendre les différentes faille de sécurités et comment les éviter et/ou les détecter lors de la mise en production d'un système d'information.
Ne devrait plutôt pas condamner les éditeurs de solutions informatiques ne corrigeant pas les failles de sécurités découvertes dans la semaine qui suit sa découverte (genre la faille samba :s)
Crowell, le 23/12/2009 - 07:40 Parce que certains détails techniques permettent parfois de se prémunir contre des attaques alors même qu'aucun patch n'est encore disponible, par exemple en reparamétrant temporairement certaines fonctionnalités. Un exemple : Firefox est souvent victime de problèmes de sécurité en lien avec javascript, il suffit alors de désactiver javascript ou d'installer un module comme NoScript pour réduire significativement les risques. Par ailleurs comme cela a été dit, mettre en évidence les points de faiblesse, incite les sociétés commerciales a réagir plus promptement que s'il s'agissait d'une vague menace dans la tête des clients qu'un service marketing pourrait alors plus aisément influencer. Il y a vraiment une révolution à faire dans l'ingénierie du logiciel pour que la conception du logiciel atteigne enfin un niveau comparable à celle du matériel. Le bug doit être vu comme un vice de fabrication et la faille de sécurité comme une violation de norme de sécurité. 
Attendons qu'un juge déclare que la non dénonciation d'une faille de sécurité qui aurait permis à un pédophile d'agir soit considérée comme un crime; comme ça la boucle sera bouclée.
Encore un pauvre bougre de juge dépassé par la technologie et le monde moderne. àà fait toujours pitié. 
munrau, le 23/12/2009 - 05:33 Le premier concerné, c'est l'administrateur d'un système vulnérable à la faille. L'informer, c'est lui donner le maximum d'information lui permettant de savoir s'il est vulnérable, et de quelle façon. Partant de là, donner le plus d'infos possibles le plus tôt possible est la seule manière claire de faire. Publier un script permettant d'exploiter la faille, c'est permettre aux administrateurs de tester leur système, de vérifier si les sécurités qu'ils mettent en place tiennent le coup. À partir du moment où les infos sont publiques, les systèmes qui doivent être protégés peuvent l'être, correctement. Toi, tu voudrais laisser passer du temps, tu voudrais que l'administrateur qui a un système vulnérable ne sache pas exactement quelle est la vulnérabilité, comment la vérifier, comment se protéger? Ce n'est pas comme ça qu'on sécurise un système, désolé. Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
Sujets liés :
LES + RECHERCHÉS
A VOIR AUSSI
Télécharger
aspirateur youtube,
windows 7 gratuit,
pro evolution soccer,
navigateur web pdf,
navigateur web tor,
vdownloader mac,
logiciel alcatel,
voissa anonymo,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
En décembre 2005, le gérant d'une société montpelliérenne de conseil en sécurité informatique avait publié sur Internet des scripts permettant d'exploiter une faille de sécurité découverte sur le format de fichiers Windows Metafile (WMF) de Microsoft. Le correctif n'a été apporté par la firme de Redmond que quelques jours plus tard, le 5 janvier 2006. A la demande du parquet, la DST a mené une enquête qui a conduit à la mise en examen du gérant, et à sa relaxe au tribunal correctionnel en juin 2008. Le parquet, bien décidé à ne pas créer de précédent, a interjeté appel devant la cour de Montpellier, qui a condamné le prévenu en mars 2009.
L'intention frauduleuse est présumée chez les spécialistes en sécurité informatique
Saisis par le condamné, les magistrats de la plus haute juridiction ont suivi les motifs de la cour d'appel et rejeté l'argument avancé par le défendeur, qui prétendait que la volonté d'information manifestée en publiant la faille de sécurité était suffisante à vérifier l'existence d'un "motif légitime" exigé par la loi. Mais pour la cour de cassation, le prévenu "ne peut valablement arguer d'un motif légitime tiré de la volonté d'information, dès lors que, du fait de son expertise en la matière, il savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance".
Pour la cour de cassation, il n'y avait pas besoin de rechercher une "intention frauduleuse" dans la communication d'informations sur les failles de sécurité. Il s'agit d'un "délit objectif". Tout juste fallait-il vérifier que l'auteur avait connaissance de la possibilité que les informations qu'il publiait pouvaient être exploitées à des fins de piratage, ce qui a été vérifié par la nature-même de ses activités professionnelles.
D'un point de vue strictement judiciaire, la décision de la cour de cassation n'est pas scandaleuse. Les magistrats ont simplement appliqué le droit. Dura lex, sed lex.
En revanche, l'arrêt de la cour de cassation renforce la responsabilité du législateur, qui a choisi en 2004 d'aller plus loin que la Convention sur la cybercriminalité du Conseil de l'Europe. Dans son article 6, cette dernière incriminait la publication de dispositifs "principalement conçus ou adaptés" au piratage informatique, tandis que la loi française incrimine les dispositifs "conçus ou spécialement adaptés", ce qui élargit considérablement le spectre.
En France, il vaut mieux donc taire les failles de sécurité dont on a connaissance, sous peine de se retrouver condamné pénalement. Une précaution contre-nature pour la communauté scientifique, qui n'avantagera que les véritables délinquants qui exploitent les failles de sécurité qu'ils découvrent à des fins néfastes, sans expliquer à leurs victimes comment ils s'y prennent.
Lire la suite