Paaapaaaaaaa... C'est quoooaaaaaa une intrusion informatiiiiiqueuuuu? |
|||||
|
Alors tu vois mon
fils, cette bouteille de lait... Heu... Non... Qui sait définir avec précision ce qu'est une intrusion informatique ? Pas grand monde. A chacun son métier. Aux techniciens de définir ce que cest. Le reste nest que littérature. Le problème cest que en général, ceux qui disent qui a réalisé une intrusion informatique ne sont pas des techniciens. Mais plutôt, dans lordre (on peut toutefois le mettre dans nimporte quel sens) : la presse, la police, les faux experts, et enfin, le juge. Il ne faut voir dans ce qui suit aucune animosité envers qui que ce soit , mais il semble que la personne accusée dintrusion part avec un sacré handicap. Il est forcément, vu le travail de sape effectué depuis des mois, considéré comme un affreux terroriste (voir le premier papier de la trilogie), quoi quil ait fait. Ca part mal. Le terroriste ne pouvant faire QUE quelque chose dodieux les a priori seront multiples. Nous avions deux voies possibles pour traiter ce papier. La première consistait à ne se baser que sur un plan technico-moral et à définir ce qui est bien ou mal en fonction de critères techniques. La seconde consistait à réaliser une lecture purement juridique du problème. Nous avons choisi de faire un peu des deux. Nous navons pas la science infuse et ne souhaitons (ni ne pouvons) rien imposer à personne. Nous pensons simplement détenir quelques clef que nous souhaitons, comme toujours, faire partager aux autres en les invitant à débattre. Comme dit lautre (les journalistes, les juristes, les faux experts, etc.) : "depuis 1988, la loi Godfrain nous protège contre les atteintes aux systèmes de traitement automatisé de données". Il nest donc pas inutile de lire cette loi pour savoir de quoi on parle :
[http://www.rabenou.org/penal/L3.html#art323-1] Reprenons Accéder ou se maintenir frauduleusement Que nous dit le législateur ? Quil est interdit de pénétrer frauduleusement sur un ordinateur ou dans un réseau sans y avoir été invité. Accéder Frauduleusement Voilà deux termes quil va falloir garder à lesprit. Nous avons lu et relu le Lamy informatique. Histoire de voir ce que pensaient les juristes de cette loi. Le simple fait d'"entrer" est incriminable... Que dit-il ? Que laccès ou le maintien indus dans un système (entendez par système un ordinateur ou un réseau) sont incriminés. Que " lidée daccès indu renvoie à toute pénétration dans un système ". Lire le Lamy est intéressant à plusieurs titres. Il va par exemple nous donner les interprétation des juges et des éminents juristes qui se sont penchés sur le sujet. Ainsi, on découvre que " laccès frauduleux au sens de la loi vise tous les modes de pénétration irréguliers ". Et même, que " le simple fait " dentrer " est incriminable " : " Laccès à un système informatisé de données tombe sous le coup de la loi pénale dès lors quil est le fait dune personne qui na pas le droit dy accéder ". Soit. " Entrer ". Quest-ce quentrer ?Pas le droit, pas le droit Revenons à " frauduleusement ". Lami Lamy nous dit à propos de l élément moral que " ne son punissables que les accès et maintiens accomplis " frauduleusement ". Cest souligner que les auteurs de ces délits doivent avoir eu conscience de lirrégularité de leurs actes ". Tentons dy voir encore plus clair avec un arrêt dune cour toulousaine : CA Toulouse, 3ème chambre, 21 janvier 99 : " labsence de droit résulte de labsence dautorisation expresse du maître du système ". Etant cependant observé, nous précise le Lamy que le caractère " exprès " ne simpose vraisemblablement pas. Ce qui voudrait dire que " la présence dun dispositif de sécurité nest pas nécessaire pour que sappliquent les dispositions légales ". Sauf en cas derreur, même dans le cas où lon taperait le code daccès dun tiers en se trompant Attention, ceci fait, si vous vous baladez dans le système, tout le monde aura compris que ce nest plus une " erreur " Autre point non négligeable, " les intrusions dans les systèmes sont incriminées sans considération des conséquences quelles peuvent avoir ". Ceci étant dit, il ny a pas grande jurisprudence dans le domaine des technologies qui nous intéressent. Au contraire, ce que lon peut lire se réfère plutôt à des histoires de Minitel. Revenons maintenant aux termes " accéder " et " frauduleusement " avec une vision plus technique Car quelque chose nous semble bien flou dans ce texte. Quest-ce donc, dans lesprit du législateur, et désormais des juges, chargés dappliquer cette loi, que " accéder " à un système ? Même frauduleusement ? Rien dans le Lamy ne vient éclairer ce point. De toutes façons, on a un petit problème. En 1988, personne, et encore moins lauteur de la loi ne prévoyait quon allait accéder à un serveur avec une requête, puis une autre et ainsi de suite. GET HTTP était encore dans les cartons Peut-être même dans les tréfonds des cerveaux Jaccède au serveur www.leserveur.com avec mon navigateur. Il demande la page par défaut sans même que je men rende compte. Une fois chargée, je ne suis plus connecté au serveur. Jai accédé au serveur. Je ne my maintiens pas. Considérons que nous allons accéder frauduleusement (pirater un serveur, même si ce terme ne veut juridiquement rien dire) à un serveur et que nous faisons cela à distance. Pénétrer dans un ordinateur Pour cela, il me faut un défaut important de lOS, ou dun programme, lexploiter. Ou alors, " envoyer " un cheval de Troie Pénétrer dans un réseau Pareil, il me faut une porte dentrée. Jai besoin doutils delite hax0r ou dun sacré défaut logiciel. Frauduleusement Il faut donc que tout cela soit fait sans droits et sans se tromper. Sans droits ? Ah. Nous y voilà Je vais " accéder " à la page dadministration du site au format html. Pour " pirater le site ", je nai plus quà appuyer sur des boutons. Le fait daccéder à cette page dadministration est-il déjà passible des foudres de la loi ? Noublions tout de même pas cet axiome : à priori, techniquement parlant, lorsque lon place un fichier dans la racine dun serveur Web et que lon ne le protège pas par des droits daccès spécifiques, on considère que ce fichier est public puisque désormais, il est placé sur un réseau public. Cest là toute la différence entre un serveur Web (ou ftp), un ordinateur et un réseau. Le contenu dun serveur Web ou FTP est public par défaut sauf indication contraire de la part de ladministrateur. En revanche, le contenu dun réseau privé (hors DMZ donc) ou dun ordinateur (hors serveur Web) est privé. Si je peux " accéder " à cette page sans midentifier comme un utilisateur privilégié (identifiant/mot de passe), il est probable que ladministrateur ait choisi délibérément de la rendre publique. Jai donc " accédé " à une page comme une autre. Il faut mettre le script d'archivage de Google en examen! Reste à ne pas appuyer sur les boutons qui modifient le contenu du site pour ne pas verser dans la partie " piratage ".Mais bon, il semble que tout cela soit un peu trop technique (et pourtant ) pour la justice. Prenons un cas de figure encore pire : la société Leserveur a décidé de mettre en ligne un beau serveur Web. Seul problème, ladministrateur du site a placé dans le serveur un répertoire " /lescomptesmensuels " dans lequel il stocke les comptes mensuels de lentreprise ainsi que quelques autres données un peu sensibles. Malheureusement pour la direction générale, ladministrateur embauché à grands frais na pas attribué de droits particuliers à ce répertoire. Bilan des courses, les moteurs de recherche indexent le contenu du répertoire Or un jour, un journaliste financier qui tape " Leserveur comptes mensuels " dans Google, tombe sur le contenu du répertoire Il décide décrire un article car les comptes nont rien à voir avec ce que prétend la direction de Leserveur ". Que fait-on ? On accuse le journaliste daccès frauduleux ? On attaque le script darchivage de Google pour accès frauduleux ? On égorge ladministrateur ? Moralité, le texte est flou et ne résiste pas à une analyse technique ou simplement logique. Peut-être est-il temps de réviser la loi ?
|
Page d'accueil Nous écrire By mail Nous envoyer des commentaires By la page de le Feed-Back |
Nouveautés
et... |
Le Sommaire de Kitetoa (orientation...) Sommaire général du site |
Les
rubriques! Les
livres publiés par Kitetoa |
Les
rubriques! (suite) Les Let-R-s Des Images On s'en fout! KitEcout' KessTaVu? -KiteToile Voyages |
Les dossiers : Precision [ZataZ] Le monde fou des Admins Defcon Le hack le plus bizarre Guerre de l'info Convention contre la cyber-criminalité Hack |
Questionnaire visant à améliorer le contenu de ce site si c'est possible et pas trop compliqué |
Rechercher sur le site ...et sur le Net Des liens et D'autres choses du Ouèb |