Bonjour,

Intéressé par la sécurité informatique, je m'intéresse aussi
naturellement aux attaques existantes, donc envisage d'apprendre
certaines techniques d'intrusion communément utilisées. Ici survient ma
question : je ne souhaite bien sûr pas enfreindre la loi.

Histoire de savoir de quoi il retourne, je suis allé consulté les
articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
délicats à interpréter, du moins pour le béotien que je suis : il s'agit
des articles 323-3-1 et 323-7.

Prenons des exemples concrets : j'ai entendu dire que la protection des
accès wifi par chiffrement wep, bien que très répandue, n'est absolument
pas sûre, et que des logiciels faciles à trouver permettent de «casser»
une telle protection en quelques heures. Imaginons que je télécharge et
installe un tel logiciel, afin de l'utiliser pour vérifier son
efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?

Imaginons maintenant que je m'amuse ensuite à pratiquer la même
expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
réellement à son réseau, est-ce un délit, est-ce assimilé à une
tentative d'en commettre ? Si par contre je me connecte, même «sans rien
faire de mal chez lui», il me semble que ça devient un délit ?

Plus subtil, imaginons que j'administre un système auquel ont accès des
utilisateurs via un mot de passe, et que j'utilise mes droits
d'administrateur pour trouver leur mot de passe. Sur mon système,
celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
et que je me contente de «cracker» les mots de passe pour le simple
plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
une tentative de délit ? Variante de cette situation avec un keylogger
installé sur un pc que je possède, mais à l'insu des utilisateurs.

De façon générale, comment évaluer ce qui constitue une tentative de
délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
tantinet agressive mais ne causant aucun dommage) la sécurité d'un
réseau dont on n'est pas administrateur est répréhensible ?

Merci d'avance pour vos éclairages.

Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:

> Bonjour,
>
> Intéressé par la sécurité informatique, je m'intéresse aussi
> naturellement aux attaques existantes, donc envisage d'apprendre
> certaines techniques d'intrusion communément utilisées. Ici survient ma
> question : je ne souhaite bien sûr pas enfreindre la loi.
>
> Histoire de savoir de quoi il retourne, je suis allé consulté les
> articles adéquats du code pénal (323-1 à 323-7, à moins que d'autres ne
> m'aient échappé). Bien que certains soient limpides, d'autres m'ont paru
> délicats à interpréter, du moins pour le béotien que je suis : il s'agit
> des articles 323-3-1 et 323-7.
>
> Prenons des exemples concrets : j'ai entendu dire que la protection des
> accès wifi par chiffrement wep, bien que très répandue, n'est absolument
> pas sûre, et que des logiciels faciles à trouver permettent de «casser»
> une telle protection en quelques heures. Imaginons que je télécharge et
> installe un tel logiciel, afin de l'utiliser pour vérifier son
> efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
> wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?

Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
consciencieusement la serrure que tu as posée sur ta porte d'entrée.

> Imaginons maintenant que je m'amuse ensuite à pratiquer la même
> expérience sur le réseau wifi de mon voisin, et que j'entre ainsi en
> possession de sa clé wep. Si à aucun moment je ne l'utilise pour accéder
> réellement à son réseau, est-ce un délit, est-ce assimilé à une
> tentative d'en commettre ? Si par contre je me connecte, même «sans rien
> faire de mal chez lui», il me semble que ça devient un délit ?

Tout dépend du contexte, parce que l'introduction en soi est déjà
condamnable ; cela dépendra d'ééments d'appréciation de l'intention,
et l'usage d'un logiciel spécifiquement prévu pour cela, sur un réseau où
tu n'avais que vaire, jouera contre toi, de la même manière que bricoler
la serrure de ton voisin sans raison réelle et sérieuse peut te valoir des
ennuis.

> Plus subtil, imaginons que j'administre un système auquel ont accès des
> utilisateurs via un mot de passe, et que j'utilise mes droits
> d'administrateur pour trouver leur mot de passe. Sur mon système,
> celui-ci ne me sert à rien, mais je peux (si je suis mal intentionné)
> supposer qu'ils utilisent le même mot de passe sur d'autres systèmes et
> avoir l'intention de m'en servir. En supposant que je ne le fasse pas,
> et que je me contente de «cracker» les mots de passe pour le simple
> plaisir de savoir combien de temps ça prend, est-ce déjà assimilable à
> une tentative de délit ? Variante de cette situation avec un keylogger
> installé sur un pc que je possède, mais à l'insu des utilisateurs.

Quant au crackage des mots de passe en tant que tel, c'est un acte normal
d'administration de la sécurité quand il a lieu dans l'exercice des
fonctions de l'intéressé et dans la limite de ses droits et de ceux des
administrés.

L'emploi des mots de passe collectés pour tout autre usage que le
renforcement de la sécurité de l'organisation est en revanche proscrit, et
il sera difficile de jouer l'innocence puisque si l'on est responsable de
la sécurité informatique, on est d'autant plus au fait des lois
applicables.

> De façon générale, comment évaluer ce qui constitue une tentative de
> délit et où doit s'arrêter la curiosité ? Est-ce qu'évaluer (de façon un
> tantinet agressive mais ne causant aucun dommage) la sécurité d'un
> réseau dont on n'est pas administrateur est répréhensible ?

Un principe simple qui devrait trier pas mal de cas : toute action que tu
entreprends avec la propriété ou les données personnelles d'autrui sans
son consentement est condamnable.

Bien sûr ça ne colle pas à 100% des cas mais c'est une règle directrice
utile.

Amicalement,
--
Albert.

Albert ARIBAUD wrote:
> Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
>
>
>>
>>Prenons des exemples concrets : j'ai entendu dire que la protection des
>>accès wifi par chiffrement wep, bien que très répandue, n'est absolument
>>pas sûre, et que des logiciels faciles à trouver permettent de «casser»
>>une telle protection en quelques heures. Imaginons que je télécharge et
>>installe un tel logiciel, afin de l'utiliser pour vérifier son
>>efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
>>wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
>
>
> Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
> consciencieusement la serrure que tu as posée sur ta porte d'entrée.
>
>

Bonjour,

Je ne sais pas exactements les "coordonnées" des articles (je suis juste
informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
cracking ou autre. On a plus non plus le droit de les enseigner (c'est
génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
pouvoir expliquer les méthodes des pirates... mais bon).

Si je me souvient bien, il y a une exception : les "professionnels de
sécurité", eux, ils ont le droit... Après, je suis pas sûr.

Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
casser sa propre clef web est illégal.

Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
que le dit juge ne se prenne d'un fou rire.

Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
ça m'arrangerait beaucoup...

Amusez-vous bien

Thibaut

Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:

> Albert ARIBAUD wrote:
>> Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
>>
>>
>>>
>>>Prenons des exemples concrets : j'ai entendu dire que la protection des
>>>accès wifi par chiffrement wep, bien que très répandue, n'est absolument
>>>pas sûre, et que des logiciels faciles à trouver permettent de «casser»
>>>une telle protection en quelques heures. Imaginons que je télécharge et
>>>installe un tel logiciel, afin de l'utiliser pour vérifier son
>>>efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
>>>wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
>>
>>
>> Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
>> consciencieusement la serrure que tu as posée sur ta porte d'entrée.
>>
>>
>
> Bonjour,
>
> Je ne sais pas exactements les "coordonnées" des articles (je suis juste
> informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
> LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
> cracking ou autre. On a plus non plus le droit de les enseigner (c'est
> génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
> pouvoir expliquer les méthodes des pirates... mais bon).
>
> Si je me souvient bien, il y a une exception : les "professionnels de
> sécurité", eux, ils ont le droit... Après, je suis pas sûr.
>
> Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
> casser sa propre clef web est illégal.

Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
qualifié de légitime.

> Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
> et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
> que le dit juge ne se prenne d'un fou rire.

C'est parce que Mme Michu n'avait pas d'intention, voire pas la
compréhension du caractère illicite.

> Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
> ça m'arrangerait beaucoup...

JNSPUJEJNEJPUALT.

Amicalement,
--
Albert.

On 30 jan, 09:00, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:

> Si je me souvient bien, il y a une exception : les "professionnels de
> sécurité", eux, ils ont le droit... Après, je suis pas sûr.
>

Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
droit.

> Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
> et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
> que le dit juge ne se prenne d'un fou rire.

Exprimé ainsi, c'est le juge qui se moque de lui-même.
Parce que je n'ai jamais vu un juge condamner puis rire de cette
condamnation qu'il vient d'infliger.
Ils ne sont pas tous atteints de crétinisme, voyez-vous.
Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
bien se moquer du procureur, debout, lui réclamant une sanction
risible ?
C'est mal connaître le fonctionnement de la justice, dont le rôle est
d'appliquer le droit comme il est et non comme il devrait être.
A+

Ouimais wrote:
>
> On 30 jan, 09:00, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:
>
>
>>Si je me souvient bien, il y a une exception : les "professionnels de
>>sécurité", eux, ils ont le droit... Après, je suis pas sûr.
>>
>
>
> Ben oui, tant qu'ils sont étudiants ils n'ont pas le droit, puis
> lorsqu'ils sont devenus professionnels sans avoir étudié, ils ont le
> droit.
>

D'où la bêtise d'une telle loi ... Ça n'engage que moi, mais encore
hier, j'ai fait un TP en Master 2, spécialité "Sécu info" et
franchement, si on devait suivre la loi, on leur apprendrait limite rien
du tout. On formerai alors des experts sécu complètement incompétent et
ignorant tout du domaine de la sécu info et du piratage. (Qui a dit que
les experts sécu l'était déjà..., j'en entend rire au fond ...).

Bon, après, il y a le "motif légitime" et moi, je vois le fait de former
un expert sécu comme motif légitime à lui montrer le contenu d'une
backdoor, et autres choses interdites.

>
>>Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
>>et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
>>que le dit juge ne se prenne d'un fou rire.
>
>
> Exprimé ainsi, c'est le juge qui se moque de lui-même.
> Parce que je n'ai jamais vu un juge condamner puis rire de cette
> condamnation qu'il vient d'infliger.
> Ils ne sont pas tous atteints de crétinisme, voyez-vous.
> Alors je suppose que vous avez voulu dire que le juge, assis, pourrait
> bien se moquer du procureur, debout, lui réclamant une sanction
> risible ?
> C'est mal connaître le fonctionnement de la justice, dont le rôle est
> d'appliquer le droit comme il est et non comme il devrait être.
> A+
>

Dison, que c'était une image. Je veux dire que même si la loi interdit à
Mme Michu de détenir un truc qu'elle savait même pas qu'elle détenait,
surtout vu son niveau d'info, je pense pas qu'elle risque grand chose,
je pense justement que les juges et leurs collègues sont doué de bon sens.

Parce qu'en même temps, un virus, ça contien le code d'au moins un
exploit, plus des techniques de camouflage, ... et donc, qui que ce soit
se faisant infecté par un virus devient automatiquement dans
l'illégalité puisqu'il détient le code d'un exploit ... (Vive la Loi,
Vive la République :p)

Albert ARIBAUD wrote:
> Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:
>
>
>>Albert ARIBAUD wrote:
>>
>>>Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
>>>
>>>
>>>
>>>>Prenons des exemples concrets : j'ai entendu dire que la protection des
>>>>accès wifi par chiffrement wep, bien que très répandue, n'est absolument
>>>>pas sûre, et que des logiciels faciles à trouver permettent de «casser»
>>>>une telle protection en quelques heures. Imaginons que je télécharge et
>>>>installe un tel logiciel, afin de l'utiliser pour vérifier son
>>>>efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
>>>>wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
>>>
>>>
>>>Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
>>>consciencieusement la serrure que tu as posée sur ta porte d'entrée.
>>>
>>>
>>
>>Bonjour,
>>
>>Je ne sais pas exactements les "coordonnées" des articles (je suis juste
>>informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
>>LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
>>cracking ou autre. On a plus non plus le droit de les enseigner (c'est
>>génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
>>pouvoir expliquer les méthodes des pirates... mais bon).
>>
>>Si je me souvient bien, il y a une exception : les "professionnels de
>>sécurité", eux, ils ont le droit... Après, je suis pas sûr.
>>
>>Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
>>casser sa propre clef web est illégal.
>
>
> Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
> l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
> sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
> qualifié de légitime.
>

Justement, (puisque je suis pas juriste), comment on peut caractériser
un motif comme étant légitime ?

Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
motif légitime ?

(Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
trucs dans mon coin, je découvre des choses et je les gardes pour moi,
c'est autorisé ou pas ?)

>
>>Après, je vois mal un juge condamner Mme Michu à 300 000 euros d'amandes
>>et 5 ans de prisons parce que son petit neveu lui a filé le truc, sans
>>que le dit juge ne se prenne d'un fou rire.
>
>
> C'est parce que Mme Michu n'avait pas d'intention, voire pas la
> compréhension du caractère illicite.
>

Justement, "la compréhension du caractère illicite", j'ai entendu par un
juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
ce que vous venez de dire...

En fait, si je diffuse une documentation sur internet, parce que je la
trouve intéressante, utile, ... Pas de chance pour moi, elle est
interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
"j'était pas au courant m'sieux", ça passerait ?


>
>>Par contre, si un juriste dans l'assistance pouvait préciser mes propos,
>>ça m'arrangerait beaucoup...
>
>
> JNSPUJEJNEJPUALT.

Là par contre, ...

>
> Amicalement,

Vous de même

Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:

> Albert ARIBAUD wrote:
>> Le Tue, 30 Jan 2007 09:00:01 +0100, Thibaut Henin a écrit:
>>
>>
>>>Albert ARIBAUD wrote:
>>>
>>>>Le Tue, 30 Jan 2007 04:16:17 +0100, mpg a écrit:
>>>>
>>>>
>>>>
>>>>>Prenons des exemples concrets : j'ai entendu dire que la protection des
>>>>>accès wifi par chiffrement wep, bien que très répandue, n'est absolument
>>>>>pas sûre, et que des logiciels faciles à trouver permettent de «casser»
>>>>>une telle protection en quelques heures. Imaginons que je télécharge et
>>>>>installe un tel logiciel, afin de l'utiliser pour vérifier son
>>>>>efficacité en trouvant, par exemple, la clé wep utilisée par mon réseau
>>>>>wifi. Cela me rend-il coupable d'un délit au titre de l'article 323-3-1?
>>>>
>>>>
>>>>Autant, et pas plus, que ne te rends coupable d'effraction en fracassant
>>>>consciencieusement la serrure que tu as posée sur ta porte d'entrée.
>>>>
>>>>
>>>
>>>Bonjour,
>>>
>>>Je ne sais pas exactements les "coordonnées" des articles (je suis juste
>>>informaticien, pas juriste), mais "à ce qu'il me semble", depuis la
>>>LCEN, on a plus le droit de détenir d'outil permettant des intrusions,
>>>cracking ou autre. On a plus non plus le droit de les enseigner (c'est
>>>génial, dans une fac d'info, à Bac+, en formation "sécu info", de pas
>>>pouvoir expliquer les méthodes des pirates... mais bon).
>>>
>>>Si je me souvient bien, il y a une exception : les "professionnels de
>>>sécurité", eux, ils ont le droit... Après, je suis pas sûr.
>>>
>>>Donc, d'après la LCEN, le fait de détenir le logiciel permettant de
>>>casser sa propre clef web est illégal.
>>
>>
>> Effectivement, la LCEN a ajouté le 323-3-1 dansle code pénal, mais avec
>> l'exception du motif légitime. Or, ici, l'usage pour casser sa propre
>> sécurité (outre qu'il ne revêt pas un caractère d'intrusion etc) peut être
>> qualifié de légitime.
>>
>
> Justement, (puisque je suis pas juriste), comment on peut caractériser
> un motif comme étant légitime ?

Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
expérimenter sur la sécurité de son point d'accès peut relever, pour le
titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
a bien le contrôle dudit accès puisqu'il en est responsable.

> Ensuite, si je pirate mon propre PC, juste pour vérifier qu'il est sur
> ou pas (et donc, ce faisant, j'ai accès à ma machine par un moyen pas
> prévu par l'éditeur de l'OS), est-ce que ma curiosité et mon envie de
> vérifier que l'éditeur fait ou pas de la pub mensongère, ... est un
> motif légitime ?

A la base, la notion de "pirater son propre PC" a quelque chose de
juridiquement étrange, puisque l'on a déjà accès au système qu'on serait
accusé d'infiltrer.

Au-delà de ce point, s'introduire sur son propre PC s'analyse comme
s'introduire sur son propre réseau Wifi : ce peut être une préoccupation
légitime d'une personne soucieuse de comprendre les risques liés à sa
responsabilité.

> (Heu, la curiosité, c'est un motif légitime ? Je veux dire, je fait mes
> trucs dans mon coin, je découvre des choses et je les gardes pour moi,
> c'est autorisé ou pas ?)

C'est un domaine bien trop complexe pour répondre oui ou non. Il faut
savoir quels moyens tu utilises, quels dispositifs tu contournes, quel
objectif tu suis...

(et C'est surtout indétectable vu que gardé pour soi, donc la loi peut
condamner l'acte tant qu'elle veut, il y aura quelques difficultés à
l'appliquer.)

>>>Après, je vois mal un juge condamner Mme Michu à 300 000 euros
>>>d'amandes et 5 ans de prisons parce que son petit neveu lui a filé le
>>>truc, sans que le dit juge ne se prenne d'un fou rire.
>>
>> C'est parce que Mme Michu n'avait pas d'intention, voire pas la
>> compréhension du caractère illicite.
>>
> Justement, "la compréhension du caractère illicite", j'ai entendu par un
> juriste "nul n'est sensé ignorer la loi"... c'est en contradiction avec
> ce que vous venez de dire...

Ce n'est pas incompatible car je ne parle pas de la même chose. La
méconnaissance du caractère illicite ne rend pas caduque l'accusation,
mais le juge a tout de même une certaine latitude dans la force avec
laquelle il appliquera la loi : une Mme Michu se voyant accusée d'avoir
piraté l'accès Wifi de son voisin court le risque d'une condamnation, mais
elle a peu de chance d'en subir une aussi forte que, disons, moi, qui
viens de démontrer que je sais de quoi je parle ; en démontrant son
ignorance du domaine, elle peut atténuer la gravité de son acte. Moi, en
plaidant l'ignorance, je prendrais plein pot et en prime j'encourrais
l'outrage à magistrat.

> En fait, si je diffuse une documentation sur internet, parce que je la
> trouve intéressante, utile, ... Pas de chance pour moi, elle est
> interdite par la LCEN (mais je le sais pas). Devant le juge, dire que
> "j'était pas au courant m'sieux", ça passerait ?

Plaider l'ignorance de la loi elle-même n'éviterait pas la condamnation.
Plaider l'ignorance technique impliquant l'ignorance de l'applicabilité de
la loi à ton cas pourrait adoucir le juge, si personne ne vient lui mettre
nos échanges sous les yeux.

>>>Par contre, si un juriste dans l'assistance pouvait préciser mes
>>>propos, ça m'arrangerait beaucoup...
>>
>>
>> JNSPUJEJNEJPUALT.
>
> Là par contre, ...

Plaisanterie sur l'usuel et anglo-saxon IANAL(BIPOOT), "I am not a lawyer
(but I play one on TV)" : pour ma part, "Je ne suis pas un juriste et je
n'en joue pas un à la télé".

Amicalement,
--
Albert.

Albert ARIBAUD a écrit :

> Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
> moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
> expérimenter sur la sécurité de son point d'accès peut relever, pour le
> titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
> a bien le contrôle dudit accès puisqu'il en est responsable.
>

l'obligatoin est me semble t il non pas contractuelle mais legale.
d'ailleurs une obligation contractuelle ne constituerait certainement
pas un motif legitime au regard de la loi.

cdlt,
dwarf.

Le Thu, 01 Feb 2007 06:44:39 +0100, Dwarfpower a écrit:

> Albert ARIBAUD a écrit :
>
>> Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
>> moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
>> expérimenter sur la sécurité de son point d'accès peut relever, pour le
>> titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
>> a bien le contrôle dudit accès puisqu'il en est responsable.
>>
>
> l'obligatoin est me semble t il non pas contractuelle mais legale.

Je ne connais pas de texte de loi ou de code qui s'entende comme une
obligation légale à un internaute ; à quelle loi pensais-tu ?

> d'ailleurs une obligation contractuelle ne constituerait certainement
> pas un motif legitime au regard de la loi.

Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
obligations par une partie a donc un caractère tout à fait légitime.

Amicalement,
--
Albert.

On Feb 1, 7:45 am, Albert ARIBAUD <albert.arib...@free.fr> wrote:

> Je ne connais pas de texte de loi ou de code qui s'entende comme une
> obligation légale à un internaute ; à quelle loi pensais-tu ?
>
Toute personne possedant une connexion internet est me semble til ( a
confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
lors, la maitrise de cet acces est sa esponsabilite legale et non
contractuelle.

> > d'ailleurs une obligation contractuelle ne constituerait certainement
> > pas un motif legitime au regard de la loi.
>
> Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
> tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
> obligations par une partie a donc un caractère tout à fait légitime.
>

Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
contrat ne peux certainement pas etre considere comme une autorisation
a passer outre une autre obligation, a fortiori legale.

dwarf.

Albert ARIBAUD wrote:
> Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:
>>
>>Justement, (puisque je suis pas juriste), comment on peut caractériser
>>un motif comme étant légitime ?
>
>
> Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
> moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
> expérimenter sur la sécurité de son point d'accès peut relever, pour le
> titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
> a bien le contrôle dudit accès puisqu'il en est responsable.
>
>

En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit

« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un
instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés pour commettre une ou plusieurs des infractions
prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus
sévèrement réprimée. »

Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
par la sécu et autres, j'ai donné un cours dans une formations là
dessus... à côté, j'aimerais faire un site web avec de la doc
informatique sur la sécu... Le problème, c'est que cette loi interdit
bien de diffuser des exploits, mais à partir de où les choses sont
interdites ?

Parce que publier un tuto sur le C, c'est publier une documentation
particulièrement adaptée à la compréhension des exploits codés par les
pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
une documentation parfaitement adaptée pour pouvoir commetre les
infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
pas corriger les erreurs volontaires laissées dans les exploits).

Publier les normes et les RFC relatives au réseau, c'est une
documentations parfaitement adaptées pour trouver ensuite les failles et
les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
je vois pas en quoi la RFC devrait ne pas être diffusée...

J'aimerais bien aussi, dans mon site, donner des exemple de
cryptosystèmes et proposer des challenges pour les casser... Or, les
résultats des challenges sont justement des programmes qui seraient
adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
un code, on peut pas savoir quand un code est efficace !

En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
"tenter et on verra une fois devant le juge". C'est dommage, parce
qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
avancera jamais.

C'est pour ça que j'aimerais savoir où on en est là dessus ...

Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
la jurisprudence)

Le Thu, 01 Feb 2007 02:18:37 -0800, dwarfpower a écrit:

> On Feb 1, 7:45 am, Albert ARIBAUD <albert.arib...@free.fr> wrote:
>
>> Je ne connais pas de texte de loi ou de code qui s'entende comme une
>> obligation légale à un internaute ; à quelle loi pensais-tu ?
>>
> Toute personne possedant une connexion internet est me semble til ( a
> confirmer , soruce ? ) responsable de l'usage qui en est fait. Dès
> lors, la maitrise de cet acces est sa esponsabilite legale et non
> contractuelle.

Justement, c'est la source qui m'intéresse. Dans le cadre de la question
posée dans ce fil, à savoir "un particulier utilisant un point Wifi pour
son accès au Net est-il légalement tenu d'en vérifier la bonne sécurité
?", je ne connais aucun texte de loi qui dispose que oui, il y a une telle
obligation.

>> > d'ailleurs une obligation contractuelle ne constituerait certainement
>> > pas un motif legitime au regard de la loi.
>>
>> Bien sûr que si : au titre de l'article 1134 du Code Civil, le contrat
>> tient lieu de loi pour ceux qui s'y obligent ; le respect de ses
>> obligations par une partie a donc un caractère tout à fait légitime.
>
> Certes, mais le contrat n'est pas opposable aux tiers a celui ci. un
> contrat ne peux certainement pas etre considere comme une autorisation
> a passer outre une autre obligation, a fortiori legale.

Il me semble que tu ne te places pas dans le même cadre que Thibaut et moi.

Dans le cadre de ce fil, il n'est pas question d'un tiers dans
l'interrogation de Thibaut, qui veut seulement savoir si un particulier
peut avoir un motif légitime à "casser" son propre accès au Net ; ma
réponse ne considère donc que le particulier et son fournisseur d'accès
éventuellement.

Amicalement,
--
Albert.

Le Thu, 01 Feb 2007 12:50:21 +0100, Thibaut Henin a écrit:

> Albert ARIBAUD wrote:
>> Le Wed, 31 Jan 2007 13:16:35 +0100, Thibaut Henin a écrit:
>>>
>>>Justement, (puisque je suis pas juriste), comment on peut caractériser
>>>un motif comme étant légitime ?
>>
>>
>> Par exemple en démontrant qu'il n'entre pas de le cadre de l'esprit de la
>> moi et qu'il répond à une autre obligation légale ou contractuelle. Ici,
>> expérimenter sur la sécurité de son point d'accès peut relever, pour le
>> titulaire d'un accès, de l'obligation contractuelle de s'assurer qu'il
>> a bien le contrôle dudit accès puisqu'il en est responsable.
>>
>>
>
> En fait, ce qui me chiffone, c'est à propos du 323-3-1 qui dit
>
> « Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
> d'offrir, de céder ou de mettre à disposition un équipement, un
> instrument, un programme informatique ou toute donnée conçus ou
> spécialement adaptés pour commettre une ou plusieurs des infractions
> prévues par les articles 323-1 à 323-3 est puni des peines prévues
> respectivement pour l'infraction elle-même ou pour l'infraction la plus
> sévèrement réprimée. »
>
> Ce qui me chiffone, c'est le "motif légitime", le "données" et le "conçu
> ou spécialement adaptés" ... Je suis informaticien, je suis intéressé
> par la sécu et autres, j'ai donné un cours dans une formations là
> dessus... à côté, j'aimerais faire un site web avec de la doc
> informatique sur la sécu... Le problème, c'est que cette loi interdit
> bien de diffuser des exploits, mais à partir de où les choses sont
> interdites ?

La loi ne le précise pas, justement pour que l'appréciation soit faite au
cas par cas, de façon à laisser au juge toute latitude d'apprécier les
faits selon le contexte.

> Parce que publier un tuto sur le C, c'est publier une documentation
> particulièrement adaptée à la compréhension des exploits codés par les
> pirates (qui sont d'ailleurs facilement trouvé avec google). C'est donc
> une documentation parfaitement adaptée pour pouvoir commetre les
> infractions des articles 323-1 et Cie (puisque sans cette doc, on peut
> pas corriger les erreurs volontaires laissées dans les exploits).

Mais un tutoriel sur le C n'a pas le caractère "conçu ou spécialement
adapté" requis par le 323-3-1 : la grande majorité des applications du
langage C démontrent qu'il n'est pas conçu en vue de commettre les
infractions décrites aux 323-1 à 323-3.

> Publier les normes et les RFC relatives au réseau, c'est une
> documentations parfaitement adaptées pour trouver ensuite les failles et
> les expoiter... (cf celles sur TCP/IP en // avec celle du DNS) pourtant,
> je vois pas en quoi la RFC devrait ne pas être diffusée...

Idem : l'objectif premier et l'écrasante majorité des applications des RFC
démontrent que ces dernières n'ont pas été conçues ou spécialement
adaptées pour commettre des infractions. On peut même, au contraire,
démontrer que ces RFC se sont vu incorporer des modifications destinées à
lutter contre de telles infractions, et qu'il existe même des RFC
consacrées à une telle lutte.

> J'aimerais bien aussi, dans mon site, donner des exemple de
> cryptosystèmes et proposer des challenges pour les casser... Or, les
> résultats des challenges sont justement des programmes qui seraient
> adaptés pour casser des codes ... Pourtant, sans savoir comment on casse
> un code, on peut pas savoir quand un code est efficace !

Note : proposer un défi n'est pas interdit par le 323-3-1 ; c'est la
proposition d'une solution au défi, si elle est publique, qui peut
l'être.

Par ailleurs, pour peu que les défis portent sur des cryptosystèmes
d'exercice sans doute pas mal simplifiés par rapport à l'état de l'art (ce
qui est bien le cas je suppose, puisque ton projet n'est pas de former des
experts mondiaux en crypto), et non sur des cryptosystèmes en utilisation
réelle, il n'y aura aucun risque pratique d'autant que cela s'inscrit dans
le cadre d'un site visant à former les gens à la crypto, domaine dans
lequel la notion d'attaque est intrinsèquement présente et *doit* être
étudiée.

> En l'état, j'en suis à avoir le choix entre "ne rien publier du tout" ou
> "tenter et on verra une fois devant le juge". C'est dommage, parce
> qu'avec ce genre de chose, limite, on publie plus rien et la sécu, elle
> avancera jamais.

Ah, tu as remarqué, toi aussi ? Le plus, disons, amusant est que le
323-3-1 n'est rien comparé aux dispositions analogues de DADVSI.

> C'est pour ça que j'aimerais savoir où on en est là dessus ...
>
> Thibaut (qui, après avoir farfouillé la LCEN, la DADVSI, va farfouiller
> la jurisprudence)

Bof... Tu ne risques pas grand chose en reprenant le matériel couramment
enseigné dans les filières informatiques ; les affaires que tu trouveras
porteront sur des cas d'intrusion réels -- qu'ils soient avérés ou pas --
et pas sur de la (re)diffusion d'information publiquement disponibles.

Cela dit, un exemple non de jurisprudence mais d'analyse du 323-3-1 se
trouve dans un des commentaires du bilet que voici :

<http://maitre.eolas.free.fr/journal/index.php?2005/03/08/87-guillermito-condamne-mais-tres-legerement>

.... en gros, la publication spontanée d'informations ("full disclosure")
sur une faille n'est pas, en soi, un acte tombant sous le coup du 323-3-1
car ce dernier définit, en fait, un acte de complicité d'un délit
informatique. Sans délit, pas de complicité ; si tes actions ne tombent
pas sous le coup des 323-1 à 323-3, il est difficile de leur appliquer le
323-3-1 en "autonome".

Amicalement,
--
Albert.

Albert ARIBAUD a écrit :
>Justement, c'est la source qui m'intéresse. Dans le cadre de la question
>posée dans ce fil, à savoir "un particulier utilisant un point Wifi pour
>son accès au Net est-il légalement tenu d'en vérifier la bonne sécurité
?", je ne connais aucun texte de loi qui dispose que oui, il y a une >telle
>obligation.
Je cite ce que j'ai rapidement trouve sur le sujet qui correspond a ce
quej' avais en memoire. je ne savais plus si s'etait la LCEN, la loi
anti terririste ou DADVSI, c'est semble t il cette derniere puyisque CPI:

Le nouvel article L. 335-12 du CPI prévoit que « le titulaire d’un accès
à des
services de communication au public en ligne doit veiller à ce que cet
accès
ne soit pas utilisé à des fins de reproduction ou de représentation
d’oeuvres
de l’esprit sans l’autorisation des titulaires des droits », en
mettant en
œuvre les moyens de sécurisation qui doivent être fournis par les FAI
professionnels
aux termes de la LCEN (loi n° 2004-575 du 21 juin 2004 pour la
confiance dans
l’économie numérique)

> Dans le cadre de ce fil, il n'est pas question d'un tiers dans
> l'interrogation de Thibaut, qui veut seulement savoir si un particulier
> peut avoir un motif légitime à "casser" son propre accès au Net ; ma
> réponse ne considère donc que le particulier et son fournisseur d'accès
> éventuellement.
>

Un contrat entre le particulier et son fournisseur d'acces ne peut
permettre a aucune des partie de violer la loi. Si celle ci interdit de
posseder un moyen de penetrer un systeme cela reste interdit,
independemment de tout contrat.

Dwarfpower wrote:
> Albert ARIBAUD a écrit :
>> Dans le cadre de ce fil, il n'est pas question d'un tiers dans
>> l'interrogation de Thibaut, qui veut seulement savoir si un particulier
>> peut avoir un motif légitime à "casser" son propre accès au Net ; ma
>> réponse ne considère donc que le particulier et son fournisseur d'accès
>> éventuellement.
>>
>
> Un contrat entre le particulier et son fournisseur d'acces ne peut
> permettre a aucune des partie de violer la loi. Si celle ci interdit de
> posseder un moyen de penetrer un systeme cela reste interdit,
> independemment de tout contrat.

Oui, mais la loi permet de détenir de tels outils si on a un "motif
légitime". L'accès est interdit s'il est "frauduleux". Dans notre cas,
casser sa propre connection wifi (qui serait par exemple gérée par la
magic-box de notre FAI) n'est pas frauduleux puisqu'on s'est nous-même
autorisé à le faire. Le motif légitime étant ici de vérifier par
soi-même que le wifi est sur (ou pas), pour justement éviter d'être
piraté par le voisin ...

C'est tout le débat, ici, de déterminer QUAND il y a motif légitime ou
pas... pour moi, c'est trop flou, je m'autoriserais limite tout parce
que ...
1. Je suis curieux et informaticien
2. Je ne crois pas les arguments des vendeurs (qui y connaissent moin
que moi), je veux donc vérifier
3. Je suis méfiant quand à la sécu d'un système que je ne maitrise pas
complètement.

Thibaut

On Feb 2, 9:31 am, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:
> Oui, mais la loi permet de détenir de tels outils si on a un "motif
> légitime". L'accès est interdit s'il est "frauduleux". Dans notre cas,
> casser sa propre connection wifi (qui serait par exemple gérée par la
> magic-box de notre FAI) n'est pas frauduleux puisqu'on s'est nous-même
> autorisé à le faire. Le motif légitime étant ici de vérifier par
> soi-même que le wifi est sur (ou pas), pour justement éviter d'être
> piraté par le voisin ...
>
> C'est tout le débat, ici, de déterminer QUAND il y a motif légitimeou
> pas... pour moi, c'est trop flou, je m'autoriserais limite tout parce
> que ...
> 1. Je suis curieux et informaticien
> 2. Je ne crois pas les arguments des vendeurs (qui y connaissent moin
> que moi), je veux donc vérifier
> 3. Je suis méfiant quand à la sécu d'un système que je ne maitrise pas
> complètement.
>

Deux choses peuvent être discutées, l'aspect légal et l'aspect
pratique. dans la pratique vous pouvez le faire parce que cette
activité n'aura aucune conséquence légale.

Pour l'aspect légale, je faisait juste remarque qu'une clause
contractuelle ne pouvait constituer une clause légitime. Par contre
comme je l'ai mentionné, le fait que vous êtes tenu responsable de
tout usage fait de votre abonnement internet peut en constituer une.
Il faut cependant faire attention, car les techniques que vous allez
utiliser peuvent aussi vous faire tomber sur le coup des mesures
prises par DADVSI sur la protection juridique apportée aux mesures
technique de protection. le CPI je reconnait pas la notion de motif
légitime, par contre les interdiction qui y sont définies ont un cadre
plus restreint.

dwarf.

Le Fri, 02 Feb 2007 00:59:29 -0800, dwarfpower a écrit:

> On Feb 2, 9:31 am, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:
>> Oui, mais la loi permet de détenir de tels outils si on a un "motif
>> légitime". L'accès est interdit s'il est "frauduleux". Dans notre cas,
>> casser sa propre connection wifi (qui serait par exemple gérée par la
>> magic-box de notre FAI) n'est pas frauduleux puisqu'on s'est nous-même
>> autorisé à le faire. Le motif légitime étant ici de vérifier par
>> soi-même que le wifi est sur (ou pas), pour justement éviter d'être
>> piraté par le voisin ...
>>
>> C'est tout le débat, ici, de déterminer QUAND il y a motif légitime ou
>> pas... pour moi, c'est trop flou, je m'autoriserais limite tout parce
>> que ...
>> 1. Je suis curieux et informaticien
>> 2. Je ne crois pas les arguments des vendeurs (qui y connaissent moin
>> que moi), je veux donc vérifier
>> 3. Je suis méfiant quand à la sécu d'un système que je ne maitrise pas
>> complètement.
>>
>
> Deux choses peuvent être discutées, l'aspect légal et l'aspect
> pratique. dans la pratique vous pouvez le faire parce que cette
> activité n'aura aucune conséquence légale.
>
> Pour l'aspect légale, je faisait juste remarque qu'une clause
> contractuelle ne pouvait constituer une clause légitime.

Pour les contractants, si, elle a valeur légale ; et par conséquent les
actions entreprises pour respecter cette clause sont parfaitement
légitimes.

> Par contre
> comme je l'ai mentionné, le fait que vous êtes tenu responsable de
> tout usage fait de votre abonnement internet peut en constituer une.

C'est précisément une clause contractuelle, ça.

> Il faut cependant faire attention, car les techniques que vous allez
> utiliser peuvent aussi vous faire tomber sur le coup des mesures
> prises par DADVSI sur la protection juridique apportée aux mesures
> technique de protection.

Toutafé.

> le CPI je reconnait pas la notion de motif
> légitime, par contre les interdiction qui y sont définies ont un cadre
> plus restreint.

Hmpf... Je ne dirais pas que les interdictions du CPI sont restreintes,
puisque le CPI pose en a priori que tout usage d'une oeuvre est interdit
sauf les exceptions du L.122-5, lesquelles en pratique sont réduites à la
copie privée réservée à l'usage exclusif du copiste et sous réserve
qu'elle ne porte pas atteinte aux intérêts de l'ayant droit ; et que
le contournement d'une MTP est interdit même dans l'exercice d'une
exception légitime comme la copie privée (les mauvaises langues auront
remplacé "même" par "surtout" d'elles-mêmes).

Plus large que ça, comme interdiction, c'est difficile ; même la toute
fumante interdiction portant sur le tabac laisse -- pour l'instant --
le fumeur libre de fumer chez lui.

Amicalement,
--
Albert.

Albert ARIBAUD wrote:
> Le Fri, 02 Feb 2007 00:59:29 -0800, dwarfpower a écrit:
>
>
>>On Feb 2, 9:31 am, Thibaut Henin <Thibaut.He...@irisa.fr> wrote:
>>Il faut cependant faire attention, car les techniques que vous allez
>>utiliser peuvent aussi vous faire tomber sur le coup des mesures
>>prises par DADVSI sur la protection juridique apportée aux mesures
>>technique de protection.
>
>
> Toutafé.
>

Justement, dans la DADVSI, ils parlent de "mesure technique efficace"
(art L 331-5, sauf qu'il y a pas de verbe dans la première phrase ...)
et spécifient ce qu'ils entendent par efficace : "Les MTP sont réputées
efficaces lorsqu'une utilisation [...] est contrôlée par les titulaires
de droits grace à l'application [d'une technique] qui atteint cet
objectif de protection".

Mais en même temps, une fois qu'on a un système sans réseau et sans
gestion des MTP (ou justement, elles sont cassées), la MTP devient
d'elle-même inéficace... et donc, on peut ne plus la respecter... Et
comme toute MTP peut être contournée, elles n'atteignent pas leurs
objectifs de protection.... partant de là, aucune MTP n'est efficace et
donc valide ...

(c'est encore flou pour moi, faudra que je repasse un peu là dessus).

Pour la DADVSI, j'ai surtout noté qu'un fournisseur d'accès doit mettre
en oeuvre des moyens pour empecher la copie pirate... Je trouve ça
abérant, parce que pour empecher la copie pirate, le seul moyen, c'est
de couper l'accès... (parce qu'on peut toujours faire passer n'importe
quoi par le port 443 (celui du web chiffré) et pour controler ça ...).

Bref, pour la DADVSI, plus je la lis, plus je la trouve inapplicable et
incohérente.

Genre, pour les MTP qui doivent être déposée chez un organisme (pour
qu'on puisse les connaîtres et "favoriser l'interropérabilité"). Mais si
on demande l'API de la MTP (pour interropérabilité), l'auteur peut
refuser s'il juge que donner l'API va rendre sa MTP inéficace... En
gros, l'organisme, il sert à rien parce que les auteurs peuvent très
bien ne jamais rien diffuser ...

Enfin, c'est pas non plus le débat ici ...


>
>>le CPI je reconnait pas la notion de motif
>>légitime, par contre les interdiction qui y sont définies ont un cadre
>>plus restreint.
>
>
> Hmpf... Je ne dirais pas que les interdictions du CPI sont restreintes,
> puisque le CPI pose en a priori que tout usage d'une oeuvre est interdit
> sauf les exceptions du L.122-5, lesquelles en pratique sont réduites à la
> copie privée réservée à l'usage exclusif du copiste et sous réserve
> qu'elle ne porte pas atteinte aux intérêts de l'ayant droit ; et que
> le contournement d'une MTP est interdit même dans l'exercice d'une
> exception légitime comme la copie privée (les mauvaises langues auront
> remplacé "même" par "surtout" d'elles-mêmes).
>
> Plus large que ça, comme interdiction, c'est difficile ; même la toute
> fumante interdiction portant sur le tabac laisse -- pour l'instant --
> le fumeur libre de fumer chez lui.
>

Tient, et des mesures techniques d'interdictions de fumer ? Et en
partant de là, des mesures techniques de respect de la loi... genre un
émmeteur GPS dans le cerveau qui envoie une décharge électrique quand on
fait une infraction ...

(oups, faut pas en parler trop, ça va donner des idées à nos politiciens...)

> Amicalement,