risques encourus avec ce message ?

Le problème exposé dans ce sujet a été résolu.

Bonjour à tous,

Nous avons, tsunami33 et moi, découvert une faille de sécurité sur une solution web (qui se trouve être largement diffusée) d'une entreprise. (et il ne s'agit pas de la petite PME du coin)

Nous voudrions leur envoyer ce message :

Bonjour,

nous avons trouvé une faille de sécurité majeure dans votre solution [nom de la solution].

N'étant pas dénués de morale, nous préférons vous contacter par mail pour ne pas ébruiter le problème.

Nous supposons que cette faille permettrait d'observer et de modifier toutes les données du système (y compris mots de passe des utilisateurs, etc…)

En tant qu'étudiants en manque d'argent, nous voudrions vous vendre cette faille. Nous avons pensé que 2000 euros étaient honnêtes vu la porté de cette faille, mais nous sommes ouverts à toute discussion. Qu'en pensez vous ?

Bien sûr, en cas de refus de votre part, nous promettons de ne pas utiliser ou divulguer la faille.

Nous sommes à votre disposition pour vous faire une démonstration, si vous mettez [un exemplaire de la solution] à notre disposition. Cette démonstration peut se faire à distance ou dans votre entreprise (ou chez nous, mais à vos risques et périls, on a pas fait le ménage récemment dans l'appart)

Bien à vous,

[signature avec nos noms réels et nos coordonnées]

Question : est ce qu'on prend des risques juridiques, selon vous ? ("intrusion dans un système informatisé de données" ? Menaces ou chantage ?)

+1 -1

Je n'ai rien trouvé là dessus concernant les risques juridiques.

Personnellement je le signalerais à la personne qui pourra corriger la faille. Je ne pense pas que ce soit interdit de tenter une intrusion dans un système informatisé, ne serait-ce que vous vérifier la qualité des services qu'on utilise, tant que la faille n'est pas exploitée pour nuire ou tirer profit.

S'il s’avérait que cela soit interdit, ce qui serait idiot, alors je te conseil de ne pas l'ébruiter pour ne pas que ça te retombe dessus. Jusqu'au jour ou cette faille sera exploité par quelqu'un d'autre que toi.

Je te l'accorde, la deuxième solution ne résout pas le problème, elle te protègerait simplement, en faisant prospérer le problème. C'est ce qui me fait dire qu'il ne doit pas exister de telles risques à signaler une faille. Et il est bien plus raisonnable d'en avertir le développeur.

Je ne pense pas que ce soit interdit de tenter une intrusion dans un système informatisé, ne serait-ce que vous vérifier la qualité des services qu'on utilise, tant que la faille n'est pas exploitée pour nuire ou tirer profit.

Davidlouiz

Malheureusement, ce n'est pas vrai…

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

legifrance.gouv.fr

Ça calme.

Pour qu'un accès soit considéré comme "frauduleux", la personne doit avoir connaissance que ce qu'elle est en train de faire n’est pas normal ou est illégal. (sachant que je rappelle que nul n'est censé ignorer la loi :p )

Lorsque un webmaster a gentiment averti tati.fr de failles de sécurités énorme sur leur site....bah tati a porté plainte contre eux…et à gagné. Bon, finalement, tati a perdu en appel, mais avec un verdict qui serai contestable juridiquement (aux yeux des textes de loi, Ils auraient du être condamnés ).

D'après ce que je lis sur internet, la mentalité actuelle de la loi, c'est en gros "c'est pas parce que tu as pas fermé ta voiture à clé que les gens sont autorisés à tenter de l'utiliser". ce qui donne, en version informatique "c'est pas parce qu'on a une qualité de service qui est mauvaise que tu es autorisé à tester l'accès à notre base de donnée".

D’où notre question :p

+3 -0

La loi est ultra floue sur ce genre de sujets je trouve. Il n'y a qu'à voir les histoires sur Bluetouff… C'est ce qui me fait penser que l'issue d'un procès dans ce cas est laissée à l'avis personnel du juge sur la question, ce qui est franchement pas top…

+0 -0

la loi t’empêche d'informer de la présence de cette faille, laisse la exister.

Davidlouiz

La loi n'empêche pas d'informer la présence de la faille, mais simplement de l'exploiter, c'est à dire récupérer des informations ou/et modifier ces informations. D'ou l'idée de mettre a disposition [un exemplaire de la solution] auquel ils auraient tout les droits pour montrer qu'il y a une faille, dans la légalité.

+0 -0

La loi n'empêche pas d'informer la présence de la faille, mais simplement de l'exploiter

uriopass

Lorsque un webmaster a gentiment averti tati.fr de failles de sécurités énorme sur leur site....bah tati a porté plainte contre eux…et à gagné.

gusfl

Je ne me suis pas renseigné plus que ça, mais cette affaire a l'air risquée. Tiens nous au courant. ;-)

Juste par curiosité, c'est quoi comme site ? Un CMS connu, un site de banque, un réseau social… ?

Alors, de mon point de vue :

  1. S'il y a quelqu'un à qui diffuser la faille, c'est l'éditeur du logiciel. S'ils font les choses bien, y'a une solution pour leur signaler ça sur leur site.
  2. Ceci s'apparente à du chantage de l'extorsion et est donc à proscrire absolument :

En tant qu'étudiants en manque d'argent, nous voudrions vous vendre cette faille. Nous avons pensé que 2000 euros étaient honnêtes vu la porté de cette faille, mais nous sommes ouverts à toute discussion. Qu'en pensez vous ?

Quoiqu'il en soit, mes collègues au-dessus on raison : il y a eu suffisamment de problèmes à donner des failles dans des logiciels pour éviter de trop jouer avec ça.

Si l'éditeur ne prévoit aucun moyen de remonter les failles, peut-être que contacter une entreprise spécialisée en sécurité informatique sera plus intéressant ?

Bon, il y a deux choses.

Tout d'abord, la découverte de la faille. Si vous n'avez pas cherché la faille, si vous l'avez simplement découverte par hasard (et qu'il n'y a aucun doute sur le fait que la découverte peut être fortuite), vous ne risquez rien aux yeux de la loi. Surtout avec votre formulation assez neutre qui laisse à penser que vous n'avez pas exploré plus que ça les conséquences de la faille. C'est ce qu'il s'est passé avec l'affaire Bluetouff : il a découvert la faille par hasard, mais ensuite il s'est promené et il a fait son marché, d'où « maintien » frauduleux dans le système informatique. Si l'entrée est faite à son corps défendant et que l'on s'en va immédiatement, le délit n'est pas qualifié.

Ensuite, la demande de rémunération. J'ai bien peur (même si je n'ai pas d'exemple concret sous la main) que cela tombe sous le coup du délit d'extorsion. 7 ans de prison et cent mille euros d'amende, pour information. Et si les magistrats sont de mauvais poil, dans la mesure ou vous êtes deux, vous risquez même l'extorsion en bande organisée (20 ans de prison et 150 mille euros d'amende). Alors ne jouez pas aux cons. Contentez-vous de dire que vous êtes de pauvres étudiants, et qu'une gratification pécuniaire serait appréciée.

+5 -0

Clairement, j'appelle ça de l'extorsion. Une manière honnête de le faire serait de documenter la faille, et ensuite, à la fin du message, demander une récompense. C'est sur qu'avec ma méthode, les chances d'obtenir quelque chose doivent avoisiner les 10%, mais c'est le seul moyen à mon sens d'établir une relation de confiance, indispensable pour collaborer en sécurité informatique.

BTW, je serait le gestionnaire du site en recevant votre mail, je chargerai mon service juridique de vous faire un beau mail qui fait bien peur. Vous etes etudiants, vous voudrez pas de proces. Vous faire peur suffira d'autant que la tentative d'extorsion sera totalement contre vous.

Si l'éditeur ne prévoit aucun moyen de remonter les failles, peut-être que contacter une entreprise spécialisée en sécurité informatique sera plus intéressant ?

SpaceFox

Vous pouvez tenter via zataz qui est plus ou moins spécialisé dans ce domaine. Ca aura peut-être plus de poids que deux étudiants qui remontent un faille à un groupe (qui risque donc de rester sans réponse de la part du service IT).

Malheureusement ça arrive souvent aussi que les personnes qui recevront votre message le prennent mal et vous envoient bouler (on a un gros égo dans ce domaine).

Clairement, j'appelle ça de l'extorsion. Une manière honnête de le faire serait de documenter la faille, et ensuite, à la fin du message, demander une récompense. C'est sur qu'avec ma méthode, les chances d'obtenir quelque chose doivent avoisiner les 10%, mais c'est le seul moyen à mon sens d'établir une relation de confiance, indispensable pour collaborer en sécurité informatique.

Natalya

Exact, mince on avais pas pensé au délit d'extorsion.... On va tourner le mail autrement (même si les chances d'être rémunérés viennent soudainement de devenir négatives :s )

BTW, je serait le gestionnaire du site en recevant votre mail, je chargerai mon service juridique de vous faire un beau mail qui fait bien peur. Vous etes etudiants, vous voudrez pas de proces. Vous faire peur suffira d'autant que la tentative d'extorsion sera totalement contre vous.

Kje

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

je ne veux surtout pas en arriver la. Mais on en arrive vraiment la, a un procès et tout…bah ils sont pas les seuls a avoir des menaces en poche quoi

(bon, a partir de la la question de illégal ou pas se pose plus, bien sur… )

Cette entreprise à de nombreux clients, dont des services publics, et elle a objectivement un niveau de sécurité a avoir.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Bon, après, je te l'accord, ce n'est pas l'idée du siècle… :p On va essayer de tourner le mail de manière à ne pas avoir de délit d'extorsion quand même, ca serai mieux

éventuellement on peux aussi contacter zataz au cas ou(tu en penses quoi tsu?), en cas de risque de procès, c'est plus sur. Mais le problème, c'est que dans ce cas ils vont faire un article (même sans expliquer techniquement la faille), et on va se mettre l'entreprise a dos des le premier contact…Pas l'idée du siècle non plus.

+2 -11

Je ne comprends pas. J'ai l'impression en te lisant que ton but final ça reste quand même de défoncer l'entreprise en question.

SpaceFox

Pardon? pas du tout ! J'ai juste voulu dire : si ils montrent les crocs, on peux montrer les nôtres nous aussi. Mais en sois on désire juste les prévenir. On désire juste pas se prendre une plainte parce qu'on les a prévenu…

Désolé, mon message étais probablement mal tourné. Je le modifierai tout a l'heure

Ha ok donc tu t'en fout d'aller en taule si tu coule une boite au passage. Parce que tu sors les données, ou met publiquement le moyen de le faire, là tu va largement sortir du cadre.

Déjà si tu va en justice, tu va etre obligé de révélé la faille, par la justice. La révéler publiquement ne fera qu'enfoncer ton cas.

BTW, je te donne un avis de l'extérieur. L'entreprise ne te connais pas. Moi je te dis comment je réagirai, à savoir que deux étudiants pensent vouloir profiter d'une faille pour soutirer de la tune et qu'il est tres probable qu'ils ne voudront pas aller en justice. Le fait que toi tu pense etre capable de le faire, c'est autre chose.

Mais je ne suis pas surs que tu mesure l'implication d'une attaque de la part de la boite.

Mon idée de contacter Zataz était plus pour que eux prennent le relais et entreprennent les démarches de contact. Ils auront plus de poids vis-à-vis d'une société pour les mettre en gardes que vous. Généralement quand ils font un article, c'est pas sur le vif, l'entreprise est contactée, et elle donne ou non son accord (notamment pour citer la victime).

+1 SpaceFox (avec une nuance sur le défoncer/extorquer)

C'est à ce genre de passage que je pense :

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Qui me font penser 2 choses :

  1. Les énormes scandales de fuites de données n'ont pas coulé les entreprises qui ont été touchées (sinon ça ferait longtemps que Sony n'existerait plus, pour commencer).
  2. Dans l'éventualité d'un procès (puisque c'est bien de ça qu'on parle), que va penser le juge qui tombe sur ces messages ?

Kje :

je ne veux surtout pas en arriver la. Mais on en arrive vraiment la, a un procès et tout…bah ils sont pas les seuls a avoir des menaces en poche quoi

gusfl

Tout le pavé ci dessus était "au cas ou ils nous attaquent juridiquement". Mais on en arrivera jamais la normalement

+1 SpaceFox ;) tu as raison

J'ai bien compris que, si la faille est valide, tu as des moyens de pressions. C'est l'idée d'envisager de s'en servir qui me choc. Déjà, comme SF, je doute que vous puissiez couler une boite pour ça, mais dans tous les cas ça ne ferait qu’aggraver votre cas.

Si tu met publiquement ce genre d'info, c'est pas forcément la boite que tu vas faire exploser, c'est ton amende et ton temps passé en prison. Cette réaction agressive me semble beaucoup trop risqué, pour toi personnellement, pour en valoir le coup.

Mais bon j'en revient au point de départ : avec ce genre de mail, une des réactions probable de la boite sera de vouloir vous faire peur.

Personnellement je pense comme Natalya que le plus surs serait de leur détailler tout et de demander a la fin un éventuel remerciement. Tout le reste ressemblera à de l'extorsion et sera plus dangereux. Car si ils vous croient (car bon là il n'y a rien qui prouve dans votre message que vous avez effectivement trouvé une faille, juste que vous le pensez), ils peuvent aussi demander à la justice de vous forcer à le révéler sans que ça s'ébruite.

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte