risques encourus avec ce message ?

Bonjour à tous,

Nous avons, tsunami33 et moi, découvert une faille de sécurité sur une solution web (qui se trouve être largement diffusée) d'une entreprise. (et il ne s'agit pas de la petite PME du coin)

Nous voudrions leur envoyer ce message :

Bonjour,

nous avons trouvé une faille de sécurité majeure dans votre solution [nom de la solution].

N'étant pas dénués de morale, nous préférons vous contacter par mail pour ne pas ébruiter le problème.

Nous supposons que cette faille permettrait d'observer et de modifier toutes les données du système (y compris mots de passe des utilisateurs, etc…)

En tant qu'étudiants en manque d'argent, nous voudrions vous vendre cette faille. Nous avons pensé que 2000 euros étaient honnêtes vu la porté de cette faille, mais nous sommes ouverts à toute discussion. Qu'en pensez vous ?

Bien sûr, en cas de refus de votre part, nous promettons de ne pas utiliser ou divulguer la faille.

Nous sommes à votre disposition pour vous faire une démonstration, si vous mettez [un exemplaire de la solution] à notre disposition. Cette démonstration peut se faire à distance ou dans votre entreprise (ou chez nous, mais à vos risques et périls, on a pas fait le ménage récemment dans l'appart)

Bien à vous,

[signature avec nos noms réels et nos coordonnées]

Question : est ce qu'on prend des risques juridiques, selon vous ? ("intrusion dans un système informatisé de données" ? Menaces ou chantage ?)

Je n'ai rien trouvé là dessus concernant les risques juridiques.

Personnellement je le signalerais à la personne qui pourra corriger la faille. Je ne pense pas que ce soit interdit de tenter une intrusion dans un système informatisé, ne serait-ce que vous vérifier la qualité des services qu'on utilise, tant que la faille n'est pas exploitée pour nuire ou tirer profit.

S'il s’avérait que cela soit interdit, ce qui serait idiot, alors je te conseil de ne pas l'ébruiter pour ne pas que ça te retombe dessus. Jusqu'au jour ou cette faille sera exploité par quelqu'un d'autre que toi.

Je te l'accorde, la deuxième solution ne résout pas le problème, elle te protègerait simplement, en faisant prospérer le problème. C'est ce qui me fait dire qu'il ne doit pas exister de telles risques à signaler une faille. Et il est bien plus raisonnable d'en avertir le développeur.

Malheureusement, ce n'est pas vrai…

Ça calme.

Pour qu'un accès soit considéré comme "frauduleux", la personne doit avoir connaissance que ce qu'elle est en train de faire n’est pas normal ou est illégal. (sachant que je rappelle que nul n'est censé ignorer la loi )

Lorsque un webmaster a gentiment averti tati.fr de failles de sécurités énorme sur leur site....bah tati a porté plainte contre eux…et à gagné. Bon, finalement, tati a perdu en appel, mais avec un verdict qui serai contestable juridiquement (aux yeux des textes de loi, Ils auraient du être condamnés ).

D'après ce que je lis sur internet, la mentalité actuelle de la loi, c'est en gros "c'est pas parce que tu as pas fermé ta voiture à clé que les gens sont autorisés à tenter de l'utiliser". ce qui donne, en version informatique "c'est pas parce qu'on a une qualité de service qui est mauvaise que tu es autorisé à tester l'accès à notre base de donnée".

D’où notre question

La loi est ultra floue sur ce genre de sujets je trouve. Il n'y a qu'à voir les histoires sur Bluetouff… C'est ce qui me fait penser que l'issue d'un procès dans ce cas est laissée à l'avis personnel du juge sur la question, ce qui est franchement pas top…

Dans ce cas, ne dis rien, laisse la faille telle qu'elle est.

C'est grave. C'est même révoltant mais vu que la loi t’empêche d'informer de la présence de cette faille, laisse la exister.

J'espère ne pas être concerné par ce service en ligne.

La loi n'empêche pas d'informer la présence de la faille, mais simplement de l'exploiter, c'est à dire récupérer des informations ou/et modifier ces informations. D'ou l'idée de mettre a disposition [un exemplaire de la solution] auquel ils auraient tout les droits pour montrer qu'il y a une faille, dans la légalité.

Je ne me suis pas renseigné plus que ça, mais cette affaire a l'air risquée. Tiens nous au courant.

Juste par curiosité, c'est quoi comme site ? Un CMS connu, un site de banque, un réseau social… ?

Alors, de mon point de vue :

1. S'il y a quelqu'un à qui diffuser la faille, c'est l'éditeur du logiciel. S'ils font les choses bien, y'a une solution pour leur signaler ça sur leur site.
2. Ceci s'apparente à du chantage de l'extorsion et est donc à proscrire absolument :

En tant qu'étudiants en manque d'argent, nous voudrions vous vendre cette faille. Nous avons pensé que 2000 euros étaient honnêtes vu la porté de cette faille, mais nous sommes ouverts à toute discussion. Qu'en pensez vous ?

Quoiqu'il en soit, mes collègues au-dessus on raison : il y a eu suffisamment de problèmes à donner des failles dans des logiciels pour éviter de trop jouer avec ça.

Si l'éditeur ne prévoit aucun moyen de remonter les failles, peut-être que contacter une entreprise spécialisée en sécurité informatique sera plus intéressant ?

Bon, il y a deux choses.

Tout d'abord, la découverte de la faille. Si vous n'avez pas cherché la faille, si vous l'avez simplement découverte par hasard (et qu'il n'y a aucun doute sur le fait que la découverte peut être fortuite), vous ne risquez rien aux yeux de la loi. Surtout avec votre formulation assez neutre qui laisse à penser que vous n'avez pas exploré plus que ça les conséquences de la faille. C'est ce qu'il s'est passé avec l'affaire Bluetouff : il a découvert la faille par hasard, mais ensuite il s'est promené et il a fait son marché, d'où « maintien » frauduleux dans le système informatique. Si l'entrée est faite à son corps défendant et que l'on s'en va immédiatement, le délit n'est pas qualifié.

Ensuite, la demande de rémunération. J'ai bien peur (même si je n'ai pas d'exemple concret sous la main) que cela tombe sous le coup du délit d'extorsion. 7 ans de prison et cent mille euros d'amende, pour information. Et si les magistrats sont de mauvais poil, dans la mesure ou vous êtes deux, vous risquez même l'extorsion en bande organisée (20 ans de prison et 150 mille euros d'amende). Alors ne jouez pas aux cons. Contentez-vous de dire que vous êtes de pauvres étudiants, et qu'une gratification pécuniaire serait appréciée.

BTW, je serait le gestionnaire du site en recevant votre mail, je chargerai mon service juridique de vous faire un beau mail qui fait bien peur. Vous etes etudiants, vous voudrez pas de proces. Vous faire peur suffira d'autant que la tentative d'extorsion sera totalement contre vous.

Vous pouvez tenter via zataz qui est plus ou moins spécialisé dans ce domaine. Ca aura peut-être plus de poids que deux étudiants qui remontent un faille à un groupe (qui risque donc de rester sans réponse de la part du service IT).

Malheureusement ça arrive souvent aussi que les personnes qui recevront votre message le prennent mal et vous envoient bouler (on a un gros égo dans ce domaine).

Au pire, tu peux toujours leur envoyer un mail leur demandant comment signaler des failles et si une rémunération existerait éventuellement ?

Exact, mince on avais pas pensé au délit d'extorsion.... On va tourner le mail autrement (même si les chances d'être rémunérés viennent soudainement de devenir négatives :s )

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

je ne veux surtout pas en arriver la. Mais on en arrive vraiment la, a un procès et tout…bah ils sont pas les seuls a avoir des menaces en poche quoi

(bon, a partir de la la question de illégal ou pas se pose plus, bien sur… )

Cette entreprise à de nombreux clients, dont des services publics, et elle a objectivement un niveau de sécurité a avoir.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Bon, après, je te l'accord, ce n'est pas l'idée du siècle… On va essayer de tourner le mail de manière à ne pas avoir de délit d'extorsion quand même, ca serai mieux

éventuellement on peux aussi contacter zataz au cas ou(tu en penses quoi tsu?), en cas de risque de procès, c'est plus sur. Mais le problème, c'est que dans ce cas ils vont faire un article (même sans expliquer techniquement la faille), et on va se mettre l'entreprise a dos des le premier contact…Pas l'idée du siècle non plus.

Je ne comprends pas. J'ai l'impression en te lisant que ton but final ça reste quand même de défoncer l'entreprise en question.

Pardon? pas du tout ! J'ai juste voulu dire : si ils montrent les crocs, on peux montrer les nôtres nous aussi. Mais en sois on désire juste les prévenir. On désire juste pas se prendre une plainte parce qu'on les a prévenu…

Désolé, mon message étais probablement mal tourné. Je le modifierai tout a l'heure

Ha ok donc tu t'en fout d'aller en taule si tu coule une boite au passage. Parce que tu sors les données, ou met publiquement le moyen de le faire, là tu va largement sortir du cadre.

Déjà si tu va en justice, tu va etre obligé de révélé la faille, par la justice. La révéler publiquement ne fera qu'enfoncer ton cas.

BTW, je te donne un avis de l'extérieur. L'entreprise ne te connais pas. Moi je te dis comment je réagirai, à savoir que deux étudiants pensent vouloir profiter d'une faille pour soutirer de la tune et qu'il est tres probable qu'ils ne voudront pas aller en justice. Le fait que toi tu pense etre capable de le faire, c'est autre chose.

Mais je ne suis pas surs que tu mesure l'implication d'une attaque de la part de la boite.

Mon idée de contacter Zataz était plus pour que eux prennent le relais et entreprennent les démarches de contact. Ils auront plus de poids vis-à-vis d'une société pour les mettre en gardes que vous. Généralement quand ils font un article, c'est pas sur le vif, l'entreprise est contactée, et elle donne ou non son accord (notamment pour citer la victime).

+1 SpaceFox (avec une nuance sur le défoncer/extorquer)

C'est à ce genre de passage que je pense :

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Qui me font penser 2 choses :

1. Les énormes scandales de fuites de données n'ont pas coulé les entreprises qui ont été touchées (sinon ça ferait longtemps que Sony n'existerait plus, pour commencer).
2. Dans l'éventualité d'un procès (puisque c'est bien de ça qu'on parle), que va penser le juge qui tombe sur ces messages ?

Kje :

Tout le pavé ci dessus était "au cas ou ils nous attaquent juridiquement". Mais on en arrivera jamais la normalement

+1 SpaceFox tu as raison