risques encourus avec ce message ?

Le problème exposé dans ce sujet a été résolu.

J'ai bien compris que, si la faille est valide, tu as des moyens de pressions. C'est l'idée d'envisager de s'en servir qui me choc. Déjà, comme SF, je doute que vous puissiez couler une boite pour ça, mais dans tous les cas ça ne ferait qu’aggraver votre cas.

Si tu met publiquement ce genre d'info, c'est pas forcément la boite que tu vas faire exploser, c'est ton amende et ton temps passé en prison. Cette réaction agressive me semble beaucoup trop risqué, pour toi personnellement, pour en valoir le coup.

Mais bon j'en revient au point de départ : avec ce genre de mail, une des réactions probable de la boite sera de vouloir vous faire peur.

Personnellement je pense comme Natalya que le plus surs serait de leur détailler tout et de demander a la fin un éventuel remerciement. Tout le reste ressemblera à de l'extorsion et sera plus dangereux. Car si ils vous croient (car bon là il n'y a rien qui prouve dans votre message que vous avez effectivement trouvé une faille, juste que vous le pensez), ils peuvent aussi demander à la justice de vous forcer à le révéler sans que ça s'ébruite.

+3 -1

Contrairement à Gusfl, je ne suis pas du tout dans la psychologie de type kamikaze. J'ai aucune envie de passer en justice, même si au final je suis même pas condamné.

J'approuve l'idée de Nathalya. Leur envoyer la faille et leur dire dans un PS qu'on apprécierait un don c'est pas mal. L'idée de faire avec zataz me plait aussi. Faut que je regarde plus en détails ce que c'est quand je serais plus tranquille (pas en plein amphi maths quoi)

Pour ma part je ne trouve pas que 2000€ valent le coup de risquer un procès.

+3 -0

2000 euros c'est pas cher vu l’ampleur des dégâts que vous pretendez pouvoir provoquer :D

Eskimon

C'est vrai. Mais si on était autorisé a demander une rétribution en échange, je ne pense pas vraiment qu'on demanderai plus.

Je m'explique :

Dans ton message tu es plutôt dans une logique de "menaces"....("achetez nous, sinon, voila ce qu'il va se passer"). Or c'est pas du tout ça qu'on veux. Nous c'était plutôt dans la logique "tout travail, tout coup de main mérite salaire" ;) et cela me paraîtrais indécent de demander beaucoup quand on a trouvé un truc presque par hasard.

+0 -1

C'est pas moi qu'est commencé avec cette histoire d'argent hein ^^

(Le fond de mon message se voulait plus là pour détendre l'atmosphère, mais si tu veux tu peux aussi le considérer comme :

  • un message d'espoir "si l'entreprise se rends compte du risque elle pourrait donner plus" ;
  • un message d'amour "j'aime ton sujet donc je participe" ;
  • un message de deception "vous meritez bien plus que 2k" ;
  • un message qui sert à rien, un peu comme celui-ci.

Bref, ne nous prenons pas la tête sur ce dernier :D

+3 -0

Autant ne pas parler d'argent du tout au début. Si vous envisagez cela sous une vision commerciale, vous pouvez vous couvrir. En gros, ça reviendrait à demander un rendez-vous pour parler de la portée de la faille, et leur vendre une prestation de conseil sur la démonstration de la faille.

C'est une vision "achat d'expertise". Comme ça, pas de menace, et si ils en veulent pas, vous faites ce que vous voulez de votre faille.

+0 -0

Si vous envisagez cela sous une vision commerciale, vous pouvez vous couvrir. En gros, ça reviendrait à demander un rendez-vous pour parler de la portée de la faille, et leur vendre une prestation de conseil sur la démonstration de la faille.

Aabu

humm…tu veux dire quelque chose comme "bonjour, nous pensons avoir trouvé une faille critique sur votre site. Voulez vous que nous vous fassions une prestation pour une expertise de celle ci." ?

L'idée me semble pas stupide du tout, en effet. Reste a savoir si c'est totalement légal, et sans risque juridique.

+0 -0

Je pense qu'il faut mettre les choses au point :

  • C'est pas parce que tu supposes qu'il existe une faille que cela te donne le droit d'en demander rémunération. Si geste financier il y a, cela doit provenir d'eux, d'un geste commercial (et je pense qu'ils se tourneront plutôt vers vous faire une offre spéciale que vous donner 2000 euros, faut arrêter de rêver)).

Et pour ce point-ci :

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Rien que pour ces propos, si je bossais pour eux, vous seriez dans une merde énorme et sans aucune chance de vous en sortir. Ce serait m'offrir votre culpabilité, votre intention frauduleuse sur un plateau d'argent. Et les juristes sont, par essence, très opportunistes sur ce genre de déclaration…

Les menaces de ce type ne fonctionnent pas avec la loi. Si tu penses qu'en arriver là (si tel était le cas…) vous donnera du poids, c'est que tu n'as rien compris au fonctionnement d'une entreprise (oui, au pire, elle aura de la mauvaise pub, son image sera salie mais elle sera en mesure de démolir la vôtre, vous ne finirez pas uniquement qu'en taule, votre avenir sera foutu (je connais pas de société dans le milieu info ayant engagé des ex-détenus, surtout si ce sont des sociétés traitant des données privées ou sensibles alors que ceux-ci ont été condamnés pour ce genre de faits)). Et il est connu que la réintégration d'anciens détenus dans la société est majoritairement un échec.

Vous nuirez potentiellement à un instant T à la boîte, la loi et ladite société démolira votre avenir. Tu saisis ? ^^

Bref, faut redescendre sur Terre et arrêter de croire que vous avez des armes en dernier ressort, c'est être aveugle sur la réalité des faits : ça jouera contre vous et votre avenir. L'entreprise s'en remettra, pas vous.

Prenez contact en toute neutralité, sans aucune demande de faveur ou financière, et si la faille est si grosse que cela et que l'entreprise souhaite vous remercier, elle le fera de son propre chef. Vous ne pouvez rien exiger que ce soit clair.

+4 -0

Prenez contact en toute neutralité, sans aucune demande de faveur ou financière, et si la faille est si grosse que cela et que l'entreprise souhaite vous remercier, elle le fera de son propre chef. Vous ne pouvez rien exiger que ce soit clair.

Arius

J'écris ce message avec peur, mais je l'écris quand même. Je vais sûrement raconter des choses débiles, mais je souhaitais partager le fond de ma pensée.

En quoi est-ce illégal d'échanger un patch contre de l'argent ? Pourquoi devrions nous les aider sans aucune rémunération ? On ne travaille pas pour eux, rien ne nous force à leur dire quelle est cette faille. Et ils ne feront certainement pas de "geste commercial" car cela n'aurait aucun intérêt pour cette entreprise.

Pour récapituler par une métaphore, on arrive devant la maison de quelqu'un et la porte est mal fermée. On remarque que cette maison, c'est la même qu'une flopée d'autres maisons. On va donc voir le fabricant de maison et on lui dit "coucou, on a remarqué que vos maisons était mal fermé, pour 2000E on vous dit où et pourquoi et comment les sécuriser". Où est le problème ?

+0 -5

Pose-toi la question à l'inverse : ils n'ont pas demandé une aide et ce n'est pas parce que tu signales une faille qu'ils sont dans l'obligation de te payer et si tu demandes une rémunération comme dans le premier post ou en menaçant de la révéler, il y a un terme juridique pour cela : extorsion.

Par contre, en la signalant sans rien exiger et si la faille est avérée alors oui, il est tout à fait possible qu'ils fassent un geste commercial. Cela leur coûtera bien moins cher que de donner 2000 euros (valeur arbitraire). Mais encore une fois, c'est un choix qui leur est propre. Ils ne sont absolument pas obligé de payer qui que ce soit pour quoi que ce soit. Y a pas de contrat.

L'analogie est complètement erronée, je ne la relève pas.

+4 -1

Et ils ne feront certainement pas de "geste commercial" car cela n'aurait aucun intérêt pour cette entreprise.

uriopass

Il y a un intérêt. Si l'entreprise donne des récompenses, alors les gens le sauront, et finiront pas s'intéresser de plus près à l'application, en particulier les chercheurs en sécurité. Le risque de ne pas récompenser, c'est que les failles soient vendues à des criminels qui les utiliseront gaiement. C'est pour ça que tous les gros ont des programmes de prime à la faille.

+3 -1

Pose-toi la question à l'inverse : ils n'ont pas demandé une aide et ce n'est pas parce que tu signales une faille qu'ils sont dans l'obligation de te payer et si tu demandes une rémunération comme dans le premier post ou en menaçant de la révéler, il y a un terme juridique pour cela : extorsion.

Arius

Où est la menace ?

Et si visiblement mon analogie est erronée, c'est que je n'ai pas compris la situation, auquel cas je m'excuse de tout mes messages d'incompréhension.

+1 -1

Rien que pour ces propos, si je bossais pour eux, vous seriez dans une merde énorme et sans aucune chance de vous en sortir. Ce serait m'offrir votre culpabilité, votre intention frauduleuse sur un plateau d'argent. Et les juristes sont, par essence, très opportunistes sur ce genre de déclaration…

Arius

Oui, mon message était stupide et je ne pensais pas vraiment ce que j'ai écris. (et les -1 ont été ajoutés en conséquence sur le message, d'ailleurs ^^ )

Mais pense tu que ceci soit envisageable, ou bien même ça, ne tient pas la route juridiquement?

Si vous envisagez cela sous une vision commerciale, vous pouvez vous couvrir. En gros, ça reviendrait à demander un rendez-vous pour parler de la portée de la faille, et leur vendre une prestation de conseil sur la démonstration de la faille.

Aabu

humm…tu veux dire quelque chose comme "bonjour, nous pensons avoir trouvé une faille critique sur votre site. Voulez vous que nous vous fassions une prestation pour une expertise de celle ci." ?

gusfl

+0 -0

N'hésitez pas à lire ce tutoriel pour tout ce qui concerne la facturation.

firm1

Déjà lu. Excellent tuto au passage. La somme de 2000€ a été balancée comme ça sans réflexion aucune sur la question, juste histoire de dire qu'on allait pas demander une cinquantaine d'euros quoi. La relecture de ce tuto pour l'adapter à ce problème était déjà prévue pour ma part.

Autant ne pas parler d'argent du tout au début. Si vous envisagez cela sous une vision commerciale, vous pouvez vous couvrir. En gros, ça reviendrait à demander un rendez-vous pour parler de la portée de la faille, et leur vendre une prestation de conseil sur la démonstration de la faille.

C'est une vision "achat d'expertise". Comme ça, pas de menace, et si ils en veulent pas, vous faites ce que vous voulez de votre faille.

Aabu

L'idée me plaît beaucoup. A voir comment l'appliquer si c'est possible.

humm… A titre personnel (je me suis pas concerté avec tsu), je l'attend, leur mail de menaces moi. Moi je suis kamikaze. Si je pars en taule, leur entreprise est morte. Etant donné le contenu de la base de donnée, on a de quoi les détruire, clairement.

Ok ils ont une menace juridique. Nous, on a des données qui valent clairement de l'or et dont la diffusion porte atteinte a la réputation de l'entreprise. Eux, tout ce qu'ils peuvent faire, c'est nous envoyer en prison. Nous, on a de quoi faire la une de la presse si on balance la faille publiquement. C'est beaucoup plus grave. Si on en arrive la ce n'est pas Zataz qu'on peux contacter, mais médiapart a ce niveau la, cela touche des personnes qui n'ont aucun rapport avec l'informatique.

Montrer ses crocs sans savoir comment l'autre va réagir c'est pas une bonne idée…La dernière fois, avec Guardian Of Peace, ca s'est pas très bien terminé quoi....

Rien que pour ces propos, si je bossais pour eux, vous seriez dans une merde énorme et sans aucune chance de vous en sortir. Ce serait m'offrir votre culpabilité, votre intention frauduleuse sur un plateau d'argent. Et les juristes sont, par essence, très opportunistes sur ce genre de déclaration…

Les menaces de ce type ne fonctionnent pas avec la loi. Si tu penses qu'en arriver là (si tel était le cas…) vous donnera du poids, c'est que tu n'as rien compris au fonctionnement d'une entreprise (oui, au pire, elle aura de la mauvaise pub, son image sera salie mais elle sera en mesure de démolir la vôtre, vous ne finirez pas uniquement qu'en taule, votre avenir sera foutu (je connais pas de société dans le milieu info ayant engagé des ex-détenus, surtout si ce sont des sociétés traitant des données privées ou sensibles alors que ceux-ci ont été condamnés pour ce genre de faits)). Et il est connu que la réintégration d'anciens détenus dans la société est majoritairement un échec.

Vous nuirez potentiellement à un instant T à la boîte, la loi et ladite société démolira votre avenir. Tu saisis ? ^^

Bref, faut redescendre sur Terre et arrêter de croire que vous avez des armes en dernier ressort, c'est être aveugle sur la réalité des faits : ça jouera contre vous et votre avenir. L'entreprise s'en remettra, pas vous.

Prenez contact en toute neutralité, sans aucune demande de faveur ou financière, et si la faille est si grosse que cela et que l'entreprise souhaite vous remercier, elle le fera de son propre chef. Vous ne pouvez rien exiger que ce soit clair.

Arius

Ok je te rassure, perso il est hors de question d'en arriver là. Je pense qu'en effet gusfl sous estime à quel point ça peut nous impacter nous et pas eux. En plus, c'est complètement con comme réaction. On peut réagir plus intelligemment dans la vie que "de koa ? Koman tu me parles ? J'm'en fous on va se fight, j'vais p't'être prendre des coups mais je vais en donner" Mais bon j'ai discuté un peu avec gusfl, il s'est juste emporté. Je vous rassure on en arrivera pas là.

Pose-toi la question à l'inverse : ils n'ont pas demandé une aide et ce n'est pas parce que tu signales une faille qu'ils sont dans l'obligation de te payer et si tu demandes une rémunération comme dans le premier post ou en menaçant de la révéler, il y a un terme juridique pour cela : extorsion.

Arius

Par contre il m'avait paru clair dans ce mail qu'on ne menace absolument pas de révéler la faille.

Bref, entre temps, je suis en train de voir avec une prof de droit de mon école. Je vous tiens au courant pour ça.

Merci à tous pour l'intérêt porté au problème en tout cas.

+1 -0

Il y a un "ou" dans mon propos sur la menace d'une révélation. ^^

Ok je te rassure, perso il est hors de question d'en arriver là. Je pense qu'en effet gusfl sous estime à quel point ça peut nous impacter nous et pas eux. En plus, c'est complètement con comme réaction. On peut réagir plus intelligemment dans la vie que "de koa ? Koman tu me parles ? J'm'en fous on va se fight, j'vais p't'être prendre des coups mais je vais en donner" Mais bon j'ai discuté un peu avec gusfl, il s'est juste emporté. Je vous rassure on en arrivera pas là.

C'est ce qu'il a dit et j'en suis sûr. Mais c'est le genre de propos à éviter. ^^

Autant ne pas parler d'argent du tout au début. Si vous envisagez cela sous une vision commerciale, vous pouvez vous couvrir. En gros, ça reviendrait à demander un rendez-vous pour parler de la portée de la faille, et leur vendre une prestation de conseil sur la démonstration de la faille.

C'est plus ou moins jouable, à voir comment c'est amené mais la deuxième partie du message d'Aabu est plus problématique :

C'est une vision "achat d'expertise". Comme ça, pas de menace, et si ils en veulent pas, vous faites ce que vous voulez de votre faille.

Vous ne pouvez pas en faire ce que vous voulez (vous pouvez diffuser l'information mais pas les moyens (cf. article 323-3-1 du code pénal), on est pas aux USA, chez nous (Europe) la législation est un poil moins clémente à ce niveau ^^ ). De même, vous ne pourrez pas vous retourner contre l'entreprise si elle décide d'utiliser vos informations pour corriger la faille sans se concerter avec vous ni vous rémunérer. Encore une fois : y a pas de contrat. Par contre, elle a l'obligation envers ses clients d'assurer la meilleure protection possible. En gros, s'il s'avère que la faille existe, ils le feront.

Quant à savoir s'ils feront un geste commercial, ça ne dépend que d'eux mais il est très peu probable qu'ils acceptent de vous donner une rémunération. Tout au plus, un geste commercial.

Mais honnêtement, je vous conseille juste de leur fournir l'info sans attendre quelque chose en retour. Si la faille existe, il y a bien plus important que l'aspect lucratif. Surtout à l'heure où il y a une certaine psychose sur la cybersécurité. Voyez cela comme servir l'intérêt général. Et s'ils se décident à vous offrir quelque chose: offres spéciales, job (ça peut arriver ^^), whatever… bah tant mieux.

Pour référence:

Dans le cas donné en lien, la cour a bien confirmé que - s'il est légal d'informer sur une faille - fournir des moyens (exploit, données, sources, instructions,…) est un délit.

Ne pas tenir compte de ce genre d'articles : http://www.numerama.com/magazine/14745-la-cour-de-cassation-confirme-que-la-publication-de-failles-de-securite-exploitables-est-un-delit.html qui semblent surfer sur le buzz rien qu'avec le titre. Quand je pense que l'auteur se dit être un juriste et ne semble pas avoir pris la peine de lire la décision et les éléments qui ont amené la Cour d'appel de Montpellier à condamner en premier lieu… :-°

+3 -0

Il y a un "ou" dans mon propos sur la menace d'une révélation. ^^

Arius

Woups my bad :D

Mais honnêtement, je vous conseille juste de leur fournir l'info sans attendre quelque chose en retour. Si la faille existe, il y a bien plus important que l'aspect lucratif. Surtout à l'heure où il y a une certaine psychose sur la cybersécurité. Voyez cela comme servir l'intérêt général. Et s'ils se décident à vous offrir quelque chose: offres spéciales, job (ça peut arriver ^^), whatever… bah tant mieux.

Arius

Concernant un geste commercial/une réduction, c'est impossible. Leurs produits visent uniquement des professionnels. Je ne suis pas un client direct. Juste un utilisateur. Le job en revanche c'est déjà plus sympa ^^

Et je prends en compte l'argument de l'intérêt général. Ça a de l'importance pour moi.

+1 -0

Concernant un geste commercial/une réduction, c'est impossible. Leurs produits visent uniquement des professionnels. Je ne suis pas un client direct. Juste un utilisateur. Le job en revanche c'est déjà plus sympa ^^

Vous pouvez toujours demander pour le job/stage (avec un peu d'humour en prime). Cela montrerait un intérêt pour la boîte et pis, qui ne tente rien n'a rien hein. :)

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte