Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Condamnation pour usurpation d’identité et exploitation d’une faille XSS

Ceci n'est pas une PPE

Condamnation pour usurpation d’identité et exploitation d’une faille XSS

Le 30 décembre 2014 à 11h00

Le TGI de Paris a condamné deux personnes pour l’usurpation de l’identité de Rachida Dati. Par la même occasion, il a jugé que l’exploitation d’une faille XSS (cross site scripting) était un piratage informatique qui devait à ce titre être sanctionné.

Début 2012, Rachida Dati avait porté plainte contre X pour piratage et usurpation d’identité. L’enquête confiée à la BEFTI révèlera que l’animateur du compte twitter satirique @Solferishow avait mis à disposition de @jeunespopkemon un nom de domaine et un espace d’hébergement offert par OVH grâce à des points de fidélité. Sur le site tweetpop.fr, il était alors possible de publier de faux communiqués de presse liés à l’actualité de l’eurodéputée.

Ces communiqués plutôt humoristiques présentaient alors l’apparence d’être hébergé sur le site officiel rachida-dati.eu grâce à l’exploitation d’une faille cross site scripting. Ce type de faille dite XSS permet en effet d’injecter du code notamment via une URL mal sécurisée et de faire dire à un site qui en est victime tout ce que l’on veut.

Atteinte à l'honneur de Rachida Dati en particulier, des femmes, en général

Sur le banc des accusés, l’éditeur du site évoque la parodie, l’humour, bref la blague de potache en témoigne la mention « groupe PPE » (droite européenne, parti de l'eurodéputée) remplacée par un fier « groupe PIPE », ou encore l’expression « communiqué de presse gratuit offert par Rachida Dati ». Sur cette lancée, de faux communiqués édités par des internautes annonçaient la candidature de l’actuelle maire du VIIe arrondissement de Paris dans la 10e circonscription de Seine Saint-Denis, quand d’autres affirmaient « Je soutiens le NPA » ou susurraient son amour « pour la fellation. »

Ces propos sont restés au travers de la gorge du TGI de Paris. Il a d’abord considéré que l’éditeur du site en était également le modérateur. Il aurait donc pu le fermer ou désapprouver la nature injurieuse et diffamante des contenus rédigés. « Force est de constater qu’il s’en est abstenu et qu’il a considéré, bien au contraire qu’il s’agissait là de manifestations « d’humour » ». Un humour non partagé par ces magistrats qui estiment au contraire qu’il y a atteinte à l’honneur ou à la considération de Rachida Dati en particulier, et de la femme en général.

Le tribunal a donc considéré que les éléments constitutifs de l’usurpation d’identité numérique étaient bien réunis puisque selon le Code pénal, modifié par la loi LOPPSI 2, l’infraction suppose une usurpation et un trouble de la tranquillité ou une atteinte à l’honneur ou à la considération d’une personne. C’est ici l'un des premiers jugements connus en matière d’usurpation d’identité numérique.

faux site rachida dati

Faille XSS et introduction frauduleuse de données dans un STAD

Mais l’affaire se doublait d’un autre volet : est-ce que l’exploitation d’une faille XSS peut s’apparenter à un piratage informatique ? Selon les textes, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. »

Pour le cas du site de Rachida Dati, la faille se nichait dans le moteur de recherche de son site, lequel filtrait mal les termes saisis par les utilisateurs. Il était alors possible d’y injecter du code informatique. Or, selon les magistrats, l’exploitant de la faille a voulu « tromper le serveur » et « faire du champ "rechercher" un usage contraire à sa vocation initiale et non souhaité par le maitre du système », bref, « une utilisation tronquée » qui « doit être considéré comme frauduleuse. »

Dans son jugement relayé par Legalis.net, le TGI a balayé par la même occasion les arguments de la défense : peu importe que la faille était connue depuis plusieurs mois par le gestionnaire puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux ». Peu importe de même que cette faille n’a pas entraîné d’altération durable du site de Rachida Dati, puisque c’est la simple introduction frauduleuse de données qui est réprimée par cet article.

Au final, l’initiateur a été condamné à 3 000 euros d’amende pour usurpation et piratage informatique. Le propriétaire de l’espace d’hébergement et du nom de domaine a lui été relaxé pour ce dernier fait, mais a été condamné à 500 euros pour complicité d’usurpation. L’un et l’autre se sont vu enfin confisquer leur matériel informatique. L'auteur du faux site a depuis fait appel.

Commentaires (52)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »





L’éventuelle négligence… Là elle est tout sauf éventuelle, déja….



Par contre il aurait fallu aussi condamner le webmaster pour négligence caractérisée, un peu comme on fait avec la Hadopi…

On lui interdit le port 22 pendant 15 jours à compter du jugement <img data-src=" />

votre avatar

L’introduction n’a ni queue ni tête <img data-src=" />

votre avatar

Rachida Dati et Kim Jong-Un sont sur un bateau.

votre avatar







pentest a écrit :



Rachida Dati et Kim Jong-Un sont sur un bateau.





qu’ils y restent&nbsp; <img data-src=" />


votre avatar

Je l’avais dit à l’époque : c’est obligé que les auteurs soient punis.

Même si je suis réceptif à la forme d’humour utilisée, on ne peut pas dire qu’on fait du XSS “pour le fun” et que c’est pas illégal “parce que c’est le site web qui n’est pas assez sécurisé”.



A ce compte-là, si tu sais crocheter des serrures, c’est pas illégal de voler dans une maison.

votre avatar

?!

Comment ça ?



A part une faute d’accord à “confiée”, je ne vois pas le malaise.

votre avatar







NXI a écrit :



ou susurraient son amour « pour la fellation. »

Ces propos sont restés au travers de la gorge du TGI de Paris





bon c’est sûr, l’auteur est Kev… ha non, c’est Marc!! <img data-src=" />

<img data-src=" />


votre avatar







Koxinga22 a écrit :



Je l’avais dit à l’époque : c’est obligé que les auteurs soient punis.

Même si je suis réceptif à la forme d’humour utilisée, on ne peut pas dire qu’on fait du XSS “pour le fun” et que c’est pas illégal “parce que c’est le site web qui n’est pas assez sécurisé”.



A ce compte-là, si tu sais crocheter des serrures, c’est pas illégal de voler dans une maison.





J’ai un petit arrière-goût amer de “on est tous égaux mais certains plus que les autres” qui refuse de partir, je ne sais pas pourquoi…

A la question : le jugement aurait-il été identique si la victime avait été un anonyme, j’ai du mal à répondre un oui catégorique et sans appel.







geekounet85 a écrit :



bon c’est sûr, l’auteur est Kev… ha non, c’est Marc!! <img data-src=" />

<img data-src=" />





Marc a un humour aiguisé, en effet le 1010 est de mise !<img data-src=" />


votre avatar







Anikam a écrit :



J’ai un petit arrière-goût amer de “on est tous égaux mais certains plus que les autres” qui refuse de partir, je ne sais pas pourquoi…

A la question : le jugement aurait-il été identique si la victime avait été un anonyme, j’ai du mal à répondre un oui catégorique et sans appel.





Oui, la justice à 2 vitesses existe bel et bien, on le constate régulièrement. Je suis bien d’accord là dessus.


votre avatar

Les vilains pirates ont ils injecté du code sur le site de rachida dati ou ont ils copié l’apparence du site ?

Parce que présenter l’apparence d’être hébergé sur le site de rachida dati grâce à une faille css… <img data-src=" />

En plus des détails inutiles… le site payé par points de fidélité… vraiment ?

votre avatar







Anikam a écrit :



J’ai un petit arrière-goût amer de “on est tous égaux mais certains plus que les autres” qui refuse de partir, je ne sais pas pourquoi…

A la question : le jugement aurait-il été identique si la victime avait été un anonyme, j’ai du mal à répondre un oui catégorique et sans appel.





Marc a un humour aiguisé, en effet le 1010 est de mise !<img data-src=" />





D’accord, mais je ne comprends pas en quoi un jugement différent aurait été choquant ? Dans le cas d’une personne anonyme, l’atteinte à l’honneur n’aurait pas été de la même ampleur me semble-t-il. Et à situation différente, jugement différent. Pour moi ça ne pose pas de problème ici


votre avatar

En vrai, il n’y a pas eu “piratage” : ils envoyaient des requêtes au moteur de recherche interne du site, qui avaient pour effet de créer des contenus dans la section “tweet”. Ces tweets n’étaient même pas visibles sur tweeter je crois, juste sur le site.



Techniquement : pas d’intrusion, pas d’altération ou destruction de données.



Mais malgré tout : le but recherché était de publier des contenus discutables sous le nom officiel de quelqu’un d’autre, pour moi c’est évidemment un délit.

votre avatar



L’un et l’autre se sont vu enfin confisquer leur matériel informatique.



Et de quel droit ? (français oui je sais)

Que le TGI soit vendu à Dati, n’ait strictement aucun honneur ni aucun humour c’est une chose, d’où la condamnation financière, mais la confiscation du matériel ça sort d’où ça ?

votre avatar

Je viens de comprendre.

Merci <img data-src=" />

votre avatar



puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »



1 - Je vois un billet de banque par terre, je le ramasse; est-ce du vol ?

2 - Je vois quelqu’un faire tomber un billet de banque et partir, je le ramasse et je m’en vais de mon coté; est-ce du vol ?



Et je ne parle pas sur le plan “moral”, mais sur le plan “légal”.

votre avatar







GruntZ a écrit :



1 - Je vois un billet de banque par terre, je le ramasse; est-ce du vol ? 



2 - Je vois quelqu'un faire tomber un billet de banque et partir, je le ramasse et je m'en vais de mon coté; est-ce du vol ?      







Et je ne parle pas sur le plan "moral", mais sur le plan "légal".









Sur le plan légal, dans tous les cas tu dois aller déposer ta trouvaille au commissariat (ou au service d'objets trouvés) si tu ne le fais pas, oui, c'est du vol "théorique".

votre avatar







tifounon a écrit :



Et ben si justement, il a eu accès de manière non autorisée au système, l’exploitation d’une faille béante laissée ou non volontairement par le webmestre n’est en rien une invitation a pénétré dans le système.&nbsp;





Quel accès ? Il n’y a pas d’accès au “système” (serveur ou autre) avec une faille XSS.&nbsp;

On prend les données envoyées par le serveur&nbsp;au navigateur&nbsp;telles qu’elles&nbsp;et on lui dit d’afficher autre chose. A aucun moment des modifications non désirées ont eu lieu sur le serveur.



Pour faire une analogie plus facile à comprendre, c’est comme si quelqu’un te donnait un crayon en te disant qu’il est fait pour écrire de la poésie. Sauf que tu écris une blague potache sur ton cahier à la place.

Tu n’as pas modifié le crayon, tu as écris sur ton cahier. C’est exactement ce qu’il se passe dans le cas d’une faille XSS, il n’y a ni modification, ni intrusion. Il n’y a aucun fondement technique derrière cette décision - sûrement une tendance partisane par contre.



Le seul acte répréhensible c’est d’utiliser ce crayon pour tromper les gens et j’ai comme un doute que les auteurs aient vraiment voulu tromper les gens …


votre avatar







eliumnick a écrit :



Ca a rapport avec ce que tu as quoté.



Pas clair, non.&nbsp;





Et oui pour le PS, on avait très bien compris de quoi on parlait.

&nbsp;&nbsp;

Sauf que c’est faire une erreur massive que d’écrire l’un à la place de l’autre.&nbsp;

L’un est totalement inacceptable, alors que l’autre se comprend. C’est ce qui a cristallisé des milliers de forumeurs au temps d’Hadopi car certain faisaient semblant de ne pas comprendre la différence.

&nbsp;

Aujourd’hui, tout est fait pour que tu aies la possibilité de montrer ta bonne foi au juge (je rappelle, à la base, Hadopi se passait de juge, et c’était ça le problème majeur de cette loi).&nbsp;


votre avatar







Gozmoth a écrit :



Pour faire une analogie plus facile à comprendre, c’est comme si quelqu’un te donnait un crayon en te disant qu’il est fait pour écrire de la poésie. Sauf que tu écris une blague potache sur ton cahier à la place. 



Tu n'as pas modifié le crayon, tu as écris sur ton cahier.&nbsp;




&nbsp;

Pas tout à fait, non.&nbsp;

Une meilleure image serait de dire qu’avec ce crayon, tu écris une blague potache (ou des insultes) dans un cahier qui ressemble à une communication officielle d’une entreprise/parti/association.&nbsp;

Et qu’ensuite tu montres ce cahier à plein de monde en oubliant de préciser que ce n’est pas une communication officielle.

&nbsp;

Bref, c’est clairement répréhensible.


votre avatar







Gozmoth a écrit :



Quel accès ? Il n’y a pas d’accès au “système” (serveur ou autre) avec une faille XSS.&nbsp; 



On prend les données envoyées par le serveur&nbsp;au navigateur&nbsp;telles qu'elles&nbsp;et on lui dit d'afficher autre chose. A aucun moment des modifications non désirées ont eu lieu sur le serveur.      







Pour faire une analogie plus facile à comprendre, c'est comme si quelqu'un te donnait un crayon en te disant qu'il est fait pour écrire de la poésie. Sauf que tu écris une blague potache sur ton cahier à la place.      


Tu n'as pas modifié le crayon, tu as écris sur ton cahier. C'est exactement ce qu'il se passe dans le cas d'une faille XSS, il n'y a ni modification, ni intrusion. Il n'y a aucun fondement technique derrière cette décision - sûrement une tendance partisane par contre.    







Le seul acte répréhensible c'est d'utiliser ce crayon pour tromper les gens et j'ai comme un doute que les auteurs aient vraiment voulu tromper les gens ...






donc en gros si je rentre dans un SI quelconque grâce à une faille et que je copie des données sans les modifier il n’y a pas de problèmes? pareil si j’intercepte entre le serveur avec qui votre PC est en court d’échanges et que j’intercepte les données en les modifiants pas de problème? si par cette attaque je récupère vos coordonnées bancaires pas de problèmes?


votre avatar







Faith a écrit :



Et comme, dans ta légendaires bonne foi, tu vas nous dire que les juges sont des salauds (…) jugements qui ont déjà eu lieu et avec la parcimonie avec laquelle sont appliquées les sanctions…







ne t’inquiètes pas pour moi, je lis assidûment nextinpact et je sais parfaitement les jugements rendu qui ressemble à ça:

“Monsieur c’est pas bien (petite tape sur la main) , vous promettez de pas recommencez? OK très bien au revoir bonne journée”



;)



Mon propos étant simplement au départ de dire que la loi est étrange, un particulier peut être inculpé de “délit de négligence dans la sécurisation” mais un pro, ici un webmaster ne risque rien à mettre en ligne un gruyère… (et heureusement)



Bref j’attends qu’Hollande attaque pour diffamation tous les “legorafi like” qui ne mettent pas un gros astérisque attention, c’est un gag #humour!



Quoi François premier utilise les hélico de la sécurité civil à titre perso #diffamation ^^

http://www.radiocockpit.fr/2014/12/02/scooter-en-panne-francois-hollande-fait-ra…



Pour moi ce genre de site avec ce type de contenu ou l’exploitation d’une faille comme dans le cas de Mme Dati… ça revient au même… quelques idiots tombent dans le panneau les autres comprennent la blague!


votre avatar







Faith a écrit :



&nbsp;

Pas tout à fait, non.&nbsp;

Une meilleure image serait de dire qu’avec ce crayon, tu écris une blague potache (ou des insultes) dans un cahier qui ressemble à une communication officielle d’une entreprise/parti/association.&nbsp;

Et qu’ensuite tu montres ce cahier à plein de monde en oubliant de préciser que ce n’est pas une communication officielle.

&nbsp;

Bref, c’est clairement répréhensible.





Ha non tu ne le montres à personne, tu le laisses dans un espace public et des gens vont le voir.


votre avatar







the_frogkiller a écrit :



donc en gros si je rentre dans un SI quelconque grâce à une faille et que je copie des données sans les modifier il n’y a pas de problèmes? pareil si j’intercepte entre le serveur avec qui votre PC est en court d’échanges et que j’intercepte les données en les modifiants pas de problème? si par cette attaque je récupère vos coordonnées bancaires pas de problèmes?





Si t’arrives à récupérer des coordonnées bancaires sans rien modifier (donc sans décryptage) c’est que la banque a du soucis à se faire xD&nbsp;


votre avatar

Je ne voudrais pas passer pour un vieux barbon, mais les appréciations et les commentaires d’une décision de justice sont illégaux en France.

Quel que soit le verdict du TGI de Paris, la justice est passée et c’est uniquement au condamné de savoir s’il peut aller en appel.

Pour reprendre l’idée d’un post au dessus, je ne suis pas sûr qu’un citoyen lambda aurait eu droit aux mêmes investigations de la BEFTI, si il avait subit le même préjudice …<img data-src=" />

votre avatar

Merci de citer l’article disant cela et bien vérifier que cela s’applique ici.



Bon, je vais t’aider en te renvoyant chez Maître Eolas qui connaît à peu près le droit.

votre avatar







fred42 a écrit :



Merci de citer l’article disant cela et bien vérifier que cela s’applique ici.



Bon, je vais t’aider en te renvoyant chez Maître Eolas qui connaît à peu près le droit.





Merci pour le lien, j”ai appris quelque chose ce soir …


votre avatar

Si je prend une photo de l’Élysée et que je fais un générateur de meme avec, personne ne m’attaquera pour vandalisme, avec raison: il n’y aura pas de peinture blanche sur la facade du batiment, et personne ne sera dupe. On est dans la même situation.

votre avatar

Bon c’est aussi vrai qu’il y avait volonté d’usurper l’identité (de faire croire que l’info vennait bel et bien du site en question), cette comdanation est peut-être sencée. La comdamnation pour piratage reste cependant pour moi incompréhensible. C’est du même ordre que si’ils avaient publié un faux screenshot.

votre avatar







tass_ a écrit :



Ha non tu ne le montres à personne, tu le laisses dans un espace public et des gens vont le voir.





Toi, tu n’as pas compris ce qu’est la faille XSS…

La version simple ne modifie pas le site, il faut passer une url bien spécifique, donc il faut la montrer aux gens pour qu’ils cliquent dessus.


votre avatar







Faith a écrit :



Toi, tu n’as pas compris ce qu’est la faille XSS…

La version simple ne modifie pas le site, il faut passer une url bien spécifique, donc il faut la montrer aux gens pour qu’ils cliquent dessus.





Comme si je savais pas comment ça marchait xD&nbsp;

Mais montrer suppose un opt in. Pour afficher un lien il faut : allumer son terminal (pc / tablette/…) cliquer sur un navigateur puis cliquer sur le lien -&gt; tout un tas d’actions conscientes de la part de celui qui voit.&nbsp;

Montrer ne suppose pas d’actions consciente de la part de celui qui voit.



Je suis d’accord avec wagaf : il y a bien usurpation mais pas “piratage”, ni “intrusion dans un système de données”. Le serveur, les données, le code en eux mêmes ne sont pas impactés.


votre avatar







wagaf a écrit :



Si je prend une photo de l’Élysée et que je fais un générateur de meme avec, personne ne m’attaquera pour vandalisme, avec raison: il n’y aura pas de peinture blanche sur la facade du batiment, et personne ne sera dupe. On est dans la même situation.





A la différence que l’Élysée n’est pas une personne <img data-src=" />







wagaf a écrit :



Bon c’est aussi vrai qu’il y avait volonté d’usurper l’identité (de faire croire que l’info vennait bel et bien du site en question), cette comdanation est peut-être sencée. La comdamnation pour piratage reste cependant pour moi incompréhensible. C’est du même ordre que si’ils avaient publié un faux screenshot.





Oui mais pas publié sur leur site, publié sur le site d’un autre sans son accord et pour se foutre de sa gueule, c’est ce qui fait la différence.

Je suis d’accord sur le fait qu’il n’y a pas eu piratage. Mais je comprend complètement la logique du juge : des gens ont utilisé un moyen technique pour nuire à une personne.

S’il faut faire une image : c’est des mecs qui jettent du caca par la fenêtre de quelqu’un, puis installent une catapulte à caca sur la colline d’en face et invitent la Terre entière à essayer.

Je ne leur trouve aucune excuse.


votre avatar

Il ne s’agit aps de trouver des excuses, il s’agit d’appeler un chat un chat.&nbsp;

Il n’y a pas eu d’intrusion dans un système informatique, il n’y a pas eu modification de données, il n’y a donc pas exploitation de faille.

C’est un peu pour reprendre l’exemple du stylo comme si quelqu’un laissait un tableau blanc dans la rue avec un feutre en disant que tout le monde pouvait s’en servir, si des petits malins utilisent le stylo pour se faire passer pour lui ils sont en effet coupables d’usurpation d’identité mais pas de vol ni de violation de domicile : ils n’ont fait qu’utiliser (de façon idiote oui) des outils mis à disposition.

votre avatar

Bien fait pour sa gueule. Et c’est pas cher payé.

votre avatar

L’image n’est pas très heureuse, ils n’ont pas utilisé des outils “de façon idiote” mais “de façon volontairement nuisible”.

Une meilleure transposition serait de dire que Mme Dati a laissé trainer du papier à entête de son cabinet ministériel et que les coupables s’en soient servis pour forger des faux et les utiliser. C’est plutôt ça. Et c’est un délit. Et c’est puni. Et c’est hypocrite de dire “c’est pas de notre faute, c’est elle qui a laissé trainer ses affaires”.



Le verdict est peut-être abusif pour l’accusation de piratage mais celui sur l’usurpation est tout à fait pertinent. Le juge a dû vouloir marquer le coup, histoire de leur apprendre la différence entre l’humour et le persiflage numérique industrialisé.



Les gars pouvaient faire leur “humour” sur un site à eux, en précisant que c’était une satyre de leur part. Non, là ils ont détourné un usage chez quelqu’un d’autre afin de faire croire que Dati disait officiellement ceci ou cela. C’est indéfendable.

votre avatar

Encore une fois je n’ai jamais remis en question l’usurpation d’identité mais bien le piratage. &nbsp;

votre avatar







Nikodym a écrit :



Les vilains pirates ont ils injecté du code sur le site de rachida dati ou ont ils copié l’apparence du site ?

Parce que présenter l’apparence d’être hébergé sur le site de rachida dati grâce à une faille css… <img data-src=" />

En plus des détails inutiles… le site payé par points de fidélité… vraiment ?



Oui, les pirates injectent du code sur le site de rachida dati par la faille XSS, rien à voir avec le css.

C’est par le même biais qu’on vole des informations utilisateurs: nom,adresse,mot de passe, carte bleue.

Ou on peut faire tomber un site, cf http://xkcd.com/327/

Voir l’excellent Bobby Tables.

Ou dans l’humoristique: car plate sql injection <img data-src=" />


votre avatar

qu’il y a atteinte à l’honneur ou à la considération de Rachida Dati en particulier, et….

……………………………………………………………………………….. de la femme en général.



ouf, l’honneur est sauf !!!!!!<img data-src=" />

votre avatar

« l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »



C’est marrant dans le cadre d’HADOPI, on prend combien pour défaut de sécurisation de ligne?

La loi oblige un particulier qui n’a aucune compétence informatique à sécuriser son wifi…



En revanche un pro, un webmaster n’a aucune obligation de sécurisé et n’est pas responsable quand une faille permet un détournement…



Perso je trouves pas ça de bon gout, pour l’atteinte à l’honneur je dis pourquoi pas…



Pour le volet technique perso je trouves cela totalement abusif car la loi est clair



“ le fait d’introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »



Le site contenu d’origine du site n’a jamais été alterré, ce n’est pas du piratage…

Introduction de données? l’accès au serveur n’a pas été forcé ou compromis, pas de fichiers déposés sur un FTP… juste un truc dynamique en usant d’un champ de recherhce en accès libre, l’acte technique ne porte pas à conséquence… les propos c’est autre chose



Jugement à l’emporte pièce de mon point de vue et justice à deux vitesses

votre avatar







JustMe a écrit :



C’est marrant dans le cadre d’HADOPI, on prend combien pour défaut de sécurisation de ligne?

La loi oblige un particulier qui n’a aucune compétence informatique à sécuriser son wifi…



Sauf que dans la procédure Hadopi, le propriétaire ne se signale pas comme victime. &nbsp;

Si le propriétaire se déclare victime, il n’aura pas à subir Hadopi, par contre il faudra qu’il porte plainte et fasse ce qu’il faut pour aider l’enquête…


votre avatar

De rien :) A la première news sur le sujet j’avais tout compris de travers jusqu’à ce que quelqu’un m’explique

votre avatar







Drepanocytose a écrit :



L’éventuelle négligence… Là elle est tout sauf éventuelle, déja….



Par contre il aurait fallu aussi condamner le webmaster pour négligence caractérisée, un peu comme on fait avec la Hadopi…

On lui interdit le port 22 pendant 15 jours à compter du jugement <img data-src=" />





Au vu du bug et du délai de correction ça ne servirait à rien : il ne doit même pas savoir à quoi ça sert. Un blocage du 80 serait nettement plus utile <img data-src=" />


votre avatar

je te rejoins sur plusieurs points : oui il n’y a pas eu de piratage au sens technique, oui la justice est partiale envers les élus, et oui, oui, la hadopi a bien fait parler d’elle pour inverser la présomption d’innocence, ce qui est moralement abject mais à été validé par toutes nos institutions législatives.



En revanche, en connaissant les faits, on ne peut que constater que les auteurs étaient mal intentionnés, qu’ils voulaient nuire et y sont parvenus. Qui plus est, ils ont automatisé le système avec un site web permettant aux internautes d’injecter tous les messages de leur choix.



A la limite, on pourrait reprocher à Dati son coté “pète-sec” et exhib’ pour avoir porté l’affaire en justice et ouverte à l’opinion publique.

Un webmaster “normal” tiendrait compte de son erreur, colmaterait la faille et fermerait sa g…

votre avatar







JustMe a écrit :



« l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »



C’est marrant dans le cadre d’HADOPI, on prend combien pour défaut de sécurisation de ligne?

La loi oblige un particulier qui n’a aucune compétence informatique à sécuriser son wifi…



[…]



“ le fait d’introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »



Le site contenu d’origine du site n’a jamais été alterré, ce n’est pas du piratage…

Introduction de données? l’accès au serveur n’a pas été forcé ou compromis, pas de fichiers déposés sur un FTP… juste un truc dynamique en usant d’un champ de recherhce en accès libre, l’acte technique ne porte pas à conséquence… les propos c’est autre chose



Jugement à l’emporte pièce de mon point de vue et justice à deux vitesses





Et ben si justement, il a eu accès de manière non autorisée au système, l’exploitation d’une faille béante laissée ou non volontairement par le webmestre n’est en rien une invitation a pénétré dans le système.



C’est comme en été, on peut laisser une fenêtre ouverte pour pas crever de chaud mais ce n’est en rien une invitation a pénétrer ton domicile et pourtant la fenêtre ouverte est alors une faille béante dans la sécurité de ton domicile.



De toute façon, les failles des sites, ce sont comme les hublots des vaisseaux spatiaux, une faille structurel !


votre avatar

SI je reçoit un courrier de l’HADOPI qui m’avertit qu’on a téléchargé depuis ma ligne quel soit bien sécurisé ou non (j’ai une borne wifi première génération qui ne dispose d’aucun MAJ firmware et qui ne protège que par une simple clé WEP)… j’ai aucun moyen de prouver que le téléchargement a été fait en pétant ma sécurité… Même si je porte plainte pour effraction car le courrier de la HADOPI m’aura fait constaté le problème, ça ne change pas qu’aux yeux de la loi je suis reponsable de la sécurité de ma ligne (1500€ pour défaut de sécurisation)

votre avatar







JustMe a écrit :



SI je reçoit un courrier de l’HADOPI qui m’avertit qu’on a téléchargé depuis ma ligne quel soit bien sécurisé ou non (j’ai une borne wifi première génération qui ne dispose d’aucun MAJ firmware et qui ne protège que par une simple clé WEP)… j’ai aucun moyen de prouver que le téléchargement a été fait en pétant ma sécurité… Même si je porte plainte pour effraction car le courrier de la HADOPI m’aura fait constaté le problème, ça ne change pas qu’aux yeux de la loi je suis reponsable de la sécurité de ma ligne (1500€ pour défaut de sécurisation)





C’est faux, mais ça a été mille fois discuté ici.&nbsp;Je ne vais pas encore perdre mon temps à blablater sur ce sujet.&nbsp;

Pour simplifier: avant l’amende, tu as été avertit. C’est à ce moment qu’il faut te bouger les fesses pour porter plainte, et lancer une enquête. Si tu attends le troisième avertissement, c’est que tu laisses faire et donc que tu es au minimum complice.

&nbsp;

La justice est mieux faite que ce que les forumeurs lambdas peuvent prétendre. &nbsp;

Mais il est dur de faire boire un âne qui n’a pas soif.


votre avatar







tifounon a écrit :



n’est en rien une invitation a pénétré dans le système.







Sauf que pour moi, il n’y a pas eu introduction à proprement parlé.

Pour reprendre ton analogie avec la fenêtre, pour moi l’action n’était pas d’entrer dans une propriété privé mais plus de rentrer dans un endroit publique genre rentrer une cabine téléphonique (autoriser pour tout le monde) et laisser un post-it coller sur l’annuaire à l’intérieur… rentré était autorisé, coller le pos-it par dessus l’annuaire ne l’as pas habimé ni altéré son contenu, l’utilisateur suivant à juste à décoller le post-it pour retrouver l’original (dans notre cas faire un F5 dans le navigateur pour rafraichir le contenu et voir la page normal)



Mais je suis juge! ^^ je dois être dans le faut!


votre avatar

Moi j’ai très soif d’apprendre, dans ma réponse, je te disais que je suis de bonne fois, je réagi dès le premier avertissement, je vais voir la police.

Est-ce qu’ils vont déjà prendre ma plainte?

Il faut déjà insisté pour un dépot de plainte pour agression avec violence (si non ça passe en simple main courante) donc pour suspection d’intrusion sur un réseau wifi, j’aimerais bien voir s’il y a une quelquonque enquête… j’amène les log de connexion sur une clé USB à mon comisséria de quartier ?



Montre moi le texte de la HADOPI qui démontre qu’un dépot de plainte me délivre de la responsabilité de la sécurisation de ma ligne?



Enfin non en fait c’est hors sujet sur la news , désolé !^^

votre avatar

Dans la plupart des affaires de piratage informatique, il me semble bien que le materiel informatique est confisqué.

Après je ne suis pas juriste, donc je ne peux éclairer ta lanterne sur la loi qui autorise le tribunal à la faire.



Sinon, je ne porte pas Rachida Dati dans mon cœur, mais on ne peut pas dire que le tribunal n’a pas pris une bonne décision. Si on me faisait dire des saloperies en me piquant mon identité, ça me ferait bien chier.

&nbsp;

votre avatar







JustMe a écrit :



Moi j’ai très soif d’apprendre, dans ma réponse, je te disais que je suis de bonne fois



Le dire n’est pas suffisant.&nbsp;





Montre moi le texte de la HADOPI

qui démontre qu’un dépot de plainte me délivre de la responsabilité de

la sécurisation de ma ligne?

&nbsp;

Ici: A l’issue de la procédure judiciaire, le juge aura alors la possibilité de prononcer l’amende prévue pour les contraventions de 5e classe à l’encontre de l’internaute&nbsp;

&nbsp;

Et comme, dans ta légendaires bonne foi, tu vas nous dire que les juges sont des salauds vendus qui s’en foutent de nous et sont là pour récolter de l’argent, je t’inviterai à te renseigner sur les jugements qui ont déjà eu lieu et avec la parcimonie avec laquelle sont appliquées les sanctions…&nbsp;


votre avatar







Faith a écrit :



Le dire n’est pas suffisant.&nbsp;



&nbsp;

Ici: A l’issue de la procédure judiciaire, le juge aura alors la possibilité de prononcer l’amende prévue pour les contraventions de 5e classe à l’encontre de l’internaute&nbsp;

&nbsp;

Et comme, dans ta légendaires bonne foi, tu vas nous dire que les juges sont des salauds vendus qui s’en foutent de nous et sont là pour récolter de l’argent, je t’inviterai à te renseigner sur les jugements qui ont déjà eu lieu et avec la parcimonie avec laquelle sont appliquées les sanctions…&nbsp;





Comme déjà dit de nombreuses fois par Marc, le délit de non sécurisation est indépendant du délit de contrefaçon.


votre avatar







eliumnick a écrit :



Comme déjà dit de nombreuses fois par Marc, le délit de non sécurisation est indépendant du délit de contrefaçon.





Ce qui n’a rien à voir avec ce que j’ai dit.&nbsp;

Mais merci de cette précision HS…&nbsp;



Ps: il n’y a pas de “délit de non sécurisation” mais un “délit de négligence dans la sécurisation”


votre avatar







Faith a écrit :



Ce qui n’a rien à voir avec ce que j’ai dit.&nbsp;

Mais merci de cette précision HS…&nbsp;



Ps: il n’y a pas de “délit de non sécurisation” mais un “délit de négligence dans la sécurisation”





Ca a rapport avec ce que tu as quoté.



Et oui pour le PS, on avait très bien compris de quoi on parlait.


Condamnation pour usurpation d’identité et exploitation d’une faille XSS

  • Atteinte à l'honneur de Rachida Dati en particulier, des femmes, en général

  • Faille XSS et introduction frauduleuse de données dans un STAD

Fermer