Ce que je reproche à Microsoft, qui lui a pu lire les CGU, c’est de ne pas procéder à des vérifications plus poussées eu égard aux implications potentielles, en particulier juridiques.
L’utilisateur final peut difficilement être taxé de complicité de contrefaçon, c’est plutôt une victime.
Et si au lieu d’une Arduino c’était un équipement critique (industrie, embarqué, médical, transport…) ?
Le
23/10/2014 à
16h
59
Ah ? Voyons, n’est-ce pas sciemment que cette mise à jour a été poussée ? Pour l’aspect « programmée » le jeu de mot était facile mais permettre de reprogrammer le VID:PID depuis l’USB je le répète c’est stupide (d’habitude c’est une série spéciale commandée au constructeur puisque ces informations font partie du masque).
Plutôt que de s’attaquer au contrefacteurs, on préfère s’attaquer à distance avec une rustine foireuse qui a pour effet de planter les utilisateurs légitimes.
C’est un peu facile et surtout très inquiétant si ça se généralisait.
Le
23/10/2014 à
16h
37
Je suis très content de ne ni utiliser de produits FTDI, ni Windows.
Se baser sur le VID:PID pour détecter une contrefaçon ça dépasse l’entendement (si c’est une contrefaçon il faudrait s’attendre à un VID « contrefaçon de FTDI ?), permettre de reprogrammer ce genre de chose depuis l’USB l’est encore plus (ça devrait être en PROM).
Il y a des techniques plus élaborées et plus respectueuses des utilisateurs que de faire un patch débile non testé et distribué de façon automatique sans qu’il n’y ait eu aucune vérification en particulier de la part de Microsoft.
C’est peut être un cas de figure où la nouvelle loi sur la consommation pourrait être invoquée (obsolescence programmée !).
« celui de l’efficacité du système de commission paritaire qui gère le dispositif »
Comme le souligne régulièrement le Conseil d’état et la Cour des comptes ainsi qu’une partie des intéressés. Sinon parjure devant une commission parlementaire ça va chercher dans les combien (délit pénal, non ?) ?
Le dernier paragraphe semble cibler les dangereux terroristes qui récupèrent, du fait de la négligence des prestataires / services informatique, et font fuiter des documents croustillants supposés être non publics.
C’est moi ou la liberté de la presse vient de se faire massacrer en catimini ?
Dans le cas d’un auto-hébergement les mentions légales peuvent poser problème vis à vis de la vie privée… (prendre l’exemple de Eolas qui a besoin de conserver un pseudonymat vis à vis des exigences de sa profession…)
La déclaration CNIL je vois pas trop dans quelles conditions on peu s’y soustraire, rien que récolter un pseudonyme pour s’identifier (voir une IP…) suffit à tomber dans la catégorie données personnelles…
Et toujours rien pour l’obligation d’afficher aux visiteurs français qu’un cookie est nécessaire pour l’usage du site… (j’ai pas vraiment envie de coder une espèce de pop-up pour coller à la loi alors que tout ce bouzin m’a pas couté un centime…)
ça commence à faire un paquet d'obligations et de contraintes à respecter pour simplement avoir le droit de "communiquer"
Quand le site est le fait d’un particulier il n’y a pas obligation de faire figurer ses coordonnées complètes, un formulaire de contact est toutefois recommandé . La CNIL a prévu des exceptions complètes de déclaration pour certaines formes courantes de sites (blogs, forum). Quant aux cookies, cela ne concerne pas les cookies techniques (id de session par exemple).
Bref, il n’y a pas franchement de quoi fouetter un chat, même si un professionnel doit être nettement plus attentif mais ce n’est guère contraignant. Maintenant si le site est blindé de pub et d’autres joyeusetés pour collecter et livrer en pâture à des tiers des données privées sans s’être posé de question, ça risque de moins bien se passer.
Le
15/10/2014 à
16h
34
kypd a écrit :
Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)
Déclaration CNIL uniquement nécessaire dans certains cas, déclaration simplifiée (10 minutes top chrono) dans la plupart des cas où il n’y a pas de traitement de données sensibles.
Mentions légales : nom et coordonnées de l’éditeur du service en ligne, nom du responsable de la publication, coordonnées de l’hébergeur, indication si des données privées sont collectées et moyen d’exercer son droit de communication et de rectification en vertu de la loi du 6 janvier 1978 modifiée.
Oui, c’est assemblé en France, mais pas fabriqué (ce qu’implique pour moi “produit”). Donc ça reste encore du caca de taureau mercatique à mes yeux " />
C’est clair que des fonderies en France " />maintenant le fait de réaliser l’assemblage en France est plutôt rare ; d’habitude c’est fichiers de fabrication envoyés en Chine et récupération de containers de cartes assemblées voir de produits entièrement finis (par exemple Archos).
Le
15/10/2014 à
08h
38
John Shaft a écrit :
Ah. Ils sont fondeur de puce ARM chez Online/Illiad ? Et il y a une usine en France ? " />
Non, pas fondeur. Mais si l’usine d’intégration des composants est en France, ils ont du très bon matos (machines pick and place) et à vue de nez une capacité de production loin d’être ridicule. Comme c’est probablement mutualisé entre les différentes filiales d’Illiad, il pourrait y avoir des surprises à l’avenir.
Le
15/10/2014 à
07h
58
Il manque quand même une information essentielle : le prix d’une instance… Sinon d’après ce que j’ai lu l’adresse IP publique est dynamique (mais reste fixe tant que le serveur n’est pas redémarré) et les différentes instances sont natées sur un réseau RFC1918.
C’est donc pas forcément simple de déployer dynamiquement des instances supplémentaires sans toucher à la configuration du front-end par exemple ; à suivre.
Y a que moi qui considère que cette technique devrait être une arme classique des journalistes ?
Faut croire que non " />
Le
10/10/2014 à
16h
42
MarcRees a écrit :
Suis sûr que je vais trouver des pépites dans ces docs.
Note aussi qu’il y a d’autres personnes qui essayent des les avoirs (chercheurs, etc.)
Une fois ces données ouvertes, j’espère qu’ils pourront en profiter.
Je n’en doute pas, mais la technique consistant à poser ses jalons - avec une exposition publique non négligeable - pour escalader au besoin (tribunal administratif) semble échapper malheureusement à quelques lecteurs.
Le
10/10/2014 à
16h
04
" />
Marc, un grand merci pour tout ce boulot et cette implication (certains (au hasard P.R.) parlent de militantisme), j’estime plutôt que ça s’appelle du journalisme à l’opposé des moines copieurs de dépêches AFP et de CP.
Pour les grincheux : faut avoir les cs d’annoncer ce que l’on va faire, et en toute légalité, alors que l’on est en mode investigation.
Je doute que les AD se contentent d’un mandat de l’hébergeur… cela serait assorti d’une « licence globale » privée mais payée par les hébergeurs. Autrement dit l’hébergeur devrait payer préventivement les AD au titre d’une assurance contrefaçon pour se protéger des actes éventuellement licites (exception de parodie) qui pourraient être commis par ses usagers.
Sous une forme contractuelle c’est possible mais sous une forme législative ça paraît délirant et ne pas tenir la route, ou alors j’ai rien compris.
Tout ce qui peut être branché à un ordinateur peut être un vecteur d’attaque. c’est bien connu.
Voilà, tout est dit.
Pour le reste : propagation en reflashant un firmware, il va falloir que le malware d’infiltration soit joufflu : ATMEL, MicroChip, Texas, NXP, ST Micro… en 8, 16 ou 32 bits, un bon millier de variantes et le tout en ne pouvant opérer qu’avec une mémoire très réduite (64 ko est un luxe dans ce monde).
Et après le payload doit pouvoir infecter et gérer plein de systèmes non connus à l’avance, respect.
On passe sur le fait qu’il faut une attaque locale et qu’éventuellement, dans le cas d’un key logger, il faut récupérer les données en ayant l’accès physique (le côté je me connecte en mode data en 4G ni vu ni connu est un peu irréaliste d’un point de vue économique et technique).
Néanmoins, pour des écoutes policières ou de l’espionnage c’est jouable et probablement déjà utilisé mais dans un contexte connu et où l’accès physique est possible.
Excepté faire la promotion de machins comme feu-Palladium avec soit-disant une traçabilité jusqu’à la source, cette « faille » illustre juste un gros problème de sécurité : « Faites vous attention et confiance à la source ? ».
Le
04/10/2014 à
11h
23
pentest a écrit :
Donc un malware a la capacité de traverser TOUT les systèmes de fichiers existant ?
Absolument, même si le système de fichier est en ROM " /> Franchement, la question qui se pose est : « Peut-on faire confiance au couple hardware / firmware ? » mais cela fait longtemps qu’on sait que c’est non, sauf à maîtriser l’ensemble de la chaîne et à garantir une isolation parfaite. Bref, rien de neuf.
Le
04/10/2014 à
09h
21
lol.2.dol a écrit :
Je crois qu’il y a déjà eu des attaques similaires sur les ports Thunderbolt & Firewire. La différence ici c’est l’impact de l’USB : tous les ordinateurs ont un port USB et quasiment tout le monde utilise l’USB quotidiennement.
Ce n’est pas suffisant : il faut qu’il y ait un firmware(*) et que celui-ci puisse être reprogrammé depuis la machine hôte (ISP).
(*) Beaucoup d’interfaces USB sont en fait des convertisseurs série avec un firmware limité au strict minimum (ID vendor et device USB) et sont exposées à travers un MCU difficilement exploitable par exemple : le XR21V1410.
edit : typo url
Le
04/10/2014 à
08h
40
Erratum : le 8051 est en fait le MCU de la clé, donc c’est juste de la cross-compilation pour créer le firmware. Ma conclusion reste inchangée.
Le
04/10/2014 à
08h
32
coolraoul a écrit :
Si tu refuses catégoriquement a quiconque de brancher sa clé USB sur ton PC ça devrait aller ;) ( ou smartphone apparement c’est le mieux )
En tout cas le procédé sur github est bien barbare j’ai essayé de comprendre vite fait mais ça va prendre du temps
Ça va beaucoup plus loin que cela : qui te dis que ton disque dur interne n’a pas été programmé avec un mécanisme d’injection de malware ?
Sur la démo Github ils présentent un moyen de reprogrammer une clé USB spécifique en utilisant un programmateur externe basé sur un 8051, de façon à mettre leur firmware spécifique. Ensuite (mais je n’ai regardé que très rapidement) d’altérer le fonctionnement de la clé (changer le partitionnement…) je n’ai rien vu de probant pour, depuis la couche USB, prendre le contrôle de la machine hôte.
Donc la démonstration est qu’en changeant le firmware d’un périphérique on peut changer son comportement, on avance…
Le
04/10/2014 à
08h
11
J’ai du mal à saisir en quoi cette « faille » est grave. En gros un périphérique de stockage dispose d’un firmware qui est éventuellement reprogrammable si une interface ISP (In System Programing) est disponible via le bus de contrôle. En l’absence d’ISP dans tous les cas le fabricant peut mettre le firmware qu’il souhaite en partenariat avec la NSA.
Maintenant, sans connaître la cible, modifier à la volée une archive compactée disposant d’une somme de contrôle pour infecter la machine hôte en utilisant un firmware d’une taille ridicule et avec un micro-contrôleur qui dispose de quelques kilo-octets de RAM, bon courage !
Ça reste le principe du domaine publique, de pouvoir réutiliser/modifier sans le mentioner ni rien payer du tout une oeuvre. Donc je vois pas en quoi c’est un problème.
Et bien non. Le droit moral est imprescriptible et inaliénable, outre l’absence de citation de l’auteur de l’œuvre, le traitement (massacre ?) graphique de la reproduction me semble constituer également une atteinte au droit moral de l’auteur et de ses ayants droits.
Une association de défense des consommateurs/internautes ?
Toute personne physique ou morale mais pour que ce soit recevable il faut prouver le fameux intérêt à agir qui comporte trois points (de mémoire) et bien évidemment démontrer que le décret attaqué est illégal (excès de pouvoir : hors du champ de l’exécutif, violation d’autres textes selon la hiérarchie des normes, etc).
Le
02/10/2014 à
10h
13
garn a écrit :
le décret, soit. Mais pas les amendements…
ca peut changer du tout au tout si j’ai plus ou moins compris le joyeux principe, une fois passé à la moulinette Sénat " />
Heum… un décret est un acte réglementaire, il n’y donc pas de passage devant le parlement. Néanmoins, toute personne ayant intérêt à agir (notion un peu complexe) peut attaquer devant le juge administratif un décret promulgué (dans le délai de deux mois).
Petite différence par rapport aux autres émissions, j’étais cette fois sur le plateau. Vous avez trouvé cela inutile, plus vivant, moins bien, nul ou que sais-je ?
Des critiques à faire sur cette émission ?
Merci !
C’était très bien et surtout différent. Je développe (un peu) : c’était pas un match de boxe, il y a eu complémentarité des intervenants et la présentation des problématiques sans dogmatisme, ça change.
(troll) J’attends avec impatience un 14h42 avec Pascal R. mais ça sera une émission probablement plus « conventionnelle »(/troll).
Ça ferait combien de “RCP” sur un HD de 6 To (° 240€), Marc, Histoire de rire?" />
En extrapolant avec le tarif applicable aux disques externes, ça ferait 72 € en plus (en hors taxe parce qu’il faut ajouter la TVA à 20% sur le tout tant qu’à faire). Avec un NAS en RAID 6 ça se sentira à peine.
Les HDD ne sont pas déjà taxés ? ou c’est juste ceux vendu dans des boîtiers type “externe” ?
J’ai toujorus cru que même les HDD “bulk” étaient assujettis
Les disques durs et SSD fixes internes ne sont pas assujettis pour le moment. S’ils arrivent à mettre ça en place, ça sera un sacré bordel pour le remboursement des pros mais plus vraisemblablement le plus simple sera d’acheter en parfaite légalité (pour les pros) à l’étranger.
Cazeneuve, en tant que ministre de l’intérieur, n’a pas d’intérêt à agir si un site diffuse des contenus manifestement destinés à troubler l’ordre public ? Ah ? Ça sert à quoi un ministre de l’intérieur ?
Le
17/09/2014 à
22h
52
roger21 a écrit :
entonnant cette suspension, recherche de voteurs sans cerveaux?
On appelle ça des godillots et oui il y a une réserve de permanence à l’Assemblée nationale et une suspension de séance permet de les réveiller pour qu’ils viennent dans l’hémicycle.
Juste pour information le test en trois étapes n’aurait jamais du atterrir directement dans DADVSI. La directive 2001/29CE (EUCD article 5, paragraphe 5) en ce qui concerne la transposition indique que le législateur (le pays membre qui transpose) doit, avant d’introduire une exception dans la loi nationale, s’assurer de sa conformité à ce test ; mais il n’est aucunement mentionné que c’est « au client final » de procéder à cette vérification (d’ailleurs hors de portée d’un particulier).
Preuve s’il en est de la très haute compétence de nos énarques qui peinent à lire et surtout à comprendre un texte.
Le
17/09/2014 à
13h
42
J’aimerais comprendre la logique (si elle existe) du législateur avec le 331-9 qui indique explicitement le droit d’exercer une exception dans un cas précis et de faire jouer dans le même temps le test en trois étapes du 122-5 :
« Les exceptions énumérées par le présent article ne peuvent porter atteinte à l’exploitation normale de l’oeuvre ni causer un préjudice injustifié aux intérêts légitimes de l’auteur. ».
On a donc un article qui affirme le principe de l’exercice d’une exception dans une situation explicitement mentionnée par le législateur et une exception qui pose un périmètre subjectif pour pouvoir être satisfaite ; or, si le 331-9 existe on peut légitiment penser qu’il satisfait aux conditions exigées par l’exception. Bref, ce n’est plus du droit mais l’œuvre de Gribouille interprétée par Rantanplan.
C’est propre (le jugement) contrairement au montage délirant des « éditeurs » du site. Je rejoins complètement Maître Iteanu dans ses conclusions.
Même si le principe d’un tel site est à l’évidence un nid potentiel d’infractions à la loi de 1881, vouloir se réfugier derrière un pseudo anonymat est d’une rare stupidité et a été sanctionné en tant que tel.
Le plus simple reste d’acheter dans un pays où la RCP n’existe pas (en Europe autant que possible), après si Copie France vient réclamer sa dîme, il conviendra de lui faire remarquer qu’il faudrait qu’elle attaque au pénal (seule sanction prévue par le CPI) mais vu qu’un pro est légalement exonéré ça n’a peu de chance d’aboutir d’autant que - sauf erreur - le défaut de déclaration n’est pas sanctionné en tant que tel !
Pour un pro au courant le choix est vite fait, en revanche l’obscurantisme est la meilleure arme pour gagner un peu de temps, c’est la stratégie adoptée par les ayants droit avec le soutien actif du législateur français et c’est efficace comme l’illustre cet article.
C’est ce qui est fait sauf que le micro n’est pas directement alimenter en 220V (on ne peut alimenter une micro contrôleur à cette tension et il lui faut une tension linéaire et pas alternative. Je pense que c’est ce que tu as voulu dire par “il y a des précautions à prendre toutefois”) il y a une alimentation à découpage en amont (je ne sais pas si elle est isolé par un transformateur. mais à mon avis oui.).
" />
Une varistance, un diviseur potentiométrique, un pont redresseur, une diode transil, une capa, un régulateur type 78L05 et une autre capa ; pas besoin d’une alim à découpage pour quelques mA et auquel cas tout tient dans la prise avec les LEDs. Pour les précautions c’est plutôt en cas de surtension secteur (d’où la varistance et la diode transil) et le risque d’exporter des interférences hautes fréquences directement à travers le secteur à cause de la fréquence de fonctionnement du micro-contrôleur et de la modulation PWM.
Le
04/07/2014 à
07h
28
Rozgann a écrit :
Oui, mais je parle d’un gradateur commandé à distance par un serveur. Le gradateur reçoit un signal en courant continu (0 à 5 V) qu’il interprète pour faire varier plus ou moins la tension du 220V (en fait il ne fait pas varier l’amplitude de la tension, il coupe plus ou moins de la sinusoïde). Donc il faut un circuit de commande en 5V pour pouvoir le commander…
Pas forcément. Il est relativement facile d’alimenter un micro-contrôleur directement à partir du 220V sans transfo (il y a des précautions à prendre toutefois), donc si le micro-contrôle reçoit un signal via CPL, il peut localement faire varier une sortie PWM (Pulse Width Modulation) qui commande un MOSFET qui commute du 220 V redressé vers le réseau de LEDs.
Avec du CPL on doit être à moins de 10 € pour les composants supplémentaires par système d’éclairage, et en veille la consommation doit être à peine mesurable (quelque µA). Le système centralisé de commande doit être relié au secteur pour pouvoir adresser les « ampoules » et peut recevoir les ordres par WiFi ou mieux (du point de vue sécurité) être connecté par RJ45 à un switch du réseau local.
Le
03/07/2014 à
09h
55
skan a écrit :
Mmmh, comment on configure le Wifi d’une ampoule? Que se passe-t-il en cas de coupure Wifi?
Ca à l’air d’être bien rigolo une fois l’affichette marketing retirée :p
Ça paraît curieux qu’ils n’utilisent pas du CPL très basse vitesse pour ça, d’autant qu’il y a des plages utilisables librement. De plus s’il y a une coupure de courant il n’y a, certes, plus de CPL mais la question d’allumer l’ampoule ne se pose guère dans ces conditions !
Le
03/07/2014 à
08h
20
millman42 a écrit :
Le problème d’un système centralisé c’est que en plus de revoir toutes l’installation électrique, c’est que les LED ça marche avec une tension faible. Du coup si tu as un système centralisé qui distribue un courant tension faible, pour avoir la même puissance délivrée, tu auras un courant d’intensité nécessairement plus élevée qui va passer dans tes fils.
Pas forcément. Tu as des LED de puissance à plus de 10V en vf et pour de l’éclairage on peut en mettre en série et alimenter directement en 220V redressé avec un MOSFET pour la commutation/modulation PWM au lieu d’un relais. Par ailleurs, le rendement d’un système d’éclairage LED est sans commune mesure avec des ampoules classiques.
Donc il est tout à fait possible d’avoir une tension relativement élevée et une intensité assez faible pour limiter la perte par effet Joule.
Ça va être sous quelle forme ? Le code de commerce limite à 100 le nombre d’investisseurs pour une SAS, donc en toute logique cela implique une modification de nature législative, or, j’ai vu passer que la mesure serait sous la forme d’une ordonnance en mars ?
Sinon ça semble plutôt aller dans le bon sens mais entre une annonce et un texte final…
Mon dieu, je ne l’avais pas vu ! C’est absolument incompréhensible qu’il n’y ait pas de procédure publique de poursuite de toute la chaîne de commandement (bien évidemment on trouvera un lampiste) mais à ce niveau d’incompétence pour une institution supposée critique, c’est simplement hallucinant.
Mihashi a écrit :
Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…
Comme quoi je ne suis pas aussi mauvaise langue que ça, la réalité dépasse les hypothèses " />
Le
07/02/2014 à
20h
29
Laurius a écrit :
La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »
Encore faudrait-il que cette manifestation ne soit pas une incantation parce qu’exceptée la poudre verte ça marche plutôt mal en informatique.
Supposer que les accès se feront d’abord par la page d’accueil vaguement sécurisée puis ensuite dans la hiérarchie de l’arborescence non sécurisée c’est de l’incompétence crasse (je parle des « admins », pas de la cour).
Aucun élément ne permet de déterminer la délimitation entre l’espace public et privé dès lors qu’il n’y a aucune contrainte technique imposée et raisonnablement fiable face à une utilisation que l’on peut qualifier de normale.
Donc si au lieu d’avoir cette jurisprudence moisie on peut avoir une jurisprudence qui impose de mettre en œuvre des moyens raisonnables de sécurisation avant de hurler au piratage ce sera une bonne chose et évitera les affaires Guillertimo, Kitetoa, … où la justice ne s’est pas franchement illustrée par une brillante compréhension de la technique.
Le
07/02/2014 à
20h
03
Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).
Le
07/02/2014 à
19h
26
John Shaft a écrit :
La différence est capitale. Dans le premier cas, Bluetouff est un vilain hacker pas gentil pas beau. Dans le deuxième cas, les admins de l’extranet de l’Anses sont nuls et Bluetouff ne peut pas être condamné à cause de l’erreur d’un autre. Le fait que l’Anses n’ai pas décidé de faire appel (c’est le parquet qui a fait appel) montre bien ce qui s’est passé à mon avis
" /> le parquet aurait plus avisé (et légalement tenu) au titre de l’article 40 CPP d’ouvrir une enquête sur l’ANSES et sa fuite de données supposées être confidentielles / sensibles car a priori ça tombe aussi sous le coup du CP mais comme par hasard…
Accessoirement Google aurait aussi pu être assigné histoire de rigoler encore plus et de tout déballer au grand jour ainsi que d’apprécier l’utilisation qui est faite de l’argent public.
Le
07/02/2014 à
18h
22
John Shaft a écrit :
Si je comprends bien, le juge avait alors estimé qu’il convenait d’en revenir à ce bon vieux principe du droit romain : “Nul ne peut se prévaloir de ces propres turpitudes”
Merci (je n’avais pas lu en détail le premier jugement). Mais cela paraît parfaitement raisonnable et étayé alors que l’arrêt…
Le nombre de fois où ça m’est arrivé de faire ce genre de manipes pour retrouver des documents supposément publics parce que le redesign d’un site lié à l’état avait aussi changé les urls.
Pourvu que ça casse !
Le
07/02/2014 à
17h
58
John Shaft a écrit :
Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).
Malheureusement l’arrêt ne l’indique pas précisément et, en effet, la qualification de vol est curieuse. Mais c’est visiblement aussi sur la base du 323-1 CP :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. […] »
Qui pose deux problèmes dans ce cas :
est-ce qu’un site de communication au public en ligne qui met à disposition des fichiers est un système de traitement automatisé de données ?
se maintenir frauduleusement sans que l’accès eut été lui-même frauduleux dans le cas d’un site de communication au public en ligne nécessite peut-être un développement sauf à décréter que la consultation d’un site Web ne peut se faire qu’entre 8h et 21h !
Bref souhaitons que la cour de cassation fasse le ménage.
Le
07/02/2014 à
17h
01
Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle. " />
Le
07/02/2014 à
16h
40
Obelixator a écrit :
AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?
Contrefaçon, « secret des affaires » mais là c’est une agence financée par l’état ce qui vient encore plus compliquer les choses.
Le
07/02/2014 à
16h
27
Tim-timmy a écrit :
on la refait :
il n’a PAS été condamné pour l’accès via google
Exact. Mais il a été condamné pour « vol » et maintien frauduleux dans un système d’information, système d’information qualifié par la loi de site de communication au public en ligne. Cela pose quelques interrogations qui j’espère seront clarifiées en cassation.
Le
07/02/2014 à
16h
13
megadub a écrit :
Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.
" /> il ne sont pas protégés techniquement, ils seraient protégés juridiquement, or c’est une autorité liée à l’état donc par défaut on peut supposer que les données publiées et accessibles directement sont publiques. De plus, comme le signale justement Tim-timmy la CNIL voire d’autres instances de l’état pourraient s’inquiéter que des documents prétendument sensibles et protégés puissent atterrir chez Google, non ?
megadub a écrit :
Etre journaliste ne permet pas de faire tout et n’importe quoi " />
Certes mais j’imagine que quand des choses qui pourraient s’avérer intéressantes tombent sous la main, le réflexe c’est l’aspirateur.
Le
07/02/2014 à
15h
57
Tim-timmy a écrit :
rien à voir, mais bon … (cela dit la cnil peut être saisie si des données perso ont été exposées)
J’aimerais comprendre la qualification de vol dans la mesure où ces fichiers étaient techniquement librement accessibles et en vertu de quel code ces documents, dès lors qu’ils ont été rendus publics - même par erreur -, seraient protégés.
Tim-timmy a écrit :
sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…
Ça dépend : quand il y a plein de documents c’est des fois plus pratique de faire un wget -r puis de faire le tri a posteriori, c’est d’autant plus vrai dans le cas d’un travail de journaliste vu que reflets.info se présente sous cet angle.
867 commentaires
[MàJ] Copies de puce FT232 : Microsoft supprime les pilotes fautifs
24/10/2014
Le 23/10/2014 à 17h 12
Ce que je reproche à Microsoft, qui lui a pu lire les CGU, c’est de ne pas procéder à des vérifications plus poussées eu égard aux implications potentielles, en particulier juridiques.
L’utilisateur final peut difficilement être taxé de complicité de contrefaçon, c’est plutôt une victime.
Et si au lieu d’une Arduino c’était un équipement critique (industrie, embarqué, médical, transport…) ?
Le 23/10/2014 à 16h 59
Ah ? Voyons, n’est-ce pas sciemment que cette mise à jour a été poussée ? Pour l’aspect « programmée » le jeu de mot était facile mais permettre de reprogrammer le VID:PID depuis l’USB je le répète c’est stupide (d’habitude c’est une série spéciale commandée au constructeur puisque ces informations font partie du masque).
Plutôt que de s’attaquer au contrefacteurs, on préfère s’attaquer à distance avec une rustine foireuse qui a pour effet de planter les utilisateurs légitimes.
C’est un peu facile et surtout très inquiétant si ça se généralisait.
Le 23/10/2014 à 16h 37
Je suis très content de ne ni utiliser de produits FTDI, ni Windows.
Se baser sur le VID:PID pour détecter une contrefaçon ça dépasse l’entendement (si c’est une contrefaçon il faudrait s’attendre à un VID « contrefaçon de FTDI ?), permettre de reprogrammer ce genre de chose depuis l’USB l’est encore plus (ça devrait être en PROM).
Il y a des techniques plus élaborées et plus respectueuses des utilisateurs que de faire un patch débile non testé et distribué de façon automatique sans qu’il n’y ait eu aucune vérification en particulier de la part de Microsoft.
C’est peut être un cas de figure où la nouvelle loi sur la consommation pourrait être invoquée (obsolescence programmée !).
Copie privée : les timides revendications de Jean-Noël Tronc (Sacem)
22/10/2014
Le 22/10/2014 à 16h 40
« celui de l’efficacité du système de commission paritaire qui gère le dispositif »
Comme le souligne régulièrement le Conseil d’état et la Cour des comptes ainsi qu’une partie des intéressés. Sinon parjure devant une commission parlementaire ça va chercher dans les combien (délit pénal, non ?) ?
Projet de loi sur le terrorisme : la CMP opte pour la logique du pire
22/10/2014
Le 22/10/2014 à 09h 13
Le dernier paragraphe semble cibler les dangereux terroristes qui récupèrent, du fait de la négligence des prestataires / services informatique, et font fuiter des documents croustillants supposés être non publics.
C’est moi ou la liberté de la presse vient de se faire massacrer en catimini ?
Comment la CNIL procède pour ses contrôles en ligne
15/10/2014
Le 15/10/2014 à 19h 37
Le 15/10/2014 à 16h 34
Online dévoile son offre « cloud » à base de SoC ARM v7, sans virtualisation
15/10/2014
Le 15/10/2014 à 08h 59
Le 15/10/2014 à 08h 38
Le 15/10/2014 à 07h 58
Il manque quand même une information essentielle : le prix d’une instance… Sinon d’après ce que j’ai lu l’adresse IP publique est dynamique (mais reste fixe tant que le serveur n’est pas redémarré) et les différentes instances sont natées sur un réseau RFC1918.
C’est donc pas forcément simple de déployer dynamiquement des instances supplémentaires sans toucher à la configuration du front-end par exemple ; à suivre.
Copie privée : nouvelle procédure CADA contre le ministère de la Culture
10/10/2014
Le 10/10/2014 à 17h 36
Le 10/10/2014 à 16h 42
Le 10/10/2014 à 16h 04
Marc, un grand merci pour tout ce boulot et cette implication (certains (au hasard P.R.) parlent de militantisme), j’estime plutôt que ça s’appelle du journalisme à l’opposé des moines copieurs de dépêches AFP et de CP.
Pour les grincheux : faut avoir les cs d’annoncer ce que l’on va faire, et en toute légalité, alors que l’on est en mode investigation.
CSPLA : pour autoriser les mash-up, un rapport veut impliquer les hébergeurs
06/10/2014
Le 06/10/2014 à 12h 44
Je doute que les AD se contentent d’un mandat de l’hébergeur… cela serait assorti d’une « licence globale » privée mais payée par les hébergeurs. Autrement dit l’hébergeur devrait payer préventivement les AD au titre d’une assurance contrefaçon pour se protéger des actes éventuellement licites (exception de parodie) qui pourraient être commis par ses usagers.
Sous une forme contractuelle c’est possible mais sous une forme législative ça paraît délirant et ne pas tenir la route, ou alors j’ai rien compris.
Les détails d’une importante faille USB sont désormais publics
04/10/2014
Le 04/10/2014 à 15h 40
Le 04/10/2014 à 11h 23
Le 04/10/2014 à 09h 21
Le 04/10/2014 à 08h 40
Erratum : le 8051 est en fait le MCU de la clé, donc c’est juste de la cross-compilation pour créer le firmware. Ma conclusion reste inchangée.
Le 04/10/2014 à 08h 32
Le 04/10/2014 à 08h 11
J’ai du mal à saisir en quoi cette « faille » est grave. En gros un périphérique de stockage dispose d’un firmware qui est éventuellement reprogrammable si une interface ISP (In System Programing) est disponible via le bus de contrôle. En l’absence d’ISP dans tous les cas le fabricant peut mettre le firmware qu’il souhaite en partenariat avec la NSA.
Maintenant, sans connaître la cible, modifier à la volée une archive compactée disposant d’une somme de contrôle pour infecter la machine hôte en utilisant un firmware d’une taille ridicule et avec un micro-contrôleur qui dispose de quelques kilo-octets de RAM, bon courage !
Le bras d’honneur de la Hadopi à Fleur Pellerin et aux ayants droit
02/10/2014
Le 02/10/2014 à 17h 27
Le décret sur le blocage des sites pédopornographiques et terroristes
02/10/2014
Le 02/10/2014 à 10h 56
Le 02/10/2014 à 10h 13
#14h42 : Droit à l’effacement et droit à l’oubli, on fait le point
01/10/2014
Le 01/10/2014 à 18h 35
Copie privée : l’UFC réclame une gouvernance plus démocratique
24/09/2014
Le 24/09/2014 à 19h 06
Copie privée : la SACEM veut 100 millions d’euros en plus
22/09/2014
Le 23/09/2014 à 08h 02
Le projet de loi sur le terrorisme adopté par les députés : notre compte-rendu
18/09/2014
Le 17/09/2014 à 23h 06
Cazeneuve, en tant que ministre de l’intérieur, n’a pas d’intérêt à agir si un site diffuse des contenus manifestement destinés à troubler l’ordre public ? Ah ? Ça sert à quoi un ministre de l’intérieur ?
Le 17/09/2014 à 22h 52
La Hadopi sur le ring de la copie privée dans les box
17/09/2014
Le 17/09/2014 à 14h 44
Juste pour information le test en trois étapes n’aurait jamais du atterrir directement dans DADVSI. La directive 2001/29CE (EUCD article 5, paragraphe 5) en ce qui concerne la transposition indique que le législateur (le pays membre qui transpose) doit, avant d’introduire une exception dans la loi nationale, s’assurer de sa conformité à ce test ; mais il n’est aucunement mentionné que c’est « au client final » de procéder à cette vérification (d’ailleurs hors de portée d’un particulier).
Preuve s’il en est de la très haute compétence de nos énarques qui peinent à lire et surtout à comprendre un texte.
Le 17/09/2014 à 13h 42
J’aimerais comprendre la logique (si elle existe) du législateur avec le 331-9 qui indique explicitement le droit d’exercer une exception dans un cas précis et de faire jouer dans le même temps le test en trois étapes du 122-5 :
« Les exceptions énumérées par le présent article ne peuvent porter atteinte à l’exploitation normale de l’oeuvre ni causer un préjudice injustifié aux intérêts légitimes de l’auteur. ».
On a donc un article qui affirme le principe de l’exercice d’une exception dans une situation explicitement mentionnée par le législateur et une exception qui pose un périmètre subjectif pour pouvoir être satisfaite ; or, si le 331-9 existe on peut légitiment penser qu’il satisfait aux conditions exigées par l’exception. Bref, ce n’est plus du droit mais l’œuvre de Gribouille interprétée par Rantanplan.
[MàJ] LCEN : NoteTonEntreprise condamné pour défaut de mentions légales
15/11/2014
Le 27/08/2014 à 15h 01
C’est propre (le jugement) contrairement au montage délirant des « éditeurs » du site. Je rejoins complètement Maître Iteanu dans ses conclusions.
Même si le principe d’un tel site est à l’évidence un nid potentiel d’infractions à la loi de 1881, vouloir se réfugier derrière un pseudo anonymat est d’une rare stupidité et a été sanctionné en tant que tel.
Aurélie Filippetti remplacée par Fleur Pellerin, le satisfecit de la Hadopi
27/08/2014
Le 27/08/2014 à 09h 23
« Aire » ou « Ère » (deuxième paragraphe après le chapô) ? Occupation de l’espace plutôt que du temps, curieuse formulation si c’est volontaire.
Le nombre de professionnels exonérés de copie privée stagne en France
19/08/2014
Le 19/08/2014 à 09h 12
Le plus simple reste d’acheter dans un pays où la RCP n’existe pas (en Europe autant que possible), après si Copie France vient réclamer sa dîme, il conviendra de lui faire remarquer qu’il faudrait qu’elle attaque au pénal (seule sanction prévue par le CPI) mais vu qu’un pro est légalement exonéré ça n’a peu de chance d’aboutir d’autant que - sauf erreur - le défaut de déclaration n’est pas sanctionné en tant que tel !
Pour un pro au courant le choix est vite fait, en revanche l’obscurantisme est la meilleure arme pour gagner un peu de temps, c’est la stratégie adoptée par les ayants droit avec le soutien actif du législateur français et c’est efficace comme l’illustre cet article.
Voici le nouveau logo de Next INpact
06/08/2014
Le 06/08/2014 à 13h 31
Link : une ampoule connectée compatible Zigbee pour moins de 15 dollars
03/07/2014
Le 04/07/2014 à 16h 20
Le 04/07/2014 à 07h 28
Le 03/07/2014 à 09h 55
Le 03/07/2014 à 08h 20
Fleur Pellerin veut faire de la France une pionnière du crowdfunding
14/02/2014
Le 14/02/2014 à 16h 33
Ça va être sous quelle forme ? Le code de commerce limite à 100 le nombre d’investisseurs pour une SAS, donc en toute logique cela implique une modification de nature législative, or, j’ai vu passer que la mesure serait sous la forme d’une ordonnance en mars ?
Sinon ça semble plutôt aller dans le bon sens mais entre une annonce et un texte final…
Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris
07/02/2014
Le 07/02/2014 à 21h 03
Le 07/02/2014 à 20h 29
Le 07/02/2014 à 20h 03
Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).
Le 07/02/2014 à 19h 26
Le 07/02/2014 à 18h 22
Le 07/02/2014 à 17h 58
Le 07/02/2014 à 17h 01
Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle.
" />
Le 07/02/2014 à 16h 40
Le 07/02/2014 à 16h 27
Le 07/02/2014 à 16h 13
Le 07/02/2014 à 15h 57