Forum : Questions techniques et entraide entre juristes

Sujet : Hacking: Commerce de vulnérabilités.

Echanges sur des points de droit.

Hacking: Commerce de vulnérabilités.

de Gaius Baltar   le Sam 27 Jan 2007 11:36

  • "Membre"
  •  
  • 3 messages
Bonjour,

Une vulnérabilité c’est un trou de sécurité dans une application informatique qui peut être employé par des hackers pour prendre le contrôle du compte d’un utilisateur, d’un ordinateur, d’un site ou d’un serveur web.
Prenez pour exemple ce forum, c’est un forum PHPBB, il est écrit dans un langage de programmation appelé le PHP et il fait assez régulièrement l’objet de failles/trous de sécurité qui le rendent vulnérable à des attaques de hackers.

Aux Usa un commerce s’est légèrement développé autour de ça, ceux qui trouvent ces failles -ces défauts de conception- revendent leurs trouvailles.
Par exemple quand une faille est trouvée sur Windows, et bien on peut faire connaître cette faille à une société de sécurité informatique qui vous offrira une rémunération en échange, cette société y trouve son compte par le biais de la pub qui lui sera faite quand elle publiera cette faille dans les colonnes de ses articles.

Les acheteurs ne sont pas toujours des sociétés spécialisées dans la sécurité informatique, ce sont parfois des militaires, des mafias(adeptes d’escroqueries en tous genres, de la cybercriminalité), ou des sociétés qui s’adonnent à l’espionnage industriel.

Que disent les lois françaises à ce sujet ? Est- il illégal de vendre des failles ?
Est-il légal de demander une rétribution à une société en échange d’une information qui concerne l’un de ses produits ?
Dernière édition par Gaius Baltar le Sam 27 Jan 2007 18:14, édité 1 fois.

   

de Camille   le Sam 27 Jan 2007 17:20

  • "Vétéran"
  •  
  • 3967 messages
  • Profession: Autre métier non lié au droit
Bonjour,
Je ne vois pas trop bien pourquoi ce serait illégal. D'ailleurs, on ne vend pas "une faille" mais une information, un conseil, une prestation de service. Il y a beaucoup de sociétés qui travaillent sur la founiture d'informations (sociétés de conseils; consultants, veille technologique, etc.). Le fait de founir des infos sur les propres produits d'un client n'est qu'une variante.Ce qui paraitre nouveau, c'est que ce n'est plus forcément à l'initiative du client lui-même mais qu'on vient spontanément lui proposer ce service. Mais rien d'illégal là dedans (sauf, bien sûr, si c'est vous qui avez habilement glissé ou fait glisser la faille dans le produit de votre futur client... :wink: ).
Dernière édition par Camille le Lun 29 Jan 2007 10:20, édité 1 fois.

   

de françois   le Lun 29 Jan 2007 10:40

  • "Vétéran"
  •  
  • 828 messages
  • Localisation: 75
  • Profession: Juriste
Attention toutefois à la manière dont vous trouvez cette faille :wink: Je pense notamment aux dispositions de la loi Godfrain sur les atteintes aux systèmes informatiques. Il ne faut pas que vous soyiez amené à pénétrer ou à vous maintenir de manière frauduleuse dans un système informatique.

Si vous trouvez cette faille tout à fait licitement (pas d'engagement de confidentialité non plus par exemple), rien ne s'oppose à la communication de cette information, laquelle ne me semble pas être hors commerce.
La justice c'est comme la sainte Vierge si on la voit pas de temps en temps, le doute s'installe. (Audiard)

   Attention aux réactions !

de alain stevens   le Ven 02 Mar 2007 13:43

  • "Membre"
  •  
  • 8 messages
  • Localisation: 51
  • Profession: Consultant
Bonjour,

Il faut effectivement être prudent, car on trouve des exemples de personnes poursuivies après ce genre d'approches.

Il est vrai que certaines failles sont accessibles avec un simple navigateur, et qu'il suffit parfois de demander à Google de lister les sites qui présentent des failles.
Alain STEVENS - Consultant en informatique, Stratégie et Investigations - Cybersécurité, Cybercriminalité et délinquance informatique.
[url]https://pacta.fr[/url]

   

de Gaius Baltar   le Sam 03 Mar 2007 5:20

  • "Membre"
  •  
  • 3 messages
Mon compte a été suspendu sur le site d'Ebay.
J’avais crée une enchère qui visait à vendre une vulnérabilité informatique qui touche un service de Google.
Dans la description du produit mis en vente, j’avais clairement stipulé que cette vulnérabilité ne serait vendue qu’à des gens sérieux comme des entreprises de sécurité informatiques qui "usent" de ce genre d’informations dans la légalité(pour se faire de la publicité), j’avais clairement précisé que les acheteurs devraient justifier leurs identités et que les arnaqueurs ou hackers malhonnêtes n’étaient pas désirés.
Dans ce cadre, la vente de cette information, n’était pas, je pense, un délit, elle ne l’était pas plus que ces milliers de livres de hacking qui sont disponibles à sur ce même site.
Avaient ils le droit de retirer ma vente et de suspendre mon compte ?
Ai-je enfreintes des lois !?

   

de Hervé   le Sam 03 Mar 2007 13:10

  • "Vétéran"
  •  
  • 3913 messages
  • Localisation: Etranger
  • Profession: Juriste
Je pense que le site sur lequel vous avez mis en vente la faille a voulu se protéger dans la mesure où il serait assez aisé de vous raconter n'importe quoi sans que vous ne puissiez véritablement le vérifier. Ils n'ont probablement pas voulu se retrouver éventuellement embarqués dans une procédure judiciaire qui vous concernerait plus tard quant à l'usage fait ensuite de ce que vos vendez...
Quand les cons voleront, il fera nuit en plein jour...

Afficher les messages postés depuis:
Trier par
Ordre

Au total il y a 13 utilisateurs en ligne :: 0 enregistré, 1 invisible et 12 invités (basées sur les utilisateurs actifs des 5 dernières minutes).
Le record du nombre d’utilisateurs en ligne est de 1334, le Mar 14 Avr 2020 20:28

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs