LE FORUM DES MEMBRES DU VILLAGE

Bonjour,

Une vulnérabilité c’est un trou de sécurité dans une application informatique qui peut être employé par des hackers pour prendre le contrôle du compte d’un utilisateur, d’un ordinateur, d’un site ou d’un serveur web.
Prenez pour exemple ce forum, c’est un forum PHPBB, il est écrit dans un langage de programmation appelé le PHP et il fait assez régulièrement l’objet de failles/trous de sécurité qui le rendent vulnérable à des attaques de hackers.

Aux Usa un commerce s’est légèrement développé autour de ça, ceux qui trouvent ces failles -ces défauts de conception- revendent leurs trouvailles.
Par exemple quand une faille est trouvée sur Windows, et bien on peut faire connaître cette faille à une société de sécurité informatique qui vous offrira une rémunération en échange, cette société y trouve son compte par le biais de la pub qui lui sera faite quand elle publiera cette faille dans les colonnes de ses articles.

Les acheteurs ne sont pas toujours des sociétés spécialisées dans la sécurité informatique, ce sont parfois des militaires, des mafias(adeptes d’escroqueries en tous genres, de la cybercriminalité), ou des sociétés qui s’adonnent à l’espionnage industriel.

Que disent les lois françaises à ce sujet ? Est- il illégal de vendre des failles ?
Est-il légal de demander une rétribution à une société en échange d’une information qui concerne l’un de ses produits ?

Bonjour,
Je ne vois pas trop bien pourquoi ce serait illégal. D'ailleurs, on ne vend pas "une faille" mais une information, un conseil, une prestation de service. Il y a beaucoup de sociétés qui travaillent sur la founiture d'informations (sociétés de conseils; consultants, veille technologique, etc.). Le fait de founir des infos sur les propres produits d'un client n'est qu'une variante.Ce qui paraitre nouveau, c'est que ce n'est plus forcément à l'initiative du client lui-même mais qu'on vient spontanément lui proposer ce service. Mais rien d'illégal là dedans (sauf, bien sûr, si c'est vous qui avez habilement glissé ou fait glisser la faille dans le produit de votre futur client... ).

Attention toutefois à la manière dont vous trouvez cette faille Je pense notamment aux dispositions de la loi Godfrain sur les atteintes aux systèmes informatiques. Il ne faut pas que vous soyiez amené à pénétrer ou à vous maintenir de manière frauduleuse dans un système informatique.

Si vous trouvez cette faille tout à fait licitement (pas d'engagement de confidentialité non plus par exemple), rien ne s'oppose à la communication de cette information, laquelle ne me semble pas être hors commerce.

Bonjour,

Il faut effectivement être prudent, car on trouve des exemples de personnes poursuivies après ce genre d'approches.

Il est vrai que certaines failles sont accessibles avec un simple navigateur, et qu'il suffit parfois de demander à Google de lister les sites qui présentent des failles.

Mon compte a été suspendu sur le site d'Ebay.
J’avais crée une enchère qui visait à vendre une vulnérabilité informatique qui touche un service de Google.
Dans la description du produit mis en vente, j’avais clairement stipulé que cette vulnérabilité ne serait vendue qu’à des gens sérieux comme des entreprises de sécurité informatiques qui "usent" de ce genre d’informations dans la légalité(pour se faire de la publicité), j’avais clairement précisé que les acheteurs devraient justifier leurs identités et que les arnaqueurs ou hackers malhonnêtes n’étaient pas désirés.
Dans ce cadre, la vente de cette information, n’était pas, je pense, un délit, elle ne l’était pas plus que ces milliers de livres de hacking qui sont disponibles à sur ce même site.
Avaient ils le droit de retirer ma vente et de suspendre mon compte ?
Ai-je enfreintes des lois !?

Je pense que le site sur lequel vous avez mis en vente la faille a voulu se protéger dans la mesure où il serait assez aisé de vous raconter n'importe quoi sans que vous ne puissiez véritablement le vérifier. Ils n'ont probablement pas voulu se retrouver éventuellement embarqués dans une procédure judiciaire qui vous concernerait plus tard quant à l'usage fait ensuite de ce que vos vendez...