Ce titre vient d'un article de ZATAZ.com publié cet après midi et qui m'a fait bondir sur mon siège.

Pour ceux qui ne connaissent pas ZATAZ.com, voici une petite description. Damien Bancal est l'auteur de ce site et propose de nous renseigner sur tout ce qui touche à l'actualité multimédia (décalée) et plus précisément à la sécurité informatique. Il a travaillé pour plusieurs médias comme 01Net, Europe 2, Capital sur M6, etc... Il est l'auteur de Hackers et pirates sur internet aux éditions Desmaret.

Bon voici ce qui m'a fait bondir: (je résume très vite l'article et vous incite fortement à le lire). Pour avoir aider une entreprise (ndlr: qu'il ne site pas) à boucher une faille de sécurité dans leur ftp, il se retrouve deux ans après les faits devant la justice pour piraterie et perd le procés. C'est la première fois qu'il se voit accusé et condamné alors qu'il se vante (ndlr: à juste titre) d'avoir aider plus de 7000 PME, entreprise et associations à boucher leur failles sur leur serveurs.
Pour moi, la justice condamne celui qui crie au loup!
Cela ne vous rappelle pas l'affaire de la carte bleue???

Espérons qu'il s'en sorte car il doit payer les fraits de justice!

L'article est à lire : ici.

Etonnant non ?
Moi ça ne m'étonne qu'à moitié:

Voilà une justice très mal adaptée aux réalités de notre époque = voici une injustice

Un mec qui veut empecher le piratage de certaines PME, sites... il a la sympathie de les prévenir, et voila comment il se fait remercier !!!!

Merci pour ces PME, banques.... qui ONT LE DEVOIR de sécuriser leurs sites, et empecher que nos numéros de carte bleue se balladent sur le Net.

Drole de monde !

Premier point : on n'a pas tous les éléments, et cela ne nous regarde pas car c'est dans le dossier de l'instruction, donc secret pour ceux qui n'y sont pas impliqués. Donc tout ce qu'on pourra avancer sera forcément faux car nous n'avons ni les tenants, ni les aboutissants, ni les modalités des faits. Ce ne sont qu'allégations et autres propos qui alimentent la chronique et qui, au final, ne peuvent que desservir la défense de cette personne. Quelle qu'en fût la notoriété de la personne inculpée, nul n'est au-dessus des lois. Laissons la justice suivre son cours.

Deuxième point : l'intrusion dans un SI est puni par la loi. Je crois me souvenir que c'est dans les articles 323-xx et suivants du nouveau code pénal que le problème est évoqué et traité. Il n'y a pas, à ma connaissance, de clause légale permettant une intrusion, même pour démontrer la perméabilité d'un système, même après un accord tacite entre les deux parties. Par extension, l'introduction d'un virus dans un ordinateur d'une entreprise est considéré comme une introduction de données frauduleuses, donc répréhensible au vu des mêmes articles du même nouveau code pénal.

Troisième point : ce genre d'exemple est très caractéristique du fait que la sécurité des systèmes d'information est une réalité et que les moyens pour s'en prémunir, sont ceux qu'ils sont, mais qu'ils existent et que la justice a pris en compte cette cybercriminalité. Et cela, c'est une bonne chose. Le jour ou une société mettra au chômage ne serait-ce qu'un seul employé car elle s'est fait hacker son compte et qu'elle n'a donc plus de liquidités pour payer les fournisseurs et les salaires de ses employés, on espère tous que la justice retrouvera les coupables, car on sera peut-être concerné par ce chômage forcé et non désiré. Le seul piaffement qu'il nous est autorisé décemment et humblement permis de faire publiquement, c'est justement de dire, "ouh là, ça ne rigole pas dans le domaine de la S.S.I.".



S.S.I. : Sécurité des Systèmes d'Information (des fois que...)

@zorro51 : les procédures bancaires commencent à changer dans le domaine des "numéros de cartes bleues qui se promènent".
Je m'explique, ou plutôt je cite l'avertissement que certaines banques mettent sur leur site depuis plusieurs mois :
"Une nouvelle règlementation de MasterCard et de VISA, destinée à renforcer la sécurité des paiements par carte bancaire sur Internet, est entrée en vigueur. Les commerçants affichant les logos "MasterCard Secure Code" ou "Verified by Visa" nous demandent désormais de contrôler votre identité lorsque vous payez vos achats par carte bancaire sur leur site.
A cette fin, vous devez adhérer au service gratuit d'authentification des paiements carte bancaire. Vous bénéficierez ainsi d'une sécurité accrue et vous pourrez continuer d'acheter sur Internet avec votre carte bancaire auprès de vos marchands habituels.
A défaut d'adhésion à ce service, vous ne pourrez plus utiliser votre carte bancaire pour payer sur les sites internet qui demandent une telle authentification."

Cela se traduit par l'utilisation (bien) connue des e-cartes bleues fournissant un numéro virtuel, de sorte que si le véritable numéro est livré en pâture sur le net, cela devient de la responsabilité du titulaire de ladite carte.
De plus, alors là, méf de chez méf à propos des hotspots gratuits non sécurisés : on s'y connecte en wifi, et on y fait des achats croyant que la transaction est sécurisée. Mais non, elle l'est du hotspot vers le net, mais entre l'internaute et son point de raccordement wifi hotspot, tout passe "en clair".
Je ne donnerai pas de nom d'utilitaires permettant le snif des trames, on les connaît, mais c'est d'une incroyable réalité.
Maintenant, il est vrai que les organismes financiers se doivent de sécuriser nos transactions et toutes les infos qu'on leur confie, sinon j'appelle Rambo et SuperMario !

@doc: depuis des années Damien Bancal via ZATAZ rapporte, entre autre chose, à des entreprises / PME l'existence de failles sur leurs serveurs, serveurs web. Et pour suivre Damien Bancal depuis la création de ZATAZ et même avant il n'a été motivé que par le fait d'aider ces PME à combler les failles de leurs serveurs. Combien de fois j'ai lu les remerciements d'associations, de particuliers de PME sur son site!

Le pire c'est que c'est un moteur de recherche qui a pénétré dans leur serveur FTP "troué" !!!.
La justice a donc condamné quelqu'un pour avoir simplement signaler que le contenu d'un FTP été accessible dans un moteur de recherche. C'est cette comdamnation INDIRECTE qui me fait bondir. Rien d'autre!!!

C'est mon avis et il n'engage que moi. Bientôt nous serons condamné par le simple fait d'avoir fait une capture d'écran d'un site défacé, nous serons complice!!! C'est fou!!!

Un peu comme le mec, il y a une dizaine d'années, qui avait denoncé le manque de sécurité des cartes bleues, que l'on a préféré faire taire, plutot que de revoir la sécurisation des cartes bleues !
Elle est belle notre justice !

Je vous comprends bien dans votre grand étonnement voire plus. Vous réagissez sainement et humainement.
Mais même si cela m'interpelle également, nous ne connaissons pas tous les "dessous" de ces affaires. On serait peut-être surpris.
Au boulot, j'avais un subordonné, il y a quelques années, qui criait "au loup" pour des c....ries mes concernant.
L'adjoint du patron lui a donné raison jusqu'à ce que je sollicite un RdV pour faire connaître l'autre côté de l'affaire. J'ai alors sorti mes accréditations administratives officielles du grand patron et là.... tous les premiers blâmes me concernant se sont vite estompés avec des excuses plus basses que notre bonne vieille terre, et le type à l'origine du b..del a été déplacé.
Comme quoi, on n'a jamais tous les éléments en main.

Citation :

Ce n'est certainement pas une intrusion que d'accéder à un serveur FTP via le login générique anonymous, lorsque celui-ci est accepté par le dit serveur.
D'ailleurs pourquoi la société en question n'attaque-t-elle pas Google ? On rigolerait bien...

Il doit y avoir un autre chef d'accusation, on ne connait pas tous les détails de l'histoire. La presse est spécialiste pour donner les éléments sous des abords accrocheurs afin de sensibiliser l'opinion pubique ou de s'attirer ses faveurs.
C'est peut-être sa démarche initiale dans la découverte de cette faille qui est répréhensible et non ce qui est annoncé au grand public.

Bonjour
Citation :
Ceci serait vrai si l'affaire n'était pas jugée, mais d'après ce que j'ai pu lire (en diagonale)sur le site de zataz l'affaire est jugée, les chefs d'accusations sont donc connus, et la condamnation ne peut se baser que sur l'accusation rendue publique pendant l'audience.
Par contre le site de zataz ne donne sans doute que la manière de voir de zataz.