Le scan de vulnérabilités
La LCEN (loi de Confiance sur l´Economie Numérique - n° 2004-575) du 21 juin 2004, et notamment son article 46, stipule que l´usage d´outil tel que les scanners de vulnérabilités n´est licite que si la finalité de son utilisation est légitime. Ainsi, dès la première étape exposée dans cet article, le hacker se met hors la Loi. Le fait de télécharger un outil logiciel pour scanner les vulnérabilités d´un système d´information n´est pas innocent. La jurisprudence n´est pas encore parfaitement établie et les condamnations n´ont pas encore été prononcées, car la Loi est récente. Mais le cadre législatif est désormais tout à fait clair. Le « hacker » est désormais clairement coupable dès l´usage d´un tel outil. Il en est bien sûr de même pour les outils de « crack ».

Nous recommandons en revanche fortement aux responsables des systèmes d´information d´avoir recours à ces outils de scans pour gérer de manière préventive les risques encourus par leur système d´information. Pour eux, la légitimité est manifeste et ces outils sont donc légaux.

Les « exploits »
En France, l´existence des sites publiant les « exploits » tombe sous le coup de la Loi depuis la promulgation de la LCEN. Une publication limitée à un cercle fermé de professionnels peut être acceptée, car légitime. La même publication arrivant dans les mains de « hackers » n´est plus licite.

Là encore, la jurisprudence n´est pas établie et le débat sur le bien-fondé du « full-disclosure » n´est peut-être pas achevé. Certains affirment que tout doit être publié, y compris les codes sources de possibles attaques pour faire évoluer les logiciels vers des solutions corrigées plus sûrs. D´autres plaident pour une plus grande discrétion afin de ne pas aider les « hackers » dans leurs fins condamnables. La notion de complicité de délit dans la publication des « exploits » existe désormais. Car quels que soient les débats de la profession, la Loi telle qu´elle est écrite est applicable.

Il reste toutefois la question des sites hébergés à l´étranger. Nous devons reconnaître, qu´en l´absence de réelles coordinations internationales, rien n´empêche les « hackers » de faire leur marché hors de France. Argument mis en avant par les partisants du « full-disclosure ».

------------------------------------------------------

Le texte de la LCEN est disponible à l´adresse http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L

Article 46

I. - Après l´article 323-3 du code pénal, il est inséré un article 323-3-1 ainsi rédigé :

« Art. 323-3-1. - Le fait, sans motif légitime, d´importer, de détenir, d´offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l´infraction elle-même ou pour l´infraction la plus sévèrement réprimée. »

II. - Aux articles 323-4 et 323-7 du même code, les mots : « les articles 323-1 à 323-3 » sont remplacés par les mots : « les articles 323-1 à 323-3-1 ».



Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145556
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire