Fuite de données : La justice accuse les admins et non les pirates

4

Voila une nouvelle qui fera des heureux ! Si un administrateur d’un système informatique ne protège pas (ou mal) ses données, le pirate qui découvre la vulnérabilité ne risque plus d’être poursuivi pour piratage.

C’est le webzine d’information DataSecurityBreach qui revient sur un jugement du tribunal correctionnel de Créteil qui va attirer le regard des juristes des entreprises.

En effet, le 23 avril dernier, la justice a annoncé que si le responsable d’un système d’information ne sécurise pas son réseau ou son serveur contre les intrusions, l’internaute qui aura eu accès aux données en question (par exemple via un moteur de recherche ou une vulnérabilité, ndlr), l’entreprise fautive ne pourra plus poursuivre l’Internaute qui aura pu accéder aux dites information.

Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, et que ces derniers sont toujours à disposition du propriétaire, il n’y a pas eu “piratage”.

Qu’en pensez-vous ?

4 Commentaires

  1. […] Il a pour mission d’informer, de former, de conseiller et d’alerter les acteurs de l’organisation pour tout ce qui concerne le système informatique et notamment les risques encourus. Veille Juridique. Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende. Fuite de données : La justice accuse les admins et non les pirates. […]

  2. Premièrement,Il m’est arrivé récemment de tomber sur un serveur free d’un particulier,via google, en faisant des recherches sur des malwares.
    J’ai découvert des livres sur l’électronique des livres sur informatique, et une bonne notation sur wot.
    Je me suis dit: “Ce prof est génial!”
    Et en visitant son arborescence, j’ai découvert des photos personnelles, de sa famille,de la musique, les logiciels qu’ils utilisait, d’autres livres ,les logiciels qu’il utilisait, les torrent aussi, en bref sa vie privée. Et je me rendu compte que ce n’était pas un site d’un professeur, mais d’un particulier… J’ai eu honte pour lui, mais aussi pour moi même…
    Après, si il tient un log et qu’il porte plainte sur moi, le jugement du tribunal correctionnel de Créteil semble légitime.J’y ai accédé via google.Et pour le contacter, l’occurrence de son nom/prénom est trop élevée. Autant chercher une aiguille dans une botte de foin…

    Deuxièmement, ce jugement rendu est aussi une faille. En effet, si un pirate ingénieux arrive à accéder au serveur,trouve l’identifiant le mot de passe, référence les parties du serveur qu’il a copié, et modifie les logs pour essayer d’effacer ses traces, et ben, le piraté risque de l’avoir dans l’os. Mais bon, je ne m’y connais pas en intrusion, donc je peux dire des vertes et des pas mûrs concernant cette seconde partie.

    troisièmemenent, concernant l’espionnage industriel, imaginez que je suis un patron d’une grosse boite. Je veux couler mon concurrent.Je fais de faux d’entretiens d’embauche pour embaucher un rsi d’une boite concurrente. Je fais rêver le rsi de la société concurrente, je lui fait une belle promesse d’embauche, avec un salaire triplé+ primes, en échange de laisser les données “open” sur Internet quelque temps,en simulant un mauvaise manipulation; Le rsi s’en moque de toute manière puisqu’il croit qu’il va se faire embaucher dans la nouvelle entreprise, pour pomper les données, et prévenir mes autres concurrents de la faille pour anéantir la boîte en question. Le patron lui dit qu’il ne risque rien, que c’est lui même qui prend des risques. Sachant que le rsi ne connait pas ne connait pas le jugement de Créteil du 23 avril mais que le patron sait que c’est le rsi qui risque de tout prendre, et ben, tant pis pour ce dernier… et le patron sera gagnant, puisqu’il aura laissé le moins de preuve possible (pas obligé de cacher les données récupérées)

    Je n’ose même pas imaginer le cas du renseignement intérieur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.