Voila une nouvelle qui fera des heureux ! Si un administrateur d’un système informatique ne protège pas (ou mal) ses données, le pirate qui découvre la vulnérabilité ne risque plus d’être poursuivi pour piratage.
C’est le webzine d’information DataSecurityBreach qui revient sur un jugement du tribunal correctionnel de Créteil qui va attirer le regard des juristes des entreprises.
En effet, le 23 avril dernier, la justice a annoncé que si le responsable d’un système d’information ne sécurise pas son réseau ou son serveur contre les intrusions, l’internaute qui aura eu accès aux données en question (par exemple via un moteur de recherche ou une vulnérabilité, ndlr), l’entreprise fautive ne pourra plus poursuivre l’Internaute qui aura pu accéder aux dites information.
Le tribunal indique que s’il n’y pas eu soustraction matérielle des documents, et que ces derniers sont toujours à disposition du propriétaire, il n’y a pas eu “piratage”.
Qu’en pensez-vous ?
Premièrement,Il m’est arrivé récemment de tomber sur un serveur free d’un particulier,via google, en faisant des recherches sur des malwares.
J’ai découvert des livres sur l’électronique des livres sur informatique, et une bonne notation sur wot.
Je me suis dit: “Ce prof est génial!”
Et en visitant son arborescence, j’ai découvert des photos personnelles, de sa famille,de la musique, les logiciels qu’ils utilisait, d’autres livres ,les logiciels qu’il utilisait, les torrent aussi, en bref sa vie privée. Et je me rendu compte que ce n’était pas un site d’un professeur, mais d’un particulier… J’ai eu honte pour lui, mais aussi pour moi même…
Après, si il tient un log et qu’il porte plainte sur moi, le jugement du tribunal correctionnel de Créteil semble légitime.J’y ai accédé via google.Et pour le contacter, l’occurrence de son nom/prénom est trop élevée. Autant chercher une aiguille dans une botte de foin…
Deuxièmement, ce jugement rendu est aussi une faille. En effet, si un pirate ingénieux arrive à accéder au serveur,trouve l’identifiant le mot de passe, référence les parties du serveur qu’il a copié, et modifie les logs pour essayer d’effacer ses traces, et ben, le piraté risque de l’avoir dans l’os. Mais bon, je ne m’y connais pas en intrusion, donc je peux dire des vertes et des pas mûrs concernant cette seconde partie.
troisièmemenent, concernant l’espionnage industriel, imaginez que je suis un patron d’une grosse boite. Je veux couler mon concurrent.Je fais de faux d’entretiens d’embauche pour embaucher un rsi d’une boite concurrente. Je fais rêver le rsi de la société concurrente, je lui fait une belle promesse d’embauche, avec un salaire triplé+ primes, en échange de laisser les données “open” sur Internet quelque temps,en simulant un mauvaise manipulation; Le rsi s’en moque de toute manière puisqu’il croit qu’il va se faire embaucher dans la nouvelle entreprise, pour pomper les données, et prévenir mes autres concurrents de la faille pour anéantir la boîte en question. Le patron lui dit qu’il ne risque rien, que c’est lui même qui prend des risques. Sachant que le rsi ne connait pas ne connait pas le jugement de Créteil du 23 avril mais que le patron sait que c’est le rsi qui risque de tout prendre, et ben, tant pis pour ce dernier… et le patron sera gagnant, puisqu’il aura laissé le moins de preuve possible (pas obligé de cacher les données récupérées)
Je n’ose même pas imaginer le cas du renseignement intérieur
Les commentaires sont fermés.