Le petit guide du gentil hacker

1. Tester vos découvertes sur votre propre machine
Je vous l’avoue, la tentation est grande que de tester “en vrai” l’exploitation d’une faille de sécurité sur, par exemple : un serveur web, une base de données SQL, un logiciel quelconque, …
Cependant même si vous partez d’une bonne intention, qui est de tester la sécurité de la cible, et que vous réussissiez votre intrusion alors que vous ne faites rien qui ne pourrait porter préjudice au propriétaire, vous êtes au point de vue de la loi “coupable”. Votre action pourrait alors se retourner contre vous, même si vous n’avez pas eu d’intention malhonnête …

2. Risques encourus
Article 323-1

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) (Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004)

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

Le simple fait d’accéder et de contourner les sécurités pour accéder à une ressource informatique est donc punissable par la loi. Et cela même si aucun acte malveillant a été réalisé, comme je l’ai expliqué dans le point 1.

3. Vaut mieux prévenir que guérir.
Que faire si jamais vous soupçonnez, une machine, un service, un serveur, … d’être potentiellement vulnérable ?

  • Prévenez l’équipe du service informatique ;
  • Éventuellement, décrivez les détails de la faille ;
  • Ne tentez pas d’exploiter cette faille en dehors de chez vous, car cela pourrait se retourner contre vous, comme je l’ai annoncé dans l’article ;
  • Réfléchissez au fait suivant “Dois-je rendre public un exploit et/ou démontrer comment il fonctionne ?”.

4 replies on “Le petit guide du gentil hacker”

  1. [pointillieux troll]Hophophop !!!! Il y a erreur, on ne met pas tous les oeufs dans le meme panier. Hacker et cracker spa pareil. Le hacker, lui il "bidouille" un "objet" pour lui faire faire autre chose que ce dont il était prévu. Le cracker, lui il utilise les failles de sécu, les bugs et tutti pour faire des test ou autre, suivant sa nature.[/pointilleux troll] (j'ai ptet fais des fautes, mais l'idée est la 🙂 )

  2. La loi fait mal, mais dans la plupart des cas, même si on s'est introduit par effraction, et que ensuite on avertit l'entreprise, elle va pas aller porter plainte, en général elle est contente qu'on l'avertisse.
    Apres si y'a du vol de données ou autre, c'est une autre histoire.

Comments are closed.