Présentation réalisée dans le cadre du Cyber@Hack 2015. Illustrations par Randall Munroe sous licence Creative Commons Attribution-NonCommercial 2.5 (http://xkcd.com/)

1. LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust

2. DROITVS.PENTEST
1. Définitions préalables
2. Risques juridiques
3. Encadrement juridique

3. DÉFINIRLE
PENTEST

4. QUID?
Pentest/Test d'intrusion
Tentative de pénétration d'un système (mise en situation
d'une attaque, exploitation des failles)

5. DUCÔTÉDUPENTESTEUR
Quel système d'information cible ? / Quelles
connaissances ? / Quelle méthodologie ?

6. NIVEAUDECONNAISSANCEDU
PENTESTEUR
Boîte noire / Boîte grise / Boîte blanche

7. MÉTHODOLOGIEDUPENTEST
Logique / Physique
Technique / Ingénierie sociale

8. PENTEST≠AUDIT
L'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à un
référentiel

9. DIFFÉRENCESMAJEURES
Un pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus large, mais aussi plus cher
Juridiquement, le pentest est une obligation de moyens
(et l'audit, de résultat)

10. QUELS
RISQUES
JURIDIQUES?

11. TL;DR
GRAVESETNOMBREUX

12. FRAUDEINFORMATIQUE
Loi Godfrain (articles 323-1 à 323-7 du Code pénal)

13. DÉLITSDELALOIGODFRAIN
Notion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave du
fonctionnement / Introduction, modification,
suppression de données
Punition de la tentative / Aggravation lorsque STAD mis
en œuvre par l'État

14. SANCTIONSDELALOIGODFRAIN
Accès/Maintien
2 ans d'emprisonnement, 30k€ d'amende
Contre un STAD étatique
3 ans d'emprisonnement, 45K€ d'amende

15. SANCTIONSDELALOIGODFRAIN
Modification de données
5 ans d'emprisonnement, 75k€ d'amende
Contre un STAD étatique
7 ans d'emprisonnement, 100k€ d'amende

16. COURD'APPELDEPARIS,5FÉVRIER2014
Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conteste pas, lui a en fait été permis en
raison d’une défaillance technique concernant
l’identification existant dans le système, défaillance que
reconnaît l'ANSES ; dans ces conditions l’infraction n’est
pas caractérisée »
« O.L. a fait des copies de fichiers informatiques
inaccessibles au public à des fins personnelles à l’insu et
contre le gré de leur propriétaire ; [sa] culpabilité sera
donc retenue des chefs de maintien frauduleux dans un
STAD »

17. UNEEXTENSIONISSUEDELALPM
Ajout par la Loi de programmation militaire de décembre
2013 du délit de détention de données
(reproduction/extraction/détention/transmission)
Article 323-3 du Code pénal

18. COURD'APPELDEPARIS,5FÉVRIER2014
« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le simple fait d’avoir
téléchargé et enregistré sur plusieurs supports des fichiers
informatiques de l’Anses qui n’en a jamais été dépossédée,
puisque ces données, élément immatériel, demeuraient
disponibles et accessibles à tous sur le serveur, ne peut
constituer l’élément matériel du vol, la soustraction
frauduleuse de la chose d’autrui, délit supposant, pour
être constitué, l’appréhension d’une chose »

19. UNEAMBIGUÏTÉDANSLALPM?
Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel pour s'assurer de sa
sécurité (L. 122-6-1 III du CPI)

20. ART.25LPM→L.122-6-1IIICPI
Toute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement ou la sécurité de ce logiciel afin de
déterminer les idées et principes qui sont à la base de
n'importe quel élément du logiciel lorsqu'elle effectue toute
opération […] qu'elle est en droit d'effectuer.

21. ENATTENDANTLEJUGE…
L'insécurité juridique règne !
Les tests sauvages de sites sont fortement déconseillés
Pas l'intention du législateur / Totalement contraire à la
loi Godfrain

22. ATTEINTEAUXDROITSDEPROPRIÉTÉ
INTELLECTUELLE
Code de la propriété intellectuelle

23. DIFFÉRENTSDROITS
Propriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, etc.)
Protection sui generis des producteurs de bases de
données

24. ARTICLEL.335-2-1DUCPI
« Est puni de trois ans d'emprisonnement et de 300 000
euros d'amende le fait d'éditer, de mettre à la disposition
du public ou de communiquer au public, sciemment et sous
quelque forme que ce soit, un logiciel manifestement destiné
à la mise à disposition du public non autorisée d'oeuvres ou
d'objets protégés »

25. PROTECTIONDESDONNÉES
PERSONNELLES
Loi informatique et libertés

26. EXEMPLEDESRISQUES
Article 226-16 du Code pénal
Extraire, consulter ou collecter des données personnelles
sans respecter les formalités de la LIL
Amende de 300k€ et 5 ans d'emprisonnement

27. EXEMPLEDESRISQUES
Article 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faire
procéder à des traitements de données à caractère
personnel sans qu’aient été respectées les formalités
préalables à leur mise en oeuvre prévues par la loi est puni
de cinq ans d’emprisonnement et de 300 000 € d’amende »

28. LETROISIÈMEHOMME
L'hébergeur ou le sous-traitant

29. HÉBERGEUR/PRESTATAIRE
Le risque de perturbation des services du prestataire
contrevient à la loi Godfrain…
… Et souvent aux CGU de l'hébergeur

30. AMÉNAGERUNE
PROTECTION
JURIDIQUE

31. L'ESSENTIELCADRECONTRACTUEL

32. PROCESSUSCONTRACTUEL
Contrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) et
de valider et décrire chaque étape du test
Détermination des responsabilités et rôles

33. CONTENUDUCONTRAT
Identité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Modalités de l'obligation
Forme du livrable
Propriété intellectuelle (notamment du rapport)
Confidentialité

34. AUTOURDUCONTRAT
Autorisation de l'hébergeur
Charte d'éthique
Référentiel de l'intrusion de la Fédération des
professionnels des tests d'intrusion

35. AMÉLIORERLACULTURESÉCURITÉ
(JURIDIQUE)
Désignation d'un CIL
Sensibilisation des commerciaux et prestataires
Associer les compétences juridiques et techniques

36. LEPENTEST
FACEAUDROIT
CYBER@HACK2015
/ /Benjamin Benifei Juriste ITrust

37. ALLERPLUSLOIN
ITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republic, Loi Godfrain : explications et illustrations
Nmap.org, Legal issues
Benjamin Benifei, La loi de programmation militaire a-t-elle
vraiment rendu légale l’attaque de sites internet ?