Présentation réalisée dans le cadre du Cyber@Hack 2015.
Illustrations par Randall Munroe sous licence Creative Commons Attribution-NonCommercial 2.5 (http://xkcd.com/)
8. PENTEST≠AUDIT
L'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à un
référentiel
9. DIFFÉRENCESMAJEURES
Un pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus large, mais aussi plus cher
Juridiquement, le pentest est une obligation de moyens
(et l'audit, de résultat)
13. DÉLITSDELALOIGODFRAIN
Notion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave du
fonctionnement / Introduction, modification,
suppression de données
Punition de la tentative / Aggravation lorsque STAD mis
en œuvre par l'État
16. COURD'APPELDEPARIS,5FÉVRIER2014
Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conteste pas, lui a en fait été permis en
raison d’une défaillance technique concernant
l’identification existant dans le système, défaillance que
reconnaît l'ANSES ; dans ces conditions l’infraction n’est
pas caractérisée »
« O.L. a fait des copies de fichiers informatiques
inaccessibles au public à des fins personnelles à l’insu et
contre le gré de leur propriétaire ; [sa] culpabilité sera
donc retenue des chefs de maintien frauduleux dans un
STAD »
17. UNEEXTENSIONISSUEDELALPM
Ajout par la Loi de programmation militaire de décembre
2013 du délit de détention de données
(reproduction/extraction/détention/transmission)
Article 323-3 du Code pénal
18. COURD'APPELDEPARIS,5FÉVRIER2014
« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le simple fait d’avoir
téléchargé et enregistré sur plusieurs supports des fichiers
informatiques de l’Anses qui n’en a jamais été dépossédée,
puisque ces données, élément immatériel, demeuraient
disponibles et accessibles à tous sur le serveur, ne peut
constituer l’élément matériel du vol, la soustraction
frauduleuse de la chose d’autrui, délit supposant, pour
être constitué, l’appréhension d’une chose »
19. UNEAMBIGUÏTÉDANSLALPM?
Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel pour s'assurer de sa
sécurité (L. 122-6-1 III du CPI)
20. ART.25LPM→L.122-6-1IIICPI
Toute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester le
fonctionnement ou la sécurité de ce logiciel afin de
déterminer les idées et principes qui sont à la base de
n'importe quel élément du logiciel lorsqu'elle effectue toute
opération […] qu'elle est en droit d'effectuer.
23. DIFFÉRENTSDROITS
Propriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, etc.)
Protection sui generis des producteurs de bases de
données
24. ARTICLEL.335-2-1DUCPI
« Est puni de trois ans d'emprisonnement et de 300 000
euros d'amende le fait d'éditer, de mettre à la disposition
du public ou de communiquer au public, sciemment et sous
quelque forme que ce soit, un logiciel manifestement destiné
à la mise à disposition du public non autorisée d'oeuvres ou
d'objets protégés »
26. EXEMPLEDESRISQUES
Article 226-16 du Code pénal
Extraire, consulter ou collecter des données personnelles
sans respecter les formalités de la LIL
Amende de 300k€ et 5 ans d'emprisonnement
27. EXEMPLEDESRISQUES
Article 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faire
procéder à des traitements de données à caractère
personnel sans qu’aient été respectées les formalités
préalables à leur mise en oeuvre prévues par la loi est puni
de cinq ans d’emprisonnement et de 300 000 € d’amende »
32. PROCESSUSCONTRACTUEL
Contrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) et
de valider et décrire chaque étape du test
Détermination des responsabilités et rôles
33. CONTENUDUCONTRAT
Identité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Modalités de l'obligation
Forme du livrable
Propriété intellectuelle (notamment du rapport)
Confidentialité
37. ALLERPLUSLOIN
ITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republic, Loi Godfrain : explications et illustrations
Nmap.org, Legal issues
Benjamin Benifei, La loi de programmation militaire a-t-elle
vraiment rendu légale l’attaque de sites internet ?