Glenn Mangham, un brillant étudiant britannique de 26 ans, qui avait réussi à utiliser en avril 2011 certaines failles de facebook pour passer dans une partie interne du site, et en copier des informations confidentielles, a été condamné à 8 mois de prison.
Je n'ai pas réussi à trouver s'il s'agit de 8 mois de prison ferme, ou avec sursis.
Quoi qu'il en soit, celui que son avocat décrit comme « hacker éthique » (il n'a pas tiré profit de ces informations, ne les a pas redistribuées, ne les a pas revendues, et il avait par ailleurs contribué dans le passé à aider yahoo à corriger des failles de sécurité sur son portail) aura été lourdement condamné pour avoir exploité une négligeance caractérisée de la part de Facebook.
Quelques liens en rapport avec cette affaire :
http://www.bbc.co.uk/news/uk-england-york-north-yorkshire-16159653
http://www.huffingtonpost.com/2012/02/17/glenn-mangham-facebook-hack_n_1285254.html?ref=facebook
Ceci nous rappelle un peu les mésaventures de Serge Humpich, ingénieur de génie qui avait découvert et démontré la faille des cartes bancaires, devant huissier, pour se retrouver embarqué par le géniegn (ou apparenté) : https://fr.wikipedia.org/wiki/Serge_Humpich
Cela nous rappelle également un peu l'affaire Tati / Kitetoa (ce dernier avait été relaxé, mais vu les embêtements juste pour avoir navigué sur un site internet avec netscape communicator...) :
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/historique.shtml
Sécurité par l'obscurité...
# éthique
Posté par Jiel (site web personnel) . Évalué à 9.
Copier des données confidentielles, même sans en tirer profit, c'est pas super éthique.
[^] # Re: éthique
Posté par be_root . Évalué à 8.
Et toc !
Il se prend pour Napoléon, son état empire.
[^] # Re: éthique
Posté par Nitchevo (site web personnel) . Évalué à 5.
Ca peut être une tactique...
[^] # Re: éthique
Posté par be_root . Évalué à 7.
Je te le dis tout à trac, cette antique tactique est en toc
Il se prend pour Napoléon, son état empire.
[^] # Re: éthique
Posté par stopspam . Évalué à 4.
ce tac à tac est typique.
[^] # Re: éthique
Posté par zebra3 . Évalué à 2.
useless use of tac
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: éthique
Posté par bat13 . Évalué à 3.
Sa Cathy l'a quitté ?
# pas d'accord
Posté par passant·e . Évalué à 10.
La personne en question à fait plus que prendre des copies d'écran de dossier accessible à partir à partir d'un navigateur comme l'avait fait Kitetoa à son époque. Installer des programmes sur un système distant, copier des données et ensuite effacer ses traces sur le système distant ce n'est vraiment pas la même chose.
Il y avait pas mal de limites que cette personne aurait dû s'abstenir de franchir tout en pouvant participer à l'amélioration de la sécurité de Facebook.
Sinon, mettre en prison (si c'est du ferme) une personne pour ça... c'est pas très malin. ça gâche du potentiel certain et cela ne remet pas les gens sur le droit chemin. Mais c'est une autre histoire.
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: pas d'accord
Posté par imr . Évalué à 10.
Mais non, il va recevoir une formation sur la sécurité: backdoor, intrusion, effacer ses traces et surtout la plus importante: toujours ne s'attaquer qu'à plus faible que soi.
Il peut aussi intégrer une équipe établie au sein de laquelle il évoluera en toute sécurité vers une nouvelle carrière prometteuse où il pourra mettre en service ses qualifications. Bien entendu, si le vent tourne mal, c'est les bas échelons qui prendront pendant que les dirigeants auront mis la caisse de coté. Un genre de SSII, quoi.
[^] # Re: pas d'accord
Posté par Raoul Volfoni (site web personnel) . Évalué à 1.
En matière de formation je pense qu'une journée sur Aircarck-ng devrait lui faire le plus grand bien.
Mais c'est vrai que c'est pas non plus super éthique...
# en France
Posté par goeb . Évalué à 1.
En France, s'introduire dans un système d'information de manière non autorisée est passible de 2 ou 3 ans de prison et de centaines de milliers d'euros d'amende.
Et ce depuis 15 ans au moins. (je ne sais plus où on en est actuellement mais les ordres de grandeurs sont les mêmes)
On peut trouver cela sévère. Mais je trouve raisonnable que la loi punisse de telles intrusions.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: en France
Posté par gouttegd . Évalué à 6.
Plus sévèrement que ceux qui accèdent illégalement à ces mêmes données :
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: en France
Posté par Sufflope (site web personnel) . Évalué à 2.
Ouah super Linus vient de découvrir la méthode scientifique.
[^] # Re: en France
Posté par gouttegd . Évalué à 7.
Ce qui est incontestablement la preuve qu’il n’y en a jamais eu. Ou pas.
Au moins deux condamnations a priori définitives (puisque confirmées par la Cour de cassation) :
pourvoi (rejeté) 99-82136, confirmation de deux condamnations à 50 000 et 30 000 francs pour absence de déclaration du traitement à la CNIL (article 226-16 du code pénal) et insuffisance des mesures de précaution (article 226-17).
pourvoi (rejeté) 94-81431, confirmation d’une condamnation à 50 000 francs d’amende pour absence de précautions dans la collecte de données (226-17).
Bon, deux cas, c’est pas énorme (mais tous les dossiers ne vont sûrement pas jusqu’en cassation, et je ne sais pas où trouver les jugements de première et deuxième instance), et on n’est pas vraiment dans le cadre qui nous intéresse ici (condamnation du responsable d’un site web sécurisé avec les pieds), mais il n’empêche : l’article 226-17 n’est pas là pour faire joli. On trouve des procureurs pour lancer des poursuites sur la base de cet article, et des juges pour prononcer des condamnations derrière.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: en France
Posté par Maclag . Évalué à 5.
http://xkcd.com/327/
[^] # Re: en France
Posté par Krunch (site web personnel) . Évalué à 5.
Qu'est-ce qui est le plus punissable ? Négliger les contrôles d'accès aux données de tes utilisateurs ou exploiter cette négligence ? Pourquoi ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: en France
Posté par goeb . Évalué à 3.
Et les comptes en banque, c'est du monde physique ou du monde numérique ?
Ce sont les deux. Le pirate qui s'introduit dans Facebook, tout le monde s'en fout. Le pirate qui détourne des millions d'euros a une envergure supérieure. Les lois veulent surtout éviter les fraudes graves.
# .
Posté par M . Évalué à 4.
T'es sur que la faille n'était pas déjà connu dans le milieu, mais que ca été lui qui a eu "les couille" de la rendre pubique ?
[^] # Re: .
Posté par B16F4RV4RD1N . Évalué à 10.
je ne connais pas assez pour dire (le bonhomme a écrit un livre, que je vais essayer d'acheter à l'occasion, on en saura plus), mais apparemment il a dit aux banques qu'il pouvait leur montrer en quoi leur système de carte était falsifiable s'ils l'engagaient, ce à quoi les banques ont répondu que ce n'était pas un petit ingénieur de rien du tout tout seul dans son garage qui allait leur apprendre quoi que ce soit. Et pour prouver ses dire, il a été acheter un ticket de métro avec une carte falsifié, suite à cela ses ordinateurs ont été confisqués et il a été arrêté. Évidemment il aurait eu un peu de civisme, il aurait expliqué gratuitement les failles aux banques... tout comme l'étudiant aurait pu expliquer gratuitement à facebook etc...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: .
Posté par liberforce (site web personnel) . Évalué à 3.
Dans mes souvenirs, c'est le GIE carte bancaires qui lui a demandé de prouver la véracité de ses dires en lui demandant de faire un achat. Il a acheté un carnet de tickets de métro, devant des journalistes, et les banques se sont servis de ça pour lancer la procédure...
[^] # Re: .
Posté par serianox . Évalué à 1.
De mémoire : faux et usage de faux, la création des (vraies) fausses signatures RSA pour acheter deux tickets de métro, ainsi qu'introduction dans un système de traitement automatisé de données.
L'histoire que l'on m'a racontée est que le GIE CB, pour avoir quelque chose à lui coller sur le dos, a attendu patiemment qu'il fasse un achat pour prouver qu'il avait réussi la factorisation. La factorisation n'étant pas répréhensible en soit, c'était une des seules méthodes qui avait été envisagée.
L'autre histoire que l'on m'a racontée est que la factorisation était connue publiquement puisque la paire de clefs utilisées avait été utilisée en exemple pour décrire le protocole Guillou-Quisquater, le protocole utilisé par les CB de l'époque. :)
[^] # Re: .
Posté par serianox . Évalué à 1.
Edit: Après vérification, il me semblait bien qu'il avait été question de monnayer sa découverte.
Legalis.net
[^] # Re: .
Posté par B16F4RV4RD1N . Évalué à 1.
qu'est-ce qu'ils sont vénaux ces informaticiens quand même, il aurait pu leur donner gratuitement un correctif...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: .
Posté par ✅ ffx . Évalué à 4.
Heureusement que les suivants à avoir trouvé la faille se sont simplement servi aux distributeurs sans essayer de monnayer leur découverte ! Comme quoi l'expérience de S. Humpich a servi.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.