Journal Un expert en sécurité poursuivi en justice pour des articles sur des dysfonctionnements réels !

Posté par  (site web personnel) . Licence CC By‑SA.
2
9
sept.
2020

Extraits :
"
Ces dysfonctionnements ont aussi fait l'objet de 2 autres articles dans LeMagIT et 1 dans La Lettre A, et rien d'autre ne m'anime que la volonté et la probité de les faire reconnaître et corriger, pour que le PASSI soit perçu comme une qualification sérieuse et objective en France.

Ces accusations ont été suffisamment objectives et probantes puisque la CNIL s'est saisie des 5 violations de RGPD que j'ai, entre autres, dénoncées, pour adresser un courrier de demandes d'explications le 1er juillet 2020.

Plus globalement, voici les causes que je défends à travers cette action :

protéger les lanceurs d'alertes dans le domaine de la cybersécurité
protéger la liberté d'expression sur Internet
protéger la liberté de la presse

"

https://www.leetchi.com/c/pour-la-protection-des-lanceurs-dalertes-dans-la-cybersecurite

Est-ce que vous avez plus d'informations sur le sujet ?

  • # Article LeMagIT

    Posté par  . Évalué à 7.

  • # Je ne sais pas

    Posté par  . Évalué à 5.

    Dans son interview, au mec, il y a un peu de tout. La partie violation RGPD qu'il met en avant pour dire qu'il est objectif est un point assez anecdotique de l'interview.

    Pour le reste, ça me donne l'impression d'un mec qui a passé la certification en se disant, "c'est bon je l'ai eue l'année dernière, je vais l'avoir les doigts dans le nez", qui se fait recaler parce qu'il ne s'est pas préparé et qui du coup est vexé comme un poux. Alors, pour se justifier, il fait tous les reproches au jury : incompétence, moins d'expérience que lui, ne pas avoir lu son CV (comme si ça suffisait à justifier d'une compétence).

    Je ne dis pas qu'il n'y a aucun dysfonctionnement, et que le monsieur ne mériterait pas d'avoir sa certification, mais les arguments avancés me semblent parfois pas très convaincants ou peu vérifiables, comme de dire que les questions n'étaient pas claires.

    • [^] # Re: Je ne sais pas

      Posté par  . Évalué à 8.

      La diffamation est incontestable; la boîte a le choix de le poursuivre en justice ou non, elle le fait, c'est peut-être pas très moral mais elle a le droit. S'il peut prouver sa bonne foi, il sera relaxé.

      En tout cas, le gars ne se remet pas en question. Il passe une certification, il foire, et en représailles il fait tout ce qu'il peut pour nuire à la boîte. Il utilise aussi des «astuces de geek» (blockchain etc) pour être certain qu'il soit impossible de supprimer ses propos, ce qui, sur le fond, montre (à mon avis) une certaine immaturité (tout le monde peut se tromper, et en plus il prétend chercher une solution amiable, ce qui semble totalement contradictoire).

      Après, peut-être qu'il y a des problèmes avec cette certification, on ne peut pas savoir. De toutes manières, ça n'est pas ça qui va être jugé. Sa démarche semble quand même bien ancrée dans la vengeance et dans la volonté de nuire (voire dans le chantage, puisqu'il semble expliquer qu'il a expliqué de "négocier" avant de divulguer ce qu'il avait trouvé), et ça ne risque pas de servir son procès en diffamation.

      • [^] # Re: Je ne sais pas

        Posté par  . Évalué à -10.

        Je crois que vous ne connaissez pas le "gars" en question…

        • [^] # Re: Je ne sais pas

          Posté par  (site web personnel) . Évalué à 4.

          c'est à dire ?

          "La première sécurité est la liberté"

          • [^] # Re: Je ne sais pas

            Posté par  . Évalué à -4.

            C'est à dire que Renaud n'est pas un rigolo, et de loin largement compétent et expérimenté dans le domaine de la sécurité.

            Le passage d'une certification n'est théoriquement qu'une formalité pour lui.

            • [^] # Re: Je ne sais pas

              Posté par  . Évalué à 6.

              Le passage d'une certification n'est théoriquement qu'une formalité pour lui.

              Et du coup, ça lui donnerait une sorte de droit supérieur à ne pas devoir répondre de ses propos devant la justice? Je pense que personne ici ne peut affirmer qu'il n'y a pas de problème avec la certification; par contre, il a essayé de résoudre ça en envoyant une lettre mais en se plantant sur la forme (c'est son employeur le client, donc c'est à son employeur de faire appel), ça l'a foutu en rogne et il s'est vengé en racontant plein de trucs (vrais ou faux, ça n'est pas la question) pour nuire à la boîte de certification.

              Ça n'est ni le premier ni le dernier à se foirer sur un oral considéré comme "tout cuit"; il a le droit de ne pas être content, mais il a choisi une voie dangereuse pour le manifester, en partant dans une confrontation inéluctable et probablement pas à son avantage. En tout cas, il risque de se retrouver à payer encore plus. Comme il est parti sur une stratégie qui vise à crier à l'injustice, il ne peut plus s'arrêter : s'il est condamné, il va trouver que c'est encore plus injuste; si son employeur en a marre du bazar qu'il met, il va crier au harcèlement et à la censure… Ça va quand même très, très loin, pour au départ pas grand chose.

            • [^] # Re: Je ne sais pas

              Posté par  . Évalué à 6.

              Personnellement, je ne le conaissait que pour avoir sniffé le NFC des cartes bancaires et constaté que le chiffrement n'avait pas été activé.

              Le passage d'une certification n'est théoriquement qu'une formalité pour lui.

              C'est globalement ce que je reproche. Le passage d'une certification n'est jamais réellement qu'une formalité, aussi bon que tu sois. Il s'agit d'un exercice cadré, avec ses propres règles, et il est nécessaire et normal de s'y préparer, quel que soit son niveau de compétence. Ce que tu certifie, c'est aussi la capacité d'un candidat à se mettre dans un cadre établi ; c'est une compétence cruciale quand on parle d'audit de sécurité et de sécurité opérationnelle, d'autant plus quand il s'agit d'intervenir sur des OIV.

              Et la réaction normale quand on se fait recaler, c'est de ravaler sa fierté, calmer son égo et de se préparer à la repasser l'examen ; éventuellement tenter un recours. Ce n'est certainement pas de claquer la porte et d'insulter les examinateurs, surtout pas en place publique. Il est possible qu'il y ait eu des dysfonctionnements, et même qu'il aurait mérité d'être certifié lors de cette cession, je n'en sais rien. Mais la réaction que j'en voie, et même son propre récit, ne plaident pas en sa faveur.

              Je n'en dirais par plus sur le sujet, n'ayant pas vraiment d'autre source d'information que ce que j'en ai lu.

            • [^] # Re: Je ne sais pas

              Posté par  . Évalué à 6.

              C'est à dire que Renaud Kerro n'est pas un rigolo, et de loin largement compétent et expérimenté dans le domaine de la sécurité Microsoft.
              Le passage d'une certification Microsoft n'est théoriquement qu'une formalité pour lui.

              J'ai passé un paquet de certifications Microsoft, j'ai potassé plusieurs jours avant chaque. Les dernières m'ont pris entre 30 et 50 heures chacune pour les préparer (des heures de vrai préparation étalées sur 1 à 2 mois, je ne compte pas les pauses).

              J'en ai raté une relativement facile il y a 20 ans. J'y étais allé à la cool, la leçon a été désagréable.

    • [^] # Re: Je ne sais pas

      Posté par  (site web personnel) . Évalué à 4.

      qui se fait recaler

      Donc si je suis bien, le journal essaye de nous faire croire que le sujet est des dysfonctionnement alors qu'en réalité c'est surtout pour de la diffamation suite à un recalage, en relayant un unique point de vue subjectif avec juste "Est-ce que vous avez plus d'informations sur le sujet" à la fin alors que le titre est pas interrogatif mais plutôt bien affirmatif comme si c'était évident.

      Sympa…

      Je lis ça :

      Pour ce qui est de ma lettre ouverte originale, craignant et anticipant une censure arbitraire et des pressions exercées, je l’avais de toute façon ancrée sur une blockchain publique bien avant, précisément le 18 novembre 2019, elle est par conséquent ineffaçable par moi comme par n’importe qui d’autre !

      Désolé, mais ça c'est juste une démonstration de rancœur, de complotisme, de victimisation et j'en passe. Rien d'objectif.

      Je comprend de la lecture des différents articles qu'il y a de gros dysfonctionnements chez l'entité diffamée, mais je sais faire la différence entre critique objective et diffamation motivée par la rancœur. Ce qui donne un journal trompeur surtout, qui veut jouer sur les émotions pour qu'on s'insurge sans lire le fond comme l'auteur du journal a fait . C'est dans les outils de manipulation… A corriger et se promettre de faire plus attention dans ses titres si ce n'était pas voulu… Le titre pourrait être "un recalé à un examen poursuivi pour diffamation ouvre un cagnotte pour payer ses frais" (factuel, moins pute à clic, certes).

      Il faut surtout apprendre à ne pas monter sur les grands mots "liberté", "lanceur d'alerte", au moindre écrit, et apprendre à prendre du recul avant de partager un lien dont l'objectif est de jouer sur les émotions…

      • [^] # Re: Je ne sais pas

        Posté par  . Évalué à 1.

        Il faut surtout apprendre à ne pas monter sur les grands mots "liberté", "lanceur d'alerte", au moindre écrit, et apprendre à prendre du recul avant de partager un lien dont l'objectif est de jouer sur les émotions…

        Ce sont les mots de la page de la cagnotte leechi, pas de l'auteur du journal.

        • [^] # Re: Je ne sais pas

          Posté par  (site web personnel) . Évalué à -4. Dernière modification le 10 septembre 2020 à 10:05.

          Merci pour dire un truc que tout le monde sait, mais ça sert à quoi vu que c'est ce que je dis (je parlais de l'auteur du journal qui lit ces grands mots et les propage de suite)?

          Ce sont les mots que l'auteur du journal a répété, retransmis, sans aucun recul.
          Se réfugier derrière "il n'a fait que recopié" est inclus dans la critique : ne surtout pas faire ça, mais comprendre que ça participe (et qu'en défendant de cette manière on participe aussi) à la propagation avant vérification, et changer si ce n'est pas voulu.

          • [^] # Re: Je ne sais pas

            Posté par  . Évalué à 7.

            Je ne l'avais pas compris comme cela.

            Alors, j'ai peu être un problème de compréhension, ou alors tu as un un expression pas tout à fait aussi claire que tu aimerais le croire. Dans les deux cas, y a-t-il besoin de l'expliquer aussi agressivement ?

            Vous pouvez moinser, ce commentaire est probablement inutile.

          • [^] # Re: Je ne sais pas

            Posté par  . Évalué à 4.

            Mouais, bon, l'auteur du journal cite, très clairement, en italique, et demande "est-ce que vous avez des informations?", ce que je comprends comme une suspension du jugement.

            Au final, on ne lui fournit pas plus d'informations, mais on lui donne notre avis :-) Ce n'est pas ce qu'il demandait, mais il devra s'en contenter.

            Sur le fond, je maintiens que ce qu'il dénonce peut très bien être vrai (ou faux, je n'en sais rien), mais que la diffamation est manifeste : non seulement il dénigre la boîte, mais en plus il assume l'aspect malveillant (c'est en représailles). Après, on peut décider ou non de lui payer ses frais d'avocat, c'est une décision personnelle. Ça n'empêche pas que la version qu'il présente est un peu… orientée, et qu'à mon avis il risque de devoir payer plus que ses frais d'avocat.

            On peut regretter qu'en France la diffamation soit constituée indépendament du caractère véridique des faits dénoncés, mais c'est comme ça. C'est comme les insultes, si on traite de "gros débile" un obèse aux capacités mentales limitées, ou de "vieille pu*e" une péripapéticienne retraitée, on commet un délit quand même.

            • [^] # Re: Je ne sais pas

              Posté par  (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 10 septembre 2020 à 18:08.

              Pour être exact, il y a bien une exception de vérité à la diffamation en droit français (qui a droit à son propre article Wikipédia !), mais elle est si contraignant et complexe à faire valoir qu’elle est très peu utilisée.

              PS : il y a aussi une « exception de bonne foi » dont je doute qu’elle puisse être utilisée ici, vu le montage en cours.

              La connaissance libre : https://zestedesavoir.com

              • [^] # Re: Je ne sais pas

                Posté par  . Évalué à 3.

                Il me semble qu'on peut échapper à la condamnation, mais pas aux poursuites, c'est bien ça? C'est le juge qui décide.

              • [^] # Re: Je ne sais pas

                Posté par  . Évalué à 3.

                exception de vérité à la diffamation

                La diffamation est constituée même (ou uniquement ?) si les faits sont avérés. Si les faits sont faux, c'est de la calomnie.

                Par exemple c'est de la diffamation de dire que tel candidat à une élection a été mis en examen pour détention de contenus pédopornographiques.

                Du coup je ne comprends pas cette exception de vérité.

                • [^] # Re: Je ne sais pas

                  Posté par  . Évalué à 2.

                  Mais tu ne seras pas condamné pour diffamation vu que c'est la vérité.

                  • [^] # Commentaire supprimé

                    Posté par  . Évalué à 2.

                    Ce commentaire a été supprimé par l’équipe de modération.

                    • [^] # Re: Je ne sais pas

                      Posté par  . Évalué à 3.

                      L'exception de vérité n'est que rarement applicable

                      Justement, je n'ai pas compris ce qui différencie une vérité condamnable d'une vérité non condamnable.

                      • [^] # Re: Je ne sais pas

                        Posté par  (site web personnel) . Évalué à 2.

                        L'intention de nuire.

                      • [^] # Commentaire supprimé

                        Posté par  . Évalué à 3.

                        Ce commentaire a été supprimé par l’équipe de modération.

                        • [^] # Re: Je ne sais pas

                          Posté par  . Évalué à 3.

                          un des éléments majeurs à prendre en compte est la volonté de nuire ou de porter atteinte à la personne concernée.

                          Diffamation = volonté de nuire, et il faut que ce soit vrai
                          Exception de vérité = il faut que ce soit de la diffamation, et il faut que ce soit vrai
                          donc
                          Exception de vérité = volonté de nuire, et il faut que ce soit vrai, et il faut que ce soit vrai

                          Donc en quoi la loi de l'exception de vérité change quoi que ce soit ?

                          • [^] # Commentaire supprimé

                            Posté par  . Évalué à 2.

                            Ce commentaire a été supprimé par l’équipe de modération.

                            • [^] # Re: Je ne sais pas

                              Posté par  . Évalué à 4.

                              Donc en quoi la loi de l'exception de vérité change quoi que ce soit ?

                              J'ai inversé le sens de ma phrase.
                              Je voulais écrire « Donc l'exception de vérité vient annuler toutes diffamations ».

                               

                              Exception de vérité = il faut qu'il y ait une attaque en diffamation

                              Je ne pige toujours pas :-)

                              1 - une personne fait une attaque en diffamation car pile au moment des élections on a dit de lui qu'il est mis en examen pour cause de machin-truc
                              2 - le juge constate que c'est de la diffamation : volonté de nuire + c'est vrai
                              3 - le juge constate que ça tombe sous l'exception de vérité : attaque en diffamation + c'est vrai

                              --> du coup c'est de la diffamation ou ça tombe dans l'exception ?

  • # Un article sans demande d'accès.

    Posté par  . Évalué à 6.

    • [^] # Re: Un article sans demande d'accès.

      Posté par  (site web personnel) . Évalué à 5.

      - Des conflits d’intérêts avec ces membres de jury (je suis tombé sur un client et un sur un de mes stagiaires que j’avais moi-même formé…), sans parler que beaucoup d’entre eux sont… des concurrents ! (qui n’ont évidemment aucun intérêt à certifier davantage de concurrents)
      - Des incohérences de résultats de cet examen avec l’expérience professionnelle du candidat : pourquoi certifier un candidat sur toutes les portées car il « justifie d’une grande expérience », puis 1 an après lui dire « qu’il manque d’expérience » ? Pourquoi les 2 seules dernières portées qui m’ont été accordées sont celles où j’ai effectué le moins de missions et que je maîtrise les moins ? Si l’objectif du PASSI est de refléter les connaissances et la méthodologie du candidat, c’est complètement raté.

      ça m'a l'air compliqué…

      "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.