Le droit et le hacking

sviet
Read Time:4 Minute, 27 Second

Le Droit

  1. Le droit de quoi et pourquoi ?


    Pénétrer illégalement un système informatique, sans la permission du détenteur est illégal en France. Nous pourrions le comparer à une violation de domicile.

    Cet article va se concentrer sur l’aspect légal de cet acte. Quels sont les articles visés en France, les règles internationales et les trous dans la raquette.

  2. Le droit en France

    En France, la pénétration dans un système informatique, sans en avoir le droit est visé par les articles 323-1 au 323-8 du CPP

    Lisons bien l’article en 1 :

    Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende.

    La première ligne nous informe qu’il faut accéder ou se maintenir. Belle notion, accéder peut-être très bref, 1 secondes, on a le temps de rien faire mais le mal est fait, votre IP est dans les logs de connexion.

    Se maintenir, on comprend déjà mieux, c’est qu’on est resté plus longtemps que prévu…

    Système de traitement automatisé de données : Ok, un système informatique.
    Et après la peine, 2 ans, 60k. Bon c’est le maximum mais ça pique juste pour avoir testé admin:admin

    La portée de ce texte est surtout le mot frauduleusement. C’est quoi frauduleusement, c’est frauder, c’est à dire, avec tromperie. On fait croire au système qu’on peut et qu’on a le droit d’accéder aux données.

    Du coup, des dorks c’est pas une atteinte frauduleuse ? Une mauvaise configuration, c’est pas frauduleux ? C’est pas faux. On arrive un peu dans les trous de la raquette. Mais ça peut se discuter.

    Le 323-2 et 323-3 du CPP renforce la peine à 5 ans et 150k si on perturbe le système ou si on extrait de la donnée. Peine allongé à 7 ans et 300k si c’est un système appartenant à l’Etat français. ( Donc la NSA c’est 3 ans, les archives de l’INA c’est 7 ans ! )

    Le 323-3-1 du CPP parle  d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 

    Là, on parle des keyloggers, des logiciels de captation etc…
    Un peu de jurisprudence ( la jurisprudence sert à boucher les trous dans la raquette ) par l’histoire de ce médecin

    Petite dédicace à l’article 323-8 du CPP :

    Le présent chapitre n’est pas applicable aux mesures mises en œuvre, par les agents habilités des services de l’Etat désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement ( ndlr : DGSE, DGSI )

    No comment.

  3. Le droit international


    Comme dit plus haut, si le site n’est pas en France, vous prenez la peine minimale. Encore faut-il qu’une plainte soit déposée en France ou qu’une demande d’entraide internationale soit déposée. Pour en arriver là, c’est déjà conséquent.

    Les Etats se sont regroupés pour signer une convention qui régit le partage d’information, l’entraide et aplanit les réponses à apporter à une attaque informatique.

    Il s’agit de la Convention de Budapest dont voici les signataires

    J’ai lu la convention pour vous et je vous résume ce qui nous intéresse.

    Premièrement, ne pensez pas que les Etats ne font rien bien au contraire.

    Article 16 : Les parties font en sortent de pouvoir sauvegarder des données stockées sur leur territoire, en d’autre terme, si votre serveur se trouve en Allemagne ou au Maroc ( 2 membres signataires ) et que les autorités françaises demandent la sauvegarde des données de votre serveur pour les récupérer, c’est possible !

    Articles 18 : Les parties doivent avoir l’arsenal législatif pour obliger les FAI ou hébergeurs à leur données toutes les informations en leur possession pour divulgation à la parties demandant.

    Article 19 : Perquisition et saisie de données informatiques en France
    Lors d’une perquisition informatique, en présence constante de l’intéressé, si les données se trouvent en France, pas de problème pour y accéder avec ou sans le consentement du mis en cause. Si les données sont en France ! ( OVH )

    Article 32 b : Perquisition et saisie de données informatique hors France
    accéder à, ou recevoir au moyen d’un système informatique situé sur son territoire, des
    données informatiques stockées situées dans un autre Etat, si la Partie obtient le
    consentement légal et volontaire de la personne     légalement autorisée à lui divulguer ces
    données au moyen de ce système informatique

    Lisez bien, il faut votre consentement légal ( dans la forme, donc en France, un écrit ) et volontaire. Sinon, c’est une atteinte frauduleuse de la part des autorités. ( Sauf DGSE et DGSI )


  4. Conclusion

    En conclusion de cet article technique qui sort de l’ordinaire, nous avons fait le tour de l’arsenal législatif.

    Vous êtes maintenant au courant des peines encourues et aussi des armes que possèdent les force de police.

    Donc, pour avoir notre logique de trous dans la raquette il faut, pour éviter le pire :

    1. S’attaquer à un système informatique qui n’appartient pas à l’Etat français.
    2. Un système n’étant pas sur le territoire français
    3. Un système n’étant pas dans un pays signataire de la convention de Budapest
    4. Si on a soit même un serveur et qu’on veut le meilleur pour soit, s’abstenir de se faire héberger par un pays signataire de la convention de Budapest. Ce qui n’empêchera pas l’entraide d’un pays non signataire.

About Post Author

sviet

sviet.xyz@gmail.com
https://sviet.xyz
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %
1 0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%
(Add your review)

7 thoughts on “Le droit et le hacking

Comments are closed.