Aller au contenu
Forum juridique de Net-iris

Cadre légal pour activité illégale


Mickael33

Messages recommandés

Bonjour,

 

Le titre du sujet peut paraître étrange, mais c'est tout à fait en rapport avec la question que je souhaite vous soumettre.

 

Je voulais savoir comment, dans un cadre contractuel, il est possible d'éviter des poursuites.

 

L'activité en question est un test d'intrusion. Cela consiste ni plus ni moins à essayer de pirater un site internet pour le compte de son propriétaire. C'est une prestation qui permet au propriétaire d'un site internet de connaître les failles de sécurité existantes sur son applicatif. Bien entendu, il ne s'agit pas de détruire le site en question, mais uniquement de le pirater pour permettre au propriétaire de combler les failles et ainsi avoir un site totalement sécurisé. Je rentre dans le site, je note comment j'ai fait, puis je ressors sans rien toucher.

 

S'introduire dans un système d'informations étant un délit, est-il possible d'établir un cadre contractuel (une sorte de décharge de responsabilité) permettant à un prestataire de procéder légalement à des intrusions sur une application? La réponse est positive, je n'en doute pas, alors à quels mécanismes légaux faut-il avoir recours pour se "protéger" au regard de la loi?

 

Merci d'avance pour vos réponses.

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 24
  • Création
  • Dernière réponse

Oui, en gros c'est ça.

 

Sauf qu'il existe plusieurs types d'audit. Il peut s'agir d'un audit de code source, par exemple, et là, pas de problème.

 

L'audit dont je parle est un test d'intrusion. Il s'agit donc bien de tenter (et réussir, dans la mesure du possible) une intrusion dans un site internet. Le vocabulaire est un peu nébuleux, mais on peut appeler ça du piratage, sauf que c'est fait sur demande (sur commande en fait, car ce n'est pas gratuit) du propriétaire d'un site qui veut le sécuriser.

 

Ma question repose sur l'existence d'un cadre contractuel légal dans lequel je pourrais procéder à des tests d'intrusion pour le compte d'un client.

Lien vers le commentaire
Partager sur d’autres sites

Si le client est bien le propriétaire du site ce n'est pas de l'intrusion, c'est un test effectué sur le système réel.

C'est la même chose qu'un administrateur ou un ingénieur système qui a accès à des informations protégées, cela fait partie du métier. Ce qui serait illégal, ce serait de se servir des informations, de les détourner à votre profit ou de les revendre à un tiers.

 

Il faut fixer les limites par écrit : par ex. avez-vous le droit de modifier un compte, de le détruire, de lire les données ; préciser la période d’exécution du test.

 

 

Quelle est votre statut : salarié de l'entreprise propriétaire, salarié de l'entreprise d'audit, consultant indépendant ?

Lien vers le commentaire
Partager sur d’autres sites

Quid de la loi 88-19 du 5 janvier 1988? Techniquement, faire ceci est interdit au regard des dispositions de cette loi, non? Il s'agit tout de même d'un accès frauduleux à un système d'information. Il faut qu'il y ait un cadre contractuel que je puisse brandir si le client décide de me poursuivre, je ne tiens pas à travailler sans filet.

 

Mon statut serait celui d'auto-entrepreneur. En fait je réfléchis à la possibilité de créer une petite entreprise pour une activité complémentaire d'audit de sécurité. Je crois que le statut d'auto-entrepreneur conviendrait assez bien à cette activité.

Lien vers le commentaire
Partager sur d’autres sites

Quid de la loi 88-19 du 5 janvier 1988? Techniquement, faire ceci est interdit au regard des dispositions de cette loi, non? Il s'agit tout de même d'un accès frauduleux à un système d'information. Il faut qu'il y ait un cadre contractuel que je puisse brandir si le client décide de me poursuivre, je ne tiens pas à travailler sans filet.

 

Mon statut serait celui d'auto-entrepreneur. En fait je réfléchis à la possibilité de créer une petite entreprise pour une activité complémentaire d'audit de sécurité. Je crois que le statut d'auto-entrepreneur conviendrait assez bien à cette activité.

 

Je ne suis pas sûre de bien comprendre.

Si un client vous confie par contrat une prestation d'audit de sécurité sur son système d'information, il n'y a rien de frauduleux, pourquoi voulez-vous qu'il vous poursuive ? Pour avoir rempli votre contrat ?

Il est évident qu'il faut un contrat de prestation avec un cahier des charges à respecter, et aussi une bonne assurance RCP pour vous car vous ne serez jamais à l'abri d'une erreur de votre part ou d'une mauvaise manipulation qui détruirait des fichiers.

 

Pas sûr que le statut d'AE soit le mieux adapté, il faut inspirer confiance si vous voulez qu'on vous confie ce genre de mission, et avoir une réputation bien établie.

 

PS : j'espère que vous n'envisagez pas d'inverser la chronologie : 1) intrusion et 2) vente de votre savoir-faire au propriétaire du système impressionné par vos talents ? Parce que là effectivement ce sont les ennuis assurés.:) Sauf à Hollywood évidemment

Lien vers le commentaire
Partager sur d’autres sites

Donc si je suis bien ce que vous me dites, un contrat entre deux partis permet à l'un de ces partis de commettre quelque chose d'illégal? Ou alors je comprends mal le problème, et dès lors qu'un contrat est conclus l'accès n'est plus considéré comme frauduleux et des poursuites ne peuvent pas être engagées?

 

Ma question peut paraître idiot (naïve, disons), mais on marche toujours sur des oeufs avec ces activités.

 

Pour le reste, non, je ne compte pas inverser la chonologie, ne serait-ce que pour ne pas perdre du temps avec des tests qui ne sera pas facturé. Par contre je peux tout à fait contacter un webmaster pour l'avertir qu'à première vue son site semble présenter des vulnérabilités. Car dans l'histoire il y a deux phases: détection d'un comportement anormal, puis recherche et exploitation de la faille identifiée.

 

Edit: Quel pourrait être un bon choix de statut pour une activité complémentaire? Vous me dites que le statut d'AE n'est pas forcément le plus judicieux.

Lien vers le commentaire
Partager sur d’autres sites

Ce qui est illégal, c'est de tenter de pénétrer dans un système informatique sans autorisation.

Si vous avez eu connaissance du code d'accès d'une personne autorisée et que vous l’utilisez à son insu, alors c'est illégal. Et pourtant ce n'est pas une intrusion au sens technique, vous entrez par la grande porte.

A l'inverse, si vous êtes l'informaticien en charge de la sécurité, il est normal que tentiez des opérations hors norme pour vérifier que tout est sécurisé. Mais bien sûr cette activité est encadrée par les termes du contrat si vous êtes externes, par la définition de votre poste si vous êtes salarié. Si vous recommencez la même opération en dehors de ce cadre, c'est un délit.

 

Attention, diagnostiquer des failles possibles sans y avoir été invité préalablement de manière explicite n'est pas très différent de tenter de pénétrer sans autorisation. Si un webmaster détecte une activité anormale sur son site il peut ne pas apprécier, même si vous jurez que c'est pour son bien.

Lien vers le commentaire
Partager sur d’autres sites

D'accord, donc en fait un accès n'est pas considéré comme frauduleux s'il existe un contrat stipulant que je peux le faire quoi. D'accord, merci pour vos conseils.

 

D'ailleurs je n'ai jamais rédigé de contrat, je n'ai pas le début d'une idée concernant la façon de le faire. Si vous avez une source d'information à ce sujet, je suis intéressé.

 

Par ailleurs je ne pense pas que constater qu'un mécanisme en place soit potentiellement vulnérable sans l'exploiter puisse constituer un délit.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour !

 

Je pense que dans les éventuels contrats que vous pourriez faire signer, il serait bon de prévoir une obligation pour le client, avant tout test de sécurité, de débarrasser le site de toute donnée sensible ou confidentielle, et de vous certifier par écrit signé, (et pas par mail !!!!) que cette opération de nettoyage a été effectuée.

 

Si vous me permettez une analogie, il est interdit de forcer la serrure de votre appartement. Mais si la serrure se bloque, vous serez bien content qu'un serrurier vienne la forcer pour pouvoir entrer chez vous....donc, avec votre accord, un serrurier effectue un acte à la base illégal !!! ;)

Lien vers le commentaire
Partager sur d’autres sites

Si vous envisagez sérieusement de proposer ce type de service, faites valider le contrat type que vous proposerez à vos clients par un professionnel de la sécurité informatique et un avocat. Et bien sût il faut un contact réel et une signature écrite du contrat, en vérifiant que la personne a autorité pour signer au nom du client. Avant de tester la sécurité chez les autres il faut blinder votre position :)

Lien vers le commentaire
Partager sur d’autres sites

Il faut absolument un contact physique? ça ne peut pas être une prestation conclue en ligne?

 

Si je communique avec l'adresse mail contact@site ou webmaster@site, on peut considérer que j'ai à faire au responsable du site. Ou bien ça peut être une clause du contrat, non? La personne signataire certifie être le responsable du site.

Lien vers le commentaire
Partager sur d’autres sites

Il faut absolument un contact physique? ça ne peut pas être une prestation conclue en ligne?

 

Si je communique avec l'adresse mail contact@site ou webmaster@site, on peut considérer que j'ai à faire au responsable du site. Ou bien ça peut être une clause du contrat, non? La personne signataire certifie être le responsable du site.

 

Si vous vous y connaissez en sécurité informatique, vous savez aussi qu'il n'est pas très difficile de se faire passer pour quelqu'un d'autre en ligne.

Supposez que votre interlocuteur soit en fait un concurrent/un salarié ou un client mécontent du propriétaire du site ... vous imaginez la suite si vous vous êtes contenté d'un vague accord en ligne pour lancer une série d'attaques afin de" tester" le système ?

Donc au minimum un contact téléphonique avec le propriétaire ou son responsable informatique, avec un numéro de téléphone fixe trouvé dans un annuaire professionnel sérieux indépendamment de ce qui peut figurer dans le mail.

 

Notez bien que si vous avez affaire à un usurpateur il signera avec enthousiasme tout ce que vous voulez pour certifier qu'il est le responsable... :D mais évidemment le vrai responsable ne se sentira pas du tout engagé pas cette signature et il vous poursuivra sans état d'âme.

Lien vers le commentaire
Partager sur d’autres sites

Ca ne joue pas que dans ce sens là... Votre client appréciera probablement d'avoir une personne en face, avec un visage en tête, parce qu'il va vous ouvrir son système et il ne sait pas forcément distinguer ceux qui se font passer pour d'autres... ;)

Lien vers le commentaire
Partager sur d’autres sites

Ca par contre, c'est certain qu'une rencontre de visu permet plus facilement d'instaurer un climat de confiance entre lui et moi. Mais ça risque d'être difficile, j'étudie la possibilité de faire de cette activité une activité complémentaire, en plus de mon travail actuel. J'essaierais de dégager quelques heures sur mon temps libre pour mener ces tests. Il n'est pas envisageable que je prenne le train pour Nice ou Strasbourg afin de signer un contrat, tout devrait se faire en ligne. Au-delà du problème de confiance, il est possible de conclure un contrat en ligne, donc je compte profiter de cette possibilité.

 

Ceci étant, je ne lui demande pas de m'ouvrir son système, au contraire, le but du jeu est pour lui de me le fermer au maximum pour voir si j'arrive quand même à rentrer.

Lien vers le commentaire
Partager sur d’autres sites

Une remarque en passant : si le site en question est hébergé par un prestataire tierce, il vous faudra aussi prévenir ce prestataire, ou du moins avoir l'assurance qu'il ne se retournera pas contre vous. Cela est particulièrement valable en hébergement sur serveur partagé, puisque l'accès au serveur vous donnera potentiellement accès a des clients qui n'ont jamais demandé leur accord pour quoi que ce soit.

A vérifier aussi si les hébergeurs pro autorisent vraiment leurs clients à mener/faire mener des tests d'intrusions (je suis enclin a penser que non, mais il faut voir dans le contrat).

 

Bref, d'une manière générale, n'oubliez pas d'inclure l'hébergeur dans la réflexion, sans quoi il va vous mettre des bâtons dans les roues.

Lien vers le commentaire
Partager sur d’autres sites

Il n'est pas envisageable que je prenne le train pour Nice ou Strasbourg afin de signer un contrat, tout devrait se faire en ligne. Au-delà du problème de confiance, il est possible de conclure un contrat en ligne, donc je compte profiter de cette possibilité.

Ceci étant, je ne lui demande pas de m'ouvrir son système, au contraire, le but du jeu est pour lui de me le fermer au maximum pour voir si j'arrive quand même à rentrer.

 

Le domaine d’activité que vous souhaitez mettre en place est extrêmement sensible.

Vous ne pouvez pas faire l’économie d’un contact physique ou phonique.

Beaucoup de choses peuvent être faites en ligne, mais vos interlocuteurs voudront vous voir et avoir la preuve de votre existence légale.

Si vous souhaitez ne pas vous déplacer, il faut trouver autre chose pour que votre client vous connaisse en vrai : Webcam, téléphone, courrier.

Si un contrat peut se remplir en ligne, il faut que vous en ayez une trace papier. Donc, votre client vous le rempli en ligne si vous voulez, mais vous l’envoi par courrier.

A la réception de celui-ci, vous lui confirmez l’avoir reçu, ce qui confirmera que votre adresse est la bonne.

De toute façon, votre client potentiel aura plein de questions à vous poser, pour se rassurer. Il faut le faire aussi par téléphone

Si vous n’apportez pas la preuve que vous existez réellement (physiquement) vous serez suspect et considéré comme un arnaque de plus venant de « cote d’ivoire » ou autre pays spécialisé dans les arnaques internet.

Imaginez une seconde recevoir un mail d’un site vous invitant à tester la sécurité de votre habitation ! Si l’idée peut être intéressante au premier abord, vous ne confierez ce teste qu’a une entreprise dont vous serez sur qu’elle ne profitera pas de la situation pour faire du repérage et dont l’intervenant est au dessus de tout soupçon.

Lien vers le commentaire
Partager sur d’autres sites

Ma cible ça ne sera pas des sites des grosses entreprises paranoïaques, plutôt des sites de taille restreinte, comme des jeux PHP tenus par une seule personne. Ca ne devrait pas poser de problème de le faire en ligne. Pour tout dire j'ai déjà des contacts intéressés après une discussion par mail.

 

Donc ça allègera la procédure.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.

  • Contenu similaire

    • Par Eloka
      Bonjour,
       
      Je suis entrepreneur en France. En tant qu'agence web, mes clients me contactent via mon site Internet. Aussi puis-je travailler avec des clients étrangers (Asie, Australie) sans entrer en conflit avec une quelconque loi sur le commerce international ?
       
      J'ai déjà travaillé avec un client vietnamien et cela s'était très bien passé. Tant que je facture au nom de ma société française, existe t-il un risque juridique ?
       
      J'ai reçu ce décret auprès d'une agence offshore : Décret 92-521 du 16 juin 1992 - "Toute personne physique ou morale résidente de la communauté européenne a le droit de créer une société dans le pays de son choix sans avoir besoin d'y résider fiscalement." Mais là il s'agit de créer une société à l'étranger ce qui ne m'intéresse pas.
       
      Merci.
    • Par Flexodo
      bonjour à tous,
       
      En juin 2010, j'ai passé une commande de pièces électroniques dite 'sous allocation' (c-a-d sans date de livraison connue pour cause de pénurie) pour un délai estimé (confirmé par mail mais non contractuel) de 2 mois et ai payé un acompte de 20% (+ TVA ce qui est déjà peut être un erreur: la TVA).
      Après 6 mois sans livraison (fin 2010), j'ai annulé ma commande et me suis founi (moins cher et en 48H) chez un autre fournisseur (pour une quantité d'ailleurs inférieure à celle imposée par la premier fournisseur) .
       
      Le 1er fournisseur a refusé l'annulation de la commande, a évidemment refusé de me restituer mon acompte et me fait écrire aujoud'hui par un avocat de lui régler le solde de cette commande.
       
       
      Que me conseillez vous ?
      Merci de votrte éclairage !
    • Par papillon12346
      Bonjour,
       
      Je souhaite fabriquer et vendre du matériel médical. A quelles responsabilités suis-je soumis ? Comment puis-je me décharger de ces responsabilités ? Est-il possible de vendre à "vos risques et périls" ?
       
      Puis-je vendre un appareil médical sans l'ordonnance d'un médecin ?
       
      Que se passe-t-il si l'appareil n'a pas le fonctionnement espéré ?
      Que se passe-t-il si mon appareil engendre des brûlures (à cause d'un problème de courant) ou des électrocutions ?
      Que se passe-t-il si l'appareil génère des erreurs de diagnostiques qui font que le patient ne va pas se faire soigner ?
       
      Pourriez vous m'orienter vers les textes de loi relatif au matériel médical ?
       
      Merci
      Papillon
    • Par Bosco
      Bonjour tout le monde,
       
      Voila il se trouve que j'ai reçu 4 factures d'électricité dernièrement.
       
      Jusque là tout va bien...
      Les factures étant a un montant négatif (donc a mon avantage) c'est très bien !
       
      Cependant, j'ai reçu :
      - la première facture - 118.24 €
      - la seconde facture à - 62.68 €
      - la troisième facture (là où est le hic !) - 123.64 €
      - et la dernière facture à - 86.65 €.
       
      je viens de les appeler et me disent qu'il ont actuellement un souci technique et ne peuvent me répondre sur mon problème.
       
      Au cas où (cela ne m'étonnerais pas) il me demande de leur rembourser les deux dernière factures ou me demande de payer quelques chose comment pourrais-je me défendre ?
       
      car c'est leur faute, pas la mienne ? en restant gentil car j'ai pas a me plaindre trop d'eux non plus ! :D je m'entend très bien avec eux. mais je préfère me préparer en cas de problème.
       
      Merci par avance pour vos réponses
    • Par Nedelka
      Bonjour, j'ai un doute concernant le mode de règlement que je suis en droit d'imposer à mes clients.
       
      J'exerce en EI, membre d'une AGA et je porte donc sur mes factures la mention "membre d'une association agréée par l'administration fiscale, acceptant à ce titre le règlement de ses honoraires par chèques libellés à son nom".
       
      J'ai toujours pensé que la partie importante était "chèque libellé à son nom" ce qui me distingue des personnes exerçant en EURL qui n'ont pas le droit d'accepter un chèque libellé au nom du dirigeant mais seulement de l'entreprise.
       
      Il se trouve que j'ai des clients à l'étranger en zone euros et je souhaite évidemment qu'ils paient par virement bancaire (frais très réduits, à leur charge) plutôt que par chèque d'une banque étrangère (frais d'encaissement importants à ma charge).
       
      Est-ce que j'ai le droit "d'imposer" un règlement exclusivement par virement bancaire ? Sachant que le mode de règlement est clairement indiqué sur mes devis avec le délai, et qu'en acceptant le devis le client accepte les conditions qui vont avec ?
       
      Pour le moment , j'indique "règlement par virement bancaire ou par chèque en euros tiré sur une banque française" - mais est-ce bien légal ?
© 2000-2021 NET-IRIS, une marque de JuriTravail, société du Groupe MyBestPro. Tous droits réservés.
×
×
  • Créer...