Petit effet de bord de rien du tout de la LCEN, selon Numerama, la cour de cassation aurait délibéré sur la publication de failles de sécurité … et figurez vous que ceci est illégal et constitue un délit, quelque soit les intentions de l’auteur de la publication en question ! Cette décision date du 19 octobre dernier et n’a pas échappé à la vigilance de 01Net Pro. Le full disclosure en France est maintenant un délit passible de poursuites au pénal !
Filtrage … censure, ignorance, sécurité par l’obscurantisme … la France va devenir un tiers monde numérique et s’exposer béatement aux risques pourtant évidents que cette décision implique. Attention, la cour de cassation ne fait ici que donner une lecture simple de la LCEN, véritable responsable de ce naufrage. En clair, des sites comme Milw0rm ou SecuObs pourraient devenir illégaux, au titre que ces derniers donnent des informations nécessaires pour comprendre, exploiter et patcher les vulnérabilités des applications. On sent donc naturellement se profiler le filtrage des sites qui proposent des applications de sécurité pourtant indispensables à tout professionnel comme Nmap, Wireshark, Metasploit, Nessus … Si ces sites d’informations venaient à être filtrés, il s’agirait d’une catastrophe qui couterait vite très cher à de nombreuses entreprises qui devraient s’en remettre exclusivement à la bonne volonté des éditeurs logiciels, qui comme Microsoft peuvent mettre 7 ans avant de proposer une correctif ! Une situation surréaliste … merci la LCEN.
Si vous travaillez dans la sécurité informatique, vous risquez d’avoir à faire vos valises dans pas longtemps pour pouvoir continuer à exercer dans la légalité… Le Net français, tu l’aime ou tu te casses !
Je vous recommande la lecture du billet d'aujourd'hui d'Eric Freyssinet
http://blog.crimenumerique.fr/2009/12/24/est-il-i…
Même si ce dernier ne me rassure pas plus que ça, il a le mérite d'apporter la chronologie factuelle de l'arrêt de la cour de cassation.
La question subsiste : si j'utilise métasploit ou nlmap suis je un criminel ? Ces outils me sont nécessaire dans mon travail … ais-je le droit d'exercer en France.
Si les publication d'exploit ne sont plus possible est ce que que celà veut dire que milw0rm va ête filtré ? La db de metasploit aussi ? Qu'allons nous faire de Nessus, programme d'origine française ?
Euh… Cette jurisprudence ne condamne en aucun cas la publication d'informations sur les vulnérabilités, mais la diffusion d'exploits. Milworm serait en effet concerné, s'il était français et qu'il n'était pas déjà mort, mais en aucun cas SecuObs.
Quant aux vulnérabilités dans l'open source, tu oublies de dire que l'équipe de Sendmail a corrigé une vulnérabilité découverte 8 ans auparavant (et je ne connais *aucune* entreprise l'utilisant qui l'a patchée elle-même), ou qu'il a fallut 2 ans pour découvrir la ligne commentée dans Openssl sous Debian, bien que les sources soient disponibles…
Niveau désinformation t'es pas mal non plus.
Cette situation me semble anormale.
Il est mirroré, des dizaines de sites sont en train de prendre la relève, y compris en France
Pour l'instant, jusqu'au jour où on s'interessera aux simples liens qu'ils donnent sur des PoC … poser un lien sur un torrent de matériaux copyrighté en France est illégal… par extension, je ne vois pas pourquoi un lien sur un exploit ne le serait pas.
Je suis parfaitement d'accord sur ce point, l'open source n'est pas spécialement plus vertueuse sur la question, j'ajouterais même à ça l'accès au memcache dans django considéré comme un bug "mineur" par les développeurs …
Cette situation me semble anormale.
Il est mirroré, des dizaines de sites sont en train de prendre la relève, y compris en France
Notre lecture de l'actualité en question diverge, LOPPSI tranchera, on aura donc l'occasion d'en reparler quand le site de Nmap sera filtré. Et pour info ce blog n'a pas la prétention de donner une information objective, je n'ai pas ma carte de presse, il n'exprime que mes opinions.
> Nous sommes bien d'accord, une petite lecture du fil de discussion sur le
> billet d'Eric Freyssinet vous aurait donné une indication sur la question.
Le lien n'était pas encore affiché au moment de ma réponse, mais mon propos portait sur le "la cour de cassation aurait délibéré sur la publication de failles de sécurité" du début de ton post.
> > Milworm serait en effet concerné
> Cette situation me semble anormale, si elle vous semble normale à vous,
> alors nous ne sommes pas d'accord sur ce point.
Je fais partie des gens en faveur du responsable disclosure : dans l'affaire citée, l'absence de correctif disponible a été un point crucial pour la décision.
D'après moi, on a pas besoin d'un exploit complet ou d'une url pour comprendre qu'il faut appliquer le correctif ou les contre-mesures. Publier une url avec une injection complète sur un joomla alors qu'il n'y a pas de correctif permet à des gamins de 10 ans de pwner des milliers de site sans comprendre ce qu'ils font, ce qui n'est bénéfique à personne.
> je ne vois pas pourquoi un lien sur un exploit ne le serait pas
Parce que l'article 323-3-1 du code pénal énonce : "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions…". Héberger un exploit correspond à "mettre à disposition", faire un lien ne correspond à aucune action listée.
Le réel problème de cet article, pour les sociétés spécialisées dans la sécurité informatique, est la détention d'exploit, mais le "motif légitime" peut les sauver.
«Et pour info ce blog n'a pas la prétention de donner une information objective,»
Ça va mieux en l'écrivant… On va dire qu'il a juste la prétention de pratiquer l'amalgame, l'approximation et le titre racoleur histoire de se faire (un peu) voir dans la blogosphère du micro-monde des geeks …
Les posts/blogs réellement intéressants sur cette question n'ont pas besoin d'utiliser ces méthodes et se gardent bien d'en av oir la "prétention" … arf, arf…
Je vous concède le titre zatazien, en fin d'année on fatigue.
Je ne suis pas particulièrement versé dans les socialeries prout prout des blogguers 😉