forum Abc de la sécurité informatique

enkill · 17-07-2007 16:06:56

Bonjour à tous,

J'ai cherché en vain la réponse à une question que je me suis posé avec un collègue en matière de sécurité. Pour poser la question le plus clairement possible, je vais décrire un petit scénario

Pierre est un internaute qui n'est pas forcement bien informé sur les bonnes pratiques de sécurité. Un jour, un pirate informatique utilise son pc non protégé pour attaquer la banque de france afin détourner des centaines de milliards d'euros et réccupérer le numéro de téléphone de la fille de l'accueil parce qu'elle est franchement super-canon.
La banque de france fait appel à une entreprise de sécurité qui trouve que l'attaque a été effectuée depuis le poste de pierre.

Que risque Pierre??

(il est présumé innoncent? Jugé coupable?)

N'aillez pas pitié de Pierre: dans son malheur, il aura rencontré la standardiste. Ils vivent depuis une parfaite histoire d'amour (peut être à travers les barreaux).

Merci d'avance d'éclairer ma lanterne

JokuHech · 17-07-2007 17:04:07

Bonjour.

Pierre servira de lampiste. Il est pleinement responsable dans la mesure où son PC est accessible à tous vents.
Il poursuivra son histoire d'amour à travers des barreaux, mais aussi à travers le Barreau.

Au regard de la loi:
le PC utilisé pour l'attaque est celui de Pierre et se trouve chez Pierre. L'IP est celle qui a été allouée à Pierre par son fournisseur d'accès Internet. La responsabilité de Pierre est donc engagée pleinement.

Tout comme: le PC de Pierre a été utilisé par son fils de 13 ans. Il a téléchargé des oeuvres protégées par la SACEM et autres organismes. L'IP utilisée pour télécharger ces oeuvres est celle de Pierre (au moment des faits). Pierre est le père de l'adolescent ayant téléchargé. Même si Pierre était absent au moment des faits, Pierre est responsable de l'utilisation faite avec l'ordinateur. C'est donc Pierre le représentant légal de son fils; en tant que tel, il sera convoqué devant la justice, pour répondre des actes de son fils.

Pour en revenir à la question posée, les solutions aidant à la sécurité individuelle des postes de travail existent, et doivent être utilisés.

Ceci répondra t-il clairement à la question ?

Cordialement.

enkill · 17-07-2007 19:05:42

Oui, pleinement! Et merci pour cette réponse claire et précise.

Il y a tout de même quelque chose qu'il faut qu'on m'explique. J'avais compris que nous étions présumés innocents jusqu'à ce que nous soyons prouvés coupables. Dans le cas de Pierre, même si sa machine a été utilisée, il n'est pas prouvé qu'il soit lui même l'auteur des méfaits. Va-t'il être puni "comme si" il les avait commis ou va-t'il être puni parce qu'il ne s'est pas protégé (et il en aurait l'obligation)? En d'autres termes, va-t'il être jugé pour vol/fraude/... ou pour "non protection de pc"?

Pour ma culture personnelle, pourriez vous m'indiquer quels textes de loi se rapportent à ce scénario?

Merci encore,

Bien cordialement.

P.S:Désolé d'enchainer avec d'autres questions mais je trouve ce sujet simplement passionnant!

grenouille · 17-07-2007 20:11:48

Au sujet de la notion de présumé innocent, il suffirait d'écouter/ lire les médias (télé, radio, journaux, internet) pour se rendre compte de sa légèreté. Le fait d'être présumé innocent n'empêchera pas Pierre de se faire désigner par les médias comme "supposé coupable" (avec incidence auprès de son employeur, de son entourage, etc), de faire de la garde à vue, de la prison préventive, avec toutes les conséquences qui peuvent s'ensuivre (cf procès d'Outreau par exemple...).

C'est vrai sinon que le point posé est intéressant.

Au passage je précise que je n'ai pas de formation en législation autre que celle acquise par l'expérience... Donc que je ne garantie en rien la validité des propos qui suivent.

Supposons que Pierre puisse prouver que son ordinateur a été piraté à des fins illégales, ou qu'il n'était pas l'auteur de piratage, ou qu'il ne dispose pas des connaissances suffisantes pour commettre de tels actes, ou qu'il était absent lors du délit. Cela n'équivaudrait-il pas à la situation suivante:
On a utilisé la voiture de Pierre pour faire un excès de vitesse, pour commettre un braquage, pour s'en servir comme d'un véhicule bélier pour défoncer une vitrine, pour commettre un braquage avec prise d'otage. Mais Pierre peut prouver que sa voiture a été volée, qu'il ne peut pas conduire (depuis qu'il a perdu la vue par exemple), qu'au moment du braquage il était en train de faire un discours sur le piratage informatique, etc. Dans ces cas là, Pierre serait considéré comme innocent des crimes accomplis avec sa voiture.

En revanche, il y a bien un cas où il y a une notion d'obligation de protection des biens, c'est je crois dans tout ce qui concerne les cas de vol: si Pierre laisse la porte de sa voiture ouverte avec la clef sur le contact, je crois que la compagnie d'assurance peut refuser le dédommagement du vol de la voiture, ce qui n'est pas le cas si la voiture était fermée à clef, et que les voleurs ont du briser une vitre et bidouiller le contact pour la faire démarrer.
Transposé au cas informatique, cela équivaudrait à ce que l'obligation de protection soit valable dans le cas où Pierre souhaiterait porter plainte pour vol de données, piratage de son ordinateur.

A moins peut être que l'on rapproche l'ordinateur, de part ses capacités offensives, d'une arme par procuration. Cas auquel il y a peut être une législation différente qui s'applique...

Pour résumer (et pour paraphraser un excellent film comique):

"Y a-t-il un spécialiste du droit informatique dans la salle d'audience?"

JokuHech · 17-07-2007 20:58:00

Re.

Il me semble avoir lu cette "obligation" qui est fortement teintée de recommandation... Dans mon contrat qui me lie à mon fournisseur d'accès. Relisez le vôtre, vous devriez tomber sur un paragraphe dans ce sens. Mais en fait, là n'est pas vraiment la question. Prenons votre "histoire".

Si un internaute a pu prendre le contrôle de votre poste pour perpétrer un méfait. Cela suppose 2 cas de figure.
1. votre poste n'est pas protégé
2. votre poste est protégé mais mal protégé.

Le poste de travail étant chez vous, vous en êtes responsable. Au même titre que vous l'êtes de votre chien, ou votre enfant. Pour simplifier admettons que vous posiez chez vous sur la table un billet de 500 €, votre fenêtre est ouverte et on voit cet argent depuis cette fenêtre. Quelqu'un passe et embarque le billet... Qui est responsable ? Le voleur parce qu'il est entré par la fenêtre, ou vous qui avez laissé cette fenêtre ouverte ? Moi je dirais les 2 !
En tout état de cause, si la fenêtre est ouverte, vous ne pourrez pas être considéré de bonne foi, ce qui sera le cas si la fenêtre est "mal fermée". dans ce cas, l'assurance pourra jouer si une clause de ce type ou couverture existe. mais au lieu du billet il suffirait de prendre un tableau ou un bijou, par exemple.

Revenons au cas que vous soulevez. Votre méchant pirate va s'en prendre à une banque et détourner des données confidentielles ou de l'argent.

Si ça part de chez vous, l'admin ou la police risque de trouver votre IP. Je dis bien la vôtre, pas la sienne propre.

je me place à présent en policier chargé de trouver l'auteur du détournement. je relève votre IP. Je file ça au juge qui va s'empresser de me délivrer l'autorisation d'aller voir le fournisseur d'accès gérant cette IP. Ce fournisseur est obligé de me donner votre nom et votre adresse, ainsi que la preuve que votre IP était connectée à Internet au moment du forfait. je me rends chez vous, je vais fouiller un peu vos fichiers et je tombe sur un cookie stipulant très clairement que vous étiez à telle heure et telle date connecté au site de la banque agressée.

Pour moi policier, c'est clair, vous êtes le coupable. À partir de là, la suite c'est le juge qui va aller plus loin. J'ai trouvé mon coupable, j'ai fait mon boulot. Et vos ennuis commencent.

Parce que c'est vous qui allez devoir prouver votre bonne foi, et ce sera à vous de prouver que ce n'est pas vous l'auteur. Comment allez vous faire, en sachant que votre PC n'est pas protégé. le dire, ou le crier sur tous les toits de france et Navarre ne vous aidera pas.

Cordialement.

grenouille · 18-07-2007 00:42:32

Jokuhech, je pense que tu exagères un peu sur la culpabilité définitive du possesseur du PC. Par exemple, il pourrait se défendre sur le fait qu'aucun mouvement d'argent n'a été constaté sur son compte, etc.
D'un autre coté, tu as probablement raison, ce genre de situation suffit probablement au policier de base pour saisir le matériel et faire découvrir au propriétaire les joies de la préventive...
Mais je le répète, l'avis d'un juriste serait utile.
D'autant que d'après ce que j'ai lu à droite à gauche, il n'existe aucun système ultime et définitif de protection.

enkill · 18-07-2007 01:20:49

Bonsoir

L'avis d'un juriste sera en effet le bienvenu. On voit partout sur internet que "nous sommes responsables" s'il nous arrive une aventure comme celle de Pierre. Mais y'a t'il un texte de loi clair et précis sur le sujet?

Dans notre histoire, je trouve (notez la subjectivité du propos) qu'il est injuste de rejeter la responsabilité sur Pierre. Reprenons l'analogie avec la voiture. Ne pas protéger son pc n'est pas à mon avis comparable à laisser sa voiture ouverte avec les clés dessus. Nul n'est supposé entrer dans mon système avec la configuration de base. Pour ce faire, le pirate doit exploiter des failles. C'est comme si un voleur ouvrait la voiture par une serrure défectueuse (connaissant le modèle de la voiture, il connait les défauts de fabrication). La responsabilité n'en reviendrait-elle pas alors au constructeur? (qui serait probablement tenu de rappeler les véhicules concernés par le défaut).
Pierre n'est pas censé avoir besoin d'être informaticien pour utiliser un ordinateur à des fins personnelles (vidéos, jeux, ...) . Protéger un pc efficacement requiert selon moi de bonnes compétences. La loi pourrait-elle ne pas prendre ça en considération?

grenouille · 18-07-2007 19:01:21

Enkill, je suis "moralement" d'accord avec toi, dans la mesure où si un système d'exploitation nous est vendu pour pouvoir accéder à internet, alors il devrait inclure un système de protection mettant à l'abri son utilisateur d'un mauvais usage d'internet, ou alors indiquer clairement que le système n'est pas fait pour aller sur Internet en dehors de certains sites, etc
Ceci dit, supposons le cas inverse: Pierre est bien l'auteur des malversations sur internet. Il pourrait très bien utiliser pour sa défense l'argument "ce n'est pas moi, c'est quelqu'un qui a piraté mon système". Aux enquêteurs de le prouver...
Toutefois que Pierre soit innocent ou non, qu'il soit responsable ou non, je pense que dans l'état actuel des choses, le résultat serait le même:
1-perquisition + saisie du matériel informatique + garde à vue +/- préventive. Et ensuite (lenteur de la justice, etc) 2-jugement avec verdict: Pierre est coupable ou non.
Ce qui est déjà relativement ennuyeux, même si l'on suppose que Pierre ne "bénéficie" pas de quelques mois (années?) de préventive.

Mais c'est vrai que je sors du sujet, qui est la responsabilité de Pierre.

grenouille · 18-07-2007 19:35:17

Tiens, en cherchant bien....
Alors sur la responsabilité des bêtises du fiston qui a publié n'importe quoi sur son site web:
http://www.droitdunet.fr/par_profils/lecture.phtml?type=profil_parent&it=2&id=78
En bref: le fiston est (à priori) le seul responsable au pénal (par ex s'il a insulté quelqu'un), mais les parents sont responsable sur le plan civil (par ex s'il a volé de l'argent les parents devront rembourser (mais n'iront pas en prison, comme le fiston)).

Et sur la responsabilité du à un virus qui aurait transformé le PC de Pierre en machine à spam:
http://www.droitdunet.fr/par_profils/lecture.phtml?type=profil_internaute&it=6&id=124
à priori Pierre n'est pas responsable puisqu'il n'a pas intentionnellement envoyé l'email contenant un ver, ou qu'il n'a pas eu l'intention d'envoyer un message email contenant un ver (cas auquel il a envoyé le message en pensant qu'il contenait un document joint anodin).

Je vais essayer d'en savoir plus.

enkill · 18-07-2007 23:37:52

Merci pour ces éléments de réponse Grenouille!

C'est le genre de lien que j'ai cherché en vain!!

Dans l'un de ces articles, on a un indice:

"vous ne pouvez pas être reconnu coupable d’une infraction commise par une autre personne sauf à démontrer que vous avez été complice de cette infraction, et ceci même si votre enfant est mineur. "

J'imagine que ça s'applique dans le cas d'un piratage...?

Le point que tu soulignes est également intéressant. Pierre pourrait commettre la faute et dire qu'il a été piraté pour se défendre. Les enquêteurs auraient bien du travail!

En tout cas, c'est bien compliqué tout ça! Vivement qu'on sache s'il y a un texte de loi sur ce sujet.

Merci encore pour ces informations!