Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Etre payé pour pirater un site légalement, ça se fait?

MrFaelivrin

Bonjour,

Je me demandais si il était possible de signer un contrat avec une entreprise pour tester par exemple la sécurité d'un site? Etre payé seulement dans le cas où la mise en évidence de l'existence de failles de sécurité porte ses fruits?

Je voulais donc connaître quelle serait la procédure à suivre lorsqu'en amont pour un ou plusieurs sites j'ai trouvé d'importantes failles de sécurité pour que je puisse obtenir une petite gratification de la part de l'entreprise en question et ce de la manière la plus légale qui soit ?
Pour une petite PME, quels en seraient les tarifs?

Merci. 🙂

PS: je suis actuellement étudiant dans la filière informatique, j'ai travaillé quelques temps dans des start-ups et je voudrais développer ma propre entreprise.

ssdg

Si tu les a trouvées en amont, c'est mal barré. En france, il est interdit de s'introduire frauduleusement dans un système informatique sans l'accord de son propriétaire. Du coup, je suis content que tu aie utilisé le conditionnel. (et non, je ne veux pas en savoir plus)

Il existe des boites qui font ça ( exemple: ce mec http://www.paulds.fr/prestations-de-service/ ) Je ne connais pas son business model dans les détails, mais l'idée est que tu dois avoir l'accord de la boite avant de commencer tes travaux. (autrement, même si la faille est béante et que la mafia l'utilise pour voler des informations personnelles de tes concitoyens, c'est toi que la boite va poursuivre pour atteinte à son image. (oui, prouver qu'une boite met en danger ses clients par avarice est répréhensible)

Valeryan_24

Je ne suis pas juriste, donc je ne me prononcerai pas en droit, mais je ferai juste deux remarques et je rejoins ssdg :

- il faudrait contractualiser avec la société en amont AVANT de tester leur site / serveur pour détecter d'éventuelles failles, prestation qui serait payée et bien détaillée par écrit.

- d'après ce que vous dites, il semble que vous avez déjà repéré des failles et souhaitiez monétiser leur signification à l'entreprise afin qu'elle puisse se protéger (et dans certains cas se conformer à la Loi).

Si c'est bien cela, soyez extrêmement prudent, vous prenez de gros risques : hélas (il faudra des années avant que cela ne change) de nombreuses PME négligent le secteur informatique (pas de backup ni de réelle stratégie de sauvegarde et dé-duplication des données pourtant essentielles, serveurs et poste de travail non sécurisés), et soit par méconnaissance, ou par volonté de ne pas voir leur image dégradée, elles pourraient vous accuser de piratage (intrusion dans un système informatique), voire de chantage (si elles estiment que vous réclamez de l'argent pour leur dévoiler la faille) !

http://www.numerama.com/magazine/14014-condamne-en-appel-zataz-en-a-plein-le-cul-et-songe-a-fermer.html
http://www.kitetoa.com/Pages/Textes/Textes/Texte11/20090904-damien-bancal-de-zataz.com-gagne-un-proces-que-lui-faisait-forever-living-products-.shtml
On peut trouver bien d'autres liens similaires pour d'autres affaires.

Même si vous n'avez commis aucune infraction pour découvrir le problème, ni exploité celui-ci, vous risquez de subir attaque en justice, huissier, voire perquisition, confiscation du matériel et expertise judiciaire + procès, donc frais importants.

Renseignez-vous auprès de spécialistes de la sécurité informatique (Zataz, Kitetoa, Bluetouff...) et du droit numérique (Zythom) avant de lancer votre activité, pour que ce soit en toute légalité et en toute assurance 🙂

MrFaelivrin

Très bien, je vous remercier beaucoup pour tous vos conseils. Ils m'ont réellement ouvert les yeux sur les risques que j'aurais pu encourir.

Tout ce dont j'ai pu parler ci-dessus était à mettre au conditionnel, évidemment, c'était dans l'éventualité où pour un site X, je trouvais d'énormes failles de sécurité comme par exemple, un moyen très simple pour récupérer les codes sources PHP et donc me permettant de récupérer les adresses et codes d'accès au SGBD.

Si je devais formaliser cette démarche pour être conforme à la loi.
Il faudrait que je contacte l'entreprise et que je vende mes services, dans l'éventualité où il existerait des risques pour celle-ci.
Quels seraient les documents qu'il faudrait faire signer pour cette entreprise?

Tous ces articles me dissuadent de proposer des services pour la sécurité informatique des entreprises.

Henry de Monfreid

Salut.

Tout ce que tu peux faire, c'est proposer à une entreprise de faire un audit de sécurité. Pour cela il faut connaitre tous les exploits publics et savoir les mettre en œuvre, avoir découvert un bug ne suffit pas, surtout si ce bug est répertorié.

C'est un travail d'équipe, et c'est un vrai métier qu'on improvise pas.

Je pense aussi que les boites qui auraient les moyens de telles investigations préfèrent traiter ces problèmes en interne ou avec des prestataires de confiance.

tiramiseb

Salut,

J'ai bossé dans une boîte où un collègue avait de telles prestations à faire occasionnellement.

En gros, le client nous demande de chercher des failles, ce qui est plus qu'un audit de sécurité (qui, lui, peut ne s'arrêter qu'à l'analyse de l'infrastructure en question, sans tentative pour la "casser"), on appelle ça un test d'intrusion ; d'ailleurs le terme courant pour appeler les gens qui font ça est "pentester" (penetration tester).
Et ce client, bien sûr, a auparavant signé un contrat de prestation qui indique notamment qu'ils ne peuvent pas se retourner contre nous pour tout piratage provenant de nos adresses IP sur la période du test.

Henry de Monfreid

tiramiseb a écrit Et ce client, bien sûr, a auparavant signé un contrat de prestation qui indique notamment qu'ils ne peuvent pas se retourner contre nous pour tout piratage provenant de nos adresses IP sur la période du test.

Et si l'attaque nécessite de changer d'IP, ou d'utiliser des milliers d'IP ?

Un DDOS, par exemple.

Henry de Monfreid

Serge Humpich avait l'autorisation d'attaquer les cartes bancaire, ça n'a pas empêché le GIE interbancaire de le faire condamner.

http://fr.wikipedia.org/wiki/Serge_Humpich

tiramiseb

Et si l'attaque nécessite de changer d'IP, ou d'utiliser des milliers d'IP ?

Un DDOS, par exemple.

Dans la société où j'étais, on ne testait pas les DDoS. On avait plusieurs IP (c'est pourquoi j'ai écrit "provenant de nos adresses IP") mais pas des milliers.
Et si on avait eu des milliers de machines pour faire un DDoS, la formulation aurait été la même.

Maintenant, il y a des limites à ces prestations c'est sûr : l'utilisation de milliers d'adresses par les pirates, c'est dans le cadre de botnets. Et avoir un botnet, c'est illégal vu que ça consiste à pénétrer préalablement des machines de tiers non sécurisées, donc difficilement faisable dans un cadre légal.

Enfin bon, le DDoS fait tomber un site, mais il ne révèle pas une faille qui permet de pénétrer les machines. En tout cas je n'ai jamais eu vent d'un tel cas. Du coup peu utile de le tester, on sait tous ce qu'un DDoS fait...

tiramiseb

Serge Humpich avait l'autorisation d'attaquer les cartes bancaire

Tu as vu ça où ?

Humpich a mis une faille en évidence mais sans aucune contractualisation de ce genre.
Et ce qui lui a valu une condamnation, c'est que pour prouver la faille il a acheté des tickets de métro avec une carte de sa fabrication (donc il a bel et bien fait quelque chose d'illégal).
http://fr.wikipedia.org/wiki/Serge_Humpich

Henry de Monfreid

tiramiseb a écrit Enfin bon, le DDoS fait tomber un site, mais il ne révèle pas une faille qui permet de pénétrer les machines. En tout cas je n'ai jamais eu vent d'un tel cas. Du coup peu utile de le tester, on sait tous ce qu'un DDoS fait...

Le denial of service a été inventé pour neutraliser une machine afin d'usurper son identité. (ou alors je n'ai pas tout compris, c'est possible)

http://wiki.cas.mcmaster.ca/index.php/The_Mitnick_attack

Henry de Monfreid

tiramiseb a écrit
Serge Humpich avait l'autorisation d'attaquer les cartes bancaire
Tu as vu ça où ?

J'avais lu un article dans "le virus informatique" ou "pirate mag" (RIP), le terminal qu'Humpich avait utilsé pour ses tests lui avait été fourni par le GIE, dans le but explicite de trouver des failles.

tiramiseb

Le denial of service a été inventé pour neutraliser une machine afin d'usurper son identité.

Le DoS (dont le DDoS est une variante) a pour objectif de neutraliser la machine, oui : de la faire tomber.

Ensuite, on peut en effet (mais c'est très loin d'être facile) usurper son identité, se faire passer pour elle auprès du reste du monde pour éventuellement récupérer les identifiants d'utilisateurs, par exemple.
Mais cette usurpation est très difficile, il faut manipuler les DNS, éventuellement faire un MITM, réussir à contrôler une machine sur le même réseau, pirater les routeurs pour rediriger le flux... Tu l'auras compris, ça ne va pas de soi.

Ces derniers temps, les DDoS ont surtout été utilisé comme représailles (voir l'usage qu'en font les Anonymous par exempleà.

Et, dans tous les cas, même si l'identité du serveur est usurpée, ça ne permet toujours pas de pénétrer sur le réseau de la société...

tiramiseb

S.O.D. a écritJ'avais lu un article dans "le virus informatique" ou "pirate mag" (RIP), le terminal qu'Humpich avait utilsé pour ses tests lui avait été fourni par le GIE, dans le but explicite de trouver des failles.

http://www.acbm.com/pirates/num_05/interview.html

Tu liras dans cet interview que le fameux contrat a été rédigé après la démonstration d'achat de tickets de métro, en parallèle de la plainte qui a été déposée en douce par le GIE :

« Il y a un an, dans deux stations de métro parisien, j'ai utilisé des distributeurs automatiques de titres de transport pour acheter avec ma fausse carte des tickets de métro. [...] A partir de ce moment, nous avons pu négocier. Un contrat de savoir-faire et de confidentialité a été rédigé par nos juristes respectifs. Personnellement, je trouvais cette affaire commerciale absolument banale. Le GIE m'avait affirmé ne rien trouver d'anormal à ma démarche. Je pensais naïvement qu'il cherchait à améliorer son système. Mais il avait porté plainte, en même temps, par derrière, pour "introduction frauduleuse dans un système de traitement de données automatisé" et "contrefaçon de carte bancaire à puce" ! »

Henry de Monfreid

Autant pour moi, comme quoi ma mémoire est loin d'être infaillible.

Et merci pour le site ACBM, je pensais que ces magazines étaient perdus à jamais.

mazarini

Négocier un contrat pour la combler une faille que l'on a déjà découvert, ca peut ressembler à du chantage.

[supprimé]

MrFaelivrin a écritTrès bien, je vous remercier beaucoup pour tous vos conseils. Ils m'ont réellement ouvert les yeux sur les risques que j'aurais pu encourir.

Tout ce dont j'ai pu parler ci-dessus était à mettre au conditionnel, évidemment, c'était dans l'éventualité où pour un site X, je trouvais d'énormes failles de sécurité comme par exemple, un moyen très simple pour récupérer les codes sources PHP et donc me permettant de récupérer les adresses et codes d'accès au SGBD.

Si je devais formaliser cette démarche pour être conforme à la loi.
Il faudrait que je contacte l'entreprise et que je vende mes services, dans l'éventualité où il existerait des risques pour celle-ci.
Quels seraient les documents qu'il faudrait faire signer pour cette entreprise?

Tous ces articles me dissuadent de proposer des services pour la sécurité informatique des entreprises.

Nul ne peut invoquer ses propres turpitudes et tout l'utilisation de tout moyen obtenu de façon non légale est illégale. Attention à ces articles du code et tu encours des risques, notamment être accusé de chantage.
En gros tu ne peux pas te présenter dans une boite et proposer tes services au motif que tu aurais détecté chez eux telle faille de sécurité.
Propose tes services, propose un audit, quitte à ce que celui ci soit payant mais déduit de la facture en cas d'accord sur un contrat de sécurité

sweetly

tiramiseb a écrit
Le denial of service a été inventé pour neutraliser une machine afin d'usurper son identité.
Le DoS (dont le DDoS est une variante) a pour objectif de neutraliser la machine, oui : de la faire tomber.

Ensuite, on peut en effet (mais c'est très loin d'être facile) usurper son identité, se faire passer pour elle auprès du reste du monde pour éventuellement récupérer les identifiants d'utilisateurs, par exemple.
Mais cette usurpation est très difficile, il faut manipuler les DNS, éventuellement faire un MITM, réussir à contrôler une machine sur le même réseau, pirater les routeurs pour rediriger le flux... Tu l'auras compris, ça ne va pas de soi.

Ces derniers temps, les DDoS ont surtout été utilisé comme représailles (voir l'usage qu'en font les Anonymous par exempleà.

Et, dans tous les cas, même si l'identité du serveur est usurpée, ça ne permet toujours pas de pénétrer sur le réseau de la société...

Les DDoS sont surtout utiliser par pas mal de Blackhat qui disposent de botnet comme une source de revenus régulière : soit par racket (simple, tu fais un DDoS sur un site commercial, tu demandes un somme modique pour que ça ne recommence plus, bien souvent, vu le manque à gagner du marchand, il paie), ou alors en louant son service pour un tiers qui veut faire "tomber" un site pour une raison X ou Y.