le pentest face au droit - itrust.fr pentest face au... · quid ? pentest/test d'intrusion...
TRANSCRIPT
LE PENTESTFACE AU DROIT
CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust
DROIT VS. PENTEST1. Définitions préalables
2. Risques juridiques
3. Encadrement juridique
DÉFINIR LEPENTEST
QUID ?Pentest/Test d'intrusion
Tentative de pénétration d'un système (mise en situationd'une attaque, exploitation des failles)
DU CÔTÉ DU PENTESTEURQuel système d'information cible ? / Quelles
connaissances ? / Quelle méthodologie ?
NIVEAU DE CONNAISSANCE DUPENTESTEUR
Boîte noire / Boîte grise / Boîte blanche
MÉTHODOLOGIE DU PENTESTLogique / Physique
Technique / Ingénierie sociale
PENTEST ≠ AUDITL'audit est une étude aboutissant à un panorama
complet du SI et indique sa situation par rapport à unréférentiel
DIFFÉRENCES MAJEURESUn pentest est relativement peu cher, mais limité dans
son périmètre et sa durée
Un audit est plus large, mais aussi plus cher
Juridiquement, le pentest est une obligation de moyens(et l'audit, de résultat)
QUELSRISQUES
JURIDIQUES ?
TL;DR
GRAVES ET NOMBREUX
FRAUDE INFORMATIQUELoi Godfrain (articles 323-1 à 323-7 du Code pénal)
DÉLITS DE LA LOI GODFRAINNotion de système de traitement automatisé de données
Accès et maintien non autorisés / Entrave dufonctionnement / Introduction, modification,
suppression de données
Punition de la tentative / Aggravation lorsque STAD misen œuvre par l'État
SANCTIONS DE LA LOI GODFRAINAccès/Maintien
2 ans d'emprisonnement, 30k€ d'amende
Contre un STAD étatique
3 ans d'emprisonnement, 45K€ d'amende
SANCTIONS DE LA LOI GODFRAINModification de données
5 ans d'emprisonnement, 75k€ d'amende
Contre un STAD étatique
7 ans d'emprisonnement, 100k€ d'amende
COUR D'APPEL DE PARIS, 5 FÉVRIER 2014Illustration de condamnation sur le fondement de la loi Godfrain
« L’accès, qu’il ne conteste pas, lui a en fait été permis enraison d’une défaillance technique concernant
l’identification existant dans le système, défaillance quereconnaît l'ANSES ; dans ces conditions l’infraction n’est
pas caractérisée »
« O.L. a fait des copies de fichiers informatiquesinaccessibles au public à des fins personnelles à l’insu etcontre le gré de leur propriétaire ; [sa] culpabilité seradonc retenue des chefs de maintien frauduleux dans un
STAD »
UNE EXTENSION ISSUE DE LA LPMAjout par la Loi de programmation militaire de décembre
2013 du délit de détention de données(reproduction/extraction/détention/transmission)
Article 323-3 du Code pénal
COUR D'APPEL DE PARIS, 5 FÉVRIER 2014« en l’absence de toute soustraction matérielle de
documents appartenant à l’Anses, le simple fait d’avoirtéléchargé et enregistré sur plusieurs supports des fichiersinformatiques de l’Anses qui n’en a jamais été dépossédée,
puisque ces données, élément immatériel, demeuraientdisponibles et accessibles à tous sur le serveur, ne peut
constituer l’élément matériel du vol, la soustractionfrauduleuse de la chose d’autrui, délit supposant, pour
être constitué, l’appréhension d’une chose »
UNE AMBIGUÏTÉ DANS LA LPM ?Introduction dans le Code de la propriété intellectuelle
de la possibilité de tester un logiciel pour s'assurer de sasécurité (L. 122-6-1 III du CPI)
ART. 25 LPM → L. 122-6-1 III CPIToute personne ayant le droit d'utiliser le logiciel peut sans
l'autorisation de l'auteur observer, étudier ou tester lefonctionnement ou la sécurité de ce logiciel afin de
déterminer les idées et principes qui sont à la base den'importe quel élément du logiciel lorsqu'elle effectue toute
opération […] qu'elle est en droit d'effectuer.
EN ATTENDANT LE JUGE…L'insécurité juridique règne !
Les tests sauvages de sites sont fortement déconseillés
Pas l'intention du législateur / Totalement contraire à laloi Godfrain
ATTEINTE AUX DROITS DE PROPRIÉTÉINTELLECTUELLE
Code de la propriété intellectuelle
DIFFÉRENTS DROITSPropriété littéraire et artistique (écrits, logiciels, etc.)
Propriété industrielle (brevets, marques, etc.)
Protection sui generis des producteurs de bases dedonnées
ARTICLE L. 335-2-1 DU CPI« Est puni de trois ans d'emprisonnement et de 300 000euros d'amende le fait d'éditer, de mettre à la disposition
du public ou de communiquer au public, sciemment et sousquelque forme que ce soit, un logiciel manifestement destinéà la mise à disposition du public non autorisée d'oeuvres ou
d'objets protégés »
PROTECTION DES DONNÉESPERSONNELLES
Loi informatique et libertés
EXEMPLE DES RISQUESArticle 226-16 du Code pénal
Extraire, consulter ou collecter des données personnellessans respecter les formalités de la LIL
Amende de 300k€ et 5 ans d'emprisonnement
EXEMPLE DES RISQUESArticle 226-16 du Code pénal
« Le fait, y compris par négligence, de procéder ou de faireprocéder à des traitements de données à caractère
personnel sans qu’aient été respectées les formalitéspréalables à leur mise en oeuvre prévues par la loi est punide cinq ans d’emprisonnement et de 300 000 € d’amende »
LE TROISIÈME HOMMEL'hébergeur ou le sous-traitant
HÉBERGEUR/PRESTATAIRELe risque de perturbation des services du prestataire
contrevient à la loi Godfrain…
… Et souvent aux CGU de l'hébergeur
AMÉNAGER UNEPROTECTIONJURIDIQUE
L'ESSENTIEL CADRE CONTRACTUEL
PROCESSUS CONTRACTUELContrat antérieur à l'opération de pentest
Négociation permettant d'informer le client (risques) etde valider et décrire chaque étape du test
Détermination des responsabilités et rôles
CONTENU DU CONTRATIdentité du client, du testeur, du commanditaire
Obligation de moyens du testeur (+ limites)
Périmètre/Modalités de l'obligation
Forme du livrable
Propriété intellectuelle (notamment du rapport)
Confidentialité
AUTOUR DU CONTRATAutorisation de l'hébergeur
Charte d'éthique
Référentiel de l'intrusion de la Fédération desprofessionnels des tests d'intrusion
AMÉLIORER LA CULTURE SÉCURITÉ(JURIDIQUE)
Désignation d'un CIL
Sensibilisation des commerciaux et prestataires
Associer les compétences juridiques et techniques
LE PENTESTFACE AU DROIT
CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust
ALLER PLUS LOINITrust, Les aspects juridiques des scans et tests intrusifs
FPTI, Référentiel de l'intrusion
Hackers Republic, Loi Godfrain : explications et illustrations
Nmap.org, Legal issues
Benjamin Benifei, La loi de programmation militaire a-t-ellevraiment rendu légale l’attaque de sites internet ?