LE PENTESTFACE AU DROIT

CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust

DROIT VS. PENTEST1. Définitions préalables

2. Risques juridiques

3. Encadrement juridique

DÉFINIR LEPENTEST

QUID ?Pentest/Test d'intrusion

Tentative de pénétration d'un système (mise en situationd'une attaque, exploitation des failles)

DU CÔTÉ DU PENTESTEURQuel système d'information cible ? / Quelles

connaissances ? / Quelle méthodologie ?

NIVEAU DE CONNAISSANCE DUPENTESTEUR

Boîte noire / Boîte grise / Boîte blanche

MÉTHODOLOGIE DU PENTESTLogique / Physique

Technique / Ingénierie sociale

PENTEST ≠ AUDITL'audit est une étude aboutissant à un panorama

complet du SI et indique sa situation par rapport à unréférentiel

DIFFÉRENCES MAJEURESUn pentest est relativement peu cher, mais limité dans

son périmètre et sa durée

Un audit est plus large, mais aussi plus cher

Juridiquement, le pentest est une obligation de moyens(et l'audit, de résultat)

QUELSRISQUES

JURIDIQUES ?

TL;DR

GRAVES ET NOMBREUX

FRAUDE INFORMATIQUELoi Godfrain (articles 323-1 à 323-7 du Code pénal)

DÉLITS DE LA LOI GODFRAINNotion de système de traitement automatisé de données

Accès et maintien non autorisés / Entrave dufonctionnement / Introduction, modification,

suppression de données

Punition de la tentative / Aggravation lorsque STAD misen œuvre par l'État

SANCTIONS DE LA LOI GODFRAINAccès/Maintien

2 ans d'emprisonnement, 30k€ d'amende

Contre un STAD étatique

3 ans d'emprisonnement, 45K€ d'amende

SANCTIONS DE LA LOI GODFRAINModification de données

5 ans d'emprisonnement, 75k€ d'amende

Contre un STAD étatique

7 ans d'emprisonnement, 100k€ d'amende

COUR D'APPEL DE PARIS, 5 FÉVRIER 2014Illustration de condamnation sur le fondement de la loi Godfrain

« L’accès, qu’il ne conteste pas, lui a en fait été permis enraison d’une défaillance technique concernant

l’identification existant dans le système, défaillance quereconnaît l'ANSES ; dans ces conditions l’infraction n’est

pas caractérisée »

« O.L. a fait des copies de fichiers informatiquesinaccessibles au public à des fins personnelles à l’insu etcontre le gré de leur propriétaire ; [sa] culpabilité seradonc retenue des chefs de maintien frauduleux dans un

STAD »

UNE EXTENSION ISSUE DE LA LPMAjout par la Loi de programmation militaire de décembre

2013 du délit de détention de données(reproduction/extraction/détention/transmission)

Article 323-3 du Code pénal

COUR D'APPEL DE PARIS, 5 FÉVRIER 2014« en l’absence de toute soustraction matérielle de

documents appartenant à l’Anses, le simple fait d’avoirtéléchargé et enregistré sur plusieurs supports des fichiersinformatiques de l’Anses qui n’en a jamais été dépossédée,

puisque ces données, élément immatériel, demeuraientdisponibles et accessibles à tous sur le serveur, ne peut

constituer l’élément matériel du vol, la soustractionfrauduleuse de la chose d’autrui, délit supposant, pour

être constitué, l’appréhension d’une chose »

UNE AMBIGUÏTÉ DANS LA LPM ?Introduction dans le Code de la propriété intellectuelle

de la possibilité de tester un logiciel pour s'assurer de sasécurité (L. 122-6-1 III du CPI)

ART. 25 LPM → L. 122-6-1 III CPIToute personne ayant le droit d'utiliser le logiciel peut sans

l'autorisation de l'auteur observer, étudier ou tester lefonctionnement ou la sécurité de ce logiciel afin de

déterminer les idées et principes qui sont à la base den'importe quel élément du logiciel lorsqu'elle effectue toute

opération […] qu'elle est en droit d'effectuer.

EN ATTENDANT LE JUGE…L'insécurité juridique règne !

Les tests sauvages de sites sont fortement déconseillés

Pas l'intention du législateur / Totalement contraire à laloi Godfrain

ATTEINTE AUX DROITS DE PROPRIÉTÉINTELLECTUELLE

Code de la propriété intellectuelle

DIFFÉRENTS DROITSPropriété littéraire et artistique (écrits, logiciels, etc.)

Propriété industrielle (brevets, marques, etc.)

Protection sui generis des producteurs de bases dedonnées

ARTICLE L. 335-2-1 DU CPI« Est puni de trois ans d'emprisonnement et de 300 000euros d'amende le fait d'éditer, de mettre à la disposition

du public ou de communiquer au public, sciemment et sousquelque forme que ce soit, un logiciel manifestement destinéà la mise à disposition du public non autorisée d'oeuvres ou

d'objets protégés »

PROTECTION DES DONNÉESPERSONNELLES

Loi informatique et libertés

EXEMPLE DES RISQUESArticle 226-16 du Code pénal

Extraire, consulter ou collecter des données personnellessans respecter les formalités de la LIL

Amende de 300k€ et 5 ans d'emprisonnement

EXEMPLE DES RISQUESArticle 226-16 du Code pénal

« Le fait, y compris par négligence, de procéder ou de faireprocéder à des traitements de données à caractère

personnel sans qu’aient été respectées les formalitéspréalables à leur mise en oeuvre prévues par la loi est punide cinq ans d’emprisonnement et de 300 000 € d’amende »

LE TROISIÈME HOMMEL'hébergeur ou le sous-traitant

HÉBERGEUR/PRESTATAIRELe risque de perturbation des services du prestataire

contrevient à la loi Godfrain…

… Et souvent aux CGU de l'hébergeur

AMÉNAGER UNEPROTECTIONJURIDIQUE

L'ESSENTIEL CADRE CONTRACTUEL

PROCESSUS CONTRACTUELContrat antérieur à l'opération de pentest

Négociation permettant d'informer le client (risques) etde valider et décrire chaque étape du test

Détermination des responsabilités et rôles

CONTENU DU CONTRATIdentité du client, du testeur, du commanditaire

Obligation de moyens du testeur (+ limites)

Périmètre/Modalités de l'obligation

Forme du livrable

Propriété intellectuelle (notamment du rapport)

Confidentialité

AUTOUR DU CONTRATAutorisation de l'hébergeur

Charte d'éthique

Référentiel de l'intrusion de la Fédération desprofessionnels des tests d'intrusion

AMÉLIORER LA CULTURE SÉCURITÉ(JURIDIQUE)

Désignation d'un CIL

Sensibilisation des commerciaux et prestataires

Associer les compétences juridiques et techniques

LE PENTESTFACE AU DROIT

CYBER@HACK 2015 / / Benjamin Benifei Juriste ITrust

ALLER PLUS LOINITrust, Les aspects juridiques des scans et tests intrusifs

FPTI, Référentiel de l'intrusion

Hackers Republic, Loi Godfrain : explications et illustrations

Nmap.org, Legal issues

Benjamin Benifei, La loi de programmation militaire a-t-ellevraiment rendu légale l’attaque de sites internet ?