Des pirates ciblent les grands patrons dans les hôtels, Réactions à la publication du 11/11/2014

[Lionel]

Des chercheurs de Kaspersky ont découvert les agissements d'un groupe de pirates qu'ils ont surnommé "Darkhotel". Ce groupe qui court toujours agit dans les hôtels de luxe en Asie et cible les grands patrons qui y séjournent afin de leur dérober des informations confidentielles.
Après avoir réussi à prendre le contrôle des serveurs de ces hôtels visiblement mal sécurisés, les pirates utilisent leurs services internet pour proposer aux clients des mises à jour de logiciels (comme ceux d'Adobe) qui sont en fait des installeurs de logiciels malveillants qui vont permette de prendre le contrôle à distance des machines et d'enregistrer la frappe de tous les mots de passe.

Kaspersky (sans le dire ouvertement) soupçonne des services gouvernementaux d'être derrière ce groupe de pirates car ces derniers sont très bien équipés et surtout particulièrement bien informés. Ils ne partent pas à la pêche mais visent des personnes parfaitement ciblées et connaissent leur date d'arrivée dans les hôtels ainsi que la durée de leur séjour de manière très précise.
Lien vers le billet original

[zorphil]

Ca pose question... Surtout quand je lis certaines interventions qui semblent accabler les victimes de ces piratages.

Déjà et en préambule, je pense qu'un patron d'entreprise peut tout à fait être une buse en informatique, ne pas avoir de permis de conduire et ne parler qu'une langue : son métier c'est la représentation, la négociation, les choix stratégique et avoir une certaine capacité à s'entourer de collaborateurs efficaces dans leurs domaines. Pas de connaître les outils que ces collaborateurs-là, eux, peuvent maîtriser.

Ensuite se faire pirater, moi j'assimile ça à un viol : après tout, informatiquement parlant, on déshabille les gens, on force leur intimité sans leur consentement.
Dès lors, les arguments qui mettent en évidence telle ou telle imprudence rendant la victime plus ou moins responsable de ce qu'elle a subit m'apparaissent spécieux. Une jolie fille qui se promène en rue vêtue d'une tenue sexy n'a pas plus vocation au viol qu'une bonne soeur en cornette ou qu'une préposée à la maintenance des égouts en salopette de travail.

Si les raisonnements et la jurisprudence vont dans ce sens et dispensent les pirates d'une partie de leur responsabilité au dépend de leurs victimes, estimées imprudentes ou provocantes, on ouvre les portes à une mécanique sécuritaire pouvant porter préjudice à l'ensemble du monde cybernétique. En revenant à mon analogie précédente, c'est comme si on disait aux femmes que s'habiller d'une minijupe ou présenter un décolleté profond justifie - un peu, beaucoup et pour finir totalement - l'agression dont elles ne seront plus victimes mais responsables... Et toutes les femmes en salopettes oranges, plastron en kevlar, cheveux courts et visière noire, option recommandée, le soutif d'alarme et la petite culotte imbibée de cyanure.

Je sais que dans certaines contrées les femmes victimes de viol sont condamnées à mort... Les victimes d'actes de piraterie seront-ils chez nous poursuivis en justice ? J'espère que non !

Ce message a été modifié par zorphil - 11 Nov 2014, 17:40.

[r@net54]

Ca pose question... Surtout quand je lis certaines interventions qui semblent accabler les victimes de ces piratages.

Déjà et en préambule, je pense qu'un patron d'entreprise peut tout à fait être une buse en informatique, ne pas avoir de permis de conduire et ne parler qu'une langue : son métier c'est la représentation, la négociation, les choix stratégique et avoir une certaine capacité à s'entourer de collaborateurs efficaces dans leurs domaines. Pas de connaître les outils que ces collaborateurs-là, eux, peuvent maîtriser.

Ensuite se faire pirater, moi j'assimile ça à un viol : après tout, informatiquement parlant, on déshabille les gens, on force leur intimité sans leur consentement.
Dès lors, les arguments qui mettent en évidence telle ou telle imprudence rendant la victime plus ou moins responsable de ce qu'elle a subit m'apparaissent spécieux. Une jolie fille qui se promène en rue vêtue d'une tenue sexy n'a pas plus vocation au viol qu'une bonne soeur en cornette ou qu'une préposée à la maintenance des égouts en salopette de travail.

Si les raisonnements et la jurisprudence vont dans ce sens et dispensent les pirates d'une partie de leur responsabilité au dépend de leurs victimes, estimées imprudentes ou provocantes, on ouvre les portes à une mécanique sécuritaire pouvant porter préjudice à l'ensemble du monde cybernétique. En revenant à mon analogie précédente, c'est comme si on disait aux femmes que s'habiller d'une minijupe ou présenter un décolleté profond justifie - un peu, beaucoup et pour finir totalement - l'agression dont elles ne seront plus victimes mais responsables... Et toutes les femmes en salopettes oranges, plastron en kevlar, cheveux courts et visière noire, option recommandée, le soutif d'alarme et la petite culotte imbibée de cyanure.

Je sais que dans certaines contrées les femmes victimes de viol sont condamnées à mort... Les victimes d'actes de piraterie seront-ils chez nous poursuivis en justice ? J'espère que non !

Faut pas raconter n'importe quoi.
Il y a une legislation sur le droit de l'information, de la propriete et des telecommunication.
L'intrusion dans un systeme informatique est un delit a peu pres partout dans le monde. L'utilisation de "l'ingenierie inversee" est le plus souvent un acte illegal. S'introduire dans un reseau hertzien (dont le Wifi) est un delit severe, la possession de certains outils de hacking est un delit, ...

Les professionnels de la sécurité informatique (ceux qui sécurisent et ceux qui "piratent") connaissent très bien les cadres légaux.

Les jugements qui sont rendus en acquittement d'actes présupposés de de "piratage" informatiques le sont lorsque il n'y a pas s'infraction a la loi, autrement dit que n'importe qui aurait pu accéder aux informations sans contourner ou enfreindre la loi ou que la victime a donné les informations (volontairement ou pas), ou qu'il n'y a aucune preuves de non respecter de la loi.

Je sais que dans certaines contrées les femmes victimes de viol sont condamnées à mort...

Et dans de nombreus autres pays a culture arriérée, une victime de viol devient "impure" et se trouve exclue ad vitam de la societe: elle ne pourra pas fonder de famille, ne trouvera pas de travail decent, sera toujours considerée comme personne de dernière catégorie,... Une technique de guerre employee en Europe dans le conflit des balkans a ete le viol dans le cadre du "nettoyage" ethnique: une femme violée etait mise au ban de la societe, elle ne pouvait pas avoir d'enfant et donc ca faisait donc baisser "naturellement" la population ciblée...
La culture humaine est souvent toxique et induit des crimes monstrueux au nom de la purete et du Bien.

Les victimes d'actes de piraterie seront-ils chez nous poursuivis en justice ? J'espère que non !

C'est deja le cas et ca a ete mis dans la loi, grace a Hadopi entre autre. Une victime d'intrusion sur son Wifi est coupable.
Avec le Patriot act ça va même encore plus loin: le defaut de securite est suffisant pour faire condamner quelqu'un et le fait de sécuriser sérieusement son réseau est aussi un delit.

[yponomeute]

C'est deja le cas et ca a ete mis dans la loi, grace a Hadopi entre autre. Une victime d'intrusion sur son Wifi est coupable.

Un jour faudra tout de même arrêter de raconter n'importe quoi.

[divoli]

C'est deja le cas et ca a ete mis dans la loi, grace a Hadopi entre autre. Une victime d'intrusion sur son Wifi est coupable.

Un jour faudra tout de même arrêter de raconter n'importe quoi.

En quoi est-ce qu'il raconte n'importe quoi ?

A moins que cela n'ait changé, un particulier est bel et bien responsable de la sécurisation de son accès wifi. Si quoi que ce soit de délictueux est commis via son réseau wifi, même par piratage, sa responsabilité légale est bel et bien engagée.

[yponomeute]

C'est deja le cas et ca a ete mis dans la loi, grace a Hadopi entre autre. Une victime d'intrusion sur son Wifi est coupable.

Un jour faudra tout de même arrêter de raconter n'importe quoi.

En quoi est-ce qu'il raconte n'importe quoi ?

A moins que cela n'ait changé, un particulier est bel et bien responsable de la sécurisation de son accès wifi. Si quoi que ce soit de délictueux est commis via son réseau wifi, même par piratage, sa responsabilité légale est bel et bien engagée.

Et tu peux me citer la partie de la loi hadopi qui condamne un utilisateur qui est victime d'une intrusion par piratage sur son réseau wifi ?

[AlbertRaccoon]

Et tu peux me citer la partie de la loi hadopi qui condamne un utilisateur qui est victime d'une intrusion par piratage sur son réseau wifi ?

Article L. 336-3 du Code de la propriété intellectuelle :

La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'oeuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise.

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2009-580 DC du 10 juin 2009.]

Le manquement de la personne titulaire de l'accès à l'obligation définie au premier alinéa n'a pas pour effet d'engager la responsabilité pénale de l'intéressé, sous réserve des articles L. 335-7 et L. 335-7-1.

Et Article L335-7-1 du Code de la propriété intellectuelle :

Pour les contraventions de la cinquième classe prévues par le présent code, lorsque le règlement le prévoit, la peine complémentaire définie à l'article L. 335-7 peut être prononcée selon les mêmes modalités, en cas de négligence caractérisée, à l'encontre du titulaire de l'accès à un service de communication au public en ligne auquel la commission de protection des droits, en application de l'article L. 331-25, a préalablement adressé, par voie d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation, une recommandation l'invitant à mettre en œuvre un moyen de sécurisation de son accès à internet.

La négligence caractérisée s'apprécie sur la base des faits commis au plus tard un an après la présentation de la recommandation mentionnée à l'alinéa précédent.

Dans ce cas, la durée maximale de la suspension est d'un mois.

Le fait pour la personne condamnée à la peine complémentaire prévue par le présent article de ne pas respecter l'interdiction de souscrire un autre contrat d'abonnement à un service de communication au public en ligne pendant la durée de la suspension est puni d'une amende d'un montant maximal de 3 750 €.

Source

[yponomeute]

Et tu peux me citer la partie de la loi hadopi qui condamne un utilisateur qui est victime d'une intrusion par piratage sur son réseau wifi ?

Article L. 336-3 du Code de la propriété intellectuelle :

La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'oeuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits prévus aux livres Ier et II lorsqu'elle est requise.

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2009-580 DC du 10 juin 2009.]

Le manquement de la personne titulaire de l'accès à l'obligation définie au premier alinéa n'a pas pour effet d'engager la responsabilité pénale de l'intéressé, sous réserve des articles L. 335-7 et L. 335-7-1.

Et Article L335-7-1 du Code de la propriété intellectuelle :

Pour les contraventions de la cinquième classe prévues par le présent code, lorsque le règlement le prévoit, la peine complémentaire définie à l'article L. 335-7 peut être prononcée selon les mêmes modalités, en cas de négligence caractérisée, à l'encontre du titulaire de l'accès à un service de communication au public en ligne auquel la commission de protection des droits, en application de l'article L. 331-25, a préalablement adressé, par voie d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation, une recommandation l'invitant à mettre en œuvre un moyen de sécurisation de son accès à internet.

La négligence caractérisée s'apprécie sur la base des faits commis au plus tard un an après la présentation de la recommandation mentionnée à l'alinéa précédent.

Dans ce cas, la durée maximale de la suspension est d'un mois.

Le fait pour la personne condamnée à la peine complémentaire prévue par le présent article de ne pas respecter l'interdiction de souscrire un autre contrat d'abonnement à un service de communication au public en ligne pendant la durée de la suspension est puni d'une amende d'un montant maximal de 3 750 €.

Source

Tu es au courant que « négligence caractérisée » n'est point synonyme de « se faire pirater son accès wifi » ?

[AlbertRaccoon]

Tu es au courant que « négligence caractérisée » n'est point synonyme de « se faire pirater son accès wifi » ?

La question est de savoir ce qu'est une négligence caractérisée : par exemple, est-ce une négligence de sécuriser son réseau par WEP alors que ce protocole se casse en quelques minutes ?

[yponomeute]

Tu es au courant que « négligence caractérisée » n'est point synonyme de « se faire pirater son accès wifi » ?

La question est de savoir ce qu'est une négligence caractérisée : par exemple, est-ce une négligence de sécuriser son réseau par WEP alors que ce protocole se casse en quelques minutes ?

Oui c'est une négligence caractérisée si on peut utiliser un autre protocole sur son équipement wifi. Si le matériel qu'on possède ne permet pas d'utiliser un autre protocole que WEP ce n'est plus une négligence. Les conseils de sécurisation sont donnés sur le site de l'hadopi.

Tu es au courant que « négligence caractérisée » n'est point synonyme de « se faire pirater son accès wifi » ?

Pas synonyme, mais pas non plus antonyme. Ça peut se recouper dans certains cas...

Si par exemple le mot de passe de mon réseau Wi-Fi est "123456" et que je me le fait pirater, on peut bien parler de négligence : j'ai mis un mot de passe bien trop simple.

Il y a dans ce cas négligence que tu te fasses pirater ou non. La loi hadopi condamne la négligence, pas le fait de se faire pirater, et intelligent comme tu l'es si tu avais à te défendre devant une commision hadopi parce que ton accès wifi a été piraté et utilisé pour faire du téléchargement illégal, je doute fort que tu affirmerais encore que les deux termes ne soient pas antonymes.

Ce message a été modifié par yponomeute - 11 Nov 2014, 22:09.