José Milagre: L’invasion d’un appareil avec un mot de passe n’est pas toujours un crime
👨💻
La loi Carolina Dieckmann, numéro 12 737/2012, entre en vigueur le 3 avril 2013 au Brésil, qui caractérise les cybercrimes (crimes informatiques). La loi, résultat d’une casuistique, dans laquelle l’enquête policière concernant l’invasion présumée de l’ordinateur de l’actrice n’a même pas été conclue, et aucune action pénale intentée (mais l’accusé plus que préjugé), commence à punir certains crimes, tels que comme « invasion de dispositifs informatiques », prévoyant notamment : Article 154-A. Envahir l’appareil informatique de quelqu’un d’autre, connecté ou non au réseau informatique, en violant indûment un mécanisme de sécurité et dans le but d’obtenir, de falsifier ou de détruire des données ou des informations sans l’autorisation expresse ou tacite du propriétaire de l’appareil ou d’installer des vulnérabilités pour obtenir un avantage illicite : peine — détention, de 3 (trois) mois à 1 (un) an, et amende.
Envahir signifie pénétrer, entrer par la force. Cette « invasion » doit avoir lieu dans un dispositif informatique, qui, bien qu’associé à un « matériel » qui stocke, traite ou traite des informations ou des données, peut voir son interprétation étendue par les autorités en cas d’invasion d’actifs logiques tels qu’un disque virtuel. , réseau social, webmail d’un service web ou actifs logiques protégés qui stockent des informations (bien que de telles interprétations doivent être arrêtées par le principe de légalité, nous l’espérons.)
Il convient de préciser que l’invasion, pour être délictuelle, doit avoir lieu sans l’autorisation expresse ou tacite de la personne concernée ou du dispositif. Par conséquent, l’agent qui effectue le test d’intrusion Pentest ne peut être sanctionné, car les éléments du crime ne sont pas réunis. Il appartiendra cependant aux sociétés de sécurité et d’audit d’adapter leurs contrats de service et de recherche en ce sens, en prévoyant expressément l’exclusion d’éventuelles incidences délictuelles dans les activités exercées.
Les intrusions dans les systèmes dont le propriétaire n’a pas autorisé peuvent être considérées comme des actes criminels, à condition qu’il soit prouvé que l’agent l’a fait dans le but d’obtenir, de falsifier ou de détruire des données ou des informations ou d’installer une vulnérabilité pour obtenir un avantage illicite.
La question de la finalité de « l’obtention de données » est également controversée. Pour un groupe de juristes, « l’espionnage » ne serait pas un crime, seulement si l’on parle d’obtention en cas de copie des données de l’appareil, ou lorsque l’agent entre en « possession des données ». Pour un autre courant, le simple accès aux données (une sélection dans le tableau de la victime, par exemple) porte déjà atteinte à l’intérêt légal protégé par le droit pénal, et démontre « l’intention d’obtenir des données », puisqu’il permet déjà à la biscuit salé, dans certains cas, de bénéficier de l’information, de sorte que ce « contact » avec les données serait inséré dans le cadre de « l’obtention de données », prévu par l’infraction pénale.
C’est le pouvoir judiciaire qui interprétera cette question, mais contrairement à ce que prétendent certains avocats, il n’est pas nécessaire de copier les données pour la commission du crime, car il s’agit d’un crime formel et d’un danger abstrait, c’est-à-dire simplement l’invasion avec « l’intention d’obtenir les données ». Ce fait peut être prouvé par une expertise technique.
L’agent qui fait de l’empreinte (analyse des informations sur la cible) avec des programmes tels que nmap ou un autre scanner, juste pour identifier si la cible est active, les vulnérabilités du système, les ports ouverts, les services inutiles en cours d’exécution, le système d’exploitation, entre autres, ne commet en théorie pas un crime, car les actes préparatoires ne sont pas punissables et l’agent n’a pas commencé l’invasion (acte exécutif).
Ainsi, quiconque trouve une vulnérabilité dans le système d’autrui, même sans autorisation de recherche, et en informe l’administrateur, fait la « dénonciation responsable », et l’article 154-A, désormais prévu par le Code pénal, ne peut être passible de sanctions. La preuve de concept, développée par ceux qui découvrent une panne d’actif, sans autorisation du titulaire, dépendra de l’évaluation d’experts pour vérifier comment cela a affecté l’appareil concerné et quelle a été l’extension résultant du PoC.
Il est également possible de penser à la tentative d’invasion, où l’agent parvient à exécuter l’invasion, mais est empêché par l’équipe de réponse à l’incident, l’équipe médico-légale ou l’IDS (Système de détection d’intrusion) qui détecte l’événement lors de l’exécution. Il appartiendra à l’expert du numérique d’apprécier si les codes exécutés avaient une aptitude technique pour que l’agent ait accès à l’information, la manipule ou « installe des vulnérabilités »(sic).
L’agent qui envahit le système, sans autorisation, juste pour démontrer l’insécurité et coopérer pour l’amélioration des contrôles, n’est en théorie pas responsable du crime. Une telle intention peut être démontrée par les phases de sa conduite (toujours moins offensantes pour l’entreprise ou le propriétaire de l’appareil) ou encore par les performances ou témoignages d’experts, dans le cadre de toute enquête policière ou action pénale.
D’autres formes d’accès abusif, où «l’invasion», qui est une conduite commissive/active, ne se produit pas, peuvent ne pas relever du type criminel. Ainsi, dans l’ingénierie sociale qui oblige la victime à fournir des identifiants d’accès ou même à accéder volontairement à un certain programme permettant d’accéder à son appareil, l’incidence du crime en question est éliminée, en théorie, et l’agent, face au concret cas, peut, répondre des autres infractions prévues par le Code pénal, selon l’étendue du préjudice.
De même, un accès abusif effectué par un agent via le protocole RDP (Protocole de bureau à distance) ou des technologies telles que Terminal Service, VNC, PCAnywhere, Logmein, entre autres, ne caractérisent pas l’invasion si le service « d’assistance à distance » était activé par le détenteur de l’appareil sans aucun mécanisme d’authentification, ce qui équivaudrait à une « autorisation tacite » de le dispositif de support pour l’accès.
En ce qui concerne les sociétés de recherche et de sécurité de l’information, la loi tente d' »imiter » les principes de la Convention de Budapest, punissant également quiconque produit, offre, distribue, vend ou diffuse un appareil ou un programme informatique afin de permettre la pratique de l’invasion. . Nous devons comprendre ou « lire », afin de permettre la pratique de l’invasion à des fins illicites, comme le prévoit l’article 154-A (La Convention de Budapest sur la cybercriminalité recommande même la punition de ceux qui fournissent des mots de passe pour accéder aux actifs de tiers) .
Ainsi, les distributions Linux telles que Backtrack, les programmes de piratage tels que sqlmap, havij, et les frameworks tels que Metasploit, sont largement utilisés par les professionnels de la sécurité et les entreprises dans la poursuite de leur travail, et ne peuvent être confondus, par les autorités, avec, par exemple, des codes de collecte de données de carte de crédit, des enregistreurs de frappe bancaires développés spécifiquement pour nuire aux titulaires de compte, entre autres codes qui, de par leur nature et compte tenu du contexte du cas spécifique, évalué par un expert numérique, il est clair qu’ils ne sont pas des outils utilisés pour » bonnes fins ».
Mais répétez-vous. Ce n’est pas l’outil qui définit le but de l’agent, mais l’agent lui-même définit comment utiliser l’outil, à de bonnes ou de mauvaises fins. Malheureusement, le législateur n’a pas tenu compte de cette hypothèse. Il faudra une dose extraordinaire de bon sens aux autorités et de respect des conclusions de l’expertise en général pour vérifier que ce n’est pas parce que quelqu’un est surpris en train de distribuer des outils permettant l’invasion que ce quelqu’un est un criminel.
Pour les chercheurs et professionnels qui développent des exploits, des preuves de concept, des codes, des frameworks, des outils de pentest, il appartiendra à la révision des politiques d’utilisation et de distribution desdits programmes, en mentionnant expressément l’absence de responsabilité du développeur face d’utilisation abusive, en indiquant expressément le but légitime de la création de l’outil.
Enfin, il convient de noter que l’invasion, pour caractériser un comportement criminel, doit avoir lieu dans un bien protégé par un mécanisme de sécurité. Nous résistons à la simplicité de ceux qui comprennent qu’un mot de passe sur l’appareil suffit pour qu’il soit « protégé », remplissant ainsi les exigences de la loi. On peut avoir l’hypothèse d’un système d’exploitation, par exemple Windows, avec un mot de passe, mais qui a une ancienne vulnérabilité dans le navigateur natif (MS11_003 par exemple). Dans ces cas, l’expertise doit vérifier que, malgré le mot de passe, la machine était « non protégée », avec des correctifs obsolètes et que le propriétaire, à ses risques et périls, a maintenu le service sur le réseau dans un système obsolète.
Par conséquent, il est nécessaire de préciser que tous les appareils « avec un mot de passe » ne disposent pas d’un « mécanisme de sécurité » efficace et, par conséquent, que chaque invasion d’un appareil « avec un mot de passe » ne peut pas être considérée comme un comportement criminel, comme beaucoup le pensent. Chaque cas est différent. D’autre part, la loi est également venue protéger les utilisateurs ordinaires, les particuliers, de sorte que l’applicabilité ne peut être fixée car ces utilisateurs n’ont pas adopté le «meilleur» mécanisme de sécurité existant pour protéger leurs actifs. Encore une fois, chaque cas doit avoir ses caractéristiques et circonstances évaluées par le pouvoir judiciaire, et il n’y a pas de solution toute faite.
Quoi qu’il en soit, la sécurité de l’information devient désormais non seulement utile pour empêcher l’acte potentiellement criminel de se produire, garantissant la disponibilité, l’intégrité et la confidentialité des informations, mais, en cas d’invasion consommée, pour que le criminel puisse répondre pénalement.
Comme on l’a vu, le non-respect de la sécurité de l’information peut désormais représenter clairement l’impunité en cas d’invasion, car on ne peut pas envahir ce qui est « ouvert », en raison d’un manquement manifeste, d’une négligence, d’une imprudence ou d’une faute professionnelle des contractants et qui avaient le devoir d’assurer la sécurité de son actif informationnel.
N’oubliez pas de partager l’article avec vos amis !