JSSI 2012 - Aspects juridiques des tests d'intrusion
Frédéric Connes (HSC)
« Aspects juridiques des tests d’intrusion »
edit: slides
Sujet très intéressant et souvent négligé que le cadre juridique dans les audits.
Qu’a-t-on le droit de faire dans le cadre d’un audit ? Limites légales, hébergement de l’application par un tiers, non respect du périmètre, constatation d’infraction, secret professionnel, etc.
Le cadre juridique :
Système de traitement automatisé de données, c’est le terme juridique d’un SI quel qu’il soit du grand réseau d’entreprise à la carte bleue. La question qui se pose, c’est d’éviter de tomber sous le coup de la 323-1. La victime ne pouvant renoncer à des poursuites pénales. On peut se poser la question du consentement de la victime et c’est la jurisprudence qui vient éclaircir notre problème. La loi fait la distinction sur l’aspect frauduleux. Si l’audité consent l’intrusion, cette dernière n’est pas frauduleuse et il est donc possible de mener un audit en toute légalité.
Attention de bien conserver le consentement de l’audité !!!
Il existe un référentiel de l’ANSSI à ce sujet ( qui fait l’objet d’un débat au sein de la communauté sécurité)
Juridiquement, pour être couvert, il faut un contrat, une convention d’audit qui doit être signée par une personne qui à la délégation de pouvoir adéquate.
Il est important d’avoir les contacts adéquats coté auditeur et audité, les modalités de l’audit, son périmètre, la clause de confidentialité qui va bien, la propriété intellectuelle du livrable, etc.
Concernant la sous-traitance, il faut informer le client de l’action de sous-traitance, et obtenir son accord. Bien entendu, il faut aussi établir un contrat de sous-traitance entre l’auditeur et le sous-traitant.
Vient en suite les sous-traitants coté Audité, en effet souvent les plateformes sont hébergées chez des tiers. Et un test d’intrusion peut créer un déni de service et impacter l’hébergeur. Pour que l’action en justice soit recevable, il faut qu’il y ait intention de nuire au système.
Les outils de test font l’objet eux aussi d’articles de loi, et c’est le motif légitime qui viens justifier la possession de tels outils.
L’absence de coopération de l’audité est un vrai problème parfois. Resistance juridique, dispositifs techniques qui viennent empêcher l’audit depuis l’IP de l’auditeur, etc. Là il faut voir avec le commanditaire qui doit débloquer la situation.
Concernant les preuves d’audit, les limites juridiques sont posées par la vie privée. Dans le cadre normal, si la convention d’audit le permet, un auditeur peut déposer des preuves d’intrusion, ou en relever. Il faut faire attention à ne pas violer le secret de la correspondance (copie ou accès au fichier).
Bon parfois, le client vous fournit une mauvaise IP, alors parfois on s’en rend compte pendant le scan de ports qui est apparament légal, mais il n’y a pas de jurisprudence claire à ce sujet. Le fait de se rendre compte de l’erreur à un sens au niveau juridique. La loi admet qu’on puisse s’être trompé.
Bien entendu, le secret professionnel s’applique aux auditeurs (mais pas que).
Si les auditeurs révèlent une infraction comme le piratage de musique. Si vous êtes dans le privé, vous avez l’obligation de dénoncer les crimes mais pas les délit et donc vous n’êtes pas obligé de balancer le coupable à l’HADOPI. Si vous êtes fonctionnaire par contre, vous avez l’obligation de le dénoncer.
Pour l’ingénierie sociale, c’est la collecte d’information a caractère personnel qui est un frein à l’ingénierie sociale, et elle ne doit pas troubler la tranquillité de la personne dont l’identité est usurpée.
Edit: tout est en ligne ici