***Passage en MISC*** On Tue, 27 Dec 2011 17:15:31 +0100, Rémi Bouhl wrote:
La méthode qui consiste à les laisser libre ne fonctionne que si on leur tire les oreilles pour de vrai quand il est prouvé qu'ils sont coupables. Si on fait une vraie enquête pour les retrouver, juste pour leur dire "hé, c'est pas bien, recommence pas", la plupart des gens s'en foutent. Est-ce qu'on tire les oreilles, pour de vrai, aux hébergeurs qui négligent la sécurité, ou aux utilisateurs qui font partie d'un botnet? Non. Rémi.
Bien sûr que la menace est réelle, une de mes connaissance sur Toulouse s'est retrouvée au poste de police, ses ordinateurs personnels saisis parce que son hébergement était à l'origine d'une attaque. Il a dû porter plainte contre X à son tour pour se libérer de toute responsabilité, et encore ça n'a pas été aussi simple que ça. Dans le même genre j'ai trouvé l'IP d'un des mes serveurs chez Online.net dans une liste de serveurs Anonymous, alors que j'avais contré l'attaque en moins de 4 heures.
Il faut faire comprendre aux détenteurs d'hébergements qu'ils sont responsables pénalement des accès qu'ils louent, au même titre que leur connexion ADSL perso, et qu'ils peuvent se voire accuser de délits ou de crimes commis à partir de leurs machines et accès. Je n'ai jamais lu les conditions générales des hébergeurs (bouh pas bien), mais je pense que ce genre de risque est clairement signalé, mais au final peu de gens sont conscients des risques qu'ils encourent. Le travail à faire est là, pas dans une énième répression.
Enfin il faut comprendre que toute attaque ne peut être prévue, notamment dans le cas de failles 0-day. Dans ce cas qui faut t'il incrimer ? L'hébergeur ? Le locataire ? L'éditeur du logiciel ? On ne va quand même pas taper sur tout ce bouge.
Bref, le problème est complexe, et rajouter des gendarmes (formels ou informels) n'est à mon avis pas la solution.
Raphaël Durand. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
