Pour ceux qui l'aurait pas lu : http://www.pcinpact.com/news/84830-blocage-certificats-par-google-interview-patrick-pailloux-anssi.htm?utm_source=PCi_RSS_Feed&utm_medium=news&utm_campaign=pcinpact
David Le 10 décembre 2013 15:58, Raphaël Stehli <experti...@raphael.stehli.fr> a écrit : > Bonjour la liste, > > D'un point de vue juridique, l'intercept SSL n'est pas illégal si c'est > pour protéger le réseau et ne rentre pas sous le coup du 226-15 du code > pénal qui énonce que > "Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou > de détourner des correspondances arrivées ou non à destination et > adressées à des tiers, ou d'en prendre frauduleusement connaissance, est > puni d'un an d'emprisonnement et de 45000 euros d'amende. > Est puni des mêmes peines le fait, commis de mauvaise foi, > d'intercepter, de détourner, d'utiliser ou de divulguer des > correspondances émises, transmises ou reçues par la voie des > télécommunications ou de procéder à l'installation d'appareils conçus > pour réaliser de telles interceptions." > > > En effet, la jurisprudence précise que : > > "Ne constituent pas une interception la lecture et la retranscription de > messages dès lors que celles-ci ne nécessitent ni dérivation ou > branchement et sont effectuées sans artifice ni stratagème; il est dans > la fonction des administrateurs de réseaux d'assurer le fonctionnement > normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, entre autre, > qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que > pour les débloquer ou éviter des démarches hostiles; il apparaît des > éléments du dossier que les prévenus (le directeur du laboratoire de > recherche et l'administrateur du réseau) ont mis en place une > surveillance afin de connaître le contenu des correspondances émises ou > reçues par un étudiant en relation avec des incidents survenus entre > celui-ci et un autre étudiant ainsi que pour vérifier l'usage du réseau; > il s'agissait bien d'utiliser le contenu même des correspondances pour > confondre l'étudiant; la préoccupation de la sécurité du réseau justifie > que les administrateurs de systèmes et de réseaux fassent usage de leurs > positions et des possibilités techniques dont ils disposent pour mener > les investigations et prendre les mesures que cette sécurité impose (de > la même façon que la Poste doit réagir à un colis ou une lettre > suspecte); par contre la divulgation du contenu de messages d'un > étudiant ne relève pas de ces objectifs. ● Paris, 17 déc. 2001: D. 2002. > IR 941. " > > L'arrêt parle de courriels, mais ça s'appliquerait à tout ce qui passe > par les tuyaux. > > Autrement dit : vérifier pour protéger le réseau est autorisé si c'est > fait sans artifice ni stratagème. > Par contre, se prendre pour un enquêteur est interdit. > > A+ > > -- David --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
