Je peux vous expliquer tout ça avec des belles phrases d'avocat propre sur lui... mais je vous propose autre chose...
Dialogue imaginaire #002 : la légalité des « scans de port » et du cyber-score des entreprises
[épisode au cours duquel l’Elfe, mythique créature des bois, rencontre l’Ourf, authentique grizzly misanthrope, misogyne, paternaliste et désagréable par principe et dans lequel l’Ourf se donne le beau rôle, comme d’habitude…]
[modifié à la marge le 30 juin vers 22 h]
– (l’Elfe) Dis-moi l’Ourf, tu as 2 mn ? J’ai une question dans tes cordes. Tu travailles dans l’informatique, hein ?
– (l’Ourf qui décide de ne pas relever l’agression volontaire) Oui, on peut dire ça. C’est quoi ton problème qui te fait faire des soucis?
– (l’Elfe) Explique moi : c’est quoi « un scan de porc » ?
– (l’Ourf soupire) On dit « scan de port ». Rien à voir avec le cochon.
– (l’Elfe) Ah… je me disais aussi…
– (l’Ourf) Hé, sérieux, j’adore tes blagues d’Elfe mais j’ai un boulot, tu sais ? Alors ? Tu veux une vraie réponse ?
– (l’Elfe) Sérieux, oui s’te plait… Y’a Thranduil, tu sais, mon chef, qui me pose des questions…
– (l’Ourf soupire encore) Tu as un système d’information qui communique via Internet ?
– (l’Elfe) Bien sûr, j’ai mon ordi au bureau, un PC chez moi avec une box, J’ai aussi un smartphone et une tablette…
– (l’Ourf) Alors ton S.I. chez toi ou celui du bureau a des portes ouvertes pour recevoir ou envoyer des data numériques via Internet. On appelle ça des « ports ». Ça n’a rien à voir avec les bateaux non plus, avant que tu demandes… En informatique, les numéros de port sont codés sur 16 bits, ce qui fait 65.536 ports distincts par machine (merci wikipedia) pour le protocole TCP. Et autant pour UDP.
– (l’Elfe) Ça veut dire que mon S.I. a 2 fois (65 mille et des brouettes) portes d’entrée ouvertes sur Internet ? En permanence ?
– (l’Ourf) J’espère pour toi que non…
– (l’Elfe qui n’a pas assez de doigts pour compter) Alors c’est quoi le problème ?
– (l’Ourf) Le problème, c’est que dans les entreprises, les administrations, les associations, on installe des logiciels, des serveurs, des terminaux… Puis on désinstalle, on modifie les configurations… et que souvent, personne ne tient pas à jour la liste de quelle machine (ou quel logiciel) fait quoi et par quel port sur Internet. Et au final, il reste des ports ouverts…
– (l’Elfe) Et des malhonnêtes pourraient chercher à identifier les ports ouverts et les utiliser pour faire une intrusion dans mon système d’information, c’est ça ?
– (l’Ourf) C’est tout à fait ça ! Dis donc, tu comprends vite aujourd’hui !
– (l’Elfe en marmonnant) Bien sûr que je comprends vite, faut juste m’expliquer lentement, c’est pas pareil… hum… Revenons aux scans de port. Qui peut faire ces scans de ports ?
– (l’Ourf) Ben, en principe, toute personne qui se connecte à Internet et qui respecte les RFC décrivant les protocoles TCP et UDP. Voila. Tu veux des détails sur ces protocoles techniques ?
– (l’Elfe) Non, c’est bon, je te crois… Tu n’aurais pas une métaphore à la place ?
La métaphore (à 2 balles) qui aide à mettre une dose de bon sens pour comprendre ce problème pas évident...
– (l’Ourf) OK… imagine… Un S.I., c’est comme une maison avec façade sur rue.
– (l’Elfe concentré) Jusque-là, ça va…
– (l’Ourf) Bon. Tu es dans la rue et tu vois que la fenêtre d’une maison devant toi est ouverte. Tu rentres dans la maison par la fenêtre ?
– (l’Elfe toute fier) Non, bien sûr !
– (l’Ourf) Hé ben, tu vois, tu as déjà plus de bon sens que beaucoup de prestataires de scan de port. « On ne rentre pas par la fenêtre d’un système d’information ». POINT (l’Ourf allume sa pipe). Passons au niveau 2. Tu es toujours dans la rue, devant une maison et la porte d’entrée est devant toi. Tu as le droit de mettre la main sur la poignée de la porte ?
– (l’Elfe) Si c’est une maison dont je connais les occupants, je pense que oui. Et si je suis invité, alors là, c’est oui tout court ! Rassure-moi : j’ai bon ? (l’Elfe retient son souffle)
– (l’Ourf légèrement condescendant) Encore une réponse de bon sens ! Je sens qu’on va y arriver. Et tu imagines mettre la main sur la poignée de la porte d’entrée d’une maison que tu ne connais pas ? Et si tu testes toutes les poignées de porte de toutes les maisons de toutes les rues de toutes les villes d’un pays, tu as le droit de le faire ?
– (l’Elfe) Bof… On pourrait penser que je suis en pleine opération de repérage pour un cambriolage…
– (l’Ourf) C’est bien là où je voulais en venir. Donc, tu ne le ferais pas ?
– (l’Elfe) Si j’agis de manière honnête, sans intention de nuire, je ne ferais jamais ça, c’est certain.
– (l’Ourf) Moi non plus, je suis bien d’accord, sauf dans le strict respect des normes techniques d’Internet. Évidemment ! Mais si tu le fais au-delà de ce que permettent les protocoles et que tu en profites pour faire une base de données contenant la liste de toutes les portes ouvertes, de leur modèle et de toutes leurs serrures, et que tu adresses cette liste à chaque personne concernée ? A ton avis, que vont penser ces personnes qui, elles, n’ont rien demandé ?
– (l’Elfe) Moi, je me demanderais pourquoi ce prestataire vient vérifier la sécurité de mon système d’information.
– (l’Ourf) Tu mets le doigt là où ça pique. Et imagine alors que ce prestataire en profite pour te donner une note sur la sécurité de ton système d’information.
– (l’Elfe presque choquée) Tu plaisantes ? Y’a des prestataires qui font ça ?
– (l’Ourf) Oui, plein : des prestataires de gestion de risque, des assureurs, des pro de la cyber sécurité, etc. Tu crois que ces prestataires agissent uniquement dans ton intérêt ? Pour ton bien ?
– (l’Elfe) Non, je ne crois plus au Père Noël depuis quelques années, je te le confirme …
– (l’Ourf) J’ai peur d’être comme toi. Alors, quand un de ces prestataires te donne une note et t’explique que ta note est mauvaise, tu penses quoi ?
– (l’Elfe) Je pense que ce prestataire veut me vendre un truc grâce à des informations obtenues sans mon consentement !
– (l’Ourf) C’est ça ! Et à ton avis, c’est légal ?
– (l’Elfe) J’en sais rien mais ça ressemble à du marketing de la peur ! (après une intense réflexion) Et… la note… elle est faite comment ?
– (l’Ourf) Ça, tu n’en sais rien. Et personne n’en sait rien. C’est l’opacité totale (on se croirait dans la mine de la Moria…). Ce qui compte, c’est que tu reçoives une mauvaise note. Vu ton niveau de cyber-sécurité, toi, tu devrais friser le 03/20… Et une fois que tu as ta note, l’esprit libéré d’un problème que tu ne connaissais même pas 5 minutes avant, tu souscris au service, avec le sens du devoir accomplir ! CQFD !
– (l’Elfe) Hé, mais c’est nawak ce truc ! C’est pas public, au moins, les notes ? Et comment je fais pour que ça s’arrête ? J’en reçois pas mal au boulot… Et puis mon chef me demande de…
– (l’Ourf) Si tu veux, je te passe le 06 de Harry Potter. C’est un copain… Il te prêtera sa baguette magique.
– (l’Elfe) Trop drôle… Tu as fait un M2 à l’École du rire, toi ? Non, sérieusement… et si je faisais un procès au prestataire ?
– (l’Ourf) Tu vas lui faire un procès ?
– (l’Elfe) Pourquoi pas ? Mais attends… ça coûte cher de faire un procès ? C’est long ? Et au final, je suis sûr de gagner ?
– (l’Ourf) J’ai un ami dans le métier qui me charge de te dire que « C’est long, ça coute cher et le résultat est parfaitement aléatoire, surtout quand il n’y a pas de jurisprudence » …
– (l’Elfe qui réfléchit) Jurisprudence… Encore les mots qui fâchent… Attends, j’ai une idée ! Si je trouve d’autres personnes comme moi dans ma rue et qu’on fait une action de groupe ? une « Class Action » ? Comme dans les séries Netflix, tu sais…
– (l’Ourf) Hé, les « class actions » , c’est que pour les consommateurs. Si tu es une entreprise, c’est pas possible.
– (l’Elfe) Zut ! Ça va encore me couter un bras ces conneries… Et, au fait (tu as encore 2 mn pour une autre question ?) si le prestataire qui fait des scans de port en France est situé aux États-Unis, ça marche comment ?
– (l’Ourf) Là, tu as le choix et tu ne vas aimer aucune des deux hypothèses. Soit tu lui fais un procès aux États-Unis et ça va te couter une blinde pour un résultat probablement nul. Ou alors, tu fais un procès en France et, quand tu auras gagné dans 3 (ou 5) ans (inch Allah), tu envoies ton huissier aux États-Unis…
– (l’Elfe) Oh là, je les sens pas du tout tes deux options. Bon… moi qui espérais une réponse qui fasse plaisir à mon chef… Si j’ai d’autres questions, je peux passer te voir dans ta mine sombre qui sent pas très bon ? Tu vois, des questions genre celui qui fait tout ça, il respecte le RGPD ? Faut p’t-être signer un contrat avant ? Tu vois, ce genre de questions simples…
– (l’Ourf) Fais toi plaisir… Si tu veux du sérieux sur le concept d’accès frauduleux dans un système d’information, y’a un druide qui a une présentation accessible en ligne sur le sujet.
– (l’Elfe) Ah bon ?
– (l’Ourf) Et oui ! Et c’est tout illustré en BD. Comme ça, même si tu comprends rien, au moins, y’a des images sympa.
– (l’Elfe) Ah, merci. Et ça se trouve où, ton truc ?
– (l’Ourf commissionné au CPM) Là : https://technique-et-droit-du-numerique.fr/acces-maintien-frauduleux-legitime-defense-action-offensive/
[à suivre…]
[et cliquez sur l’image pour accéder à notre site web]
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018
« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !