Discussion :

[Invité]

Je me demande qu'est ce que un developeur va ajouter dans son code pour protéger son appli des attaques SQL? Je pense qu'au DBA de faire le necessaire, je me trompe??

Lyche a répondu en partie, mais il ne faut pas oublier qu'il y a les données de connexion (mot de passe) à la base de donnée dans une application et que d'autres failles permettraient de les lire.Et de toute façon certaines boites n'ont pas de BDA (elles laissent la gestion à l'hébergeur) et gèrent le code web et sql, j'ai vu une agence web 2.0 qui avait un phpmyadmin accessible par internet, phpmyadmin qui avait 2 versions de retard avec failles de sécurité connus et en plus un stagiaire s'en servait en admin !!
Le problème Lyche n'est pas que se soit facile ou pas de protéger une appli, le problème réel est de protéger à tous les niveaux ça demande de l'expérience, de la paranoïa et du temps ce qui est plutôt rare.

[Lyche]

Lyche a répondu en partie, mais il ne faut pas oublier qu'il y a les données de connexion (mot de passe) à la base de donnée dans une application et que d'autres failles permettraient de les lire.Et de toute façon certaines boites n'ont pas de BDA (elles laissent la gestion à l'hébergeur) et gèrent le code web et sql, j'ai vu une agence web 2.0 qui avait un phpmyadmin accessible par internet, phpmyadmin qui avait 2 versions de retard avec failles de sécurité connus et en plus un stagiaire s'en servait en admin !!
Le problème Lyche n'est pas que se soit facile ou pas de protéger une appli, le problème réel est de protéger à tous les niveaux ça demande de l'expérience, de la paranoïa et du temps ce qui est plutôt rare.

Je dis pas le contraire hein, mais y'a un minimum de code à faire pour protéger, du côté dev, et il est très (trop?) souvent oublié.

[trashyquaker]

Tu ne vas pas apprendre à ton banquier à garder ton fric

Pourtant il m'a semblé qu'il y a à peine 3 ans, il l'a indirectement prêté à des personnes qui ont été incapables de rembourser... Ce qui ne l'empêche pas aujourd'hui de gagner sa vie bien mieux que la plupart des prestataires informatiques travaillant pour sa banque.

[Lyche]

Pourtant il m'a semblé qu'il y a à peine 3 ans, il l'a indirectement prêté à des personnes qui ont été incapables de rembourser... Ce qui ne l'empêche pas aujourd'hui de gagner sa vie bien mieux que la plupart des prestataires informatiques travaillant pour sa banque.

Ne confond pas Banquier, et financiers stp

[Invité]

Je dis pas le contraire hein, mais y'a un minimum de code à faire pour protéger, du côté dev, et il est très (trop?) souvent oublié.

Oui et non, il y a des frameworks qui le font (zend) et le dev n'a rien à faire au niveau code. Par contre c'est tout le suivi technique (mise à jour, nouvelles attaques ...) ainsi que la formation à ces problèmes qui font le plus défauts.

[IDontLikeYou]

Bonjour,

Je penses que sur ce genre de cas il faut vraiment être sévère. Pourquoi ? Cette personne ne se rend pas compte que la majorité des données bancaire qu'il a volé, sont à des gens qui triment dur toute la journée pour avoir pas grand chose au final.

Exactement, dans notre monde merveilleux où le pognon est si important, il a commis le pire crime qui soit. Il est donc normal qu'il soit condamné aussi lourdement, il sert d'exemple. D'ailleurs je suis étonné que la peine de mort n'ai pas été retenue.

Plus sérieusement, on pourrait également discuter de l'aspect "nouveau crime" et de l'incompréhension des juges devant les moyens nécessaires pour contrer cette criminalité et donc la nécessité de faire un exemple pour décourager ceux qui seraient tentés.

[benzoben]

Exactement, dans notre monde merveilleux où le pognon est si important, il a commis le pire crime qui soit. Il est donc normal qu'il soit condamné aussi lourdement, il sert d'exemple. D'ailleurs je suis étonné que la peine de mort n'ai pas été retenue.

Il faut quand même noter que les 20 (+5 apparemment) sont le résultat de plusieurs chefs d'inculpation (piratage, vol ,revente...). C'est pas juste pour vol.

Par ailleurs, la justice ne fait justement pas, et je trouve ça heureux, de distinction entre vol numérique et vol simple : c'est du vol!

Enfin pour les problèmes de sécurité, malheureusement les premiers ignorants sont les développeurs qui connaissent de noms (dans le meilleur des cas) les attaques de type Injection SQL ou XSS mais qui n'ont qu'une très vague idée de comment elles sont perpétrées et comment s'en protéger.

[Jidefix]

Je dirai que c'est pas évident de jauger la gravité d'un acte. Je dirai qu'il y a deux aspects à un crime: ce qu'il coûte à ses victimes, et ce qu'il rapporte au criminel.
D'un côté il n'a pas coûté cher à grand monde (hormis bien sur les banques qui ont remboursé mais malgré mes efforts les larmes ne me viennent toujours pas), d'un autre côté il s'est fait plusieurs millions, ce qui ne devrait pas être possible.
Ou posé autrement: un mec qui volerait 1€ à chaque citoyen français, pour un joli total de 60M€ mériterait-il la même peine?
Personnellement malgré la somme totale je trouve le préjudice mille fois inférieur à un mec qui en tabasserait un autre pour lui piquer son portable.

D'un autre côté la punition doit forcément être à la hauteur du gain du crime pour être efficace, sinon moi aussi je me met en mode microsoft.

Au final je dirai qu'il faudrait deux types de peine: une peine "d'intérêt général", où l'individu devrait travailler proportionnellement à ce que lui aurait rapporté son crime, et une peine de prison, proportionnelle au préjudice infligé aux victimes.

[lequebecois79]

grosse peine..... dire qu'il y a des violeur qui ont moins de temps que ça...

[IDontLikeYou]

Je dirai que c'est pas évident de jauger la gravité d'un acte. Je dirai qu'il y a deux aspects à un crime: ce qu'il coûte à ses victimes, et ce qu'il rapporte au criminel.

Absolument pas. Le principal critère, c'est l'effet dissuasif. Pas sur le criminel, sur ceux qui seraient tentés de l'imiter.

[benzoben]

Il faut pas oublier que c'est du droit américain. Il me semble que dans leur système, il y a addition des peines et pas considération de l'ensemble des chefs d'inculpation. Il n'ont pas de limite dans la somme des années de réclusion.

Ou posé autrement: un mec qui volerait 1€ à chaque citoyen français, pour un joli total de 60M€ mériterait-il la même peine?

Je dirais d'un autre coté qu'il a porté préjudice à 60 millions de personnes!

Au final je dirai qu'il faudrait deux types de peine: une peine "d'intérêt général", où l'individu devrait travailler proportionnellement à ce que lui aurait rapporté son crime, et une peine de prison, proportionnelle au préjudice infligé aux victimes.

Ce que tu décris est exactement le système français avec le procès public/privé (je ne me souviens plus des termes exacts) : il y a un premier procès ou l'état se porte partie civile puis il y a possibilité pour les victimes de porter plainte pour dommages et intérêts.

[Jidefix]

Absolument pas. Le principal critère, c'est l'effet dissuasif. Pas sur le criminel, sur ceux qui seraient tentés de l'imiter.

Euh... officiellement certainement pas, les condamnations n'ont pas pour but d'avoir un effet dissuasif.
D'une, ce n'est humainement pas justifiable (tu fais payer à quelqu'un des fautes que d'autres pourraient commettre)
De deux, il a été prouvé que l'effet dissuasif ne marchait pas. La peine de mort n'a jamais empêché les meurtres, les peines lourdes des dictatures n'empêchent pas le trafic de drogue et de tout ce que tu veux, etc.

[Jidefix]

Il faut pas oublier que c'est du droit américain. Il me semble que dans leur système, il y a addition des peines et pas considération de l'ensemble des chefs d'inculpation. Il n'ont pas de limite dans la somme des années de réclusion.

C'est vrai, m'enfin c'est un débat purement théorique de toute façon. Et justement je pense que ce système montre bien les limites de l'addition des peines. Franchement 150 ans pour Madoff, ça rime à quoi?

Je dirais d'un autre coté qu'il a porté préjudice à 60 millions de personnes!

Je suis d'accord, mais pour leur faire perdre quoi? Qui peut dire qu'il a vraiment été dérangé par ça? Le nombre de victimes ne me semble pas pertinent ici. C'est un gros chiffre, certes, mais qui ne représente rien.

Ce que tu décris est exactement le système français avec le procès public/privé (je ne me souviens plus des termes exacts) : il y a un premier procès ou l'état se porte partie civile puis il y a possibilité pour les victimes de porter plainte pour dommages et intérêts.

Je ne suis pas expert mais il me semble que l'état se porte plus souvent partie civile dans les cas où la notion même de "victime" est moins évidente, par exemple pour un conflit d'intérêt, pour un naufrage de pétrolier (toute ressemblance avec une actualité récente serait totalement fortuite, etc.)

[dams78]

Vous dites que le préjudice porté aux victimes est minime, mais vous avez des preuves? Il a peu être ruiné des familles, je dis bien peut être, peut être qu'aux USA on est pas aussi bien assuré qu'en France, ce qui m'étonnerait pas.

[Jidefix]

Vous dites que le préjudice porté aux victimes est minime, mais vous avez des preuves? Il a peu être ruiné des familles, je dis bien peut être, peut être qu'aux USA on est pas aussi bien assuré qu'en France, ce qui m'étonnerait pas.

Je suis d'accord qu'on n'en sait pas assez sur cette affaire en particulier pour juger, j'utilisais mon exemple pour dire que le nombre de personnes impliquées et la somme totale ne sont pas suffisantes pour qualifier un crime, et que le fait que ces sommes soient extravagantes n'en font pas nécessairement un ennemi public.
Dans l'hypothèse où il a réellement ruiné des gens (ce qui m'étonnerait tout de même, j'imagine qu'il a essayé de rester discret en ne volant que de petites sommes), il est bien entendu qu'il devrait être puni en conséquence.

[cugg-]

20ans de prison c'est incompréhensible, enfin si mais c'est triste.
Pourquoi un hacker a autant d'années de prison? Je pense que c'est juste parce que les cibles sont des grosses sociétés, des banques et des compagnies d'assurance.
Hier en Belgique un grand magasin s'est fait braquer par 7 mineurs avec des kalashnikov, au pire ils seront relâché(d'un centre pour jeune et non d'une prison) à leur majorité (18 ans).
Regardez également cette vidéo:
[ame="http://www.youtube.com/watch?v=FxCJw-PWcKk&feature=related"]YouTube- Stephane Gendron en feu[/ame]

Je ne sais pas ce qu'il en est pour vous mais moi ceux qui me font peur en liberté ce ne sont pas les hackers. Et je ne pense pas qu'un hacker ait besoin de 20ans de prison pour se rendre compte qu'il ne doit plus faire ce qu'il vient de faire. Par contre 1 à 2 ans de maison de redressement je ne pense pas que ça soit suffisant pour corriger 16ans d' anti-éducation(je viens d'inventer ce mot, enfin je crois :p).
Je pense qu'une plus petite peine(2 à 4ans), des heures de travaux généraux et le remboursement total serait plus approprié.

[IDontLikeYou]

20ans de prison c'est incompréhensible, enfin si mais c'est triste.
Pourquoi un hacker a autant d'années de prison? Je pense que c'est juste parce que les cibles sont des grosses sociétés, des banques et des compagnies d'assurance.
Hier en Belgique un grand magasin s'est fait braquer par 7 mineurs avec des kalashnikov, au pire ils seront relâché(d'un centre pour jeune et non d'une prison) à leur majorité (18 ans).
Regardez également cette vidéo:
YouTube- Stephane Gendron en feu

Je ne sais pas ce qu'il en est pour vous mais moi ceux qui me font peur en liberté ce ne sont pas les hackers. Et je ne pense pas qu'un hacker ait besoin de 20ans de prison pour se rendre compte qu'il ne doit plus faire ce qu'il vient de faire. Par contre 1 à 2 ans de maison de redressement je ne pense pas que ça soit suffisant pour corriger 16ans d' anti-éducation(je viens d'inventer ce mot, enfin je crois :p).
Je pense qu'une plus petite peine(2 à 4ans), des heures de travaux généraux et le remboursement total serait plus approprié.

Justement, un petit exercice utile, relire les condamnations n'ont pas en les interprétants comme des punitions mais comme des effets dissuasifs.

[cugg-]

Punir des gens pour ne pas que d'autres le fassent? C'est hyper moral...
Un jugement devrait être prononcé pour permettre au coupable de se remettre dans le droit chemin et de retrouver la liberté au plus vite.
Et même si c'était dans le but simpliste de dissuader les autres que peut-on tirer comme conclusions de 2ans de maison de redressement pour un braquage au fusil d'assaut? Et de 7ans de prison pour le viol d'une petite fille?

Edit:
On pourrait couper les doigts et la langue aux hackers...

[Lyche]

O
Certaines personnes comptent chaque centimes d'euros !

L'an dernier, un gestionnaire de comptes en banque a été arrêté pour avoir détourné quelques centimes dans chacune des transactions faites sur les comptes de ses clients. Il a été repéré parce qu'un petit papi suivait ses comptes au centime près et s'est posé des questions..

Tout ça pour dire que Louis a parfaitement raison

[madfu]

De deux, il a été prouvé que l'effet dissuasif ne marchait pas. La peine de mort n'a jamais empêché les meurtres, les peines lourdes des dictatures n'empêchent pas le trafic de drogue et de tout ce que tu veux, etc.

Oui mais ça rassure les honnêtes gens qui sont persuadés que le système judicaire n'a jamais été aussi laxiste qu'aujourd'hui, que c'était mieux avant etc..Et que plus tu augmentes les peines moins il y'aura de délinquance, comme dans un programme informatique.