Discussion :

[Michael Guilloux]

Slovénie : un analyste en sécurité condamné à 15 mois de prison avec sursis
après avoir révélé des vulnérabilités dans un système de communication du gouvernement

Croyant agir en tant que bon citoyen et rendre service à son pays, Dejan Ornig va recevoir un avertissement de la justice slovène plutôt qu’une prime de bug bounty qu’il aurait méritée dans bien de situations.

Dejan Ornig est un analyste en sécurité slovène. Dans ses recherches, il découvre en 2013 des vulnérabilités dans TETRA, le système de communication du département de la police qui est supposé être sécurisé. La police slovène n’était pas la seule à utiliser ce système, mais il y avait également d’autres départements tels que l’armée, le ministère des services correctionnels, le service de renseignement slovène et quelques institutions gouvernementales qui reposent sur la sécurité. Autrement dit, la sécurité du pays était à risque, et n’importe quelle agence d’espionnage pouvait en profiter si cela n’a pas déjà été fait.

Le système TETRA qui était censé fournir une communication chiffrée n’a pas correctement été configuré. Ce qui pouvait donc permettre à l’analyste en sécurité d’intercepter beaucoup de communication avec un petit équipement et quelques logiciels.

Dejan Ornig a attendu pendant plus de deux ans, espérant voir une réaction de la police ou du ministère de l'Intérieur, avant de décider finalement de rendre sa découverte publique. Voulant vérifier les prétentions de monsieur Ornig, la police et le ministère de l'Intérieur ont alors lancé une enquête interne. Cela a permis de confirmer les conclusions de Ornig et révélé les problèmes de communications internes entre les départements. La police a aussi fait une perquisition chez l’analyste en sécurité, au cours de laquelle les ordinateurs et le matériel qu'il a utilisés pour accéder au système TETRA ont été saisis. Un faux badge de police a été également trouvé chez Dejan Ornig au cours de l'enquête, ce qui ne va donc pas jouer en sa faveur.

Si en révélant les vulnérabilités, son intention était d’aider les départements et institutions du gouvernement qui utilisent le système de communication, le 11 mai, Ornig a reçu une peine d'emprisonnement de 15 mois avec sursis pour une durée de trois ans. Les chefs d’accusation étant l’accès illégal au système de communication, la falsification des documents de la police et l’enregistrement audio illégal de communications. L’analyste en sécurité ne sera donc pas incarcéré sauf en cas d’une nouvelle condamnation pour l’une de ces infractions dans un délai de trois ans.

Il faut cependant noter que Dejan Ornig semble ne rien avoir d’un ange. Il aurait en effet selon des jugements en 2010 et 2014 prétendu faussement être un policier. Alors qu’il travaillait encore au service de sécurité G4S, il aurait aussi enregistré des conversations de son supérieur et ses collègues. Pour la sentence qui vient d’être prononcée, Dejan Ornig peut toutefois faire appel pour obtenir l’annulation de ce jugement.

L’article original est en slovène. Il a été l’objet d’une discussion en anglais sur Slashdot.

Source : podcrto.si

Voir la traduction Google du slovène en anglais (plus précise que celle du slovène en français)

Et vous ?

Que pensez-vous de cette sentence ? Est-elle méritée ?

[TiranusKBX]

Vus qu'il utilise des méthodes de voyous il ne faut pas trop s'étonner de sa condamnation si seulement il s'était contenté de relancer régulièrement les responsables il n'aurait pas cette condamnation sur le dos

[JujuPomme]

Méthode de voyous ou non, si lui, simple personne lambda touchant un peu la sécurité informatique, trouve des failles dans leur système TETRA, ils devraient plus lui dire merci de ne pas continuer et/ou d'endommager qu'autre chose.
Grâce à lui ils vont grandir et lui... payer pour sa bonne volonté. (certes, il faut la voir tout de même la bonne volonté, mais je trouve que c'est un acte plutôt généreux de sa part.)

[seikida]

Quelle bonne idee ... maintenant, le prochain qui trouvera une faille ne le diras pas de peur d'aller en prison.

[circusfile]

je ne sais même pas pourquoi sa existe encore les prisons

[JujuPomme]

ATTENTION : CECI EST UN TROLL, JE REPETE, CECI EST UN TROLL !!

je ne sais même pas pourquoi sa existe encore les prisons

Pour mettre les gens qui disent ce genre de choses

[defois.hugo]

De mon côté j'ai du mal à comprendre pourquoi on ne lui donne pas une médaille et une proposition d'embauche. En France, les écoles mettent en avant le hacking avec l'approbation de l’état à travers les hackathlons (où les cibles visées sont la gendarmerie nationale, le ministère de la défense, ...). Des prix sont même donnés aux développeurs et pirates qui arrivent à s'infiltrer dans le réseau. Dans d'autres pays, celui qui rapporte une faille à son gouvernement se fait sanctionner par lui-même. Génial, la mentalité ! --'

Combien d'informaticiens n'ont pas essayés de pirater une organisation gouvernementale ou une entreprise ? Et je ne dénombre pas ceux de developpez. Ça ne fait pas pour autant d'eux des gens mauvais ; ils contribuent bénéfiquement à la société.

[transgohan]

De mon côté j'ai du mal à comprendre pourquoi on ne lui donne pas une médaille et une proposition d'embauche. En France, les écoles mettent en avant le hacking avec l'approbation de l’état à travers les hackathlons (où les cibles visées sont la gendarmerie nationale, le ministère de la défense, ...). Des prix sont même donnés aux développeurs et pirates qui arrivent à s'infiltrer dans le réseau. Dans d'autres pays, celui qui rapporte une faille à son gouvernement se fait sanctionner par lui-même. Génial, la mentalité ! --'

Combien d'informaticiens n'ont pas essayés de pirater une organisation gouvernementale ou une entreprise ? Et je ne dénombre pas ceux de developpez. Ça ne fait pas pour autant d'eux des gens mauvais ; ils contribuent bénéfiquement à la société.

Tentes de rentrer sur le réseau de la gendarmerie en dehors d'un hackatlon et on en reparlera.

[defois.hugo]

Tentes de rentrer sur le réseau de la gendarmerie en dehors d'un hackatlon et on en reparlera.

Quel est le rapport ?

[BufferBob]

Quel est le rapport ?

la permission explicite de celui qui subit les attaques auprès de ceux qui les lancent

en clair dire que c'est un héros et qu'on devrait le remercier, c'est oublier qu'à la base attaquer un SI est simplement illégal, et c'est une vision des choses qui a pris de l'ampleur durant les 15 dernières années, n'importe quel jeune aujourd'hui trouve ça "normal", ben non ça ne l'est pas

le full disclosure est peut-être une bonne chose, mais la loi c'est la loi, si on la transgresse on va en prison, c'est comme ça que ça marche, donc si on lance des attaques sans que personne soit prévenu contre des sites gouvernementaux, faut anticiper la possibilité d'aller en prison selon le pays c'est tout

[transgohan]

Quel est le rapport ?

Le rapport c'est comme l'indique BufferBob le fait d'aller en prison en France pour s'être invité sur un réseau militaire.
Ce n'est pas parce que ce n'est pas médiatisé que cela n'a jamais été le cas dans notre pays.
C'est l'application de la loi, c'est tout.