Ftp ouvert

[Krogoth]

Bonjour,

 

En faisant des recherche sur google je suis tombé sur un relevé de compte d'un personne et en regardant à la racine c'est un ftp avec à priiori des infos personnelles.

 

Je doute que le propriétaire de ce FTP soit au courant que tous le monde peut y accéder.

 

Quel est donc la procédure suivre pour lui signaler?

Je suppose que fouiller dans les documents afin de trouver un numéro de téléphone/adresse/mail n'est pa sla bonne façon...

Peut êtr econtacter la CNIL sui se chargera de faire suivre??

 

Un avis?

[Soltek]

Hello,

 

Si tu as le relevé de compte tu dois avoir ses infos.
Si c'est un particulier il devrait te remercier de le prévenir, si c'est une boîte, tant que tu ne tombes pas sur des infos confidentielles ils devraient bien réagir.

Des fois des boîtes réagissent bêtement et hurlent au hack en contactant leurs avocats

[Charly32]

Ou sinon tu DDoS le serveur pour que personne ne puisse y accéder

[digital-jedi]

Bonjour Krogoth,

Ou tu contactes le site hébergeur du ftp pour que l'administrateur contacte le client si enregistré.

[Krogoth]

Hello,

 

Si tu as le relevé de compte tu dois avoir ses infos.

Si c'est un particulier il devrait te remercier de le prévenir, si c'est une boîte, tant que tu ne tombes pas sur des infos confidentielles ils devraient bien réagir.

Des fois des boîtes réagissent bêtement et hurlent au hack en contactant leurs avocats

Sur le relevé de compte il y a nom/prénom de l'intéressé et nom et téléphone de son conseiller financier. Je peux chercher dans l'annuaire s'il y est...

 

Bonjour Krogoth,

Ou tu contactes le site hébergeur du ftp pour que l'administrateur contacte le client si enregistré.

Là ca va être plus compliqué car il me semble que c'est une freebox vu l'adresse (et vu la compétence du centre d'appel Free j'en ai pour 2 semaines a leur expliquer le soucis).

[digital-jedi]

Il faut quand même tenter. Sur la page d'accueil de FTP FREE FR, il doit y avoir un champ Contact.

Là, je n'ai pas accès aux sites ftp depuis le travail.

 

As-tu les droits en écriture sur son FTP ? Tu lui crées un .TXT "ce compte n'est pas sécurisé et visible sur internet. Signé un internaute."

[Krogoth]

Il faut quand même tenter. Sur la page d'accueil de FTP FREE FR, il doit y avoir un champ Contact.

Là, je n'ai pas accès aux sites ftp depuis le travail.

 

As-tu les droits en écriture sur son FTP ? Tu lui crées un .TXT "ce compte n'est pas sécurisé et visible sur internet. Signé un internaute."

 

rien sur ftp.free.fr.

On va éviter d'écrire sur un ftp qui n'est pas le mien quand meme. Etre dessus, passe encore mais modifier...pas sur que ce soit une bonne idée.

[Bdliet]

rien sur ftp.free.fr.

On va éviter d'écrire sur un ftp qui n'est pas le mien quand meme. Etre dessus, passe encore mais modifier...pas sur que ce soit une bonne idée.

 

Au contraire, si c'est pour le prévenir il n'y a pas de problème. Au pire ajoute un lien vers cette discussion, il verra que tu voulais bien faire.

[Minikea]

heu non. tout ce qui touche à un système informatisé, on touche pas si tu veux pas avoir de problème. ça veut pas dire qu'il va avoir des problème s'il lâche un .txt mais qu'il peut potentiellement en avoir. et il sera en tord.

 

le mieux est de trouver une adresse/tel et de prévenir le monsieur.

[tarkan99]

J'ai été confronté à cette question :

 

- soit ne rien faire (on en trouve à la pelle des FTP de freebox ouvert à tout vent) : 0 risque !

- si on veut absolument signaler : protéger au maximum son anonymat(*) sinon c'est au minium un tour au poste pour s'expliquer.

- pour les cas graves, passer par un site qui fait le relais.

 

*  par exemple via une adresse mail créée et utilisée uniquement avec Tor.

 

Perso, j'ai voulu avertir une personne mais elle n'a rien compris, elle a porté plainte et j'ai du m'expliquer à la gendarmerie (en tant que témoin, mais ça fout assez la trouille pour ne pas recommencer).

 

Je dirais même qu'utiliser sa propre connexion (donc son IP) pour parcourir un FTP  (manifestement privé) ouvert fait prendre le risque d'une perquisition.

A présent, je passe mon chemin.

 

Je suis tombé un jour sur un truc assez lourd :  un prestataire avait laissé ouvert un site contenant des infos de connexion pour la maintenance du SI de la plus part des hopitaux de France (oui, rien que cela....).

Le site contacté est passé par l'ANSI, CERTA pour faire fermer le site en urgence car le prestataire ne répondait pas.

Au contraire, si c'est pour le prévenir il n'y a pas de problème. Au pire ajoute un lien vers cette discussion, il verra que tu voulais bien faire.

 

surtout pas ! si le guguss ne comprend pas (c'est souvent le cas) et qu'il dépose plainte, c'est la perquisition assurée si l'IP n'a pas été camouflée.

Et en déposant un fichier, l'intrusion non autorisée dans un SIA  est caractérisée.

[Bdliet]

Rolala la paranoïa. Il n'est pas interdit de "s'introduire" sur un FTP ouvert... Et il est sympa de le signaler

Tente d'aller porter plainte parce qu'un mec a posé un fichier sur un FTP non sécurisé et prends en prends en photo la tête de tes interlocuteurs stp

 

 

 

 l'intrusion non autorisée dans un SIA  est caractérisée.

 

Chandelier?

[Charly32]

Sinon les newsgroup de free sont suivi par des gens plutôt compétent, mais si tu n'es pas client toi même chez free je ne crois pas que tu y aie accès.

Sinon via tweeter tu dois pouvoir avoir l'info.

[tarkan99]

Rolala la paranoïa. Il n'est pas interdit de "s'introduire" sur un FTP ouvert... Et il est sympa de le signaler

Tente d'aller porter plainte parce qu'un mec a posé un fichier sur un FTP non sécurisé et prends en prends en photo la tête de tes interlocuteurs stp

 

 

 

 

Chandelier?

 

Ce n'est pas de la paranoïa, c'est du vécu.

 

Je n'ai jamais dis que c'était interdit. Mais je déconseille fortement de prévenir sans garantir son anonymat.

Mais ceux qui laisse ouvert un FTP ne comprennent souvent pas grand chose à l'info et à la sécurité.

 

Si tu les contactes, il a un risque non nul qu'ils ne comprennent rien et qu'il déposent plainte.

Et ensuite, ceux à qui tu tentes de t'expliquer (force de l'ordre) n'y comprennent encore moins (indexation google, etc...).

 

 Faut comprendre que le monde de la justice est très en retard et tente d'appliquer des lois d'un autre age. Ce que tu penses être autorisé ne sera pas forcement jugé comme tel par un juge de 60 / 70 ans qui n'y connait rien à l'info.

 

J'ai eu de la change, j'ai été entendu comme témoin.

[Tom23]

Je rejoins totalement ce que dit Tarkan99.

Suffit de chercher les termes "gogleu" "Bluetouff" "ANSES" et "Oliver Laurelli" sur le moteur de recherche de son choix pour voir la compréhension que peut avoir la justice du numérique et d'internet.

[Minikea]

Rolala la paranoïa. Il n'est pas interdit de "s'introduire" sur un FTP ouvert... Et il est sympa de le signaler

Tente d'aller porter plainte parce qu'un mec a posé un fichier sur un FTP non sécurisé et prends en prends en photo la tête de tes interlocuteurs stp

 

 

 

 

Chandelier?

va dire ça à bluetouff ou korben. ils ont du s'expliquer face à la justice (et même perdre en procès) parce qu'ils ont voulu prévenir qu'il y'avait un site internet très critique qui était ouvert aux 4 vents. donc si tu laisses ton IP, et si tu modifies un truc sur le système en question, tu es effectivement dans l'illégalité aux yeux de la Loi: introduit et maintenu dans un SIE qui ne t'appartient pas.

[Bdliet]

Ouais enfin Korben c'était pour Aircrak, ça n'a rien à voir avec le fait de parcourir un FTP ouvert.

Mais bon.

 

Donc en gros t'es condamnable à partir du moment où tu vas sur un FTP qui ne t'appartient pas quoi... chaud.

[mjklex]

Ca pose quand même une question : quel texte de loi peut-il être applicable? Celui de la propriété (genre c'est comme si on avait laissé des clés dans la voiture ouverte, et qu'on y rentre pour laisser un gentil mot de bon citoyen... tu n'as pas à y rentrer) ou bien à un défaut de sécurisation (En clair, l'internaute met sur un espace ouvert en ligne des documents, c'est donc sa responsabilité)

 

Je pense en effet que la justice n'est pas au point à ce sujet (qui est le fautif : l'internaute qui tombe dessus, le propriétaire ou encore le fournisseur du ftp qui n'a pas pris des dispositions pour ses clients?

Et il y a un point qui est clair : C'est que le client la plupart du temps n'y comprend rien et qu'il voit clairement un acte de malveillance!

Pour info, j'ai pas mal parlé de sécurisation auprès de mes élèves en prenant des exemples (par des recherches précises, donc limite légal quand même), j'ai 2 cas qui m'ont marqués.

- Une WebAgency qui avait fait son site sur WordPress et qui avait laissé l'admin sans mot de passe!!!!   Je leur ai quand même envoyé un email. Même pas une réponse, un merci ou rien... Limite je suis un con qui vient fouiller

- Lors d'une démo pour voir le nombre de livebox accessibles et avec le mot de passe admin par défaut (à l'époque), je suis tombé sur un cabinet d'avocat qui avait un serveur de documents directement accessible via l'adresse ip publique, sans mot de passe... Là, par contre, je me suis vite barré 

[Tom23]

Le texte de loi qui sera appliqué sera celui que le juge choisira. Qu'il lui soit soufflé par ton avocat ou celui du plaignant.

 

Ya qu'à voir la première condamnation de Laurent Chemla pour quelque chose de similaire (la flemme de chercher). Il a été condamné  pour vol d'énergie parce que la loi française ne proposait rien de mieux à l'époque.