Bonsoir,

J'espère que tu te protège bien lors des divers signalement.

Dans un premier temps je te suggère d'étaler un peu plus tes compétences en sécu dans un seul et même but : paraître plus crédible aux yeux des potentiels mecs compétents intéressés.

D'autre part, comment s'articule la chose ? Quelles sont ces règles ?
Tu désigne arbitrairement des "cibles" ? Ou bien tu liste seulement les app web vulnérables via google dorks ?

Quel est la finalité de la chose ? Une fois que tu as signalé et prouvé les vulns, tu vends des prestations de sécu ?
Tu compte créer une plateforme où les admin peuvent demander un "audit" (rapide car gratuit) de leur app ?

Je me permets juste de te remémorer que c'est illégal ce que tu fais !
Il est ici question d'intrusions délibérées, donc tu n'es absolument pas couvert par la nouvelle loi sur la République Numérique !
Tu risques très gros là !

L'ombre a bien raison, prend garde à ce que tu fais si tu ne veux pas finir dans une bien mauvaise situation.

Du reste, il est vrai qu'il serait intéressant de connaître tes compétences et le système selon lequel tu penses travailler.
Si c'est simplement signaler des failles pour en signaler, ce n'est pas le plus intéressant, par exemple, toutes les sqlis ne peuvent pas maner à un shell.
Cet argument est d'autant plus vrai que comme dit plus haut mettre un guillemet simple pour tester une sqli est devenu illégal !

De plus, tu ne nous as effectivement pas donné tes deux fameuses règles.

Au sinon, je reconnais l'intérêt et l'idéologie derrière ton projet et je respecte ça !

Moi j'avoue que je sui passionnés par ce genre de projet (mais je suis débutante) , Mais néanmoins j'ai une question concernant les interditction fait par les lois sur ce genre de pratique .
En faisant des recherche je suis tombé sur deux choses qui ce contredisent .
DANS LE Côté GAUCHE DU RING NOUS AVONS !!:

La loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (n° 2004-575) « Le fait d''accéder ou de se maintenir, frauduleusement, dans tout ou partie d''un système de traitement automatisé de données est puni de deux ans d''emprisonnement et de 30000 euros d''amende. Lorsqu''il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d''emprisonnement et de 45000 euros d''amende. »

ET DANS LA PARTIE DROITE DU RING NOUS AVONS !!:

http://www.lemonde.fr/pixels/article...6_4408996.html

Donc si quelqu'un pourrait éclairer ma lanterne sur ce qui est légal en ce moment , je serai pas contre ^^.

Merci a vous.

TCHUSS

D.G Et bien en effet, il est illégal de s'introduire, que se soit avec de bonnes intentions ou non, sur un réseau, un site web, ou un quelconque espace numérique. Comme tu as pu le lire, les peines encourues sont très lourdes, et la loi en elle même est très flou. Il arrive quelque fois que les admins et les hackers arrive à travailler dans de bon termes, mais il ne vaut mieux pas prendre de risque.

Mais tu as raison, il y a environ 1an, un amendement à été voter, et il permet de protéger ces hackers, mais uniquement lorsque ils rentrent par un cadre légal. On peut alors citer la plateforme Bounty Factory, qui met en relation des administrateurs, et des testeurs, dans le cadre légal. Ainsi, les entreprises qui le souhaite, peuvent soumettre leurs systèmes à des audits, et les White Hat peuvent travailler avec des règles établies au préalable sans aucune contraintes.

fr3d Si tu veux continuer ce que tu fais dans un cadre plus légal et plus professionnel, c'est une plateforme de ce type qu'il faudrait que tu mettes en place. Tu ne serais alors pas à l'encontre de la justice, car même si les intentions sont compréhensibles, ça reste néanmoins désagréable.

J'espère t'avoir éclairée D.G, et je te souhaite une bonne continuation pour ton projet fr3d

L'ANSSI a en effet mis en place en formulaire pour signaler les vulns trouvées (l'ANSSI se charge alors de faire le lien avec la boite vulnérable) MAIS... la "couverture" du lanceur d'alerte peut être maigre ... : http://mobile.lemonde.fr/pixels/arti....co/6nJfTwCWS0

Voyons quels sont les aboutissants de ton projet (cf mes questions plus haut) avant d'aller plus loin.

Salut,

Pour moi actuellement, c'est le caractère volontaire de l'intrusion qui est pénalement répréhensible. Cependant, la loi a un vide juridique concernant la caractérisation du côté volontaire !
Mais, il y a la jurisprudence, qui est tout aussi importante que la loi en France. Une de ces jurisprudence, bien que datant de longtemps, les juges ont considéré que l'intrusion d'un chercheur en sécurité informatique était répréhensible (Affaire Zataz).
Le problème reste juridique, mais aussi de sécurité publique. Car au-delà de l'aspect juridique, il y a aussi le fait que si c'est légalisé, cela ouvre la voie aux tests tout azimuts, et cela n'est pas vraiment super pour nos amis les RSSI.

Mon avis:
Il faudrait une évolution juridique mais aussi consacrer le fait involontaire et volontaire des tests de sécurité. Le mouvement des BugsBounties est tout nouveau, il ne fait que commencer. La législation est souvent en retard avec les évolutions sociétales et technologiques.

La fameuse loi GODFRAIN <3

EDIT: J'ai effacer mon offre, normal, pas de réponse, donc pour moi c'est The end, bonne continuation
Sert à rien de demander si derrière y a plus personne

C'était très désorganisé comme projet, malgré un bon vouloir de la part du créateur.

C'est aussi très ancien si tu y regardes un peu. Il n'y a pas trop eu de suites si mes souvenirs sont exacts

Oai puis plus il y aura des équipes de white hat, moins il y aura de 0day pour les pirates, alors c'est pas très cool..
Mais pratique pour se faire de l'argent en mode bug bounty