[yann63]

Tu es déjà dans l'illégalité pour maintien dans un système informatique. Supprime tout ce que tu as pu récupérer, efface ton historique de navigation, etc puis oublie cette histoire. Certains ont déjà été condamnés en France pour ça. La loi n'est pas faite pour protéger les personnes comme nous qui trouvent une faille par hasard et voudraient aider en la communiquant au propriétaire du système informatique. Tu n'as malheureusement que des soucis à tirer d'une telle histoire.

Du point de vue de la loi française, entrer ainsi dans un système informatique, c'est comme entrer dans une maison ou une voiture dont la porte est grande ouverte. Illégal. L'analogie a ses limites (on peut voir une porte de maison grande ouverte sans entrer et avertir le propriétaire, alors que pour un système informatique c'est une foie entré qu'on voit que la porte était grande ouverte).

[olivierduval]

A noter, l'article 323-3-1 "Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée."

Tel que je le comprends, si tu transmets un bug report à HackerOne... ben... tu morfles aussi!!! Parce que je doute que tu puisses te prévaloir du "motif légitime" de "sécurité informatique" puisque tu n'es pas dans le cadre d'une prestation spécifique de sécurité pour un client.

[olivierduval]

Et le coup de grace (http://www.thierryvallatavocat.com/2017/07/vol-de-fichiers-i... ):

"On rappellera qu'en l’état de la jurisprudence de la Cour de cassation, et notamment de son arrêt du 9 septembre 2009, tout accès non autorisé à un système constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système.

C'est ainsi que le hacker Bluetouff avait fait l'objet d'une condamnation par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation confirmant cette position dans son arrêt de la Chambre criminelle du 20 mai 2015 : mais il s'agissait alors d'un système informatique extérieur librement accessible."

Donc logiquement, le simple accès frauduleux te fait aussi tomber sous le coup de l'Article 323-2 : "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende."

Qu'il y ait eu un impact réel ou pas, c'est ce qui a été jugé en cassation... Ne me remercie pas, c'est cadeaux!!! :''(

[olivierduval]

Oui, article 323-1 du Code Pénal: https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEG...

La dernière modification du 25/7/2015 renforce les sanctions (donc inutile d'espérer plus d'intelligence et de compréhension de la Loi)...

Article 323-1: "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. [...]"

En l'occurence, il s'agit d'accès frauduleux...

Article 323-3: "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. [...]"

Ca, c'est pour les données que tu as pu récupérer...

Et bonus, l'article 323-5: "Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

1° L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;

2° L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;

3° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;

4° La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;

5° L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;

6° L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;

7° L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35."

Pour toi, ce sera peut être #1, #2, #3, #6, #7

Je ne sais pas si c'est tout ce que tu encours... ou s'il y a d'autres articles de loi ailleurs. Mais je vais regarder par curiosité!!! En tout cas, tant que la loi ne changera pas, les sites web français pourront continuer à être de véritables passoires!!! :'(