Detecter des failles ?

[frost]

Bonjour bonjour à toute la team Ixus et à ses nombreux forumeurs et forumeuses !!

Je suis actuellement en Licence Sécurité informatique, et je me pose une question, j'ai fini ma réalisation de projet (un serveur web sécurisé+couche ssl le tout sous linux), je voudrais savoir si avec l'accord de mon ami (qui heberge le serveur web) je peux faire un scan pour detecter les différentes failles (à la fois sur la couche os et mais aussi sur la couche logiciels (apachet et ses mods)). Sachant qu'en définitive je saurais quels points sont a améliorer, est-ce que je risque quelque chose au niveau juridique ? si le FAI me dit que j'ai tenté de m'insérer frauduleusement dans un systéme d'informations (or ce systéme d'information nous appartient ! vu que c'est nous qu'ils l'avont mis en place).

Merci d'avance

[tomtom]

Quand on procède à des audits au niveau professionel, on se fait signer par le responsable du système audité un contrat précisant ce que l'on peut faire (tentatives de connexions, social engeniering, atatques par brute force, tests de failels connues etc.) et surtotu ce qu'il faut faire en cas d'attaque réussie.

Un contrat ecrit te protège d'attaques contre le système de ton client (ou de toi si c'est ton système).

Il faut faire attention aux equipements traversés (typiquement, si le site est sur le reseau d'un FAI, il faut l'addord du FAI !)


T.

[frost]

Ok mais sachant que nous sommes justes des étudiants, cela va être assez difficile de demander l'accord à Free.fr (bonjour monsieur Free on voudrait vérifier l'éfficacité de notre serveur, en utilisant le logiciel Nessus), tréve de plaisanterie, merci de l'info tomtom, je savais pas que je devais dder à mon FAI l'avis !!

[tomtom]

Tout depend de la façon dont tu fais ton scan..

Si tu passe un coup de nessus sur ton pc qui a une adresse chez free, AMHA n'hesite pas, tu le fais et c'est tout.

En revanche, si c'est un site perso chez free.....


t.