PICSI

Lorsqu'une attaque réussie est détectée, il est nécessaire de se doter d'une possibilité de répondre au niveau technique et juridique à cet événement. La poursuite judiciaire d'un attaquant suppose la constitution de preuve légale devant les tribunaux. Les traces laissées par un attaquant sur un honeypot sont - elles utilisables comme preuve légale ?. Ne peut-on pas évoquer en faveur du pirate, le motif de provocation et de consentement de la victime lors de la compromission d'un honeypot. De plus, toujours en la faveur de l'attaquant, ne peut-on pas qualifier l'acte de transmission de données du système compromis vers son ordinateur de délit d'intrusion sur son poste. D'une manière générale, pour qu'une infraction soit reconnue il faut qu'elle soit réprimée par un texte, que l'auteur ait eu l'intention de la commettre et qu'il ait réalisé matériellement cette infraction [ref 1]. La saisine d'un tribunal est donc loin d'être triviale en cas de cyber compromission puisse qu'il faut prouver qu'on n'a non seulement été victime d'une attaque mais aussi que telle était la véritable intention de l'attaquant. Sur le plan technique, les honeypots peuvent aider à la constitution de preuves matérielles à condition que celles-ci soient récoltées par des spécialistes de la cybercriminalité: les fameux "foreinsics". La saisie du poste de l'attaquant et l'analyse des fichiers est également nécessaire pour corroborer les événements d'une attaque. En France, sur le plan moral et légal l'article 323-1 [ref 2] du code pénal réprime la pénétration frauduleuse d'un réseau. Reste à prouver l'intention de celui avec de bon avocats pour gagner un procès. Pour ne pas porter atteinte à leur image par des procès médiatiques, les entreprises ne portent pratiquement jamais plainte et de ce fait il n'existe pratiquement aucun chiffre fiable sur les entreprises compromises ni de retour d'expérience après compromission, ce qui est fort dommage !