La charte éthique a pour objectif :
Tout membre de l’association « APT42 » devra se conformer à la présente charte éthique. Le non-respect de cette dernière constitue un motif de radiation de l’association.
Les personnes physiques et morales participant aux événements de l’association, invitées par, ou ayant conclu un partenariat avec celle-ci, seront tenues de se conformer à cette charte éthique. Cela implique le respect des règles qui y sont énoncées et des valeurs de l’association, par exemple lors d’un événement ou dans la rédaction d’un article.
L’association « APT42 » a pour but de regrouper ses membres autour du sujet global de la cyber-sécurité, par vocation professionnelle ou passion, dans une démarche éducative en complément de la formation dispensée par l’Ecole 42.
L’association s’attache à favoriser un espace accueillant et inclusif où chacun·e est libre de s’exprimer et d’apprendre sans crainte de jugement.
L’association et ses membres s’engagent à respecter l’ensemble des règles et des devoirs qui régissent les professions de la sécurité des systèmes d’information ainsi que la vie privée de chacun·e (voir la loi Godfrain du 5 janvier 1988 pour plus d’informations).
Les savoirs et les techniques présentés par l’association, que ce soit par le biais d’ateliers, de conférences ou de partage de ressources, sont à but éducatif uniquement.
Les engagements suivants s’appliquent à tous les membres de l’association ainsi qu’aux personnes participant aux événements de l’association ou ayant conclu un partenariat avec elle :
Chaque membre et chaque personne participant à un événement organisé par l’association a le droit :
Les membres de l’association s’engagent à :
Les membres de l’association doivent avoir conscience que les limites sont étroites dans certains domaines de la sécurité informatique. Toute action qui vise à porter atteinte, avec intention malveillante ou non, à la disponibilité, la confidentialité, l’intégrité d’un site, d’une application, d’un serveur, d’un service ou autre est réprimée par la loi. Par exemple, lancer un scan de ports avec l’outil nmap, ou injecter des données dans une requête via l’outil burp n'est pas autorisé sans l'autorisation explicite du service, du serveur, ou autre ciblé, de même qu'accéder ou acquérir des fichiers qui semblent librement accessibles mais dont l'autorisation de regard ne vous a pas été donnée par l'entité en question. Tout test d’intrusion réalisé sans l’accord préalable des individus/organisations touché·e·s peut faire l’objet de poursuite. Nous conseillons vivement de n’utiliser que les plateformes d’apprentissage le temps de maîtriser les limites légales des domaines parcourus.
Au-delà de l’aspect juridique, nous encourageons les membres de l’association à considérer la dimension éthique liée à la cyber-sécurité, plus particulièrement dans le domaine de l’OSINT, qui peut toucher des individus. L’association décourage fortement la pratique de l’OSINT en dehors des CTF ou sur des personnes réelles qui n’ont pas donné leur accord préalable. Par ailleurs, les informations récoltées ne doivent pas être partagées, et les pratiques utilisées pour obtenir des renseignements doivent rester respectueuses. Par exemple, envoyer une demande d’oubli de mot de passe peut sembler neutre du côté recherche ; mais peut envoyer une notification incompréhensible à la personne visée, éventuellement multipliée par autant de personnes la recherchant. L’OSINT n’est ni du stalking, ni du cyberharcèlement.