Préambule

La charte éthique a pour objectif :

• la présentation des valeurs de l’association ;
• La définition du code de conduite auquel sont soumis les membres de l’association et toute personne physique ou morale participant aux événements de l’association ;
• L’encouragement des membres au respect de principes moraux et à un comportement éthique aussi bien au sein de l’association qu’avec des personnes et des organismes externes.

Article 1 – Champs d’application

Tout membre de l’association « APT42 » devra se conformer à la présente charte éthique. Le non-respect de cette dernière constitue un motif de radiation de l’association.

Les personnes physiques et morales participant aux événements de l’association, invitées par, ou ayant conclu un partenariat avec celle-ci, seront tenues de se conformer à cette charte éthique. Cela implique le respect des règles qui y sont énoncées et des valeurs de l’association, par exemple lors d’un événement ou dans la rédaction d’un article.

Article 2 – Valeurs de l’association

L’association « APT42 » a pour but de regrouper ses membres autour du sujet global de la cyber-sécurité, par vocation professionnelle ou passion, dans une démarche éducative en complément de la formation dispensée par l’Ecole 42.

L’association s’attache à favoriser un espace accueillant et inclusif où chacun·e est libre de s’exprimer et d’apprendre sans crainte de jugement.

Article 3 – Règles générales

L’association et ses membres s’engagent à respecter l’ensemble des règles et des devoirs qui régissent les professions de la sécurité des systèmes d’information ainsi que la vie privée de chacun·e (voir la loi Godfrain du 5 janvier 1988 pour plus d’informations).

Les savoirs et les techniques présentés par l’association, que ce soit par le biais d’ateliers, de conférences ou de partage de ressources, sont à but éducatif uniquement.

Article 4 – Code de conduite

Les engagements suivants s’appliquent à tous les membres de l’association ainsi qu’aux personnes participant aux événements de l’association ou ayant conclu un partenariat avec elle :

• respecter les personnes présentes, que ce soit physiquement ou virtuellement, dans leurs choix, leurs limites physiques et émotionnelles et leurs points de vue ;
• favoriser un environnement exempt de discrimination, de harcèlement, et de comportement offensant, excluant ou humiliant. Si vous êtes témoin de ce genre de situation, ne définissez pas à la place de la personne si un comportement à son encontre relève de la liste ci-dessus. Tout attitude discriminatoire doit être signalée au bureau qui interviendra si nécessaire ;
• ne pas pratiquer ni encourager d’activités illégales au sein de l’association ;
• veiller à ne pas photographier, ni filmer, ni enregistrer une personne au sein de l’association sans son accord ni l’accord de l’association, ou tout élément reconnaissable (écran d’ordinateur, signes distinctifs comme les tatouages...) ;
• veiller à ne pas divulguer d’informations personnelles. Cela implique également les pseudonymes et autres identifiants.

Article 5 – Droits

Chaque membre et chaque personne participant à un événement organisé par l’association a le droit :

• d’être traité·e sur un pied d’égalité et avec respect ;
• de pouvoir apprendre à son rythme et de poser des questions sans crainte de jugement ;
• en cas de question ou de souci personnel, de contacter le Bureau et que cet échange reste confidentiel ;
• pour une personne ayant le statut de membre actif, de prendre une pause dans son engagement dans l’association sans que cela lui soit reproché. Il faut seulement prévenir le bureau ou son équipe en cas d’absence pour des raisons d’organisation.

Article 6 – Devoirs

Les membres de l’association s’engagent à :

• respecter les statuts et la charte de l’association APT42 et le règlement de 42 ;
• ne pas porter atteinte à l’association « APT42 » que ce soit en son sein ou à l’extérieur par des actions entraînant un préjudice moral ou matériel à l’association (vol ou dégradation de matériel volontaire, diffamation...) ;
• ne pas mener ni revendiquer d’action engageant la responsabilité de l’association et ne pas utiliser son image (logo, nom) ou ses ressources sans l’accord préalable du bureau ;
• signaler à un·e modérat·eur·rice tout comportement jugé discriminatoire, excluant ou dangereux. Elle contactera le bureau qui décidera si un avertissement ou une sanction est nécessaire.

Article 7 – Cadre légal

Les membres de l’association doivent avoir conscience que les limites sont étroites dans certains domaines de la sécurité informatique. Toute action qui vise à porter atteinte, avec intention malveillante ou non, à la disponibilité, la confidentialité, l’intégrité d’un site, d’une application, d’un serveur, d’un service ou autre est réprimée par la loi. Par exemple, lancer un scan de ports avec l’outil nmap, ou injecter des données dans une requête via l’outil burp n'est pas autorisé sans l'autorisation explicite du service, du serveur, ou autre ciblé, de même qu'accéder ou acquérir des fichiers qui semblent librement accessibles mais dont l'autorisation de regard ne vous a pas été donnée par l'entité en question. Tout test d’intrusion réalisé sans l’accord préalable des individus/organisations touché·e·s peut faire l’objet de poursuite. Nous conseillons vivement de n’utiliser que les plateformes d’apprentissage le temps de maîtriser les limites légales des domaines parcourus.

Article 8 – Cadre éthique

Au-delà de l’aspect juridique, nous encourageons les membres de l’association à considérer la dimension éthique liée à la cyber-sécurité, plus particulièrement dans le domaine de l’OSINT, qui peut toucher des individus. L’association décourage fortement la pratique de l’OSINT en dehors des CTF ou sur des personnes réelles qui n’ont pas donné leur accord préalable. Par ailleurs, les informations récoltées ne doivent pas être partagées, et les pratiques utilisées pour obtenir des renseignements doivent rester respectueuses. Par exemple, envoyer une demande d’oubli de mot de passe peut sembler neutre du côté recherche ; mais peut envoyer une notification incompréhensible à la personne visée, éventuellement multipliée par autant de personnes la recherchant. L’OSINT n’est ni du stalking, ni du cyberharcèlement.