1
CONTRAT DE LICENCE & D'UTILISATION DES LOGICIELS DENY ALL DETECT
Contrat de licence entre : d'une part,
Deny All SAS,
société par actions simplifiée au capital de 905 920 Euros, dont le siège social est situé au 63 ter Avenue Edouard Vaillant, 92100 Boulogne-Billancourt, France, immatriculée au Greffe du Tribunal de Commerce et des Sociétés de Nanterre sous le numéro 439 674 847,
et les sociétés appartenant au même groupe,
d'autre part,
Le Client ou l’Utilisateur de la solution logicielle éditée par Deny All SAS.
1 . D E F I N I T I O N S
La société Deny All SAS est l’éditeur de la solution logicielle Deny All décrites au paragraphe 2.1.
Le Client est la personne morale qui s'engage par le présent contrat avec la société Deny All SAS et chez qui la solution de cet éditeur sera utilisée.
L'Utilisateur est le salarié ou le mandataire social du Client qui a pour mission d'utiliser la solution Deny All.
2 . D E S C R I P T I O N D E L A S O L U T I O N E T D R O I T S D E L I C E N C E C O N C E D E S
2 . 1 . PR E S E N T A T I O N D E L A S O L U T I O N DE N Y AL L
La solution DenyAll est un logiciel permettant de déceler les vulnérabilités les plus courantes, exploitables et donc sensibles, afin d’aider l’Utilisateur dans ses contrôles de sécurité, pour le compte du Client.
Packagée sous la forme d’une clé USB (Deny All Auditor) ou d’une machine virtuelle (Deny All Vulnerability Manager), son fonctionnement suit 3 phases :
1. La découverte de l’environnement informatique du Client, de ses spécificités d’architecture et de ses composants logiciels afin d’adapter automatiquement les tests réalisés en fonction des plateformes et services découverts,
2. L’analyse des services recensés,
3. La création d’un rapport d’audit didactique et exploitable, présentant les vulnérabilités détectées, qualifiées en termes d’impact potentiel et d’exploitabilité.
La licence d’exploitation inclut des conseils et les moyens pour aider l’Utilisateur à résoudre les vulnérabilités rencontrées (cette dernière partie n’est pas accessible avec la licence d’évaluation).
2 . 2 . LI C E N C E D’E X P L O I T A T I O N
La société Deny All SAS consent au Client, suite à l’acquisition d’une licence d’exploitation, le droit non exclusif d'utiliser, sur ses propres ordinateurs uniquement, la solution Deny All tel qu'elle est décrite au
2 paragraphe précédent, aux fins de déceler des failles de sécurité.
La durée de la licence d’exploitation est définie au paragraphe 6.1.
2 . 3 . LI C E N C E D’E V A L U A T I O N
Le service commercial Deny All SAS peut, dans certains cas, faire bénéficier le Client d’une licence d’évaluation, si celui-ci en fait la demande.
La durée de la licence d’évaluation est définie au paragraphe 6.2.
3 . E N G A G E M E N T S D U C L I E N T E T D E L ' U T I L I S A T E U R
3 . 1 . PR O T E C T I O N D E L A P R O P R I E T E I N T E L L E C T U E L L E D E L A S O C I E T E DE N Y AL L S A S 3.1.1. Logiciel
Les éléments du logiciel (programme, base de données, interface utilisateur) développés par la société Deny All SAS sont sa propriété exclusive et ne peuvent être utilisés que dans le cadre stipulé aux articles 2.2 et 2.3.
Le Client s'interdit d'effectuer toute copie partielle ou totale de la solution Deny All et de ses composants.
La solution Deny All intègre des logiciels qui sont protégés en application des dispositions du code de la propriété intellectuelle et des conventions internationales applicables à la protection des logiciels et de licences consenties à la société Deny All SAS.
Le Client s’engage également à respecter les licences listées en annexe et accessibles à ladite adresse, dont font l’objet les logiciels intégrés dans la solution Deny All.
Est notamment annexée au présent contrat la licence IBM du driver JDBC IBM DB2.
Le Client s'engage à respecter ces droits et s'interdit en conséquence toute opération de copie, de reverse engineering sur lesdits logiciels.
3.1.2. Reverse engineering
Le Client s'interdit de procéder à toute opération d'analyse du logiciel, de désassemblage ou de décompilation du logiciel figurant sur la solution Deny All.
Toutefois cette interdiction ne s'appliquera pas aux hypothèses visés à l'article Article L122-6-1 du code de la propriété intellectuelle alinéas III et IV.
3.1.3. Information
Le Client s'engage à informer Deny All SAS dans les plus brefs délais de toutes atteintes dont il aurait connaissance à son droit de propriété intellectuelle.
3 . 2 . MO T D E PA S S E
Le mot de passe nécessaire à l’utilisation du logiciel est attribué personnellement à l'Utilisateur compte tenu de ses compétences et de ses capacités en matière de sécurité informatique.
Ce mot de passe est strictement personnel et ne doit pas être transmis à un autre salarié de l'entreprise.
En cas de perte ou d'oubli du mot de passe, le Client s'engage à en informer sans retard la société Deny All SAS qui prendra alors toutes les mesures appropriées (cf. paragraphe 4.6 relatif à la fourniture d’un nouveau support de la solution Deny All).
3 . 3 . SA U V E G A R D E
La société Deny All SAS a entouré le développement de la solution Deny All des plus grandes précautions.
Toutefois, le Client s'engage à effectuer préalablement à son utilisation, une sauvegarde des données des serveurs ou postes de travail constituant la cible d’audit et à être en mesure de réinstaller ses logiciels.
Il lui est conseillé également de procéder à une sauvegarde des rapports d'audit enregistrés sur la solution Deny All.
3 . 4 . US A G E D E L A S O L U T I O N DE N Y AL L
Le Client et l'Utilisateur s'interdisent d'utiliser la solution Deny All pour tester des machines autres que celles
3 dont ils ont la responsabilité.
Ils s'interdisent d'utiliser la solution Deny All pour déceler des failles de sécurité qu'ils utiliseraient par la suite à des fins illégales et/ou contraire à l'intérêt du Client (par exemple, divulgation de données confidentielles).
3 . 5 . PO R T E F O R T
Le Client se porte fort du respect des dispositions du présent contrat par ses salariés (notamment par l'Utilisateur) et par tous tiers qu'elle laisserait accéder à son système informatique.
4 . E N G A G E M E N T D E D E N Y A L L
4 . 1 . MI S E A J O U R
La solution Deny All est conçue pour vérifier l'existence de mises à jour.
Lors de cette vérification, des informations d’identification peuvent être transmises à la société Deny All SAS, telles que : « numéro de série, numéro de licence et numéro de version du logiciel » et conservées à des fins statistiques. Ces informations sont susceptibles de contenir des données nominatives.
La société Deny All SAS a, en conséquence, effectué les déclarations requises auprès de la commission nationale informatique et libertés (déclaration N° 1426819).
4 . 2 . SU P P O R T T E C H N I Q U E
La société Deny All SAS met à la disposition des utilisateurs la page « Support » de son site web ainsi qu’un numéro de téléphone, afin qu'ils puissent l'avertir des éventuels dysfonctionnements de ses solutions.
La société Deny All SAS s’engage à prendre en compte sous 24h00 toute question lui parvenant ainsi.
La société Deny All SAS s’engage à faire ses meilleurs efforts pour résoudre les problèmes qui lui seront soumis.
4 . 3 . PO R T E E D E S R A P P O R T S
Les rapports d'audit de la solution Deny All recensent les éventuelles failles de sécurité et/ou les éventuels problèmes sous-jacents qui sont connus par les spécialistes diligents. L’éditeur Deny All SAS ne garantit pas l’identification de vulnérabilités hors de son périmètre de compétences (décrit sur la page « Solution » de son site web).
Il appartient à l’Utilisateur de la solution Deny All de tirer seul les conclusions de ces rapports et de mettre en œuvre les actions à adopter pour confirmer les problèmes rencontrés et les résoudre.
Il appartient à l’Utilisateur d'effectuer toutes vérifications nécessaires sur les éventuelles failles pour les confirmer.
4 . 4 . RE S P O N S A B I L I T E
La société Deny All SAS est tenue d'une obligation de moyens limitée à la réparation des dommages résultant du défaut de fonctionnement ou de performance de la solution Deny All fournie et plus largement de l’inexécution totale ou partielle des obligations de la société Deny All SAS au titre de ce contrat et ce, à la condition que ladite solution ait, de manière dûment prouvée, provoqué ce dommage et que l'utilisateur ait mis en œuvre tous les moyens pour procéder à sa réparation.
4 . 5 . GA R A N T I E D'E V I C T I O N
La société Deny All SAS garantit le Client contre toutes revendications qui pourraient émaner d'un tiers sur les logiciels figurant dans sa solution.
4 . 6 . FO U R N I T U R E D’U N E N O U V E L L E C L E U S B DE N Y AL L AU D I T O R
En cas de dysfonctionnement de la solution Deny All Auditor (clé USB) par suite de perte, destruction ou oubli
4 du mot de passe, la société Deny All SAS s'engage à remplacer la clé USB. Le Client sera facturé dès lors d’un
montant forfaitaire de 50 euros HT.
En cas de dysfonctionnement technique dûment prouvé de la dite solution, Deny All SAS s'engage à fournir une nouvelle clé USBen supportant les frais relatifs à ce remplacement.
5 . T A R I F
5 . 1 . MO N T A N T
Licence d’évaluation : offerte pour une période limitée, suivant l’acceptation du présent contrat de licence (voir article 2.3) et de la charte d’évaluation.
Licence d’exploitation : suivant nos tarifs et conditions générales de vente applicables au jour de la commande.
6 . D U R E E
6 . 1 . DU R E E D E V A L I D I T E D E L A L I C E N C E D’E X P L O I T A T I O N
La durée de validité de la licence d’exploitation est habituellement de 12 mois, sauf exception indiquée dans l’offre commerciale. A l’issue de cette période, le Client peut renouveler pour une nouvelle période.
6 . 2 . DU R E E D E V A L I D I T E D E L A L I C E N C E D’E V A L U A T I O N
6.2.1. Durée de mise à disposition de la solution Deny All
La solution Deny All et la clé USB de DenyAll Auditor sont mis à la disposition du Client pour une durée maximale de 1 mois, à partir du jour d’expédition.
6.2.2. Durée de validité de la licence
La licence d’évaluation est activée lors de sa première utilisation. La durée de validité est de 15 jours.
6.2.3. Retour de la clé USB ou transformation en licence d’exploitation
Pendant la période d’évaluation ou à l'issue de celle-ci, le Client peut demander à Deny All SAS l’activation de la licence en « mode exploitation », moyennant la souscription d’une licence annuelle.
6 . 3 . FI N D E V A L I D I T E D E L A L I C E N C E
A l’issue de la période de validité de la licence, à défaut de la souscription d’une nouvelle licence d’utilisation, le Client s'engage à ne plus utiliser la solution Deny All.
7 . I N T R A N S M I S I B I L I T E D U C O N T R A T
Les parties conviennent que le présent contrat est conclu intuitu personae et ne pourra, en conséquence, bénéficier à un tiers quelconque.
8 . R E S I L I A T I O N
Dans le cas où l’une ou l’autre des parties ne respecterait pas les obligations contractuelles qui lui incombent en vertu du présent contrat, celui-ci serait résilié de plein droit si la partie défaillante n’apportait pas de remède à son manquement dans un délai de 15 (quinze) jours à compter de la date d’émission de la notification que lui en ferait l’autre partie par lettre recommandée avec accusé de réception.
9 . L O I A P P L I C A B L E
5 Le présent contrat est régi par le droit français.
Tout différend né entre les parties de son interprétation et/ou exécution sera soumis au Tribunal de Commerce de Nanterre (92).
6
A N N N E X E 1 : L I S T E D E S L I C E N C E S A P P L I C A B L E S
Les logiciels listés ci-dessous sont distribués avec la solution Deny All.
Le Client peut se référer à leurs textes de licence respectifs pour plus d’informations.
OpenJDK (JRE), licence GPL v2 avec l’exception
« classpath » permettant de créer une application commerciale :
http://www.sun.com/soft ware/opensource/java/faq.
jsp#g1 et
http://www.gnu.org/softw are/classpath/license.html
Bcrypt, licence BSD : http://bcrypt.sourceforge.
net/
eZ components, lic. BSD : http://ezcomponents.org/i ntroduction/license
Base de données PostgreSQL, lic. BSD : http://www.postgresql.org /about/licence
Wkhtmltopdf, lic. GPL : http://www.gnu.org/licens es/gpl.html
Outils :
Aircrack, licence GPL : http://www.aircrack- ng.org
DB2utils, non licencé (accord explicite de son auteur)
Dhcping, licence BSD : http://www.mavetju.org/u nix/general.php
Dig, licence ISC : http://www.isc.org/softwa re
Fimap, licence GPL : http://code.google.com/p/
fimap
Flasm, licence BSD : http://flasm.sourceforge.n et/#useterms
Git, licence GPL : http://git-scm.com
John the ripper, lic. GPL : http://www.openwall.com /john/
Medusa, licence GPL : http://www.gnu.org/licens es/gpl.html
MSSQLScan, non licencé (accord explicite de son
auteur)
Nbtscan, non licencé (accord explicite de son auteur)
Net-snmp, licence BSD : http://net-
snmp.sourceforge.net/abo ut/license.html
Nmap, licence GPL : http://nmap.org
OpenVAS, licence GPL : http://www.openvas.org
Samba, licence GPL : http://www.samba.org/sa mba/docs/GPL.html
SidGuesser, licence GPL : http://www.cqure.net/wp/
sidguesser/
Smbat, licence GPL : http://www.cqure.net/wp/
smbat/
Sqlmap, licence GPL : http://sqlmap.sourceforge.
net/#license
SSLScan, licence GPL : http://test.titania.co.uk
Tiger, licence GPL : http://www.nongnu.org/ti ger/
Tnscmd10g, lic. GPL : http://www.gnu.org/copyl eft/gpl.html
Wdiff, licence GPL : http://www.gnu.org/softw are/wdiff
Whatweb, licence GPL : http://www.morningstarse curity.com/research/what web
Drivers JDBC :
Driver JDBC
PostgreSQL, lic. BSD : http://jdbc.postgresql.org/
license.html
Driver JDBC IBM DB2, licence IBM :
http://www14.software.ib m.com/cgi-
bin/weblap/lap.pl?la_for mnum=&li_formnum=L- SRAN-
7PW37R&title=IBM+Dat
a+Server+Driver+for+JD BC+and+SQLJ+%28JCC +Driver%29&l=fr
Driver JDBC Oracle, licence OTN :
http://www.oracle.com/te chnology/software/popup- license/distribution- license.html
Bibliothèques :
Apache Commons, licence Apache :
http://commons.apache.or g
GSON, licence Apache : http://code.google.com/p/
google-gson
HtmlUnit, lic. Apache : http://htmlunit.sourceforg e.net
Jsoup, licence MIT : http://jsoup.org/
Cxf, licence Apache : http://cxf.apache.org/
Smarty, licence LGPL : http://www.smarty.net/
Python-ntlm, lic. LGPL : http://code.google.com/p/
python-ntlm
Beautiful soup, lic. MIT : http://www.crummy.com/
software/BeautifulSoup/
Paramiko, licence LGPL : https://github.com/parami ko/paramiko/
Pexpect, licence MIT : http://pexpect.sourceforge .net/
HttpComponents, licence Apache :
http://hc.apache.org
JCIFS, licence LGP : http://jcifs.samba.org
MINA, licence Apache : http://mina.apache.org
Oxygen, licence Creative Commons Attribution- ShareAlike :
http://www.oxygen- icons.org
