flanker (./642) :
Tu ne violes a priori aucune loi quand tu trouves une faille de sécurité

Cas simple : tu tombes sur une URL qui contient un identifiant ou du SQL en clair. Tu les modifies pour voir si c'est possible de récupérer les infos d'un autre utilisateur.
Ben ça y est, tu as effectué un accès non autorisé à un système informatique, avec potentielle récupération de données auxquelles tu n'es pas censé avoir accès : c'est illégal.
Évidemment, rien ne dit que tu seras condamné, mais ça ne change pas le fond.

flanker (./642) :
Là, tu enfreints la loi, et ça n'apporte rien à personne.

Ben si, ça montre aux gens que ces informations sont récupérables avec un investissement très faible. Du point de vue de la sécurité, c'est important.