Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Avec des "si", on mettrait Kitetoa et Bluetouff dans des bouteilles !

La condamnation est tombée, la décision de se pourvoir en cassation aussi. Les commentaires vont généralement dans le sens de l'équipe de Reflets. En d'autres termes, la plupart des gens pensent que cette décision est ridicule sur un plan technique, qu'elle met en situation d'insécurité juridique tous les utilisateurs du Net et qu'enfin, en droit, c'est un peu capillotractée. Mais... Et c'était attendu, certains estiment que Bluetouff devait être condamné.

La condamnation est tombée, la décision de se pourvoir en cassation aussi. Les commentaires vont généralement dans le sens de l'équipe de Reflets. En d'autres termes, la plupart des gens pensent que cette décision est ridicule sur un plan technique, qu'elle met en situation d'insécurité juridique tous les utilisateurs du Net et qu'enfin, en droit, c'est un peu capillotractée. Mais... Et c'était attendu, certains estiment que Bluetouff devait être condamné. J'ai également connu ces "enquêtes" emplies de juridisme à 2 cents d'euro il y a quelques années.

Voici donc quelques précisions. Je vais mettre des "si" un peu partout parce que les "si", c'est très utile pour parvenir à démontrer quelque chose de juste, ou pas. Et inversement.

Si Bluetouff avait voulu masquer son IP et pirater jusqu'au trognon l'extranet de l'ANSES, il aurait pu le faire.

Il ne l'a pas fait.

Personnellement, j'y vois la confirmation de l'absence de toute volonté délictueuse. Voyez-vous, Bluetouff, comme moi et quelques amis qui restent anonymes, nous avons quelques notions qui nous permettent de réaliser ce qui semble complexe sur le Net : ne pas laisser de trace qui puisse être remontée par les services de police (Eric Freyssinet me dirait sans doute que je me trompe, mais ça se discute). Surtout s'il s'agit d'une opération unique.

Je m'explique...

Lancer toute une série d'attaques, avec le même surnom que l'on médiatise (équipe LulzSec par exemple) rend pratiquement nulle la possibilité qu'aucune erreur ne soit commise, à un moment ou à un autre. Si vous êtes un apprenti nakeur à ailette jaune et que vous utilisez des outils inappropriés, un proxy va vous lâcher, un fournisseur de VPN va vous dénoncer sur requête judiciaire (logique), etc. Si vous êtes un hacker chevronné, une box piratée va vous trahir à un moment ou un autre si vous l'utilisez plus d'une fois.

Ne pas revendiquer un piratage, ne pas le médiatiser, ne pas laisser de traces de votre piratage, ne pas laisser de logs ici où là (sur les machines qui vous ont permis d'atteindre la machine piratée), est une façon de réussir à passer entre les mailles du filet, même si c'est compliqué.

A l'inverse, moi, à une certaine époque, ou Bluetouff aujourd'hui avec l'ANSES, nous médiatisons ce que nous faisons. Nous signons même nos articles avec des pseudonymes complètement éventés. Une simple recherche Gogleuh sur nos pseudos renvoie nos noms réels.

Si Bluetouff ou moi-même il y a quelques années avions voulu tirer un bénéfice de nos trouvailles, nous aurions pu vendre des tombereaux de données personnelles, des fichiers confidentiels d'entreprises qui traînaient dans des serveurs Web publics, que sais-je...

Cela n'a jamais été le cas et la plupart du temps, les données trouvées par hasard ont fini dans les cyber-poubelles de nos ordinateurs.

J'ai déjà évoqué dans un commentaire d'un précédent article que la présence d'une méthode d'identification sur un serveur Web ne préjugeait pas de l'aspect totalement "privé", ou pas, de l'ensemble des contenus du serveur. Il est parfaitement possible de définir des zones de "confidentialité" sur un serveur qui contiendrait aussi des fichiers publics. C'est un peu le travail de l'administrateur de la machine...

Je vous donne un exemple:

[DISCLAIMER : si vous cliquez, vous risquez de vous retrouver dans la situation de Bluetouff]

Ceci est un intranet demandant une identification.

Ceci est le même intranet qui donne accès via Gogleuh à des données personnelles sur ses utilisateurs.

Reprenons : pas de volonté de se cacher, ce qui démontre une totale absence de volonté délictueuse. Accès à des documents publics sur un serveur public placé sur un réseau public.

Publication sur Twitter d'un appel à des scientifiques ou des journalistes spécialisés pour aider à comprendre les documents (médiatisation), publication d'articles sur les sujets évoqués dans les documents... Et on en arrive forcément au sujet qui fâche...

En fait l'ANSES ou le ministère public ne sont pas venus nous chercher sur le vrai sujet : nous avons fait un travail journalistique. La réponse judiciaire est ailleurs. Elle porte sur un supposé piratage. C'est un choix d'un angle juridique.

Ceci devrait alerter nos confrères.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée