Journal d'investigation en ligne et d'information‑hacking
par Rédaction

Relaxe d'un fondateur de Reflets dans une rocambolesque affaire de piratage de données… publiques

Les remake de films sont souvent décevants. Pourtant, celui auquel nous avons assisté mardi 23 avril était tout à fait réussi. Surtout la fin. La production avait mis les moyens. Plainte pour accès frauduleux et maintien dans un système de traitement automatisé de données, soustraction frauduleuse de données... Mise en branle de la DCRI, trente heures de garde à vue... Tous les ingrédients d'un beau film sur les méchants hackers chinois de Reflets étaient réunis.

Les remake de films sont souvent décevants. Pourtant, celui auquel nous avons assisté mardi 23 avril était tout à fait réussi. Surtout la fin. La production avait mis les moyens. Plainte pour accès frauduleux et maintien dans un système de traitement automatisé de données, soustraction frauduleuse de données... Mise en branle de la DCRI, trente heures de garde à vue... Tous les ingrédients d'un beau film sur les méchants hackers chinois de Reflets étaient réunis.

Hier, se tenait le procès d'Olivier Laurelli, alias Bluetouff, co-fondateur de Reflets, à qui l’Agence Nationale de Sécurité Sanitaire de l’alimentation de l’environnement et du travail (ANSES) reprochait d'avoir téléchargé des données publiques de son extranet et bien entendu, les articles qui avaient fait suite à la découverte de ces informations via Google. Une sorte de remake donc, du procès Tati versus Kitetoa.

Sans surprise, le tribunal a relaxé Bluetouff.

En effet, il est compliqué de condamner quelqu'un pour "piratage" lorsque les données supposément piratées sont archivées par Google.  "Nemo auditur propriam turpitudinem allegans" (nul ne peut se prévaloir de sa propre turpitude)... Si vous ne sécurisez pas l'accès à vos données, vous ne pouvez demander réparation lorsque quelqu'un y accède. Comme expliqué par le parquet lors du procès Tati versus Kitetoa, il ne suffit pas que l'administrateur d'un serveur décrète dans sa tête qu'une partie de son serveur est privée pour qu'elle le soit. L'informatique étant ce qu'elle est, en plus de cette décision, il est utile d'attribuer des droits spécifiques aux dossier et fichiers concernés.

Dans le cas qui occupait Reflets hier, les responsables de l'ANSES se contredisaient dans leurs déclarations.

Premier point, l'ANSES porte plainte pour piratage et vol de données et la DCRI est mandatée, l'agence étant qualifiée d’« Opérateur d’Importance Vitale » (OIV). Pourtant, l'ANSES explique lors de l'enquête que ces données ne sont pas sensibles :

Interrogé sur la nature des données téléchargées, Monsieur Texier, chef du service technique de l’ANSES les a définies en ces termes :

« Il s’agit de documents de travail internes qui sont échangés par les experts. Ces documents ne sont pas classifiés. Les thématiques sont néanmoins sensibles car elles sont relatives à des sujets d’actualité. Concernant la base de données, elle ne contient aucune information sensible. »

Nous avons donc des données non sensibles, stockées sur un répertoire d'un site de l'ANSES dont le contenu est intégralement indexé par Google, ce qui permet aux auteurs de Reflets de les trouver au détour d'une banale recherche via le moteur de recherche, et de les télécharger sans que n'intervienne à aucun moment une demande d'authentification de la part du serveur. Pourtant, la DCRI est sollicitée... Comprenne qui pourra. Mettre en branle la Justice pour cela dépasse l'entendement.

Le jugement du tribunal permet de tirer quelques conclusions. Premier point, le contenu du dossier monté par un service de la DCRI après la plainte de l'ANSES et qui a incité le procureur à suivre la plainte, est totalement démonté par le juge. Sans entrer dans un mode paranoïaque, on peut se demander si les épisodes comme celui de Reflets, de Wikipedia ou des deux journalistes d'OWNI ne visent pas à imposer une forme d'auto-censure aux media indépendants. Coup d'épée dans l'eau vu le résultat streisandé pour Wikipedia ou la gifle infligée par le tribunal au ministère public et aux forces de l'ordre qui avaient enquêté. Bonne nouvelle également, on sent une nette montée en compétences (techniques) des juges à qui il n'est plus nécessaire d'expliquer à coup d'experts ce qu'est ou n'est pas une intrusion. C'était plus compliqué pour l'affaire Tati versus Kitetoa. Enfin, les juristes noteront que le délibéré est intervenu en moins d'une heure, un signe que la justice a clairement estimé cette affaire incongrue.

Je pirate, tu pirates, il pirate, nous URLons

Il est constant, depuis l'affaire Tati versus Kitetoa qu'un accès via un navigateur sans méthode spécifique de piratage, avec une simple URL,  ne constitue pas un piratage. L'ANSES, si elle avait voulu voir Bluetouff relaxé n'aurait pas mieux agi. En effet, sur la méthode du supposé piratage, le responsable technique de l'ANSES explique :

«  Nous [l’ANSES] avons procédé à des investigations techniques internes pour tenter d’identifier la méthode utilisée par les pirates pour accéder et récupérer les documents. A l’issue de ces analyses, nous avons alors constaté qu’il suffisait de disposer de l’url complète permettant d’accéder à la ressource sur l’extranet pour passer outre les règles d’authentification sur ce serveur. Il s’agit à notre sens de la méthode utilisée pour récupérer le document « powerpoint »visé en infra».

Et oui... Lorsque l'on dispose d'une URL complète et qu'elle est insérée dans un navigateur, ce dernier a tendance à afficher le contenu correspondant à cette URL. Étonnant, non ?

Monsieur Texier précisait même :

« Nous n’avons pas constaté l’utilisation ou le dépôt d’outils logiciels malveillants pour procéder à cette attaque ».

Quant à M. Nin Khieu, il enfonce le clou en expliquant que «  Suite à la découverte, nous avons corrigé la faille ». Coucou... "Nemo auditur propriam turpitudinem allegans"...

Reflets est votre journal

Premier procès, première victoire. C'est encourageant, mais désagréable. Un procès est quelque chose de coûteux, financièrement, bien entendu, mais aussi psychologiquement.

Reflets a choisi de ne pas faire payer ses contenus, de ne pas avoir d'investisseurs et de ne pas afficher de publicité. Nous ne vivons que par les dons de nos lecteurs. Ils sont encore bien trop faibles pour que nous puissions vivre de cette activité. En outre, nous avons choisi depuis le début de limiter au maximum les dépenses afin de disposer d'armes financières en cas de procès. C'était une démarche prudente. La preuve...

Une partie de vos dons est donc affectée à la facture très raisonnable de notre avocat, Maître Olivier Iteanu pour son travail sur ce procès.

Reflets est votre journal. Vous lui donnez les moyens d'exister par vos dons.

Cadeau Bonux, en plus de vous proposer de jolis articles truffés de lulz, Reflets contribue à la sécurisation des internautes par la confirmation d'une jurisprudence intéressante : vous ne piratez rien en cliquant sur un lien trouvé sur Google, même si le propriétaire des données a décidé en accord avec lui-même, tout seul, personnellement, que ces données ne doivent pas être accessibles au public ou à Google...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée