Journal d'investigation en ligne et d'information‑hacking
par Rédaction

Harcèlement judiciaire contre le co-fondateur de Reflets ?

Le parquet s'entête pour une amende de 500 euros...

Un premier procès nous avait menés jusqu'en cassation. Le parquet relance une nouvelle procédure contre Olivier Laurelli, co-fondateur de Reflets.

DGSI - Wikipedia

En 2012, Olivier Laurelli (Bluetouff) découvre via une recherche sur Google, une longue liste de documents listés dans le répertoire d'un site. Il utilise une commande (wget) pour tout télécharger et regarder ça plus tard. C'est le début d'ennuis judiciaires qui vont durer trois ans. Une procédure totalement absurde dans laquelle le parquet de Paris va s'entêter et finalement gagner, renversant une jurisprudence qu'il avait lui-même voulue en 2001. Mais comme si cela n'était pas suffisant, le parquet de Paris a fait appel d'une autre décision de relaxe Olivier Laurelli. Cette fois, l'affaire est encore plus aberrante. A croire qu'il y a comme une sorte de vendetta personnelle derrière ces procédures.

Dans la première affaire, l'ANSES avait stocké ses documents sur un serveur de manière publique. Les documents n'étaient protégés par aucune protection spécifique, ni indication qu'ils étaient destinés à des utilisateurs particuliers. A tel point qu'après avoir porté plainte pour accès et maintien frauduleux dans un système de traitement automatisé de données, l'ANSES ne s'était, prudemment, pas portée partie civile. Il faut dire que l'article 226-17 du Code Pénal est assez clair : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. ». Bluetouff avait donc téléchargé des documents produits par un établissement public, mis à disposition publiquement sur un serveur placé sur un réseau public. Les lecteurs ayant une compréhension technique noteront qu'à défaut d'être protégés par des mesures d'autorisation en lecture, un document placé sur un serveur Web en ligne sur Internet est... Public. Même si l'ANSES ne s'était pas portée partie civile, la procédure, une fois engagée, ne pouvait s'arrêter. Le pénal suit son cours.

En première instance, le 23 avril 2013, Olivier Laurelli avait été relaxé :

Sur l’accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données

Selon l’article 323-1 du code pénal, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende.

L’accès frauduleux à un système de traitement automatisé de données est constitué dès lors qu’une personne non habilitée pénètre dans un système de traitement automatisé de données tout en sachant qu’elle est dépourvue d’autorisation.

En l’espèce, il ressort des déclarations précises et circonstanciées du prévenu que lors de son accès au site extranet de l’Anses, il a remarqué qu’un code utilisateur et un mot de passe pouvaient être demandé pour accéder à certaines données.

Néanmoins, il n’est pas contesté par l’Anses qu’une défaillance technique existait dans le système et que Monsieur Olivier L. a pu récupérer l’ensemble des documents sans aucun procédé de type «hacking».

Par ailleurs, Monsieur Olivier L. a pu justifier l’utilisation du VPN panaméen, celui-ci lui servant dans le cadre de sa société Toonux.net.

Compte tenu de l’ensemble de ces éléments, même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par Monsieur Olivier L. aux seules personnes autorisées.

Monsieur Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système.

En conséquence, il convient de relaxer Monsieur Olivier L. des chefs d’accès frauduleux et maintien frauduleux dans un système de traitement automatisé des données.

Sur le vol des documents téléchargés et enregistrés sur plusieurs supports

Selon l’article 311-1 du code pénal, le vol est la soustraction frauduleuse de la chose d’autrui.

En l’espèce, en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose.

En tout état de cause, Monsieur Olivier L. a pu légitimement penser que ces documents étaient librement téléchargeables puisque non protégés par un quelconque système. Il n’y a pas eu de sa part une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc il n’y a pas d’élément intentionnel de l’infraction.

C'était sans compter sur la volonté du Parquet de créer une jurisprudence sur le vol de données. Jusque là, on ne pouvait "voler" des données informatiques puisqu'elles n'étaient pas soustraites à leur propriétaire.

Myriam Quemener (Parquet) et Anne Souvira (BEFTI) trouveront ensemble le point juridique qui permettra de faire condamner Olivier Laurelli : dans un PV, il reconnaît s'être rendu sur la page d'accueil du site, sur laquelle figurait, dans un coin, une mire d'authentification. Il s'est donc, selon elles, maintenu dans le système frauduleusement, sans y avoir pénétré frauduleusement. Astuce.

Oui, mais non.

Une application Web peut très bien avoir des parties privées et des parties publiques. Mieux, certains documents peuvent être publics dans une partie non publique car affichés ailleurs que dans la partie privée. Mais ça devient sûrement trop technique...

Le parquet faisait donc appel de la décision de première instance et nous assistions médusés à un procès au cours duquel les juges parlaient de "lojin" et de "Gogleuh", la procureure indiquant pour sa part qu'elle n'avait pas compris la moitié des termes utilisés pendant le procès.

Bluetouff était finalement condamné. Nous nous sommes pourvus en cassation pour éviter un retournement de jurisprudence. Et nous avons perdu. Le parquet de Paris a créé son précédent, sa jurisprudence sur le vol de données et a, par la même occasion, créé une incertitude juridique pour M. et Mme Michu. Attention à ce que vous affichez dans votre navigateur, l'administrateur du serveur aura peut-être, dans sa tête, décidé que ce qui apparaissait public, et qui était indexé par Google, était en fait privé. A vous de deviner avant d'afficher la page...

En 2001, le même parquet demandait la relaxe de Kitetoa dans un dossier très similaire et l'obtenait. Il avait même fait un communiqué de presse pour expliquer combien il était dangereux de condamner un internaute ayant affiché une page non protégée par l'administrateur.

Allez Bluetouff, on repart pour un tour !

Cette fois, Bluetouff est poursuivi pour avoir, "sans motif légitime, importé, détenu, offert, cédé ou mis à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 du Code pénal, à savoir des atteintes aux systèmes de traitement automatisé de données, en l’espèce en publiant sur son blog BLUETOUFF.COM un script permettant d’exploiter des failles de sécurité informatique liées aux jeux utilisant le code source et le moteur de jeu Quake 3".

Mais de quoi s'agit-il ?

Tout commence avec une attaque par déni de service, à laquelle OVH ne voulait pas mettre fin en débranchant les serveurs de jeu utilisés comme relais. Olivier Laurelli avait écrit un article expliquant ce qui était en train de se passer. Il avait re-publié un script — dont il n'était pas l'auteur et qui était disponible sur Internet par ailleurs — sur un site visité par d'autres experts en sécurité informatique (l0g.me). En sécurité informatique, on appelle ça un POC (Proof of Concept), il ne s'agit pas d'un programme utilisable tel quel.

Remontons dans le temps pour bien comprendre. Au commencement était un monde sans Internet. Les éditeurs de logiciels pouvaient vendre n'importe quoi. Personne ne savait si un logiciel était troué. Et s'il l'était, les éditeurs ne réparaient que quand ça leur chantait. Si un chercheur en sécurité informatique trouvait un bug, il le remontait à l'éditeur qui s'asseyait dessus.

Puis arrive Internet. Et BugTraq. Cette mailing-list est alors utilisée par les chercheurs en sécurité informatique pour publier les failles. Les journaux s'emparent de la chose et font de la mauvaise publicité aux éditeurs qui ne corrigent pas. C'est la période dorée du "full disclosure". On publie tout.

Le nombre de script kiddies augmentant progressivement au fur et à mesure du développement d'Internet, les chercheurs en sécurité informatique, sous l'impulsion de l'un d'eux (Rain Forest Puppy), mettent en place la Responsible Disclosure. L'idée est de laisser le temps à l'éditeur de corriger avant que les failles ne soient divulguées. S'il ne corrige pas dans un délai raisonnable, on se rabat sur la publication des failles.

Dans le cas particulier de Bluetouff, le script était disponible depuis un bon moment sur Internet et les hébergeurs de serveurs de jeux troués utilisés pour le DDoS, par rebond, refusaient des les fermer.

Same player play again

Jugé en son absence (mal convoqué), Bluetouff avait été condamné à une amende de 500 euros. A sa demande, l'affaire est rejugée. Comme en 2012, Olivier Laurelli est relaxé en première instance. Mais c'est sans compter sur l'opiniâtreté du Parquet de Paris, qui fait à nouveau appel. L'affaire sera jugée le 8 mars. Comme l'histoire fait appel à un DDoS, à des paquets UDP, à des serveurs de jeux tournant sur des machines virtuelles, on est un peu inquiets. C'est beaucoup plus compliqué que "Gogleuh" et les "lojins" !

Après avoir été condamné pour avoir téléchargé des documents publics, diffusés par une administration publique sur un réseau public, Bluetouff risque cette fois d'être condamné pour avoir détenu sans motif légitime des outils de piratage informatique. Ce qui est assez amusant puisque son métier, outre son activité de journaliste avec Reflets, est précisément la sécurité informatique...

Notez amis chercheurs en sécurité informatique que ce procès va impacter votre métier. Car si Bluetouff était condamné, ce pourrait être vous le suivant. Poster dans une mailing list deviendrait un jeu à haut risque juridique. Diffuser un POC équivaudrait à une condamnation automatique.

En fait que reproche-t-on exactement au co-fondateur de Reflets ?

Tout simplement d'avoir écrit sur un problème de sécurité qui menaçait des sites victimes de DDoS et d'avoir re-publié un POC qui circulait depuis des lustres sur Internet. Un site gouvernemental (DGFiP) a fait l'objet d'une attaque le 24 octobre 2011. L'article de Bluetouff date de six jours avant l'attaque. Le mécanisme de l'attaque avait été décrit par le CERT-LEXSI le 18 octobre. Le script était apparu sur Pastebin le 4 octobre. Une autre attaque, utilisant le même procédé avait eu lieu contre un autre serveur le 10 octobre.

Les enquêteurs de la DGSI (les services de renseignement sont saisis dès lors que le plaignant est un site gouvernemental) se sont focalisés sur l'article de Bluetouff mais ont étrangement laissé de côté les responsables, par négligence, de l'attaque contre le serveur de la DGFiP.

Quand tu effaces les preuves, ben y'a pas de preuves...

Car les fins limiers de la DGSI — à l'époque la DCRI — sont remontés jusqu'à un serveur Call of Duty hébergé par le CNRS. L'un des admins avait installé ce serveur pour se détendre avec ses collègues pendant les pauses. Il a été utilisé pour attaquer le site de la DGFiP. Jusque là, on ne pourrait retenir que la négligence. Mais ça devient plus drôle par la suite : alerté de l'enquête en cours, l'admin efface toutes les traces liées à son serveur de jeu installé sans autorisation sur le réseau du CNRS. « Pris de panique, j'ai supprimé tous les journaux liés aux jeux sur la machine virtuelle. (...) Toujours dans une logique de panique, j'ai recopié un dossier Call of Duty qui n'a rien à voir avec le serveur de jeu qui était en fonction sur la machine virtuelle. Pour que cela passe inaperçu, j'ai d'ailleurs modifié l'horloge du serveur virtuel avant de copier le nouveau dossier Call of Duty pensant que cela irait... »

Attention ça se corse : les enquêteurs de la DCRI vont tout de même regarder ce qu'ils peuvent trouver dans les logs épurés du CNRS. Et là, surprise :

« Disons effectuer une analyse de ce support par recherche de mot clef et relevons qu'aucune donnée interessant l'enquête n'a été identifiée. Cette absence de preuve conforte les déclarations de l'intéressé relatives aux modifications et effacements successifs effectués. De ce fait mettons fin à notre analyse. »

Sans blague ?

Ce n'est plus de l'incompétence ou de la négligence, c'est de la destruction de preuves, mais personne n'ira rechercher la responsabilité du CNRS et de ses employés. En revanche, le parquet fait appel de la relaxe, pour une amende de 500 euros, contre Olivier Laurelli qui a écrit un article sur une vulnérabilité déjà connue et pouvant mettre par terre un serveur. Allez comprendre...

13 Commentaires