Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

L'étrange confrontation entre le Droit et la Technique

En matière de "piratage" informatique, la Justice se base sur une loi qui date de 1988. Internet tel que nous le connaissons aujourd'hui n'existait pas. Lors des procès sur ces sujets, on assiste régulièrement à une sorte de confrontation entre le Droit et la technique qui ont du mal à s'entendre. L'affaire ANSES/Ministère public contre Bluetouff illustre à nouveau ce décalage. Ce fut le cas pour l'affaire Tati versus Kitetoa ou Tegam versus Guillermito.

En matière de "piratage" informatique, la Justice se base sur une loi qui date de 1988. Internet tel que nous le connaissons aujourd'hui n'existait pas. Lors des procès sur ces sujets, on assiste régulièrement à une sorte de confrontation entre le Droit et la technique qui ont du mal à s'entendre. L'affaire ANSES/Ministère public contre Bluetouff illustre à nouveau ce décalage. Ce fut le cas pour l'affaire Tati versus Kitetoa ou Tegam versus Guillermito. Ou encore Ministère public versus Larsen.

Lors du procès en appel de Bluetouff, la représentante du ministère public a ouvert son réquisitoire par une phrase qui laisse perplexe : « La moitié des termes que j’ai entendus aujourd’hui, je ne les ai même pas compris ». Bien entendu, on peut se demander comment une magistrate peut demander la condamnation d'une personne lorsqu'elle n'a pas compris ce qu'il a fait. Mais passons. Essayons justement de lui expliquer ce qui s'est passé. N'est-ce pas le rôle des journalistes que de vulgariser pour donner à comprendre, y compris à un magistrat hermétique ?

Au commencement, était un réseau pensé par des hippies qui bien que mandatés par l'armée américaine, avaient les cheveux longs et les idées larges. Ce réseau, ils l'avaient imaginé peuplé de machines polies répondant aux questions qu'on leur pose.

Par exemple, il est possible de demander à une machine connectée au réseau, si elle est configurée pour répondre, quand elle a été démarrée pour la dernière fois, qui est son administrateur, où elle est située, géographiquement, physiquement, etc.

Lorsque le Web a été inventé, il a justement été prévu que les serveurs allaient répondre à des demandes d'internautes. Ces réponses ont été codifiées.

  • Bonjour serveur, je suis Magistrate hermétique, je voudrais afficher dans mon navigateur ta page d'accueil.

  • Pas de souci Magistrate hermétique, je peux le faire, mon administrateur, pas con, a prévu que je devais servir la page d'accueil sur demande, à tout le monde. Je te l'envoie et je note dans mes logs que je te l'ai servie ainsi que le code 200 ("OK") pour spécifier que la page existait, qu'il était normal de te l'afficher et surtout, que je l'ai fait. Comme ça mon administrateur verra que j'ai bien fait mon boulot.

  • Ah, merci. Je vois effectivement la page s'afficher dans mon navigateur. Dis, tant qu'on y est, je clique sur ce lien là en bas, ça a l'air pas mal.

  • Je viens de recevoir ta demande, mais je ne peux pas servir cette page. Elle a été effacée de mes entrailles. Je note dans mes logs que j'ai émis un 404 ("Not found") à telle heure pour l'utilisatrice Magistrate Hermétique. En fait je rigole, je ne t'appelle pas Magistrate hermétique dans mes logs parce que je ne te connais pas. Pour moi tu es juste une adresse IP, un utilisateur anonyme.

  • Attention serveur. Ne va pas m'accuser de faire partie du groupe de pirates Anonymous, je suis une honnête magistrate moi !

  • Ce n'est pas ce que je voulais dire chère Magistrate hermétique. Je voulais t'expliquer que certaines pages, dans mes entrailles sont réservées à des utilisateurs que je connais. J'en détiens la liste. Et pour chaque utilisateur ou chaque groupe d'utilisateurs, j'ai une liste de fichiers que je peux servir ou pas.

  • Oui, et bien justement, je voudrais bien que tu me file la page "Le Droit à l'épreuve de la technique".

  • Ah. Non, celle-ci est réservée au groupe d'utilisateurs "Magistrats éveillés". Je note dans mes logs que tu as demandé la page "Le Droit à l'épreuve de la technique" mais que je n'ai pas pu te la servir  parce que tu n'as pas les autorisations nécessaires. Hop, un code 401 ("Unauthorized").

  • Haha, si tu crois que ça va m'arrêter ! Mon fils, qui s'y connaît un peu mieux que moi en Intertubes, m'a donné quelques méthodes....

  • Excuses-moi chère Magistrate hermétique, mais je viens de noter dans mes logs que j'ai fait face à un 405 ("Method Not Allowed") sur  une requête de Magistrate hermétique.

  • Dis donc, à bien y regarder, tes histoires techniques, c'est presque autant codifié que le Droit...

  • Ce à quoi je me vois contraint, parce que je suis un serveur un peu facétieux, un 418 ("I'm a teapot"). Hahaha. Hum... Je m'égare...

En d'autres termes, un serveur ne peut pas renvoyer une page ou un document si l'administrateur dudit serveur a décidé qu'il était "privé". Corollaire, si un utilisateur non référencé accède à un document sur un serveur Web public, accessible via le réseau public Internet ou son sous-réseau le World Wide Web, il est impossible, techniquement, de dire qu'il a piraté quoi que ce soit.

Pour qu'il y ait "piratage", il faut que l'utilisateur lambda ait utilisé une méthode de piratage, visant à contourner des méthodes de sécurisation rendant l'accès au document impossible.

Exemple : un document est protégé et il faut fournir un identifiant (lojin) et un mot de passe. Ne disposant ni de l'un ni de l'autre, ne trouvant rien sur Gogleuh, je fournis au serveur le lojin et le mot de passe d'un utilisateur référencé à qui je l'ai piqué parce que cet imbécile avait tout noté sur un post-it affiché au coin droit de son écran d'ordinateur (le couillon...).

Dans l'affaire ANSES/Ministère public versus Bluetouff, le serveur de l'ANSES n'a jamais noté autre chose que des codes "200" dans ses logs. Si même le serveur dit que tout ça est "OK", on se demande, d'un point de vue technique, comment il est possible de condamner Bluetouff...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée