S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Antoine Champagne - kitetoa

Procès en appel du co-fondateur de Reflets

Tout ça pour ça

Bluetouff, co-fondateur de Reflets était jugé en appel jeudi 8 mars pour la mise à disposition d'un script déjà publié par ailleurs ayant permis à des pirates de lancer une attaque par déni de service

Myriam Quemener - copie d'écran Youtube - © https://www.youtube.com/watch?v=vWHNGTSCDk8

Jeudi 8 mars, se tenait le procès en appel de Bluetouff, co-fondateur de Reflets. Olivier Laurelli était poursuivi pour avoir, "sans motif légitime, importé, détenu, offert, cédé ou mis à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 du Code pénal, à savoir des atteintes aux systèmes de traitement automatisé de données, en l'espèce en publiant sur son blog Bluetouff.com un script permettant d'exploiter des failles de sécurité informatique liées aux jeux utilisant le code source et le moteur de jeu Quake 3".

En 2011, OVH ne voulant pas mettre fin en débranchant les serveurs de jeu utilisés comme relais lors d'une vaste attaque par déni de service, Olivier Laurelli avait écrit un article expliquant ce qui était en train de se passer. Il avait re-publié un script — dont il n'était pas l'auteur et qui était disponible sur Internet par ailleurs — sur un site visité par d'autres experts en sécurité informatique (l0g.me). En sécurité informatique, on appelle ça un POC (Proof of Concept), il ne s'agit pas d'un programme utilisable tel quel.

Mal convoqué par la Justice, Olivier Laurelli avait demandé à être re-jugé après une condamnation initiale en son absence à 500 euros d'amende. Il était alors relaxé. Le tribunal avait rappelé dans son arrêt que "l'article 323-3-1 du code pénal punit le fait, sans motif légitime, notamment de recherche ou de sécurité informatique (le métier du co-fondateur de Reflets est de pratiquer des tests d'intrusion), d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçu ou spécialement adapté pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée".

En d'autres termes, le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données serveur Web, est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. Et lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat (ce qui avait notamment été le cas, en l'espèce), la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende.

Mais lucide, il avait décidé de relaxer Bluetouff :

Arrêt de la cour en première instance - © Reflets - CC
Arrêt de la cour en première instance - © Reflets - CC

Les juges dans leur grande sagesse considéraient que Bluetouff n'avait aucune intention de générer un piratage informatiques par ses lecteurs.

Ce qui est assez logique puisque Bluetouff oeuvre par son métier à la sécurisation des infrastructures informatiques et qu'il est notoirement connu pour ses positions anti-dénis de services. Il est également connu pour pencher plutôt vers Telecomix qui reconstruit du réseau que vers les Anonymous qui pratiquent les DDoS.

Surpriiiiiseeuuuu, c'est Myriam !

La relaxe d'Olivier Laurelli par le tribunal de première instance n'avait pas satisfait le parquet qui avait interjeté appel, comme dans l'affaire de l'ANSES. Ce qui nous amenait à nous interroger il y a quelques jours sur l'intrigante volonté farouche du parquet de Paris d'étiqueter le co-fondateur de Reflets comme cyber-criminel, ce qu'il n'est évidemment pas.

Quelle ne fut pas la surprise de notre envoyé spécial au coeur du Palais de justice, ce jeudi 8 mars, lorsqu'il découvrit la procureur... Il ne s'agissait pas moins de Myriam Quemener.

Pour situer Myriam Quemener, voici sa biographie sur le très sérieux site de l'IHEDN où elle interviendra le 15 mars prochain lors d'une conférence sur "L’enquête pénale à l’ère du numérique :

Myriam QUEMENER, magistrat depuis 1986, a occupé plusieurs postes notamment celui de sous-directrice de la Justice pénale générale à la Direction des affaires criminelles et des grâces au ministère de la Justice et substitut général au service criminel de la Cour d’appel de Versailles. Elle a été conseiller juridique auprès du Préfet en charge de la lutte contre les cybermenaces, conseillère du gouvernement dès septembre 2015. Depuis 2018, Myriam QUEMENER est avocat général près de la Cour d’appel de Versailles. Elle est également expert auprès du Conseil de l’Europe en matière de cybercriminalité. Myriam QUEMENER est chevalier de la légion d’honneur et officier de l’ordre national du mérite.

Le parquet avait mandaté la meilleure d'entre tous, l'experte en cybercriminalité. Elle ne pouvait être là que pour Olivier Laurelli puisque les autres affaires concernaient par exemple une sombre histoire de bonneteau sur la voie publique avec un préjudice monumental de... 20 euros. Et chacun sait que les travaux de Myriam Quemener ne portent pas sur le bonneteau.

Non, on allait voir ce que l'on allait voir, il ne serait pas dit que l'Etat laisserait la technique noyer le poisson d'un procès qui se devait d'être exemplaire.

Pour commencer, avec des gros sabots de parquetier, le ministère public a tenté d'obtenir une jurisprudence renforçant le passage obligé par l'ANSSI pour les lanceurs d'alerte. Elle a tout d'abord demandé à Bluetouff s'il se considérait comme tel. Ce à quoi il aurait pu lui répondre qu'il n'y avait pas de carte de membre... Pour ensuite expliquer qu'un texte avait encadré les actions des lanceurs d'alerte en matière informatique en 2016 et que Bluetouff aurait donc dû passer par l'ANSSI. Ce qui était fort à propos puisque les faits qui lui sont reprochés datent de 2011.

Bearstech héberge Elysee.fr ? Une information à prendre avec des pincettes

Et le parquet, en la personne de Myriam Quemener d'expliquer à la cour que Bluetouff s'auto-proclame à la fois expert en sécurité informatique et "justicier du Net" en publiant cet article sur une faille qui plombait des sites via des DDoS. L'envolée suivante était à la hauteur de LA spécialiste française en cyber-criminalité. "L'information selon laquelle Bearstech pour qui travaille M. Laurelli hébergerait le site de l'Elysée est à prendre avec des pincettes. Les sites d'importance vitale de ce genre sont sous le contrôle du SGDSN et de l'ANSSI", explique-t-elle doctement. Et pourquoi pas le site du Canard Enchaîné tant que l'on y est ? Quitte à faire dans la dérision en matière de références clients...

Une enquête poussée avec des moyens de cyber enquêteur permettent de vérifier cette information à prendre avec des pincettes :

Mentions légales de Elysee.fr - © Reflets - CC
Mentions légales de Elysee.fr - © Reflets - CC

Les mentions légales de l'Elysée n'ont pas dû prendre assez de pincettes.

Du droit et de la technique

Heureusement que Myriam Quemener était là ce jeudi. En effet, a-t-elle expliqué, lorsque le droit est confronté à la technique, les gens ont tendance à mettre en avant des points techniques pour noyer le tribunal et éviter la condamnation.

Elle a donc évité de parler de paquets UDP. Ce que la présidente avait pourtant fait, expliquant avec une grande précision technique la méthode d'attaque qui avait touché le site de la DGFiP. Pas plus que full disclosure ou de responsible disclosure, ce qu'a fait l'un des juges assesseurs. Pas plus que de DDoS par réflexion, ce qu'à fait la présidente. Non, Myriam Quemener a utilisé des arguments juridiques bien plus pertinents : remettre en cause la liste des clients de l'employeur d'Olivier Laurelli, où il exerce le rôle d'expert en sécurité informatique (auto-proclamé, évidemment).

Tout ça pour quoi, nous direz-vous ? Pas pour une affaire de bonneteau à 20 euros. Non. le parquet avait fait appel de la relaxe d'Olivier Laurelli parce qu'il avait avait été condamné en son absence à une amende de 500 euros. Ça, c'est un vrai montant qui vaut un appel. Je vous vois venir lecteur impatient...

Quelles ont été les réquisitions du parquet ? Que risque le co-fondateur de Reflets ?

Le parquet demande à la cour de condamner Bluetouff à une amende dont elle appréciera le montant.

Espérons que les juges sont plus indépendants et meilleurs experts en sécurité informatique que le parquet...

5 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée