Journal d'investigation en ligne et d'information‑hacking
par bluetouff

La justice des bots, c'est maintenant

Depuis quelques jours, l'affaire Krach.in fait couler pas mal de pixels. Si vous avez loupé les épisodes précédents, un blogueur a été condamné à 750 euros d'amende. Son crime ? Avoir rédigé des articles liés à la sécurité informatique, des articles précis, argumentés, démonstratifs, la seule manière de faire comprendre un problème de sécurité afin de s'en prémunir... et c'était bien évidement sur la prévention des risques que ces articles étaient ciblés.

Depuis quelques jours, l'affaire Krach.in fait couler pas mal de pixels. Si vous avez loupé les épisodes précédents, un blogueur a été condamné à 750 euros d'amende. Son crime ? Avoir rédigé des articles liés à la sécurité informatique, des articles précis, argumentés, démonstratifs, la seule manière de faire comprendre un problème de sécurité afin de s'en prémunir... et c'était bien évidement sur la prévention des risques que ces articles étaient ciblés.

L'affaire aurait pu être "banale", car nous sommes effectivement quelques uns sur le Net à avoir constaté le zèle que certains tribunaux mettaient à condamner des gens sur la base d'éléments dont ils ne pipent pas le moindre mot, ni le moindre concept.

On a reproché à Krach.in notamment un article sur le cracking de clés WEP... ne rigolez pas, en 2015, se voir reprocher d'expliquer l'insécurité du WEP c'est complètement délirant. Pour ceux qui dormaient au fond, on rappellera juste que ce protocole de chiffrement sans fil offre une protection théorique de 64 ou 128 bits, mais que comme 24 bits passent en clair, il est possible de déduire la clé de cette "protection" de fait réduite à 40 ou 104 bits, et même d'accélérer cette opération en injectant du traffic pour récupérer un maximum de données intéressantes (dans notre cas, des vecteurs d'initialisation qui serviront à déduire la clé de chiffrement). Des outils assez simples et complets comme Aircrack-NG  mettent en oeuvre ce type d'attaques, des attaques dramatiquement classiques comme le démontrent les 15 millions de pages référencées par Gôgleuh qui traitent du sujet.

Plus sérieusement, comme Krach.in l'explique dans son récit détaillé, c'est surtout du côté des fournisseurs d'accès Internet qui livraient encore il y a peu de temps des box avec du WEP pré-configuré par défaut qu'il y a des claques qui se perdent.

Mais là où on touche le fond, c'est quand on lit le récit du blogueur et la manière dont la "plainte" est arrivée au parquet. Il s'agirait d'un robot (un bot) qui se balade sur les sites web à la recherche d'infractions supposées. Il n'en faut pas plus apparemment pour provoquer une perquisition au domicile du blogueur. Oui, vous avez bien lu, une intelligence artificielle se balade sur le réseau à la recherche d'infractions et hop, vu que ça cause WEP, ça mérite bien une petite descente. Si tu es blogueur et que tu parles de Tor, c'est peut être le GIGN qui te pend au nez. On se gratte la tête, on se pose un instant, et on se demande d'un coup si ce bot n'aurait pas un lointain lien de parenté avec un projet dont nous vous avons parlé ici et dont nous reparlerons le moment venu. Toujours est-il que selon les propos du blogueur qui relatent ceux des gendarmes :

"ils sont obligé de traiter cette, plainte car elle vient d'une sorte de bot qui scanne le WEB FR et selon les contenus lève des infractions"

Un bot à la con mobilise donc les effectifs de gendarmerie pour aller faire la chasse aux blogueurs alors que le contre-terrorisme croule sous le travail... bravo, ça c'est une gestion intelligente et efficace ! A quand le bot qui ira parcourir Google Street View à la recherche de personnes qui ne traversent pas dans les clous ? A quand le bot qui épluchera leur compte Facebook pour évaluer le pourcentage de chances que tata Françoise morde la ligne blanche sur la N21 le 14 décembre 2017, histoire qu'on lui envoie le RAID le 13 décembre ?

Une absurdité pouvant en cacher une autre ...  et probablement soucieux de faire cesser la grave infraction qu'est d'expliquer pourquoi le WEP c'est de la merde (c'est vrai que ça ne fait "que" plus de 10 ans qu'on le sait), la gendarmerie lui demande de fermer son blog. "Monsieur vous démontrez trop bien un secret de polichinelle, mais nous sommes dans l'obligation de vous censurer intégralement"... Bienvenue en France en 2015 !

Le blogueur de Krach.in n'ayant pas les moyens d'aller au pénal (là encore on est probablement quelques uns à pouvoir vous expliquer que la justice accessible à tous est quand même vachement plus accessible quand on a quelques milliers d'euros en poche), il décide d'accepter une comparution sur reconnaissance préalable de culpabilité (CRPC). Et aussi délirant que ceci puisse paraitre de plaider coupable d'informer un public, même restreint, des dangers d'utiliser un chiffrement sans fil connu et reconnu comme faible et vulnérable, Krach.in espérait la clémence d'un juge qui comprend à minima de quoi on parle... monumentale erreur. Le procureur, demande une amende et 1 an sursis, en usant, comme à chaque fois que ça cause d'Internet, de comparaisons très bien senties avec un point Pedobear® inside :

"Il comparait le fait que je montre des techniques de hacking au fait de conduire une voiture à 250km/h alors que c'est interdit, juste pour montrer que cette vitesse peut être atteinte… »"Ensuite il a comparé ça avec des histoires de pédophilie"

Bilan : reconnu coupable (normal en CRPC), condamné à 750€ d'amende, blog fermé... Et un putain de bot un peu crétin qui saisit la justice pour des trucs d'une rare connerie pendant que nos effectifs de polices font la traque aux barbus qui ne sont pas adminsys.

Condamner Krach.in, ça revient à condamner l'Ange Bleu  pour pédophilie, c'est condamner la prévention, pas les criminels.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée