Moi, Kitetoa, ex cybercriminel, associé à un cybercriminel (pour l’instant)

Pas Sage en Seine a été l’occasion d’écouter deux conférences passionnantes. L’une de Zythom, un expert judiciaire spécialisé dans l’informatique et l’autre, de Maître Eolas. L’occasion également d’échanger avec eux par le biais des questions
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

54 thoughts on “Moi, Kitetoa, ex cybercriminel, associé à un cybercriminel (pour l’instant)”

  1. D’autant plus que gloogle avait deja cache les liens, avec toute la discretion connue de cette entite…
    Style, gloogle c trop gros, on lache le morceau, mais un quidam c facile, on se lache dessus.
    C pitroyable

  2. L’informatique et les fichiers récupérés par Bluetouff prouvent qu’il s’est « maintenu dans le système de données » de l’ANSES. Comme n’importe qui pouvait le faire, dans cette partie ou d’autres de l’application Web de l’institution.

    La grande question (qui décidera de son statut de « cybercriminel ») est, comme l’a évoqué Me Eolas à PSES, l’aspect « moral » du texte de loi : est-ce que Bluetouff a navigué dans cet espace sans savoir qu’il n’avait pas le droit, ou est-ce qu’il l’a fait « frauduleusement »…

    Comme le rappelle Eolas, ce sont souvent les propos mêmes des hackers qui servent de base pour constituer le délit (et leurs interprétations).

    1. Ma réponse va sembler un peu bébête mais non, je n’ai pas eu conscience de faire quelque chose de mal en me maintenant dans un espace manifestement public :

      J’insiste sur le terme « manifestement », car ce dernier ne contenait ni fichiers systèmes, ni données personnelles…. il contenait, comble du comble, des documents issus de la recherche publique sur des questions de santé publique, que l’on retrouve aujourd’hui encore sur Google Docs !
      Donc non, pas un seul instant je pouvais me dire que ces document devaient être privés, il n’avaient rien de privé et encore moins de « confidentiels ».

      Le fond de ma pensée, c’est que l’incompétence manifeste de la cour d’appel en matière d’Internet est une excuse rêvée pour « se taper un bluetouff » ni vu ni connu. On ne me hôtera pas de l’idée que j’ai atterri dans cette chambre (qui n’est évidemment normalement pas celle qui juge les affaires liées aux nouvelles technologies) par hasard.

      1. Cette description que vous faites me parait moins alambiquée que celle de Kitetoa (le fait d’être des experts dans une question rend parfois fermé aux explications simples).

        Elle n’est donc justement pas bébête du tout : J’entre dans une bibliothèque scientifique en recherche d’étude pour sustenter des articles, et je découvre une montagne de documents hyperintéressants PUBLICS que je vais donc copier pour future analyse… Et, comme cela arrive souvent, l’info est dispersée dans pleins de documents, ce qui m’amène à en copier plein. Note perso : a aucun moment je ne vais pouvoir même imaginer que des rapports publics d’une entité officielle vont être d’accès restreint, pourquoi diable !!!

        Il me semble d’ailleurs que les fameux documents sont à présent en accès libre, ce qui semblerait indiquer que leur accès n’aurait jamais dû être restreint.

        Juste une dernière remarque que je n’ai vu écrite nulle part par les tenants des droits d’auteurs : bien en deçà de la notion de « lojin », il est éthiquement de bon ton de mentionner en clair l’origine des citations dans les articles qui en découlent, ce que Bluetouff a fait, et pourquoi il s’est fait repérer.
        En somme Bluetouff dans cette histoire est accusé d’être honnête, ce qui est un comble.

        1. Concernant le téléchargement qui a tant choqué les juges, il y a une raison toute simple à ça : une fois sur ma machine en local, mon système d’exploitation indexe le contenus des documents, je peux donc rechercher un terme et mon moteur de recherche me sortira les occurrences qui se trouvent dans les .ppt, des pdf, des .doc… chose qui n’est pas possible sur le serveur distant.
          Mais allez expliquer ça de manière sereine après avoir écouté pendant plus d’une heure un juge qui ne comprend pas ce qu’il lit, qui l’avoue, et qui n’arrive même pas à prononcer login et Google…

      2. Bonjour Bluetouff,

        Je ne doute aucunement de ton honnêteté, mais est-ce que cette honnêteté t’a-t-elle poussée à tenter d’expliquer en GAV des trucs techniques qui ont été retenus contre toi durant ton procès ?

        Comme le dit souvent Eolas, le droit de garder le silence est a utiliser sans modération ^^

        Quand au hasard… J’y crois à moitié.

        Tu es un peu une cible à abattre pour certaines entreprises peu scrupuleuse et pour le marchand d’armes qu’est l’État français. Une condamnation permettrait de pouvoir justifier la surveillance de ton système. Pour moi, le côté folklo du truc n’est que là pour cacher un problème politique.

  3. Il me semblait qu’une part du problème résidait dans le fait que les documents en question est marqué comme confidentiel. J’ai mal compris ?

    Parce que, de fait, peu importe si vous trébuchez par hasard dans une rue totalement publique sur un document papier offert à la vue de tous : S’il est écrit « confidentiel défense » dessus (ou autre confidentialité du même genre), il est tout de même illégal d’en prendre connaissance.

    Peu importe que la personne en charge de la sécurité dudit document a fait preuve d’une négligence manifeste.

    1. Non les documents n’étaient pas marqués comme confidentiels, et mieux, il est consigné dans les PV, sur déposition de l’ANSES que ces documents n’avaient pas de caractère confidentiel, il s’agit d’un mythe colporté par quelques articles, la réalité, c’est exactement l’inverse, on parle bien de documents de recherche publique, non confidentiels.

    1. Ce commentaire sur korben.info répond, peut être, à ta question.

      « […] A noter que Maitre Eolas, le vrai, a aussi fait une conf excellente samedi soir mais n’est pas (encore) dispo en replay,
      gros fail quand son Pc s’est mis en veille, au retour de l’écran de déverrouillage windows il y avait son nom et prénom… ils vont sans doutes éditer la vidéo avant de la mettre en ligne. »

  4. Pour éviter les confusions, à l’avenir, je vous propose que nous utilisions mieux la langue française et remplacions ainsi « login » par « identifiant ».
    Les mekeskidi devraient ainsi être un poil moins perdus.
    Il en va de même pour une grande partie de notre jargon d’informaticien.
    Ça demande un petit effort intellectuel mais je suis persuadé que le jeu en vaut la chandelle.

    P.S.: oui, pour Gogleuh, il n’y a pas grand chose à faire…

  5. Pour qu’ils puissent comprendre où se situe une partie du problème, ils devraient faire juger une ou deux affaires par des informaticiens, histoire de voir à quel point ça peut-être énervant de voir quelqu’un qui ne maîtrise pas son sujet (ici le droit, en supposant qu’ils ne tombent pas sur un geek qui ait appris le droit entre deux configuration de serveurs en bouffant de la pizza) voir régler un problème qui demanderait une expertise approfondie.

    Je trouve cela dommage, et on l’a développé dans les commentaires des articles sur le sujet à l’époque, qu’il n’y ait pas au minimum un expert qui maitrise le sujet pour faire l’interface entre le juge et la personne jugée.

    Il y a le droit, il y a la vieille loi sur l’intrusion machin certes, mais c’est tout. Et rien ne permettait en l’état d’apprécier correctement les faits.

    Qu’il y ait des gens qui ne perçoivent toujours pas où se situe le problème m’attriste. Si une décision est rendue sur une compréhension partielle des éléments, je la trouve problématique.

  6. Il y a une chose que je ne comprends pas, enfin, qui me parait illogique.

    Comment se fait-il qu’un juge puisse juger une affaire qu’il ne comprend pas ?

    Si je ne me trompes, tout accusés à droit à un procès équitable.
    Pour qu’il le soit, le dit procès devrait être jugé par un Juge ayant les connaissances nécessaire pour mener à bien cette affaire.

    N’y a t-il pas un moyen de prouver que le juge est incompétent (si il l’est vraiment) pour juger une telle affaire, et donc de demander un juge différent, qui ai les connaissance requise ?

  7. C’est vrai ce que dit Me Eolas, les analogies, ça peut être casse-gueule. Par exemple, on peut répondre à l’analogie 1 en disant : « Pourtant, aucun écriteau ne vous interdit l’accès à la caisse, ou derrière le bar, pourtant vous SAVEZ qu’il faut pas y aller »…
    Pour moi, il faut leur parler d’un truc avec lequel on nous a bassiné assez longtemps qu’aucun juge, aussi inculte en informatique soit-il, ne peut prétendre ne pas savoir : la loi HADOPI. Et notamment son volet concernant l’infraction de « négligence caractérisée », commis par un internaute qui manque à ses devoirs de sécurisation de son accès internet. Il est évident ici que l’ANSES est coupable de cette infraction. On porte plainte? Ce serait un procès intéressant.

    1. Si je ne m’abuse, la négligence caractérisée n’innocente pas le vrai téléchargeur.
      Si Raymond laisse un wifi ouvert aux quatre vents et que Bernard utilise ce wifi pour télécharger illégalement, Bernard peut également être inquiété par la justice si on lui met la main dessus.

      Je pense que les juges ne sont pas assez bêtes pour ne pas prendre la « négligence caractérisée » pour ce qu’elle est: un simple patch pour éviter que tout le monde utilise le loophole: « c’est pas moi, c’est bien ma ligne, mais c’est un hacker introuvable qui a fait le coup ».

      Je pense que c’est le cas dans l’affaire Bluetouff aussi: je pense que la décision rendue l’a été justement parce que les juges sont moins cons qu’ils en ont l’air, et que Bluetouff n’a pas réussi à les convaincre qu’à aucun moment, il s’est posé la question d’une erreur de l’admin alors qu’il publie régulièrement des articles montrant des cas similaires.

      1. Bluetouff a gagné son procès quand même : il a été relaxé…
        Ce n’est qu’en appel, qu’il a perdu, et pas contre l’ANSES, qui avait lâché l’affaire, mais contre le parquet.

        La mauvaise foi a une limite.
        Et la volonté de certains est en cause dans cette affaire, il ne faudrait pas se tromper de cible.

        1. Pas compris le lien.
          Justement, dans la comparaison de kedamawi, ANSES est le type qui n’a pas sécurisé son wifi. Le parquet a fait appel parce qu’il a considéré que le type qui avait piraté le wifi était aussi condamnable.
          Quant à l’appel, il fait partie des procédures judiciaires normales: si tu gagnes en appel, tu es innocent même si tu as été prononcé coupable la première fois: la première fois était donc une erreur. c’est pareil dans l’autre sens: si tu perds en appel alors que tu as gagné la première fois, la première fois était donc une erreur.

  8. « Cela, pour quelqu’un qui a de vagues notions en informatique est une information qui pousse à penser que ces documents sont publics et à destination de tous. »

    L’existence du principe de maintien frauduleux est justement compréhensible qu’UNIQUEMENT si les documents sont publics (et s’ils sont publics, il est ensuite facile de dire: à destination de tous).
    Si ce n’est pas le cas, l’existence du maintien frauduleux en droit n’a aucun sens et aucun intérêt, car toutes les autres possibilités impliquent une fraude plus grave.

    Le maintien frauduleux n’est là que quand il y a eu, en plus, une autre erreur:
    – cela peut être l’admin
    – cela peut aussi être un utilisateur (par exemple, un juge qui prononce lojin) qui a placé ce document là en passant que le répertoire n’était pas public (tandis que l’admin n’avait pas de raison de penser que l’utilisateur se trompait)

    La question du maintien frauduleux est donc: est-ce que quelqu’un de raisonnable se serait-il dit: « tiens, est-ce que ces documents ne sont pas là par erreur ? ».
    Du coup, l’argumentation « s’ils sont là, c’est qu’ils sont publics » est à côté de la plaque.

    Pour le reste, plus important que ces détails, ce qui compte vraiment c’est la défense et tout ce qui a été dit.
    Si lors du procès (ou lors de l’arrestation) (ou lors de la publication), Bluetouff a sous-entendu qu’il s’est douté à un moment ou un autre que l’admin avait fait une erreur, alors, c’est mort pour Bluetouff, et les juges ont bel et bien bien fait leur boulot.
    Par exemple, il ne suffirait que d’un « apparemment, c’était journée porte ouverte sur les serveurs de l’ANSES » dans l’article originel (à propos, si qlq’un a un lien vers celui ?)

    1. J’avais initialement posé une question (en me trompant de position de réponse) mais finalement votre post est plus intéressant encore en ce qu’il souligne l’aspect foireux de la notion de maintien frauduleux, et comment on a pu en arriver à une interprétation encore plus foireuse dans le cas Bluetouff.

      Vous écrivez :
      « Le maintien frauduleux n’est là que quand il y a eu, en plus, une autre erreur:
      – cela peut être l’admin
      – cela peut aussi être un utilisateur (par exemple, un juge qui prononce lojin) qui a placé ce document là en passant que le répertoire n’était pas public (tandis que l’admin n’avait pas de raison de penser que l’utilisateur se trompait) »

      On notera au passage que parler de « maintien frauduleux » sans « accès frauduleux » est assez gonflé, et c’est probablement le sens de ce que vous écrivez.

      A cela cependant j’ajouterai une troisième possibilité : qu’il n’y a eu aucune erreur. En effet, quid du cas ou les documents sont effectivement d’accès public (n’est-ce pas la vocation de l’ANSES d’informer le public – qui paye ce service avec ses impôts – sur tout ce qui est « sécurité sanitaire de l’alimentation, de l’environnement et du travail ») et considérés comme tels par les fonctionnaires de cette administration.
      Dans ce cas ce serait leur mise en zone restreinte qui serait une erreur… Encore plus si ce n’était même pas le cas (ça devient kafkaien, une aspirine s’il vous plait).

      Note intermédiaire, le fameux site : http://www.anses.fr/fr ou il parait qu’il y a un « login ». Effectivement il y a dans le menu un « Mon compte » qui mène à quelque chose dans ce style, mais qui n’introduit aucune restriction : n’importe qui peut s’inscrire.

      La description complète que vous faites dans votre post paraît assez proche de l’attitude qui transparait de la décision des juges. Et cela soulignerait aussi à quel point cette affaire kafkaïenne ressemble à du taillé sur mesures et invente un délit à partir de rien, or ça ce n’est pas le travail des juges.

      1. Hm, je ne suis pas sur que le maintien frauduleux soit un concept si « kafkaïen » que ça.

        Imaginons que le maintien frauduleux n’existe pas:
        je peux dès lors passer mon temps à scanner régulièrement tout les répertoires des « opérateurs d’importance vitales » (google le fait pour moi), et, dès que je vois une erreur d’admin, je peux y aller, tout télécharger, et tout diffuser sur internet.
        Et ceci totalement légalement. RIEN ne peut m’être reprocher.
        Alors que non seulement moralement, il y a une vraie intention malhonnête, mais pragmatiquement, c’est un acte très néfaste.
        On notera que l’erreur de l’admin passe de « malveillance » à « catastrophe », et cette différence n’est pas à cause de l’admin lui-même ou des circonstances, mais de l’acte malveillant de la personne qui a pris les données.

        Je n’arrive pas à trouver un seul autre cas où ce genre de chose est accepté par la justice.
        Par exemple, c’est pour ça qu’il y a des sanctions contre l’escroquerie, l’abus de faiblesse / de confiance, …

        Bref, pour moi, l’absence de maintien frauduleux signifie que qlq’un peut commettre des actions aux intentions malhonnêtes, ayant des conséquences qui peuvent être graves, et ne pas du tout être inquiété par la justice pour ses actes car il a profité d’une faute d’un autre.
        Ce serait plutôt cette situation que je rapprocherais d’une situation kafkaïenne, où la règle est appliquée à l’opposé du bon sens.

        1. Je vois que vous êtes un homme (ou une femme) très habile, et qui a parfaitement compris ce à quoi je faisais allusion.

          Je donnerais donc un exemple vrai (pas imaginé comme le vôtre, je n’ai pas vos moyens) qui m’est arrivé à moi (il y a prescription) lorsque je travaillais comme sous-traitant pour le métro de Lyon.

          Un soir donc je travaillais sur une annexe technique assez urgente et ai décidé de passer toute la nuit sur le cas.
          Sauf qu’à 22H30 pile, tout s’est éteint, lumière, PC, tout. Je me suis retrouvé dans le noir total, avec la conscience immédiate d’être au mauvais endroit et au mauvais moment. Pour être tout-à-fait précis, j’étais en train de commettre un MAINTIEN FRAUDULEUX, mais bien sûr sans avoir commis d’ACCES FRAUDULEUX.

          Pour finir l’histoire, j’ai erré un moment dans ce lieu obscur et désert jusqu’à trouver une fenêtre non verrouillée que j’ai ouvert, faisant hurler une sirène d’alarme, et j’ai sauté dehors…

          Hors donc selon vous j’étais coupable d’une bassesse pire que celle de Bluetouff puisque la mienne était en plus physique (tain, je l’ai échappée belle)…

          Vous pouvez donc « passer votre temps à scanner régulièrement tous les répertoires des opérateurs d’importance vitales » si vous n’avez rien de mieux à faire dans la vie, cela ne prouve pas que Bluetouff soit un criminel voulant « commettre des actions aux intentions malhonnêtes ».

          A moi il me semblait que les juges, avant d’être adroits, devaient être droits. Je suis vieux jeu, certainement.

          1. Hein ?
            Pour que ce soit un accès frauduleux, il faut que les juges soient convaincus, après l’audition du procès, qu’il y a eu intention frauduleuse: que la personne savait qu’elle ne devrait pas, mais a continué.
            Or, dans votre cas, vous êtes parti (c’est l’équivalent du cas où Bluetouff se déconnecte immédiatement après avoir vu qu’il y avait p-e une erreur de protection), et vous arriverez facilement à convaincre les juges qu’il n’y a pas eu d’intention frauduleuse, vu que les faits vont dans ce sens.

            Reprenons votre exemple: lors de la fermeture des lumières, si vous aviez soudainement eu envie de copier des documents qui étaient normalement interdit d’accès mais maintenant accessible à cause de la panne, selon vous, cela veut dire que vous auriez pu le faire totalement légalement.

            Je pense qu’il y a trop d’émotionnel dans votre raisonnement: vous êtes favorable à Bluetouff (comme moi, d’ailleurs: la stupide accusation de vol va sans doute finalement heurseument lui permettre de sortir de là, tandis que les juges veulent à mon avis « faire un exemple » avec son cas).
            Mais si vous prenez du recul, vous verrez que le principe de maintien frauduleux n’est pas stupide, il est là pour empêcher qu’un acte malintentionné soit légal.

          2. Intéressant le « hein ».

            Le fameux soir en question, comme vous pouvez vous l’imaginer, je ne suis pas resté sur les lieux (du crime ?).

            La raison, très émotionnelle certainement, est qu’avec mon patronyme et mon facies de métèque j’étais bon pour une nuit au poste au minimum, et aussi au minimum quelques emmernuis dont entre autre la perte de mon job. Mais bien sûr au final j’aurais convaincu les juges « qu’il n’y a pas eu d’intention frauduleuse ».

            Bref le cadavre aurait été sain. Voilà comment fonctionnent les choses avec cette police et cette justice d’une intégrité immaculée. Autrement dit les frontières ne sont pas ou vous dites qu’elles sont, et en plus elles sont affectée d’une hystérésis assez importante.

            « Vous êtes favorable à Bluetouff », j’aime bien Reflets, sauf qu’en l’occurrence je suis surtout favorable à moi : la recherche documentaire sur la ouaibe est la base de la connaissance de beaucoup, dont moi. Or rechercher une information est comme filtrer le sable d’une rivière pour y trouver des pépites : on brasse des documents soit disant professionnels pour en retirer bien peu, voire même seulement une étincelle [je feindrai de croire que vous ignorez de quoi je parle].

            Le chercheur d’or dont je parle n’a ni raisons ni moyens de se demande si ce que startpage lui a craché est autorisé ou sacrilège. Ce qui signifie qu’inévitablement et systématiquement il se retrouvera dans le cas Bluetouff a chaque nouvelle recherche. Bonjour la jurisprudence, cela va faire un paquet de pédoterroristes à poursuivre.

            Mais je vous reconnais effectivement l’explication de la notion théorique et en noir et blanc du « Maintien frauduleux »
            A présent retournez donc vous coucher, drapé(e) dans votre dignité.

    2. @J-C

      Tiens, revoici notre troll…

      Dites, des documents publics, selon les propres termes de l’ANSES, disponibles encore aujourd’hui via Googledocs, c’est public ou pas public ? Vous les rangez dans des répertoires qui, dans votre esprit uniquement, sont privés ? Dans des répertoires qui sont privés parce que vous avez des droits ad hoc ? Dans des répertoires publics ?

      Comment décidez vous à la lecture de documents publics qui ne sont pas marqués comme confidentiels, que ces documents « ne devraient pas être là » ?

      1. > Tiens, revoici notre troll…

        J’imagine que je dois ressentir le même sentiment que vous, lorsque vous intervenez une vingtième fois en commentaire d’un article de journal en disant: « un hacker n’est pas un black hat comme votre article le dit » et qu’on vous traite de troll.
        Si j’interviens ici, c’est parce que je crois sincèrement que cet argument « il y a eu une erreur de l’admin » et « ces documents étaient publics » sont à côté de la plaque pour contrer l’accusation de maintien frauduleux.

        > c’est public ou pas public ?

        La question n’est pas de savoir si les documents sont publics ou pas publics, mais s’il y a maintien frauduleux ou pas.
        Le maintien frauduleux dit simplement: si j’ai l’impression que j’accède à des documents non publics, je laisse tout tomber et je m’en vais.
        Bluetouff n’a PAS eu cette impression et devrait être reconnu innocent.
        Mais lors de son procès, les juges ont été convaincus que Bluetouff a eu cette impression et que maintenant il nie pour éviter d’être condamné. Par exemple, ils doivent considérer Bluetouff suffisamment expert en sécurité informatique pour reconnaitre une situation où il y a des chances que ce soit public due à une erreur de l’admin.

  9. Heu il me semblait qu’il avait avoué s’être rendu compte que ces documents n’étaient pas censés être public en revenant en arrière dans l’arborescence du site. D’où le « maintien frauduleux » sans « accès frauduleux ». J’aurais louper un détail ?

  10. « L’existence du principe de maintien frauduleux est justement compréhensible qu’UNIQUEMENT si les documents sont publics (et s’ils sont publics, il est ensuite facile de dire: à destination de tous) » … d’où découle le reste du discours.
    C’est une thèse intéressante : l’auteur de cette maxime pourrait-il nous expliquer comment et pourquoi des documents publics pourraient « ne pas être à destination de tous » ?

    1. > l’auteur de cette maxime pourrait-il nous expliquer comment et pourquoi des documents publics pourraient « ne pas être à destination de tous »

      Je n’ai pas compris la question.
      Je dis simplement: si les documents sont publics, forcément, ils sont à destination de tous.

      Le problème dans cette affaire, ce n’est pas de savoir si les documents ont été rendu publics ou pas (par l’admin ou par l’utilisateur, par erreur ou pas), mais de savoir si Bluetouff a eu un moment un doute sur le fait que ce status public avait été fait par erreur.

      C’est ça le maintien frauduleux: quand on se rend compte qu’on est là alors qu’on nous a invité à rentrer par erreur, et qu’on ne fait rien pour clarifier les choses.

      Savoir si Bluetouff a fait ça, c’est très très difficile à déterminer, car évidemment, maintenant, il devrait être stupide pour dire que c’était le cas. Je pense qu’il est possible qu’il ait donné l’impression au juge, durant la procédure et sans s’en rendre compte, que c’était le cas.
      Comme le dit Tom, Bluetouff a affirmé avoir remarqué qu’une arborescence supérieure était protégée. Ce qui n’implique pas que les documents sont forcément publics par erreur, mais on peut imaginer que les juges ont considérés que ça aurait du mettre la puce à l’oreille d’un informaticien ayant l’habitude de voir des erreurs de ce genre.

      1. Si je ne me trompe pas, Maitre Eolas à pas sage en seine a bien précisé que le maintien était frauduleux que si on avait conscience d’être là où on ne devait pas être. Et il faut en être sûr. Un doute ne suffit pas. Si on doute, c’est qu’on ne sait pas.
        Donc même si les juges ont considéré que ça aurait du lui mettre la puce à l’oreille, ça ne veut pas dire qu’il en était sûr.

        1. Merci beaucoup de la précision.

          C’est alors là-dessus que Bluetouff devrait combattre le maintien frauduleux (et pas sur le fait que les documents sont publics ou que l’admin a fait une erreur).

          1. Les deux sont nécessaires. L’admin a fait une erreur. Les documents étaient publics (au sens qu’ils étaient disponibles publiquement), alors qu’il n’aurait pas dû.

            Mais Bluetouff n’avait aucune façon de le savoir : le login/mot de passe n’assurait pas que les documents auraient dû être inaccessible. Et surtout, ils avaient l’air publics (cette fois au sens qu’ils avaient vocation à être diffusé), car ils venaient d’une agence publique, qu’ils ne contenaient aucune donnée public et qu’ils étaient, pour certains, disponibles sur d’autres sites publics. Et c’est ce point là qui sert à dire « Mais comment aurais-je pu savoir qu’ils étaient privé ? »

          2. On est bien d’accord sur beaucoup de choses.

            Et je trouve ces éléments bien plus pertinents que de répéter inlassablement « il y a eu erreur de l’admin » et/ou « les documents étaient publics ».

            Mais:
            –  » ils avaient l’air publics ». Je bosse dans une agence publique, j’ai des répertoires privés, qui contiennent 90% de données publiques et 10% de données confidentielles. Si qlq’un se base sur 10 documents pour en déduire que les 8 Go du répertoire sont publics et qu’il peut les télécharger, cela pose problème.
            – « le login/mot de passe n’assurait pas que les documents auraient dû être inaccessible ». C’est sans doute le point qui me dérange le plus: moi ça m’aurait clairement mis la puce à l’oreille et j’aurais cherché plus d’information pour clarifier les choses. Bon, il est maintenant clair que je n’étais pas là.

            C’est effectivement des éléments qui justifient que Bluetouff a réellement pas eu d’intention malhonnête.
            Mais comme déjà dis: tout se joue sur le déroulement du procès: certaines déclarations ont p-e convaincu les juges.

  11. Deux choses :

    – Il n’y a pas besoin d’analogies plus-ou-moins foireuses pour le formulaire de login. N’importe quel site web aujourd’hui mets un gros formulaire de login sur sa page d’accueil, ce qui n’empêche pas plein de pages du site d’être publiques. C’est vrai mêmes des gros sites connus de tous comme Twitter, Facebook, Flickr, …

    – Si Google a indexé ces documents, c’est qu’il a trouvé quelque part qu’il considère comme public* et qu’il avait déjà indexé, un lien direct vers ces documents.

    Maintenant, si cette jurisprudence passe, faudra en profiter, et démontrer sa bêtise en même temps : par exemple imaginons que j’ai accès à certains documents uniquement depuis mon ordinateur au labo, par exemple des articles de recherche qui sont sinon derrière des paywalls, au hasard. Et que je me fasse une petite interface web pour demander à un ordi dans mon labo d’en récupérer pour moi quand je suis à l’extérieur et que je ne peux pas faire de tunnel ssh, proxy, ou vpn. J’ai juste à mettre un formulaire de login au dessus et à penser très fort dans ma tête que je veux que ça soit privé, et hop, je suis dans la légalité la plus totale, et les utilisateurs potentiels du service le font à leurs risques et périls à eux (mais comme je serais naze en config, je foirerais un truc et ne garderais pas de log des visites ou utilisations, damned). Faut avouer que ça serait con, mais bon, moi je ne craindrais rien du tout, merci bluetouff :-).

    * donc a priori, pas dans dans un email d’un utilisateur de Gmail par exemple, mais ça vaudrait le coup de faire des expériences pour éclaircir cela…

    1. Attention, comme pointé par Maitre Éolas, les juges ont reconnu que les documents étaient accessibles publiquement.
      Ce qui est reproché, c’est que d’après les juges, et d’après ce qu’ils ont entendu lors du procès, Bluetouff aurait compris que les documents étaient publics par erreur mais les a quand même pris.

      De même, l’ANSES est coupable de sa faille, le jugement de Bluetouff ne change rien à ça.
      Si tu fais ça, non seulement toutes personnes qui se maintien sur ton espace après avoir vu que tu avais apparemment voulu que ça soit privé sont en tort pour maintien frauduleux, mais en plus, tu es en tort pour la faille, et l' »ayant droit » du papier peut te poursuivre en justice.
      En d’autres termes: la culpabilité de Bluetouff n’implique en rien que dans ce scenario, ce que tu fais est légal.

      1. Ce qui dérange les non initiés au droit ici c’est que la loi se substitue au rôle de l’admin.

        Grosso modo aucun besoin de protéger ses propres contenus (je dis bien ses propres contenus, donc l’ayant droit n’est autre que soi même), il suffit de soi même les considérer privés pour être protégé par la loi de ceux qui voudrait s’en emparer.

        Dès lors on peut imaginer des détournements pervers : on place un « honeypot » de contenus non protégés mais considérés privés et on attaque en justice tout ceux qui viennent se servir. On s’approche un peu des excès de la justice américaine où les procès sont souvent plus proche d’une opération économique qu’une véritable affaire de justice.

        Du coup ça voudrait dire qu’à chaque lien visité l’utilisateur doit de se poser la question « Ai-je le droit d’accéder à ça ? », c’est déporter le travail de l’admin sur l’utilisateur. C’est comme si on virait tous les panneaux sur la route et qu’on laissait la circulation à la bonne appréciation des automobilistes tout en gardant les gendarmes qui mettent des prunes à tout ceux qui ne font pas le bon jugement. (désolé pour l’analogie mais tout le monde y va de la sienne apparemment)

  12. Tiens en parlant de ce qui est légale et illégal, j’ai entendu un autre terme, dans une conf de maitre Iteanu et Kitetoa: le terme en question est « Allégal ».
    C’est à dire, pas encore « légal », mais qui vas le devenir, grâce à de nouvelles lois.
    Cela concernait les écoutes de journalistes, et les différentes méthodes de barbouzerie utlisées, comme le honeypot, infiltration dans les forums de discussion etc…
    Maitre Iteanu disait dans cette conf, « qu’ils avait réussit à rendre légale la barbouzerie ».

    Si un jounaliste a été victime de ce genre d’abus, peut-on les attaquer en justice quand même? sachant que c’est une atteinte à la liberté de la presse.

    Maître Iteanu et Kitetoa vous en pensez quoi ?

    Je cite plus haut:
    «on place un « honeypot » de contenus non protégés mais considérés privés « et on attaque en justice tout ceux qui viennent se servir ».»

    Pas con, ca pourrait donner des idées à certaines personnes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *