Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Moi, Kitetoa, ex cybercriminel, associé à un cybercriminel (pour l'instant)

Pas Sage en Seine a été l'occasion d'écouter deux conférences passionnantes. L'une de Zythom, un expert judiciaire spécialisé dans l'informatique et l'autre, de Maître Eolas. L'occasion également d'échanger avec eux par le biais des questions du public. Tous deux ont évoqué en profondeur ce que la justice considère comme une intrusion et un maintien dans un système automatisé de données. En d'autre termes, un piratage informatique.

Pas Sage en Seine a été l'occasion d'écouter deux conférences passionnantes. L'une de Zythom, un expert judiciaire spécialisé dans l'informatique et l'autre, de Maître Eolas. L'occasion également d'échanger avec eux par le biais des questions du public. Tous deux ont évoqué en profondeur ce que la justice considère comme une intrusion et un maintien dans un système automatisé de données. En d'autre termes, un piratage informatique. Je suis à la base d'une jurisprudence dite "Tati versus Kitetoa" qui est citée dans tous les congrès juridiques qui abordent ce sujet. Bluetouff m'a rejoint il y a peu après ses déboires avec l'ANSES. Etonnament, nous avons créé ensemble une entreprise, ./Rebuild.sh (qui édite Reflets), un comble d'ailleurs pour moi qui suis à l'entrepreneuriat ce que l'UMP est à la création de sites Web (sous Spip ou pas). Voici donc une entreprise, ./Rebuild.sh, qui est dirigée par un ancien cybercriminel (j'ai été condamné en première instance puis relaxé en appel) et un cybercriminel (relaxé en première instance, puis condamné en appel). Nous tablons tous, chez Reflets et vous amis lecteurs qui avez aidé à financer le pourvoi en Cassation, sur le fait que cette condamnation est provisoire. Après mes interactions avec Zythom et Eolas à Pas Sage en Seine, je voudrais revenir sur ce délit d'intrusion et de maintien. Les cybercriminels (pas Chinois) vous parlent...

Les deux intervenants ont expliqué qu'il n'existait pas de chambre spécialisée en informatique. Et même, plus ou moins clairement, qu'il est parfois consternant de découvrir le niveau informatique des magistrats (juges ou parquet). Ce que je peux confirmer. Toutefois, cela n'exclut pas que certains magistrats soient plutôt visionnaires et très au fait des problématiques informatiques.

Ainsi, dans l'affaire Tati versus Kitetoa, le parquet avait décidé de faire appel de ma condamnation. Il voulait éviter une jurisprudence du type de celle de Bluetouff qui introduirait une incertitude juridique pour tout internaute, qui, cliquant sur un lien Gogleuh, par exemple, se retrouverait dans un répertoire, celui-ci, dans la seule tête de l'admin, devant être privé alors qu'il n'est, dans les faits, pas protégé.

Il faut un lojin pour accéder à Gogleuh ?

Petit cours d'informatique pour ceux qui ne comprennent pas ce que je veux dire :

Dans un site Web (que j'appellerai une "application Web" par la suite), chaque répertoire, chaque fichier se voit attribuer des droits. Droits en lecture, ou pas, droits en écriture, ou pas (pour les modifier). Si un fichier doit rester privé, et n'être visible que par certains utilisateurs de l'application Web, alors, l'administrateur donnera des droits en lecture à ces seuls utilisateurs. Les autres ne pourront pas les afficher. D'où, par exemple, l'identification par login (l'utilisateur) et mot de passe sur certains sites ou certaines parties de l'application.

Cher lecteur, vous comprendrez aisément qu'il est impossible pour un internaute de deviner quels types de droits l'administrateur voudrait attribuer à un fichier dans un monde parfait alors qu'il attribue en fait des droits de lecture pour tous les utilisateurs...

C'est ce qui m'était arrivé, c'est ce qui est arrivé à Buletouff.

Ah ! Mais, nous dit-on, Bluetouff, comme moi, aurions dû nous douter que nous n'avions pas le droit de lire tous ces fichiers puisque l'application Web de l'ANSES (ou de Tati) disposaient d'un champ d'identification sur leur page d'accueil.

C'est là que je rejoins Maître Eolas et Zythom. Les magistrats manquent parfois d'une formation basique en informatique ou ne font pas assez appel à un expert judiciaire éclairé et neutre. Pourtant cela serait utile et éviterait des jurisprudences qui introduisent un risque juridique pour tous les internautes, au risque d'encombrer les tribunaux.

Car voyez-vous, il est possible que la page d'accueil contienne un champ d'identification mais que pour autant, certaines parties de l'application soient accessibles pour tous les utilisateurs.

Je m'explique avec un exemple et deux analogies, au risque de déplaire à Maître Eolas qui m'a reproché l'usage des analogies. J'avoue que c'est un peu casse-gueule, mais parfois utile.

Exemple : le site Reflets vous propose une identification par login/mot de passe. Pourtant, tous les articles sont en accès libre pour tous les internautes, même pour ceux qui ne disposent pas d'identifiant. D'autres parties du site ne sont pas accessibles à tous les internautes.

Analogie 1 : toutes les personnes qui sont dans un café peuvent y circuler librement. Les clients ne peuvent toutefois pas passer derrière le bar et toucher à la caisse, ni passer la porte sur laquelle est inscrit "Privé".

Analogie 2 : vous pourriez très bien aller à une fête et entrer dans la maison de la personne qui invite. Y circuler librement, y compris prendre des objets dans vos mains, les prendre en photo. Pour autant, l'accès aux chambres de la maison pourrait vous être interdit si le propriétaire en a fermé les portes à clef. S'il n'a pas fermé les portes à clef, que vous pénétrez dans une chambre en cherchant la salle de bain et que le propriétaire vous crie dessus en vous disant que vous n'avez pas le droit d'être là, vous sortirez sans doute de la chambre, mais ne manquerez pas de vous dire, ou de lui dire, que s'il avait fermé la porte à clef, ce ne serait pas arrivé.

Source de l'image : http://portail-maison.com | http://www.menuiserie-cardoso.com | http://www.zieglerbigmat.fr | http://www.avito.ma | http://ops-italpro.com | http://tutorcasa.it | http://www.passhabitat.fr | http://www.ouedkniss.com | http://i.ebayimg.com/ | http://b3emenuiseries.com | http://www.oryana.be | http://www.optimaferm.fr | Pour comprendre cette légende, lire : http://reflets.info/moi-kitetoa-ex-cybercriminel-associe-a-un-cyberminel-pour-linstant/#comment-487114

La cour d'Appel convient que Bluetouff n'a rien piraté. Pas d'intrusion donc sur le site de l'ANSES (qui n'est même pas partie civile, sachant bien combien elle a merdouillé). Pour autant, les juges qui prononcent Gogleuh au lieu de Google et "lojin" à la place de "login", retiennent le maintien. Si Bluetouff avoue avoir vu un champ d'identification sur la page d'accueil et qu'il n'a pas mis fin à son accès à l'application, c'est qu'il s'est maintenu.

Oui, mais non.

Rien ne permettait à Bluetouff de savoir si, dans l'esprit et dans l'esprit seulement de l'administrateur, les contenus auxquels il accédait devaient rester hors de vue d'un internaute normal. Bien au contraire : si Google a pu indexer ces contenus, c'est une indication contraire. Cela, pour quelqu'un qui a de vagues notions en informatique est une information qui pousse à penser que ces documents sont publics et à destination de tous. En outre, nous savons que si le serveur sert le fichier demandé, (un code 200), c'est qu"il est configuré par son administrateur pour fournir ce fichier. Une autre indication de son caractère public.

C'est donc là que l'on regrette que les magistrats ne s'adjoignent pas les compétences d'un Zythom ou toute autre personne qui pourrait lui expliquer cela. Pas seulement pour Bluetouff et son nouveau statut de cybercriminel, mais pour tous les internautes qui risquent de se retrouver dans son cas, y compris la maman ou les enfants de l'un des juges qui ont condamné Bluetouff. Et c'est bien dans cet esprit, pour protéger les internautes d'une mauvaise jurisprudence, comme l'avait fait le parquet en son temps pour moi, que l'équipe de Reflets se pourvoit en cassation. Espérons que les quelques magistrats qui comprennent ces enjeux jurisprudentiels et qui ont des compétences informatiques pourront expliquer dans les couloirs de la cour de Cassation, de quoi il retourne... Les cybercriminels, Chinois ou pas, ne sont peut-être pas toujours ceux que l'on croit...

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée