#Scoop, #EXCLU : des documents qui peuvent tuer toute la planète en accès libre sur l’Internet

Nous l’avons vu dans un article précédent, l’auteur est un (ex)cybercriminel , il est donc taquin. Souvenez-vous, en appel, les juges demandaient à Bluetouff s’il n’avait pas peur de tuer toute la planète en téléchargeant les documents de l’ANSES. Horreur ! En faisant une ou deux recherche, Reflets vient de découvrir que des documents de l’ANSES qui peuvent tuer toute la planète sont librement accessibles sur Internet, encore aujourd’hui. Que font la police, le parquet, le président de la république, Interpol et la NSA ?

L’article publié par Bluetouff sur Reflets, et qui est au centre de toute l’affaire était titré « Cas de légionellose à proximité des centrales nucléaires« .

Dans son article succinct, Bluetouff indiquait « Si les faits sont connus, les documents que nous vous présentons aujourd’hui le sont moins. Ils sont pourtant librement accessibles sur le Net. » Le lecteur avisé comprend de cette phrase que l’auteur n’avait pas conscience que ces documents, dans l’esprit de l’administrateur du site de l’ANSES devaient rester hors de la vue des internautes. Sinon, pourquoi écrire cela ? Mais revenons à notre petite enquête.

Première interrogation, ce sujet est-il traité par l’ANSES, de manière publique ? Pour le savoir, notre grand reporter Jean Durand est allé s’inscrire sur le site de l’ANSES :

inscription-anses

L’ANSES demande à notre grand reporter quels sont ses sujets préférés.

inscription2-anses

Puis, propose des sujets de lecture. C’est bien fichu, hein ?

inscription3-anses
Mais les documents sur la légionellose et les centrales nucléaires ?

Patience ami lecteur, les voici :

legionellose-anses

De quoi tuer toute la planète encore une fois. D’ailleurs les conclusions de l’ANSES ne sont pas rassurantes…

docs-anses-aujourdhui

Un air de ressemblance avec ceux publiés par Bluetouff sur Reflets ?

docs-anses-qui-tuent

Mais ce n’est pas tout, on retrouve ces documents sur le site de l’Afssa, l’ancien nom de l’ANSES. L’Afssa avait même fait un communiqué de presse à l’occasion de la publication de ce rapport sur la légionellose et les centrales nucléaires :

communique-afssa-anses

Pire, on retrouve des documents qui étaient dans la liste de ceux publiés sur Reflets sur Google docs :

google-docs-anses

Pour finir, Reflets aimerait pointer vers un article sur le blog de Bluetouff qui utilise également des métaphores.

Deux analogies avaient été exposées dans l’article sur les cybercriminels qui dirigent ./Rebuild.sh, la société qui édite Reflets. Mais l’article du blog de Bluetouff devrait vous amener un peu plus loin encore. Il vous permettra de comprendre pourquoi il était impossible de se douter que ces  documents n’étaient pas destinés à être visionnés par le grand public. Vous allez voir qu’une authentification sur un CMS n’a rien à voir avec une requête GET sur un Apache. A première vue, ça paraît étrange comme truc, mais c’est assez simple, vous verrez.

Et si c’est trop compliqué, allez sur le site de l’ANSES, tous les sujets qui ont valu à Bluetouff ses ennuis avec la justice y sont publiquement accessibles. Sans authentification de quelque sorte que ce soit.

 

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


27 thoughts on “#Scoop, #EXCLU : des documents qui peuvent tuer toute la planète en accès libre sur l’Internet”

  1. C’est bien beau tout ça (enfin, c’est une expression…), mais du coup… pourquoi faire tant de bruits sur la « fuite » de ces documents ?

    D’ailleurs, vous vous êtes donné du mal en vous inscrivant et tout, sur le site de l’anses on peut directement rechercher les documents depuis leur bouton « Avis, rapports, publications » (qui pouvait s’en douter?)

    http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine?titre=legionella

    1. Anéfé™ les documents sont accessibles sans lojin aucun.

      Kitetoa, l’article gagnerait en lisibilité à supprimer la partie correspondante.

      Elles peuvent être réutilisées à des fins personnelles, publiques ou commerciales à condition de mentionner l’Anses en tant que source de l’information, et le cas échéant, les partenaires associés à ces données ou informations.

      Ainsi, toute reproduction, traduction ou réutilisation des informations contenues sur le site de l’Anses est soumise à la condition que les informations publiques ne soient pas altérées, que leur sens ne soit pas dénaturé et que la date de la dernière mise à jour soit indiquée

      http://www.anses.fr/fr/content/mentions-l%C3%A9gales-0

      En gros, c’est comme du CC BY-NC-ND

      https://creativecommons.org/licenses/by-nc-nd/4.0/deed.fr

      <3

  2. Tout d’abord une petite erreur, tu dis qu’on retrouve ces docs sur le site de l’Afssa et tu parles du communiqué de presse… de l’Afsset avec capture à l’appui. Donc c’est l’Afsset qui a travaillé sur le sujet, pas l’Afssa (ce qui parait logique car l’Afssa travaillait uniquement sur l’alimentation).

    Ceci dit, c’est pas une exclu que les Avis de l’Anses soit dispo, ils sont normalement tous publiés.

    Après, je ne me souviens plus des docs que Bluetouff avait trouvé mais c’était pas des docs de travail, non finalisés? C’est ca qui a créé les problèmes que l’ont sait, non?

    Bien sur, ca change rien au fait que la condamnation de Bluetouff est complètement débile, on est d’accord la dessus et j’espère qu’il gagnera en cassation sinon c’est grave…

    1. Suis les liens de Kitetoa et Bluetouff.

      tl;dr: Bluetouff a été condamné en Appel et s’est pourvu en Cassation, laquelle n’a pas encore tranché. Si elle casse le jugement de l’Appel, l’affaire sera renvoyée devant une troisième Cour et il y aurait un nouveau procès.

  3. Bon, je sais que je suis lourd là-dessus. Mais …

    Pourquoi faire un article pour montrer que des documents publics annoncés publics par l’ANSES lors du procès sont bel et bien publics ?

    Comme déjà dit dans l’autre article, j’ai sur mon disque des répertoires contenant 90% de documents publics et 10% de documents privés.
    Pénétrer dans ce répertoire et télécharger le contenu de ce répertoire pose problème, même si les documents diffusés ensuite sont les documents publics, même si la personne pénétrant ce répertoire a ouvert 10 documents parmi les 100 et a vu que ceux-ci étaient publics.

    Bref, je ne vois pas en quoi cette information change quoi que ce soit au jugement qui a été rendu.

    Merci par ailleurs des précisions sur l’article originel.

    1. Assez d’accord sur le fait que le meme repertoire peut contenir des fichiers prives et d’autres publics.

      Cependant, le point est que la securite n’a pas ete configuree correctement et c’est donc l’ensemble du repertoire qui est ainsi officiellement « public ». Verifier un echantillon de fichiers pour s’assurer que le repertoire n’est pas « public » (et indexe par les moteurs de recherche) par erreur est une methode acceptable a mon sens. Sinon ca veut dire qu’a chaque fois que tu atterris sur un site qui « semble » mal configure, tu dois t’assurer que l’integralite des fichiers est public. En bref, on demande aux utilisateurs de faire le boulot de l’admin du site, juste au cas ou celui-ci aurait commis une erreur.

      Dans le cas present: Bluetouff est tombe sur un repertoire qu’il pouvait naviguer directement. Il a trouve ca etrange et a verifie quelques documents au hasard, le rassurant sur le caractere public du dossier. Faire plus aurait pris du temps et n’etait pas son role.
      Maintenant s’il a trouve des documents prives et signales explicitement comme tels, puis les a rediffuses, alors seulement tu peux emettre un doute sur sa bonne foi. A ce jour, je n’ai rien lu de tel, mais je n’ai pas tous les details non plus.
      Sinon tu donnes raison a ceux qui expliquent que meme si tu configures mal ton serveur, c’est aux utilisateurs d’appliquer les permissions qu’ils devraient avoir mais ne connaissent pas. Et donc que « cliquer sur un lien Google » est potentiellement criminel. (Voire pire: « tu peux tuer toute la planete. » Citation du juge autrement plus interessante que le « lojin » ou le « Gogleuh ».)

      Dans le cas hypothetique que tu decris, tu ne precises pas un point: le dossier est-il correctement configure pour ne pas etre navigable? L’utilisateur qui y arrive a-t-il du forcer les protections pour y acceder? Si oui, alors il est en tort, et je ne pense pas que Reflets a mis ce point en doute. Si non, tu es en tort et pretendre le contraire est juste une tactique pour masquer ta propre faute.

      1. Mais de nouveau, qu’apporte cet article par rapport à ce que tu dis ?
        Cet article montre que les articles diffusés sont publics, mais n’apporte rien sur si oui ou non Bluetouff a compris qu’il y avait un problème de permission.
        Or, c’est « le fait d’avoir compris qu’il y a un problème de permission » qui est le problème.

        « Sinon tu donnes raison a ceux qui expliquent que meme si tu configures mal ton serveur, c’est aux utilisateurs d’appliquer les permissions qu’ils devraient avoir mais ne connaissent pas. »

        C’est effectivement le principe du maintien frauduleux: si l’admin fait une erreur et qu’il intente un procès, et qu’au court du procès, les juges acquièrent la conviction que l’individu s’est rendu compte qu’il y avait un problème et a continué, alors, l’individu peut être condamné (et l’admin peut par ailleurs être condamné aussi, pour d’autres raisons).
        Je trouve cette loi pertinente (p-e pas parfaite), comme je l’ai expliqué en commentaire de l’autre article: cela permet à l’individu ayant des intentions malhonnêtes de devoir répondre de ses actes.
        Si tu es un simple internaute et que tu débarques sur le répertoire par hasard, alors, il est difficile de convaincre les juges que tu savais qu’il y avait une erreur.

        À ce propos, l’article d’Éolas explique ça mieux que moi. Le titre est d’ailleurs: « NON, on ne peut pas être condamné pour utiliser Gogleu »: tu ne peux donc pas être condamné pour n’avoir pas appliqué les permissions que l’admin avait en tête.

         » Et donc que « cliquer sur un lien Google » est potentiellement criminel. (Voire pire: « tu peux tuer toute la planete. » Citation du juge autrement plus interessante que le « lojin » ou le « Gogleuh ».) »

        Mouais. Déjà, j’aimerais bien connaitre le véritable contexte de cette phrase (dans le contexte d’un maintien frauduleux, l’intention est le point clé. N’est-ce pas justement ce que cherchait à mettre en évidence cette question ?).
        Ensuite, Éolas dit lui-même que les juges ont justement relativement bien compris, après explication, le problème technique.
        Du coup, je trouve un peu vain de baser sa défense sur « les juges sont des cons donc leur conclusion est conne ».

        Je préfère qu’on s’attaque au vrai problème: les juges ont été convaincu que Bluetouff avait compris qu’il y avait un problème. Le fait que par ailleurs ils ne connaissent rien au web ou que les documents sont publics n’a pas grand chose à voir là-dedans.

        1. Je suis globalement d’accord sur l’idée générale, mais le point de détail est le suivant: qu’est-ce qui était censé monter que le dossier n’était pas public?
          Y avait-il des fichiers visiblement « confidentiels »? (Encore une fois, sans avoir à vérifier le contenu des fichiers un par un.) Comme je l’ai dit, je n’ai pas tous les détails, donc je peux avoir manqué ça. En tout cas la présence d’une page d’identification à la racine du site, que Bluetouff a reconnu avoir vu et qui semble l’avoir rendu plus suspect, n’est pas une justification suffisante du caractère privé du dossier.

          1. Wyrm, vous perdez votre temps, le personnage se fiche éperdument des justifications : Peu lui importe que le jugement soit juste ou non, et que des flics véreux aient profité d’un vide constitutionnel pour monter un « frame » autour d’un représentant d’une communauté gênante, l’histoire de faire un exemple.

            Je pense personnellement que la Cour de Cassation ne fera rien car nos chers juges d’appel ont soigneusement camouflé la condamnation en simple amende (Unité de classe ? Non, bien sûr). C’est un peu comme si un flic (cela ne mérite pas d’autre qualificatif) décidait de « coller une prune » à une personne qu’il a dans le nez trois fois par jour pendant un mois : « on » se douterait rapidement de la triche mais l’affaire se règlerait discrètement… Non sans obliger la victime à payer (le cadavre serait sain).

            Je crois de la même façon que, discrètement, dans le cas présent un ou des décrets (pas de loi, c’est trop visible), modifieront ce cas de figure et le tour sera joué. En clair, je pense que nous de risquerons rien dans le futur, grâce à Bluetouff et aussi pour son malheur.

            Opinion personnelle bien entendu.

          2. Je pense que la présence ou non de fichier confidentiel ne change pas grand chose au délit de maintien frauduleux.
            Le problème du délit frauduleux, c’est de se rendre compte qu’on est là où on ne doit pas être et de ne pas partir. Que l’endroit soit rempli de chose à ne pas voir ou pas ne change rien.

            Pour le reste, je n’ai pas les détails non plus.
            C’est justement ce que je dis: n’ayant pas les détails, ne sachant pas ce qui s’est passé lors du procés, je ne peux pas affirmer que les juges se sont trompés.
            P-e que durant le procès, le fait de croire que Bluetouff s’était rendu compte qu’il y avait un problème était une chose logique et intelligente.
            Mais je n’entends qu’un seul son de cloche: les juges sont des idiots.
            Imaginons que durant la garde à vue, on ait demandé « et vous vous êtes rendu compte que c’était une erreur de l’admin et que c’est lui qui a rendu ces documents accessibles » et que Bluetouff ait répondu oui (par exemple pour expliquer qu’il n’avait rien hacké du tout). Ben là, les juges ont juste correctement fait leur boulot.
            Ou p-e que ça ne s’est pas passé comme ça et qu’ils ont mal fait leur boulot.
            Mais dire: « ils ont mal fait leur boulot vu que les documents diffusés sont publics » n’est pas correct: même si les documents diffusés sont publics, il existe un scenario où les juges ont bien fait leur boulot.

          3. A voir donc.
            A ce stade, les details que j’ai sont les suivants:

            – la version de Bluetouff (voir ses billets sur son blog). Selon lui, il ne s’est apercu de rien. Il a bien vu qu’il y avait une page d’authentification sur le site (un extranet), mais rien qui indique que le dossier qu’il a parcouru etait en acces restreint. Et tout informaticien (ainsi que pas mal de non-informaticiens) savent qu’un login en un point d’un site ne presage en rien de l’acces d’une quelconque autre page ou dossier. A part ca, tout ce qu’il a vu sont des documents publics (ou a minima « non classes », ce que tout le monde a admis) en acces public (et carrement indexes sur Google) sur un sujet de sante publique.

            – l’abandon de l’affaire par les premiers interesses, l’ANSES, apres la relaxe en premiere instance. Seul le procureur a tenu a poursuivre l’affaire en appel. Je n’ai pas ses raisons, mais pour le moment ca me semble dur a justifier.

            – l’analyse de Maitre Eolas. Le seul element « justifiant » la condamnation dans son expose est le fait que Bluetouff a reconnu avoir vu la page d’authentification. C’est suffisant sur un pur point de vue de technique juridique, sauf que ce n’est pas raisonnablement suffisant.

            – quelques extraits du proces. Les erreurs de prononciation ne sont ici pas importantes, mis a part pour appuyer le manque de connaissance technique des magistrats. Pas forcement genant. Sauf que l’un d’eux a ouvertement admis juger l’affaire sans la comprendre. Ca, c’est plus derangeant. Enfin, il y a la reaction completement disproportionnee « vous ne vous souciez pas de tuer toute la planete » qui denote non seulement une incomprehension, mais carrement un prejuge monstrueusement decale de la realite.

            L’element qui manque ici, c’est le reste du proces. Voir si, effectivement, Bluetouff a tenu des propos plus incriminants. Genre: « J’avais tout de suite compris que ce dossier devrait etre verrouille, mais j’ai quand meme tout recupere. » Ou des propos plus raisonnables, ou des justifications plus completes des juges.
            Bref, quelque chose qui donne un sens a cette decision et pas juste une collection de prejuges double d’un « aveu » completement sans rapport.
            Si vous trouvez ca, merci de le linker. :)
            Sinon, pour le moment, je reste sur l’impression (pas une conviction, juste une impression) que cette decision ne doit pas etre definitive.

          4. L’ANSES ne s’est jamais portée partie civile, ni en première instance, ni en appel. Elle a reconnu que les fichiers n’avaient aucun caractère confidentiel.

            Ce « détail » me semble assez important.

  4. Les documents publiés par Bluetouff sont accessibles au public par ailleurs. Soit. Mais ce n’est pas pour la diffusion de ces documents qu’il a été condamné (même si c’est cette diffusion qui a permis de découvrir l’infraction présumée), mais pour « l’introduction et le maintien frauduleux dans un STAD ».

    Peu importe ce qu’il a découvert, voire « volé » ou copié, c’est le fait qu’il soit rentré et resté qui a conduit le tribunal à le condamner.

    1. Je crois que vous n’avez absolument rien compris à cette affaire. Ni à la liberté d’expression, celle de la presse, et au fonctionnement d’Internet. Ce qui fait beaucoup pour une seule personne. Vous êtes plusieurs ? Vous croyez que l’ANSES a lancé une plainte à partir de quoi ? Il est « resté » ? Vous avez un compteur, vous pensez que l’ANSES a fourni un log de la durée durant laquelle Bluetouff est « resté » dans le répertoire ?

      Indice : la plainte est survenue après publication des documents et le juge en appel craignait que ces documents ne puissent « tuer toute la planète ». Vous suivez ?

      1. @drapher non, c’est Simon de Cyrène qui a (presque) raison, voir mon autre commentaire plus bas :)

        http://reflets.info/scoop-exclu-des-documents-qui-peuvent-tuer-toute-la-planete-en-acces-libre-sur-linternet/#comment-489328

        Je dis « presque » car ce n’est *pas* « le fait qu’il soit rentré et resté qui a conduit le tribunal à le condamner », mais la *jugement* qu’il est resté en sachant qu’il ne le devait pas.

        Ce qu’il conteste comme nous tous, j’ose espérer, puisque c’est impossible de le savoir — mais les juges ont refusé de le « croire ».

        La technique, cette religion !

  5. C’est amusant certains commentaires : j’arrive à penser que des individus voudraient justifier une condamnation pour « délit de connaissance ». On en arrive à une justice de la pensée qui établit la culpabilité sur « présomption de pensées ». Savoir si Bluetouff savait ou non. C’est purement délirant, mais visiblement, certains sont prêts à nager là dedans… Le crime, c’est quoi ? La publication de documents publics, non ? Donc, le problème qui va se poser est le suivant : je dwnld un doc public et je me demande si il est vraiment public, si l’auteur ne l’aurait pas mis là tout en sachant que c’est dangereux quand même de le mettre à disposition. Et alors, j’en viens à me dire que je ne peux rien publier, parce que je risque de publier un document public qui pourrait avoir un caractère confidentiel…même s’il est public…

    Non, mais franchement, on est en plein délire, là.

    Les documents étaient parfaitement à disposition, avec ou sans lojin, même s’ils étaient dans un répertoire qui n’aurait pas dû être dans cette arborescence, on peut de toute manière les trouver via les moteurs d’indexation des sites qui les hébergent, et via Gogleuh.

    Une société à la Minority Report se profile : les crimes seront désormais soumis au scanner de pensées des juges et à la probabilité statistique d’un futur délit via les algo de détection de crimes sur le réseau.

    Welcome.

    1. Au moins à présent nous savons pourquoi nous sommes les bougnoules de la république : pour avoir le mauvais goût de vouloir accéder à la connaissance. Or la connaissance est devenue propriété privée, réservée à une élite (celle qui a un portefeuille bien épais).

      A présent je vais arrêter de troller, cette histoire m’énerve et c’est mauvais pour la santé.

      Bonne chance Bluetouff, j’espère, sans trop y croire, que les brouzoufs que nous avons envoyé vous serviront à rendre au mot « justice » un sens plus moral et intelligent.

    2. @drapher Pour le coup, si je te lis correctement (?) tu te trompes sur le début de ton commentaire – demande donc à Bluetouff :)

      Très sérieusement : s’il a été condamné au pénal c’est — officiellement, selon la justice — bien et uniquement parce que les juges ont cru pouvoir *conclure* qu’il aurait eu *conscience*, par son observation une fois entré dans le STAD — qu’il y accédait par accident ou défaut technique, contre la volonté de l’ANSES. D’où la condamnation non par pour « accès », mais pour « maintien ».

      En gros selon les juges, un « expert » comme lui ne saurait se méprendre sur la question. Pour preuve dans leur esprit, le simple fait qu’il ait parfaitement admis avoir vu la page de lojin [ Et alors ? ¿¡¿ Qui a dit « simpliste » dans la salle ?!? ]

      C’est bien cette (sauf leur respect) stupide conclusion des juges, qui nous met tous en danger de navigation : meilleure sera notre compréhension technique, plus grand sera notre péril…

  6. Il suffit de faire une bête recherche « risques liés population générale filetype:pdf » sur Google pour avoir une foultitude de documents potentiellement dangereux. La justice devrait faire un rapide rappel à l’ordre à tous les sites qui mettent en consultation libre ce genre de document.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *