09 février 2014

Analyse technique de l'arrêt de la cour d'appel de Paris dans l'affaire Bluetouff

La cour d'appel de Paris a rendu ce 5 février 2014 un arrêt concernant le blogueur Bluetouff. Cet arrêt est très intéressant et, à mon avis, concerne tous les informaticiens.

Deux analyses techniques complètes ont été écrites sur le sujet :
- celle du principal intéressé : la non-affaire Bluetouff vs ANSES

Je vous en souhaite bonne lecture.

PS: Sans blague, vous pensiez vraiment que j'étais capable de faire mieux que l'une ou l'autre de ces personnes, sur le plan de la technique informatique ou sur le plan de la technique du droit ?

PS2: Cela me gène que peu de monde ne pose clairement la question de l'appel du parquet contre un blogueur militant qui pose des questions dérangeantes sur l'implication de grandes sociétés françaises (et de leurs dirigeants), ainsi que l’État français lui-même, dans ce qui pourrait être l'un des plus grands scandales de surveillance de populations (je ne parle pas du scandale de la NSA).

PS3: Je tique un peu sur le maintien frauduleux dans le STAD de l'ANSES dès lors qu'il était impossible pour l'internaute, même professionnel, de connaître la limite entre les documents supposément confidentiels et ceux destinés au public.

PS4: Dès lors, je tique également sur le vol de données... avec un wget, sans blague ! En fait, je tique sur la condamnation. Rendez-vous en cassation, puis de nouveau en appel. Ou, comment museler un simple citoyen qui s'implique.

10 commentaires:

  1. concernant le PS3, on peut considérer que le document, s'il comporte soit dans les meta-datas, soit dans le document quelques chose indiquant "confidentiel"/"diffusion restreinte" etc.... qu'il est réellement condientiel non ?

    Concernant le point PS4, je suis bien du meme avis :)

    concernant le point PS2, cela me révulse particulièrement surtout que je suis en train de faire mon dossier pour faire comme vous :)

    RépondreSupprimer
    Réponses
    1. La mention "confidentiel" sur 8Go de documents en ligne ? Il suffit de faire une recherche "avancée" sur Google avec comme mot clef "confidentiel" sur les types de document "pdf", "powerpoint" ou "doc" pour voir qu'un certain nombre de documents sont en libre accès avec cette mention.

      Sinon bon courage pour le dossier. Plus que 3 semaines !
      ;-)

      Supprimer
  2. Je suis bien d'accord avec la recherche, mais dans laffaire qui nous interesse, la question est la. Si justemment il suffisait de dire : "oui mais chez les autres c'est comme ca", alors la...la justice serait encore plus floue ;)

    Pour le dossier, y manque plus que les photos ;) Depuis 3 ans.... :)))

    RépondreSupprimer
  3. Ici en l'occurrence, Bluetouff a admis avoir remonté l'arborescence jusqu'à arriver à une page protégée par login/mot de passe. Il était donc conscient que - même si toute les données n'étaient pas protégées - il s'agissait d'une faille béante dans la sécurité qu'il exploitait. Dès lors qu'il a détecté cela, il aurait du quitter le système et supprimer ce qu'il avait déja obtenu.

    Je ne dis pas que cette décision est "juste" et que cela me plaît, mais c'est clairement condamnable aux yeux de la loi.

    RépondreSupprimer
    Réponses
    1. Je ne suis pas d'accord. Si aujourd'hui je surfe sur internet et que je tombe sur des données sur un site internet, le simple fait de me déplacer sur l'arborescence, de remonter à la racine, de voir une page avec login et mot de passe, tout cela ne me permet pas de savoir si les données que je suis en train d'explorer auraient du être protégées et que je suis en train d'exploiter une faille "évidente".

      Supprimer
    2. Le nœud du problème juridique posé, c'est que le droit pénal ne sait pas ce qu'est Internet, et encore moins un serveur web ; il ne connaît que la notion de Système de Traitement Automatique de Données, ce qui est plus large. Or, dans STAD, il y a "Système", c'est à dire ensemble déterminable, cohérent, et isolé, obéissant à un ensemble de règles propres - peu important le vecteur par lequel on y accède (ici, internet), et la technique sur laquelle il est bâti (ici, un serveur web).

      Considérer que la technologie s'impose, et qu'une imprudence dans le paramétrage permet de considérer que chaque document devient une sorte d’îlot autonome atomise cette notion de STAD, ce qui est contraire au texte de la loi, partant inopérant.

      Considérer à l'inverse qu'accéder à un STAD via internet créé une exception, dans laquelle le maître du système abandonne ses droits parce qu'il connecte le STAD à un réseau public dont les règles propres s'imposent à la loi est une autre erreur.

      Enfin, en ce qui concerne l'infraction de Maintien dans le STAD, ce n'est pas la nature privée ou publique des documents qui est en cause, c'est l'exploration du STAD passé le moment où le prévenu a conscience qu'au moins une partie ne devrait pas lui être accessible ; c'est une question qui relève de la conscience, et pas d'un paramétrage techno. Peu importe même que le STAD ait été vide de documents à ce point : en ne tenant pas compte d'une page de restriction d'accès, parce qu'il avait trouvé un biais pour l'outrepasser, la Cour a considéré que l'infraction de maintien était constituée.

      La question du vol subséquent est plus discutable, mais il y a une jurisprudence constante de la chambre criminelle dans ce sens.

      Supprimer
    3. "c'est l'exploration du STAD passé le moment où le prévenu a conscience qu'au moins une partie ne devrait pas lui être accessible"

      1) Décrivez moi, par quel moyen il est possible de savoir quels pages, documents sont publics ou non ?
      Exemple en haut à droite de ce site (ztyhom.blogspot.fr) il y a un bouton connexion. Quel est la preuve que vous êtes actuellement entrain de lire un article publique et non entrain de commettre une infraction ?

      2) De plus, on parle d'un site d'une agence publique qui a vocation à publier des communiqués et des documents.
      La décision ne prend aucunement appuie sur le contenu des documents ou les titres des documents ou des métas avec le mot "confidentiel".

      3) Enfin, le plus ironique est la décision elle même d'écarter l'infraction accès frauduleux dans le STAD. Mais de le condamné pour maintien.
      Les arguments retenus pour prouver de sa conscience d'être sur un lieu "privé" (cf 1,2) me paraissent trop ténu. Or le doute doit profiter à l'accusé...

      Supprimer
    4. Je suis tout à fait d'accord avec anonyme. Comment savoir ce qui est accessible ou pas. qu'est ce qui relève de l'erreur de publication ou non ?
      Par contre ce qui serait intéressant c'est de savoir ce qui est arrivé au DSI de cette agence ou à ces directeurs.... En effet, une application est théoriquement recettée. Or vu le "bug" la recette n'a pas été réalisée.... Il y a donc faute... Et ca on en parle jamais préférant rejeter l'opprobre sur le grand vilain internaute qui veut mettre à mal l'état....

      Supprimer
    5. C'était également le sens de mon PS3...

      Supprimer
  4. Il devrait avoir un statut de journaliste et il aurait eu droit au secret des sources... Même si c'est lui la source.
    Il paraît que Julian Assange est un pirate professionnel qui n'a monté wikileaks que pour faire croire qu'on lui donnait les infos et cacher celle qu'il pirate lui-même dans le tas pour qu'il ne soit pas incriminé...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.