Je commence à me faire à ma vie toute neuve de cybercriminel. Il faut bien comprendre que tout ça est arrivé très vite 😉
Je voulais simplement aujourd’hui faire la lumière sur les détails techniques qui ont conduit la cour d’appel à me condamner sur la notion de maintient dans un STAD.
Le répertoire de documents était sur l’url https://extranet.anses.fr/Docs En remontant l’arborescence, à la racine de l’extranet et surtout, de l’application web qui constitue le système d’information, on trouve une autentification, comme sur des millions de sites web parfaitement publics, ce n’est pas parce qu’on a une authentification en un point d’une arborescence que tout ce qui se trouve en dessous dans cette arborescence est privé, l’usage démontre le contraire. Mais j’insiste sur le terme application que j’oppose à un répertoire /Doc servi de manière brute par le serveur web Apache, sans aucune mise en forme. Si ce n’est pas fait, pour bien comprendre tout le contexte, vous pouvez vous référer à ce billet (sa lecture est souhaitable pour appréhender la suite).
Les faits :
- L’URL https://extranet.anses.fr/Docs est accessible sans authentification, via une simple recherche Google ;
- Nous avons une authentification sur https://extranet.anses.fr/ : il s’agit d’une page web, une application web ;
- Dans https://extranet.anses.fr/Docs on ne trouve aucun fichier système dans ce répertoire. Quand je suis tombé sur ce répertoire, il faut bien comprendre qu’il n’y avait que des documents bureautiques, aucun fichier ou répertoire système, aucun backup de base de données, aucun mot de passe, AUCUNE DONNEE PERSONNELLE : de tels éléments m’auraient conduit, comme je le fais régulièrement, à m’arrêter là et à avertir l’ANSES. Il faut également comprendre qu’il s’agissait d’une vue par défaut d’un répertoire Apache, sans aucun avertissement du caractère privé des données qu’il peut contenir, juste un container pour documents bureautiques.
Pour tous les fans de l’analogie de la maison de la porte et de la serrure, comprenez svp cette maison n’avait aucun mur, aucune porte ou fenêtre, pas de boite à lettres, ni même panneau « propriété privée » !
Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?
« Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. » peut -on lire chez Libertécherie qui transcrit bien ce que me reproche la cour d’appel, sauf que… c’est factuellement faux, mais le mot est lâché : FAILLE.
J’ai fais ce que tout internaute fait sans y prêter attention chaque jour quand il surf sur des pages web. J’ai posé à un moteur de recherche une question, il m’a répondu sous forme de liens, j’ai cliqué sur un lien, le serveur m’a répondu ok voici le document. Nous allons revenir tout de suite à cette histoire de faille imaginaire.
Le mot « extranet » lui même ne qualifie pas un espace privé, il qualifie en pratique un espace de travail collaboratif, sur lequel, grâce au bon outil, on contrôle la diffusion de l’information. Le répertoire /Doc n’était manifestement pas géré par la logique du système de gestion de contenu, donc le système d’information soumis à restrictions. Il était bien publiquement partagé, hors de l’application du SI de l’extranet de l’ANSES, par un accès standard Apache qui rappelons le est une FONCTIONNALITE PAR DEFAUT de ce logiciel, sa raison d’être… et aucunement une FAILLE. Si faille il y a eu, c’est une faille humaine, et non une faille logicielle.
Concernant la nature confidentielle des documents, elle est infirmée par l’ANSES elle-même. On trouve toujours certains de ces documents en ligne sur Google Docs publiés par les auteurs eux mêmes, l’ANSES a bien expliqué dans un PV que ces documents ne sont pas confidentiels. C’est ici intéressant car la cour s’obstine à donner une importance capitale à ces documents. Si on peut comprendre la vision fantasmée que la cour peut se faire d’Internet, la vision fantasmée des travaux de recherche publique de l’ANSES, me semble un peu plus curieuse… je trouve ça limite anxiogène.
Comment la cour en arrive t-elle à la conclusion « évidente » que cette fonctionnalité est une faille ?
« il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe« . Peut-on lire chez Presse-Citron.
Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?
La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?
« Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. » peut on lire chez Maitre-Eolas qui constate à juste titre le raisonnement de la cour, une fois qu’elle eu évacué toute considération de réalité technique.
Merci à tous pour toutes vos réactions.
Le mot « extranet » lui même ne qualifie pas un espace privé, il qualifie en pratique un espace de travail collaboratif,sur lequel, grâce au bon outil, on contrôle la diffusion de l’information. Le répertoire /Doc n’était manifestement pas géré par la logique du système de gestion de contenu, donc le système d’information soumis à restrictions. Il était bien publiquement partagé, hors de l’application du SI de l’extranet de l’ANSES, par un accès standard Apache qui rappelons le est une FONCTIONNALITE PAR DEFAUT de ce logiciel, sa raison d’être… et aucunement une FAILLE. Si faille il y a eu, c’est une faille humaine, et non une faille logicielle.
Finalement ce qu’il manque c’est le point de vue de l’admin sys de l’ANSES. S’il y a avait une volonté de protéger les dossiers mais qu’il s’avère que cet admin avait quelques lacunes techniques (euphémisme poli) cela permettrait d’éclairer notre lanterne.
Bon sinon, vous n’êtes plus vraiment un internaute lambda hein 🙂
Le pire, c’est qu’un vieux Options -Indexes pourri aurait largement limité les dégats
indeed, la seule « faille » dans cette histoire est humaine…
Bluetouff:
ce que tu dis est évident pour toute personne ayant mis en place un tel systeme, mais pas du tout pour un néophyte.
connaissant les affres de la justice, je te souhaite bon courage: se battre judiciairement pour une cause noble est très éprouvante pour le moral et le porte monnaie.
tu as de la chance d’etre mediatisé, ca facilite malgre tout les choses.
Quand le juge il ne sait pas, à mon avis il devrait demander l’avis d’un expert judiciaire.
Et je doute fort qu’un expert puisse dire objectivement que c’est du piratage, du « vol » que de télécharger un document publiquement accessible.
Mais bon, pour diverses raisons (crise, sûrement), on court circuits tout ça et on déclare coupable.
Simple précision pour le hollandais volant, 4 ans et demi après (il n’est jamais trop tard), qui écrit « Et je doute fort qu’un expert puisse dire objectivement que c’est du piratage, du « vol » que de télécharger un document publiquement accessible. »
Loin de moi l’idée de condamner Bluetouffe ou d’abonder dans le sens de la justice, pour ce qui semble n’être effectivement qu’une connexion à un répertoire publiquement accessible et indexé par Google (de ce que mon esprit de néophyte a compris de cette histoire), mais je crois qu’on peut tout de même imaginer en quoi cela peut s’assimiler à un vol : si vous remarquez une voiture garée dans la rue, avec les portes fermées mais non verrouillées, et avec les clés sur le contact, cela signifie-t-il pour autant que vous puissiez monter dedans, voire aller faire un tour avec ?
En fait c’est tellement évident que ça saute au yeux.
Le gouvernement français essaye au travers du ministère publique de te museler car tu les déranges.
Tous les moyens sont bon, et de la démocratie … ils en rigolent
Mouais. http://en.wikipedia.org/wiki/Hanlon's_razor
Et Google il se fait pas condamner ?
N’aurait-t-il pas lui aussi téléchargé les fichiers pour les indexer ? (et a accessoirement fait des copies).
Sur la conclusion du maintient, je noterais que …
Bien que cfspart.impots.gouv.fr requière une authentification à sa racine, tout ce qui est dans cfspart.impots.gouv.fr/templates/ est libre d’accès.
« Limiter les dégâts » ?
Mais quels dégâts, s’agissant d’un extranet dans lequel figuraient des documents non confidentiels et soumis à concertation auprès des partenaires de l’agence ? Tout ceci est une vaste blague !
Et c’est qui ton avocat ? Il ne pouvait pas expliquer en termes néophyte la situation ? Et montrer qu’aucun des arguments reprochés ne tiennent ?
Je pense que tu as été mal défendu pour le coup…
Et c’est vrai que l’on devrait également se retourner contre google. Son cache et le service google.doc doit encore posséder ces documents confidentielopublics.
/me va se documenter sur la notion de mauvaise fois juridique. Condamner pour condamner, une habitude… Surtout ne jamais reconnaître l’innocence d’un petit citoyen geek. Merci pour tes termes clairs et tes éclaircissement de cette affaire. Une affaire où encore une fois des incompétents dominants autoritaires « jugent » et – condamnent -.
Juste une chose à dire, bonne chance Olivier, en espérant voir la raison primer chez les magistrats qui semblent très confus.
Quoique que puissent dire d’autres médias muselés par les décisions de justice et se rapportant à toi comme « cybercriminel », probablement car leur connaissances techniques du dossier ne dépasse pas celle du parquet, je pense que parmi les internautes, de néophytes à confirmés mais surtout curieux de comprendre les tenants de cette affaire, nous sommes nombreux à comprendre que tu n’es pas en tord et que tu n’as pas cherché à nuire, directement ou indirectement.
Si l’ANSES, qui a reconnu avoir mal géré son administration système et qui a lâché l’affaire pouvait te donner un coup de main pour s’excuser, ça serait probablement un bon dénouement pour cette histoire. La justice, elle, ne fait que se ridiculiser.
Salut Bluetouff,
merci pour ce billet qui détaille plus les choses vues de ton côté. J’ai lu il y a quelques temps ce billet de Maître Eolas que tu mentionnes et à la fin je me suis demandé : « Merde, c’est vrai, si il a vu authentification à la racine, c’est qu’il savait qu’il y avait une faille, et qu’il savait être en fraude ».
Mais en fait non. Certains commentateurs en fin de billet ont expliqué pourquoi cette déduction était erronée. Si je devais l’expliquer à un utilisateur vraiment lambda d’internet je le ferai avec cette analogie, je pense :
– Vous recherchez sur Google des informations sur Monsieur X
– En premier résultat, vous avez un lien vers la page Facebook de Monsieur X (qui ressemble à http://facebook.com/monsieurx)
– Vous cliquez sur ce lien
– Sur la page d’arrivée (http://facebook.com/monsieurx, donc), vous avez des informations sur Monsieur X : son âge, son lieu de naissance, ses livres préférés, etc.
– En remontant dans l’arborescence (donc vers http://facebook.com), vous constatez un formulaire d’authentification.
– Vous n’avez aucun moyen de savoir si les informations que vous avez consulté sur Monsieur X étaient divulguées volontairement, ou censées être accessibles uniquement aux utilisateurs authentifiés par le formulaire à la racine du site et divulguées à cause d’un problème de paramétrage du serveur/faille de sécurité, etc.
Bien sûr, en pratique, tout le monde sait que ce que l’on voit en consultant les profils Facebook public sont les informations que le propriétaire souhaite divulguer. Mais si un jour il y a un bug dans Facebook et qu’une info privée se retrouve là par erreur, il sera impossible pour un visiteur lambda de savoir que telle info est privée et pas telle autre.
Bref, c’étaient mes 50 centimes.
Je te souhaite bonne chance dans ce combat, et si jamais tu as besoin d’aide (notamment main d’œuvre bénévole ;), n’hésite pas !
Merci pour les précisions qui éclairent ce point précis de l’authentification.
De la on en sort l’information essentiel : se taire en garde à vue (gav) .
Malheureusement en France c’est vu comme un aveu de culpabilité, et on risque gros (temps max de gav : 48h ou plus selon les circonstances, + indisposition du juge qui peut conduire à de la détention provisoire).
Là, une explication technique à été mal interprétée et retenue contre bluetouff.
J’espère que jamais je ne me retrouverai dans la même situation, ou sinon, que la justice française se soit mise aux normes européennes avec un avocat dès le début de la gav, qui a accès au dossier et a le droit de parler.
Presque, mais non. La situation du dossier en public n’est pas un bug, mais une erreur de configuration. C’est justement comme si je négligeais de configurer bien les options de confidentialité sur facebook, et que le visiteur de http://facebook.com/monsieurx puisse être accusé de vol de données personnelles simplement parceque je considère cette page comme privée, mais que j’ai oublié de la configurer ainsi.
Effectivement, j’ai utilisé le terme « bug », ce qui peut induire en erreur, mais en fait, il faudrait plutôt dire « comportement non désiré. Un comportement non désiré peut-être issu d’un bug, d’une faille humaine ou technique, d’un problème de paramétrage…
Et quelle que soit la source de ce comportement non désiré, le visiteur n’a aucun moyen de savoir, simplement en accédant à une page, si la pile applicative (serveur, application web…) qui a servi cette page avait le comportement désiré par ses propriétaires.
Du coup, que le visiteur soit la mamie du cantal ou Bluetouff, l’accusation de maintien frauduleux est foireuse, puisque ce visiteur, sauf a aller demander aux propriétaires du site pour chaque page servie, n’a aucun moyen de savoir s’il est autorisé a accéder aux informations auxquelles il accède.
Comme dit précédemment, il faut aller en cours de cassation puis en CEDH s’il faut.
Je veux bien financer un tee-shirt « Bluetouff m’a hacké » 😀
Pareil. Il est illégal de t’aider à payer l’amende, mais peut-on t’aider financièrement pour les démarches futures : cassation puis tribunal à nouveau si décision cassée, ou cedh si validé par la cour de cassation ?
Je finance déjà reflets.info et le vpn, mais penses-tu mettre quelque chose en place, Bluetouff ?
Pourquoi la cours a conclut que du moment qu’il y avait un login sur la page d’accueil, les fichiers était manifestement confidentiels, sans que la défense ne réagisse ? Un simple contre-exemple aurait suffit à montrer que tu ne pouvais pas être certain que l’identification de la page d’accueil ne s’appliquait pas nécessairement aux fichiers concerné.
C’est un raccourci boiteux, je ne comprend pas qu’il n’est pas été contesté.
Il a été contesté, contre-exemple à l’appuie, mais le tribunal n’a pas retenu qu’une auth à l’accueil et ses sous répertoires publics soit la norme… décalage.
Quand on voit le nombre de contre-exemples, dont plusieurs sur des sites .gov, c’est ridicule. Elles viennent d’ou leur norme ? :/ Bonne chance en cassation.
Ah mince, je viens de faire une requête sur ton blog bluetouff pour afficher cette page. Je suis donc un cybercriminel… :facepalm: On est avec toi.
Est-il possible de voir l’article original (pour peu que les liens et les passages relevants le contenu des documents soient enlevés) ?
J’ai brièvement cherché mais je n’ai rien trouvé.
Si celui-ci contient par exemple des insinuations comme quoi ces informations n’auraient pas du être rendues publiques, alors, je pense que la justice est légitime quand elle dit qu’il y a eut maintient frauduleux (et ce même si les documents étaient en réalité public).
En fait le titre de l’article n’est pas correct, Bluetouff a été condamné pour maintien dans un espace privé librement accessible. Librement accessible car il n’y avait pas de mesure de sécurité pour en limiter l’accès, mais privé car la volonté de l’ANSES était de garder au moins une partie de ces données confidentielles.
Après on peut argumenter pendant des heures, mais sur le caractère frauduleux du maintien la décision de la cours n’est pas totalement déconnante. Je ne sais pas ce qui a été dit à l’audience et ce qu’il y a dans les PV, mais autant il y a clairement des arguments qui vont contre leur interprétation (authentification sur la homepage ne signifie pas restriction d’accès à tous les docs, accès autorisé via le robots.txt signifie volonté d’indexation par le webmaster,… ) mais en même temps exfiltrer 8 Go de documents publics via un VPN au panama pour ensuite les proposer comme sujet d’article à des journalistes je trouve ça un peu bizarre quand même….
Par contre sur le vol de données…. Comme le le soulève Eolas ou est la soustraction ?
Bref la conclusion, c’est que quand on est en garde à vue il ne faut surtout pas parler….
> mais en même temps exfiltrer 8 Go de documents publics via un VPN au panama pour ensuite les proposer comme sujet d’article à des journalistes je trouve ça un peu bizarre quand même….
Bah non, c’est juste du boulot de journaliste…
OpenVPN sous linux, c’est un service par défaut : il se lance automatiquement au démarrage. Et oui mon VPN sort au Panama, c’est pas pour autant que ma facture Internet est déductible fiscalement.
Ma conclusion est que technique et juridique n’ont strictement rien à voir. Une évidence technique n’est visiblement pas une évidence juridique.
Le problème de l’absence de connaissance des juges ou leur absence à demander un avis technique fait qu’ils considèrent privé une entité publique comme si le seul nom de l’ANSES rend la chose privée. La mentalité de la §justice est verticale donc s’il y a un mot de passe en haut c’est que tout est protégé et donc faille. Tu t’y balades donc tu en es conscient, donc charge avérée.
Pour le commun des mortels, l’ANSES ça ne veut rien dire, c’est indexé donc public, on y va en un clic et on s’y balade sans que le serveur ne broche donc c’est son fonctionnement normal, donc libre d’accès et de consultation. Pas d’indication de licence, d’interdiction de chargement, d’indication de confidentialité, je ne vois pas bien comment on peut donc considérer ces données comme privées à accès réservé.
Ces deux mondes ne se parlent pas et le ministère public dans toute la puissance de l’Etat te tombe dessus. Etre condamné pour être resté dans un espace privé LIBREMENT ACCESSIBLE, cela me dépasse complètement.
Je vais donc tenter le coup chez moi: mon jardin n’a pas de barrière ni de portail mais le gars d’EDF va devoir entrer pour relever le compteur: il va donc entrer et rester dans un espace privé librement accessible. On verra bien ce qu’en disent les gendarmes.
Oserais-je ?
« bluetouff
26 avril 2013 at 14:08 • Répondre
😉 C’est jamais plaisant quand ça nous arrive mais je pars du principe que ce ne ne sera peut-être pas inutile à d’autres.
Je retiendrai également la montée en compétence des juges sur ces questions. »
Je crois qu’on peut allègrement revenir sur cette idée de montée en compétence à ce jour. Soutient total à un collègue du net, mon rédac chef quand je me décide de publier/contribuer sur Reflets ou aider dans X dossiers.
Nous savons tous que tes intentions ne sont pas mauvaises. Nous savons également que la justice va plus vite sur ton dossier que ne pourra le faire sur #Amesys ou #Bull ou #Qosmos and co. C’est regrettable.
Mais nous ne nous arrêterons jamais. Nous serons là, à tes côtés Blue.
A bientôt pour la suite des évènements.
Bonjour,
Je suis tombé sur cette page via un lien que voici, https://bluetouff.com/2014/02/10/du-delit-de-maintien-dans-un-espace-public/ figurant dans un commentaire de l’article de Maître Eolas.
J’ai cliqué dessus et je suis tombé ici.
Mais voilà, comme je trouve ça intéressant et que je suis curieux, je me suis livré à une attaque en règle d’une faille de sécurité.
J’ai analysé la requête et j’ai vu : bluetouff.com/2014. 2014 ? Peut-être l’année en cours ? Voyons si Bluetouff a écrit des choses en 2013.
J’ai renvoyé la requête suivante : https://bluetouff.com/2013
Et je suis bien arrivé quelque part…
Je vais prendre combien, pour cette violation manifeste de domicile ?
Tout ça pour dire que cette affaire est assez ridicule, bien que très pénible, j’imagine…
L’idée, c’est un peu celle de l’appartenance d’un territoire à ses occupants (citoyens de l’état).
En tant normal l’état reconnait que le territoire appartient à sa population et qu’elle a le droit de se promener ou elle veut sur ce territoire, (cf: cas des littoraux français par exemple, n’en déplaise aux Mairies), cela librement, sans risques, l’état y assurant en tant normal et sauf indication contraire, sa sécurité.
D’autre part, certains lieux sont sujets à des restrictions, naturellement, on y trouve les habitations et terrains relatifs, les zones achetées par des personnes morales, les zones appartenants à l’état (terrain militaire par exemple).
Ces zones étant reconnaissables aux barrières et/ou portes et/ou panneaux d’indications et/ou gros vigile castagneurs demandeur de cartes d’accès et autres badges, toutes ces méthodes étant indiquées de manière explicite aux simples visiteurs.
Le problème maintenant, il pourrait être assimilé à plusieurs choses.
On pourrait imaginer une zone privée, délimitée, au milieu de laquelle se trouverait une zone bien défini (par l’absence de marquage) comme publique, si on se trouvait téléporté à l’intérieur (ce qui se rapproche le plus de l’image du lien google), rien ne nous empêcherait d’y demeurer.
D’une autre manière, si un propriétaire terrien décide (ou oubli ici)d’entourer son terrain de barrières/panneaux/vigiles mais laisse une zone en retrait de ces mesures, personnes ne peut savoir qu’il est impossible d’y demeurer ou d’y garer sa voiture, le propriétaire devrait à chaque fois que ça arrive venir voir l’intrus et lui dire de partir.
-« Je vous laisse 5 minutes M. DCRI »
– « AHHHHHH »
– » Vous y êtes presques »
– » HHHHHHHH »
– « Encore un peu »
-« OHHHH »
-« Bon c’est trop long, on corrige ! »
Internet, vous voyez, c’est pareil, tout les internautes en disposent (ça que vous le vouliez ou non) et, sauf terrains réservés (NdD) et(&&) accès restreint par des mesures correctes( chmod a-wx), tout le monde peut s’installer et en quelque sorte réserver un espace c’est pas tip top correct niveau éthique, maissss, ça passe. (si si, prenez Eurocopter et ses adresses réservée hors créneaux privé, ça passe)
Reste aux personnes réservant une zone, à faire leur travail et s’assurer que le droit soit respecter. Mais il n’y a aucun droit à faire respecter si les mesures devant être mise en place ne l’ont pas été par les personnes dont c’est le travail, (vous le voyez qu’on tourne en rond la ou pas).
Bien sur, on ne s’attend pas dans un des cas ci dessus à voir débarquer police, GIGN, Commando et autres corps d’élite (intellectuel) tel que la DCRI afin de nous dire :
-« VOUS N’AVEZ PAS VU QUE VOUS ETES A COTE D’UNE ZONE PRIVE RESERVEE »
– « Non mon bon monsieur, ce n’est ni ecrit, ni signalé d’aucune manière que ce soit et aucune mesure ne m’a empêché d’y accéder avec la plus grande simplicité : mes jambes (ndl: ma souris) »
-« ET BEN IL FALLAIT LE DEVINER ESPECE DE BLOJEUR PIRATE NAZOPEDOCHISTE »
-« … »
Bref, Monsieur Bluetouff, désolé pour vous, mais à part souffler d’exaspération et crier un petit « monde de merde », on peut se demander comment expliquer à vos accusateurs le peu de choses qu’il suffirait de savoir pour comprendre la situation et appliquer un non lieux en vous blanchissant au passage publiquement.
Je pense au delà de tout ça, que vous pouvez vous assurer de notre soutien à tous. Courage pour ces moments et étant très optimistes, je vous dirais de ne rien lâcher et que tout va s’arranger.
E.
ps: pour les chatouilleurs de la loi, et autres juristes de la DCRI, je précise que c’est une image et que comme toute image, elle ne reprend pas tous les aspects du problème.
Vous avez vu ? Sur la home de Google il y a un système de login/password .
Donc, en suivant le résonnement de la cours a l’extrême, si vous naviguez a partir de Google sans être dument identifié, vous le faite probablement de façon frauduleuse et en plus vous savez que c’est mal 😮
Bon, perso, (et sans avoir le «métier» de BT), quand je tombe sur une arborescente brute de fonderie, je ne fais aucune hypothèse sur son caractère publique ou pas (sauf nom de répertoire genre publique/ web/).
Quand je tombe sur une page login/passwd qui visiblement couvre l’intégralité du site (pour accéder à extranet.machin merci de), là je me dis « Oups ».
Et derrière, je fais profil bas… Je vais probablement cliquer à droite à gauche pour sonder les secrets (et déjà là, je *sais* que je suis déjà borderline)…
Mais en AUCUN CAS, je m’amuse à lâcher un gros wget sur 8Go, à publier un appel à l’aide (analyse) en fournissant ma _propre_ archive de 250Mo…
Si je suis vraiment convaincu du caractère publique des documents, bah tout simplement je donne plutôt les liens d’origine, et je donne le site source [puisque c’est publique!!]…
Ça fait des années qu’on nous bassine avec les risques de réactions agressives lors d’explorations « limite », j’ai du mal à croire que BT n’en était pas lui-même pleinement conscient.
Question : Comme le font souvent les [vrais?] journalistes, l’ANSES a-t-elle été contactée préalablement au lâcher dans la nature de ses propres informations ? (même si le résultat aurait-pu être « … n’a pas souhaité commenter… »)
PS : Le parti-pris (prévisible) des commentaires est assez amusant. À chacun de trouver une analogie tordue qui sauve les meubles… Si je me ballade en campagne et que je passe dans un terrain que je pense être « publique » jusqu’à ce que je me trouve nez-à-nez avec l’indication « Propriété privé » (oups)… Bon, ben là, je peux faire comme si je n’avais pas vu et planter ma tente… où je peux en sortir tout de suite.
Les analyses « froidement » juridiques et parfois cruelles de Maître Eolas sont bien plus formatrices qu’une litanie d’approximations…
Selon moi, la cour d’appel aurait dû soit faire appel à un expert, soit se déclarer incompétente (j’ai déjà entendu cette notion d’un tribunal qui se déclare incompétent à juger une affaire) : en me mettant à la place d’un juge, j’aurais vraiment honte si je devais juger une affaire à laquelle je ne comprends rien.
Ce dossier montre une chose : il faudrait créer des tribunaux spéciaux dédiés aux questions informatiques, composée d’anciens professionnels et d’ingénieurs en informatique, afin que ses membres ne soient pas obligés d’essayer de se former à ce que c’est qu’un VPN ou un site Web avant de pouvoir juger une affaire.
Bon courage à toi pour gérer tous ces problèmes imaginés par la « justice ».
Je partage bien ton avis !
Perso je ne m’y connais pas, j’ai demandé des explications à un ami qui bosse dans l’informatique.
Il a confirmé ce que dit Bluetooth.
Je ne mettais pas sa parole en doute, le connaissant bien sur un autre de ses blogs.
Je voulais juste bien comprendre techniquement.
Comment on peu etre condamne pour avoir consulté un serveur? si je met en ligne un serveur avec les rep apache ouverts je peux attaquer en justice tous ceux qui les consultent? moi qui cherche un moyen pour gagner ma vie sans bosser pour des cons j ai peu etre trouvé! merci a toi!!!
Effectivement sale histoire!
Les tribunaux manquent sûrement d’experts en informatique capables de leur expliquer que cette faille n’est pas due à une fraude de ta part.
En te souhaitant un dénouement juste et équitable!
Et cette arborescence-là https://lost-contact.mit.edu/afs/epitech.net/site/
elle est « conforme » ?
(y trouver les enregistrements blowfish de l’Epitech sur un serveur public du MIT)
Il semble que l’on soit confronté à ce que les politiques eux-mêmes ne cherchent pas à comprendre : le décalage entre le monde numérique et nos représentants politiques (et donc indirectement la justice). La méconnaissance des limites de la technologie entraine un jugement sur fond de bienséance et de bonne conduite, et leur raisonnement est devenu le suivant : s’il avait été honnête, il n’aurait même pas essayé d’accéder à ces pages … car il n’avait rien à y faire. Donc c’est qu’il recherchait justement à « nuire » à l’image en dévoilant des « failles ».
Je suis consterné de voir qu’en faisant son devoir de citoyen (en l’occurrence citoyen numérique) on se retrouve dans une telle situation. En même temps, il n’est pas rare que des femmes se fassent renvoyer à la maison lorsqu’elles viennent déclarer un harcèlement sexuel, alors bon une tentative d’accès à des données non confidentielles ça passe …
Bon courage Bluetouff !