Cher contribuable, je te demande pardon

Capture d’écran 2014-01-10 à 11.26.25Cher contribuable, je te demande pardon. Je te demande pardon car je me rends aujourd’hui compte que je suis peut-être l’auteur de la recherche Google qui t’aura coûté le plus cher.

Nouvel épisode aujourd’hui de ma pseudo affaire qui m’opposait tout récemment en appel (un appel du Parquet, le plaignant initial n’étant pas partie civile) : voici que l’indexation de documents publics pas publics qu’il ne faut pas publier même s’ils sont publiquement accessibles sur un site du service public et qu’ils touchent à des questions de santé publique… fait son entrée  dans le code de la santé publique.

Il s’agit de l’Arrêté du 3 décembre 2013 relatif aux conditions de fonctionnement du site internet public unique mentionné à l’article R. 1453-4 du code de la santé publique et de son article 7 qui dispose

L’autorité responsable du site internet public unique prend les mesures techniques nécessaires pour assurer l’intégrité du site sur lequel elle rend publiques les informations mentionnées à l’article R. 1453-3 du code de la santé publique, leur sécurité et la protection des seules données directement identifiantes contre l’indexation par des moteurs de recherche externes.

Il fallait bien une loi pour expliquer aux administrations que comme n’importe qui, elles sont responsables de ce qu’elles mettent à disposition du public.

bortz rule

 

C’est vraiment consternant de voir qu’on est obligé de légiférer sur des tautologies et qu’en revanche, en matière de procédure de test avant la mise en production d’une application en ligne, probablement rien n’a changé…

Plus de pixels : 

Avons nous encore le droit de boycotter ?

boycott .. ou pas
Le boycott saymal

Dans un article de la semaine dernière paru sur Libération, Benoist Hurel nous relate dans une tribune qu’une circulaire, oeuvre de Michèle Alliot-Marie, serait je cite “un attentat juridique d’une rare violence contre l’un des moyens les plus anciens et les plus efficaces de la contestation des Etats par les sociétés civiles, à savoir le boycott ». Émis par la Chancellerie, cette circulaire définirait l’appel au boycott des produits d’un pays comme une «provocation publique à la discrimination envers une nation», et serait punie d’un an d’emprisonnement et de 45 000 euros d’amende.

La suite de l’article, bien que partisane (et ce n’est pas un reproche), est bien argumentée… jusque là tout va bien.

Puis la suite vous la connaissez, téléphone arabe, information répétée, amplifiée… déformée… et voilà que sur le Post, c’est le boycott qui se retrouve réprimé et non plus “l’appel au boycott des produits d’une nation », l’auteur tombe des nues, crie au scandal etc… On est plus dans le partisan bien argumenté, on est dans le lapidaire un peu à côté de la plaque… d’ailleurs je prends le risque de vous le prouver.

Je boycotterai tout dispositif de sécurisation de ma connexion Internet labellisé par l’HADOPI, je boycotte Windows, je boycotte l’industrie du disque et je boycotte les médiators de guitare en écaille de tortue !

Si je reçois une convocation au tribunal, je vous balance un tweet, c’est promis !

Attention, ce qui va suivre est trollogène…

Cher C’est Nabum vous mélangez plusieurs choses.

Le boycott d’un produit n’est plus un moyen légitime de protestation contre une nation. Non, le crime est bien plus grave, c’est du terrorisme économique, c’est une entreprise de déstabilisation d’un pays avec lequel la France peut parfaitement entretenir de juteux et profitables liens commerciaux. Le boycott devient un crime contre l’ordre marchand du Monde globalisé.”

Ce n’est pas le boycott, mais “l’appel au boycott des produits (tous les produits) d’une nation », un peu comme les américains ont boycotté tous les produits français quand Jacques Chirac avait refusé d’envoyer en Iraq nos soldats si vous situez. Ensuite je ne suis pas juriste, mais je suis quasi persuadé que l’appel au boycott est déjà réprimé dans notre droit français. Vous auriez cherché un peu, vous auriez pu par exemple tomber sur les articles 225-1 à 225-5 du code pénal qui vous expliquent que “la discrimination saymal” (à l’encontre d’une personne physique ou morale) et que le gros des dispositions date quand même de … 2006 ! Si vous trouvez que (jusqu’à… c’est une peine plafond, donc si vous gagnez le smic vous n’écoperez jamais de ça) 45000 euros et un an d’emprisonnement c’est lourd, qu’allez vous penser de celle-ci, je cite :

Lorsque le refus discriminatoire prévu au 1° est commis dans un lieu accueillant du public ou aux fins d’en interdire l’accès, les peines sont portées à cinq ans d’emprisonnement et à 75 000 Euros d’amende. »

En outre je suis étonné qu’un 26 novembre, une circulaire qui date de février dernier vous émoustille autant, elle a bien une origine et cette fermeté affichée est à mettre en perspective d’une situation qui préoccupait le ministère de l’Intérieur, à savoir le boycott des produits israéliens, dans un contexte géopolitique tendu et sur fond de xénophobie dont il reste d’ailleurs des traces dans Google (mais on le dit pas comme ça dans la circulaire, ce ne serait pas politiquement correct).

Après libre à vous de vous demander si boycotter les automobiles Lada est plus grave que d’expulser des roms niveau «provocation publique à la discrimination envers une nation»…

C’est pas parce que la pré-campagne des présidentielles approche qu’on peut tout mélanger. En outre, gardons en tête que les quotas d’importation de certains produits, comme toute mesure économiquement protectionniste est un “demi boycott” d’État, cette circulaire de la chancellerie est donc à relativiser, et en conclusion : continuez à boycotter à partir du moment où vous ne troublez pas l’ordre public, personne n’en saura rien et si votre cause est juste vous ne serez pas le seul. Ce débat sur le boycott ne mérite donc à mon sens pas tant de passion, d’ailleurs regardez, même le pape ne boycotte plus l’usage du préservatif.

Merci à Sylvain 😉

De la négligence caractérisée… comment avons nous pu en arriver là ?

Je me permet de vous livrer une petit réflexion rapide sur la dangerosité de la contravention pour négligence caractérisée introduite par le législateur dans HADOPI. Ce n’est évidemment pas le première fois que j’en parle ici, mais l’absurdité de ce terme, “négligence caractérisée” me fait me poser beaucoup de questions. Je me permet donc de réfléchir un peu tout haut…

Commençons par le pourquoi :

Devant un phénomène massif, il a fallu permettre une (in)justice expéditive se passant du juge. Sans crime constitué et avec un délit sans preuve valable, le législateur a du trouver un subterfuge, à savoir une ruse, un moyen détourné visant à se tirer de l’embarras.

  • Premier point, le plus évident, et pourtant visiblement pas assimilé du tout par la député Marland-Militello qui aime à afficher sur son blog que les internautes téléchargeurs sont des criminels qui tuent les artistes : en droit, un simple téléchargement, particulièrement dans le cadre d’un échange sur les réseaux P2P, peut difficilement être assimilé à un crime contre la propriété car ce terme désigne un transfert illégitime de propriété. Une oeuvre immatérielle qui s’échange ne change rien à la notion de propriété d’une oeuvre de l’esprit (son auteur continue à jouir de la propriété pleine et entière de sa création, même si cette dernière est dupliquée : il n’y a pas de soustraction, mais multiplication). Un tribunal requalifierait donc immédiatement un “crime de téléchargement d’un MP3 d’Enrico Macias” en une infraction mineure. Un téléchargement n’a jamais tué personne, ni un artiste, et encore moins la création. Les discours de Nicolas Sarkozy à ce propos sont ridicules, tant sur le plan de la création que sur le plan juridique, et plus que discutables, sur le plan économique.
  • Le délit de contrefaçon ( article L. 335-3 du Code de la propriété intellectuelle) était lui aussi proscrit. Pourtant, tout indiquait qu’il pouvait se matérialiser par des preuves tangibles… mais nécessitant une commission rogatoire, et une véritable action judiciaire pour constituer un dossier de preuves plus solide qu’une adresse IP collectée sur un tracker torrent (ça va vous seedez toujours là ?). En droit, est considéré comme un délit une infraction entraînant une réparation : par exemple des dommages et intérêts, ce qui nécessite l’estimation d’un préjudice, quasiment impossible à évaluer dans le cadre d’un téléchargement (dans la pratique du P2P, ce n’est pas parce que l’on télécharge ou que l’on met à disposition une oeuvre qu’on aurait couru l’acheter à la FNAC, et encore moins qu’on serait allé la revendre dans le métro à la sauvette comme c’est maintenant le cas grâce à HADOPI). Le téléchargement étant devenu un usage en plus d’une décennie pendant laquelle les majors se sont grattées le derrière en se demandant comment elles allaient pouvoir gagner plus d’argent grâce à Internet, le délit de contrefaçon était une réponse anecdotique à un usage massif.
  • Une contravention est en droit pénal l’infraction la moins grave. La sanction maximale d’une contravention est une amende de 3000 euros. La contravention pour négligence caractérisée a fixé son plafond à 1500 euros et prévoit une sanction assortie qui est la coupure de la connexion de l’abonné (dont le préjudice réel peut, de très loin, dépasser le plafond maximal d’une contravention). Nous disposions en plus dans le droit français d’un exemple concret en application : celui des radars routiers dont on a eu de cesse de nous rebattre les oreilles pendant les débats sur HADOPI. Mais voilà, Christine Albanel a eu beau nous exposer ses arguments, elle n’a pas plus convaincu les internautes qu’elle n’arrive à convaincre ses nouveaux collègues d’Orange. En effet, il est rarissime qu’un automobiliste change de plaque d’immatriculation avant de passer devant les radars, alors qu’HADOPI incite les internautes à changer d’IP avant de se faire flasher ou reflasher par les sondes de TMG, société privée à qui les ayants-droits ont confié la mission de s’occuper de leurs radars (oui j’ai bien dis sondes et j’y reviendrai dans un prochain billet). Mais si vous m’avez bien suivi ça nous donne des sociétés privées, qui mandatent d’autres sociétés privées pour se faire justice elles-mêmes… et ça en droit français, à ma connaissance, c’est une nouveauté… dangereuse. Enfin la sanction est confiée à une haute autorité administrative qui n’est ni un tribunal de police, ni une juridiction de proximité, qui étaient pourtant jusqu’ici seuls habilités à sanctionner ce type d’infractions. Dans un état de droit, ceci est susceptible de constituer une dérive inquiétante.

Quand le pourquoi “massif” explique un comment “ridicule”

Et c’est là, qu’on sombre dans le comique… le législateur, qui dans plus de  80% des cas n’est pas fichu de faire la différence entre son système d’exploitation et le contenu de son navigateur, a décidé de pointer du doigt le défaut de sécurisation de la “connexion Internet” pour matérialiser l’infraction de la contravention. Juridiquement, la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet (vous noterez que le nom même de cette loi est un mensonge de bas étage puisqu’elle ne favorise en rien ni la création ni la diffusion des oeuvres, la récente disparition de Jiwa est encore là pour nous le rapeler) modifie l’article L. 335-3 du Code de la propriété intellectuelle définissant le délit de contrefaçon, et ajoute une contravention pour négligence caractérisée qui n’annule en rien le délit de contrefaçon, laissant ainsi planer le spectre d’une double peine, et même d’une triple peine si on y ajoute la coupure de connexion.

Et enfin le risque

Quand on inscrit dans le corpus législatif une telle monstruosité, on est en droit de s’inquiéter sur l’applicabilité à des crimes, et non plus des délits ou des contraventions. Imaginez donc un seul instant, que la négligence caractérisée s’applique à une personne qui n’a pas su “sécuriser sa connexion” et qui s’est retrouvée victime de l’inoculation d’un cheval de Troie servant par exemple à diffuser des contenus pédophiles par vagues de spams. Le propriétaire de la machine, qui est aussi la victime d’un piratage, se trouve donc accusé d’une contravention pour négligence caractérisée, sur des faits passibles d’assises. Ces dérives sont malheureusement bien réelles aux USA ou des personnes sont emprisonnées à tort pour des faits de détention ou diffusion de contenus pédopornographiques. Le cynisme de la contravention pour négligence caractérisée est qu’elle équivaut à un “bien fait pour ta pomme” aux victimes d’intrusions dont la vie se retrouve brisée.

Mon sentiment

Je ne suis pas juriste mais il y a pas mal de choses qui me dérangent sur le fond comme sur la forme. Cette contravention est ridicule tant dans ses fondements que dans ce qu’elle prétend sanctionner. Elle vient se poser en épouvantail, en amont d’un délit de contrefaçon, lui bien applicable, mais en terme de dissuasion, impossible à gérer car il nécessite trop de moyens dans sa mise oeuvre à grande échelle pour répondre au téléchargement devenu un usage massif sortant du cadre de l’exception au droit d’auteur alors que l’on paye pourtant une taxe sur la copie privée (cherchez l’erreur, elle est soit fiscale soit législative, mais il y a bien là encore une incohérence car on taxe une pratique déclarée illicite… ).

L’ applicabilité de la contravention pour négligence caractérisée pourrait bien se voir compromise au moindre déferrement devant un tribunal, ce qui m’invite à penser que si l’étape 2 du dispositif, c’est pas pour demain, l’étape 3, à savoir la coupure de connexion, ne sera jamais appliquée. D’ailleurs il est entendu par circulaire de la chancellerie que les tribunaux n’ont aucune envie de voir défiler le produit d’une telle sotise.

Enfin, la négligence caractérisée, pour défaut de sécurisation de l’accès Internet, est d’une hypocrisie sans faille, qui consacre le terme de “sécurité” à la surveillance d’une connexion contre un usage, qui est le téléchargement, au lieu de porter son dévolu sur une notion fondamentale et à laquelle chacun à droit : la protection de ses données personnelles qui fait pourtant en pratique tant défaut à de nombreuses sociétés et administration qui en exposent par dizaines de milliers. une situation d’un cynisme inacceptable.

Lawtech : le full disclosure passe en procès à la Cantine

lawtech
Law Tech à la Cantine

C’est une rentrée chargée pour la Cantine, donc prenez en date, ça se tiendra le 30 Septembre 2010 de 19h30 à 21h30. La soirée organisée par le Cercle Azimov vous présentera un cas fictif de procès sur le full disclosure, plaidé par de véritables experts en la matière. Un scénario assez drôle permettra de lever le voile sur la complexité de la pratique du full disclosure pour des failles dites sensibles, et du déroulement d’un procès en conditions réelles sur ce thème technique complexe, autant techniquement que juridiquement.

Composition du “Tribunal et des Parties au procès” :
Pour la demande :
Pour la défense :
  • prévenu : Philippe Langlois, expert en sécurité informatique, P1 Security
  • témoin : M. Eric Filiol, expert en sécurité informatique, ESIEA
  • avocat : Me Ambroise Soreau, avocat, cabinet Henri Leclerc & Associés
Tribunal :

Le cas pratique :

Serge Bitnick est post-doctorant en biochimie et fait de la recherche de failles informatiques à ses heures perdues. Il découvre une faille dans le système d’information d’un hôpital. Il se rend compte qu’il existe un risque que tout le système d’information de l’hôpital soit compromis et cesse de fonctionner. Il tente immédiatement de prévenir le RSSI (Responsable de la sécurité des systèmes d’information) de l’hôpital mais, après 30 minutes de recherche sur Google, il ne trouve pas l’adresse email de celui-ci et décide d’envoyer le message suivant via le formulaire de contact présent sur le site web de l’hôpital :

« Bonjour,
J’ai remarqué que votre système informatique était victime d’une très grosse faille de sécurité. Il s’agit d’une faille du type Stack Overflow permettant un accès en lecture au Memcache de votre application web en Django-CMS. Le système SCADA est compromis et tous les respirateurs artificiels ainsi que le monitoring des salles de réveil post-opératoire de l’hôpital peuvent être contrôlés depuis une interface web rendue publique et indexée par Google. Cette faille peut être très facilement exploitée. Il y a un risque que tout votre système saute !  Il faut réparer ça très vite. Je n’ai pas trouvé le contact de votre RSSI. Contactez-moi si vous avez besoin d’aide.
Serge B.

Le lendemain, il reçoit l’email suivant :
« Cher Monsieur,
Merci de votre démarche. Je transmets votre message.
Cordialement,
Damien Champagne »

15 jours plus tard, la faille n’a toujours pas été comblée. Serge Bitnick la divulgue sur son blog et son fil Twitter (1.042 abonnés dont une poignée de journalistes spécialisés) :
« Grosse faille dans le SI de l’hosto de Tataouine http://ow.ly/17OrX2 #UBER_FAIL ! »
De fil en aiguille, l’information est reprise 3 jours plus tard dans l’édition web d’un journal national puis dans les éditions papier de différents journaux et magazines. Des familles de personnes hospitalisées dans l’hôpital concerné (et dans d’autres hôpitaux) paniquent et inondent le standard de l’hôpital pour s’assurer que tout va bien, voire se rendent à l’hôpital pour ramener chez eux leurs parents. L’hôpital porte plainte contre X pour intrusion dans un système de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causée.
Serge Bitnick prétend pour sa part avoir agi uniquement pour faire prendre conscience aux gens des risque liés à une mauvaise sécurisation des systèmes informatiques, de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causé.

Vous serez les témoins et les juges du dénouement de cette affaire, affûtez vos arguments et venez nombreux @La Cantine le 30 septembre 2010, 19h30. 151, rue Montmartre, Passage des Panoramas, 75002 Paris(métro Grands Boulevards ou Bourse).

Vous pouvez vous inscrire ici à cet événement.

Luc Chatel et la vente liée de logiciels : y’a que les cons qui ne changent pas d’avis

Il aura fallu un peu plus de deux semaines, une décision de justice du Tribunal de Grande Instance de Paris visant a obliger Darty à afficher les prix des logiciels sur les configurations qu’il vend… et deux propositions de la DGCRRF pour faciliter le remboursement d’un système vendu de force sans étiquetage du prix (oui, Windows), et rendre le système d’exploitation optionnel.


Luc Chatel dans ZDNet le 16 juin 2008
: “Luc Chatel, secrétaire d’État à la Consommation, a fait retirer un amendement qui prévoyait l’affichage détaillé des prix lors d’une vente liée, notamment dans le cas d’un PC et de l’OS.”

Luc Chatel dans ZDNet le 03 juillet 2008 : « Je souhaite que, sur le montant des ordinateurs, on précise le prix des logiciels préinstallés, afin que les consommateurs aient le choix et puissent se faire rembourser [le prix du système d’exploitation]. »

…de mon côté ce que je ne comprends pas, c’est qu’on applique pas tout simplement la loi et qu’on perde du temps à ergoter là dessus … la vente forcée c’est mal, on en veut pas, on utilise pas tous windows, nous voulons avoir le choix d’installer OSX, Linux, Unix*, … ce que bon me semble.

Le dispositif devrait selon Mr Chatel entrer en vigueur dés la rentrée de septembre… je demande à voir. En attendant, vous disposez tout de même de l’excellent guide racketiciel pour vous faire rembourser ces logiciels que l’on veut vous forcer à acheter.

Il faut savoir qu’aux yeux de la justice, la vente liée n’est pas avérée si ceci va dans le sens du consommateur. Or, aujourd’hui, il est évident que l’intérêt du consommateur c’est d’avoir le choix d’installer les logiciels de son choix, des logiciels libres par exemple. On est vraiment en droit de se demander si l’intérêt du consommateur c’est s’enfermer dans une technologie propriétaire dans mlaquelle le strict minimum pour faire fonctionner un ordinateur est payant et prive l’utilisateurs de tout ce qu’offre le logiciel libre, le droit de modifier/redistribuer par exemple.