Oups ce banc public n’était pas public

11fa4ce2299ea951eeb8df523cfcefaaJ’ai lu avec attention l’article de Maître Emmanuel Daoud tentant de comparer l’acte qui m’a valu condamnation avec des exemples de “la vie réelle”. Evidemment ce genre de comparaisons est forcément bancales d’un point de vue technique, même si elles tiennent parfaitement la route d’un point de vue juridique. Mais à force d’évacuer toute considération technique, on passe à côté des bases, de l’essentiel.

Dans notre cas l’essentiel, c’est la nature d’Internet, un réseau public. On le comparerait plus logiquement à un espace public, comme la rue.

Un site web, une application en ligne, sur un espace public, destiné à servir des fichiers au public, c’est donc plutôt comme un banc public dans la rue, quelque chose de bien visible, destiné à l’usage de tous qu’il faut le voir, et non une maison (dont on sait forcément qu’elle appartient à quelqu’un, ou une voiture ou encore un ordinateur).

Pour que les comparaisons de Maître Daoud soient fidèles à notre cas, il aurait fallut parler d’un banc public dans une rue. Il aurait fallu que je devine que ce banc public n’était pas public. C’est là tout le problème.

Pire… si le tribunal a considéré qu’il y avait une faille de sécurité, ce n’était pas le cas. La fonction d’un serveur web, c’est de servir des fichiers. Si on veut en restreindre l’accès, il faut une intervention humaine. La faille n’était donc pas technique mais humaine.

Comme si  on avait voulu restreindre l’accès à un banc public dans une rue on y aurait placé un panneau “propriété privée”… ou coller du barbelé autour…

Je passe sur les interprétations de la cour d’appel et de l’amalgame crétin entre authentication et permissions, je viens de l’expliquer ici… mais par pitié, comprenez une bonne fois pour toute que ce n’est pas parce que j’avoue qu’il y a une authentification sur la page d’accueil qu’il faut impérativement en déduire que tout est privé, c’est techniquement totalement absurde.

Oups ! Ce n’est pas ma voiture

Mû par la curiosité, je fouille le véhicule et trouve des santiags qui me plaisent et décide de les conserver.

Il s’agit là d’une soustraction de la chose d’autrui… un vol. Mon crime est d’avoir copié des documents publics sur des questions de santé publique qui se trouvaient dans un espace public… J’ai pris une photo de quelque chose sur un banc public qui n’était privé que dans la tête de son propriétaire, sans rien pour le signaler, au beau milieu d’une rue. Je n’ai pas été poursuivi pour contrefaçon, mais pour “vol”.

Oups ! Ce n’est pas mon ordinateur

Dans un ordinateur, il y a de fait des données à caractère personnel. ce n’était pas du tout le cas du dossier auquel j’ai accédé. En outre pour Xe fois, il a été expliqué que ces documents n’étaient PAS confidentiels comme on peut le lire ici ou là.

Oups ! Ce n’est pas ma maison

La maison est un espace fermé. Il y a des murs, des fenêtres, des portes. Il y a quelque chose qui délimite clairement l’espace public et l’espace privé. Ce n’est pas le cas d’une application web sur un réseau public quand des permissions claires ne sont pas appliquées et quand rien ne le signale.

.. Donc : oups, ce banc public n’était pas public.

D’ailleurs, imaginez que je décrète dans ma tête que l’article que vous venez de lire est privé… ça me donnerait le droit de porter plainte contre vous pour accès et maintien frauduleux à cette page ?

Ça devient fatigant…

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents “confidentiels”. Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au “coeur de l’extranet”, d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace “sensible”… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents “confidentiels” qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est “normal” de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.

 

 

La non-affaire Bluetouff vs ANSES

lolcat_internetjpgUPDATE 16/12/2013 :

Le parquet ayant fait appel de la décision de première instance et le plaignant n’étant plus plaignant, l’épilogue de cette non affaire se tiendra le 18 décembre à la cours d’appel de Paris.

Note à moi même : ne plus publier de truc publics

 

Je ne me lasserai jamais de l’écrire, le dire et le répéter, Internet est un espace public. Cet espace public appartient à ses utilisateurs, c’est un bien commun, c’est d’ailleurs tout ce qui crée sa valeur : vous, les bouts de cervelles se trouvant aux extrémités du réseau. Cet espace public est fréquenté par des personnes physiques et des personnes morales, qui y stockent toutes formes d’informations. Certaines ont vocation à s’y trouver, d’autres pas. Certaines avaient vocation à s’y trouver à un instant T mais n’ont plus vocation à y être. Certaines n’ont aucune vocation à s’y trouver, mais elles s’y trouvent. Ce n’est pas tout noir ou tout blanc. Il y a aussi des informations que l’on pourrait qualifier de type “intermédiaires » dont on sait plus ou moins que leur place n’est pas sur Internet, mais pour des raisons de facilités d’échanges et de communication, elles y sont, accessibles à un cercle de personnes restreint, ou accessibles à tous… par choix.

La notion d’extranet fait usuellement appel à cette dernière catégorie d’informations. Il s’agit de choses que l’on souhaite partager avec une communauté ciblée d’utilisateurs : des abonnés, des clients, des commerciaux en déplacement (…). Dans la pratique un extranet, c’est souvent bien plus compliqué. On peut y trouver certaines parties parfaitement publiques. A ce titre je citerai un organisme proche de celui qui concerne notre affaire, celui de l’INSERM. On pourra également aussi citer Nike (UPDATE : lien retiré, en attente de vérification) et bien d’autres qui utilisent la dénomination “Extranet » sans pour autant juger de la nécessité de poser une quelconque authentification ou faisant le choix de proposer une authentification pour certains documents et aucune pour d’autres documents ou répertoires de leur espace.

extranet-inserm

Le cas de l’INSERM me semble assez emblématique. Sur sa page d’accueil, on peut lire qu’il s’agit d’un espace dédié aux professionnels de la recherche des sciences de la vie et de la santé. Cependant on constate qu’une grosse partie de cet extranet a vocation à être publique, y compris les documents qui s’y trouvent, comme une simple recherche dans Google nous le confirmera.

L’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail) est un Organisme d’Importance Vitale (OIV). Ses missions couvrent “l’évaluation des risques dans le domaine de l’alimentation, de l’environnement et du travail, en vue d’éclairer les pouvoirs publics dans leur politique sanitaire ». Elle regroupe donc de nombreux scientifiques coordonnant leurs recherches relatives à des questions de santé publique.

Les faits

you-e2-80-99re-doing-it-wrongAu détour d’une recherche Google portant sur un thème n’ayant strictement aucun rapport avec l’ANSES ni avec des questions de santé publique, je me suis retrouvé dans un répertoire de l’extranet de l’ANSES. Simplement, en cliquant sur un résultat d’une recherche.

  • Premier constat : il y a beaucoup de documents publiquement accessibles
  • Second constat : ça parle de santé publique
  • Troisième constat : l’ANSES est un établissement public
  • Question : est-ce que ceci doit être public ?
  • Réponse (trop) évidente sur le moment : oui

… I did it wrong.

Le téléchargement et les outils de hacker chinois panaméen : OpenVPN et Wget

Au sein de ma petite entreprise, Toonux, je commercialise une offre VPN, ou réseau privé virtuel, qui agit comme un tunnel chiffré entre chez vous et le point de sortie que vous jugez le plus sûr dans le cadre de vos activités en ligne. Sur mon système d’exploitation, j’utilise donc OpenVPN. Le VPN de Toonux, particulièrement celui-ci, a deux fonctionnalités principales :

  • protéger l’échange de données (par le chiffrement, PKI x509 dans notre cas)
  • anonymiser les flux et la source (par des mesures contextuelles que nous allons réaborder un peu plus loin quand nous parlerons d’anonymat sur Internet et sur lesquelles j’ai l’habitude mettre l’accent… à juste titre).

Ce VPN (en fait, surtout cette adresse IP panaméenne) est probablement l’un des éléments forts qui ont conduit le Parquet à faire suivre l’affaire en correctionnelle. Sauf que… naturellement, je l’utilise de manière intensive de manière parfaitement légitime, y compris sur mes deux machines fixes (un média center qui fait aussi office de serveur web qui hébergeait entre autre mon Status et un desktop qui est lui une machine professionnelle embarquant le nécessaire pour réaliser mon travail. Certains de ces outils sont, logiquement, des outils de tests d’intrusion). Ces deux machines tournent sous Debian Gnu/Linux (une Squeeze et une Wheezy).

Sur Debian, et c’est un comportement par défaut sur de nombreux  *nix*, OpenVPN se lance comme un service… à chaque démarrage. Comme le point de sortie par défaut du VPN se trouve au Panama, à chaque fois que mes machines démarrent  elles se retrouvent affublées d’une adresse IP Panaméenne. Notez que ceci ne me permet pas d’avoir d’abattement fiscal sur ma connexion Internet.

Pourquoi le Panama ?

Le Panama est surtout connu pour être un paradis fiscal. Sauf que voilà, ma société est bien française et ne dissimule aucun compte bancaire au Panama ou ailleurs, et n’y possède pas non plus de filiale ou de société écran. Le Panama c’est surtout un pays très bien connecté au réseau Internet. Beaucoup de câbles sous-marins y atterrissent, les infrastructures y sont donc plus que correctes et pourraient à elles seules justifier le choix du Panama. Nos installations de collocation sont situées dans le datacenter Telecarrier de Clayton de la City of Knowledge… c’est ici.

Mais ce n’est pas tout. Il n’y a pas que le secret bancaire qui est bien gardé dans ce pays. Le secret des correspondances l’est également. En toute logique, le pays met ceci en avant avec une politique affirmée d’ouverture aux autres pays. Les intérêts numériques étrangers ont réputation d’y être aussi bien gardés que les intérêts bancaires de certains, ce d’un point de vue sécurité, confidentialité et résilience.

En plus d’OpenVPN, j’ai utilisé un autre outil pour télécharger. C’est un outil bien connu de tous les unixiens et cousins pingouins. Il s’agit de Wget, un outil que l’on retrouve par défaut dans la majorité des distributions GNU/Linux modernes. Cet outil présente l’avantage de pouvoir télécharger le contenu d’un répertoire web, de manière récursive, sans avoir à cliquer sur tous les liens. C’est donc fort pratique.

Une fois ces fichiers téléchargés, ils ont dormi pendant quelques jours sur ma machine (mon média center). Quand je me suis enfin décidé à regarder ce que j’avais rapatrié sur ma machine, j’ai transféré, pour des raisons de confort de lecture, l’ensemble de ces documents sur ma machine de bureau. C’est un élément de détail mais c’est aussi un élément qui figure dans les PV, quelque chose de facile à interpréter de manière erronée pour un profane avec un truc du type “l’accusé a fait des copies de sauvegarde de ces documents volés ».

Les articles

C’est environ une semaine après avoir téléchargé les fichiers, entre deux articles sur Amesys et suite à des appels publics infructueux à des journalistes plus éveillés que la rédaction de Reflets à la lecture de documents de recherche scientifique sur des questions de santé publique, que je me décidais à publier un article compilant tous les documents d’une thématique que j’avais alors choisi.
Peu après, Yovan Menckevic à qui j’avais également transmis un document sur les nanoargent, publie un autre article. C’est ce document, transmis à Yovan Menkevic qui sera repéré en ligne par l’ANSES. Car jusque là, l’ANSES n’avait évidemment pas relevé d’intrusion dans son système de traitement automatisé de données… attendu qu’il n’y en avait pas eu. Un Get sur un document public n’a jamais eu pour effet de faire hurler un firewall.

En outre on trouve certains de ces documents sur des espaces parfaitement publics, hors extranet de l’ANSES, dans des datacenters américains, genre sur Google Docs, publiés par leurs auteurs eux mêmes.

Pourquoi avoir publié ?

Reflets.info est un média généraliste citoyen, et comme n’a pas manqué de le relever le procureur “hacker friendly et engagé », la formule inscrite dans la description de notre site. “Hacker friendly et engagé », pour le procureur, c’était évidemment un élément qui allait dans le sens de mon évidente culpabilité puisque ce dernier a bien entendu amalgamé le terme de hacker avec celui de cybercriminel… un amalgame que nous passons en outre notre temps à dénoncer pour redonner à ce mot sa véritable signification, à savoir celle d’un bidouilleur passionné.

Et à votre avis ? Que fait un média citoyen quand ce dernier trouve une importante masse de documents, dans un espace public, sur des questions de santé publique, émanant d’un organisme public ? Et bien il les publie, en prenant soin d’appeler des personnes compétentes à commenter et à interpréter ces données.

La plainte

La machine judiciaire s’est mise en route suite à une plainte de l’ANSES. Cette plainte portait sur “un piratage ». Et coup de bol, cette fois ci, le pirate est identifié ! Le seul hic, c’est que l’identification de la méthode du piratage indique clairement que c’est tout sauf un piratage. Extrait du PV :

« Nous [l’ANSES] avons procédé à des investigations techniques internes pour tenter d’identifier la méthode utilisée par les pirates pour accéder et récupérer les documents. A l’issue de ces analyses, nous avons alors constaté qu’il suffisait de disposer de l’url complète permettant d’accéder à la ressource sur l’extranet pour passer outre les règles d’authentification sur ce serveur. Il s’agit à notre sens de la méthode utilisée pour récupérer le document powerpoint visé en infra ».

Sous les yeux de n’importe quel magistrat, un “piratage », c’est une infraction pénale, un pirate, en toute logique, c’est un cybercriminel. Les mots ont un sens, comme ce mot “hacker », que l’on lit un peu partout associé à mon pseudo sur Internet. Dans l’esprit de nombreux juristes pas forcément versés dans la cyberculture, ce mot hacker a un raccourci malencontreux, celui de cybercriminel.

Je suis à ce jour incapable d’affirmer si l’ANSES était réellement tenue de porter plainte (je ne le pense pas), ni si elle était tenue de signaler l’incident aux autorités compétentes (ANSSI), au regard de sa qualité d’Organisme d’Importance Vitale. Ceci est parfaitement plausible, même mineur, il me semble être une bonne chose que l’ANSSI soit notifiée d’un tel incident car vous vous doutez bien que si je suis tombé sur ces documents, il y a probablement des cabinets de veille et peut être même des chercheurs de puissances étrangères qui sont tombés sur ces travaux et ont ainsi profité de travaux de recherche publique destinés aux intérêts français. Sur ce point, si les documents n’avaient pas vocation à être publics, il se peut que les chercheurs aient subi un préjudice et qu’à l’heure actuelle des chercheurs étrangers plagient leurs travaux. La filière santé est un secteur particulièrement dynamique et les enjeux financiers peuvent être importants.
Plainte ou pas plainte, il y a des questions qui justifient à elles seules une notification de l’incident… une fois ce dernier identifié comme un incident, ce qui était loin d’être évident pour une personne extérieure.

De la confidentialité des documents

Lors des auditions du plaignant, l’ANSES déclarait :

« Il s’agit de documents de travail internes qui sont échangés par les experts. Ces documents ne sont pas classifiés. Les thématiques sont néanmoins sensibles car elles sont relatives à des sujets d’actualité. Concernant la base de données, elle ne contient aucune information sensible. »

On comprendra donc que nous n’étions pas en présence d’informations sensibles, mais que la divulgation publique de ces documents était susceptible de créer de l’anxiété dans la population et donc de troubler l’ordre public. Une conclusion qui ne pouvait pas me sauter aux yeux.

Pourquoi la DCRI ?

Comme pour l’affaire Wikipedia, il est assez facile, et beaucoup trop simpliste de faire un mauvais procès à la DCRI (Direction Centrale du Renseignement Intérieur). La DCRI n’a pas choisie d’être saisie de l’affaire, elle ne s’en est pas auto-saisie non plus. Les services intérieurs ont d’autres choses à faire plus sérieuses que de m’entendre sur une affaire de téléchargement de fichiers publics, publiquement accessibles, émanant d’un organisme public sur des questions de santé publique… résumé comme ça, dés les premières minutes de ma garde à vue quand je tentais de récapituler ce que l’on me reprochait, l’affaire prenait à mes yeux une tournure pour le moins étrange.

Le fait que la DCRI soit saisie par un magistrat peut paraître “démesuré » au regard de l’infraction supposée. Sauf que voilà, l’ANSES est un OIV (Organisme d’Importance Vitale) pour l’état français. La défense des intérêts de la République étant dans le scop des prérogatives de la DCRI, il était tout à fait normal que cette dernière soit saisie.

Je n’ai pas estimé nécessaire de me faire assister d’un avocat pendant cette garde à vue étant donné que dans mon esprit, l’infraction était inexistante. Je n’avais donc, au risque de faire bondir les juristes accrocs au code de procédure pénale, aucune raison de me faire assister. C’est un peu idiot, mais quand on est sûr de soi, on n’éprouve pas le besoin de se défendre.

Je préciserai enfin que le niveau technique des enquêteurs m’a rapidement mis en confiance et qu’il m’a permis de m’expliquer de manière intelligible. Les OPJ en charge de l’enquête étaient parfaitement compétents et avaient donc une bonne compréhension de mes propos qu’ils ont fidèlement retranscrits.

Les éléments alors entre leurs mains conduisaient à m’entendre, ce qu’ils ont fait, c’est chiant comme la pluie, c’est long, mais voilà… c’est la procédure et rien ne m’a choqué, ni de leurs compétences, qu’elles soient techniques ou juridiques, ni dans les questions que l’on m’a posé, des questions nécessaires pour établir la vérité judiciaire du dossier.

La convocation et la mise en garde à vue

Les officiers de police judiciaire de la DCRI ont fait le choix de me convoquer, alors qu’ils avaient parfaitement le droit de me cueillir chez moi, à 6h du matin, ce que l’on appelle la méthode dite de “l’ami Ricorée » en mode sans pain et sans croissant. Outre le fait que je ne suis pas spécialement du matin, je pense que j’aurais été probablement bien moins coopératif dans de telles conditions et que je me serais très probablement fait assister d’un avocat dés ma mise en garde à vue.

A mon arrivée dans les locaux où j’étais convoqué, au commissariat d’Orléans, on me demandait si j’avais une idée sur les raisons de cette convocation.

Naturellement, au regard de mes activités sur Reflets.info, je m’attendais à être entendu comme témoin dans le cadre d’une enquête préliminaire ciblant Amesys et la vente d’armes électroniques à la Libye de Kadhafi que j’ai à maintes reprises abordé avec d’autres auteurs de Reflets. Ceci me paraissait d’autant plus logique que nous nous rappelons régulièrement au bon souvenir du Parquet qui instruit l’affaire Amesys pour lui signifier que nous sommes en possession de documents susceptibles de l’intéresser.

Au bout de plus de 2 ans, malgré nos appels du pied, nous n’avons toujours pas été entendus dans le cadre de l’enquête sur Amesys (pour des faits de complicité de torture). Quand on met ceci en parallèle des 3 mois qu’il aura fallu à la justice pour décider de me mettre en garde à vue dans le cadre d’une affaire de publication de fichiers publics sur des questions de santé publique, on se gratte un peu la tête en se posant beaucoup de questions…

La garde à vue, bien que déplaisante, reste cependant une anecdote. Certes, je ne la souhaite à personne, particulièrement à Orléans où les formes de vies bactériologiques imprégnées dans les murs répugneraient n’importe qui. Les cellules sont nettoyées quand elles sont vides, et à Orléans, elles sont visiblement très rarement vides.

Même si à mes yeux cette garde à vue me semblait totalement disproportionnée au regard de ce que l’on me reprochait, je savais aussi qu’il ne s’agissait là que d’une simple procédure “normale », dans le cadre de l’enquête menée par les OPJ de la DCRI, sur la demande du Parquet. En dehors de signifier ma surprise et confier mon sentiment aux OPJ, je n’avais pas grand chose d’autre à faire que de l’accepter.

Des outils de hack ?

Dans le cadre de mon activité sur Toonux, il m’arrive d’être mandaté par des entreprises privées ou des administrations publiques pour mener des tests d’intrusion. Il est donc parfaitement normal que lors de la perquisition, on ait retrouvé sur le disque dur de mon ordinateur de bureau des outils servant à réaliser ces tests d’intrusion. Je ne me suis d’ailleurs jamais caché d’en utiliser, j’explique même sur l’un de mes blogs mes préférences en la matière. Notez au passage que ce blog est tout sauf anonyme, et qu’il est tout sauf une incitation à faire tout et n’importe quoi avec les outils qu’il évoque, mes avertissements sur le sujet sont d’ailleurs récurrents. Une partie de ce blog est d’ailleurs privée car je ne souhaite pas non plus le transformer en support pour des personnes qui ne prendraient pas la mesure de la dangerosité à utiliser certains outils.

La notion d’anonymat vs pseudonymat

La notion d’anonymat sur Internet est quelque chose que j’aborde régulièrement dans mes publications. Je pense être en mesure, à ce titre de faire une différence technique entre les concepts d’anonymat et de pseudonymat. Pour le côté juridique de ces notions, je vous renvois à cet article de Maître Eolas que je me permets de citer :

“la vérité est terrible pour moi : c’est sous mon vrai nom que je suis anonyme…”

L’immense majorité des personnes qui me connaissent m’appellent Touff ou Bluetouff. Ce pseudonyme, je me le traîne depuis plus de 10 ans suite à une anecdote qui est même relatée ici.

Le pseudonyme Bluetouff est un élément indissociable de mon identité.

Quelle ne fut pas ma surprise d’entendre le procureur évoquer ce qui semblait dans sa bouche être le calvaire de mon identification et le fait que publier sous ce pseudonyme marquait de ma part une volonté “évidente » de m’anonymiser.

C’est le jeu, je n’ai pas pu m’expliquer là dessus, mais l’analyse des faits infirmait évidemment totalement cette approche :

Bref, le pseudonyme “bluetouff », niveau volonté d’anonymisation, vous noterez que c’est clairement pas ça. C’est pas non plus comme si ce pseudo n’était pas “un peu » associé à ma trombine. Retrouver mon identité sur Internet prend moins d’une minute, même pour une personne peu formée aux techniques de cyber-investigations.

bt

J’ai eu par le passé l’occasion d’écrire sur ce blog ce qu’implique la notion d’anonymat sur Internet, à savoir une protection des données (par le chiffrement) et par la protection du contexte.

  • On parle de protection des contenus, par le chiffrement
  • On parle de protection du contexte, par l’anonymisation

Dans l’approche que nous adoptons sur Toonux.net, si l’un des deux éléments n’est pas respecté, la chaine de l’anonymat est rompue. Dans notre affaire, je chiffrais bien mes données (avec le VPN), mais le contexte lui n’était en rien protégé puisque :

  • je publiais sur un média dont je suis co-fondateur et sur lequel c’est écrit en toutes lettres, et non en service caché sur TOR ou sur un site tiers ;
  • je publiais sur un site que j’héberge et en ma qualité d’hébergeur, je suis facilement identifiable, avec un Whois où figurent mon nom, mon email et un numéro de téléphone ;
  • je publiais sous mon pseudonyme, Bluetouff, un élément factuellement indissociable de mon identité ;
  • j’utilisais l’adresse IP externe de la solution VPN que je commercialise au sein de ma propre entreprise alors que j’ai tout loisir de doubler cette protection en utilisant un bridge TOR pour changer d’adresse IP toutes les 5 minutes et que j’aurais pris soin d’isoler dans une machine virtuelle que j’aurais par la suite shreddé (détruit de manière sécurisée)… et par là même de devenir beaucoup plus difficilement traçable/corrélable.
  • j’appelais aussitôt sur un réseau social public (Twitter) où mon pseudo est parfaitement associé à ma photo, à mon nom et à mon prénom, des journalistes ou des scientifiques susceptibles de nous aider à décrypter les documents trouvés.

Conclusion : même avec 4 grammes d’alcool dans le sang, si j’avais voulu un tant soit peu m’anonymiser, je ne m’y serais pas pris de cette manière. Difficile dans ces conditions de me prêter une volonté de me “cacher ».

La notion d’adresse IP

Puisqu’on parle d’anonymisation, nous allons ré-aborder une fois de plus très brièvement l’élément “troublant » : l’IP panaméenne depuis laquelle je surfe régulièrement.
Comme expliqué plus haut, OpenVPN, le logiciel qui sert à créer un tunnel chiffré entre chez moi et un point de la planète que j’ai loisir de choisir, démarre au lancement de mon système d’exploitation. Par défaut, je me retrouve donc au Panama à chaque démarrage. Si je veux récupérer l’adresse IP externe de mon opérateur, il me faut alors, une fois la machine démarrée, lancer la commande suivante :

# /etc/init.d/openvpn stop

C’est quelque chose que je ne fais pas ou rarement, j’ai pris l’habitude de chiffrer mon trafic tant à mon domicile qu’en mobilité. Etudiant de près les joujoux des fournisseurs d’accès, des publicitaires, ou des autorités des pays sur lesquels j’enquête (les mêmes joujoux que la France, les USA ou l’Allemagne leur vend d’ailleurs), je sais que mes communications sont susceptibles d’être interceptées par des tiers non autorisés. C’est pour me prémunir de ces intrusions de trafic que je sors couvert, un réflexe qui a encore plus de sens quand je suis en déplacement à l’étranger, notamment dans des pays arabo-musulmans que nous avons déjà clairement identifié comme étant des grands fans de l’intrusion massive dans le trafic des internautes.

Dans mon esprit, et après tout ce que j’ai pu découvrir au fil de ces 3/4 dernières années, un VPN, ça devrait être obligatoire, et pour tout le monde. Non pas parce que l’on a des choses à cacher, mais pour préserver ses données personnelles. Exemple en image :

ConnexionInternetNonSecure-413x550

C’est quelque chose que je savais déjà, mais qu’il me semble bon de rappeler à tous (HADOPI si tu m’entends)… l’adresse IP est un embryon de début de preuve, et en aucun cas une preuve. Penser pouvoir automatiser la pénalisation d’infractions comme on le fait avec les automobilistes sur le critère de la plaque d’immatriculation ne peut fonctionner sans un taux important de casse… même avec IPV6, une IP restera toujours spoofable (usurpable). Pour certains besoins, des infrastructures dissimuleront des centaines ou des milliers de gens derrière la même adresse IP. Et encore une fois, c’est le cas du VPN utilisé dans cette affaire.

Sur le VPN commercialisé sur Toonux.net,  les utilisateurs sont “crowdés » derrière une seule et même IP, il s’agit d’une mesure supplémentaire pour garantir leur anonymat. Fonctionner avec une IP par utilisateur permet une identification trop simple et c’est quelque chose que nous avons écarté, par choix.

Si dans les faits j’ai reconnu aux OPJ de la DCRI qu’il s’agissait bien de moi derrière cette IP à cet instant T (celui du téléchargement des documents de l’ANSES), j’aurais pu en toute bonne foi dire “peut-être, car on était plusieurs centaines au même moment avec la même IP visible depuis le Net ».

Note à moi même : une clarification juridique sur la valeur probante de l’adresse IP, on a beau la reculer, il faudra bien y passer après le bullshit parlementaire que nous nous sommes avalés pendant les débats sur HADOPI à ce sujet.

Prévenir les administrateurs du site ?

Le procureur de la République, qui rappelons le, dans ce contexte, a pour rôle de me faire passer pour un cybercriminel, m’a demandé si j’avais prévenu les administrateurs du site. Mais les prévenir de quoi au juste ? En me retrouvant sur un répertoire public d’un organisme public regorgeant de documents scientifiques imbittables à mon niveau sur des questions de santé publique, je n’aurais notifié qu’un truc du genre “attention je visite votre espace web ». Il ne m’a logiquement pas semblé nécessaire d’alerter les administrateurs que je visitais un espace public.

Alerter des administrateurs, c’est quelque chose que je fais très régulièrement, quand des données manifestement privées (comme des données personnelles) se retrouvent sur le Net. Et encore… on en trouve tellement que je pourrais y passer mes journées.

Bien évidemment, il y a quelques cas un peu plus médiatiques que d’autres sur ce genre de découvertes, les plus connus étant ceux de :

… mais il y en a un paquet d’autres dont je n’ai pas forcément parlé publiquement comme celui d’une grosse société de paiement électronique américaine qui ne reconnait même pas sa négligence ou à contrario avec des administrations publiques qui sont de plus en plus efficaces dans la résolution des problèmes qu’on leur remonte.

Mais prévenir une société d’une brêche de sécurité, quand elle est manifeste, il ne faut pas se leurer, ça comporte aussi pas mal de risques. Aussi de nombreux internautes à l’oeil avertis repérant ce genre de failles ne s’aventurent même pas à essayer d’avertir les concernés. Et pour cause, quand on voit la réaction d’un Tati face à Kitetoa, on y réfléchit à deux fois.

Le verdict et ses implications

La délibération du tribunal est intéressante, tant sur le fond que sur la forme. Ma relaxe a été prononcée en une heure, ce qui est ultra rapide pour une affaire qui touche à des problématiques techniques. Ceci est un bon signe car met en évidence une montée en compétence des juges face aux problématiques liées à Internet.

Il ressort donc du verdict que :

  • La notion d’accès et maintient frauduleux dans le système de traitement automatisé de données de l’ANSES n’a pas été retenue attendu qu’il était constant que les documents étaient bien publiquement accessibles suite à un défaut de sécurisation du répertoire qui les contenait. Si je devais reprendre l’image évoquée par le procureur, à savoir “c’est comme si on rentrait dans une boulangerie et que l’on se servait », j’expliquerais que la boulangerie n’avait ni mur, ni porte, ni enseigne, ni boulanger.
  • La notion de vol de données informatiques est un point de droit particulièrement intéressant que toutes les personnes qui se sont intéressées à l’échange de produits culturels sur Internet se sont déjà posées. Quand Universal Music ou le SNEP vous crache à la figure à coup de campagnes de pub à plusieurs millions d’euros pour vous dire que “le téléchargement c’est du vol », nous aurons au moins une jurisprudence pour leur expliquer qu’on ne vole pas des fichiers : on les copie, on les reproduit, au pire, on les contrefait, mais on ne les soustrait pas. N’en déplaise à l’ami Enrico pour qui le téléchargement c’est du vol à main armée »

Le “vol de données » est un terme que l’on retrouve assez régulièrement dans des articles de presse. J’aurais au moins appris que ce terme est erroné juridiquement.

Du temps perdu ?

30 heures de garde à vue, ça fait à mon sens beaucoup pour une publication de documents publics sur des questions de santé publique. Mais ce n’est pas là plus grosse “perte de temps”.

Cette non-affaire aura mobilisé :

  • le service informatique de l’ANSES,
  • 4 enquêteurs de la DCRI,
  • un magistrat pour mettre en route la procédure,
  • un tribunal,
  • les personnes que j’ai sollicité pour obtenir des témoignages concernant des points techniques,
  • mon avocat Maître Olivier Iteanu que je remercie pour la justesse de ses conclusions et son expertise reconnue sur ces questions.

On parle donc de centaines d’heures en temps cumulé si on additionne le temps de tous les intervenants. Ce temps a un coût financier. Le caractère technique de l’enquête engendre un coût financier important au regard de la gravité des faits. Et ça, en tant que contribuable, je suis le premier à le regretter, je présente donc mes excuses à tous les contribuables qui ont financé ce mauvais scénario.

Je ne suis pas cependant d’accord pour dire que c’était du temps “perdu », car ce temps sera toujours du temps et des soucis en moins pour d’autres personnes qui pourraient être confrontées à des affaires plus ou moins similaires, ou faisant appel à des points de droit de cette décision.

Note à l’attention de l’ANSES

Je regrette sincèrement que les publications incriminées aient pu troubler la tranquillité de l’ANSES dont le rôle est d’une importance capitale. Ce n’était évidemment pas le but de ces publications qui s’inscrivaient dans une démarche d’information citoyenne. La technicité de ces documents ne me permettait pas de prendre conscience que certains d’entre eux puissent créer de l’anxiété dans la population. Tous ces chiffres n’éveillaient en moi que des questions et une envie de compréhension, ce fut d’ailleurs le sens de mes appels publics sur Twitter et même sur l’un des articles incriminés.

LOPPSI en seconde lecture : ouverture du bal

internet downgrade
LOPPSI downgrade ton Internet et tes libertés

C’est aujourd’hui que la loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), arrive en seconde lecture à l’Assemblée nationale. Sur les questions qui touchent à Internet, le contexte est particulièrement favorable aux partisans de la ligne la plus sécuritaire. Une politique sécuritaire rime rarement avec le respect des droits fondamentaux. Elles sont, l’histoire nous le montre, surtout prétexte à des restrictions majeures des libertés. En trame de fond, l’affaire Wikileaks qui agite autant la presse que les ambassades et les ministère du monde entier devrait s’inviter dans l’hémicycle plus ou moins directement quand les questions relatives au blocage des sites web (article 4), seront débattues.

A l’instant, c’est Brice Hortefeux qui a ouvert les débats en expliquant grosso modo qu’il va sécuriser plus avec moins d’effectifs policiers, d’ailleurs certaines municipalités comme Nice qui s’adonnent aux joies de la cyber prune ont montré l’exemple, il suffit de mettre des caméras partout, de croiser toutes les bases de données… d’agréger le feed rss d’Echelon, de bien secouer, de faire passer le tout dans le gros ordinateur de Jacques Myard et hop le tour est joué… rien de bien sorcier ni de bien intrusif nous assure le ministre, c’est une loi pragmatique, nous voilà donc rassurés.

Le ministre défend ensuite son bilan en sortant une batterie de chiffres dont l’absence de contexte ne permet pas un jugement critique. Brice Hortefeux veut se donner des moyens législatifs et financier, en virant quelques effectifs et en les remplaçant par des cameras, des bracelets électroniques qui tweetent le commissariat du coin et en installant 2/3 firewall open office, le “Package Loppsi” est budgété pour la modique somme de 345 millions d’euros.

Globalement, il est question selon le ministre de “renforcer l’efficacité de la chaîne pénale ». Pour lutter contre la délinquance Brice Hortefeux défend son texte qui est axé sur les points suivants :

  • d’avantages d’outils opérationnels comme la vidéo-surveillance et autres outils favorisant la “vigilance active“): le ministre évoque un accroissement du parc de 37 000 cameras. Dans ces outils, on trouve pêle-mêle : les logiciels de croisement judiciaire, le blocage des téléphones mobiles volés ou encore la saisie des biens des délinquants.
  • le renforcement de la police administrative ;
  • la lutte contre le hooliganisme ;
  • la lutte contre la délinquance dans les transports ;
  • l’immobilisation en cas de délits routiers graves ;
  • le renforcement de la capacité d’action sur Internet avec la mesure qui risque de faire couler beaucoup d’encre : le blocage des sites pédo-pornographiques, mesure déjà abandonnée en Allemagne et sur le point de l’être en Australie, … bref pas de doute, nous sommes bien les pionniers en matière d’Internet civilisé… enfin on est les pionniers français parce qu’ailleurs tout le monde en est revenu.

Sur ce dernier point, Brice Hortefeux lâche un superbe “on ne peut pas faire comme si rien ne se passait” pour défendre le blocage des sites. Cette phrase est assez révélatrice de la perception de l’action chez le ministre : en bloquant l’accès à des sites web illégaux, c’est pourtant bien ce que propose Brice Hortefeux : fermer les yeux. La lutte contre la pédo pornographie se gagne sur le terrain, des associations dans d’autres pays comme en France le soulignent : Le blocage des sites ne sert à rien, en revanche une coopération judiciaire internationale visant à supprimer ses contenus et interpeller les auteurs serait bien plus utile. Le slogan de Mogis, est pourtant clair :

Supprimez, ne bloquez pas!
Agissez, ne fermez pas les yeux!

Pour Besson Wikileaks est un site criminel

Julian Assange
Julian Assange

Eric Besson était sur Europe 1 ce matin. Pénible comme intervention. Vous pouvez l’écouter ici, ça commence vers 14’30”. Toute la pénibilité de l’homme qui sait qu’il fait le choix de s’engager sur une pente glissante mais qui est obligé de passer par là s’il veut être entendu dans tout ce bruit. Et bien  tout ça ne sent franchement pas bon à la veille de la seconde lecture de LOPPSI 2, les intérêts du ministre de l’industrie qu’il est (et il le rappelle, Internet est une industrie), convergent avec ceux de certains fournisseurs d’accès, des équipementiers, et convergent également avec l’orientation sécuritaire de la politique actuelle du gouvernement. L’affaire Wikileaks devrait donc naturellement s’inviter dans les débats de l’Hémicycle et j’ai bien peur que l’on ne se mette à reparler de technologies de reconnaissance de contenu ou encore plus stupide, comme un gros bouton rouge pour couper l’Internet.

Besson un avant-goût de cleanternet

J’ai été soufflé de l’aplomb avec lequel Eric Besson, s’est substitué à un juge français et américain en même temps pour décréter Wikileaks comme une organisation criminelle. Notre ministre fait des raccourcis un peu rapides : il part du principe admis que Wikileaks est un site criminel parce qu’il a volé des documents, première erreur, Wikileaks n’a rien volé, il a diffusé des documents supposés volés. Quand on lui demande pourquoi il n’attaque pas le quotidien le Monde, Eric Besson n’en ramène d’ailleurs franchement pas large. Eric Besson lâche ensuite une position bien tranchée sur le rôle de l’État dans le cadre de la censure d’un site web : “l’Etat a son mot à dire”. Le ministre se lance après dans une définition de ‘l’Internet libertaire’ pour lui, c’est l’Internet des pédophiles et des terroristes. Peu de doutes, Monsieur Besson a bien envie de nettoyer ton Internet, il a décidé que l’État devait se prononcer sur la légalité des contenus sur Internet et qu’il est à même de juger un homme, quitte à se soustraire à la justice… américaine.

Le Cablegate aura un effet positif, les véritables intentions des uns et des autres en matière de filtrage vont pouvoir librement s’exprimer et on verra qui défend quelle position. On devrait donc vite voir assez clair dans le jeux de personnes qui ont tout intérêt à tenter de filtrer Internet. Grâce au Cablegate, on aura au moins appris qu’Éric Besson se fout bien qu’un juge ait à se prononcer sur la légalité d’un site web ou pas, le shériff, c’est lui.

Mise en cause de la vie d’autrui

Eric Besson condamne de fait Wikileaks en retenant un chef d’inculpation que même les lawyers de la Maison Blanche n’ont pas retenu pour poursuivre Wikileaks (en tout cas ça leur semble bien moins évident que pour monsieur Besson), d’ailleurs le site ne fait pas à ma connaissance l’objet de poursuite directe, c’est Julian Assange que l’on poursuite pour un un très supposé crime sexuel… et on va voir la tronche du crime.

Le mandat d’arrêt international contre Julian Assange, cette red notice Interpol ne parle même pas de viol, d’agression sexuelle; juste un “sex crime” qui fait référence à un “rapport sexuel non protégé“…. pas une agression, pas un viol, pas une mise en danger de la vie d’autrui (ou alors leur astuce juridique est là mais ils auraient pas oser quand même.. c’est un peu grossier)… c’est un homme, l’homme le plus recherché du monde… que l’on recherche officiellement dans le monde entier pour ne pas avoir mis de capote !

Pourtant, Eric Besson invoque lui une mise en danger de la vie d’autrui et soutient que l’État américain a porté plainte pour des activités criminelles.

Et bien montrez nous un indice de cette plainte, car la red notice elle, elle n’en parle pas.

Deep Packet Inspection au Canada

privacyMichael Geist est professeur de droit à l’Universite d’Ottawa, c’est un fervent défenseur des libertés numériques, plaidant entre autres pour une réforme du copyright à l’heure d’Internet. Sur son blog, le professeur nous apprenait la semaine dernière que le Canada s’apprêtait à voter une loi terriblement dangereuse, c’est un lecteur de Numerama qui l’a relevé, elle se décompose en 3 volets :

  • Le premier oblige les FAI à transmettre les informations  personnelles d’abonnés à l’autorité judiciaire en se passant de l’avis d’un juge. La loi actuelle les y autorise, sans pour autant les y contraindre.
  • Le second incitant tous les fournisseurs d’accès à modifier leur infrastructure réseau afin de rendre possibles des écoutes légales ciblées. Ceci signerait l’arrêt de mort des plus petits fournisseurs d’accès canadiens. Les exigences semblent particulièrement précises et très contraignantes : il s’agit notamment de pouvoir intercepter les communications, d’isoler les communications d’un individu en particulier, et être en mesure de réaliser simultanément de  multiples interceptions. Les employés des FAI impliqués dans les interceptions de données devront en outre montrer patte blanche et pourront être soumis à des vérifications de leurs antécédents judiciaires. Pour mettre en place ce dispositif, un délai de 3 ans est donné aux fournisseurs d’accès, mais pour les plus petits d’entre eux qui n’auront pas les moyens de les mettre en place, ces dispositions n’en font que peu de cas.
  • Le troisième et dernier volet confère de nouveaux pouvoirs à l’autorité judiciaire, lui permettant notamment d’accéder en temps réel aux données interceptées, ce qui suppose une interconnexion directe entre les FAI et l’autorité judiciaire. Ces données concernent la création, la transmission, la réception, le type (protocole), la route, l’heure, la durée, l’origine et la destination de la communication… la totale. Le délai de rétention de ces informations serait fixé à 90 jours. Enfin les fournisseurs d’accès sont évidement tenus de ne pas communiquer aux abonnés d’information les alertant d’une écoute.

Selon Michael Geist, le coût de ces mesures est très important, tant financièrement qu’en terme d’impact sur la vie privée. On parle bien ici de surveillance par des sociétés privées (des fournisseurs d’accès Internet), sans mandat du juge.

De la négligence caractérisée… comment avons nous pu en arriver là ?

Je me permet de vous livrer une petit réflexion rapide sur la dangerosité de la contravention pour négligence caractérisée introduite par le législateur dans HADOPI. Ce n’est évidemment pas le première fois que j’en parle ici, mais l’absurdité de ce terme, “négligence caractérisée” me fait me poser beaucoup de questions. Je me permet donc de réfléchir un peu tout haut…

Commençons par le pourquoi :

Devant un phénomène massif, il a fallu permettre une (in)justice expéditive se passant du juge. Sans crime constitué et avec un délit sans preuve valable, le législateur a du trouver un subterfuge, à savoir une ruse, un moyen détourné visant à se tirer de l’embarras.

  • Premier point, le plus évident, et pourtant visiblement pas assimilé du tout par la député Marland-Militello qui aime à afficher sur son blog que les internautes téléchargeurs sont des criminels qui tuent les artistes : en droit, un simple téléchargement, particulièrement dans le cadre d’un échange sur les réseaux P2P, peut difficilement être assimilé à un crime contre la propriété car ce terme désigne un transfert illégitime de propriété. Une oeuvre immatérielle qui s’échange ne change rien à la notion de propriété d’une oeuvre de l’esprit (son auteur continue à jouir de la propriété pleine et entière de sa création, même si cette dernière est dupliquée : il n’y a pas de soustraction, mais multiplication). Un tribunal requalifierait donc immédiatement un “crime de téléchargement d’un MP3 d’Enrico Macias” en une infraction mineure. Un téléchargement n’a jamais tué personne, ni un artiste, et encore moins la création. Les discours de Nicolas Sarkozy à ce propos sont ridicules, tant sur le plan de la création que sur le plan juridique, et plus que discutables, sur le plan économique.
  • Le délit de contrefaçon ( article L. 335-3 du Code de la propriété intellectuelle) était lui aussi proscrit. Pourtant, tout indiquait qu’il pouvait se matérialiser par des preuves tangibles… mais nécessitant une commission rogatoire, et une véritable action judiciaire pour constituer un dossier de preuves plus solide qu’une adresse IP collectée sur un tracker torrent (ça va vous seedez toujours là ?). En droit, est considéré comme un délit une infraction entraînant une réparation : par exemple des dommages et intérêts, ce qui nécessite l’estimation d’un préjudice, quasiment impossible à évaluer dans le cadre d’un téléchargement (dans la pratique du P2P, ce n’est pas parce que l’on télécharge ou que l’on met à disposition une oeuvre qu’on aurait couru l’acheter à la FNAC, et encore moins qu’on serait allé la revendre dans le métro à la sauvette comme c’est maintenant le cas grâce à HADOPI). Le téléchargement étant devenu un usage en plus d’une décennie pendant laquelle les majors se sont grattées le derrière en se demandant comment elles allaient pouvoir gagner plus d’argent grâce à Internet, le délit de contrefaçon était une réponse anecdotique à un usage massif.
  • Une contravention est en droit pénal l’infraction la moins grave. La sanction maximale d’une contravention est une amende de 3000 euros. La contravention pour négligence caractérisée a fixé son plafond à 1500 euros et prévoit une sanction assortie qui est la coupure de la connexion de l’abonné (dont le préjudice réel peut, de très loin, dépasser le plafond maximal d’une contravention). Nous disposions en plus dans le droit français d’un exemple concret en application : celui des radars routiers dont on a eu de cesse de nous rebattre les oreilles pendant les débats sur HADOPI. Mais voilà, Christine Albanel a eu beau nous exposer ses arguments, elle n’a pas plus convaincu les internautes qu’elle n’arrive à convaincre ses nouveaux collègues d’Orange. En effet, il est rarissime qu’un automobiliste change de plaque d’immatriculation avant de passer devant les radars, alors qu’HADOPI incite les internautes à changer d’IP avant de se faire flasher ou reflasher par les sondes de TMG, société privée à qui les ayants-droits ont confié la mission de s’occuper de leurs radars (oui j’ai bien dis sondes et j’y reviendrai dans un prochain billet). Mais si vous m’avez bien suivi ça nous donne des sociétés privées, qui mandatent d’autres sociétés privées pour se faire justice elles-mêmes… et ça en droit français, à ma connaissance, c’est une nouveauté… dangereuse. Enfin la sanction est confiée à une haute autorité administrative qui n’est ni un tribunal de police, ni une juridiction de proximité, qui étaient pourtant jusqu’ici seuls habilités à sanctionner ce type d’infractions. Dans un état de droit, ceci est susceptible de constituer une dérive inquiétante.

Quand le pourquoi “massif” explique un comment “ridicule”

Et c’est là, qu’on sombre dans le comique… le législateur, qui dans plus de  80% des cas n’est pas fichu de faire la différence entre son système d’exploitation et le contenu de son navigateur, a décidé de pointer du doigt le défaut de sécurisation de la “connexion Internet” pour matérialiser l’infraction de la contravention. Juridiquement, la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet (vous noterez que le nom même de cette loi est un mensonge de bas étage puisqu’elle ne favorise en rien ni la création ni la diffusion des oeuvres, la récente disparition de Jiwa est encore là pour nous le rapeler) modifie l’article L. 335-3 du Code de la propriété intellectuelle définissant le délit de contrefaçon, et ajoute une contravention pour négligence caractérisée qui n’annule en rien le délit de contrefaçon, laissant ainsi planer le spectre d’une double peine, et même d’une triple peine si on y ajoute la coupure de connexion.

Et enfin le risque

Quand on inscrit dans le corpus législatif une telle monstruosité, on est en droit de s’inquiéter sur l’applicabilité à des crimes, et non plus des délits ou des contraventions. Imaginez donc un seul instant, que la négligence caractérisée s’applique à une personne qui n’a pas su “sécuriser sa connexion” et qui s’est retrouvée victime de l’inoculation d’un cheval de Troie servant par exemple à diffuser des contenus pédophiles par vagues de spams. Le propriétaire de la machine, qui est aussi la victime d’un piratage, se trouve donc accusé d’une contravention pour négligence caractérisée, sur des faits passibles d’assises. Ces dérives sont malheureusement bien réelles aux USA ou des personnes sont emprisonnées à tort pour des faits de détention ou diffusion de contenus pédopornographiques. Le cynisme de la contravention pour négligence caractérisée est qu’elle équivaut à un “bien fait pour ta pomme” aux victimes d’intrusions dont la vie se retrouve brisée.

Mon sentiment

Je ne suis pas juriste mais il y a pas mal de choses qui me dérangent sur le fond comme sur la forme. Cette contravention est ridicule tant dans ses fondements que dans ce qu’elle prétend sanctionner. Elle vient se poser en épouvantail, en amont d’un délit de contrefaçon, lui bien applicable, mais en terme de dissuasion, impossible à gérer car il nécessite trop de moyens dans sa mise oeuvre à grande échelle pour répondre au téléchargement devenu un usage massif sortant du cadre de l’exception au droit d’auteur alors que l’on paye pourtant une taxe sur la copie privée (cherchez l’erreur, elle est soit fiscale soit législative, mais il y a bien là encore une incohérence car on taxe une pratique déclarée illicite… ).

L’ applicabilité de la contravention pour négligence caractérisée pourrait bien se voir compromise au moindre déferrement devant un tribunal, ce qui m’invite à penser que si l’étape 2 du dispositif, c’est pas pour demain, l’étape 3, à savoir la coupure de connexion, ne sera jamais appliquée. D’ailleurs il est entendu par circulaire de la chancellerie que les tribunaux n’ont aucune envie de voir défiler le produit d’une telle sotise.

Enfin, la négligence caractérisée, pour défaut de sécurisation de l’accès Internet, est d’une hypocrisie sans faille, qui consacre le terme de “sécurité” à la surveillance d’une connexion contre un usage, qui est le téléchargement, au lieu de porter son dévolu sur une notion fondamentale et à laquelle chacun à droit : la protection de ses données personnelles qui fait pourtant en pratique tant défaut à de nombreuses sociétés et administration qui en exposent par dizaines de milliers. une situation d’un cynisme inacceptable.

Jérôme Kerviel condamné à 5 ans de prison dont 3 ferme

La nouvelle vient tout juste de tomber, Jérôme Kerviel vient d’écoper d’une condamnation de 5ans de prison, dont 3 fermes. Un jugement qui peut paraître lourd, une peine presque exemplaire. Mais qu’a t-on jugé ?  Une chose semble cependant claire, ce n’est pas le procès de la finance qui a été ici fait, le trader est tenu pour coupable et seul responsable de la perte de 4,9 milliards d’euros qu’il devra assurer en dommages et intérêts, soit sur quelques générations (la justice vient d’inventer un nouveau moyen de contraception) . Abus de confiance, fraude informatique, tout les chefs d’inculpation semblent avoir été retenus. Le trader n’aura plus non plus le droit d’exercer.

Le procès de sa hiérarchie qui ne semblait pas non plus toute blanche dans cette affaire aura t-il lieu un jour ? Il arrivera bien un jour où certaines données se retrouveront sur Wikileaks et où nous connaîtrons le fin mot de cette affaire. Je suis personnellement persuadé que Jérôme Kerviel n’a pas pu agir sans que sa hiérarchie ne le couvre du moins partiellement. L’intrusion informatique et la falsification de certaines données ne peut tout expliquer.

The Pirate Bay : les polices de 14 pays unies pour un raid contre le tracker torrent

the pirate bay
The Pirate Bay

Aujourd’hui se déroule une opération d’envergure implicant les forces de polices de 14 pays et faisant suite à deux années de préparation. Il s’agit visiblement de tenter de démanteler l’architecture technique de The Pirate Bay, le célèbre tracker Torrent sur lequel on ne download pas que des Krissprolls. L’essentiel de l’action semble s’être cependant tenue en Suède à Stockholm, Malmö, l’Université d’Umeå et Eskilstuna. L’hébergeur suédois hébergerait également Wikileaks mais les autorités font savoir que Wikileaks n’était pas concerné par ce raid.

En plus de la Suède, des actions ont été parallelement menées aux Pays-Bas, en Belgique, en Norvège, en Allemagne, en Grande-Bretagne, en République tchèque et en Hongrie. 4 personnes soupçonnées d’infraction aux lois sur le copyright sont actuellement interrogées.

Pour l’instant, depuis la France The Pirate Bay reste accessible mais ce n’est déjà plus le cas dans certains pays d’Europe. Cette intervention fait suite à une action en justice d’origine belge et dit viser la scène warez.

Ce n’est pas la première fois que The Pirate Bay fait l’objet d’actions visant à démanteler son infrastructure, le site a déjà à plusieurs reprises été mis hors ligne, et ceci n’a jamais duré bien longtemps. Quid de cette opération ? La suite dans les heures qui viennent.

Lawtech : le full disclosure passe en procès à la Cantine

lawtech
Law Tech à la Cantine

C’est une rentrée chargée pour la Cantine, donc prenez en date, ça se tiendra le 30 Septembre 2010 de 19h30 à 21h30. La soirée organisée par le Cercle Azimov vous présentera un cas fictif de procès sur le full disclosure, plaidé par de véritables experts en la matière. Un scénario assez drôle permettra de lever le voile sur la complexité de la pratique du full disclosure pour des failles dites sensibles, et du déroulement d’un procès en conditions réelles sur ce thème technique complexe, autant techniquement que juridiquement.

Composition du “Tribunal et des Parties au procès” :
Pour la demande :
Pour la défense :
  • prévenu : Philippe Langlois, expert en sécurité informatique, P1 Security
  • témoin : M. Eric Filiol, expert en sécurité informatique, ESIEA
  • avocat : Me Ambroise Soreau, avocat, cabinet Henri Leclerc & Associés
Tribunal :

Le cas pratique :

Serge Bitnick est post-doctorant en biochimie et fait de la recherche de failles informatiques à ses heures perdues. Il découvre une faille dans le système d’information d’un hôpital. Il se rend compte qu’il existe un risque que tout le système d’information de l’hôpital soit compromis et cesse de fonctionner. Il tente immédiatement de prévenir le RSSI (Responsable de la sécurité des systèmes d’information) de l’hôpital mais, après 30 minutes de recherche sur Google, il ne trouve pas l’adresse email de celui-ci et décide d’envoyer le message suivant via le formulaire de contact présent sur le site web de l’hôpital :

« Bonjour,
J’ai remarqué que votre système informatique était victime d’une très grosse faille de sécurité. Il s’agit d’une faille du type Stack Overflow permettant un accès en lecture au Memcache de votre application web en Django-CMS. Le système SCADA est compromis et tous les respirateurs artificiels ainsi que le monitoring des salles de réveil post-opératoire de l’hôpital peuvent être contrôlés depuis une interface web rendue publique et indexée par Google. Cette faille peut être très facilement exploitée. Il y a un risque que tout votre système saute !  Il faut réparer ça très vite. Je n’ai pas trouvé le contact de votre RSSI. Contactez-moi si vous avez besoin d’aide.
Serge B.

Le lendemain, il reçoit l’email suivant :
« Cher Monsieur,
Merci de votre démarche. Je transmets votre message.
Cordialement,
Damien Champagne »

15 jours plus tard, la faille n’a toujours pas été comblée. Serge Bitnick la divulgue sur son blog et son fil Twitter (1.042 abonnés dont une poignée de journalistes spécialisés) :
« Grosse faille dans le SI de l’hosto de Tataouine http://ow.ly/17OrX2 #UBER_FAIL ! »
De fil en aiguille, l’information est reprise 3 jours plus tard dans l’édition web d’un journal national puis dans les éditions papier de différents journaux et magazines. Des familles de personnes hospitalisées dans l’hôpital concerné (et dans d’autres hôpitaux) paniquent et inondent le standard de l’hôpital pour s’assurer que tout va bien, voire se rendent à l’hôpital pour ramener chez eux leurs parents. L’hôpital porte plainte contre X pour intrusion dans un système de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causée.
Serge Bitnick prétend pour sa part avoir agi uniquement pour faire prendre conscience aux gens des risque liés à une mauvaise sécurisation des systèmes informatiques, de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causé.

Vous serez les témoins et les juges du dénouement de cette affaire, affûtez vos arguments et venez nombreux @La Cantine le 30 septembre 2010, 19h30. 151, rue Montmartre, Passage des Panoramas, 75002 Paris(métro Grands Boulevards ou Bourse).

Vous pouvez vous inscrire ici à cet événement.