Discussion :

[Francis Walter]

Un blogueur français condamné pour une recherche Google
ayant permis de télécharger des documents accessibles de santé publique

« Maintien frauduleux dans un système de traitement automatisé de données et vol de documents », tel est le chef d’accusation contre Olivier Laurelli par la Cour d’Appel de Paris.

En effet, le blogueur, connu sous le nom Bluetouff, aurait simplement effectué une recherche sur le site Google. Les résultats du site l’ont amené à télécharger des documents non protégés indexés qui seraient le patrimoine de l’Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES). Les documents retrouvés seraient environ 8000.

« J'ai fait une simple recherche Google avec un ‘filetype :pdf’. En cliquant sur un lien, je suis tombé sur un dépôt de fichiers de l'Anses, que j'ai copiés. Ce genre de situation est dramatiquement commune, la semaine dernière je suis tombé sur l'extranet du CSA (Conseil supérieur de l'audiovisuel) » avait-il déclaré.

Quelques mois plus tard, il publie deux articles relatifs aux documents téléchargés sur le site reflets.info qu’il a cofondé. Les publications ont suscité une enquête faite par la Direction Centrale du Renseignement Intérieur (DCRI). Il a été inspecté et mis en garde à vue durant 30 heures. Le blogueur est désormais considéré comme un « cybercriminel ». Il aurait été condamné à 2 ans de prison et une amende 30 000 euros. L’affaire date du mois d’août 2012. Il fut ensuite innocenté en mars 2013 par le tribunal de première instance de Créteil.

Entre temps l’Anses avait arrêté de mener des actions contre l’accusé admettant que les documents concernés n’étaient pas protégés. Cependant, le parquet a tenu à mener l’affaire à la Cour d’Appel de Paris malgré l’Anses qui ne s’est pas portée partie civile. Le blogueur a donc fait face à des magistrats en décembre dernier. Ces derniers avaient visiblement une méconnaissance du monde d’Internet, car ils avaient du mal à prononcer des mots tels que « Login » ou même « Google ». Le jugement a été rendu le 5 février, infligeant une amende de 3000 euros au blogueur. Ce dernier prit le verdict avec enthousiasme en tweetant : « c'est énorme, je suis officiellement un cybercriminel ».

Quelques heures plus tard, l’avocat du « cybercriminel », Me Olivier Iteanu, a déclaré sur son compte Twitter, « on forme le pourvoi devant la Cour de cassation contre cet arrêt inique » s’adressant au condamné.

Source : Blog Bluetouff, Olivier Iteanu

Et vous ?

Qu'en pensez-vous ?

Comment jugez-vous cette accusation ?

[Jipété]

Et vous ?
Qu'en pensez-vous ?
Comment jugez-vous cette accusation ?

Des incapables totalement incompétents, hélas on le savait déjà...

[sevyc64]

Et peut-être la tentation aussi de tenter de faire taire des individus quelque peu empêcheur de tourner en rond.

Si c'est mal connaitre Bluetouff et Reflet Info que de penser que cela va suffire à les faire taire, comme l'a dit l'avocat, ça peut en inciter d'autre à une (auto)censure plus ou moins inconsciente, et c'est toujours ça de pris.

[Aurelien Plazzotta]

inspecté et mis en garde à vue durant 30 heures

désormais considéré comme un « cybercriminel

condamné à 2 ans de prison et une amende 30 000 euros

L’affaire date du mois d’août 2012

innocenté en mars 2013

Entre temps l’Anses avait arrêté de mener des actions contre l’accusé admettant que les documents concernés n’étaient pas protégés

J'aurai voulu dire qu'il s'agit là du summum... mais avec le parquet qui poursuit l'affaire en juridiction supérieure alors que l'Anses ne s'est pas constituée partie civile... on touche le fond

ou pas

[transgohan]

Inimaginable ! Pitoyable aussi !
Rassurez moi... On ne voit cela que dans une vie non ?

[pmithrandir]

Maitre Eolas a fait une analyse intéressante dessus.

Selon lui, le principal problème consiste dans le fait qu'en explorant le site, il a vu qu'il fallait une authentification. Il est malgré tout retourné sur les pages et a télécharger toutes les données.

Une fois qu'il avait vu l'authentification, il savait qu'il n'avait rien a faire la, et a donc fait une démarche active pour rester connecté.

Pour moi, il se trompe puisque l'on peut imaginer d'avoir des sites semi publics.

Mais ca serait la justification juridique.

[kuranes]

"le blogueur connu sous le nom aurait simplement effectué"...

Connu sous quel nom ?

[tourlourou]

Sur un site/serveur où une authentification permet l'accès à certaines ressources, celles en libre-service ne sont donc pas libres d'accès ?

Je m'attends à des plaintes de developpez.com

[phili_b]

J'aurai voulu dire qu'il s'agit là du summum... mais avec le parquet qui poursuit l'affaire en juridiction supérieure alors que l'Anses ne s'est pas constituée partie civile... on touche le fond

Ce qui n'est pas normal c'est l'acharnement, 30h de garde à vue...mais on relâche des voyous, et que le parquet va en appel tout seul!

Maitre Eolas a fait une analyse intéressante dessus.

Selon lui, le principal problème consiste dans le fait qu'en explorant le site, il a vu qu'il fallait une authentification. Il est malgré tout retourné sur les pages et a télécharger toutes les données.

Le souci est sans doute qu'il y a un certain nombre de site qui laissent la porte grande ouvertes aux moteurs de recherche sans doute par méconnaissance et négligence pour la sécurité, ce qui ne veut pas dire quand une maison est ouverte qu'on a le droit d'y rentrer. Après entre regarder un ou deux documents et en télécharger 8000 il y a une marge !!!

En tout cas pour les adorateurs de Snowden, je n'en suis pas un mais je ne suis pas non plus pour le mettre en taule, on peut se dire que les données n'ont pas fini de se balader, qu'il n'y aura jamais vraiment de sécurité informatique absolue. Les agences gouvernementales peuvent surveiller tout le monde, mais les agences gouvernementales ne sont pas non plus à l'abri de vols de données. Je ne sais pas si c'est une bonne ou une mauvaise nouvelle.

[transgohan]

Sur un site/serveur où une authentification permet l'accès à certaines ressources, celles en libre-service ne sont donc pas libres d'accès ?

Je m'attends à des plaintes de developpez.com

Ce forum est strictement privé et votre grade de Modérateur ne vous permet pas d'y poster.
Vous recevrez sous peu une lettre vous invitant au tribunal pour piratage.

[Shuty]

La condamnation devrait plutôt aller contre l'ANSES qui aurait du protéger ses fichier. Après, il aurait aussi pu en avertir les admin sys de l'ANSES... Chose qu'il n'a pas vraiment fait...

[Nicam]

Et qu'il n'était pas tenu de faire ...

[Traroth2]

Bizarrement, il n'y a pas de plainte contre Google, qui a également accédé à ces documents, puisque c'est même comme ça que le "pirate" a réussi à les trouver. Pas fous, les mecs...

[Hellwing]

Bizarrement, il n'y a pas de plainte contre Google, qui a également accédé à ces documents, puisque c'est même comme ça que le "pirate" a réussi à les trouver. Pas fous, les mecs...

Google répondrait "Ce sont des systèmes automatiques, aucun employé de Google ne consulte ce que la recherche renvoie à un utilisateur".

[berceker united]

Si ça se trouve, C'est ce que fait déjà la NSA Une recherche sur Google et hop !

[frfancha]

J'ai fait une simple recherche Google avec un ‘filetype DF’. En cliquant sur un lien, je suis tombé sur un dépôt de fichiers de l'Anses, que j'ai copiés. Ce genre de situation est dramatiquement commune, la semaine dernière je suis tombé sur l'extranet du CSA (Conseil supérieur de l'audiovisuel)[/I] » avait-il déclaré.

<<je suis tombé sur un dépôt de fichiers de l'Anses, que j'ai copiés>>, 8000 fichiers.

Il savait parfaitement que ces fichiers n'étaient pas destinés au public (même si pas protégés).
Et ce ne sont pas des fichiers que Google lui a montré, mais des fichiers obtenu à une adresse dans un PDF que google indexait, il n'a pas suivi innocemment 8000 liens google.
Bref la condamnation est tout-à-fait logique.
Maintenant l'importance de celle-ci et la comparaison avec d'autres méfaits que chacun d'entre nous juge plus grave et plus prioritaire est bien sûr un autre débat.

[Carhiboux]

ce qui ne veut pas dire quand une maison est ouverte qu'on a le droit d'y rentrer.

Ha ok. Donc un magasin, même si il est ouvert, tu n'as pas le droit de rentrer dedans? Pourtant si, on rentre bien dedans.

Maintenant, si tu rentres dans une boutique, et que tu passes dans l'arrière boutique par la porte ouverte. C'est une intrusion? Le patron sera surement pas content, mais si il a laissé la porte ouverte, il ne peut pas reprocher grand chose à celui qui est rentré (sauf si il y a vol bien sur).

Alors, quelle est la différence fondamentale entre un magasin et une maison?

Et un site web, c'est plutôt un magasin ou une maison? Puisque à la base un site web c'est bien prévu pour avoir des visiteurs, non?

Il n'y a pas eu de vol. Les données n'ont pas été supprimées du serveur.

Il n'y a pas eu d'intrusion puisqu'il n'y a pas eu de démarche active pour contourner une mesure de sécurité. Sinon, là encore, par analogie, si l'on ouvre une porte déverouillée (donc qui possède une sérrure) est-ce qu'on contourne le système de sécurité (le verrou) si celui ci n'est pas actif?

Après entre regarder un ou deux documents et en télécharger 8000 il y a une marge !!!

Là encore, où est-elle? Soit il y a le droit d'en regarder/télécharger un, et dans ce cas, il y a le droit de tous les télécharger, soit il n'y pas le droit de les regarder du tout. Et dans ce cas, il faut mettre en place les mesures efficaces pour que personne n'y accède.


Pour moi, c'est clairement l'illustration de la plainte déposée par quelqu’un de dépassé par la portée de la révélation, qui à tenté de se dédouaner de la responsabilité en faisant passer le blogueur pour un vil pirate qui aurait contourné des mesures de sécurité pour accéder aux données.

[Carhiboux]

Si ça se trouve, C'est ce que fait déjà la NSA Une recherche sur Google et hop !

C'est pas si ca se trouve, les quelques documents qui ont fuité montrent que les "formations de base du parfait petit espion de la NSA" commencent justement par les options de recherche avancées de Google comme le filtre sur le type de fichier, etc...

Et que la NSA est particulièrement friande de .xsl, .doc, .pdf, etc...

C'est plus un scoop

[NahMean]

Pour moi c'est un effet de paranoïa, la DCRI a crut tomber sur un hacker de génie qui a dérober des fichiers interdits et ils ont surement penser qu'il n'avait pas que sa, d’où la garde à vue pour en savoir plus.

Mais bon j'imagine le type dire dans la salle de garde à vue sous la lampe, une recherche Google et voila... même si c'est la stricte vérité.
Bref le problème ici c'est de la confiance en cet homme qui n'a vraiment rien fait de méchant.

[Invité]

Ha ok. Donc un magasin, même si il est ouvert, tu n'as pas le droit de rentrer dedans? Pourtant si, on rentre bien dedans.

Maintenant, si tu rentres dans une boutique, et que tu passes dans l'arrière boutique par la porte ouverte. C'est une intrusion? Le patron sera surement pas content, mais si il a laissé la porte ouverte, il ne peut pas reprocher grand chose à celui qui est rentré (sauf si il y a vol bien sur).

Alors, quelle est la différence fondamentale entre un magasin et une maison?

Et un site web, c'est plutôt un magasin ou une maison? Puisque à la base un site web c'est bien prévu pour avoir des visiteurs, non?

Il n'y a pas eu de vol. Les données n'ont pas été supprimées du serveur.

Il n'y a pas besoin d'effraction pour que cela constitue une violation de propriété privée. L'assurance ne m'indemnisera pas si je laisse la porte ouverte (boutique ou maison ça ne change rien), mais ça reste illégal.


Pour Bluetouff, il a reconnu en garde à vue avoir navigué dans l'arborescence jusqu'à la page d'accueil qui demandait un login et un mot de passe. C'est là qu'il a compris être sur un extranet mal sécurisé. Au lieu de quitter la page immédiatement, il a copié illégalement des fichiers.

Il n'a pas été condamné pour intrusion dans un système, mais pour s'y être maintenu et avoir copié des fichiers.
De plus, il l'aurait fermé lors de la garde à vue, il aurait échappé à tout ça.