![[MàJ] Prison avec sursis requise pour piratage et usurpation d'identité de Rachida Dati](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/400.jpg "[MàJ] Prison avec sursis requise pour piratage et usurpation d'identité de Rachida Dati")
Peut-on exploiter une faille de cross site scripting pour diffuser des parodies de communiqué de presse prétendument signés de Rachida Dati ? Celle-ci est convaincue que non et a attaqué deux internautes pour piratage et usurpation d’identité.
Demain, devant le tribunal correctionnel de Paris, une quatrième audience d'un même procès opposera Rachida Dati à deux internautes. En 2012, l’animateur du compte twitter satirique @Solferishow avait en effet mis à disposition de @jeunespopkemon (compte désormais suspendu), un nom de domaine et un espace d’hébergement offert en 2011 par OVH grâce à des points de fidélité.
Celui-ci avait alors mis en ligne le site tweetpop.fr/le-cadeau-de-rachida qui arborait une photo de Rachida Dati, suivie du titre « communiqué de presse gratuit ». L’objet fut de permettre à des internautes de rédiger des communiqués de presse fictifs et humoristiques liés à l’actualité de l’eurodéputée. En tout, d’après les éléments du dossier, une vingtaine de communiqués auraient été diffusés le 3 janvier 2012.
Exploitation d'une brèche XSS depuis longtemps signalée
Le 4 janvier, cependant, le bureau de Rachida Dati déposait plainte pour atteinte à un système de traitement automatisée de données (piratage) et usurpation d’identité. Pourquoi ? L’idée de @jeunespopkemon fut en effet de proposer l’exploitation d’une faille de cross site scripting (XSS) aux visiteurs de Tweetpop.fr dans la joie et la bonne humeur. Cette faille se trouvait dans le moteur de recherche du site rachida-dati.eu.
Capture du site litigieux Crédit : HumourdeDroite.com
Globalement, ce type de faille permet d'injecter des bouts de code via notamment une url non sécurisée. Du coup, le visiteur a l’impression que le contenu ajouté provient bien du site mal ficelé, alors qu’il n’en est évidemment rien. C'est par ce biais ainsi que l'auteur du site parvenait à imiter les communiqués officiels. « L’utilisation de la faille de sécurité, dénommée XSS a conduit simplement à l’utilisation ingénieuse des moteurs de recherche » nous confie Olivier Iteanu, l'avocat de @Solferishow, lui aussi poursuivi par Rachida Dati.
Demain Trib. correctionnel de Paris: nous défendons avec @Maitre_Eolas la parodie politique ctre le délit d'usurp. d'identité @solferishow
— Olivier Iteanu (@iteanu) 12 Novembre 2014
« Je soutiens le NPA », « Pour la fellation »
Cette présente faille avait déjà été signalée en 2010 sur Twitter comme le rapportait en mars dernier HumourdeDroite. Le Monde avait lui aussi relaté cette petit blague, citant un faux communiqué de la personnalité politique, également maire du chic VIIe arrondissement de Paris, annonçant sa candidature dans la 10e circonscription de Seine Saint-Denis. D'après 93-infos.fr cette fois, d’autres communiqués imaginés toujours par des internautes plaçaient « Je soutiens le NPA » ou « Pour la fellation », dans la bouche de Rachida Dati.
Selon les textes, en tout cas, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. » Quant au « fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération », celui qui en est reconnu coupable risque jusqu’à un an d'emprisonnement et 15 000 € d'amende.
Mais techniquement peut-on bien parler d'une modification frauduleuse du contenu du site quand il n'y a que l'exploitation externe d'une faille XSS ? De même, la parodie et la satire étaient-elles assez évidentes ? Peuvent-elles l’emporter contre le fameux délit d’usurpation d’identité ? Dans le cas contraire, quelles peuvent être les responsabilités respectives entre celui qui a simplement offert cet hébergement et ce nom de domaine, et l'éditeur du site litigieux ? Voilà quelques-unes des questions qui seront examinées demain par les juges à l'occasion d'une nouvelle audience.
Commentaires (38)
Que l’exploitation externe d’une faille xss ? Vous rigolez ?
C’est au moins de l’usurpation, même si satirique, l’URL originale est utilisée.
… « Pour la fellation », dans la bouche de Rachida Dati.
Je sais que j’ai l’esprit mal placé mais la la phrase est trop belle XD
Rhooo, pas eu le temps de la faire !
" />
Sommes toutes la relaxe, c’est ridicule surtout basé sur le fait que la faille technique ne correspond pas au premier chef d’accusation.
Je lui donnerais un euro de dédo moral à cette hyène usurpatrice de diplôme jamais punie, ce qui envers le peuple représente une faute et un montant bien plus conséquents que l’appropriation grossière de son identité crapuleuse.
On n’est pas censé juger en fonction du/de la plaignant(e), mais en fonction du droit
" />
Sinon l’audience ouvre demain, mais quand aurons-nous le verdict ? C’est déjà dati daté ou pas ?
Pendant ce temps là, on condamne des français pour non sécurisation de leur ligne internet…
Tiens, il faudrait faire interdire par la même occasion ces petits scripts javascript qui permettent de jouer à Angrybird avec n’importe quel site.
De mon point de vue de Michu, ça me parait un peu exagéré pour de la parodie.
Enfin, disons que le gars joue avec le feu.
Lation.
usurpation d’identité? deja que c’est compliqué de savoir qui est le pere de son mouflet…
elle devrait avoir une amende pour défaut de sécurisation non ?? 
" />
“Il faut absolument punir les gens qui se moquent des politiciens. Car, voyez vous, les politiciens ne sont pas des gens comme les autres.”
C’est un politicien qui me l’a dit.
punir ceux qui parlent des politiciens sans leur approbation
Nan, pour un gosse avec père non identifié, juste des alloc et une place en hlm.
Difficilement défendable de mon point de vue. S’ils voulaient faire un site parodique, ils n’avaient qu’à en monter un.
Injecter des données sur un site non satirique en espérant faire passer ça pour de la satyre, c’est chaud. Mais je ne suis pas juriste. :p
Quid de la sécurisation de la connexion de Mme Dati ? :p
Pendant ce temps-là à Vera Cruz…
ça n’engage que moi ..
mais en même temps c’est juste une caricature à elle toute seule .. (comme les autres d’ailleurs ) ..
même le Gorafi est en dessous de la triste réalité ..
C’est pas compliqué, c’est Dominique Desseigne.
" /> (
" />)
Oui j’ai été au dentiste il y a deux semaines
C’est pas elle qui à des faux diplômes et qui a été gentiment évincé du gouvernement à l’époque car elle avait dilapidé son budget de l’année en 6 mois…
Elle aurait du être virée du monde politique depuis longtemps celle là…
On leur reproche quoi là au fait ? Car je suis pas sûr d’avoir pigé….
D’avoir utiliser grosso-merdo le style du site rachida (via une faille dudit site) sur un autre site leur appartenant ?? Ca doit pas être ça…
Sinon visiblement l’administrateur a été avertit par zataz de la dite faille, y’a pas une espèce de négligence caractérisée s’il fait rien ?
Nan mais les gars, là, sont clairement en tort. Ils utilisent une faille pour injecter des données, pour le coup, ça, ça s’appelle du piratage.
Et pour autant que je saches, la modification de données sur un système qui ne t’appartiens pas, c’est puni par la loi.
Après, faut faire le rapprochement entre eux et le domaine mais visiblement, c’est déjà fait. Ils vont prendre.
Et le petit Sarko court toujours avec les millions détournés.
Ah non, c’est vrai, c’est son avocat et l’ancien secrétaire qui ont détournés l’argent de l’Etat … Bizarre ça, je croyais que ceux qui contrôlait l’argent de l’Etat c’était le gouvernement …
On a un remake de Virenque : “ On m’aurait menti?! “
Elle s’y connait pour faire payer les autres.
Dans un autre milieu on appelle ça une p… faut payer apres l’avoir b…
Et contre le piratage, on a la Hadopi. J’espère qu’ils ont eu leur mail de préavis de recommandé ces margoulins
Je vois assez bien comment fonctionne les exploits de type XSS, et il est facile de s’en prévenir. Enfin, ca dépend de la qualité et de la structure du code, mais si on a bien fait le boulot, il n’y a qu’un endroit qui gère les insert/update et les requêtes y sont assainies.
Mais le fait de faire du XSS est évidemment un comportement d’attaque et c’est puni par la loi. On ne peut pas modifier les données d’un SI qui ne nous appartient pas. Et ajouter du contenu, c’est de la modification.
Pas eu le temps d’éditer et du coup, ca a viré le fait que je te répondais :(
Après relecture, je comprend mieux ton message : ils utilisent un mécanisme du site de Mme Dati pour envoyer des données au SI de Twitter.
Seulement, l’usurpation d’identité est bien réelle.
Elle a été condamnée pour avoir parlé de fellation devant des enfants ?
Chaud le niveau de certains commentaires ici
" />
" />
A en écouter certains la justice devrait presque rendre grâce publiquement à ces deux margoulins pour avoir transgressés la loi
Ils ont faits les cons, en sachant pertinemment ce qu’ils faisaient en plus. A partir de là ils ne peuvent s’en prendre qu’à eux-même.
Quand à ceux qui viennent les défendre dans le genre “c’est Rachida Dati, bien fait !” (ou peu importe qui en fait, osef), je comprend même pas pourquoi ce n’est pas modéré …
Euh attendez y a un truc que je comprends pas. Ils ont exploité une faille XSS pour afficher un communiquer de presse fictif accessible seulement via leur navigateur? où ont ils exécuté un script qui a envoyé un tweet à partir de cette adresse? Si 1er cas alors sur le même principe on envoie au gnouf les développeurs de firebug. Si 2ème cas alors usurpation d’identité, mais dans ce cas Dati devrait se prendre une amende par la Hadopi pour défaut de sécurisation
" />
La parodie d’une parodie de politicienne, la justice va galérer et finir par condamner Rachida Quota Dati pour défaut de sécurisation de sa connexion Internet
" />
Parodier dati, ils méritent la peine de mort au moins pour se rabaisser à ça ^^
D’ailleurs, j’en ai autant marre de recevoir des ppt ou mails contre les politiciens que de tomber sur l’un d’eux effectuant son speach creux et démago toute plateforme confondue.
On sait qui est le père ?
" />