Connexion
Abonnez-vous

Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris

Ce n'est qu'un début

Affaire Bluetouff : télécharger l'arrêt de la cour d'appel de Paris

Le 07 février 2014 à 15h06

Nous avons pu nous procurer l’intégralité de l’arrêt de la cour d'appel de Paris dans l’affaire Bluetouff dans laquelle il a décidé de se pourvoir en Cassation. Nous le mettons en ligne.  Une analyse plus détaillée suivra.

Commentaires (235)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







megadub a écrit :



Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />





Non, cette phrase c’est une interprétation de la cour, qui estime que le fait qu’il y ait une demande de login/password sur une autre page aurait dû suffire pour qu’il sache que les document étaient dans un espace privé, alors que comme ça été répété un bon paquet de fois ici, ça n’est absolument pas le cas !







megadub a écrit :



Le site est protégé par un login/pwd, le fait que le reste du site ne soit pas protégé contre le référencement google et accessible sans passer par cette page, c’est ça la faille.





Non, comme je le comprend, la faille c’est qu’ils n’ont pas configuré le logiciel pour qu’il mette tous les sous-répertoire en privé. Tu parles d’une faille <img data-src=" />.


votre avatar







megadub a écrit :



Non, ça prouve rien en soit mais quand l’accusé admet qu’il savait être sur un site sécurisé, ça c’est un argument <img data-src=" />





Où est-que tu vois qu’il a admis être sur un site sécurisé ?


votre avatar







Mihashi a écrit :



Non, cette phrase c’est une interprétation de la cour, qui estime que le fait qu’il y ait une demande de login/password sur une autre page aurait dû suffire pour qu’il sache que les document étaient dans un espace privé, alors que comme ça été répété un bon paquet de fois ici, ça n’est absolument pas le cas !







Personne n’a contesté <img data-src=" />







Mihashi a écrit :



Non, comme je le comprend, la faille c’est qu’ils n’ont pas configuré le logiciel pour qu’il mette tous les sous-répertoire en privé. Tu parles d’une faille <img data-src=" />.







la faille c’est l’interface entre la chaise et le clavier… comme d’habitude <img data-src=" />







Mihashi a écrit :



Où est-que tu vois qu’il a admis être sur un site sécurisé ?







Ben il n’infirme pas le propos du juge.



votre avatar







Mihashi a écrit :



Où est-que tu vois qu’il a admis être sur un site sécurisé ?





Bah, attends, il y a admis être tombé sur une page qui demande “lojin/MDP” <img data-src=" />



Non, moi non plus je comprends pas. Je ne vois nul part qu’il a admis être sur un site sécurisé. Il a juste indiqué être tombé sur une page requérant authentification : je ne vois toujours pas le rapport avec “un site sécurisé”…


votre avatar







megadub a écrit :



Personne n’a contesté <img data-src=" />







Il faut obtenir l’interprétation de la cour pour pouvoir contester l’ami !


votre avatar







megadub a écrit :



Personne n’a contesté <img data-src=" />



Ben il n’infirme pas le propos du juge.





Bah si, puisqu’il décide de se pourvoir en Cassation.


votre avatar

il a parcouru le site, téléchargé tout ce qui était derrière la page d’accueil et ne peux donc être qu’en possession du code permettant de sécurisé le site… de TRES mal le sécurisé <img data-src=" />

votre avatar







Mihashi a écrit :



Bah si, puisqu’il décide de se pourvoir en Cassation.







Il conteste le jugement pas ce point en particulier.


votre avatar







megadub a écrit :



Il conteste le jugement pas ce point en particulier.





Tiens :twitter.com Twitter


votre avatar







Mihashi a écrit :



Tiens :twitter.com TwitterMerci ! Pas mieux.



Le point que j’évoquais au poste n°106


votre avatar

Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />

votre avatar







megadub a écrit :



Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />





Apparemment pas besoin de le “prendre”.


votre avatar







megadub a écrit :



Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />







C’est plutôt la cour d’appel qui le prend pour un crétin en faisant un parallèle plus que foireux entre “URL”, “page d’authentification” et “donc tout est privé”.

Lui, n’a pas eu le temps de prendre le juge pour un crétin, il note dans le twitt, il découvre quoi.



Lis.


votre avatar







Khalev a écrit :



Pareil. Comment savoir qu’ils n’appliquent pas le RFC 6996?



Je vais passer par un VPN au panama au cas où.





Merci pour ce moment de rigolade <img data-src=" />


votre avatar







megadub a écrit :



Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était aurait du être protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />







<img data-src=" />



La différence est capitale. Dans le premier cas, Bluetouff est un vilain hacker pas gentil pas beau. Dans le deuxième cas, les admins de l’extranet de l’Anses sont nuls et Bluetouff ne peut pas être condamné à cause de l’erreur d’un autre. Le fait que l’Anses n’ai pas décidé de faire appel (c’est le parquet qui a fait appel) montre bien ce qui s’est passé à mon avis



Googlebot aussi a du indexé les pages qu’il a visité en remontant les répertoires. D’ailleurs, je suis sûr que les-dits admins aurait pu retrouver des traces du robot ricain sur toutes les-dites pages


votre avatar

il va falloir que les net admin fournissent tous les logs du site dit “sécurisé”



il va falloir une définition juridique précise de ce qu’est un espace sécurisé d’un site web.



y a du boulot….



En attendant pour moi la cour d’appel est notoirement incompétente et a voulu faire un exemple.



J’espère que le jugement sera cassé et qu’on pourra poser des bases d’interprêtation solides.



Après je trouve que Bluetouf a trop fait le malin devant la cour sans se rendre compte qu’il donnait des arguments stupides au juge.



Mais sur le fond ce jugement reste une erreur grave d’appréciation…. qui ouvre la boite de pandore…

votre avatar







unCaillou a écrit :



Bluetouff est innocenté si le jugement est cassé, d’accord.







si le jugement est cassé il aura droit à un nouveau procès en appel, il ne sera pas innocenté.



La cour de cassation n’innocente ou ne condamne personne, elle dit juste “la cour d’appel a bien/mal appliqué la loi, je valide/invalide son jugement” et dans le cas où le jugement est invalidé il y a un nouveau procès.


votre avatar

Affaire Bluetouff , quelle idée de toucher la touffe à la schtroumpfette<img data-src=" />…

votre avatar

Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.

votre avatar







psn00ps a écrit :



Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?



Non seulement les fichiers auraient du être protégés,



mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.







c’est un appel du parquet….



l’ANSES a fait profil bas sur le coup…


votre avatar







js2082 a écrit :



Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.







Tu as du louper des pages toi <img data-src=" />



Deuxième considérant.



Par contre avant de dire que l’argumentation de l’avocat est faible, il vaut mieux savoir que l’argumentation de l’avocat n’est pas toujours intégralement reprise dans la rédaction de la décision, surtout en pénal.


votre avatar







Laurius a écrit :



Tu as du louper des pages toi <img data-src=" />



Deuxième considérant.





C’est une interprétation erroné de la cour, qui sera certainement cassée par la cour de cassation.


votre avatar







Mihashi a écrit :



C’est une interprétation erroné de la cour, qui sera certainement cassée par la cour de cassation.







Je pense que ça a été répété environ 50 fois dans les commentaires déjà, mais encore une piqûre de rappel : la Cour de cassation ne touche pas à l’interprétation des faits par les magistrats du fond.



En outre, je ne vois pas comment on peut dire qu’il n’y a pas de motivation, et en même temps que l’interprétation qui sert de motivation est erronée <img data-src=" />



On va également éviter les “probablement”, “certainement” et autres critères de prévisions à la Madame Irma, bien malin celui qui se risque à des pronostiques dans ce domaine.



Et tant qu’on y est : il faut éviter aussi les analogies, elles sont, par essence, foireuses.


votre avatar







js2082 a écrit :



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation)







si je me rappelle bien les avocats des cours de cassation sont spécifiques : l’avocat qu’il a pris en première instance et en appel ne peut pas plaider en cour de cassation il me semble.


votre avatar







baldodo a écrit :



si je me rappelle bien les avocats des cours de cassation sont spécifiques : l’avocat qu’il a pris en première instance et en appel ne peut pas plaider en cour de cassation il me semble.





93 avocats



votre avatar







js2082 a écrit :



Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.





si l’affaire est rejugée ensuite au détriment du monsieur, ce dernier peut encore saisir la cour européenne


votre avatar

J’espère que ce jugement sera cassé.



Je n’ai qu’une question : a-t-il à un moment contacté l’ANSES pour l’informer que son extranet était troué ?

votre avatar

Sinon j’ai apprécié les expressions “défaillance technique” ou “faille de sécurité” dans le jugement d’appel. <img data-src=" />



Il y a une défaillance humaine qui rend publiques (liens dans un moteur de recherche) des documents censés ne pas l’être.

Le ministère public qui a fait appel s’est trompé de cible, AMHA ;)

votre avatar







_fefe_ a écrit :



J’espère que ce jugement sera cassé.



Je n’ai qu’une question : a-t-il à un moment contacté l’ANSES pour l’informer que son extranet était troué ?





Non, puisqu’il ne savait pas que ces documents ne devaient pas être publics…


votre avatar







Mihashi a écrit :



Non, puisqu’il ne savait pas que ces documents ne devaient pas être publics…





si tu lis l’arrêt de la cour d’appel (en lien dans l’article qu’on commente), tu sauras que Bluetouff a reconnu avoir parcouru l’arborescence du site et constaté la présence de contrôle d’accès sur la page d’accueil.



Ça ne change rien à mon avis sur la dangerosité de ce jugement, c’était juste une question morale qui ne t’est pas destinée.



votre avatar







_fefe_ a écrit :



si tu lis l’arrêt de la cour d’appel (en lien dans l’article qu’on commente), tu sauras que Bluetouff a reconnu avoir parcouru l’arborescence du site et constaté la présence de contrôle d’accès sur la page d’accueil.



Ça ne change rien à mon avis sur la dangerosité de ce jugement, c’était juste une question morale qui ne t’est pas destinée.





Oui j’ai lu, mais ça ne veut absolument pas dire que les documents n’étaient pas prévus pour être publics contrairement à ce que dit la cour.


votre avatar

Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/

votre avatar







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….







PAUVRE FOU !



ON VA TOUS MOURIIIIIRRRRR <img data-src=" />


votre avatar

Et puis c’est quoi la “thématique des nano-argents” (page 4, paragraphe 4) ? Ça serait pas plutôt “nano-agents” ?

votre avatar

Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)

votre avatar

dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?

votre avatar







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Il a vu que des parties du site demandaient des identifiants. Mais il n’a téléchargé que ce qui était en accès libre. Ce n’est pas sa faute si des documents on été placés par erreur en accès libre !


votre avatar

Et dire que nos tribunaux sont remplis de Bruno Laroche…

votre avatar

Je ne voit rien de très choquant dans cette decision. Bluetouff savait qu’il avait accès à des documents sensibles… Il s’avait être sur un extranet et tombé sur de gros glandus incapable de sécuriser leur bouzin. A partir de là, le téléchargements de ces documents et leurs utilisation en conscience, sont condamnable…




votre avatar







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Euh non. Il y a une page qui demande des identifiants-mdp. Le reste c’est open bar du moment que tu as l’adresse complète.



Ne connaissant pas l’intention de l’administrateur il aurait très bien pu estimer que la page de login était la page par défaut vers laquelle tu étais redirigé quand tu voulais télécharger un document pour lequel tu avais besoin de t’identifier, sinon tu télécharges le document directement (Un comportement que l’on a sur l’intranet de ma boite par exemple, si t’as pas les droits pour DL un document ça te renvoie sur la page de login avec l’adresse de la page que tu voulais voir en GET)



On trouve des trucs marrant sur le site de l’ANSES mine de rien :https://sites.anses.fr/en/system/files/Test%20ppt.ppt



votre avatar

Je ne risque pas de le télécharger, il y a un texte qui penche sur le côté. Je trouve ça suspect <img data-src=" />

votre avatar







mitsuaki a écrit :



Je ne voit rien de très choquant dans cette decision. Bluetouff savait qu’il avait accès à des documents sensibles…





Comment tu sais qu’un document est sensible si c’est marqué nul part dans le document?


votre avatar







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)







+1, d’un coup ça devient nettement moins scandaleux, et surtout contestable.


votre avatar

Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :





Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées à des tiers ; qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire (…)





Globalement, l’explication se tient.

votre avatar

clair, net, précis, argumenté, coupable… Et il le sait…

votre avatar







FrenchPig a écrit :



dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?







Non, il a trouvé un doc via Google, a vu que l’url permet de naviguer où il veut et ensuite il a joué… c’est ce dernier point qui a été condamné <img data-src=" />


votre avatar







FrenchPig a écrit :



dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?









sauf que non, il a été relaxé sur ce point … la demande sur ce point a été rejetée .. Par contre, il s’est très bien rendu compte qu’il n’aurait pas du y avoir accès, et il a quand même tout pompé (point 2 pour lequel il est condamné), en plus d’en redistribuer une partie.


votre avatar







Reznor26 a écrit :



Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :



L’explication se tient. (?)







Je ne trouve pas. Les données qu’il a téléchargées n’étaient pas protégées par le mot de passe et la “connexion sécurisée”. En l’occurrence, si j’ai bien suivi, ce n’était que la racine du site qui était protégée. Le reste était librement accessible. Comment savoir que c’est une erreur de config ? Je veux dire, la plupart des sites on des back-offices à accès protégés, mais évidemment, on peut accéder au reste du site !


votre avatar

Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />

votre avatar







ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />





Ma dernière remarque n’est pas une analogie, mais la base même de la recherche d’informations sur Google


votre avatar







tAran a écrit :



Ce n’est pas le résumé PCI, c’est la version de Reflets.



Donc ça veut dire quoi ? Qu’à chaque fois que tu accèdes directement que tu accèdes à un PDF via Google, il faut aller voir à la racine du site si tu as le droit d’y avoir accès ?



<img data-src=" />









on la refait :

il n’a PAS été condamné pour l’accès via google













Vachalay a écrit :



Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.







mais ton voleur sera quand même poursuivi pour vol si on le choppe, et la police viendra quand même …justice, assurances, pas vraiment pareil :p et la défense “la porte était ouverte” ne marche pas (enfin si, ça fait marrer les juges qui rajoutent un peu, pour la peine)


votre avatar







tAran a écrit :



Ma dernière remarque n’est pas une analogie, mais la base même de la recherche d’informations sur Google





Ne te sens pas visé, malheureux ! <img data-src=" />



Je n’avais même pas vu ton commentaire avant de poster le mien.



Je parlais surtout des histoires de portes, de serrures, de cadenas, etc…


votre avatar







Khalev a écrit :



La serrure n’est pas pété, elle est bien là, elle est juste laissé ouverte.



La meilleure analogie je pense c’est : je vais à la mairie, je me balade tranquillement, je lis des prospectus, des rapports publiques, etc. “Oh une porte ouverte avec un cadenas dessus, mais apparemment c’est ouvert pour tout le monde, d’ailleurs je vois un touriste qui en sort, oh tous ces jolis rapports, je vais en prendre une copie de chaque tiens puisque qu’il y en a trop pour que je lise tout maintenant et que ça à l’air en libre service.” Et je ressort pépère de la mairie sans que personne ne m’en empêche.



À quel moment j’ai fait quelque chose de mal?







C’est pas tout à fait pareil mais l’analogie peut fonctionner si tu remplaces le cadenas par une badgeuse.



Si en ressortant de la pièce, tu vois la badgeuse, tu réalises que l’entrée est contrôlé et que le contenu n’est donc pas en accès libre. Si en plus tu passes à la photocopieuse avant de partir, évidemment tu aggraves ton cas.


votre avatar







ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />







Pourtant c’est plus simple en se plaçant IRL, même si ça impose de tatonner pour trouver l’analogie adéquat <img data-src=" />


votre avatar







megadub a écrit :



Ce n’est pas libre puisque c’est un site protégé.



ben non, vu que tout était en accès libre…


votre avatar







Tim-timmy a écrit :



on la refait :

il n’a PAS été condamné pour l’accès via google





Non, il a copié des documents accessibles via Google







ActionFighter a écrit :



Ne te sens pas visé, malheureux ! <img data-src=" />



Je n’avais même pas vu ton commentaire avant de poster le mien.



Je parlais surtout des histoires de portes, de serrures, de cadenas, etc…





Les gens aiment bien se raccrocher à du matériel pour comprendre <img data-src=" />


votre avatar







megadub a écrit :



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />





Sauf que je ne suis pas une administration publique proposant à tout le monde de venir lire les avis, rapports et documents que je produis :

http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine


votre avatar







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />





Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.


votre avatar







Tim-timmy a écrit :



on la refait :

il n’a PAS été condamné pour l’accès via google







Exact. Mais il a été condamné pour « vol » et maintien frauduleux dans un système d’information, système d’information qualifié par la loi de site de communication au public en ligne. Cela pose quelques interrogations qui j’espère seront clarifiées en cassation.


votre avatar







Reznor26 a écrit :



Globalement, l’explication se tient.









Tim-timmy a écrit :



clair, net, précis, argumenté, coupable… Et il le sait…





L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />


votre avatar

Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.

votre avatar







Patch a écrit :



ben non, vu que tout était en accès libre…







Non, ce n’était pas en accès libre… une faille a rendu les documents dispo fortuitement… nuance <img data-src=" />


votre avatar







megadub a écrit :



Non, ce n’était pas en accès libre… une faille a rendu les documents dispo fortuitement… nuance <img data-src=" />



…et donc tout s’est retrouvé en accès libre. on en revient à ce que j’ai dit.


votre avatar







megadub a écrit :



Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />





C’est plutôt comme si tu voyais sur google street un lieu avec un accès libre à plein de documents et que quand tu y vas, tu finis par voir qu’alors qu’il n’y a aucun mur, il y a un endroit où il y a une porte fermée à clé toute seule.



Un peu comme les portes dans Les Trois Cartes ( de la série La Tour Sombre de Stephen King) : une porte au milieu de la plage, et rien autour.


votre avatar







Liam a écrit :



Typiquement, chez moi, sur mon réseau local, C:\ est protégé par mot de passe, C:\Users\Liam aussi est protégé par mot de passe, mais C:\Users\Liam\Public est en libre accès, et c’est fait exprès.

Il est envisageable que Bluetouff ait cru être dans cette situation là. Or, il semble que la Cour d’Appel n’ait pas du tout envisagé que ce scénario puisse exister, ou qu’elle l’ait jugé trop peu sérieux, supposant qu’un tel scénario était trop rare pour que Bluetouff puisse, de bonne foi, avoir cru cela. Or ça n’est pas si rare qu’il y parait, c’est même assez banal, et il n’est pas du tout démontré que Bluetouff ne croyait pas ou ne pouvait pas croire être dans ce cas là.





Belle illustration d’un cas courant où une partie d’une arborescence est publique alors qu’il y a “du privé” au-dessus.

Je me demande si l’avocat de Bluetouff a eu la présence d’esprit de porter ce genre d’exemples à la connaissance des juges ? <img data-src=" />


votre avatar







John Shaft a écrit :



Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)







Tout à fait, voir le billet de Maïtre Eolas sur cette affaire, ou il s’étonne lui aussi de cette qualification.

Le pourvoi en cassation devrait reviser ce point, j’imagine.


votre avatar







francois-battail a écrit :





  • est-ce qu’un site de communication au public en ligne qui met à disposition des fichiers est un système de traitement automatisé de données ?







    oui.

    un fichier excel est un système de traitement automatisé au sens de la loi. En gros, toute donnée informatisée. C’est sur cette base que repose entre autres la loi informatique et libertés.


votre avatar







Laurius a écrit :



Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.



C’est le ministère public qui a constaté une infraction et qui la poursuit.







Bon bin, finalement je retombe sur mes pattes, puisque selon Eolas, l’ANSES s’était bien constituée partie civile <img data-src=" />


votre avatar







Citan666 a écrit :





Alors, si les juges ont manoeuvré de manière à lui mettre un bon soufflet, tout en laissant moyen à la Cass de saborder leur jugement (et au passage clarifier une fois pour toute ce type de problématique) je dis GG.





je n ‘appartiens pas au monde juridique ou informatique, mais si tu considères positif que les juges manoeuvrent… ce n’est pas vraiment ce que j’attends d’un juge.

En laissant moyen à la cour de cassation : ça coûte combien un recours en cassation ?





La seule faille en ce cas étant qu’il va falloir attendre des années la décision de la Cass, et qu’en attendant, bah… Va falloir marcher sur des oeufs quoi… <img data-src=" />



y’avait peut-être moyen de faire autrement ?


votre avatar

J’ai quand même peur en lisant la majorité d’entre vous : j’ai l’impression que vous allez tous venir prendre des photos de chez moi (et considérer ça normal !) si je pars bosser en oubliant de fermer la porte à clé <img data-src=" />

votre avatar







blaétria a écrit :



Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/







Un peu décevant ce billet, d’autant plus qu’il semble occulter la jurisprudence sur le vol de données, certes encore un peu incertaine en France mais dont un arrêt de la Cour de cassation a depuis longtemps admis le principe:



arrêt du 9 septembre 2003



Idem, même pas de questionnement sur la jurisprudence Tati…



Pas que ce soit quelque chose qui change fondamentalement l’analyse, mais ça donne un sentiment de traitement superficiel…



A part ça, je partage néanmoins à peu près son opinion.


votre avatar







blaétria a écrit :



Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/





Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.


votre avatar







Mihashi a écrit :



Oui j’ai lu, mais ça ne veut absolument pas dire que les documents n’étaient pas prévus pour être publics contrairement à ce que dit la cour.







Effectivement, un site web peut avoir une authentification par login/mdp sur sa page d’accueil et contenir une partie publique et une partie privée.

<img data-src=" />


votre avatar







unCaillou a écrit :



Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.









_fefe_ a écrit :



Effectivement, un site web peut avoir une authentification par login/mdp sur sa page d’accueil et contenir une partie publique et une partie privée.

<img data-src=" />







oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.


votre avatar







saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.





J’avais fait ce raccourci, en fait c’est beaucoup moins évident : il a reconnu avoir constaté une identification par login/mdp sur la page d’accueil, c’est la cour qui conclut “il est ainsi démontré qu’il avait conscience de son maintien irrégulier…”



S’il avait clairement reconnu en avoir conscience, il me semble que ce serait écrit noir sur blanc dans l’arrêt.







s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.



Justement, nous ne savons pas tout ce qui s’est dit pendant la procédure ou à la cour d’appel.

Peut-être s’est-il mal défendu ?


votre avatar

(à supprimer, mauvais click)

votre avatar







saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.





Non justement, il ne l’a jamais reconnu.


votre avatar







saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.







C’est l’interprétation que la Cour fait de ses propos en garde à vue, mais ça n’est pas ce qu’il a dit.



Lui s’est contenté de dire “j’ai remarqué qu’en page d’accueil y avait un formulaire d’authentification”. La cour en conclut que donc “forcément il savait que la page à laquelle il accédait était protégée.”



Peut-être qu’il s’en doutait fortement, mais peut-être pas. Car ça n’a rien d’évident. Le tribunal part du principe qu’il est évident, pour un informaticien, que les propriétés en matière de droits d’accès, au sein d’une arborescence, sont hérités par les dossiers de niveau inférieur. Or c’est loin d’être toujours vrai.



Typiquement, chez moi, sur mon réseau local, C:\ est protégé par mot de passe, C:\Users\Liam aussi est protégé par mot de passe, mais C:\Users\Liam\Public est en libre accès, et c’est fait exprès.

Il est envisageable que Bluetouff ait cru être dans cette situation là. Or, il semble que la Cour d’Appel n’ait pas du tout envisagé que ce scénario puisse exister, ou qu’elle l’ait jugé trop peu sérieux, supposant qu’un tel scénario était trop rare pour que Bluetouff puisse, de bonne foi, avoir cru cela. Or ça n’est pas si rare qu’il y parait, c’est même assez banal, et il n’est pas du tout démontré que Bluetouff ne croyait pas ou ne pouvait pas croire être dans ce cas là.


votre avatar







Obelixator a écrit :



L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />





    +10. La Cour de cassation n’ayant pas vocation à réétudier les faits, il va falloir prouver côté Bluetouff que les juges n’ont pas commis d’erreur dans l’appréciation des faits (ce qui est pourtant clair) vu que ça ne sert à rien. Il va falloir démontrer une erreur dans leur raisonnement menant à la conclusion que le délit était constitué. Et faire ça sans se reposer sur une erreur de base dans l’appréciation des faits… Tendu.

    Bon courage à l’avocat de Bluetouff. <img data-src=" />



    Sinon ça n’a rien à voir, mais ce qui me scie à la lecture de l’arrêt, c’est de voir que même des officiers du droit (à priori parmi les meilleurs, tous métiers confondus, dans la maîtrise de la langue française) ne savent même plus utiliser les temps correctement. Tout un paragraphe devrait être conjugué au passé simple, ou passé composé à la rigueur, mais PAS À L’IMPARFAIT !! Je ne sais pas si c’est le fait du greffier, ou s’il a juste rigoureusement reproduit ce qu’il entendait, mais c’est bien triste… <img data-src=" />


votre avatar







megadub a écrit :



Ca on n’en sait rien du tout. On sait qu’il a remonté l’arborescence grâce à l’URL d’un doc accessible via Google mais ensuite, il a copié 8000 docs directement depuis le serveur… aucune idée si les docs en question étaient dispo sous Google… et ça change rien au demeurant <img data-src=" />





Au contraire ça change tout !





Khalev a écrit :



C’était un extranet et il le savait. On est pas sur un simple site internet. Il savait qu’il “rentrait” quelque part où il s’attendait à se prendre des demandes d’authentification.

Après il n’est pas rare de trouver des docs publiques dans des extranet (c’est pas tout le temps le cas, mais c’est pas non plus interdit).





Non justement, cf ci-dessus ainsi que pas mal d’autres commentaires précédant le mien. Le principe du site internet étant qu’il n’existe pas de hiérarchie naturelle, tu peux très bien avoir une partie du site visible quand l’autre est protégée.



D’où l’intérêt de savoir si l’ensemble des documents téléchargés étaient accessibles par Google. Car cela constituerait une preuve indéniable qu’il s’agissait de documents accessibles au public. Autrement, ce que référencerait Google, ce serait la page d’accès, ou rien.



Dans ce cas, la bonne foi de Bluetouff pourrait être aisément établie, faisant ainsi tomber l’élément moral de l’infraction.

Si en revanche ne serait-ce qu’une partie des documents n’était pas référencée par Google, la bonne foi serait plus difficile à maintenir. D’autant plus vu le comportement de “je télécharge comme un porc”. Bonne foi ou pas il y avait peu de chances que ce soit bien perçu par l’agence et par les juges. <img data-src=" />



Quant à savoir s’il est encore possible d’établir cette information aujourd’hui, et surtout si ça peut servir en cassation (vu que c’est purement un élément de fait) c’est une autre histoire.





Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





+1, C’est clair que quand on s’annonce comme développeur informatique, tenant une boutique qui créée entre autres des sites web, on est censé être à même de juger ce type de problématiques. Ça a certainement beaucoup joué dans l’esprit des juges pour conclure à la conscience du délit.

Quelque soit la réalité des faits par ailleurs, quand tu vois un mec qui télécharge 8Go de données d’un site, à travers un VPN panaméen, après être remonté jusqu’à la racine du site, tu peux effectivement avoir de gros doutes sur l’honnêteté intellectuelle du sieur. <img data-src=" />


votre avatar







unCaillou a écrit :



Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.







il ne dit pas du tout cela…



il présente le contexte et il montre que si bluetouff avait su fermer sa gueule il n’aurait pas creusé sa tombe.



Pas besoin de de prouver que le site était sécurisé…



En se retrouvant au mauvais endroit et en y restant tout en l’avouant bluetouf se place dans le cadre de la loi de 1985….



sur ce point il n’aura surement pas gain de cause.



Par contre sur l’autre point il y a surement une faille….





votre avatar







Citan666 a écrit :



Non justement, cf ci-dessus ainsi que pas mal d’autres commentaires précédant le mien. Le principe du site internet étant qu’il n’existe pas de hiérarchie naturelle, tu peux très bien avoir une partie du site visible quand l’autre est protégée.



D’où l’intérêt de savoir si l’ensemble des documents téléchargés étaient accessibles par Google. Car cela constituerait une preuve indéniable qu’il s’agissait de documents accessibles au public. Autrement, ce que référencerait Google, ce serait la page d’accès, ou rien.



Dans ce cas, la bonne foi de Bluetouff pourrait être aisément établie, faisant ainsi tomber l’élément moral de l’infraction.

Si en revanche ne serait-ce qu’une partie des documents n’était pas référencée par Google, la bonne foi serait plus difficile à maintenir. D’autant plus vu le comportement de “je télécharge comme un porc”. Bonne foi ou pas il y avait peu de chances que ce soit bien perçu par l’agence et par les juges. <img data-src=" />







Je ne voulais pas dire le contraire. Juste que, en tant qu’humain barroudeur des Internet, on sait quand on entre dans un extranet qu’on se verra interdire des pages : même si un extranet n’est qu’un site web comme un autre techniquement quand c’est clairement identifié comme tel (comme c’est le cas ici: extranet.anses.fr) on sait que c’est un site web qui a principalement pour fonction de servir aux employés et autres personnes autorisée. Mais pas que.



Ceci dit en me relisant je me demande ce que je voulais vraiment dire dans mon commentaire que tu cites et le rapport avec le commentaire cité… la fatiguqe sans doute <img data-src=" /> (Si tu lis le reste de mes commentaires je pense aussi que BT pouvait raisonnablement penser que les documents étaient en accès publique)


votre avatar







megadub a écrit :



En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.





Je me demandais aussi depuis la news de PCI annonçant la publication de l’arrêt.

Peut-être que les juges ont été un peu soûlés de voir un mec qui à priori savait très bien ce qu’il faisait, même si légalement son comportement pouvait se défendre, et donc se doutait bien que ses actions n’étaient pas prévues par l’agence (entre autres comme relevé par d’autres, télécharger tout d’un coup, ou ne jamais contacter l’agence pour leur demander…).



Cela étant je souhaite de tout coeur que la décision soit cassée. Clairement Bluetouff a déconné, il a cherché la merde quoi qu’il en dise et il a beau jeu de faire l’innocent maintenant, au nom d’une finasserie technique ou de la liberté de la presse.

Je n’aurais pas eu la même opinion s’il s’était agi d’un clampin lambda, genre journaliste du Monde Point ou autre généraliste.

Un mec qui développe des sites, qui donc est entre autres plus susceptible de connaître le degré moyen de différence entre la sécurité voulue et la sécurité réelle, voilou quoi.



Ce qui m’emmerde sérieusement en revanche, c’est que le raisonnement ayant mené à la condamnation fait peser un risque majeur sur tous les internautes et sur la liberté d’information sur internet en général. Et ça c’est maaaaaal !!<img data-src=" />



Alors, si les juges ont manoeuvré de manière à lui mettre un bon soufflet, tout en laissant moyen à la Cass de saborder leur jugement (et au passage clarifier une fois pour toute ce type de problématique) je dis GG. La seule faille en ce cas étant qu’il va falloir attendre des années la décision de la Cass, et qu’en attendant, bah… Va falloir marcher sur des oeufs quoi… <img data-src=" />


votre avatar







benco a écrit :



En se retrouvant au mauvais endroit et en y restant tout en l’avouant bluetouf se place dans le cadre de la loi de 1985….







Mais en avouant quoi ?

En avouant avoir rencontrer à un moment une zone d’identification ?

C’est ça qui suffit à faire “démonstration” caractérisée d’une “évidence” ?


votre avatar







Citan666 a écrit :



(…)

Ce qui m’emmerde sérieusement en revanche, c’est que le raisonnement ayant mené à la condamnation fait peser un risque majeur sur tous les internautes et sur la liberté d’information sur internet en général. Et ça c’est maaaaaal !!<img data-src=" />

(…)







Pareil. Il ne faut pas nous prendre pour des buses, je pense que Bluetouff avait bien conscience de ce dans quoi il avait mis le doigt…



Par contre, le mécanisme mis en œuvre pour le condamner de ses actions, je le trouve plus que moyen voire dangereux.

Qu’ils arrivent à lui faire avouer qu’il avait bien conscience de ce qu’il faisait sans parler d’une “page d’accueil avec login/MDP” et ça me va déjà mieux…


votre avatar







megadub a écrit :



Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />







surtout qu’il ne l’est pas …



pour la faille, il faut établir qu’il savait que c’était censé être protégé … le fait qu’il admette avoir vu la racine protégée, son comportement à tout pomper l’incrimine (et le passage par le panama ne doit pas aider…) et le fait condamner..


votre avatar







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />







Je comprends l’idée, mais un listing de dossier Apache, ce n’est pas nécessairement une “sortie de secours”. C’est courant de diffuser des fichiers comme ça (d’ailleurs, ça m’arrive souvent).



Ça ne me viendrait pas à l’esprit de rentrer chez quelqu’un sans autorisation, même si la porte est ouverte. Mais lire des fichiers diffusés librement sur le Web, personnellement, je ne vois pas le problème.



(et sur l’aspect strictement judiciaire, je suis aussi très emmerdé par le fait que la Cour n’ai manifestement pas pigé grand chose à l’histoire, j’ai l’impression que c’est surtout le VPN panaméen qui l’a enfoncé)


votre avatar







Tim-timmy a écrit :



porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”



ps: perso c’est la qualification de vol qui est étrange, je suis curieux de savoir si c’est commun dans le cas d’une copie illégale de document









megadub a écrit :



Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />







Pour rappel :





La Cour d’appel de Paris avait à juger mercredi un des journalistes de Reflets. Sur plainte de l’ANSES, il était poursuivi pour accès et maintien dans un système de traitement automatisé de données et vol de données. Voici ce qu’il avait fait : partant d’une recherche Google, il était arrivé sur une page de l’ANSES proposant au téléchargement une longue liste de documents.



Le répertoire indexé par Google ne mentionnait aucunement qu’il s’agissait d’un espace privé. Si une authentification était bien présente sur l’accueil la partie indexée était elle bien publique, à tel point, qu’elle était indexée par un moteur de recherche grand public.



Ce n’est pas parce qu’il y a une authentification à l’accueil d’un site que toutes les parties du site sont forcément destinées à être privées.









Ce qui est bien plus grave, et comme je l’ai fait remarquer à PCI, c’est qu’après on s’étonne qu’il y ait de l’espionnage industriel à droite à gauche…



Qui aurait été au courant si Bluetouff n’avait pas mis le nez dans le sujet ? <img data-src=" />


votre avatar







Tim-timmy a écrit :



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…





T’arrives sur un site, tu vois que t’as pour des gigas de données. Tu fais quoi? Tu lances le DL de tout pour être tranquille, faire tourner des algos d’analyse en local & co.

Ou tu parcours chaque document 1 à 1 à la main?



Quand je fais de la recherche sur un domaine et que je n’ai pas trop de piste, je vise des requètes Google précises, je DL tout ce que je peux, après je fais tourner un algo qui supprime les papiers avec trop de ressemblances (souvent des résumés dans des sites de veilles qui reprennent les mêmes expressions que l’article) et un autre qui extrait les abstracts/intro et me classe tout ça dans un tableau.



Ouai j’en ai souvent pour quelques centaines de mégas, parfois gigas. Ça mouline pendant quelques jours et j’ai une base d’articles pré-classée.



C’est bourrin peut-être. Mais c’est efficace.


votre avatar







megadub a écrit :



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />





Ou comme si quelqu’un s’introduisait par une faille, et téléchargeait à ton insu, et que tu te retrouvais devant le juge pour défaut de sécurisation <img data-src=" />


votre avatar







tAran a écrit :



Pour rappel :









sauf qu’on commente la décision là, pas le résumé pci.







ActionFighter a écrit :



Ou comme si quelqu’un s’introduisait par une faille, et téléchargeait à ton insu, et que tu te retrouvais devant le juge pour défaut de sécurisation <img data-src=" />







le tout plus de trois fois en ayant été prévenu entre chaque fois…


votre avatar







megadub a écrit :



Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.







<img data-src=" /> il ne sont pas protégés techniquement, ils seraient protégés juridiquement, or c’est une autorité liée à l’état donc par défaut on peut supposer que les données publiées et accessibles directement sont publiques. De plus, comme le signale justement Tim-timmy la CNIL voire d’autres instances de l’état pourraient s’inquiéter que des documents prétendument sensibles et protégés puissent atterrir chez Google, non ?







megadub a écrit :



Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />







Certes mais j’imagine que quand des choses qui pourraient s’avérer intéressantes tombent sous la main, le réflexe c’est l’aspirateur.


votre avatar







megadub a écrit :



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />



il n’y avait aucune serrure, c’était accessible via Google. donc comme si c’était affiché sur un panneau d’informations dans la rue, n’importe qui pouvait le voir.


votre avatar







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Il n’y a aucune chronologie dans le jugement entre le moment où il a téléchargé les documents et le moment où il a remarqué la page de login.

S’il s’est baladé dans le site et a téléchargé avant de voir cette page de login, l’argumentation tombe et on ne peut plus le condamner pour les 2 chefs d’accusations retenus.



Au pénal, c’est à l’accusation de faire la preuve de la culpabilité et là, elle n’est pas faite.



Même s’il au eu le tort de reconnaître qu’il avait constaté la présence d’un contrôle d’accès (moins tu en dis, moins tu as de chance de te faire condamner), il n’a jamais dit qu’il s’était maintenu dans le site après cela ni qu’il a téléchargé les fichiers après.

La condamnation s’appuie sur des suppositions de chronologie et pas sur des faits. Elle doit donc être cassée.


votre avatar







Patch a écrit :



il n’y avait aucune serrure, c’était accessible via Google. donc comme si c’était affiché sur un panneau d’informations dans la rue, n’importe qui pouvait le voir.







le premier oui, les 8Go, non, il ne passait plus par google et ils n’étaient pas forcément réferencés si aucun lien n’y menait ..







fred42 a écrit :



Il n’y a aucune chronologie dans le jugement entre le moment où il a téléchargé les documents et le moment où il a remarqué la page de login.

S’il s’est baladé dans le site et a téléchargé avant de voir cette page de login, l’argumentation tombe et on ne peut plus le condamner pour les 2 chefs d’accusations retenus.







sauf qu’il les a gardés après … donc strictement pareil ..





Au pénal, c’est à l’accusation de faire la preuve de la culpabilité et là, elle n’est pas faite.





marre de ces conneries rabachées … si. A lui de prouver que les arguments sont faux.





Même s’il au eu le tort de reconnaître qu’il avait constaté la présence d’un contrôle d’accès (moins tu en dis, moins tu as de chance de te faire condamner), il n’a jamais dit qu’il s’était maintenu dans le site après cela ni qu’il a téléchargé les fichiers après.

La condamnation s’appuie sur des suppositions de chronologie et pas sur des faits. Elle doit donc être cassée.





tu les a eu où, ces infos sur ses déclarations ? (pour dl tout le dossier, je pense perso qu’il est parti … euh, de la racine ? :p)


votre avatar







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />





La serrure n’est pas pété, elle est bien là, elle est juste laissé ouverte.



La meilleure analogie je pense c’est : je vais à la mairie, je me balade tranquillement, je lis des prospectus, des rapports publiques, etc. “Oh une porte ouverte avec un cadenas dessus, mais apparemment c’est ouvert pour tout le monde, d’ailleurs je vois un touriste qui en sort, oh tous ces jolis rapports, je vais en prendre une copie de chaque tiens puisque qu’il y en a trop pour que je lise tout maintenant et que ça à l’air en libre service.” Et je ressort pépère de la mairie sans que personne ne m’en empêche.



À quel moment j’ai fait quelque chose de mal?


votre avatar

Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.

Pourquoi dans ce cas présent, le tribunal ne reconnait pas la négligence de l’administrateur du site ayant mis à disposition des informations confidentielles ?



Je ne connais pas les documents concernés mais dans ma boite, dès lors que l’on diffuse un document, il doit se conformer à une charte spécifique avec un cartouche en première page précisant la portée de diffusion : “service, entreprise, confidentiel, public, …”. Est-ce le cas ici ?

votre avatar







chichillus a écrit :



Je comprends l’idée, mais un listing de dossier Apache, ce n’est pas nécessairement une “sortie de secours”. C’est courant de diffuser des fichiers comme ça (d’ailleurs, ça m’arrive souvent).







D’après ce que j’ai compris, il a trouvé un doc, à lu l’url et à parcouru l’arborescence en parant de là. J’vois pas où il est question d’un listing de dossier.







chichillus a écrit :



Mais lire des fichiers diffusés librement sur le Web, personnellement, je ne vois pas le problème.







Ce n’est pas libre puisque c’est un site protégé.







chichillus a écrit :



et sur l’aspect strictement judiciaire, je suis aussi très emmerdé par le fait que la Cour n’ai manifestement pas pigé grand chose à l’histoire, j’ai l’impression que c’est surtout le VPN panaméen qui l’a enfoncé







Non, visiblement c’est ça qui a semé le trouble et qui a incité le ministère à porter plainte. Tout simplement pour retrouver l’auteur de ce “vol”. Le tribunal s’en fout totalement, il ne fait que rapporter les circonstances ;)


votre avatar







Tim-timmy a écrit :



le tout plus de trois fois en ayant été prévenu entre chaque fois…





Reste que ça fait un peu justice à deux vitesses…


votre avatar







Tim-timmy a écrit :



le premier oui, les 8Go, non, il ne passait plus par google et ils n’étaient pas forcément réferencés si aucun lien n’y menait ..





C’est dit dans l’arrêté qu’ils étaient accessibles via URL complète. Il les a pas inventées les URL. (autant remonter dans l’arborescence c’est faisable, autant descendre est plus difficile s’il n’y a pas de lien ou les noms des fichiers quelque part)


votre avatar







Tim-timmy a écrit :



sauf qu’on commente la décision là, pas le résumé pci.







Ce n’est pas le résumé PCI, c’est la version de Reflets.



Donc ça veut dire quoi ? Qu’à chaque fois que tu accèdes directement que tu accèdes à un PDF via Google, il faut aller voir à la racine du site si tu as le droit d’y avoir accès ?



<img data-src=" />


votre avatar







Winderly a écrit :



Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.





Bah, s’il était vraiment bon en informatique, il serait payé plus de xxxx € par mois.<img data-src=" />



[Edit: à la demande du lecteur]


votre avatar







Winderly a écrit :



Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







si tu sais qu’elle existe, c’est mort .. pour l’éviter soigneusement, il faut savoir qu’elle y est :p





Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.





Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.





en même temps il se plaint assez violemment du fait que les juges n’y comprennent rien .. j’espère que ça défense n’est pas “je savais pas, j’avais aucune idée de ce que je faisais …”


votre avatar







fred42 a écrit :



Bah, s’il était vraiment bon en informatique, il serait payé plus de xxxx € par mois.<img data-src=" />







d’ailleurs soit je suis aveugle, soit le document a été édité silencieusement pour virer ces infos, ça sent le gros fail de divulgation de données persos sans l’accord du monsieur…







tAran a écrit :



Ma réponse à cette news est tellement pas “corporate” que j’ai été obligé par auto censure de l’envoyer par le bouton “signaler” à PCI…. <img data-src=" />







un rapport avec cela ? je me demandais la signification de ce commentaire

[Edit: à la demande de Fred42]


votre avatar







megadub a écrit :



Tu comprends la différence entre trouver un fichier par hasard permettant d’accéder à 3000 fichiers en remontant l’arborescence et trouver 3000 fichiers par hasard n’est-ce pas ?





Non, ça revient au même.

Qu’il tombe sur un dossier qui contient tous les documents, ou qu’il tombe sur un document avec des dossiers voisins qui contiennent les autres documents, ça ne change absolument rien : il a découvert par hasard 3000 documents…







megadub a écrit :



Il a pas trouvé ça par hasard, il écrivait un article, à chercher des docs sur leur site, a pompé 7.7Go de données et en a extrait 250Mo qu’il a partagé sachant parfaitement qu’il était pas sensé accéder à ces fichiers… c’est pas le clampin du coin le mec.





Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).


votre avatar







francois-battail a écrit :



Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle. <img data-src=" />





C’est qu’une agence gouvernementale censée veiller à la sécurité alimentaire et environnementale des citoyens, n’arrive déjà pas à gérer la sécurité de ses propres documents (que ce soit en interne ou via le recours à un prestataire extérieur) <img data-src=" />

<img data-src=" />


votre avatar

Autant la présentation à la médiapart m’avait un peu fait flipper, autant à la lecture de l’arrêt on comprend mieux.



Le mec est en aveu là.



“Vous saviez que vous n’aviez pas le droit d’être là et de tout pomper et vous l’avez fait quand même et en plus vous avez distribué les infos ensuite?”



“Oui.”



“Ok, pas besoin de s’attarder sur le lojin, de gogleuh, suivant!”



Juridiquement, je confirme qu’on s’en fout.



Il y a eu des (un?) cas de relaxe alors que les infos n’étaient pas à considérer comme confidentielles si elles n’étaient pas utilement protégées (Kitetoa c/ Tati en 2002, qui me semble être un cas assez isolé d’ailleurs), mais globalement si le mec sait qu’il est là où il ne devrait pas être et en convient devant le juge, c’est mort.



Après, à voir si le fait de savoir si le prévenu en affirmant avoir eu connaissance de l’existence d’un login/mdp à la racine avait bien compris que c’était protégé, je pense que les débats ont été suffisamment clair, au surplus lorsqu’on à affaire à un informaticien. D’autant que le côté “recherche complexe” a fini d’achever la bonne foi du type aux yeux du juge. Il est quand même pas arriver là tout à fait par hasard, même si ce n’est pas suffisant pour le condamner d’un accès frauduleux, en balançant ça on part quand même pas avec une étiquette de blanc mouton.



Bref, ce point ne sera pas tranché par la Cour de cass. C’est une interprétation souveraine du juge du fond.



Je vais continuer à jeter un oeil sur l’affaire, notamment pour voir la gueule du pourvoi.

votre avatar







megadub a écrit :



En rendant public des infos réservés, il a volé l’exclusivité des données… du moins, c’est comme ça que je l’interprète <img data-src=" />







Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).



Et c’est là dessus que je trouve que l’arrêt de la cour ne tiens pas. En fait je me range du côté du jugement de première instance qui concluait que :





En l’espèce, en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose





Le juge du Tribunal de Grande instance de Créteil avait donc eut une analyse technique correcte de ce qu’à fait Bluetouff. POur qu’il y ait vol, il aurait fallu qu’il supprime les documents du serveur. Ça confirme bien que - selon moi - cet arrêt de la Cour d’Appel a été rendu par des branques et que le pourvoi en cassation a des chances d’aboutir <img data-src=" />


votre avatar







Mihashi a écrit :



Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).







Tu refais l’histoire <img data-src=" />





le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au coeur de l’extranet de l’Anses, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées





Même lui reconnait qu’il savait ce qu’il faisait… ça sert à rien d’essayer de nous faire croire que c’est le fait du hasard <img data-src=" />


votre avatar







John Shaft a écrit :



Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).



Et c’est là dessus que je trouve que l’arrêt de la cour ne tiens pas.







En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.


votre avatar







megadub a écrit :



En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.







Moi je penses surtout que les magistrats sont gavés des pubs de l’Alpa et cie “Pirater, c’est du vol”… <img data-src=" />


votre avatar







megadub a écrit :



Tu refais l’histoire <img data-src=" />



Même lui reconnait qu’il savait ce qu’il faisait… ça sert à rien d’essayer de nous faire croire que c’est le fait du hasard <img data-src=" />







Tu as oublié de mettre “par erreur” en gras dans la citation que tu as fait ;)


votre avatar







John Shaft a écrit :



Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).







Malheureusement l’arrêt ne l’indique pas précisément et, en effet, la qualification de vol est curieuse. Mais c’est visiblement aussi sur la base du 323-1 CP :



« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. […] »



Qui pose deux problèmes dans ce cas :





  • est-ce qu’un site de communication au public en ligne qui met à disposition des fichiers est un système de traitement automatisé de données ?

  • se maintenir frauduleusement sans que l’accès eut été lui-même frauduleux dans le cas d’un site de communication au public en ligne nécessite peut-être un développement sauf à décréter que la consultation d’un site Web ne peut se faire qu’entre 8h et 21h !



    Bref souhaitons que la cour de cassation fasse le ménage.


votre avatar







malock a écrit :



Tu as oublié de mettre “par erreur” en gras dans la citation que tu as fait ;)







Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />


votre avatar

J’aime la différence qu’ils font entre extranet et internet.

Quelqu’un a du oublié de leur expliquer que tout ce qui répond à une adresse ip publique fait partie d’internet par définition.



Par ailleurs si Google avait référencé les trucs, c’est qu’ils avaient des liens qui y pointaient, non ?

Ou alors il cherche dans les arborescence au hasard ?

votre avatar







Tim-timmy a écrit :



porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”







Sauf qu’un site internet n’est pas un lieu privé (sauf s’il y a demande de mot de passe). La comparaison serait plutôt : le type était dans un musée (lieu public), il est entré dans une pièce normalement interdite au public, mais dont la porte était ouverte et il n’y avait marqué nul part “interdit au public” et là, il a pris des tonnes de photos. Rien ne lui indiquait que c’était interdit.



Et même s’il imaginait que ça l’était, peu importe. C’était au musée (ici au site) de faire le nécessaire pour indiquer que le lieu était interdit au public.


votre avatar







megadub a écrit :



Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />







Mouais si tu le dis…

Je vois toujours pas le rapport “constater la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe” et “qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier”.

“Remonter jusqu’à la page d’accueil” ne signifie pas grand chose (amha) : c’est oublié qu’il y a X moyens de masquer ce qui apparaît dans l’URL (genre, réécriture d’URL non ?)


votre avatar







Tim-timmy a écrit :



le premier point, il admet avoir vu la protection à la racine lors de ses visites. Donc après, il joue un peu au beta en disant ne pas savoir si ça s’appliquait aux documents en dessous… Les documents, je n’ai aucune idée e ce qui était marqué dessus, mais en effet mettre ce genre de rappels est considéré comme nécessaire assez souvent.





Autant je peux comprendre le principe (de le rappeler) autant ça ne colle pas à la réalité.

Exemple perso : notre site internet contient une partie réservée à une certain profil de visiteur, inaccessible sans avoir un login/mdp. Vu de l’arborescence, rien ne distingue cette partie du reste (instant auto-promo : bon dans notre cas, il n’est pas possible d’accéder ou de naviguer dans cette partie là sans venir de la page d’accueil et être dûment identifié…)







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





c’est navrant qu’on considère un concept de base comme “trop compliqué à appréhender”… limite ça fiche la trouille <img data-src=" />

Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)



votre avatar







Reznor26 a écrit :



C’est vrai que le nombre d’analogies sur ce fil de commentaires est limite collector. <img data-src=" />



(et toujours pas une avec les bagnoles <img data-src=" /> )





En gros c’est pareil qu’avec une bagnole non ?



Tu vois qu’une bagnole est en libre accès, genre Autolib, ben tu la prends, tu la clones avec ton imprimante 3D et tu la remets en place.



Après si Bolloré s’en aperçoit, alors il appelle ANSES pour te coller un procès au ul



J’ai bon ? <img data-src=" />



<img data-src=" />


votre avatar







WereWindle a écrit :



Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)







Ca a toujours été comme ça. La peine dépend des circonstances, heureusement encore


votre avatar







megadub a écrit :



Oui enfin, tu joues sur les mots là. S’il a vu qu’il y avait un accès par identifiant, il sait bien qu’il faut s’identifié. Peu importe qu’il a vu l’écran de login ou autre chose.



Puis c’est pas dit mais s’il est remonté jusqu’à l’accueil, on peut quand même imaginer que quelque part c’était écrit non ? <img data-src=" />







S’il a vu qu’il y avait un accès par identifiant, il a seulement pu en déduire qu’il y avait une partie privée sur ce site. Mais en rien que ces documents là particulièrement étaient protégés.



Non vraiment, j’ai du mal à piger le truc. Je vois pas en quoi tomber dans une arborescence type “/A/B/C/D/” remonter vers “/A” et se voir proposer une identification implique que “D” n’était pas accessible normalement.


votre avatar







megadub a écrit :



Quand il a du contenu, ça devient un magasin <img data-src=" />





Un site sans contenu… à part une simple page blanche, ça n’existe pas…



Et même en considérant ça comme un magasin, le contenu, c’est le magasin qui le lui a envoyé, sans rien lui demander en échange, en quoi ça serait du vol…


votre avatar







Mihashi a écrit :



Un site sans contenu… à part une simple page blanche, ça n’existe pas…







C’est pourtant la ligne de défense de Google quand il s’agit de piratage : ha mais nous on n’a pas de fichiers hein <img data-src=" />







Mihashi a écrit :



Et même en considérant ça comme un magasin, le contenu, c’est le magasin qui le lui a envoyé, sans rien lui demander en échange, en quoi ça serait du vol…







Mais non, il a parcouru le site et à télécharger pour 7.7Go de données… faut arrêter 2s là… on est pas du tout dans le cas d’un gogo qui tombe sur 3 fichiers au hasard <img data-src=" />


votre avatar

Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle. <img data-src=" />

votre avatar







megadub a écrit :



ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)



votre avatar







malock a écrit :



S’il a vu qu’il y avait un accès par identifiant, il a seulement pu en déduire qu’il y avait une partie privée sur ce site. Mais en rien que ces documents là particulièrement étaient protégés.







Oui, et donc il prévient le site qu’il a une faille qui permet de récupérer des fichiers protégés mais il ne sait pas qu’ils le sont… il est schizophrène en fait c’est ça ?



Il aurait du plaider la démence c’est balaud <img data-src=" />







malock a écrit :



Non vraiment, j’ai du mal à piger le truc. Je vois pas en quoi tomber dans une arborescence type “/A/B/C/D/” remonter vers “/A” et se voir proposer une identification implique que “D” n’était pas accessible normalement.







Lui le savait très bien puisqu’il a reconnu savoir être sur un site sécurisé. <img data-src=" />


votre avatar







John Shaft a écrit :



Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)







En rendant public des infos réservés, il a volé l’exclusivité des données… du moins, c’est comme ça que je l’interprète <img data-src=" />


votre avatar







megadub a écrit :



Mais non, il a parcouru le site et à télécharger pour 7.7Go de données… faut arrêter 2s là… on est pas du tout dans le cas d’un gogo qui tombe sur 3 fichiers au hasard <img data-src=" />





Bah si justement, il est tombé sur 3000 fichiers au hasard.

Et dans l’administration (dont fait partie l’agence gouvernementale) c’est très courant des mettre des documents à disposition de la sorte.


votre avatar







megadub a écrit :



Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />





Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







megadub a écrit :



Un écran de connexion empêche d’arriver à une page référençant les documents. Sauf que ce référencement, Google s’en est chargé, c’est la faille <img data-src=" />





Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.


votre avatar







Mihashi a écrit :



Bah si justement, il est tombé sur 3000 fichiers au hasard.

Et dans l’administration (dont fait partie l’agence gouvernementale) c’est très courant des mettre des documents à disposition de la sorte.







Non, il est tombé sur UN fichier par hasard et le reste il est allé le cherché. Relis l’arrêt <img data-src=" />


votre avatar







megadub a écrit :



Non, il est tombé sur UN fichier par hasard et le reste il est allé le cherché. Relis l’arrêt <img data-src=" />





Et alors ? Qu’il ai commencé par un fichier qui l’a amené à d’autres, ça change rien au fait qu’il a trouvé 3000 fichiers par hasard.


votre avatar







Winderly a écrit :



Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







Comme je l’ai dit plus haut, c’est en effet une question qu’on peut se poser. A priori, je serais tenté de dire que le délit est constitué de la même manière mais que le juge se montrera clément.



Ceci étant dit, tu télécharges rarement 7.7Go de fichiers au hasard <img data-src=" />







Winderly a écrit :



Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.







Il y a une serrure à la porte d’une maison sans mur… c’est idiot mais ça suffit à démontrer que le contenu n’est pas public.



votre avatar







Mihashi a écrit :



Et alors ? Qu’il ai commencé par un fichier qui l’a amené à d’autres, ça change rien au fait qu’il a trouvé 3000 fichiers par hasard.







Tu comprends la différence entre trouver un fichier par hasard permettant d’accéder à 3000 fichiers en remontant l’arborescence et trouver 3000 fichiers par hasard n’est-ce pas ?



Il a pas trouvé ça par hasard, il écrivait un article, à chercher des docs sur leur site, a pompé 7.7Go de données et en a extrait 250Mo qu’il a partagé sachant parfaitement qu’il était pas sensé accéder à ces fichiers… c’est pas le clampin du coin le mec.


votre avatar



qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées



Ni la “démonstration” ni “l’évidence” ne m’ont convaincu de sa culpabilité.

Si c’était aussi évident ce débat n’aurait pas lieu.

votre avatar







francois-battail a écrit :



Malheureusement l’arrêt ne l’indique pas précisément et, en effet, la qualification de vol est curieuse. Mais c’est visiblement aussi sur la base du 323-1 CP :







Yup. C’est le “vol” qui a fait tiquer le Phoenix Wright en moi. Je ne me suis pas encore pencher sur la question du “maintien frauduleux”. Là c’est moins évident en effet <img data-src=" />



En première instance, le jugement disait





Compte tenu de l’ensemble de ces éléments, même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par Monsieur Olivier L. aux seules personnes autorisées.



Monsieur Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système.





Si je comprends bien, le juge avait alors estimé qu’il convenait d’en revenir à ce bon vieux principe du droit romain : “Nul ne peut se prévaloir de ces propres turpitudes”



Pour éviter de stériliser le débat, le paragraphe :





S’il affirmait être arrivé par erreur au cœur de l’extranet de I‘Anses, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).





était déjà présent dans le jugement de premier instance (je vois que ça discutais pas mal sur ce point un peu plus haut dans les comm’) <img data-src=" />



Bref, faut que ça casse ! <img data-src=" /> <img data-src=" />


votre avatar







malock a écrit :



Mouais si tu le dis…

Je vois toujours pas le rapport “constater la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe” et “qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier”.

“Remonter jusqu’à la page d’accueil” ne signifie pas grand chose (amha) : c’est oublié qu’il y a X moyens de masquer ce qui apparaît dans l’URL (genre, réécriture d’URL non ?)







Si toi tu ne comprends pas, lui comprend très bien puisqu’il ne s’est pas défendu du contraire <img data-src=" />


votre avatar







Laurius a écrit :



Autant la présentation à la médiapart m’avait un peu fait flipper, autant à la lecture de l’arrêt on comprend mieux.



Le mec est en aveu là.



“Vous saviez que vous n’aviez pas le droit d’être là et de tout pomper et vous l’avez fait quand même et en plus vous avez distribué les infos ensuite?”



“Oui.”



“Ok, pas besoin de s’attarder sur le lojin, de gogleuh, suivant!”



Juridiquement, je confirme qu’on s’en fout.



Il y a eu des (un?) cas de relaxe alors que les infos n’étaient pas à considérer comme confidentielles si elles n’étaient pas utilement protégées (Kitetoa c/ Tati en 2002, qui me semble être un cas assez isolé d’ailleurs), mais globalement si le mec sait qu’il est là où il ne devrait pas être et en convient devant le juge, c’est mort.



Après, à voir si le fait de savoir si le prévenu en affirmant avoir eu connaissance de l’existence d’un login/mdp à la racine avait bien compris que c’était protégé, je pense que les débats ont été suffisamment clair, au surplus lorsqu’on à affaire à un informaticien. D’autant que le côté “recherche complexe” a fini d’achever la bonne foi du type aux yeux du juge. Il est quand même pas arriver là tout à fait par hasard, même si ce n’est pas suffisant pour le condamner d’un accès frauduleux, en balançant ça on part quand même pas avec une étiquette de blanc mouton.



Bref, ce point ne sera pas tranché par la Cour de cass. C’est une interprétation souveraine du juge du fond.



Je vais continuer à jeter un oeil sur l’affaire, notamment pour voir la gueule du pourvoi.









megadub a écrit :



Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />





Je ne vois pas d’où est-ce que vous sortez qu’il savait qu’il n’avait pas le droit d’accéder à ces fichiers.

Au contraire dans l’arrêt de la cour d’appel c’est bien marqué : qu’ « il indiquait ignorer qu’ils avaient été collectés sur un espace privé ».





Et puis la “faille de sécurité” elle est dans les “paramètres du serveur”, comprendre : c’est pas une faille, le serveur n’a juste pas été configuré comme il faut…


votre avatar







megadub a écrit :



Si toi tu ne comprends pas, lui comprend très bien puisqu’il ne s’est pas défendu du contraire <img data-src=" />







Non mais c’est vrai, je suis pas très bon dans tout ça je le reconnais.

Il me paraît tout de même difficile que se défendre d’une décision que l’on ne connaissait pas.

Comment pouvait-il imaginer qu’il serait condamné sur le rapprochement foireux (à mon sens) du “il y a une page qui demande authentification” -&gt; “ces données sont évidement privées”.



Comme le dit si bien Winderly : ni la “démonstration” ni “l’évidence” ne m’ont convaincu de sa culpabilité.


votre avatar

LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.



un syllogisme foireux



du genre



Tout ce qui est rare est cher. Un cheval bon marché est rare. Donc un cheval bon marché est cher (!)



ce truc ce n’est pas du droit !!! Bordel !!!



Je monte un intra dans un CMS…



je le sécurise pas donc tout le monde à accès à mes liens non sécurisés….



La présence d’une POSSIBILITE d’identification PROBABLE n’indique absolument pas que l’arborescence visible depuis le monde entier fait partie de la zone protégée de mon site.



la justification de l’infraction est débile et tirée par les cheveux.



Mais si les documents étaient classifiés et Noté comme tel



1° ça doit être écrit dessus (diffusion restreinte)

2° pourquoi n’étaient ils pas chiffrés ?



Bref mais si c’est tendancieux le seul responsable de cette histoire c’est le service info de l’administration personne d’autre..

votre avatar







John Shaft a écrit :



Si je comprends bien, le juge avait alors estimé qu’il convenait d’en revenir à ce bon vieux principe du droit romain : “Nul ne peut se prévaloir de ces propres turpitudes”







Merci (je n’avais pas lu en détail le premier jugement). Mais cela paraît parfaitement raisonnable et étayé alors que l’arrêt…



Le nombre de fois où ça m’est arrivé de faire ce genre de manipes pour retrouver des documents supposément publics parce que le redesign d’un site lié à l’état avait aussi changé les urls.



Pourvu que ça casse !


votre avatar







megadub a écrit :



Ha oui, si tu considères qu’une porte laissée ouverte rend le lieu public en effet <img data-src=" />



sur un site public où rien n’indique qu’il est interdit d’être là… à défaut, c’est autorisé.


votre avatar







WereWindle a écrit :



Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)







pour qu’un délit soit établi il FAUT prouver l’intention.



Si madame Michu remonte à la page de login/mdp il n’est pas évident qu’elle comprenne que les pages précédentes sont sur une partie privée.



Si c’est quelqu’un familier avec l’informatique, la cour a jugé qu’il ne pouvait pas ignorer qu’il était sur une partie privée. S’il a récupéré des documents après cette étape, l’intention de se maintenir dans cette partie privée est démontrée.



après dans le détail c’est pas parce qu’il y a un login/mot de passe sur la page d’accueil que tout le site est à accès restreint, il y a généralement une partie publique accessible légitimement avec un compte guest ou anonyme. Donc si sur leur site il y a des pages publiques (et difficulté de distinguer public/privé), ça me semble assez simple de contrer l’argument.


votre avatar

Après il est quand même très con d’avoir fait le malin et d’avouer savoir être au mauvais endroit et tout piquer…



S’il avait fermé sa gueule il aurait eu le bénéfice du doute.



il n’en reste pas moins que l’argument du juge est foireux et que ce jugement ne relève que de l’intime conviction du juge.



c’est limite….

votre avatar







francois-battail a écrit :



Merci (je n’avais pas lu en détail le premier jugement). Mais cela paraît parfaitement raisonnable et étayé alors que l’arrêt…



Le nombre de fois où ça m’est arrivé de faire ce genre de manipes pour retrouver des documents supposément publics parce que le redesign d’un site lié à l’état avait aussi changé les urls.



Pourvu que ça casse !







Je plussois parce que la motivation de ce jugement ouvre la porte à tous les arbitraires….



Pourvu que ça casse…. ouaip sinon c’est la bérézina pour les informaticiens français…. on pourra faire condamner tout le monde pour n’importe quoi…


votre avatar







Mihashi a écrit :



Je ne vois pas d’où est-ce que vous sortez qu’il savait qu’il n’avait pas le droit d’accéder à ces fichiers.

Au contraire dans l’arrêt de la cour d’appel c’est bien marqué : qu’ « il indiquait ignorer qu’ils avaient été collectés sur un espace privé ».









il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées





Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />







Mihashi a écrit :



Et puis la “faille de sécurité” elle est dans les “paramètres du serveur”, comprendre : c’est pas une faille, le serveur n’a juste pas été configuré comme il faut…







Le site est protégé par un login/pwd, le fait que le reste du site ne soit pas protégé contre le référencement google et accessible sans passer par cette page, c’est ça la faille.


votre avatar







benco a écrit :



LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.







Non, ça prouve rien en soit mais quand l’accusé admet qu’il savait être sur un site sécurisé, ça c’est un argument <img data-src=" />


votre avatar







Vachalay a écrit :



Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.

Pourquoi dans ce cas présent, le tribunal ne reconnait pas la négligence de l’administrateur du site ayant mis à disposition des informations confidentielles ?



Je ne connais pas les documents concernés mais dans ma boite, dès lors que l’on diffuse un document, il doit se conformer à une charte spécifique avec un cartouche en première page précisant la portée de diffusion : “service, entreprise, confidentiel, public, …”. Est-ce le cas ici ?







Ouai, mais là, ça concerne une Agence Nationale. Il y a un code pénale spécial pour eux. En gros, si tu es un ver de terre de particulier, tu as toujours tort face à ces gens là. Et les lois normales ne s’appliquent pas à eux.


votre avatar







Patch a écrit :



sur un site public où rien n’indique qu’il est interdit d’être là… à défaut, c’est autorisé.







Tout à fait… mais si le pékin moyen peut se méprendre, ce n’était pas le cas de Bluetouf <img data-src=" />


votre avatar







benco a écrit :



Après il est quand même très con d’avoir fait le malin et d’avouer savoir être au mauvais endroit et tout piquer…



S’il avait fermé sa gueule il aurait eu le bénéfice du doute.



il n’en reste pas moins que l’argument du juge est foireux et que ce jugement ne relève que de l’intime conviction du juge.



c’est limite….







Oui, mais comme ça a été relevé, il est aussi condamné pour vol, et il est pas du tout impossible que le jugement soit cassé en cassation. Du coup, on peut lire le jugement comme une grosse frayeur faite à Blutouf avec une réelle chance de s’en sortir. Si c’est le cas, c’est plutôt malin de la part du juge <img data-src=" />


votre avatar







John Shaft a écrit :



La différence est capitale. Dans le premier cas, Bluetouff est un vilain hacker pas gentil pas beau. Dans le deuxième cas, les admins de l’extranet de l’Anses sont nuls et Bluetouff ne peut pas être condamné à cause de l’erreur d’un autre. Le fait que l’Anses n’ai pas décidé de faire appel (c’est le parquet qui a fait appel) montre bien ce qui s’est passé à mon avis







<img data-src=" /> le parquet aurait plus avisé (et légalement tenu) au titre de l’article 40 CPP d’ouvrir une enquête sur l’ANSES et sa fuite de données supposées être confidentielles / sensibles car a priori ça tombe aussi sous le coup du CP mais comme par hasard…

Accessoirement Google aurait aussi pu être assigné histoire de rigoler encore plus et de tout déballer au grand jour ainsi que d’apprécier l’utilisation qui est faite de l’argent public.


votre avatar

“frauduleusement soustrait des documents” -&gt; FAUX



“des adresses IP ayant exfiltré un volume important de fichiers” -&gt; FAUX







“fait une extraction de 250 megaoctets” -&gt; FAUX



“des opérations de téléchargement de données” -&gt; VRAI



Ils sont ivres ou quoi ?

Sinon j’aime bien le “site d’information alternatif reflets.info” <img data-src=" /> Alternatif à quoi ? reflets.info est une source d’information principale, et tf1 est une source d’infos alternative. <img data-src=" />

Sinon je suis globalement d’accord avec le jugement, à ceci près qu’on ne sais pas si l’accusation a apporté la preuve que id/mdp était visiblement destiné à priver d’accès public l’ensemble des 8Go copiés.



Soit elle n’a pas apporté cette preuve =&gt; cassation.

Soit elle l’a apporté (mais c’est pas clair dans l’arrêt) =&gt; coupable.



<img data-src=" />

votre avatar







francois-battail a écrit :



<img data-src=" /> le parquet aurait plus avisé (et légalement tenu) au titre de l’article 40 CPP d’ouvrir une enquête sur l’ANSES et sa fuite de données supposées être confidentielles / sensibles car a priori ça tombe aussi sous le coup du CP mais comme par hasard…







Oui. Ce qui est dingue c’est que (toujours en lisant le premier jugment) la DCRI a enquêté sur le truc et les mecs de l’Anses sont passés aux aveux :





L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) qui avait permis le téléchargement depuis une adresse IP d’un VPN localisée au Panama de l’ensemble des fichiers présents sur ce serveur (environ 8Go de données)





D’ailleurs, ce passage en particulier me semble être absent de l’arrêt







francois-battail a écrit :



Accessoirement Google aurait aussi pu être assigné histoire de rigoler encore plus et de tout déballer au grand jour ainsi que d’apprécier l’utilisation qui est faite de l’argent public.







Ça aurait été marrant <img data-src=" />







unCaillou a écrit :



[i]

Sinon je suis globalement d’accord avec le jugement, à ceci près qu’on ne sais pas si l’accusation a apporté la preuve que id/mdp était visiblement destiné à priver d’accès public l’ensemble des 8Go copiés.



Soit elle n’a pas apporté cette preuve =&gt; cassation.

Soit elle l’a apporté (mais c’est pas clair dans l’arrêt) =&gt; coupable.:







Voir plus haut dans mon com, tu as la réponse <img data-src=" />





Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/





Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />


votre avatar







megadub a écrit :



Comme je l’ai dit plus haut, c’est en effet une question qu’on peut se poser. A priori, je serais tenté de dire que le délit est constitué de la même manière mais que le juge se montrera clément.



Ceci étant dit, tu télécharges rarement 7.7Go de fichiers au hasard <img data-src=" />





Tiens c’est bizarre… quand il s’agit de films la quantité ne compte pas.

Deux poids deux mesures…


votre avatar

C’est à se demander si ceux qui commentent prennent le temps de lire…

votre avatar







Mihashi a écrit :



Non, ça revient au même.

Qu’il tombe sur un dossier qui contient tous les documents, ou qu’il tombe sur un document avec des dossiers voisins qui contiennent les autres documents, ça ne change absolument rien : il a découvert par hasard 3000 documents…





Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).





Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?



Non seulement les fichiers auraient du être protégés,



mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.


votre avatar







psn00ps a écrit :



Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?

(…)

mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.







Si moi <img data-src=" />



Ce fail sur les bots reste néanmoins l’inconnue. Les bots des moteurs de recherche sont polis et s’identifient comme tel. Hypothèse perso : soit les mecs n’ont tout simplement pas repéré le passage des bots dans leurs rapports de logs (étant donné que c’est commun, il suffit de pas faire gaffe au serveurs auquel on est en train de lire le rapport et hop). Soit ils les ont vu mais ont eut honte de faire pas savoir faire un robots.txt type “User-agent: * Disallow: /” <img data-src=" />



A mon avis, il faudrait le rapport d’enquête de la DCRI pour trancher sur ce point quoiqu’il arrive <img data-src=" />


votre avatar







John Shaft a écrit :



(…)

Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/



Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />







<img data-src=" />



Et sinon, tu as une page perso sur Chuck Norris ?!

<img data-src=" />

Si je m’ennuie ce soir, je peux le DL le film ? ^^’


votre avatar







psn00ps a écrit :



Tiens c’est bizarre… quand il s’agit de films la quantité ne compte pas.

Deux poids deux mesures…







j’vois pas le rapport mais… si tu veux <img data-src=" />


votre avatar







John Shaft a écrit :



Oui. Ce qui est dingue c’est que (toujours en lisant le premier jugment) la DCRI a enquêté sur le truc et les mecs de l’Anses sont passés aux aveux :







D’ailleurs, ce passage en particulier me semble être absent de l’arrêt







Ça aurait été marrant <img data-src=" />







Voir plus haut dans mon com, tu as la réponse <img data-src=" />





Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/





Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />







Ok, c’est clair pour moi, l’erreur principale de l’arrêt est donc dans la phrase :



il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système



Ce qui devrait être cassé par la cour de cassation qui devrait répondre que les juges en appel sont des branquignoles ont affirmé que le prévenu avait conscience du maintien irrégulier en méconnaissance de toute logique élémentaire, la démonstration n’étant pas rigoureuse.



En gros, il est peut-être coupable, on ne sais pas, mais en tout cas il faut le prouver correctement, ce qui n’est pas fait.



J’ai hâte de lire maitre Eolas sur le sujet.


votre avatar







malock a écrit :



Si je m’ennuie ce soir, je peux le DL le film ? ^^’







C’est pas tant une page qu’une tentative foireuse de “Grand détournement” (que je n’avais pas vu à l’époque) pour gueuler à la face du monde mon amour de Chuck <img data-src=" />



C’est public, sert toi. <img data-src=" /> (toutes ces vidéos sont aussi sur DailyMotion)



Attention, c’est vieux (qualité vidéo pourrave) et l’humour est pas top. Ça marche mieux en trailer <img data-src=" />


votre avatar

Concernant le vol de données informatiques, ça vous trouble, c’est contestable, il n’y a effectivement pas de dépossession, mais c’est admis depuis longtemps chez nous et la France y vient aussi :



http://www.legalis.net/?page=jurisprudence-decision&id_article=3240



Concernant les pseudo-débats sur “est-ce qu’il savait que c’était des données protégées ou pas” : on n’a pas l’intégralité des débats,et ce qui compte à ce stade c’est l’interprétation de la Cour d’appel. Les juges se sont basés sur leur intime conviction et il faut croire qu’il a un peu trop fait le fanfaron (recherche complexe, arrivé par hasard, j’avais vu qu’il y avait besoin d’un mdp/pass à la racine du site).



La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »



D’ailleurs, même quand il n’y a pas de protection efficace derrière cette intention si l’on suit cette interprétation.



S’il avait simplement dit “Je suis tombé dessus par hasard en tapant des mots clés sur google, je ne savais pas que c’était confidentiel/privé”, le résultat aurait d’ailleurs peut être été différent. L’élément moral aurait été plus lâche.



Comme mentionné tout à l’heure, c’est quoiqu’il arrive l’interprétation souveraine des juges du fond qui semble en cause, la Cassation ne peut pas changer ça…

votre avatar

Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).

votre avatar







unCaillou a écrit :



Ok, c’est clair pour moi, l’erreur principale de l’arrêt est donc dans la phrase :



il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système







Oui. Ça montre bien le degré d’incompétence des magistrats



Coup de bol, je me suis souvenu que mon site Free était dans ce cas en allant soulager mes intestins <img data-src=" /> <img data-src=" /> <img data-src=" />



+1 pour Eolas. Fait le harceler sur Twitter <img data-src=" /> Il a twitté que c’est en cours. J’espère qu’il en arrive à mes conclusions. Et oui, je me vante <img data-src=" />







francois-battail a écrit :



Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).







Pas bête et malheureusement vraisemblable <img data-src=" />


votre avatar







John Shaft a écrit :



Oui. Ça montre bien le degré d’incompétence des magistrats





Oui. Mais il y a 2 choses : la rigueur d’un jugement, et la réalité des faits.



Bluetouff est innocenté si le jugement est cassé, d’accord.

Et c’est la logique de la justice qui prime, rien que pour ça il faut lutter, c’est clair.



D’un autre côté, je pense qu’il savait qu’il n’avait rien à faire là : copier 8Go de docs à travers un VPN après avoir constaté qu’on est arrivé sur un extranet par erreur,…aheumm… comment dire… <img data-src=" />



Les gens du métier (comme il s’en réclame) font part de la faille à l’admin du site, en général c’est ça la bonne pratique. L’a-t’il fait ?


votre avatar

Je pense que la seule chose éventuellement condamnable est la diffusion à des tiers …



en revanche le telechargement de données accessibles sans mdp - je vois mal en quoi ça peut être condamnable en soi



combien de fois je suis tombé sur des cours ou des articles à priori accessibles uniquement à des personnes autorisés; via Google …

votre avatar

On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….

votre avatar

Ce qui inquiétant dans l’histoire c’est que l’accusé et son avocat n’y ont pas eu accès, mais par contre le Parquet et le Point, oui….

twitter.com Twitter

votre avatar







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….







Tu risque juste de détruire la planète !

C’est moins risqué que de libérer Lucifer de sa prison, donc je pense que tu peux le télécharger sans craintes


votre avatar







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….





Pareil. Comment savoir qu’ils n’appliquent pas le RFC 6996?



Je vais passer par un VPN au panama au cas où.


votre avatar

Je l’ai survolé super vite, et déjà je tombe sur “développeur informateur” comme profession (page 4, paragraphe 5). C’est un développeur informatique qui bosse pour la police ?

votre avatar

Dans 3 jours : PC INpact assigné en justice pour complicité de destruction de planète <img data-src=" />

votre avatar







Laurius a écrit :



La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »







Encore faudrait-il que cette manifestation ne soit pas une incantation parce qu’exceptée la poudre verte ça marche plutôt mal en informatique.

Supposer que les accès se feront d’abord par la page d’accueil vaguement sécurisée puis ensuite dans la hiérarchie de l’arborescence non sécurisée c’est de l’incompétence crasse (je parle des « admins », pas de la cour).



Aucun élément ne permet de déterminer la délimitation entre l’espace public et privé dès lors qu’il n’y a aucune contrainte technique imposée et raisonnablement fiable face à une utilisation que l’on peut qualifier de normale.



Donc si au lieu d’avoir cette jurisprudence moisie on peut avoir une jurisprudence qui impose de mettre en œuvre des moyens raisonnables de sécurisation avant de hurler au piratage ce sera une bonne chose et évitera les affaires Guillertimo, Kitetoa, … où la justice ne s’est pas franchement illustrée par une brillante compréhension de la technique.


votre avatar







unCaillou a écrit :



D’un autre côté, je pense qu’il savait qu’il n’avait rien à faire là : copier 8Go de docs à travers un VPN après avoir constaté qu’on est arrivé sur un extranet par erreur,…aheumm… comment dire… <img data-src=" />







Pour le VPN, il bosse dans une boite qui vends ce genre de services. Il l’utilise peut-être par défaut quand il utilise Google. On s’en fout, la question n’est pas là. Tout comme on se fout finalement de savoir si il avait conscience d’être sur des pages qui aurait du être protégé si les admins de l’Anses n’avait pas merdé. Comme je le disais plus, un des principe du droit français (copié au romains sans versement de royalties <img data-src=" /> ) veut que :



Nemo auditur propriam turpitudinem allegans



Donc, les admins Anses ont merdé (ils le reconnaissent en plus !) et donc, il ne peuvent en théorie pas réclamer justice dans ces circonstances.







unCaillou a écrit :



Les gens du métier (comme il s’en réclame) font part de la faille à l’admin du site, en général c’est ça la bonne pratique. L’a-t’il fait ?







Bin, il en a foutu plein les logs du serveur, c’est faire part de la faille nan ? <img data-src=" />


votre avatar

L’affaire Kitetoi de 2002 va à l’encontre de celle là et de celle de 1994 en retenant que le défaut de sécurisation peut entraîner une relaxe de l’accusé.



En revanche il est bien évident que la “victime” peut aussi être condamnée pour défaut de sécurisation des données.



Mais c’est un autre procès, et la jurisprudence actuelle a plutôt tendance à isoler les deux problèmes sans interdépendance.

votre avatar







John Shaft a écrit :



Pour le VPN, il bosse dans une boite qui vends ce genre de services. Il l’utilise peut-être par défaut quand il utilise Google. On s’en fout, la question n’est pas là. Tout comme on se fout finalement de savoir si il avait conscience d’être sur des pages qui aurait du être protégé si les admins de l’Anses n’avait pas merdé. Comme je le disais plus, un des principe du droit français (copié au romains sans versement de royalties <img data-src=" /> ) veut que :



Nemo auditur propriam turpitudinem allegans



Donc, les admins Anses ont merdé (ils le reconnaissent en plus !) et donc, il ne peuvent en théorie pas réclamer justice dans ces circonstances.







Bin, il en a foutu plein les logs du serveur, c’est faire part de la faille nan ? <img data-src=" />







Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.



C’est le ministère public qui a constaté une infraction et qui la poursuit.


votre avatar







Laurius a écrit :



Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.







Le dépôt de plainte initial provient bien de l’Anses (voir page 3 de l’arrêt).





Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, opérateur d’importance vitace (OIV), déposait plainte auprès des services de police de Maisons-Alfort



votre avatar







francois-battail a écrit :



Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).





Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…


votre avatar

Dites, total HS, mais tout va bien pour Marc Rees ? Si je ne me trompe pas, pas d’actu depuis 2 semaines (congés) ? Et absent sur Tweeter depuis près de 2 mois <img data-src=" />

votre avatar







Mihashi a écrit :



Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…







Tout simplement. C’est tellement gros, qu’on peut manquer ce genre de détails parfois. Bien vu <img data-src=" />


votre avatar







John Shaft a écrit :



« ANSES opérateur d’importance vitale (OIV) »







Mon dieu, je ne l’avais pas vu ! C’est absolument incompréhensible qu’il n’y ait pas de procédure publique de poursuite de toute la chaîne de commandement (bien évidemment on trouvera un lampiste) mais à ce niveau d’incompétence pour une institution supposée critique, c’est simplement hallucinant.







Mihashi a écrit :



Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…







Comme quoi je ne suis pas aussi mauvaise langue que ça, la réalité dépasse les hypothèses <img data-src=" />


votre avatar







John Shaft a écrit :



Le dépôt de plainte initial provient bien de l’Anses (voir page 3 de l’arrêt).









Evidemment que c’est l’ANSES qui a déposé plainte, mais pour le jugement ils n’étaient plus demandeurs de rien et c’est ça qui compte.



L’adage que tu sors aurait été justifiable en cas de constitution de partie civile ou de citation directe, là ça me semble quand même plus douteux de dire qu’ils se prévalent de leur propre turpitude pour obtenir quelque chose alors qu’ils ne demandent plus rien.



Celui qui demande maintenant c’est le parquet, et le parquet n’a pas fait de faute technique lui.



De mémoire l’arrêt de 1994 avait été rendu alors qu’il s’agissait d’un employé qui avait eu un accès général techniquement, mais on lui avait indiqué qu’il n’avait le droit que de consulter certaines choses. Il n’avait pas respecter ça alors que les infos n’étaient pas spécifiquement protégées. Il a quand même été reconnu coupable.


votre avatar







francois-battail a écrit :



Mon dieu, je ne l’avais pas vu ! C’est absolument incompréhensible qu’il n’y ait pas de procédure publique de poursuite de toute la chaîne de commandement (bien évidemment on trouvera un lampiste) mais à ce niveau d’incompétence pour une institution supposée critique, c’est simplement hallucinant.







Oui, c’est assez hallucinant. <img data-src=" />



La loi devrait au moins forcer la DCRI à remettre publiquement les conclusions de son enquête aux autorités compétentes (j’insiste aussi sur la publicité de la chose) <img data-src=" />


votre avatar







Reznor26 a écrit :



<img data-src=" />



(mais je suppose que c’est fait exprès) <img data-src=" />





Tu supposes bien <img data-src=" />







Khalev a écrit :



Sauf que détenir une arme EST illégal sans permis. Et c’est évident que les armes chez le GIGN sont pas en accès libre. Par contre des brochures de ci de là sans précision que c’est réservé pour diffusion interne…





Je sais bien, c’était juste pour apporter ma pierre à l’édifice des analogies foireuses <img data-src=" />



Mais j’admets que la tienne tient la route <img data-src=" />


votre avatar







Laurius a écrit :



Evidemment que c’est l’ANSES qui a déposé plainte, mais pour le jugement ils n’étaient plus demandeurs de rien et c’est ça qui compte.







Exact <img data-src=" />



Ça n’enlève rien à la débilité de l’arrêt <img data-src=" />


votre avatar







John Shaft a écrit :



Exact <img data-src=" />



Ça n’enlève rien à la débilité de l’arrêt <img data-src=" />







Hélas, ce qui est le plus difficile à admettre d’un point de vue technique me semble assez difficile à remettre en question devant la Cour de cassation, plus qu’à attendre le reste de la procédure…


votre avatar







Laurius a écrit :



Hélas, ce qui est le plus difficile à admettre d’un point de vue technique me semble assez difficile à remettre en question devant la Cour de cassation, plus qu’à attendre le reste de la procédure…







Oui, la Cour ne jugeant pas au fond,ça complique les choses. En même temps, un non juriste comme moi y trouve des énormités à cet arrêt, donc je reste confiant. <img data-src=" /> (et il vaut mieux l’être parce que rien que le coup du vol pour un bête DL via un navigateur web, c’est inquiétant)



votre avatar







maxxyme a écrit :



Ce qui inquiétant dans l’histoire c’est que l’accusé et son avocat n’y ont pas eu accès, mais par contre le Parquet et le Point, oui….

twitter.com Twitteren lisant l’article du Point, ce qui est encore plus inquiétant c’est que la magistrate ne semblait pas connaitre google, ni savoir ce que signifie login et que le représentant du ministère public a avoué ne pas avoir compris la moitié des termes employés


votre avatar

Ma réponse à cette news est tellement pas “corporate” que j’ai été obligé par auto censure de l’envoyer par le bouton “signaler” à PCI…. <img data-src=" />

votre avatar







chichillus a écrit :



Il a vu que des parties du site demandaient des identifiants. Mais il n’a téléchargé que ce qui était en accès libre. Ce n’est pas sa faute si des documents on été placés par erreur en accès libre !







Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />



votre avatar







Reznor26 a écrit :



Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :







Globalement, l’explication se tient.





Pour moi c’est discutable. Ce qu’il dise c’est bien beau, mais il manque toujours le lien entre : il y a une page ayant besoin d’un id/mdp tous les documents que je trouves requiert ce id/mdp.



Ça a peut-être été dit à l’audience, mais ça n’apparaît pas vraiment dans l’arrêt je trouve.



C’est comme dire : “Oui j’ai vu qu’il y avait un cadenas sur la porte mais la porte était grande ouverte sans aucun panneau me disant de ne pas rentrer.” Si c’est pas dans un lieu privé, je vois pas trop le soucis.


votre avatar







Reznor26 a écrit :



Globalement, l’explication se tient.







Qu’il puisse y avoir une partie protégée sur un site et une partie publique surtout quand c’est une émanation de l’état n’est pas franchement une grande nouveauté. De là à distinguer l’aspect protégé d’un document quand on dispose d’un lien direct…



Maintenant - pour rigoler un peu - c’est manifestement un défaut de sécurisation de documents protégés (d’ailleurs la qualification de vol est curieuse et non juridiquement justifiée), c’est en quelque sorte du reverse HADOPI mais curieusement le coupable au final, c’est toujours le plus faible.


votre avatar







francois-battail a écrit :



Qu’il puisse y avoir une partie protégée sur un site et une partie publique surtout quand c’est une émanation de l’état n’est pas franchement une grande nouveauté. De là à distinguer l’aspect protégé d’un document quand on dispose d’un lien direct…



Maintenant - pour rigoler un peu - c’est manifestement un défaut de sécurisation de documents protégés (d’ailleurs la qualification de vol est curieuse et non juridiquement justifiée), c’est en quelque sorte du reverse HADOPI mais curieusement le coupable au final, c’est toujours le plus faible.







rien à voir, mais bon … (cela dit la cnil peut être saisie si des données perso ont été exposées)



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…


votre avatar

OMG on voit bien que le rédacteur ne capte absolument rien, là.

p4 bluetouff est considéré comme un “développeur informateur”. MDR. <img data-src=" />



apparemment le tribunal considère que Bluetouff avait constaté que l’extranet de l’ANSES était censé être protégé par identifiant/mot de passe, et donc:




  • qualifie le maintien frauduleux dans un système d’information.

  • considère donc comme une évidence que les données étaient protégées (je précise: protégées par un authentifiant absent, lol).

  • pire: considère que Bluetouff “a fait des copies de fichiers inaccessibles au public” (!! mais lol).



    donc, comme l’explique Bluetouff lui-même dans l’article qu’il a écrit sur reflets hier, ce n’est plus la peine, amis administrateurs système, de protéger vos accès par authentifiants! nonon!

    il suffira de trainer les accédants devant les tribunaux en arguant d’une “faille dans le système” et que l’accès était “évidemment” censé être protégé.



    au hasard suffit de coller un fichier .htaccess à votre racine, le tribunal devrait dès lors considérer que votre accès apparaît “évidemment” protégé même si le fichier est vide.



    bref c’est du très grand art.<img data-src=" />

votre avatar







hellmut a écrit :



OMG on voit bien que le rédacteur ne capte absolument rien, là.

p4 bluetouff est considéré comme un “développeur informateur”. MDR. <img data-src=" />







c’est sa propre déclaration “développeur informatique salarié”, assortie de son salaire … Il ne doit rien capter, du coup …







apparemment le tribunal considère que Bluetouff avait constaté que l’extranet de l’ANSES était censé être protégé par identifiant/mot de passe, et donc:




  • qualifie le maintien frauduleux dans un système d’information.

  • considère donc comme une évidence que les données étaient protégées (je précise: protégées par un authentifiant absent, lol).

  • pire: considère que Bluetouff “a fait des copies de fichiers inaccessibles au public” (!! mais lol).



    donc, comme l’explique Bluetouff lui-même dans l’article qu’il a écrit sur reflets hier, ce n’est plus la peine, amis administrateurs système, de protéger vos accès par authentifiants! nonon!

    il suffira de trainer les accédants devant les tribunaux en arguant d’une “faille dans le système” et que le l’accès était “évidemment” censé être protégé.



    au hasard suffit de coller un fichier .htaccess à votre racine, le tribunal devrait dès lors considérer que votre accès apparaît “évidemment” protégé même si le fichier est vide.



    bref c’est du très grand art.<img data-src=" />







    et il suffit de dire “ouin ouin je savais pas j’ai juste tout pompé en vitesse quand j’ai vu que j’avais accès” pour que l’on te croie partout sur le net …


votre avatar

Autant, copier les fichiers, c’est vrai que c’est pas malin mais condamner pour accès frauduleux <img data-src=" />

votre avatar







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />





Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />


votre avatar







GoldenTribal a écrit :



Autant, copier les fichiers, c’est vrai que c’est pas malin mais condamner pour accès frauduleux <img data-src=" />







non, pas condamné pour l’accès … purée faut lire, au bout d’un moment …







tAran a écrit :



Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />







porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”



ps: perso c’est la qualification de vol qui est étrange, je suis curieux de savoir si c’est commun dans le cas d’une copie illégale de document


votre avatar







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à ce servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />







À mon avis, la comparaison site Web / domicile (que je vois beaucoup) ne se tient pas. Un site Web, ça sert à diffuser de l’information, par défaut à tout le monde, et éventuellement à un public restreint (et là, on met un mdp). Un domicile, ça ne sert certainement pas à diffuser des infos, en fait ce serait plutôt le contraire.



Là, en l’occurrence, il n’a pas “forcé de serrure”. Il n’y en avait pas. Il n’y avait pas de “porte” non plus. C’était une diffusion publique.



Il a juste envoyé une requête HTTP au serveur de l’ANSES “filez-moi tous les fichiers dans le dossier machin”. Rien d’autre. Le serveur de l’ANSES a répondu en envoyant les fichiers, sans rien demander d’autre (s’enquérir de son identité par exemple).


votre avatar







tAran a écrit :



Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />







Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />


votre avatar







chichillus a écrit :



Là, en l’occurrence, il n’a pas “forcé de serrure”. Il n’y en avait pas. Il n’y avait pas de “porte” non plus. C’était une diffusion publique.







Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />


votre avatar







Tim-timmy a écrit :



rien à voir, mais bon … (cela dit la cnil peut être saisie si des données perso ont été exposées)







J’aimerais comprendre la qualification de vol dans la mesure où ces fichiers étaient techniquement librement accessibles et en vertu de quel code ces documents, dès lors qu’ils ont été rendus publics - même par erreur -, seraient protégés.







Tim-timmy a écrit :



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…







Ça dépend : quand il y a plein de documents c’est des fois plus pratique de faire un wget -r puis de faire le tri a posteriori, c’est d’autant plus vrai dans le cas d’un travail de journaliste vu que reflets.info se présente sous cet angle.


votre avatar

Combien ont souillé leur écran et clavier en lisant Bluetouff à voix haute ?



<img data-src=" />



<img data-src=" />

votre avatar







francois-battail a écrit :



J’aimerais comprendre la qualification de vol dans la mesure où ces fichiers étaient techniquement librement accessibles et en vertu de quel code ces documents, dès lors qu’ils ont été rendus publics - même par erreur -, seraient protégés.







Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







francois-battail a écrit :



Ça dépend : quand il y a plein de documents c’est des fois plus pratique de faire un wget -r puis de faire le tri a posteriori, c’est d’autant plus vrai dans le cas d’un travail de journaliste vu que reflets.info se présente sous cet angle.







Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />


votre avatar







Mihashi a écrit :



Un site c’est juste une vitrine pas un magasin.







Quand il a du contenu, ça devient un magasin <img data-src=" />







Mihashi a écrit :



Il ne s’est pas introduit dans un réseau, un système ou un serveur. Il a juste consulté des informations qui étaient affichées publiquement.







L’histoire ne le dit pas. Il a trouvé UNE url dans Google et de là, il a joué sur le serveur. Ca m’étonnerait que les 3000 docs soient dispo depuis Google ;)


votre avatar







Obelixator a écrit :



AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?







Contrefaçon, « secret des affaires » mais là c’est une agence financée par l’état ce qui vient encore plus compliquer les choses.


votre avatar







malock a écrit :



C’est compris.

Donc, pas d’accès frauduleux. Mais “maintien frauduleux”. Ok ok…

Maintient frauduleux car il y a un mécanisme de connexion avec couple lojin/MDP sur le point d’entré du site.







Ah d’accord. Donc maintenant, tout site qui dispose d’une partie privée va pouvoir, lorsqu’une partie de son contenu (public, privée, on ne sait plus) sera repris ailleurs, se plaindre d’un maintien frauduleux parce que bon “hé-ho, j’ai un espace privée bonhomme, que le contenu que tu as repris y soit ou non”.



Que ce soit Bluetouff ou un autre (peut être même un script n’est ce pas ? Elle est où l’intelligence du script qui va “supposer” que cette ressource n’est logiquement pas accessible ?), perso, je trouve les arguments bien léger pour démontrer un “maintien frauduleux”







après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p


votre avatar







chichillus a écrit :



Et puis c’est quoi la “thématique des nano-argents” (page 4, paragraphe 4) ? Ça serait pas plutôt “nano-agents” ?





c’est pour compenser les affaires de gros sous <img data-src=" />


votre avatar

C’est vrai que le nombre d’analogies sur ce fil de commentaires est limite collector. <img data-src=" />



(et toujours pas une avec les bagnoles <img data-src=" /> )

votre avatar







megadub a écrit :



Remplace badgeuse par : “réservé au personnel” si tu préfères <img data-src=" />





Sauf que justement il n’y avait aucune indication que c’était réservé. C’est l’ANSES qui le dit elle-même :“Ces documents ne sont pas classifiés.”



Non là c’est juste la porte, ouverte, avec une badgeuse/serrure sur le côté sans aucun panneau.


votre avatar







Khalev a écrit :



si elles sont ouvertes sans mention explicite que l’accès est restreint, c’est difficile d’engueuler ceux qui se baladent dedans…







Ceux qui se balandent surement… mais Bluetouf qui se balade sachant que c’est sensé être protégé et télécharge des documents auxquels il n’est pas sensé accéder, là c’est nettement plus simple <img data-src=" />



Ceci étant dit, si je comprends la décision de justice, je comprends aussi l’interrogation de certains. Bluetouf a exagéré… ok… c’est à peu près évident… soit. Mais quid d’un mec qui viendrait à tomber sur des documents par hasard et téléchargeraient ces documents sans avoir vu de dispositif de sécurité permettant de les identifier comme privé ? Puisque vu le jugement, c’est tout aussi condamnable même si on comprend que dans ce cas le juge aurait surement donné une peine symbolique. Une ligne dans le casier à cause d’un crétin qui sait pas sécurisé son site ça me ferait quand même bien chier <img data-src=" />


votre avatar







Tim-timmy a écrit :



c’est sa propre déclaration “développeur informatique salarié”, assortie de son salaire … Il ne doit rien capter, du coup …





erreur de saisie ou de c/c alors, non remarquée, c’est quand même assez rigolo, le qualificatif de “développeur informateur”, personnellement ça m’est jamais arrivé. pourtant dans le métier en général on te traite de tous les noms. <img data-src=" />





et il suffit de dire “ouin ouin je savais pas j’ai juste tout pompé en vitesse quand j’ai vu que j’avais accès” pour que l’on te croie partout sur le net …



non, pire, il suffit de dire devant le tribunal: “ouin ouin mon fichier était censé être protégé des méchants pirates chinois, c’était marqué nulle part mais c’était pourtant évident” pour que le mec en face soit condamné.



mais du coup maintenant c’est super pratique. plus besoin de protéger ses accès, il suffit de prétendre après coup que c’était évident. je donnais d’ailleurs l’exemple du .htaccess vide. ça pèse quelques octets, ça prend 5 secondes, et hop! accès sécurisé! tadaaa!

après j’ai plus qu’à logger tous les gens qui viennent et à les trainer en justice.

en bossant un peu mon référencement avec Google, ça devrait tourner, ma petite affaire!


votre avatar







megadub a écrit :



Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />







Non. Je cite :



avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe





Il n’est nul part indiqué que cet “écran de connexion” autorise ou non la consultation des documents.


votre avatar







megadub a écrit :



Quand il a du contenu, ça devient un magasin <img data-src=" />







L’histoire ne le dit pas. Il a trouvé UNE url dans Google et de là, il a joué sur le serveur. Ca m’étonnerait que les 3000 docs soient dispo depuis Google ;)









je croyais pareil, mais la seule mention sur le jugement dit en substance “il déclarait avoir découvert que TOUS ces documents étaient en accès via google” ..


votre avatar







Khalev a écrit :



Sauf que justement il n’y avait aucune indication que c’était réservé. C’est l’ANSES qui le dit elle-même :“Ces documents ne sont pas classifiés.”



Non là c’est juste la porte, ouverte, avec une badgeuse/serrure sur le côté sans aucun panneau.







Une page login/password ça me parait tout de même être un panneau suffisamment clair <img data-src=" />


votre avatar







malock a écrit :



Non. Je cite :





Il n’est nul part indiqué que cet “écran de connexion” autorise ou non la consultation des documents.









Oui enfin, tu joues sur les mots là. S’il a vu qu’il y avait un accès par identifiant, il sait bien qu’il faut s’identifié. Peu importe qu’il a vu l’écran de login ou autre chose.



Puis c’est pas dit mais s’il est remonté jusqu’à l’accueil, on peut quand même imaginer que quelque part c’était écrit non ? <img data-src=" />


votre avatar







ActionFighter a écrit :



Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.





Sauf que détenir une arme EST illégal sans permis. Et c’est évident que les armes chez le GIGN sont pas en accès libre. Par contre des brochures de ci de là sans précision que c’est réservé pour diffusion interne…


votre avatar







Tim-timmy a écrit :



sauf qu’il les a gardés après … donc strictement pareil ..





Non, il n’a pas été condamné pour cela. Par rapport à ces doccuments, il a été condamné pour vol” (sic !) de ces fichiers.



marre de ces conneries rabachées … si. A lui de prouver que les arguments sont faux.



Je ne comprends pas pourquoi tu es contre cette présomption d’innocence .

Elle est rappelée dans l’article préliminaire du code de procédure pénale :





III. - Toute personne suspectée ou poursuivie est présumée innocente tant que sa culpabilité n’a pas été établie. Les atteintes à sa présomption d’innocence sont prévenues, réparées et réprimées dans les conditions prévues par la loi.









tu les a eu où, ces infos sur ses déclarations ? (pour dl tout le dossier, je pense perso qu’il est parti … euh, de la racine ? :p)



En page 5 de l’arrêt de la cour d’appel, deuxième paragraphe.





Le prévenu a parfaitement reconnu qu’après être arrivé par erreur …





Sur ta dernière phrase, comme déjà répondu, il est plus facile de télécharger les document en partant du point d’entrée et en remontant vers la racine que le contraire, c’est-à-dire redescendre vers tous les répertoires en dessous de la racine : comment peut-on les connaître ? La racine affiche une page de login et pas une liste de répertoires.


votre avatar







Tim-timmy a écrit :



je croyais pareil, mais la seule mention sur le jugement dit en substance “il déclarait avoir découvert que TOUS ces documents étaient en accès via google” ..







Alors il n’avait qu’à passer par le cache de Google… si en plus il est pas malin <img data-src=" />


votre avatar







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p







Ah, je n’ai pas vu où il faisait référence à la racine d’un répertoire. Je lis “avoir parcouru l’arborescence d’un répertoires et être remonté jusqu’à la page d’accueil”.


votre avatar







tAran a écrit :



Non, il a copié des documents accessibles via Google







Ca on n’en sait rien du tout. On sait qu’il a remonté l’arborescence grâce à l’URL d’un doc accessible via Google mais ensuite, il a copié 8000 docs directement depuis le serveur… aucune idée si les docs en question étaient dispo sous Google… et ça change rien au demeurant <img data-src=" />


votre avatar



qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée



Apparemment c’est pas si constant, vu la quantité de données aspirées. <img data-src=" />

votre avatar







megadub a écrit :



Si en ressortant de la pièce, tu vois la badgeuse, tu réalises que l’entrée est contrôlé et que le contenu n’est donc pas en accès libre. Si en plus tu passes à la photocopieuse avant de partir, évidemment tu aggraves ton cas.





Dans mon job on a des badgeuses à certains endroits. Mais de 8h à 19h les portes sont ouvertes sans avoir besoin de badger.

Là où c’est interdit toute la journée t’as un joli sas avec des panneaux à côté indiquant clairement que t’as pas le droit de rentrer et les rappels des articles de loi et des peines que tu risques. (Panneaux visibles dans le noir en plus).


votre avatar







ActionFighter a écrit :



Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.









ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />





<img data-src=" />



(mais je suppose que c’est fait exprès) <img data-src=" />


votre avatar







Mihashi a écrit :



Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.







<img data-src=" /> Les documents étaient en photo dans un catalogue et il est allé se servir dans le magasin en passant par la sortie de secours fortuitement laissée ouverte. Il a trouvé l’adresse du magasin sur une des photos du catalogue <img data-src=" />


votre avatar







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />





Comment aurait il du savoir qu’il avait rien à faire là ?



De quelle serrure parles tu ? Il n’y en a pas.


votre avatar







Khalev a écrit :



Sauf que je ne suis pas une administration publique proposant à tout le monde de venir lire les avis, rapports et documents que je produis :

http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine







Les documents concernés ne sont pas accessibles via ce site mais c’est bien essayé <img data-src=" />


votre avatar







Mihashi a écrit :



Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.





C’était un extranet et il le savait. On est pas sur un simple site internet. Il savait qu’il “rentrait” quelque part où il s’attendait à se prendre des demandes d’authentification.

Après il n’est pas rare de trouver des docs publiques dans des extranet (c’est pas tout le temps le cas, mais c’est pas non plus interdit).


votre avatar







Patch a écrit :



…et donc tout s’est retrouvé en accès libre. on en revient à ce que j’ai dit.







Ha oui, si tu considères qu’une porte laissée ouverte rend le lieu public en effet <img data-src=" />


votre avatar







francois-battail a écrit :



Exact. Mais il a été condamné pour « vol » et maintien frauduleux dans un système d’information, système d’information qualifié par la loi de site de communication au public en ligne. Cela pose quelques interrogations qui j’espère seront clarifiées en cassation.





Autant pour une œuvre artistique dématérialisée, destinée par essence à être diffusée le plus largement possible, moyennant respect de sa licence, mettre à disposition une copie ne constitue pas un vol mais de la contrefaçon …



Autant pour des documents censées être confidentiels, donc non-destinés à être diffusés, le terme de “VOL” me parait un peu plus cohérent … du moins en ce qui concerne les informations contenues dans les documents, plus que pour les documents eux-mêmes …



AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?


votre avatar







Obelixator a écrit :



L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />







    le premier point, il admet avoir vu la protection à la racine lors de ses visites. Donc après, il joue un peu au beta en disant ne pas savoir si ça s’appliquait aux documents en dessous… Les documents, je n’ai aucune idée e ce qui était marqué dessus, mais en effet mettre ce genre de rappels est considéré comme nécessaire assez souvent.









    Obelixator a écrit :



    Autant pour une oeuvre artistique dématérialisée, destinée par essence à être diffusée le plus largement possible, moyennant respect de la licence, mettre à disposition une copie ne constitue pas un vol mais de la contrefaçon …



    Autant pour des documents censées être confidentiels, donc non-destinés à être diffusés, le terme de “VOL” me parait un peu plus cohérent … en ce qui concerne les informations contenues dans les documents du moins …



    AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?









    oui je pense plutôt que c’est ça, ils ont consideré qu’il avait photocopié les documents posés sur un bureau, un peu .. mais je ne sais pas si on utilise vol pour ça..


votre avatar







Khalev a écrit :



Dans mon job on a des badgeuses à certains endroits. Mais de 8h à 19h les portes sont ouvertes sans avoir besoin de badger.

Là où c’est interdit toute la journée t’as un joli sas avec des panneaux à côté indiquant clairement que t’as pas le droit de rentrer et les rappels des articles de loi et des peines que tu risques. (Panneaux visibles dans le noir en plus).







Je suis ravi de savoir comment ça se passe à ton boulot mais là il ne s’agit pas de parler sécurité des batiments dans le monde mais de trouver une analogie pour te faire comprendre la décision <img data-src=" />



Remplace badgeuse par : “réservé au personnel” si tu préfères <img data-src=" />


votre avatar







megadub a écrit :



<img data-src=" /> Les documents étaient en photo dans un catalogue et il est allé se servir dans le magasin en passant par la sortie de secours fortuitement laissée ouverte. Il a trouvé l’adresse du magasin sur une des photos du catalogue <img data-src=" />





Un site c’est juste une vitrine pas un magasin. Il ne s’est pas introduit dans un réseau, un système ou un serveur. Il a juste consulté des informations qui étaient affichées publiquement.


votre avatar







Winderly a écrit :



Comment aurait il du savoir qu’il avait rien à faire là ?







Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />







Winderly a écrit :



De quelle serrure parles tu ? Il n’y en a pas.







Un écran de connexion empêche d’arriver à une page référençant les documents. Sauf que ce référencement, Google s’en est chargé, c’est la faille <img data-src=" />


votre avatar







Tim-timmy a écrit :



(…)







C’est compris.

Donc, pas d’accès frauduleux. Mais “maintien frauduleux”. Ok ok…

Maintient frauduleux car il y a un mécanisme de connexion avec couple lojin/MDP sur le point d’entré du site.





Tu as vu qu’il y avait un mécanisme de connexion, tu devais donc savoir que ces données là précisément, tu ne pouvais y avoir accès





Ah d’accord. Donc maintenant, tout site qui dispose d’une partie privée va pouvoir, lorsqu’une partie de son contenu (public, privée, on ne sait plus) sera repris ailleurs, se plaindre d’un maintien frauduleux parce que bon “hé-ho, j’ai un espace privée bonhomme, que le contenu que tu as repris y soit ou non”.



Que ce soit Bluetouff ou un autre (peut être même un script n’est ce pas ? Elle est où l’intelligence du script qui va “supposer” que cette ressource n’est logiquement pas accessible ?), perso, je trouve les arguments bien léger pour démontrer un “maintien frauduleux”


votre avatar







megadub a écrit :



Les documents concernés ne sont pas accessibles via ce site mais c’est bien essayé <img data-src=" />







Merci je sais. D’où le côté génial de mon analogie (<img data-src=" />). T’as une partie totalement publique, puis des parties plus ou moins privées en fonction des usages (tu prends n’importe quelle administration/magasin/musée t’as la partie publique et t’as les parties privées qui peuvent être ouverte pour X ou Y occasions). Sauf que ces parties sont connectées à la partie publique (l’extranet et sur le même domaine que le site) et si elles sont ouvertes sans mention explicite que l’accès est restreint, c’est difficile d’engueuler ceux qui se baladent dedans…


Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris

Fermer