Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris

Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)

chichillus a écrit :

Là, en l’occurrence, il n’a pas “forcé de serrure”. Il n’y en avait pas. Il n’y avait pas de “porte” non plus. C’était une diffusion publique.



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. " />

chichillus a écrit :

Je comprends l’idée, mais un listing de dossier Apache, ce n’est pas nécessairement une “sortie de secours”. C’est courant de diffuser des fichiers comme ça (d’ailleurs, ça m’arrive souvent).



D’après ce que j’ai compris, il a trouvé un doc, à lu l’url et à parcouru l’arborescence en parant de là. J’vois pas où il est question d’un listing de dossier.



chichillus a écrit :

Mais lire des fichiers diffusés librement sur le Web, personnellement, je ne vois pas le problème.



Ce n’est pas libre puisque c’est un site protégé.



chichillus a écrit :

et sur l’aspect strictement judiciaire, je suis aussi très emmerdé par le fait que la Cour n’ai manifestement pas pigé grand chose à l’histoire, j’ai l’impression que c’est surtout le VPN panaméen qui l’a enfoncé



Non, visiblement c’est ça qui a semé le trouble et qui a incité le ministère à porter plainte. Tout simplement pour retrouver l’auteur de ce “vol”. Le tribunal s’en fout totalement, il ne fait que rapporter les circonstances ;)

Khalev a écrit :

La serrure n’est pas pété, elle est bien là, elle est juste laissé ouverte.

La meilleure analogie je pense c’est : je vais à la mairie, je me balade tranquillement, je lis des prospectus, des rapports publiques, etc. “Oh une porte ouverte avec un cadenas dessus, mais apparemment c’est ouvert pour tout le monde, d’ailleurs je vois un touriste qui en sort, oh tous ces jolis rapports, je vais en prendre une copie de chaque tiens puisque qu’il y en a trop pour que je lise tout maintenant et que ça à l’air en libre service.” Et je ressort pépère de la mairie sans que personne ne m’en empêche.

À quel moment j’ai fait quelque chose de mal?



C’est pas tout à fait pareil mais l’analogie peut fonctionner si tu remplaces le cadenas par une badgeuse.

Si en ressortant de la pièce, tu vois la badgeuse, tu réalises que l’entrée est contrôlé et que le contenu n’est donc pas en accès libre. Si en plus tu passes à la photocopieuse avant de partir, évidemment tu aggraves ton cas.

tAran a écrit :

Non, il a copié des documents accessibles via Google



Ca on n’en sait rien du tout. On sait qu’il a remonté l’arborescence grâce à l’URL d’un doc accessible via Google mais ensuite, il a copié 8000 docs directement depuis le serveur… aucune idée si les docs en question étaient dispo sous Google… et ça change rien au demeurant " />

Mihashi a écrit :

Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.



" /> Les documents étaient en photo dans un catalogue et il est allé se servir dans le magasin en passant par la sortie de secours fortuitement laissée ouverte. Il a trouvé l’adresse du magasin sur une des photos du catalogue " />

Khalev a écrit :

Sauf que je ne suis pas une administration publique proposant à tout le monde de venir lire les avis, rapports et documents que je produis :
http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine



Les documents concernés ne sont pas accessibles via ce site mais c’est bien essayé " />

Patch a écrit :

…et donc tout s’est retrouvé en accès libre. on en revient à ce que j’ai dit.



Ha oui, si tu considères qu’une porte laissée ouverte rend le lieu public en effet " />

Mihashi a écrit :

Un site c’est juste une vitrine pas un magasin.



Quand il a du contenu, ça devient un magasin " />



Mihashi a écrit :

Il ne s’est pas introduit dans un réseau, un système ou un serveur. Il a juste consulté des informations qui étaient affichées publiquement.



L’histoire ne le dit pas. Il a trouvé UNE url dans Google et de là, il a joué sur le serveur. Ca m’étonnerait que les 3000 docs soient dispo depuis Google ;)

Khalev a écrit :

si elles sont ouvertes sans mention explicite que l’accès est restreint, c’est difficile d’engueuler ceux qui se baladent dedans…



Ceux qui se balandent surement… mais Bluetouf qui se balade sachant que c’est sensé être protégé et télécharge des documents auxquels il n’est pas sensé accéder, là c’est nettement plus simple " />

Ceci étant dit, si je comprends la décision de justice, je comprends aussi l’interrogation de certains. Bluetouf a exagéré… ok… c’est à peu près évident… soit. Mais quid d’un mec qui viendrait à tomber sur des documents par hasard et téléchargeraient ces documents sans avoir vu de dispositif de sécurité permettant de les identifier comme privé ? Puisque vu le jugement, c’est tout aussi condamnable même si on comprend que dans ce cas le juge aurait surement donné une peine symbolique. Une ligne dans le casier à cause d’un crétin qui sait pas sécurisé son site ça me ferait quand même bien chier " />

Khalev a écrit :

Sauf que justement il n’y avait aucune indication que c’était réservé. C’est l’ANSES qui le dit elle-même :“Ces documents ne sont pas classifiés.”

Non là c’est juste la porte, ouverte, avec une badgeuse/serrure sur le côté sans aucun panneau.



Une page login/password ça me parait tout de même être un panneau suffisamment clair " />

Tim-timmy a écrit :

je croyais pareil, mais la seule mention sur le jugement dit en substance “il déclarait avoir découvert que TOUS ces documents étaient en accès via google” ..



Alors il n’avait qu’à passer par le cache de Google… si en plus il est pas malin " />

WereWindle a écrit :

Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)



Ca a toujours été comme ça. La peine dépend des circonstances, heureusement encore

malock a écrit :

S’il a vu qu’il y avait un accès par identifiant, il a seulement pu en déduire qu’il y avait une partie privée sur ce site. Mais en rien que ces documents là particulièrement étaient protégés.



Oui, et donc il prévient le site qu’il a une faille qui permet de récupérer des fichiers protégés mais il ne sait pas qu’ils le sont… il est schizophrène en fait c’est ça ?

Il aurait du plaider la démence c’est balaud " />



malock a écrit :

Non vraiment, j’ai du mal à piger le truc. Je vois pas en quoi tomber dans une arborescence type “/A/B/C/D/” remonter vers “/A” et se voir proposer une identification implique que “D” n’était pas accessible normalement.



Lui le savait très bien puisqu’il a reconnu savoir être sur un site sécurisé. " />

Mihashi a écrit :

Bah si justement, il est tombé sur 3000 fichiers au hasard.
Et dans l’administration (dont fait partie l’agence gouvernementale) c’est très courant des mettre des documents à disposition de la sorte.



Non, il est tombé sur UN fichier par hasard et le reste il est allé le cherché. Relis l’arrêt " />

Winderly a écrit :

Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?



Comme je l’ai dit plus haut, c’est en effet une question qu’on peut se poser. A priori, je serais tenté de dire que le délit est constitué de la même manière mais que le juge se montrera clément.

Ceci étant dit, tu télécharges rarement 7.7Go de fichiers au hasard " />



Winderly a écrit :

Là on a clairement pas la même définition du mot faille.
Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.



Il y a une serrure à la porte d’une maison sans mur… c’est idiot mais ça suffit à démontrer que le contenu n’est pas public.

John Shaft a écrit :

Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).

Et c’est là dessus que je trouve que l’arrêt de la cour ne tiens pas.



En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.

malock a écrit :

Tu as oublié de mettre “par erreur” en gras dans la citation que tu as fait ;)



Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)

Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond " />

malock a écrit :

Mouais si tu le dis…
Je vois toujours pas le rapport “constater la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe” et “qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier”.
“Remonter jusqu’à la page d’accueil” ne signifie pas grand chose (amha) : c’est oublié qu’il y a X moyens de masquer ce qui apparaît dans l’URL (genre, réécriture d’URL non ?)



Si toi tu ne comprends pas, lui comprend très bien puisqu’il ne s’est pas défendu du contraire " />

benco a écrit :

LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.



Non, ça prouve rien en soit mais quand l’accusé admet qu’il savait être sur un site sécurisé, ça c’est un argument " />

Patch a écrit :

sur un site public où rien n’indique qu’il est interdit d’être là… à défaut, c’est autorisé.



Tout à fait… mais si le pékin moyen peut se méprendre, ce n’était pas le cas de Bluetouf " />

Mihashi a écrit :

Non, cette phrase c’est une interprétation de la cour, qui estime que le fait qu’il y ait une demande de login/password sur une autre page aurait dû suffire pour qu’il sache que les document étaient dans un espace privé, alors que comme ça été répété un bon paquet de fois ici, ça n’est absolument pas le cas !



Personne n’a contesté " />



Mihashi a écrit :

Non, comme je le comprend, la faille c’est qu’ils n’ont pas configuré le logiciel pour qu’il mette tous les sous-répertoire en privé. Tu parles d’une faille " />.



la faille c’est l’interface entre la chaise et le clavier… comme d’habitude " />



Mihashi a écrit :

Où est-que tu vois qu’il a admis être sur un site sécurisé ?



Ben il n’infirme pas le propos du juge.

il a parcouru le site, téléchargé tout ce qui était derrière la page d’accueil et ne peux donc être qu’en possession du code permettant de sécurisé le site… de TRES mal le sécurisé " />

Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché " />

psn00ps a écrit :

Tiens c’est bizarre… quand il s’agit de films la quantité ne compte pas.
Deux poids deux mesures…



j’vois pas le rapport mais… si tu veux " />