Affaire Bluetouff : télécharger l'arrêt de la cour d'appel de Paris

Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris

Ce n'est qu'un début

Avatar de l'auteur
David Legrand

Publié dans

Droit

07/02/2014
235

Affaire Bluetouff : télécharger l'arrêt de la cour d'appel de Paris

Nous avons pu nous procurer l’intégralité de l’arrêt de la cour d'appel de Paris dans l’affaire Bluetouff dans laquelle il a décidé de se pourvoir en Cassation. Nous le mettons en ligne.  Une analyse plus détaillée suivra.

235

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (235)


Le 07/02/2014 à 15h 08

On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….


Le 07/02/2014 à 15h 10

Ce qui inquiétant dans l’histoire c’est que l’accusé et son avocat n’y ont pas eu accès, mais par contre le Parquet et le Point, oui….

http://twitter.com/iteanu/status/431714827380084736


Le 07/02/2014 à 15h 10







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….







Tu risque juste de détruire la planète !

C’est moins risqué que de libérer Lucifer de sa prison, donc je pense que tu peux le télécharger sans craintes



Le 07/02/2014 à 15h 11







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….





Pareil. Comment savoir qu’ils n’appliquent pas le RFC 6996?



Je vais passer par un VPN au panama au cas où.



chichillus Abonné
Le 07/02/2014 à 15h 14

Je l’ai survolé super vite, et déjà je tombe sur “développeur informateur” comme profession (page 4, paragraphe 5). C’est un développeur informatique qui bosse pour la police ?


Le 07/02/2014 à 15h 15

Dans 3 jours : PC INpact assigné en justice pour complicité de destruction de planète <img data-src=" />


EMegamanu Abonné
Le 07/02/2014 à 15h 16







flagos_ a écrit :



On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….







PAUVRE FOU !



ON VA TOUS MOURIIIIIRRRRR <img data-src=" />



chichillus Abonné
Le 07/02/2014 à 15h 21

Et puis c’est quoi la “thématique des nano-argents” (page 4, paragraphe 4) ? Ça serait pas plutôt “nano-agents” ?


Le 07/02/2014 à 15h 24

Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)


Le 07/02/2014 à 15h 27

dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?


chichillus Abonné
Le 07/02/2014 à 15h 28







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Il a vu que des parties du site demandaient des identifiants. Mais il n’a téléchargé que ce qui était en accès libre. Ce n’est pas sa faute si des documents on été placés par erreur en accès libre !



Le 07/02/2014 à 15h 30

Et dire que nos tribunaux sont remplis de Bruno Laroche…


Le 07/02/2014 à 15h 33

Je ne voit rien de très choquant dans cette decision. Bluetouff savait qu’il avait accès à des documents sensibles… Il s’avait être sur un extranet et tombé sur de gros glandus incapable de sécuriser leur bouzin. A partir de là, le téléchargements de ces documents et leurs utilisation en conscience, sont condamnable…





Le 07/02/2014 à 15h 33







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Euh non. Il y a une page qui demande des identifiants-mdp. Le reste c’est open bar du moment que tu as l’adresse complète.



Ne connaissant pas l’intention de l’administrateur il aurait très bien pu estimer que la page de login était la page par défaut vers laquelle tu étais redirigé quand tu voulais télécharger un document pour lequel tu avais besoin de t’identifier, sinon tu télécharges le document directement (Un comportement que l’on a sur l’intranet de ma boite par exemple, si t’as pas les droits pour DL un document ça te renvoie sur la page de login avec l’adresse de la page que tu voulais voir en GET)



On trouve des trucs marrant sur le site de l’ANSES mine de rien :https://sites.anses.fr/en/system/files/Test%20ppt.ppt




Le 07/02/2014 à 15h 33

Je ne risque pas de le télécharger, il y a un texte qui penche sur le côté. Je trouve ça suspect <img data-src=" />


Le 07/02/2014 à 15h 35







mitsuaki a écrit :



Je ne voit rien de très choquant dans cette decision. Bluetouff savait qu’il avait accès à des documents sensibles…





Comment tu sais qu’un document est sensible si c’est marqué nul part dans le document?



Le 07/02/2014 à 15h 35







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)







+1, d’un coup ça devient nettement moins scandaleux, et surtout contestable.



Le 07/02/2014 à 15h 35

Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :





Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées à des tiers ; qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire (…)





Globalement, l’explication se tient.


Le 07/02/2014 à 15h 39

clair, net, précis, argumenté, coupable… Et il le sait…


Le 07/02/2014 à 15h 40







FrenchPig a écrit :



dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?







Non, il a trouvé un doc via Google, a vu que l’url permet de naviguer où il veut et ensuite il a joué… c’est ce dernier point qui a été condamné <img data-src=" />



Le 07/02/2014 à 15h 41







FrenchPig a écrit :



dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?









sauf que non, il a été relaxé sur ce point … la demande sur ce point a été rejetée .. Par contre, il s’est très bien rendu compte qu’il n’aurait pas du y avoir accès, et il a quand même tout pompé (point 2 pour lequel il est condamné), en plus d’en redistribuer une partie.



chichillus Abonné
Le 07/02/2014 à 15h 42







Reznor26 a écrit :



Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :



L’explication se tient. (?)







Je ne trouve pas. Les données qu’il a téléchargées n’étaient pas protégées par le mot de passe et la “connexion sécurisée”. En l’occurrence, si j’ai bien suivi, ce n’était que la racine du site qui était protégée. Le reste était librement accessible. Comment savoir que c’est une erreur de config ? Je veux dire, la plupart des sites on des back-offices à accès protégés, mais évidemment, on peut accéder au reste du site !



Le 07/02/2014 à 15h 42

Ma réponse à cette news est tellement pas “corporate” que j’ai été obligé par auto censure de l’envoyer par le bouton “signaler” à PCI…. <img data-src=" />


Le 07/02/2014 à 15h 43







chichillus a écrit :



Il a vu que des parties du site demandaient des identifiants. Mais il n’a téléchargé que ce qui était en accès libre. Ce n’est pas sa faute si des documents on été placés par erreur en accès libre !







Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />




Le 07/02/2014 à 15h 43







Reznor26 a écrit :



Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :







Globalement, l’explication se tient.





Pour moi c’est discutable. Ce qu’il dise c’est bien beau, mais il manque toujours le lien entre : il y a une page ayant besoin d’un id/mdp tous les documents que je trouves requiert ce id/mdp.



Ça a peut-être été dit à l’audience, mais ça n’apparaît pas vraiment dans l’arrêt je trouve.



C’est comme dire : “Oui j’ai vu qu’il y avait un cadenas sur la porte mais la porte était grande ouverte sans aucun panneau me disant de ne pas rentrer.” Si c’est pas dans un lieu privé, je vois pas trop le soucis.



Le 07/02/2014 à 15h 44







Reznor26 a écrit :



Globalement, l’explication se tient.







Qu’il puisse y avoir une partie protégée sur un site et une partie publique surtout quand c’est une émanation de l’état n’est pas franchement une grande nouveauté. De là à distinguer l’aspect protégé d’un document quand on dispose d’un lien direct…



Maintenant - pour rigoler un peu - c’est manifestement un défaut de sécurisation de documents protégés (d’ailleurs la qualification de vol est curieuse et non juridiquement justifiée), c’est en quelque sorte du reverse HADOPI mais curieusement le coupable au final, c’est toujours le plus faible.



Le 07/02/2014 à 15h 47







francois-battail a écrit :



Qu’il puisse y avoir une partie protégée sur un site et une partie publique surtout quand c’est une émanation de l’état n’est pas franchement une grande nouveauté. De là à distinguer l’aspect protégé d’un document quand on dispose d’un lien direct…



Maintenant - pour rigoler un peu - c’est manifestement un défaut de sécurisation de documents protégés (d’ailleurs la qualification de vol est curieuse et non juridiquement justifiée), c’est en quelque sorte du reverse HADOPI mais curieusement le coupable au final, c’est toujours le plus faible.







rien à voir, mais bon … (cela dit la cnil peut être saisie si des données perso ont été exposées)



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…



hellmut Abonné
Le 07/02/2014 à 15h 48

OMG on voit bien que le rédacteur ne capte absolument rien, là.

p4 bluetouff est considéré comme un “développeur informateur”. MDR. <img data-src=" />



apparemment le tribunal considère que Bluetouff avait constaté que l’extranet de l’ANSES était censé être protégé par identifiant/mot de passe, et donc:




  • qualifie le maintien frauduleux dans un système d’information.

  • considère donc comme une évidence que les données étaient protégées (je précise: protégées par un authentifiant absent, lol).

  • pire: considère que Bluetouff “a fait des copies de fichiers inaccessibles au public” (!! mais lol).



    donc, comme l’explique Bluetouff lui-même dans l’article qu’il a écrit sur reflets hier, ce n’est plus la peine, amis administrateurs système, de protéger vos accès par authentifiants! nonon!

    il suffira de trainer les accédants devant les tribunaux en arguant d’une “faille dans le système” et que l’accès était “évidemment” censé être protégé.



    au hasard suffit de coller un fichier .htaccess à votre racine, le tribunal devrait dès lors considérer que votre accès apparaît “évidemment” protégé même si le fichier est vide.



    bref c’est du très grand art.<img data-src=" />


Le 07/02/2014 à 15h 50







hellmut a écrit :



OMG on voit bien que le rédacteur ne capte absolument rien, là.

p4 bluetouff est considéré comme un “développeur informateur”. MDR. <img data-src=" />







c’est sa propre déclaration “développeur informatique salarié”, assortie de son salaire … Il ne doit rien capter, du coup …







apparemment le tribunal considère que Bluetouff avait constaté que l’extranet de l’ANSES était censé être protégé par identifiant/mot de passe, et donc:




  • qualifie le maintien frauduleux dans un système d’information.

  • considère donc comme une évidence que les données étaient protégées (je précise: protégées par un authentifiant absent, lol).

  • pire: considère que Bluetouff “a fait des copies de fichiers inaccessibles au public” (!! mais lol).



    donc, comme l’explique Bluetouff lui-même dans l’article qu’il a écrit sur reflets hier, ce n’est plus la peine, amis administrateurs système, de protéger vos accès par authentifiants! nonon!

    il suffira de trainer les accédants devant les tribunaux en arguant d’une “faille dans le système” et que le l’accès était “évidemment” censé être protégé.



    au hasard suffit de coller un fichier .htaccess à votre racine, le tribunal devrait dès lors considérer que votre accès apparaît “évidemment” protégé même si le fichier est vide.



    bref c’est du très grand art.<img data-src=" />







    et il suffit de dire “ouin ouin je savais pas j’ai juste tout pompé en vitesse quand j’ai vu que j’avais accès” pour que l’on te croie partout sur le net …



Le 07/02/2014 à 15h 51

Autant, copier les fichiers, c’est vrai que c’est pas malin mais condamner pour accès frauduleux <img data-src=" />


Le 07/02/2014 à 15h 51







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />





Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />



Le 07/02/2014 à 15h 52







GoldenTribal a écrit :



Autant, copier les fichiers, c’est vrai que c’est pas malin mais condamner pour accès frauduleux <img data-src=" />







non, pas condamné pour l’accès … purée faut lire, au bout d’un moment …







tAran a écrit :



Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />







porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”



ps: perso c’est la qualification de vol qui est étrange, je suis curieux de savoir si c’est commun dans le cas d’une copie illégale de document



chichillus Abonné
Le 07/02/2014 à 15h 52







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à ce servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />







À mon avis, la comparaison site Web / domicile (que je vois beaucoup) ne se tient pas. Un site Web, ça sert à diffuser de l’information, par défaut à tout le monde, et éventuellement à un public restreint (et là, on met un mdp). Un domicile, ça ne sert certainement pas à diffuser des infos, en fait ce serait plutôt le contraire.



Là, en l’occurrence, il n’a pas “forcé de serrure”. Il n’y en avait pas. Il n’y avait pas de “porte” non plus. C’était une diffusion publique.



Il a juste envoyé une requête HTTP au serveur de l’ANSES “filez-moi tous les fichiers dans le dossier machin”. Rien d’autre. Le serveur de l’ANSES a répondu en envoyant les fichiers, sans rien demander d’autre (s’enquérir de son identité par exemple).



Le 07/02/2014 à 15h 55







tAran a écrit :



Pour reprendre ton analogie, ça reviendrait à ce que Google prenne des photos de chez toi par la fenêtre.



Là ça me parait juste vu qu’aucune serrure n’a été forcée <img data-src=" />







Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />



Le 07/02/2014 à 15h 57







chichillus a écrit :



Là, en l’occurrence, il n’a pas “forcé de serrure”. Il n’y en avait pas. Il n’y avait pas de “porte” non plus. C’était une diffusion publique.







Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />



Le 07/02/2014 à 15h 57







Tim-timmy a écrit :



rien à voir, mais bon … (cela dit la cnil peut être saisie si des données perso ont été exposées)







J’aimerais comprendre la qualification de vol dans la mesure où ces fichiers étaient techniquement librement accessibles et en vertu de quel code ces documents, dès lors qu’ils ont été rendus publics - même par erreur -, seraient protégés.







Tim-timmy a écrit :



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…







Ça dépend : quand il y a plein de documents c’est des fois plus pratique de faire un wget -r puis de faire le tri a posteriori, c’est d’autant plus vrai dans le cas d’un travail de journaliste vu que reflets.info se présente sous cet angle.



Le 07/02/2014 à 15h 59

Combien ont souillé leur écran et clavier en lisant Bluetouff à voix haute ?



<img data-src=" />



<img data-src=" />


Le 07/02/2014 à 16h 04







francois-battail a écrit :



J’aimerais comprendre la qualification de vol dans la mesure où ces fichiers étaient techniquement librement accessibles et en vertu de quel code ces documents, dès lors qu’ils ont été rendus publics - même par erreur -, seraient protégés.







Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







francois-battail a écrit :



Ça dépend : quand il y a plein de documents c’est des fois plus pratique de faire un wget -r puis de faire le tri a posteriori, c’est d’autant plus vrai dans le cas d’un travail de journaliste vu que reflets.info se présente sous cet angle.







Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />



Le 07/02/2014 à 16h 06







megadub a écrit :



Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />







surtout qu’il ne l’est pas …



pour la faille, il faut établir qu’il savait que c’était censé être protégé … le fait qu’il admette avoir vu la racine protégée, son comportement à tout pomper l’incrimine (et le passage par le panama ne doit pas aider…) et le fait condamner..



chichillus Abonné
Le 07/02/2014 à 16h 06







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />







Je comprends l’idée, mais un listing de dossier Apache, ce n’est pas nécessairement une “sortie de secours”. C’est courant de diffuser des fichiers comme ça (d’ailleurs, ça m’arrive souvent).



Ça ne me viendrait pas à l’esprit de rentrer chez quelqu’un sans autorisation, même si la porte est ouverte. Mais lire des fichiers diffusés librement sur le Web, personnellement, je ne vois pas le problème.



(et sur l’aspect strictement judiciaire, je suis aussi très emmerdé par le fait que la Cour n’ai manifestement pas pigé grand chose à l’histoire, j’ai l’impression que c’est surtout le VPN panaméen qui l’a enfoncé)



Le 07/02/2014 à 16h 06







Tim-timmy a écrit :



porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”



ps: perso c’est la qualification de vol qui est étrange, je suis curieux de savoir si c’est commun dans le cas d’une copie illégale de document









megadub a écrit :



Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />







Pour rappel :





La Cour d’appel de Paris avait à juger mercredi un des journalistes de Reflets. Sur plainte de l’ANSES, il était poursuivi pour accès et maintien dans un système de traitement automatisé de données et vol de données. Voici ce qu’il avait fait : partant d’une recherche Google, il était arrivé sur une page de l’ANSES proposant au téléchargement une longue liste de documents.



Le répertoire indexé par Google ne mentionnait aucunement qu’il s’agissait d’un espace privé. Si une authentification était bien présente sur l’accueil la partie indexée était elle bien publique, à tel point, qu’elle était indexée par un moteur de recherche grand public.



Ce n’est pas parce qu’il y a une authentification à l’accueil d’un site que toutes les parties du site sont forcément destinées à être privées.









Ce qui est bien plus grave, et comme je l’ai fait remarquer à PCI, c’est qu’après on s’étonne qu’il y ait de l’espionnage industriel à droite à gauche…



Qui aurait été au courant si Bluetouff n’avait pas mis le nez dans le sujet ? <img data-src=" />



Le 07/02/2014 à 16h 07







Tim-timmy a écrit :



sinon le fait qu’il se soit empressé de tout pomper, c’est pas un truc que tu fais quand tu sens que c’est “normal” d’avoir accés à des fichiers, faut pas déconner…





T’arrives sur un site, tu vois que t’as pour des gigas de données. Tu fais quoi? Tu lances le DL de tout pour être tranquille, faire tourner des algos d’analyse en local & co.

Ou tu parcours chaque document 1 à 1 à la main?



Quand je fais de la recherche sur un domaine et que je n’ai pas trop de piste, je vise des requètes Google précises, je DL tout ce que je peux, après je fais tourner un algo qui supprime les papiers avec trop de ressemblances (souvent des résumés dans des sites de veilles qui reprennent les mêmes expressions que l’article) et un autre qui extrait les abstracts/intro et me classe tout ça dans un tableau.



Ouai j’en ai souvent pour quelques centaines de mégas, parfois gigas. Ça mouline pendant quelques jours et j’ai une base d’articles pré-classée.



C’est bourrin peut-être. Mais c’est efficace.









megadub a écrit :



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />





Ou comme si quelqu’un s’introduisait par une faille, et téléchargeait à ton insu, et que tu te retrouvais devant le juge pour défaut de sécurisation <img data-src=" />



Le 07/02/2014 à 16h 10







tAran a écrit :



Pour rappel :









sauf qu’on commente la décision là, pas le résumé pci.







ActionFighter a écrit :



Ou comme si quelqu’un s’introduisait par une faille, et téléchargeait à ton insu, et que tu te retrouvais devant le juge pour défaut de sécurisation <img data-src=" />







le tout plus de trois fois en ayant été prévenu entre chaque fois…



Le 07/02/2014 à 16h 13







megadub a écrit :



Ils sont librement accessibles à cause d’une faille de sécurité. Donc techniquement ils sont protégés même si dans les faits l’admin du site à fait un boulot de sape.







<img data-src=" /> il ne sont pas protégés techniquement, ils seraient protégés juridiquement, or c’est une autorité liée à l’état donc par défaut on peut supposer que les données publiées et accessibles directement sont publiques. De plus, comme le signale justement Tim-timmy la CNIL voire d’autres instances de l’état pourraient s’inquiéter que des documents prétendument sensibles et protégés puissent atterrir chez Google, non ?







megadub a écrit :



Etre journaliste ne permet pas de faire tout et n’importe quoi <img data-src=" />







Certes mais j’imagine que quand des choses qui pourraient s’avérer intéressantes tombent sous la main, le réflexe c’est l’aspirateur.



Patch Abonné
Le 07/02/2014 à 16h 13







megadub a écrit :



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />



il n’y avait aucune serrure, c’était accessible via Google. donc comme si c’était affiché sur un panneau d’informations dans la rue, n’importe qui pouvait le voir.



fred42 Abonné
Le 07/02/2014 à 16h 13







megadub a écrit :



Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)





Il n’y a aucune chronologie dans le jugement entre le moment où il a téléchargé les documents et le moment où il a remarqué la page de login.

S’il s’est baladé dans le site et a téléchargé avant de voir cette page de login, l’argumentation tombe et on ne peut plus le condamner pour les 2 chefs d’accusations retenus.



Au pénal, c’est à l’accusation de faire la preuve de la culpabilité et là, elle n’est pas faite.



Même s’il au eu le tort de reconnaître qu’il avait constaté la présence d’un contrôle d’accès (moins tu en dis, moins tu as de chance de te faire condamner), il n’a jamais dit qu’il s’était maintenu dans le site après cela ni qu’il a téléchargé les fichiers après.

La condamnation s’appuie sur des suppositions de chronologie et pas sur des faits. Elle doit donc être cassée.



Le 07/02/2014 à 16h 14







Patch a écrit :



il n’y avait aucune serrure, c’était accessible via Google. donc comme si c’était affiché sur un panneau d’informations dans la rue, n’importe qui pouvait le voir.







le premier oui, les 8Go, non, il ne passait plus par google et ils n’étaient pas forcément réferencés si aucun lien n’y menait ..







fred42 a écrit :



Il n’y a aucune chronologie dans le jugement entre le moment où il a téléchargé les documents et le moment où il a remarqué la page de login.

S’il s’est baladé dans le site et a téléchargé avant de voir cette page de login, l’argumentation tombe et on ne peut plus le condamner pour les 2 chefs d’accusations retenus.







sauf qu’il les a gardés après … donc strictement pareil ..





Au pénal, c’est à l’accusation de faire la preuve de la culpabilité et là, elle n’est pas faite.





marre de ces conneries rabachées … si. A lui de prouver que les arguments sont faux.





Même s’il au eu le tort de reconnaître qu’il avait constaté la présence d’un contrôle d’accès (moins tu en dis, moins tu as de chance de te faire condamner), il n’a jamais dit qu’il s’était maintenu dans le site après cela ni qu’il a téléchargé les fichiers après.

La condamnation s’appuie sur des suppositions de chronologie et pas sur des faits. Elle doit donc être cassée.





tu les a eu où, ces infos sur ses déclarations ? (pour dl tout le dossier, je pense perso qu’il est parti … euh, de la racine ? :p)



Le 07/02/2014 à 16h 14







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />





La serrure n’est pas pété, elle est bien là, elle est juste laissé ouverte.



La meilleure analogie je pense c’est : je vais à la mairie, je me balade tranquillement, je lis des prospectus, des rapports publiques, etc. “Oh une porte ouverte avec un cadenas dessus, mais apparemment c’est ouvert pour tout le monde, d’ailleurs je vois un touriste qui en sort, oh tous ces jolis rapports, je vais en prendre une copie de chaque tiens puisque qu’il y en a trop pour que je lise tout maintenant et que ça à l’air en libre service.” Et je ressort pépère de la mairie sans que personne ne m’en empêche.



À quel moment j’ai fait quelque chose de mal?



Le 07/02/2014 à 16h 15

Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.

Pourquoi dans ce cas présent, le tribunal ne reconnait pas la négligence de l’administrateur du site ayant mis à disposition des informations confidentielles ?



Je ne connais pas les documents concernés mais dans ma boite, dès lors que l’on diffuse un document, il doit se conformer à une charte spécifique avec un cartouche en première page précisant la portée de diffusion : “service, entreprise, confidentiel, public, …”. Est-ce le cas ici ?


Le 07/02/2014 à 16h 16







chichillus a écrit :



Je comprends l’idée, mais un listing de dossier Apache, ce n’est pas nécessairement une “sortie de secours”. C’est courant de diffuser des fichiers comme ça (d’ailleurs, ça m’arrive souvent).







D’après ce que j’ai compris, il a trouvé un doc, à lu l’url et à parcouru l’arborescence en parant de là. J’vois pas où il est question d’un listing de dossier.







chichillus a écrit :



Mais lire des fichiers diffusés librement sur le Web, personnellement, je ne vois pas le problème.







Ce n’est pas libre puisque c’est un site protégé.







chichillus a écrit :



et sur l’aspect strictement judiciaire, je suis aussi très emmerdé par le fait que la Cour n’ai manifestement pas pigé grand chose à l’histoire, j’ai l’impression que c’est surtout le VPN panaméen qui l’a enfoncé







Non, visiblement c’est ça qui a semé le trouble et qui a incité le ministère à porter plainte. Tout simplement pour retrouver l’auteur de ce “vol”. Le tribunal s’en fout totalement, il ne fait que rapporter les circonstances ;)









Tim-timmy a écrit :



le tout plus de trois fois en ayant été prévenu entre chaque fois…





Reste que ça fait un peu justice à deux vitesses…



Le 07/02/2014 à 16h 16







Tim-timmy a écrit :



le premier oui, les 8Go, non, il ne passait plus par google et ils n’étaient pas forcément réferencés si aucun lien n’y menait ..





C’est dit dans l’arrêté qu’ils étaient accessibles via URL complète. Il les a pas inventées les URL. (autant remonter dans l’arborescence c’est faisable, autant descendre est plus difficile s’il n’y a pas de lien ou les noms des fichiers quelque part)



Le 07/02/2014 à 16h 16







Tim-timmy a écrit :



sauf qu’on commente la décision là, pas le résumé pci.







Ce n’est pas le résumé PCI, c’est la version de Reflets.



Donc ça veut dire quoi ? Qu’à chaque fois que tu accèdes directement que tu accèdes à un PDF via Google, il faut aller voir à la racine du site si tu as le droit d’y avoir accès ?



<img data-src=" />



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />


Le 07/02/2014 à 16h 20







ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />





Ma dernière remarque n’est pas une analogie, mais la base même de la recherche d’informations sur Google



Le 07/02/2014 à 16h 20







tAran a écrit :



Ce n’est pas le résumé PCI, c’est la version de Reflets.



Donc ça veut dire quoi ? Qu’à chaque fois que tu accèdes directement que tu accèdes à un PDF via Google, il faut aller voir à la racine du site si tu as le droit d’y avoir accès ?



<img data-src=" />









on la refait :

il n’a PAS été condamné pour l’accès via google













Vachalay a écrit :



Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.







mais ton voleur sera quand même poursuivi pour vol si on le choppe, et la police viendra quand même …justice, assurances, pas vraiment pareil :p et la défense “la porte était ouverte” ne marche pas (enfin si, ça fait marrer les juges qui rajoutent un peu, pour la peine)









tAran a écrit :



Ma dernière remarque n’est pas une analogie, mais la base même de la recherche d’informations sur Google





Ne te sens pas visé, malheureux ! <img data-src=" />



Je n’avais même pas vu ton commentaire avant de poster le mien.



Je parlais surtout des histoires de portes, de serrures, de cadenas, etc…



Le 07/02/2014 à 16h 23







Khalev a écrit :



La serrure n’est pas pété, elle est bien là, elle est juste laissé ouverte.



La meilleure analogie je pense c’est : je vais à la mairie, je me balade tranquillement, je lis des prospectus, des rapports publiques, etc. “Oh une porte ouverte avec un cadenas dessus, mais apparemment c’est ouvert pour tout le monde, d’ailleurs je vois un touriste qui en sort, oh tous ces jolis rapports, je vais en prendre une copie de chaque tiens puisque qu’il y en a trop pour que je lise tout maintenant et que ça à l’air en libre service.” Et je ressort pépère de la mairie sans que personne ne m’en empêche.



À quel moment j’ai fait quelque chose de mal?







C’est pas tout à fait pareil mais l’analogie peut fonctionner si tu remplaces le cadenas par une badgeuse.



Si en ressortant de la pièce, tu vois la badgeuse, tu réalises que l’entrée est contrôlé et que le contenu n’est donc pas en accès libre. Si en plus tu passes à la photocopieuse avant de partir, évidemment tu aggraves ton cas.



Le 07/02/2014 à 16h 25







ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />







Pourtant c’est plus simple en se plaçant IRL, même si ça impose de tatonner pour trouver l’analogie adéquat <img data-src=" />



Patch Abonné
Le 07/02/2014 à 16h 25







megadub a écrit :



Ce n’est pas libre puisque c’est un site protégé.



ben non, vu que tout était en accès libre…



Le 07/02/2014 à 16h 25







Tim-timmy a écrit :



on la refait :

il n’a PAS été condamné pour l’accès via google





Non, il a copié des documents accessibles via Google







ActionFighter a écrit :



Ne te sens pas visé, malheureux ! <img data-src=" />



Je n’avais même pas vu ton commentaire avant de poster le mien.



Je parlais surtout des histoires de portes, de serrures, de cadenas, etc…





Les gens aiment bien se raccrocher à du matériel pour comprendre <img data-src=" />



Le 07/02/2014 à 16h 26







megadub a écrit :



C’est comme si on te volait toutes tes photos chez toi à cause d’une faille de l’OS et qu’on te disait : ha ben non, c’est pas un vol, c’était pas protégé… ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />





Sauf que je ne suis pas une administration publique proposant à tout le monde de venir lire les avis, rapports et documents que je produis :

http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine



Mihashi Abonné
Le 07/02/2014 à 16h 27







megadub a écrit :



Dans mon analogie non plus on force pas de serrure. On passe par la sortie de secours qui est pêtée parce qu’on n’a pas la clé de la porte principale. <img data-src=" />





Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.



Le 07/02/2014 à 16h 27







Tim-timmy a écrit :



on la refait :

il n’a PAS été condamné pour l’accès via google







Exact. Mais il a été condamné pour « vol » et maintien frauduleux dans un système d’information, système d’information qualifié par la loi de site de communication au public en ligne. Cela pose quelques interrogations qui j’espère seront clarifiées en cassation.



Le 07/02/2014 à 16h 27







Reznor26 a écrit :



Globalement, l’explication se tient.









Tim-timmy a écrit :



clair, net, précis, argumenté, coupable… Et il le sait…





L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />



Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.


Le 07/02/2014 à 16h 29







Patch a écrit :



ben non, vu que tout était en accès libre…







Non, ce n’était pas en accès libre… une faille a rendu les documents dispo fortuitement… nuance <img data-src=" />



Patch Abonné
Le 07/02/2014 à 16h 29







megadub a écrit :



Non, ce n’était pas en accès libre… une faille a rendu les documents dispo fortuitement… nuance <img data-src=" />



…et donc tout s’est retrouvé en accès libre. on en revient à ce que j’ai dit.



fred42 Abonné
Le 07/02/2014 à 16h 30







megadub a écrit :



Non, non. C’est comme si tu voyais un sortie de secours avec la serrure pêtée dans Google Street et que tu allais sur place pour rentrer en fraude <img data-src=" />





C’est plutôt comme si tu voyais sur google street un lieu avec un accès libre à plein de documents et que quand tu y vas, tu finis par voir qu’alors qu’il n’y a aucun mur, il y a un endroit où il y a une porte fermée à clé toute seule.



Un peu comme les portes dans Les Trois Cartes ( de la série La Tour Sombre de Stephen King) : une porte au milieu de la plage, et rien autour.



Le 07/02/2014 à 16h 30







tAran a écrit :



Non, il a copié des documents accessibles via Google







Ca on n’en sait rien du tout. On sait qu’il a remonté l’arborescence grâce à l’URL d’un doc accessible via Google mais ensuite, il a copié 8000 docs directement depuis le serveur… aucune idée si les docs en question étaient dispo sous Google… et ça change rien au demeurant <img data-src=" />



Winderly Abonné
Le 07/02/2014 à 16h 30



qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée



Apparemment c’est pas si constant, vu la quantité de données aspirées. <img data-src=" />


Le 07/02/2014 à 16h 30







megadub a écrit :



Si en ressortant de la pièce, tu vois la badgeuse, tu réalises que l’entrée est contrôlé et que le contenu n’est donc pas en accès libre. Si en plus tu passes à la photocopieuse avant de partir, évidemment tu aggraves ton cas.





Dans mon job on a des badgeuses à certains endroits. Mais de 8h à 19h les portes sont ouvertes sans avoir besoin de badger.

Là où c’est interdit toute la journée t’as un joli sas avec des panneaux à côté indiquant clairement que t’as pas le droit de rentrer et les rappels des articles de loi et des peines que tu risques. (Panneaux visibles dans le noir en plus).



Le 07/02/2014 à 16h 33







ActionFighter a écrit :



Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.









ActionFighter a écrit :



Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies <img data-src=" />





<img data-src=" />



(mais je suppose que c’est fait exprès) <img data-src=" />



Le 07/02/2014 à 16h 33







Mihashi a écrit :



Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.







<img data-src=" /> Les documents étaient en photo dans un catalogue et il est allé se servir dans le magasin en passant par la sortie de secours fortuitement laissée ouverte. Il a trouvé l’adresse du magasin sur une des photos du catalogue <img data-src=" />



Winderly Abonné
Le 07/02/2014 à 16h 33







megadub a écrit :



Oui, mais à partir du moment où il sait qu’il a rien à foutre là, protection en carton ou pas, il n’avait pas à se servir.



Si tu sais qu’une serrure de telle marque est fragile, ça t’autorise pas à entrer chez un mec et prendre des photos sous prétexte que t’as trouvé son adresse sur un forum de serrurerie <img data-src=" />





Comment aurait il du savoir qu’il avait rien à faire là ?



De quelle serrure parles tu ? Il n’y en a pas.



Le 07/02/2014 à 16h 34







Khalev a écrit :



Sauf que je ne suis pas une administration publique proposant à tout le monde de venir lire les avis, rapports et documents que je produis :

http://www.anses.fr/fr/content/avis-et-rapports-de-lanses-sur-saisine







Les documents concernés ne sont pas accessibles via ce site mais c’est bien essayé <img data-src=" />



Le 07/02/2014 à 16h 34







Mihashi a écrit :



Il est rentré nul part, des documents étaient affichés publiquement, en vitrine, et il a juste pris des photos. Il a vu aussi que certaines vitrines étaient masquées, et c’est tout.





C’était un extranet et il le savait. On est pas sur un simple site internet. Il savait qu’il “rentrait” quelque part où il s’attendait à se prendre des demandes d’authentification.

Après il n’est pas rare de trouver des docs publiques dans des extranet (c’est pas tout le temps le cas, mais c’est pas non plus interdit).



Le 07/02/2014 à 16h 35







Patch a écrit :



…et donc tout s’est retrouvé en accès libre. on en revient à ce que j’ai dit.







Ha oui, si tu considères qu’une porte laissée ouverte rend le lieu public en effet <img data-src=" />



Le 07/02/2014 à 16h 35







francois-battail a écrit :



Exact. Mais il a été condamné pour « vol » et maintien frauduleux dans un système d’information, système d’information qualifié par la loi de site de communication au public en ligne. Cela pose quelques interrogations qui j’espère seront clarifiées en cassation.





Autant pour une œuvre artistique dématérialisée, destinée par essence à être diffusée le plus largement possible, moyennant respect de sa licence, mettre à disposition une copie ne constitue pas un vol mais de la contrefaçon …



Autant pour des documents censées être confidentiels, donc non-destinés à être diffusés, le terme de “VOL” me parait un peu plus cohérent … du moins en ce qui concerne les informations contenues dans les documents, plus que pour les documents eux-mêmes …



AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?



Le 07/02/2014 à 16h 35







Obelixator a écrit :



L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />







    le premier point, il admet avoir vu la protection à la racine lors de ses visites. Donc après, il joue un peu au beta en disant ne pas savoir si ça s’appliquait aux documents en dessous… Les documents, je n’ai aucune idée e ce qui était marqué dessus, mais en effet mettre ce genre de rappels est considéré comme nécessaire assez souvent.









    Obelixator a écrit :



    Autant pour une oeuvre artistique dématérialisée, destinée par essence à être diffusée le plus largement possible, moyennant respect de la licence, mettre à disposition une copie ne constitue pas un vol mais de la contrefaçon …



    Autant pour des documents censées être confidentiels, donc non-destinés à être diffusés, le terme de “VOL” me parait un peu plus cohérent … en ce qui concerne les informations contenues dans les documents du moins …



    AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?









    oui je pense plutôt que c’est ça, ils ont consideré qu’il avait photocopié les documents posés sur un bureau, un peu .. mais je ne sais pas si on utilise vol pour ça..



Le 07/02/2014 à 16h 36







Khalev a écrit :



Dans mon job on a des badgeuses à certains endroits. Mais de 8h à 19h les portes sont ouvertes sans avoir besoin de badger.

Là où c’est interdit toute la journée t’as un joli sas avec des panneaux à côté indiquant clairement que t’as pas le droit de rentrer et les rappels des articles de loi et des peines que tu risques. (Panneaux visibles dans le noir en plus).







Je suis ravi de savoir comment ça se passe à ton boulot mais là il ne s’agit pas de parler sécurité des batiments dans le monde mais de trouver une analogie pour te faire comprendre la décision <img data-src=" />



Remplace badgeuse par : “réservé au personnel” si tu préfères <img data-src=" />



Mihashi Abonné
Le 07/02/2014 à 16h 38







megadub a écrit :



<img data-src=" /> Les documents étaient en photo dans un catalogue et il est allé se servir dans le magasin en passant par la sortie de secours fortuitement laissée ouverte. Il a trouvé l’adresse du magasin sur une des photos du catalogue <img data-src=" />





Un site c’est juste une vitrine pas un magasin. Il ne s’est pas introduit dans un réseau, un système ou un serveur. Il a juste consulté des informations qui étaient affichées publiquement.



Le 07/02/2014 à 16h 38







Winderly a écrit :



Comment aurait il du savoir qu’il avait rien à faire là ?







Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />







Winderly a écrit :



De quelle serrure parles tu ? Il n’y en a pas.







Un écran de connexion empêche d’arriver à une page référençant les documents. Sauf que ce référencement, Google s’en est chargé, c’est la faille <img data-src=" />



Le 07/02/2014 à 16h 39







Tim-timmy a écrit :



(…)







C’est compris.

Donc, pas d’accès frauduleux. Mais “maintien frauduleux”. Ok ok…

Maintient frauduleux car il y a un mécanisme de connexion avec couple lojin/MDP sur le point d’entré du site.





Tu as vu qu’il y avait un mécanisme de connexion, tu devais donc savoir que ces données là précisément, tu ne pouvais y avoir accès





Ah d’accord. Donc maintenant, tout site qui dispose d’une partie privée va pouvoir, lorsqu’une partie de son contenu (public, privée, on ne sait plus) sera repris ailleurs, se plaindre d’un maintien frauduleux parce que bon “hé-ho, j’ai un espace privée bonhomme, que le contenu que tu as repris y soit ou non”.



Que ce soit Bluetouff ou un autre (peut être même un script n’est ce pas ? Elle est où l’intelligence du script qui va “supposer” que cette ressource n’est logiquement pas accessible ?), perso, je trouve les arguments bien léger pour démontrer un “maintien frauduleux”



Le 07/02/2014 à 16h 40







megadub a écrit :



Les documents concernés ne sont pas accessibles via ce site mais c’est bien essayé <img data-src=" />







Merci je sais. D’où le côté génial de mon analogie (<img data-src=" />). T’as une partie totalement publique, puis des parties plus ou moins privées en fonction des usages (tu prends n’importe quelle administration/magasin/musée t’as la partie publique et t’as les parties privées qui peuvent être ouverte pour X ou Y occasions). Sauf que ces parties sont connectées à la partie publique (l’extranet et sur le même domaine que le site) et si elles sont ouvertes sans mention explicite que l’accès est restreint, c’est difficile d’engueuler ceux qui se baladent dedans…



Le 07/02/2014 à 16h 40







Mihashi a écrit :



Un site c’est juste une vitrine pas un magasin.







Quand il a du contenu, ça devient un magasin <img data-src=" />







Mihashi a écrit :



Il ne s’est pas introduit dans un réseau, un système ou un serveur. Il a juste consulté des informations qui étaient affichées publiquement.







L’histoire ne le dit pas. Il a trouvé UNE url dans Google et de là, il a joué sur le serveur. Ca m’étonnerait que les 3000 docs soient dispo depuis Google ;)



Le 07/02/2014 à 16h 40







Obelixator a écrit :



AMHA, on se trouve dans le même cas qu’un espionnage industriel par exemple … C’est quoi la qualification des faits dans ce cas-là ?







Contrefaçon, « secret des affaires » mais là c’est une agence financée par l’état ce qui vient encore plus compliquer les choses.



Le 07/02/2014 à 16h 42







malock a écrit :



C’est compris.

Donc, pas d’accès frauduleux. Mais “maintien frauduleux”. Ok ok…

Maintient frauduleux car il y a un mécanisme de connexion avec couple lojin/MDP sur le point d’entré du site.







Ah d’accord. Donc maintenant, tout site qui dispose d’une partie privée va pouvoir, lorsqu’une partie de son contenu (public, privée, on ne sait plus) sera repris ailleurs, se plaindre d’un maintien frauduleux parce que bon “hé-ho, j’ai un espace privée bonhomme, que le contenu que tu as repris y soit ou non”.



Que ce soit Bluetouff ou un autre (peut être même un script n’est ce pas ? Elle est où l’intelligence du script qui va “supposer” que cette ressource n’est logiquement pas accessible ?), perso, je trouve les arguments bien léger pour démontrer un “maintien frauduleux”







après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p



Le 07/02/2014 à 16h 43







chichillus a écrit :



Et puis c’est quoi la “thématique des nano-argents” (page 4, paragraphe 4) ? Ça serait pas plutôt “nano-agents” ?





c’est pour compenser les affaires de gros sous <img data-src=" />



Le 07/02/2014 à 16h 43

C’est vrai que le nombre d’analogies sur ce fil de commentaires est limite collector. <img data-src=" />



(et toujours pas une avec les bagnoles <img data-src=" /> )


Le 07/02/2014 à 16h 44







megadub a écrit :



Remplace badgeuse par : “réservé au personnel” si tu préfères <img data-src=" />





Sauf que justement il n’y avait aucune indication que c’était réservé. C’est l’ANSES qui le dit elle-même :“Ces documents ne sont pas classifiés.”



Non là c’est juste la porte, ouverte, avec une badgeuse/serrure sur le côté sans aucun panneau.



Le 07/02/2014 à 16h 44







Khalev a écrit :



si elles sont ouvertes sans mention explicite que l’accès est restreint, c’est difficile d’engueuler ceux qui se baladent dedans…







Ceux qui se balandent surement… mais Bluetouf qui se balade sachant que c’est sensé être protégé et télécharge des documents auxquels il n’est pas sensé accéder, là c’est nettement plus simple <img data-src=" />



Ceci étant dit, si je comprends la décision de justice, je comprends aussi l’interrogation de certains. Bluetouf a exagéré… ok… c’est à peu près évident… soit. Mais quid d’un mec qui viendrait à tomber sur des documents par hasard et téléchargeraient ces documents sans avoir vu de dispositif de sécurité permettant de les identifier comme privé ? Puisque vu le jugement, c’est tout aussi condamnable même si on comprend que dans ce cas le juge aurait surement donné une peine symbolique. Une ligne dans le casier à cause d’un crétin qui sait pas sécurisé son site ça me ferait quand même bien chier <img data-src=" />



hellmut Abonné
Le 07/02/2014 à 16h 44







Tim-timmy a écrit :



c’est sa propre déclaration “développeur informatique salarié”, assortie de son salaire … Il ne doit rien capter, du coup …





erreur de saisie ou de c/c alors, non remarquée, c’est quand même assez rigolo, le qualificatif de “développeur informateur”, personnellement ça m’est jamais arrivé. pourtant dans le métier en général on te traite de tous les noms. <img data-src=" />





et il suffit de dire “ouin ouin je savais pas j’ai juste tout pompé en vitesse quand j’ai vu que j’avais accès” pour que l’on te croie partout sur le net …



non, pire, il suffit de dire devant le tribunal: “ouin ouin mon fichier était censé être protégé des méchants pirates chinois, c’était marqué nulle part mais c’était pourtant évident” pour que le mec en face soit condamné.



mais du coup maintenant c’est super pratique. plus besoin de protéger ses accès, il suffit de prétendre après coup que c’était évident. je donnais d’ailleurs l’exemple du .htaccess vide. ça pèse quelques octets, ça prend 5 secondes, et hop! accès sécurisé! tadaaa!

après j’ai plus qu’à logger tous les gens qui viennent et à les trainer en justice.

en bossant un peu mon référencement avec Google, ça devrait tourner, ma petite affaire!



Le 07/02/2014 à 16h 45







megadub a écrit :



Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />







Non. Je cite :



avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe





Il n’est nul part indiqué que cet “écran de connexion” autorise ou non la consultation des documents.



Le 07/02/2014 à 16h 45







megadub a écrit :



Quand il a du contenu, ça devient un magasin <img data-src=" />







L’histoire ne le dit pas. Il a trouvé UNE url dans Google et de là, il a joué sur le serveur. Ca m’étonnerait que les 3000 docs soient dispo depuis Google ;)









je croyais pareil, mais la seule mention sur le jugement dit en substance “il déclarait avoir découvert que TOUS ces documents étaient en accès via google” ..



Le 07/02/2014 à 16h 46







Khalev a écrit :



Sauf que justement il n’y avait aucune indication que c’était réservé. C’est l’ANSES qui le dit elle-même :“Ces documents ne sont pas classifiés.”



Non là c’est juste la porte, ouverte, avec une badgeuse/serrure sur le côté sans aucun panneau.







Une page login/password ça me parait tout de même être un panneau suffisamment clair <img data-src=" />



Le 07/02/2014 à 16h 47







malock a écrit :



Non. Je cite :





Il n’est nul part indiqué que cet “écran de connexion” autorise ou non la consultation des documents.









Oui enfin, tu joues sur les mots là. S’il a vu qu’il y avait un accès par identifiant, il sait bien qu’il faut s’identifié. Peu importe qu’il a vu l’écran de login ou autre chose.



Puis c’est pas dit mais s’il est remonté jusqu’à l’accueil, on peut quand même imaginer que quelque part c’était écrit non ? <img data-src=" />



Le 07/02/2014 à 16h 48







ActionFighter a écrit :



Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.





Sauf que détenir une arme EST illégal sans permis. Et c’est évident que les armes chez le GIGN sont pas en accès libre. Par contre des brochures de ci de là sans précision que c’est réservé pour diffusion interne…



fred42 Abonné
Le 07/02/2014 à 16h 48







Tim-timmy a écrit :



sauf qu’il les a gardés après … donc strictement pareil ..





Non, il n’a pas été condamné pour cela. Par rapport à ces doccuments, il a été condamné pour vol” (sic !) de ces fichiers.



marre de ces conneries rabachées … si. A lui de prouver que les arguments sont faux.



Je ne comprends pas pourquoi tu es contre cette présomption d’innocence .

Elle est rappelée dans l’article préliminaire du code de procédure pénale :





III. - Toute personne suspectée ou poursuivie est présumée innocente tant que sa culpabilité n’a pas été établie. Les atteintes à sa présomption d’innocence sont prévenues, réparées et réprimées dans les conditions prévues par la loi.









tu les a eu où, ces infos sur ses déclarations ? (pour dl tout le dossier, je pense perso qu’il est parti … euh, de la racine ? :p)



En page 5 de l’arrêt de la cour d’appel, deuxième paragraphe.





Le prévenu a parfaitement reconnu qu’après être arrivé par erreur …





Sur ta dernière phrase, comme déjà répondu, il est plus facile de télécharger les document en partant du point d’entrée et en remontant vers la racine que le contraire, c’est-à-dire redescendre vers tous les répertoires en dessous de la racine : comment peut-on les connaître ? La racine affiche une page de login et pas une liste de répertoires.



Le 07/02/2014 à 16h 49







Tim-timmy a écrit :



je croyais pareil, mais la seule mention sur le jugement dit en substance “il déclarait avoir découvert que TOUS ces documents étaient en accès via google” ..







Alors il n’avait qu’à passer par le cache de Google… si en plus il est pas malin <img data-src=" />



Le 07/02/2014 à 16h 49







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p







Ah, je n’ai pas vu où il faisait référence à la racine d’un répertoire. Je lis “avoir parcouru l’arborescence d’un répertoires et être remonté jusqu’à la page d’accueil”.



Le 07/02/2014 à 16h 50







Tim-timmy a écrit :



le premier point, il admet avoir vu la protection à la racine lors de ses visites. Donc après, il joue un peu au beta en disant ne pas savoir si ça s’appliquait aux documents en dessous… Les documents, je n’ai aucune idée e ce qui était marqué dessus, mais en effet mettre ce genre de rappels est considéré comme nécessaire assez souvent.





Autant je peux comprendre le principe (de le rappeler) autant ça ne colle pas à la réalité.

Exemple perso : notre site internet contient une partie réservée à une certain profil de visiteur, inaccessible sans avoir un login/mdp. Vu de l’arborescence, rien ne distingue cette partie du reste (instant auto-promo : bon dans notre cas, il n’est pas possible d’accéder ou de naviguer dans cette partie là sans venir de la page d’accueil et être dûment identifié…)







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





c’est navrant qu’on considère un concept de base comme “trop compliqué à appréhender”… limite ça fiche la trouille <img data-src=" />

Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)




Le 07/02/2014 à 16h 55







Reznor26 a écrit :



C’est vrai que le nombre d’analogies sur ce fil de commentaires est limite collector. <img data-src=" />



(et toujours pas une avec les bagnoles <img data-src=" /> )





En gros c’est pareil qu’avec une bagnole non ?



Tu vois qu’une bagnole est en libre accès, genre Autolib, ben tu la prends, tu la clones avec ton imprimante 3D et tu la remets en place.



Après si Bolloré s’en aperçoit, alors il appelle ANSES pour te coller un procès au ul



J’ai bon ? <img data-src=" />



<img data-src=" />



Le 07/02/2014 à 16h 55







WereWindle a écrit :



Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)







Ca a toujours été comme ça. La peine dépend des circonstances, heureusement encore



Le 07/02/2014 à 16h 57







megadub a écrit :



Oui enfin, tu joues sur les mots là. S’il a vu qu’il y avait un accès par identifiant, il sait bien qu’il faut s’identifié. Peu importe qu’il a vu l’écran de login ou autre chose.



Puis c’est pas dit mais s’il est remonté jusqu’à l’accueil, on peut quand même imaginer que quelque part c’était écrit non ? <img data-src=" />







S’il a vu qu’il y avait un accès par identifiant, il a seulement pu en déduire qu’il y avait une partie privée sur ce site. Mais en rien que ces documents là particulièrement étaient protégés.



Non vraiment, j’ai du mal à piger le truc. Je vois pas en quoi tomber dans une arborescence type “/A/B/C/D/” remonter vers “/A” et se voir proposer une identification implique que “D” n’était pas accessible normalement.



Mihashi Abonné
Le 07/02/2014 à 16h 57







megadub a écrit :



Quand il a du contenu, ça devient un magasin <img data-src=" />





Un site sans contenu… à part une simple page blanche, ça n’existe pas…



Et même en considérant ça comme un magasin, le contenu, c’est le magasin qui le lui a envoyé, sans rien lui demander en échange, en quoi ça serait du vol…



Le 07/02/2014 à 16h 59







Mihashi a écrit :



Un site sans contenu… à part une simple page blanche, ça n’existe pas…







C’est pourtant la ligne de défense de Google quand il s’agit de piratage : ha mais nous on n’a pas de fichiers hein <img data-src=" />







Mihashi a écrit :



Et même en considérant ça comme un magasin, le contenu, c’est le magasin qui le lui a envoyé, sans rien lui demander en échange, en quoi ça serait du vol…







Mais non, il a parcouru le site et à télécharger pour 7.7Go de données… faut arrêter 2s là… on est pas du tout dans le cas d’un gogo qui tombe sur 3 fichiers au hasard <img data-src=" />



Le 07/02/2014 à 17h 01

Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle. <img data-src=" />


John Shaft Abonné
Le 07/02/2014 à 17h 01







megadub a écrit :



ben si, même si la protection est insuffisante, c’est un vol <img data-src=" />







Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)




Le 07/02/2014 à 17h 04







malock a écrit :



S’il a vu qu’il y avait un accès par identifiant, il a seulement pu en déduire qu’il y avait une partie privée sur ce site. Mais en rien que ces documents là particulièrement étaient protégés.







Oui, et donc il prévient le site qu’il a une faille qui permet de récupérer des fichiers protégés mais il ne sait pas qu’ils le sont… il est schizophrène en fait c’est ça ?



Il aurait du plaider la démence c’est balaud <img data-src=" />







malock a écrit :



Non vraiment, j’ai du mal à piger le truc. Je vois pas en quoi tomber dans une arborescence type “/A/B/C/D/” remonter vers “/A” et se voir proposer une identification implique que “D” n’était pas accessible normalement.







Lui le savait très bien puisqu’il a reconnu savoir être sur un site sécurisé. <img data-src=" />



Le 07/02/2014 à 17h 05







John Shaft a écrit :



Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)







En rendant public des infos réservés, il a volé l’exclusivité des données… du moins, c’est comme ça que je l’interprète <img data-src=" />



Mihashi Abonné
Le 07/02/2014 à 17h 05







megadub a écrit :



Mais non, il a parcouru le site et à télécharger pour 7.7Go de données… faut arrêter 2s là… on est pas du tout dans le cas d’un gogo qui tombe sur 3 fichiers au hasard <img data-src=" />





Bah si justement, il est tombé sur 3000 fichiers au hasard.

Et dans l’administration (dont fait partie l’agence gouvernementale) c’est très courant des mettre des documents à disposition de la sorte.



Winderly Abonné
Le 07/02/2014 à 17h 07







megadub a écrit :



Il a vu l’écran de connexion qui doit autoriser la consultation des documents <img data-src=" />





Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







megadub a écrit :



Un écran de connexion empêche d’arriver à une page référençant les documents. Sauf que ce référencement, Google s’en est chargé, c’est la faille <img data-src=" />





Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.







Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.



Le 07/02/2014 à 17h 08







Mihashi a écrit :



Bah si justement, il est tombé sur 3000 fichiers au hasard.

Et dans l’administration (dont fait partie l’agence gouvernementale) c’est très courant des mettre des documents à disposition de la sorte.







Non, il est tombé sur UN fichier par hasard et le reste il est allé le cherché. Relis l’arrêt <img data-src=" />



Mihashi Abonné
Le 07/02/2014 à 17h 10







megadub a écrit :



Non, il est tombé sur UN fichier par hasard et le reste il est allé le cherché. Relis l’arrêt <img data-src=" />





Et alors ? Qu’il ai commencé par un fichier qui l’a amené à d’autres, ça change rien au fait qu’il a trouvé 3000 fichiers par hasard.



Le 07/02/2014 à 17h 10







Winderly a écrit :



Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







Comme je l’ai dit plus haut, c’est en effet une question qu’on peut se poser. A priori, je serais tenté de dire que le délit est constitué de la même manière mais que le juge se montrera clément.



Ceci étant dit, tu télécharges rarement 7.7Go de fichiers au hasard <img data-src=" />







Winderly a écrit :



Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.







Il y a une serrure à la porte d’une maison sans mur… c’est idiot mais ça suffit à démontrer que le contenu n’est pas public.




Le 07/02/2014 à 17h 11







Mihashi a écrit :



Et alors ? Qu’il ai commencé par un fichier qui l’a amené à d’autres, ça change rien au fait qu’il a trouvé 3000 fichiers par hasard.







Tu comprends la différence entre trouver un fichier par hasard permettant d’accéder à 3000 fichiers en remontant l’arborescence et trouver 3000 fichiers par hasard n’est-ce pas ?



Il a pas trouvé ça par hasard, il écrivait un article, à chercher des docs sur leur site, a pompé 7.7Go de données et en a extrait 250Mo qu’il a partagé sachant parfaitement qu’il était pas sensé accéder à ces fichiers… c’est pas le clampin du coin le mec.



fred42 Abonné
Le 07/02/2014 à 17h 17







Winderly a écrit :



Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.





Bah, s’il était vraiment bon en informatique, il serait payé plus de xxxx € par mois.<img data-src=" />



[Edit: à la demande du lecteur]



Le 07/02/2014 à 17h 17







Winderly a écrit :



Certes, mais alors que se passe-t-il si un autre internaute fait tout pareil que lui mais évite avec soin d’aller sur la seule page du site qui a une serrure ?







si tu sais qu’elle existe, c’est mort .. pour l’éviter soigneusement, il faut savoir qu’elle y est :p





Là on a clairement pas la même définition du mot faille.

Pour moi exploiter une faille revient à forcer une serrure, ce qu’il n’a pas fait.





Vu comme ça, j’ai pas grand chose à ajouter.

Seulement que pour moins risquer d’être inquiété, il vaudrait donc mieux être nul en informatique.





en même temps il se plaint assez violemment du fait que les juges n’y comprennent rien .. j’espère que ça défense n’est pas “je savais pas, j’avais aucune idée de ce que je faisais …”



Le 07/02/2014 à 17h 24







fred42 a écrit :



Bah, s’il était vraiment bon en informatique, il serait payé plus de xxxx € par mois.<img data-src=" />







d’ailleurs soit je suis aveugle, soit le document a été édité silencieusement pour virer ces infos, ça sent le gros fail de divulgation de données persos sans l’accord du monsieur…







tAran a écrit :



Ma réponse à cette news est tellement pas “corporate” que j’ai été obligé par auto censure de l’envoyer par le bouton “signaler” à PCI…. <img data-src=" />







un rapport avec cela ? je me demandais la signification de ce commentaire

[Edit: à la demande de Fred42]



Mihashi Abonné
Le 07/02/2014 à 17h 24







megadub a écrit :



Tu comprends la différence entre trouver un fichier par hasard permettant d’accéder à 3000 fichiers en remontant l’arborescence et trouver 3000 fichiers par hasard n’est-ce pas ?





Non, ça revient au même.

Qu’il tombe sur un dossier qui contient tous les documents, ou qu’il tombe sur un document avec des dossiers voisins qui contiennent les autres documents, ça ne change absolument rien : il a découvert par hasard 3000 documents…







megadub a écrit :



Il a pas trouvé ça par hasard, il écrivait un article, à chercher des docs sur leur site, a pompé 7.7Go de données et en a extrait 250Mo qu’il a partagé sachant parfaitement qu’il était pas sensé accéder à ces fichiers… c’est pas le clampin du coin le mec.





Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).



Le 07/02/2014 à 17h 25







francois-battail a écrit :



Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle. <img data-src=" />





C’est qu’une agence gouvernementale censée veiller à la sécurité alimentaire et environnementale des citoyens, n’arrive déjà pas à gérer la sécurité de ses propres documents (que ce soit en interne ou via le recours à un prestataire extérieur) <img data-src=" />

<img data-src=" />



Le 07/02/2014 à 17h 27

Autant la présentation à la médiapart m’avait un peu fait flipper, autant à la lecture de l’arrêt on comprend mieux.



Le mec est en aveu là.



“Vous saviez que vous n’aviez pas le droit d’être là et de tout pomper et vous l’avez fait quand même et en plus vous avez distribué les infos ensuite?”



“Oui.”



“Ok, pas besoin de s’attarder sur le lojin, de gogleuh, suivant!”



Juridiquement, je confirme qu’on s’en fout.



Il y a eu des (un?) cas de relaxe alors que les infos n’étaient pas à considérer comme confidentielles si elles n’étaient pas utilement protégées (Kitetoa c/ Tati en 2002, qui me semble être un cas assez isolé d’ailleurs), mais globalement si le mec sait qu’il est là où il ne devrait pas être et en convient devant le juge, c’est mort.



Après, à voir si le fait de savoir si le prévenu en affirmant avoir eu connaissance de l’existence d’un login/mdp à la racine avait bien compris que c’était protégé, je pense que les débats ont été suffisamment clair, au surplus lorsqu’on à affaire à un informaticien. D’autant que le côté “recherche complexe” a fini d’achever la bonne foi du type aux yeux du juge. Il est quand même pas arriver là tout à fait par hasard, même si ce n’est pas suffisant pour le condamner d’un accès frauduleux, en balançant ça on part quand même pas avec une étiquette de blanc mouton.



Bref, ce point ne sera pas tranché par la Cour de cass. C’est une interprétation souveraine du juge du fond.



Je vais continuer à jeter un oeil sur l’affaire, notamment pour voir la gueule du pourvoi.


John Shaft Abonné
Le 07/02/2014 à 17h 42







megadub a écrit :



En rendant public des infos réservés, il a volé l’exclusivité des données… du moins, c’est comme ça que je l’interprète <img data-src=" />







Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).



Et c’est là dessus que je trouve que l’arrêt de la cour ne tiens pas. En fait je me range du côté du jugement de première instance qui concluait que :





En l’espèce, en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose





Le juge du Tribunal de Grande instance de Créteil avait donc eut une analyse technique correcte de ce qu’à fait Bluetouff. POur qu’il y ait vol, il aurait fallu qu’il supprime les documents du serveur. Ça confirme bien que - selon moi - cet arrêt de la Cour d’Appel a été rendu par des branques et que le pourvoi en cassation a des chances d’aboutir <img data-src=" />



Le 07/02/2014 à 17h 46







Mihashi a écrit :



Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).







Tu refais l’histoire <img data-src=" />





le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au coeur de l’extranet de l’Anses, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées





Même lui reconnait qu’il savait ce qu’il faisait… ça sert à rien d’essayer de nous faire croire que c’est le fait du hasard <img data-src=" />



Le 07/02/2014 à 17h 51







John Shaft a écrit :



Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).



Et c’est là dessus que je trouve que l’arrêt de la cour ne tiens pas.







En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.



John Shaft Abonné
Le 07/02/2014 à 17h 53







megadub a écrit :



En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.







Moi je penses surtout que les magistrats sont gavés des pubs de l’Alpa et cie “Pirater, c’est du vol”… <img data-src=" />



Le 07/02/2014 à 17h 57







megadub a écrit :



Tu refais l’histoire <img data-src=" />



Même lui reconnait qu’il savait ce qu’il faisait… ça sert à rien d’essayer de nous faire croire que c’est le fait du hasard <img data-src=" />







Tu as oublié de mettre “par erreur” en gras dans la citation que tu as fait ;)



Le 07/02/2014 à 17h 58







John Shaft a écrit :



Non non, il est bien condamné sur la base l’article 311-1 du Code Pénal (celui que je mettais en lien précédemment).







Malheureusement l’arrêt ne l’indique pas précisément et, en effet, la qualification de vol est curieuse. Mais c’est visiblement aussi sur la base du 323-1 CP :



« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. […] »



Qui pose deux problèmes dans ce cas :





  • est-ce qu’un site de communication au public en ligne qui met à disposition des fichiers est un système de traitement automatisé de données ?

  • se maintenir frauduleusement sans que l’accès eut été lui-même frauduleux dans le cas d’un site de communication au public en ligne nécessite peut-être un développement sauf à décréter que la consultation d’un site Web ne peut se faire qu’entre 8h et 21h !



    Bref souhaitons que la cour de cassation fasse le ménage.



Le 07/02/2014 à 17h 59







malock a écrit :



Tu as oublié de mettre “par erreur” en gras dans la citation que tu as fait ;)







Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />



dam1605 Abonné
Le 07/02/2014 à 18h 01

J’aime la différence qu’ils font entre extranet et internet.

Quelqu’un a du oublié de leur expliquer que tout ce qui répond à une adresse ip publique fait partie d’internet par définition.



Par ailleurs si Google avait référencé les trucs, c’est qu’ils avaient des liens qui y pointaient, non ?

Ou alors il cherche dans les arborescence au hasard ?


Le 07/02/2014 à 18h 06







Tim-timmy a écrit :



porte ouverte, plutot … “oh je ne savais pas que c’était privé, la porte était ouverte, mais je l’ai bien vue une fois rentré, mais je suis resté pour tout prendre en photo”







Sauf qu’un site internet n’est pas un lieu privé (sauf s’il y a demande de mot de passe). La comparaison serait plutôt : le type était dans un musée (lieu public), il est entré dans une pièce normalement interdite au public, mais dont la porte était ouverte et il n’y avait marqué nul part “interdit au public” et là, il a pris des tonnes de photos. Rien ne lui indiquait que c’était interdit.



Et même s’il imaginait que ça l’était, peu importe. C’était au musée (ici au site) de faire le nécessaire pour indiquer que le lieu était interdit au public.



Le 07/02/2014 à 18h 07







megadub a écrit :



Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />







Mouais si tu le dis…

Je vois toujours pas le rapport “constater la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe” et “qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier”.

“Remonter jusqu’à la page d’accueil” ne signifie pas grand chose (amha) : c’est oublié qu’il y a X moyens de masquer ce qui apparaît dans l’URL (genre, réécriture d’URL non ?)



Winderly Abonné
Le 07/02/2014 à 18h 08



qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées



Ni la “démonstration” ni “l’évidence” ne m’ont convaincu de sa culpabilité.

Si c’était aussi évident ce débat n’aurait pas lieu.


John Shaft Abonné
Le 07/02/2014 à 18h 10







francois-battail a écrit :



Malheureusement l’arrêt ne l’indique pas précisément et, en effet, la qualification de vol est curieuse. Mais c’est visiblement aussi sur la base du 323-1 CP :







Yup. C’est le “vol” qui a fait tiquer le Phoenix Wright en moi. Je ne me suis pas encore pencher sur la question du “maintien frauduleux”. Là c’est moins évident en effet <img data-src=" />



En première instance, le jugement disait





Compte tenu de l’ensemble de ces éléments, même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par Monsieur Olivier L. aux seules personnes autorisées.



Monsieur Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système.





Si je comprends bien, le juge avait alors estimé qu’il convenait d’en revenir à ce bon vieux principe du droit romain : “Nul ne peut se prévaloir de ces propres turpitudes”



Pour éviter de stériliser le débat, le paragraphe :





S’il affirmait être arrivé par erreur au cœur de l’extranet de I‘Anses, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe).





était déjà présent dans le jugement de premier instance (je vois que ça discutais pas mal sur ce point un peu plus haut dans les comm’) <img data-src=" />



Bref, faut que ça casse ! <img data-src=" /> <img data-src=" />



Le 07/02/2014 à 18h 12







malock a écrit :



Mouais si tu le dis…

Je vois toujours pas le rapport “constater la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe” et “qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier”.

“Remonter jusqu’à la page d’accueil” ne signifie pas grand chose (amha) : c’est oublié qu’il y a X moyens de masquer ce qui apparaît dans l’URL (genre, réécriture d’URL non ?)







Si toi tu ne comprends pas, lui comprend très bien puisqu’il ne s’est pas défendu du contraire <img data-src=" />



Mihashi Abonné
Le 07/02/2014 à 18h 15







Laurius a écrit :



Autant la présentation à la médiapart m’avait un peu fait flipper, autant à la lecture de l’arrêt on comprend mieux.



Le mec est en aveu là.



“Vous saviez que vous n’aviez pas le droit d’être là et de tout pomper et vous l’avez fait quand même et en plus vous avez distribué les infos ensuite?”



“Oui.”



“Ok, pas besoin de s’attarder sur le lojin, de gogleuh, suivant!”



Juridiquement, je confirme qu’on s’en fout.



Il y a eu des (un?) cas de relaxe alors que les infos n’étaient pas à considérer comme confidentielles si elles n’étaient pas utilement protégées (Kitetoa c/ Tati en 2002, qui me semble être un cas assez isolé d’ailleurs), mais globalement si le mec sait qu’il est là où il ne devrait pas être et en convient devant le juge, c’est mort.



Après, à voir si le fait de savoir si le prévenu en affirmant avoir eu connaissance de l’existence d’un login/mdp à la racine avait bien compris que c’était protégé, je pense que les débats ont été suffisamment clair, au surplus lorsqu’on à affaire à un informaticien. D’autant que le côté “recherche complexe” a fini d’achever la bonne foi du type aux yeux du juge. Il est quand même pas arriver là tout à fait par hasard, même si ce n’est pas suffisant pour le condamner d’un accès frauduleux, en balançant ça on part quand même pas avec une étiquette de blanc mouton.



Bref, ce point ne sera pas tranché par la Cour de cass. C’est une interprétation souveraine du juge du fond.



Je vais continuer à jeter un oeil sur l’affaire, notamment pour voir la gueule du pourvoi.









megadub a écrit :



Oui, il a trouvé un doc par erreur… mais APRES, il savait très bien ce qu’il faisait, ce qu’il copié et que c’était pas très clean… il l’a reconnu :)



Que la faille a été trouvé sur un coup de bol c’est un détail trivial mais qui ne change rien au fond <img data-src=" />





Je ne vois pas d’où est-ce que vous sortez qu’il savait qu’il n’avait pas le droit d’accéder à ces fichiers.

Au contraire dans l’arrêt de la cour d’appel c’est bien marqué : qu’ « il indiquait ignorer qu’ils avaient été collectés sur un espace privé ».





Et puis la “faille de sécurité” elle est dans les “paramètres du serveur”, comprendre : c’est pas une faille, le serveur n’a juste pas été configuré comme il faut…



Le 07/02/2014 à 18h 22







megadub a écrit :



Si toi tu ne comprends pas, lui comprend très bien puisqu’il ne s’est pas défendu du contraire <img data-src=" />







Non mais c’est vrai, je suis pas très bon dans tout ça je le reconnais.

Il me paraît tout de même difficile que se défendre d’une décision que l’on ne connaissait pas.

Comment pouvait-il imaginer qu’il serait condamné sur le rapprochement foireux (à mon sens) du “il y a une page qui demande authentification” -&gt; “ces données sont évidement privées”.



Comme le dit si bien Winderly : ni la “démonstration” ni “l’évidence” ne m’ont convaincu de sa culpabilité.



Le 07/02/2014 à 18h 22

LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.



un syllogisme foireux



du genre



Tout ce qui est rare est cher. Un cheval bon marché est rare. Donc un cheval bon marché est cher (!)



ce truc ce n’est pas du droit !!! Bordel !!!



Je monte un intra dans un CMS…



je le sécurise pas donc tout le monde à accès à mes liens non sécurisés….



La présence d’une POSSIBILITE d’identification PROBABLE n’indique absolument pas que l’arborescence visible depuis le monde entier fait partie de la zone protégée de mon site.



la justification de l’infraction est débile et tirée par les cheveux.



Mais si les documents étaient classifiés et Noté comme tel



1° ça doit être écrit dessus (diffusion restreinte)

2° pourquoi n’étaient ils pas chiffrés ?



Bref mais si c’est tendancieux le seul responsable de cette histoire c’est le service info de l’administration personne d’autre..


Le 07/02/2014 à 18h 22







John Shaft a écrit :



Si je comprends bien, le juge avait alors estimé qu’il convenait d’en revenir à ce bon vieux principe du droit romain : “Nul ne peut se prévaloir de ces propres turpitudes”







Merci (je n’avais pas lu en détail le premier jugement). Mais cela paraît parfaitement raisonnable et étayé alors que l’arrêt…



Le nombre de fois où ça m’est arrivé de faire ce genre de manipes pour retrouver des documents supposément publics parce que le redesign d’un site lié à l’état avait aussi changé les urls.



Pourvu que ça casse !



Patch Abonné
Le 07/02/2014 à 18h 24







megadub a écrit :



Ha oui, si tu considères qu’une porte laissée ouverte rend le lieu public en effet <img data-src=" />



sur un site public où rien n’indique qu’il est interdit d’être là… à défaut, c’est autorisé.



Le 07/02/2014 à 18h 26







WereWindle a écrit :



Cela implique donc qu’une personne ayant des connaissances en informatique et une autre n’en ayant pas seront jugée différemment, ce qui, vu de ma fenêtre, viole un ou deux principes de notre cher pays (viol qu’on peut constater tous les jours aux infos, par ailleurs)







pour qu’un délit soit établi il FAUT prouver l’intention.



Si madame Michu remonte à la page de login/mdp il n’est pas évident qu’elle comprenne que les pages précédentes sont sur une partie privée.



Si c’est quelqu’un familier avec l’informatique, la cour a jugé qu’il ne pouvait pas ignorer qu’il était sur une partie privée. S’il a récupéré des documents après cette étape, l’intention de se maintenir dans cette partie privée est démontrée.



après dans le détail c’est pas parce qu’il y a un login/mot de passe sur la page d’accueil que tout le site est à accès restreint, il y a généralement une partie publique accessible légitimement avec un compte guest ou anonyme. Donc si sur leur site il y a des pages publiques (et difficulté de distinguer public/privé), ça me semble assez simple de contrer l’argument.



Le 07/02/2014 à 18h 27

Après il est quand même très con d’avoir fait le malin et d’avouer savoir être au mauvais endroit et tout piquer…



S’il avait fermé sa gueule il aurait eu le bénéfice du doute.



il n’en reste pas moins que l’argument du juge est foireux et que ce jugement ne relève que de l’intime conviction du juge.



c’est limite….


Le 07/02/2014 à 18h 30







francois-battail a écrit :



Merci (je n’avais pas lu en détail le premier jugement). Mais cela paraît parfaitement raisonnable et étayé alors que l’arrêt…



Le nombre de fois où ça m’est arrivé de faire ce genre de manipes pour retrouver des documents supposément publics parce que le redesign d’un site lié à l’état avait aussi changé les urls.



Pourvu que ça casse !







Je plussois parce que la motivation de ce jugement ouvre la porte à tous les arbitraires….



Pourvu que ça casse…. ouaip sinon c’est la bérézina pour les informaticiens français…. on pourra faire condamner tout le monde pour n’importe quoi…



Le 07/02/2014 à 18h 31







Mihashi a écrit :



Je ne vois pas d’où est-ce que vous sortez qu’il savait qu’il n’avait pas le droit d’accéder à ces fichiers.

Au contraire dans l’arrêt de la cour d’appel c’est bien marqué : qu’ « il indiquait ignorer qu’ils avaient été collectés sur un espace privé ».









il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées





Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />







Mihashi a écrit :



Et puis la “faille de sécurité” elle est dans les “paramètres du serveur”, comprendre : c’est pas une faille, le serveur n’a juste pas été configuré comme il faut…







Le site est protégé par un login/pwd, le fait que le reste du site ne soit pas protégé contre le référencement google et accessible sans passer par cette page, c’est ça la faille.



Le 07/02/2014 à 18h 32







benco a écrit :



LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.







Non, ça prouve rien en soit mais quand l’accusé admet qu’il savait être sur un site sécurisé, ça c’est un argument <img data-src=" />



Le 07/02/2014 à 18h 32







Vachalay a écrit :



Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.

Pourquoi dans ce cas présent, le tribunal ne reconnait pas la négligence de l’administrateur du site ayant mis à disposition des informations confidentielles ?



Je ne connais pas les documents concernés mais dans ma boite, dès lors que l’on diffuse un document, il doit se conformer à une charte spécifique avec un cartouche en première page précisant la portée de diffusion : “service, entreprise, confidentiel, public, …”. Est-ce le cas ici ?







Ouai, mais là, ça concerne une Agence Nationale. Il y a un code pénale spécial pour eux. En gros, si tu es un ver de terre de particulier, tu as toujours tort face à ces gens là. Et les lois normales ne s’appliquent pas à eux.



Le 07/02/2014 à 18h 33







Patch a écrit :



sur un site public où rien n’indique qu’il est interdit d’être là… à défaut, c’est autorisé.







Tout à fait… mais si le pékin moyen peut se méprendre, ce n’était pas le cas de Bluetouf <img data-src=" />



Le 07/02/2014 à 18h 34







benco a écrit :



Après il est quand même très con d’avoir fait le malin et d’avouer savoir être au mauvais endroit et tout piquer…



S’il avait fermé sa gueule il aurait eu le bénéfice du doute.



il n’en reste pas moins que l’argument du juge est foireux et que ce jugement ne relève que de l’intime conviction du juge.



c’est limite….







Oui, mais comme ça a été relevé, il est aussi condamné pour vol, et il est pas du tout impossible que le jugement soit cassé en cassation. Du coup, on peut lire le jugement comme une grosse frayeur faite à Blutouf avec une réelle chance de s’en sortir. Si c’est le cas, c’est plutôt malin de la part du juge <img data-src=" />



Mihashi Abonné
Le 07/02/2014 à 18h 38







megadub a écrit :



Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />





Non, cette phrase c’est une interprétation de la cour, qui estime que le fait qu’il y ait une demande de login/password sur une autre page aurait dû suffire pour qu’il sache que les document étaient dans un espace privé, alors que comme ça été répété un bon paquet de fois ici, ça n’est absolument pas le cas !







megadub a écrit :



Le site est protégé par un login/pwd, le fait que le reste du site ne soit pas protégé contre le référencement google et accessible sans passer par cette page, c’est ça la faille.





Non, comme je le comprend, la faille c’est qu’ils n’ont pas configuré le logiciel pour qu’il mette tous les sous-répertoire en privé. Tu parles d’une faille <img data-src=" />.



Mihashi Abonné
Le 07/02/2014 à 18h 38







megadub a écrit :



Non, ça prouve rien en soit mais quand l’accusé admet qu’il savait être sur un site sécurisé, ça c’est un argument <img data-src=" />





Où est-que tu vois qu’il a admis être sur un site sécurisé ?



Le 07/02/2014 à 18h 43







Mihashi a écrit :



Non, cette phrase c’est une interprétation de la cour, qui estime que le fait qu’il y ait une demande de login/password sur une autre page aurait dû suffire pour qu’il sache que les document étaient dans un espace privé, alors que comme ça été répété un bon paquet de fois ici, ça n’est absolument pas le cas !







Personne n’a contesté <img data-src=" />







Mihashi a écrit :



Non, comme je le comprend, la faille c’est qu’ils n’ont pas configuré le logiciel pour qu’il mette tous les sous-répertoire en privé. Tu parles d’une faille <img data-src=" />.







la faille c’est l’interface entre la chaise et le clavier… comme d’habitude <img data-src=" />







Mihashi a écrit :



Où est-que tu vois qu’il a admis être sur un site sécurisé ?







Ben il n’infirme pas le propos du juge.




Le 07/02/2014 à 18h 44







Mihashi a écrit :



Où est-que tu vois qu’il a admis être sur un site sécurisé ?





Bah, attends, il y a admis être tombé sur une page qui demande “lojin/MDP” <img data-src=" />



Non, moi non plus je comprends pas. Je ne vois nul part qu’il a admis être sur un site sécurisé. Il a juste indiqué être tombé sur une page requérant authentification : je ne vois toujours pas le rapport avec “un site sécurisé”…



Le 07/02/2014 à 18h 45







megadub a écrit :



Personne n’a contesté <img data-src=" />







Il faut obtenir l’interprétation de la cour pour pouvoir contester l’ami !



Mihashi Abonné
Le 07/02/2014 à 18h 47







megadub a écrit :



Personne n’a contesté <img data-src=" />



Ben il n’infirme pas le propos du juge.





Bah si, puisqu’il décide de se pourvoir en Cassation.



Le 07/02/2014 à 18h 47

il a parcouru le site, téléchargé tout ce qui était derrière la page d’accueil et ne peux donc être qu’en possession du code permettant de sécurisé le site… de TRES mal le sécurisé <img data-src=" />


Le 07/02/2014 à 18h 48







Mihashi a écrit :



Bah si, puisqu’il décide de se pourvoir en Cassation.







Il conteste le jugement pas ce point en particulier.



Mihashi Abonné
Le 07/02/2014 à 18h 51







megadub a écrit :



Il conteste le jugement pas ce point en particulier.





Tiens :https://twitter.com/bluetouff/status/431851260992425984



Le 07/02/2014 à 18h 54







Mihashi a écrit :



Tiens :https://twitter.com/bluetouff/status/431851260992425984





Merci ! Pas mieux.



Le point que j’évoquais au poste n°106



Le 07/02/2014 à 18h 55

Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />


Mihashi Abonné
Le 07/02/2014 à 18h 58







megadub a écrit :



Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />





Apparemment pas besoin de le “prendre”.



Le 07/02/2014 à 19h 00







megadub a écrit :



Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché <img data-src=" />







C’est plutôt la cour d’appel qui le prend pour un crétin en faisant un parallèle plus que foireux entre “URL”, “page d’authentification” et “donc tout est privé”.

Lui, n’a pas eu le temps de prendre le juge pour un crétin, il note dans le twitt, il découvre quoi.



Lis.



Le 07/02/2014 à 19h 04







Khalev a écrit :



Pareil. Comment savoir qu’ils n’appliquent pas le RFC 6996?



Je vais passer par un VPN au panama au cas où.





Merci pour ce moment de rigolade <img data-src=" />



John Shaft Abonné
Le 07/02/2014 à 19h 12







megadub a écrit :



Ben oui, LE fichier partagé était, pour lui, dans un espace publique MAIS il savait parfaitement que l’espace dans lequel il a pompé les 7.7Go de données était aurait du être protégé. Il n’y a aucune contradiction là-dedans <img data-src=" />







<img data-src=" />



La différence est capitale. Dans le premier cas, Bluetouff est un vilain hacker pas gentil pas beau. Dans le deuxième cas, les admins de l’extranet de l’Anses sont nuls et Bluetouff ne peut pas être condamné à cause de l’erreur d’un autre. Le fait que l’Anses n’ai pas décidé de faire appel (c’est le parquet qui a fait appel) montre bien ce qui s’est passé à mon avis



Googlebot aussi a du indexé les pages qu’il a visité en remontant les répertoires. D’ailleurs, je suis sûr que les-dits admins aurait pu retrouver des traces du robot ricain sur toutes les-dites pages



Le 07/02/2014 à 19h 24

il va falloir que les net admin fournissent tous les logs du site dit “sécurisé”



il va falloir une définition juridique précise de ce qu’est un espace sécurisé d’un site web.



y a du boulot….



En attendant pour moi la cour d’appel est notoirement incompétente et a voulu faire un exemple.



J’espère que le jugement sera cassé et qu’on pourra poser des bases d’interprêtation solides.



Après je trouve que Bluetouf a trop fait le malin devant la cour sans se rendre compte qu’il donnait des arguments stupides au juge.



Mais sur le fond ce jugement reste une erreur grave d’appréciation…. qui ouvre la boite de pandore…


Le 07/02/2014 à 19h 26







John Shaft a écrit :



La différence est capitale. Dans le premier cas, Bluetouff est un vilain hacker pas gentil pas beau. Dans le deuxième cas, les admins de l’extranet de l’Anses sont nuls et Bluetouff ne peut pas être condamné à cause de l’erreur d’un autre. Le fait que l’Anses n’ai pas décidé de faire appel (c’est le parquet qui a fait appel) montre bien ce qui s’est passé à mon avis







<img data-src=" /> le parquet aurait plus avisé (et légalement tenu) au titre de l’article 40 CPP d’ouvrir une enquête sur l’ANSES et sa fuite de données supposées être confidentielles / sensibles car a priori ça tombe aussi sous le coup du CP mais comme par hasard…

Accessoirement Google aurait aussi pu être assigné histoire de rigoler encore plus et de tout déballer au grand jour ainsi que d’apprécier l’utilisation qui est faite de l’argent public.



Le 07/02/2014 à 19h 28

“frauduleusement soustrait des documents” -&gt; FAUX



“des adresses IP ayant exfiltré un volume important de fichiers” -&gt; FAUX







“fait une extraction de 250 megaoctets” -&gt; FAUX



“des opérations de téléchargement de données” -&gt; VRAI



Ils sont ivres ou quoi ?

Sinon j’aime bien le “site d’information alternatif reflets.info” <img data-src=" /> Alternatif à quoi ? reflets.info est une source d’information principale, et tf1 est une source d’infos alternative. <img data-src=" />

Sinon je suis globalement d’accord avec le jugement, à ceci près qu’on ne sais pas si l’accusation a apporté la preuve que id/mdp était visiblement destiné à priver d’accès public l’ensemble des 8Go copiés.



Soit elle n’a pas apporté cette preuve =&gt; cassation.

Soit elle l’a apporté (mais c’est pas clair dans l’arrêt) =&gt; coupable.



<img data-src=" />


John Shaft Abonné
Le 07/02/2014 à 19h 40







francois-battail a écrit :



<img data-src=" /> le parquet aurait plus avisé (et légalement tenu) au titre de l’article 40 CPP d’ouvrir une enquête sur l’ANSES et sa fuite de données supposées être confidentielles / sensibles car a priori ça tombe aussi sous le coup du CP mais comme par hasard…







Oui. Ce qui est dingue c’est que (toujours en lisant le premier jugment) la DCRI a enquêté sur le truc et les mecs de l’Anses sont passés aux aveux :





L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) qui avait permis le téléchargement depuis une adresse IP d’un VPN localisée au Panama de l’ensemble des fichiers présents sur ce serveur (environ 8Go de données)





D’ailleurs, ce passage en particulier me semble être absent de l’arrêt







francois-battail a écrit :



Accessoirement Google aurait aussi pu être assigné histoire de rigoler encore plus et de tout déballer au grand jour ainsi que d’apprécier l’utilisation qui est faite de l’argent public.







Ça aurait été marrant <img data-src=" />







unCaillou a écrit :



[i]

Sinon je suis globalement d’accord avec le jugement, à ceci près qu’on ne sais pas si l’accusation a apporté la preuve que id/mdp était visiblement destiné à priver d’accès public l’ensemble des 8Go copiés.



Soit elle n’a pas apporté cette preuve =&gt; cassation.

Soit elle l’a apporté (mais c’est pas clair dans l’arrêt) =&gt; coupable.:







Voir plus haut dans mon com, tu as la réponse <img data-src=" />





Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/





Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />



Le 07/02/2014 à 19h 45







megadub a écrit :



Comme je l’ai dit plus haut, c’est en effet une question qu’on peut se poser. A priori, je serais tenté de dire que le délit est constitué de la même manière mais que le juge se montrera clément.



Ceci étant dit, tu télécharges rarement 7.7Go de fichiers au hasard <img data-src=" />





Tiens c’est bizarre… quand il s’agit de films la quantité ne compte pas.

Deux poids deux mesures…



Le 07/02/2014 à 19h 48

C’est à se demander si ceux qui commentent prennent le temps de lire…


Le 07/02/2014 à 19h 49







Mihashi a écrit :



Non, ça revient au même.

Qu’il tombe sur un dossier qui contient tous les documents, ou qu’il tombe sur un document avec des dossiers voisins qui contiennent les autres documents, ça ne change absolument rien : il a découvert par hasard 3000 documents…





Il cherchait des informations, il est tombé par hasard sur un document en libre accès qui l’intéressait, a regardé à coté s’il n’y en avait pas d’autres qui pouvait aussi l’intéresser, et c’est tout. Il n’avait pas moyen de savoir qu’il n’était pas sensé accéder aux fichiers (la demande de login sur une autre page n’implique absolument pas que les documents n’étaient pas en libre accès).





Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?



Non seulement les fichiers auraient du être protégés,



mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.



John Shaft Abonné
Le 07/02/2014 à 19h 56







psn00ps a écrit :



Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?

(…)

mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.







Si moi <img data-src=" />



Ce fail sur les bots reste néanmoins l’inconnue. Les bots des moteurs de recherche sont polis et s’identifient comme tel. Hypothèse perso : soit les mecs n’ont tout simplement pas repéré le passage des bots dans leurs rapports de logs (étant donné que c’est commun, il suffit de pas faire gaffe au serveurs auquel on est en train de lire le rapport et hop). Soit ils les ont vu mais ont eut honte de faire pas savoir faire un robots.txt type “User-agent: * Disallow: /” <img data-src=" />



A mon avis, il faudrait le rapport d’enquête de la DCRI pour trancher sur ce point quoiqu’il arrive <img data-src=" />



Le 07/02/2014 à 19h 59







John Shaft a écrit :



(…)

Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/



Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />







<img data-src=" />



Et sinon, tu as une page perso sur Chuck Norris ?!

<img data-src=" />

Si je m’ennuie ce soir, je peux le DL le film ? ^^’



Le 07/02/2014 à 20h 00







psn00ps a écrit :



Tiens c’est bizarre… quand il s’agit de films la quantité ne compte pas.

Deux poids deux mesures…







j’vois pas le rapport mais… si tu veux <img data-src=" />



Le 07/02/2014 à 20h 01







John Shaft a écrit :



Oui. Ce qui est dingue c’est que (toujours en lisant le premier jugment) la DCRI a enquêté sur le truc et les mecs de l’Anses sont passés aux aveux :







D’ailleurs, ce passage en particulier me semble être absent de l’arrêt







Ça aurait été marrant <img data-src=" />







Voir plus haut dans mon com, tu as la réponse <img data-src=" />





Sinon, pour ceux qui discute de la remontée dans un répertoire, voici un lien vers un répertoire librement accessible (c’est mon site free tout pourri - z’êtes prévenu). Ce libre accès est voulu par moi :



http://shaft.fr.free.fr/videos/xvid/



Ensuite faite la remontée



http://shaft.fr.free.fr/videos/ (oui c’est moche <img data-src=" />)

http://shaft.fr.free.fr/





Et voilà ! Z’êtes tous une bandes de hackers ! <img data-src=" />







Ok, c’est clair pour moi, l’erreur principale de l’arrêt est donc dans la phrase :



il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système



Ce qui devrait être cassé par la cour de cassation qui devrait répondre que les juges en appel sont des branquignoles ont affirmé que le prévenu avait conscience du maintien irrégulier en méconnaissance de toute logique élémentaire, la démonstration n’étant pas rigoureuse.



En gros, il est peut-être coupable, on ne sais pas, mais en tout cas il faut le prouver correctement, ce qui n’est pas fait.



J’ai hâte de lire maitre Eolas sur le sujet.



John Shaft Abonné
Le 07/02/2014 à 20h 02







malock a écrit :



Si je m’ennuie ce soir, je peux le DL le film ? ^^’







C’est pas tant une page qu’une tentative foireuse de “Grand détournement” (que je n’avais pas vu à l’époque) pour gueuler à la face du monde mon amour de Chuck <img data-src=" />



C’est public, sert toi. <img data-src=" /> (toutes ces vidéos sont aussi sur DailyMotion)



Attention, c’est vieux (qualité vidéo pourrave) et l’humour est pas top. Ça marche mieux en trailer <img data-src=" />



Le 07/02/2014 à 20h 02

Concernant le vol de données informatiques, ça vous trouble, c’est contestable, il n’y a effectivement pas de dépossession, mais c’est admis depuis longtemps chez nous et la France y vient aussi :



http://www.legalis.net/?page=jurisprudence-decision&id_article=3240



Concernant les pseudo-débats sur “est-ce qu’il savait que c’était des données protégées ou pas” : on n’a pas l’intégralité des débats,et ce qui compte à ce stade c’est l’interprétation de la Cour d’appel. Les juges se sont basés sur leur intime conviction et il faut croire qu’il a un peu trop fait le fanfaron (recherche complexe, arrivé par hasard, j’avais vu qu’il y avait besoin d’un mdp/pass à la racine du site).



La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »



D’ailleurs, même quand il n’y a pas de protection efficace derrière cette intention si l’on suit cette interprétation.



S’il avait simplement dit “Je suis tombé dessus par hasard en tapant des mots clés sur google, je ne savais pas que c’était confidentiel/privé”, le résultat aurait d’ailleurs peut être été différent. L’élément moral aurait été plus lâche.



Comme mentionné tout à l’heure, c’est quoiqu’il arrive l’interprétation souveraine des juges du fond qui semble en cause, la Cassation ne peut pas changer ça…


Le 07/02/2014 à 20h 03

Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).


John Shaft Abonné
Le 07/02/2014 à 20h 05







unCaillou a écrit :



Ok, c’est clair pour moi, l’erreur principale de l’arrêt est donc dans la phrase :



il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système







Oui. Ça montre bien le degré d’incompétence des magistrats



Coup de bol, je me suis souvenu que mon site Free était dans ce cas en allant soulager mes intestins <img data-src=" /> <img data-src=" /> <img data-src=" />



+1 pour Eolas. Fait le harceler sur Twitter <img data-src=" /> Il a twitté que c’est en cours. J’espère qu’il en arrive à mes conclusions. Et oui, je me vante <img data-src=" />







francois-battail a écrit :



Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).







Pas bête et malheureusement vraisemblable <img data-src=" />



Le 07/02/2014 à 20h 14







John Shaft a écrit :



Oui. Ça montre bien le degré d’incompétence des magistrats





Oui. Mais il y a 2 choses : la rigueur d’un jugement, et la réalité des faits.



Bluetouff est innocenté si le jugement est cassé, d’accord.

Et c’est la logique de la justice qui prime, rien que pour ça il faut lutter, c’est clair.



D’un autre côté, je pense qu’il savait qu’il n’avait rien à faire là : copier 8Go de docs à travers un VPN après avoir constaté qu’on est arrivé sur un extranet par erreur,…aheumm… comment dire… <img data-src=" />



Les gens du métier (comme il s’en réclame) font part de la faille à l’admin du site, en général c’est ça la bonne pratique. L’a-t’il fait ?



Le 07/02/2014 à 20h 15

Je pense que la seule chose éventuellement condamnable est la diffusion à des tiers …



en revanche le telechargement de données accessibles sans mdp - je vois mal en quoi ça peut être condamnable en soi



combien de fois je suis tombé sur des cours ou des articles à priori accessibles uniquement à des personnes autorisés; via Google …


Le 07/02/2014 à 20h 29







Laurius a écrit :



La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »







Encore faudrait-il que cette manifestation ne soit pas une incantation parce qu’exceptée la poudre verte ça marche plutôt mal en informatique.

Supposer que les accès se feront d’abord par la page d’accueil vaguement sécurisée puis ensuite dans la hiérarchie de l’arborescence non sécurisée c’est de l’incompétence crasse (je parle des « admins », pas de la cour).



Aucun élément ne permet de déterminer la délimitation entre l’espace public et privé dès lors qu’il n’y a aucune contrainte technique imposée et raisonnablement fiable face à une utilisation que l’on peut qualifier de normale.



Donc si au lieu d’avoir cette jurisprudence moisie on peut avoir une jurisprudence qui impose de mettre en œuvre des moyens raisonnables de sécurisation avant de hurler au piratage ce sera une bonne chose et évitera les affaires Guillertimo, Kitetoa, … où la justice ne s’est pas franchement illustrée par une brillante compréhension de la technique.



John Shaft Abonné
Le 07/02/2014 à 20h 32







unCaillou a écrit :



D’un autre côté, je pense qu’il savait qu’il n’avait rien à faire là : copier 8Go de docs à travers un VPN après avoir constaté qu’on est arrivé sur un extranet par erreur,…aheumm… comment dire… <img data-src=" />







Pour le VPN, il bosse dans une boite qui vends ce genre de services. Il l’utilise peut-être par défaut quand il utilise Google. On s’en fout, la question n’est pas là. Tout comme on se fout finalement de savoir si il avait conscience d’être sur des pages qui aurait du être protégé si les admins de l’Anses n’avait pas merdé. Comme je le disais plus, un des principe du droit français (copié au romains sans versement de royalties <img data-src=" /> ) veut que :



Nemo auditur propriam turpitudinem allegans



Donc, les admins Anses ont merdé (ils le reconnaissent en plus !) et donc, il ne peuvent en théorie pas réclamer justice dans ces circonstances.







unCaillou a écrit :



Les gens du métier (comme il s’en réclame) font part de la faille à l’admin du site, en général c’est ça la bonne pratique. L’a-t’il fait ?







Bin, il en a foutu plein les logs du serveur, c’est faire part de la faille nan ? <img data-src=" />



Le 07/02/2014 à 20h 37

L’affaire Kitetoi de 2002 va à l’encontre de celle là et de celle de 1994 en retenant que le défaut de sécurisation peut entraîner une relaxe de l’accusé.



En revanche il est bien évident que la “victime” peut aussi être condamnée pour défaut de sécurisation des données.



Mais c’est un autre procès, et la jurisprudence actuelle a plutôt tendance à isoler les deux problèmes sans interdépendance.


Le 07/02/2014 à 20h 41







John Shaft a écrit :



Pour le VPN, il bosse dans une boite qui vends ce genre de services. Il l’utilise peut-être par défaut quand il utilise Google. On s’en fout, la question n’est pas là. Tout comme on se fout finalement de savoir si il avait conscience d’être sur des pages qui aurait du être protégé si les admins de l’Anses n’avait pas merdé. Comme je le disais plus, un des principe du droit français (copié au romains sans versement de royalties <img data-src=" /> ) veut que :



Nemo auditur propriam turpitudinem allegans



Donc, les admins Anses ont merdé (ils le reconnaissent en plus !) et donc, il ne peuvent en théorie pas réclamer justice dans ces circonstances.







Bin, il en a foutu plein les logs du serveur, c’est faire part de la faille nan ? <img data-src=" />







Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.



C’est le ministère public qui a constaté une infraction et qui la poursuit.



John Shaft Abonné
Le 07/02/2014 à 20h 47







Laurius a écrit :



Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.







Le dépôt de plainte initial provient bien de l’Anses (voir page 3 de l’arrêt).





Le 6 septembre 2012, l’Agence Nationale de sécurité sanitaire de l’alimentation, opérateur d’importance vitace (OIV), déposait plainte auprès des services de police de Maisons-Alfort




Mihashi Abonné
Le 07/02/2014 à 20h 48







francois-battail a écrit :



Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).





Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…



Jarodd Abonné
Le 07/02/2014 à 20h 53

Dites, total HS, mais tout va bien pour Marc Rees ? Si je ne me trompe pas, pas d’actu depuis 2 semaines (congés) ? Et absent sur Tweeter depuis près de 2 mois <img data-src=" />


John Shaft Abonné
Le 07/02/2014 à 20h 56







Mihashi a écrit :



Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…







Tout simplement. C’est tellement gros, qu’on peut manquer ce genre de détails parfois. Bien vu <img data-src=" />



Le 07/02/2014 à 21h 03







John Shaft a écrit :



« ANSES opérateur d’importance vitale (OIV) »







Mon dieu, je ne l’avais pas vu ! C’est absolument incompréhensible qu’il n’y ait pas de procédure publique de poursuite de toute la chaîne de commandement (bien évidemment on trouvera un lampiste) mais à ce niveau d’incompétence pour une institution supposée critique, c’est simplement hallucinant.







Mihashi a écrit :



Pas besoin d’hypothèses, c’est expliqué ils ont regardé les logs quand ils ont remarqué qu’un de leur fichier était publié sur un site d’information…







Comme quoi je ne suis pas aussi mauvaise langue que ça, la réalité dépasse les hypothèses <img data-src=" />



Le 07/02/2014 à 21h 08







John Shaft a écrit :



Le dépôt de plainte initial provient bien de l’Anses (voir page 3 de l’arrêt).









Evidemment que c’est l’ANSES qui a déposé plainte, mais pour le jugement ils n’étaient plus demandeurs de rien et c’est ça qui compte.



L’adage que tu sors aurait été justifiable en cas de constitution de partie civile ou de citation directe, là ça me semble quand même plus douteux de dire qu’ils se prévalent de leur propre turpitude pour obtenir quelque chose alors qu’ils ne demandent plus rien.



Celui qui demande maintenant c’est le parquet, et le parquet n’a pas fait de faute technique lui.



De mémoire l’arrêt de 1994 avait été rendu alors qu’il s’agissait d’un employé qui avait eu un accès général techniquement, mais on lui avait indiqué qu’il n’avait le droit que de consulter certaines choses. Il n’avait pas respecter ça alors que les infos n’étaient pas spécifiquement protégées. Il a quand même été reconnu coupable.



John Shaft Abonné
Le 07/02/2014 à 21h 11







francois-battail a écrit :



Mon dieu, je ne l’avais pas vu ! C’est absolument incompréhensible qu’il n’y ait pas de procédure publique de poursuite de toute la chaîne de commandement (bien évidemment on trouvera un lampiste) mais à ce niveau d’incompétence pour une institution supposée critique, c’est simplement hallucinant.







Oui, c’est assez hallucinant. <img data-src=" />



La loi devrait au moins forcer la DCRI à remettre publiquement les conclusions de son enquête aux autorités compétentes (j’insiste aussi sur la publicité de la chose) <img data-src=" />









Reznor26 a écrit :



<img data-src=" />



(mais je suppose que c’est fait exprès) <img data-src=" />





Tu supposes bien <img data-src=" />







Khalev a écrit :



Sauf que détenir une arme EST illégal sans permis. Et c’est évident que les armes chez le GIGN sont pas en accès libre. Par contre des brochures de ci de là sans précision que c’est réservé pour diffusion interne…





Je sais bien, c’était juste pour apporter ma pierre à l’édifice des analogies foireuses <img data-src=" />



Mais j’admets que la tienne tient la route <img data-src=" />



John Shaft Abonné
Le 07/02/2014 à 21h 13







Laurius a écrit :



Evidemment que c’est l’ANSES qui a déposé plainte, mais pour le jugement ils n’étaient plus demandeurs de rien et c’est ça qui compte.







Exact <img data-src=" />



Ça n’enlève rien à la débilité de l’arrêt <img data-src=" />



Le 07/02/2014 à 21h 42







John Shaft a écrit :



Exact <img data-src=" />



Ça n’enlève rien à la débilité de l’arrêt <img data-src=" />







Hélas, ce qui est le plus difficile à admettre d’un point de vue technique me semble assez difficile à remettre en question devant la Cour de cassation, plus qu’à attendre le reste de la procédure…



John Shaft Abonné
Le 07/02/2014 à 21h 53







Laurius a écrit :



Hélas, ce qui est le plus difficile à admettre d’un point de vue technique me semble assez difficile à remettre en question devant la Cour de cassation, plus qu’à attendre le reste de la procédure…







Oui, la Cour ne jugeant pas au fond,ça complique les choses. En même temps, un non juriste comme moi y trouve des énormités à cet arrêt, donc je reste confiant. <img data-src=" /> (et il vaut mieux l’être parce que rien que le coup du vol pour un bête DL via un navigateur web, c’est inquiétant)




Le 08/02/2014 à 07h 41







maxxyme a écrit :



Ce qui inquiétant dans l’histoire c’est que l’accusé et son avocat n’y ont pas eu accès, mais par contre le Parquet et le Point, oui….

http://twitter.com/iteanu/status/431714827380084736







en lisant l’article du Point, ce qui est encore plus inquiétant c’est que la magistrate ne semblait pas connaitre google, ni savoir ce que signifie login et que le représentant du ministère public a avoué ne pas avoir compris la moitié des termes employés



Le 08/02/2014 à 11h 31







unCaillou a écrit :



Bluetouff est innocenté si le jugement est cassé, d’accord.







si le jugement est cassé il aura droit à un nouveau procès en appel, il ne sera pas innocenté.



La cour de cassation n’innocente ou ne condamne personne, elle dit juste “la cour d’appel a bien/mal appliqué la loi, je valide/invalide son jugement” et dans le cas où le jugement est invalidé il y a un nouveau procès.



Le 08/02/2014 à 11h 54

Affaire Bluetouff , quelle idée de toucher la touffe à la schtroumpfette<img data-src=" />…


Le 08/02/2014 à 12h 36

Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.


Le 08/02/2014 à 15h 15







psn00ps a écrit :



Personne n’a remarqué qu’il y a un double fail de la part de l’ANSES ?



Non seulement les fichiers auraient du être protégés,



mais en plus personne n’a détecté l’intrusion par les bot Google/Bing/… qui aurait du faire sonner des alarmes partout dans un site “sécurisé”.







c’est un appel du parquet….



l’ANSES a fait profil bas sur le coup…



Le 08/02/2014 à 15h 38







js2082 a écrit :



Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.







Tu as du louper des pages toi <img data-src=" />



Deuxième considérant.



Par contre avant de dire que l’argumentation de l’avocat est faible, il vaut mieux savoir que l’argumentation de l’avocat n’est pas toujours intégralement reprise dans la rédaction de la décision, surtout en pénal.



Mihashi Abonné
Le 08/02/2014 à 16h 00







Laurius a écrit :



Tu as du louper des pages toi <img data-src=" />



Deuxième considérant.





C’est une interprétation erroné de la cour, qui sera certainement cassée par la cour de cassation.



Le 08/02/2014 à 16h 34







Mihashi a écrit :



C’est une interprétation erroné de la cour, qui sera certainement cassée par la cour de cassation.







Je pense que ça a été répété environ 50 fois dans les commentaires déjà, mais encore une piqûre de rappel : la Cour de cassation ne touche pas à l’interprétation des faits par les magistrats du fond.



En outre, je ne vois pas comment on peut dire qu’il n’y a pas de motivation, et en même temps que l’interprétation qui sert de motivation est erronée <img data-src=" />



On va également éviter les “probablement”, “certainement” et autres critères de prévisions à la Madame Irma, bien malin celui qui se risque à des pronostiques dans ce domaine.



Et tant qu’on y est : il faut éviter aussi les analogies, elles sont, par essence, foireuses.



Le 08/02/2014 à 17h 30







js2082 a écrit :



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation)







si je me rappelle bien les avocats des cours de cassation sont spécifiques : l’avocat qu’il a pris en première instance et en appel ne peut pas plaider en cour de cassation il me semble.



Le 08/02/2014 à 17h 48







baldodo a écrit :



si je me rappelle bien les avocats des cours de cassation sont spécifiques : l’avocat qu’il a pris en première instance et en appel ne peut pas plaider en cour de cassation il me semble.





93 avocats




Le 08/02/2014 à 17h 50







js2082 a écrit :



Petite analyse sur l’arrêt:



La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).



Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.



Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.



En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.



P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.





si l’affaire est rejugée ensuite au détriment du monsieur, ce dernier peut encore saisir la cour européenne



J’espère que ce jugement sera cassé.



Je n’ai qu’une question : a-t-il à un moment contacté l’ANSES pour l’informer que son extranet était troué ?


Sinon j’ai apprécié les expressions “défaillance technique” ou “faille de sécurité” dans le jugement d’appel. <img data-src=" />



Il y a une défaillance humaine qui rend publiques (liens dans un moteur de recherche) des documents censés ne pas l’être.

Le ministère public qui a fait appel s’est trompé de cible, AMHA ;)


Mihashi Abonné
Le 08/02/2014 à 21h 21







_fefe_ a écrit :



J’espère que ce jugement sera cassé.



Je n’ai qu’une question : a-t-il à un moment contacté l’ANSES pour l’informer que son extranet était troué ?





Non, puisqu’il ne savait pas que ces documents ne devaient pas être publics…









Mihashi a écrit :



Non, puisqu’il ne savait pas que ces documents ne devaient pas être publics…





si tu lis l’arrêt de la cour d’appel (en lien dans l’article qu’on commente), tu sauras que Bluetouff a reconnu avoir parcouru l’arborescence du site et constaté la présence de contrôle d’accès sur la page d’accueil.



Ça ne change rien à mon avis sur la dangerosité de ce jugement, c’était juste une question morale qui ne t’est pas destinée.




Mihashi Abonné
Le 08/02/2014 à 23h 03







_fefe_ a écrit :



si tu lis l’arrêt de la cour d’appel (en lien dans l’article qu’on commente), tu sauras que Bluetouff a reconnu avoir parcouru l’arborescence du site et constaté la présence de contrôle d’accès sur la page d’accueil.



Ça ne change rien à mon avis sur la dangerosité de ce jugement, c’était juste une question morale qui ne t’est pas destinée.





Oui j’ai lu, mais ça ne veut absolument pas dire que les documents n’étaient pas prévus pour être publics contrairement à ce que dit la cour.



Le 09/02/2014 à 00h 07

Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/


mirandir Abonné
Le 09/02/2014 à 10h 23

J’ai quand même peur en lisant la majorité d’entre vous : j’ai l’impression que vous allez tous venir prendre des photos de chez moi (et considérer ça normal !) si je pars bosser en oubliant de fermer la porte à clé <img data-src=" />


Le 09/02/2014 à 10h 36







blaétria a écrit :



Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/







Un peu décevant ce billet, d’autant plus qu’il semble occulter la jurisprudence sur le vol de données, certes encore un peu incertaine en France mais dont un arrêt de la Cour de cassation a depuis longtemps admis le principe:



arrêt du 9 septembre 2003



Idem, même pas de questionnement sur la jurisprudence Tati…



Pas que ce soit quelque chose qui change fondamentalement l’analyse, mais ça donne un sentiment de traitement superficiel…



A part ça, je partage néanmoins à peu près son opinion.



Le 09/02/2014 à 10h 40







blaétria a écrit :



Maitre Eolas à posté le billet annoncé:



http://www.maitre-eolas.fr/





Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.









Mihashi a écrit :



Oui j’ai lu, mais ça ne veut absolument pas dire que les documents n’étaient pas prévus pour être publics contrairement à ce que dit la cour.







Effectivement, un site web peut avoir une authentification par login/mdp sur sa page d’accueil et contenir une partie publique et une partie privée.

<img data-src=" />



Le 09/02/2014 à 17h 08







unCaillou a écrit :



Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.









_fefe_ a écrit :



Effectivement, un site web peut avoir une authentification par login/mdp sur sa page d’accueil et contenir une partie publique et une partie privée.

<img data-src=" />







oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.









saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.





J’avais fait ce raccourci, en fait c’est beaucoup moins évident : il a reconnu avoir constaté une identification par login/mdp sur la page d’accueil, c’est la cour qui conclut “il est ainsi démontré qu’il avait conscience de son maintien irrégulier…”



S’il avait clairement reconnu en avoir conscience, il me semble que ce serait écrit noir sur blanc dans l’arrêt.







s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.



Justement, nous ne savons pas tout ce qui s’est dit pendant la procédure ou à la cour d’appel.

Peut-être s’est-il mal défendu ?



Le 09/02/2014 à 17h 47

(à supprimer, mauvais click)


Mihashi Abonné
Le 09/02/2014 à 18h 40







saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.





Non justement, il ne l’a jamais reconnu.



Liam Abonné
Le 10/02/2014 à 04h 20







saf04 a écrit :



oui, mais en l’occurrence cela ne semble pas etre le point central.

comme à ce que j’ai lu, bluetouff a reconnu en garde a vue qu’il savait etre dans un espace sécurisé, osef du parametrage des droits.



s’il avait dit “ha je sais pas ce qu’a foutu l’admin sys, je pensait etre dans un endroit accessible” la problematique aurait été différente.







C’est l’interprétation que la Cour fait de ses propos en garde à vue, mais ça n’est pas ce qu’il a dit.



Lui s’est contenté de dire “j’ai remarqué qu’en page d’accueil y avait un formulaire d’authentification”. La cour en conclut que donc “forcément il savait que la page à laquelle il accédait était protégée.”



Peut-être qu’il s’en doutait fortement, mais peut-être pas. Car ça n’a rien d’évident. Le tribunal part du principe qu’il est évident, pour un informaticien, que les propriétés en matière de droits d’accès, au sein d’une arborescence, sont hérités par les dossiers de niveau inférieur. Or c’est loin d’être toujours vrai.



Typiquement, chez moi, sur mon réseau local, C:\ est protégé par mot de passe, C:\Users\Liam aussi est protégé par mot de passe, mais C:\Users\Liam\Public est en libre accès, et c’est fait exprès.

Il est envisageable que Bluetouff ait cru être dans cette situation là. Or, il semble que la Cour d’Appel n’ait pas du tout envisagé que ce scénario puisse exister, ou qu’elle l’ait jugé trop peu sérieux, supposant qu’un tel scénario était trop rare pour que Bluetouff puisse, de bonne foi, avoir cru cela. Or ça n’est pas si rare qu’il y parait, c’est même assez banal, et il n’est pas du tout démontré que Bluetouff ne croyait pas ou ne pouvait pas croire être dans ce cas là.



Citan666 Abonné
Le 10/02/2014 à 10h 05







Obelixator a écrit :



L’argumentation est en effet relativement claire, je dis bien relativement, car j’ai quand même 2 remarques à faire <img data-src=" /> :





  • ‘qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée” =&gt; C’est sur la base d’une simple déclaration de l’ANSES ? Ou bien était-ce indiqué clairement sur chaque page de l’arborescence, et sur chaque document malencontreusement accessible ? (Au taf, tous les documents et e-mails que l’on “produit” portent ce genre de mention … c’est quand même pas pour rien ! Surtout que ça prends de la place tout ce “blabla” <img data-src=" />)

  • “qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public” <img data-src=" /> =&gt; Que le requérant souhaitait inaccessibles au public, auquel cas il eu fallut, soit ne pas les mettre à disposition sur un serveur en ligne, soit en avoir correctement implémenté l’accès, et à minima, avoir indiqué clairement leur caractère confidentiel <img data-src=" /> Vouloir != Faire != Faire savoir <img data-src=" />







    Mis à part pour ces 2 points, qui pourraient être clarifiés par le reste du jugement que je n’ai pas lu <img data-src=" />, le pourvoi risque d’être compliqué <img data-src=" />





    +10. La Cour de cassation n’ayant pas vocation à réétudier les faits, il va falloir prouver côté Bluetouff que les juges n’ont pas commis d’erreur dans l’appréciation des faits (ce qui est pourtant clair) vu que ça ne sert à rien. Il va falloir démontrer une erreur dans leur raisonnement menant à la conclusion que le délit était constitué. Et faire ça sans se reposer sur une erreur de base dans l’appréciation des faits… Tendu.

    Bon courage à l’avocat de Bluetouff. <img data-src=" />



    Sinon ça n’a rien à voir, mais ce qui me scie à la lecture de l’arrêt, c’est de voir que même des officiers du droit (à priori parmi les meilleurs, tous métiers confondus, dans la maîtrise de la langue française) ne savent même plus utiliser les temps correctement. Tout un paragraphe devrait être conjugué au passé simple, ou passé composé à la rigueur, mais PAS À L’IMPARFAIT !! Je ne sais pas si c’est le fait du greffier, ou s’il a juste rigoureusement reproduit ce qu’il entendait, mais c’est bien triste… <img data-src=" />



Citan666 Abonné
Le 10/02/2014 à 10h 13







megadub a écrit :



Ca on n’en sait rien du tout. On sait qu’il a remonté l’arborescence grâce à l’URL d’un doc accessible via Google mais ensuite, il a copié 8000 docs directement depuis le serveur… aucune idée si les docs en question étaient dispo sous Google… et ça change rien au demeurant <img data-src=" />





Au contraire ça change tout !





Khalev a écrit :



C’était un extranet et il le savait. On est pas sur un simple site internet. Il savait qu’il “rentrait” quelque part où il s’attendait à se prendre des demandes d’authentification.

Après il n’est pas rare de trouver des docs publiques dans des extranet (c’est pas tout le temps le cas, mais c’est pas non plus interdit).





Non justement, cf ci-dessus ainsi que pas mal d’autres commentaires précédant le mien. Le principe du site internet étant qu’il n’existe pas de hiérarchie naturelle, tu peux très bien avoir une partie du site visible quand l’autre est protégée.



D’où l’intérêt de savoir si l’ensemble des documents téléchargés étaient accessibles par Google. Car cela constituerait une preuve indéniable qu’il s’agissait de documents accessibles au public. Autrement, ce que référencerait Google, ce serait la page d’accès, ou rien.



Dans ce cas, la bonne foi de Bluetouff pourrait être aisément établie, faisant ainsi tomber l’élément moral de l’infraction.

Si en revanche ne serait-ce qu’une partie des documents n’était pas référencée par Google, la bonne foi serait plus difficile à maintenir. D’autant plus vu le comportement de “je télécharge comme un porc”. Bonne foi ou pas il y avait peu de chances que ce soit bien perçu par l’agence et par les juges. <img data-src=" />



Quant à savoir s’il est encore possible d’établir cette information aujourd’hui, et surtout si ça peut servir en cassation (vu que c’est purement un élément de fait) c’est une autre histoire.





Tim-timmy a écrit :



après, le concept de racine d’un répertoire est peut être complexe à appréhender… La justice a décidé qu’il savait ce qu’il faisait, vu son travail, et qu’il avait compris .. lui :p





+1, C’est clair que quand on s’annonce comme développeur informatique, tenant une boutique qui créée entre autres des sites web, on est censé être à même de juger ce type de problématiques. Ça a certainement beaucoup joué dans l’esprit des juges pour conclure à la conscience du délit.

Quelque soit la réalité des faits par ailleurs, quand tu vois un mec qui télécharge 8Go de données d’un site, à travers un VPN panaméen, après être remonté jusqu’à la racine du site, tu peux effectivement avoir de gros doutes sur l’honnêteté intellectuelle du sieur. <img data-src=" />



Le 10/02/2014 à 10h 19







unCaillou a écrit :



Maitre Eolas me déçoit sur cette analyse : comme les juges, il affirme que la présence d’une page d’authentification sur le site signifie forcément que tout le site est interdit d’accès. N’importe quoi.



D’habitude il est plus rigoureux que ça.







il ne dit pas du tout cela…



il présente le contexte et il montre que si bluetouff avait su fermer sa gueule il n’aurait pas creusé sa tombe.



Pas besoin de de prouver que le site était sécurisé…



En se retrouvant au mauvais endroit et en y restant tout en l’avouant bluetouf se place dans le cadre de la loi de 1985….



sur ce point il n’aura surement pas gain de cause.



Par contre sur l’autre point il y a surement une faille….






Le 10/02/2014 à 10h 29







Citan666 a écrit :



Non justement, cf ci-dessus ainsi que pas mal d’autres commentaires précédant le mien. Le principe du site internet étant qu’il n’existe pas de hiérarchie naturelle, tu peux très bien avoir une partie du site visible quand l’autre est protégée.



D’où l’intérêt de savoir si l’ensemble des documents téléchargés étaient accessibles par Google. Car cela constituerait une preuve indéniable qu’il s’agissait de documents accessibles au public. Autrement, ce que référencerait Google, ce serait la page d’accès, ou rien.



Dans ce cas, la bonne foi de Bluetouff pourrait être aisément établie, faisant ainsi tomber l’élément moral de l’infraction.

Si en revanche ne serait-ce qu’une partie des documents n’était pas référencée par Google, la bonne foi serait plus difficile à maintenir. D’autant plus vu le comportement de “je télécharge comme un porc”. Bonne foi ou pas il y avait peu de chances que ce soit bien perçu par l’agence et par les juges. <img data-src=" />







Je ne voulais pas dire le contraire. Juste que, en tant qu’humain barroudeur des Internet, on sait quand on entre dans un extranet qu’on se verra interdire des pages : même si un extranet n’est qu’un site web comme un autre techniquement quand c’est clairement identifié comme tel (comme c’est le cas ici: extranet.anses.fr) on sait que c’est un site web qui a principalement pour fonction de servir aux employés et autres personnes autorisée. Mais pas que.



Ceci dit en me relisant je me demande ce que je voulais vraiment dire dans mon commentaire que tu cites et le rapport avec le commentaire cité… la fatiguqe sans doute <img data-src=" /> (Si tu lis le reste de mes commentaires je pense aussi que BT pouvait raisonnablement penser que les documents étaient en accès publique)



Citan666 Abonné
Le 10/02/2014 à 10h 32







megadub a écrit :



En effet, ce point précis est surprenant, C’est à se demander si c’est pas un fait exprès pour qu’il puisse être relaxé en cassation le délit n’étant pas constitué. Le juge considérant qu’il mérite une bonne leçon mais offrant une porte de sortie parce que finalement c’est pas si grave.





Je me demandais aussi depuis la news de PCI annonçant la publication de l’arrêt.

Peut-être que les juges ont été un peu soûlés de voir un mec qui à priori savait très bien ce qu’il faisait, même si légalement son comportement pouvait se défendre, et donc se doutait bien que ses actions n’étaient pas prévues par l’agence (entre autres comme relevé par d’autres, télécharger tout d’un coup, ou ne jamais contacter l’agence pour leur demander…).



Cela étant je souhaite de tout coeur que la décision soit cassée. Clairement Bluetouff a déconné, il a cherché la merde quoi qu’il en dise et il a beau jeu de faire l’innocent maintenant, au nom d’une finasserie technique ou de la liberté de la presse.

Je n’aurais pas eu la même opinion s’il s’était agi d’un clampin lambda, genre journaliste du Monde Point ou autre généraliste.

Un mec qui développe des sites, qui donc est entre autres plus susceptible de connaître le degré moyen de différence entre la sécurité voulue et la sécurité réelle, voilou quoi.



Ce qui m’emmerde sérieusement en revanche, c’est que le raisonnement ayant mené à la condamnation fait peser un risque majeur sur tous les internautes et sur la liberté d’information sur internet en général. Et ça c’est maaaaaal !!<img data-src=" />



Alors, si les juges ont manoeuvré de manière à lui mettre un bon soufflet, tout en laissant moyen à la Cass de saborder leur jugement (et au passage clarifier une fois pour toute ce type de problématique) je dis GG. La seule faille en ce cas étant qu’il va falloir attendre des années la décision de la Cass, et qu’en attendant, bah… Va falloir marcher sur des oeufs quoi… <img data-src=" />



Le 10/02/2014 à 10h 34







benco a écrit :



En se retrouvant au mauvais endroit et en y restant tout en l’avouant bluetouf se place dans le cadre de la loi de 1985….







Mais en avouant quoi ?

En avouant avoir rencontrer à un moment une zone d’identification ?

C’est ça qui suffit à faire “démonstration” caractérisée d’une “évidence” ?



Le 10/02/2014 à 10h 40







Citan666 a écrit :



(…)

Ce qui m’emmerde sérieusement en revanche, c’est que le raisonnement ayant mené à la condamnation fait peser un risque majeur sur tous les internautes et sur la liberté d’information sur internet en général. Et ça c’est maaaaaal !!<img data-src=" />

(…)







Pareil. Il ne faut pas nous prendre pour des buses, je pense que Bluetouff avait bien conscience de ce dans quoi il avait mis le doigt…



Par contre, le mécanisme mis en œuvre pour le condamner de ses actions, je le trouve plus que moyen voire dangereux.

Qu’ils arrivent à lui faire avouer qu’il avait bien conscience de ce qu’il faisait sans parler d’une “page d’accueil avec login/MDP” et ça me va déjà mieux…



Citan666 Abonné
Le 10/02/2014 à 10h 44







Liam a écrit :



Typiquement, chez moi, sur mon réseau local, C:\ est protégé par mot de passe, C:\Users\Liam aussi est protégé par mot de passe, mais C:\Users\Liam\Public est en libre accès, et c’est fait exprès.

Il est envisageable que Bluetouff ait cru être dans cette situation là. Or, il semble que la Cour d’Appel n’ait pas du tout envisagé que ce scénario puisse exister, ou qu’elle l’ait jugé trop peu sérieux, supposant qu’un tel scénario était trop rare pour que Bluetouff puisse, de bonne foi, avoir cru cela. Or ça n’est pas si rare qu’il y parait, c’est même assez banal, et il n’est pas du tout démontré que Bluetouff ne croyait pas ou ne pouvait pas croire être dans ce cas là.





Belle illustration d’un cas courant où une partie d’une arborescence est publique alors qu’il y a “du privé” au-dessus.

Je me demande si l’avocat de Bluetouff a eu la présence d’esprit de porter ce genre d’exemples à la connaissance des juges ? <img data-src=" />



Le 10/02/2014 à 11h 05







John Shaft a écrit :



Je ne comprends pas la qualification de “vol” dans le jugement. Dans le code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. Hors là, il n’a fait que copier les documents. Pour qu’il y ait vol à mon sens, il aurait fallu qu’il efface les documents du serveur après les avoir DL. Hors ce n’est à priori pas le cas <img data-src=" /> (d’ailleurs quel serveur HTTP le permettrait ?)







Tout à fait, voir le billet de Maïtre Eolas sur cette affaire, ou il s’étonne lui aussi de cette qualification.

Le pourvoi en cassation devrait reviser ce point, j’imagine.



Le 10/02/2014 à 11h 25







francois-battail a écrit :





  • est-ce qu’un site de communication au public en ligne qui met à disposition des fichiers est un système de traitement automatisé de données ?







    oui.

    un fichier excel est un système de traitement automatisé au sens de la loi. En gros, toute donnée informatisée. C’est sur cette base que repose entre autres la loi informatique et libertés.



John Shaft Abonné
Le 10/02/2014 à 11h 31







Laurius a écrit :



Ils ne se prévalent de rien à l’ANSES, ils n’étaient même pas partie civile.



C’est le ministère public qui a constaté une infraction et qui la poursuit.







Bon bin, finalement je retombe sur mes pattes, puisque selon Eolas, l’ANSES s’était bien constituée partie civile <img data-src=" />









Citan666 a écrit :





Alors, si les juges ont manoeuvré de manière à lui mettre un bon soufflet, tout en laissant moyen à la Cass de saborder leur jugement (et au passage clarifier une fois pour toute ce type de problématique) je dis GG.





je n ‘appartiens pas au monde juridique ou informatique, mais si tu considères positif que les juges manoeuvrent… ce n’est pas vraiment ce que j’attends d’un juge.

En laissant moyen à la cour de cassation : ça coûte combien un recours en cassation ?





La seule faille en ce cas étant qu’il va falloir attendre des années la décision de la Cass, et qu’en attendant, bah… Va falloir marcher sur des oeufs quoi… <img data-src=" />



y’avait peut-être moyen de faire autrement ?