Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

Coup de couteau dans le DDos

Avatar de l'auteur

Marc Rees

Publié dansDroit

23/11/2017
27
Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

La Cour de cassation a finalement rejeté le pourvoi exercé par Triskel dans le cadre d’une attaque informatique visant des sites Internet d’EDF. L’éditeur d’une solution de « raccourcisseurs » d’URL utilisé par des « Anonymous » est définitivement condamné  pour participation à une entente en amont de ce DDoS. 

En 2011, une attaque par déni de service distribué visant des sites internet d’EDF, revendiquée par des « Anonymous », avait conduit à une perquisition musclée de la Direction centrale du renseignement intérieur au domicile de Triskel, de son vrai nom Pierrick Goujon.

Si les enquêteurs avaient retrouvé son identité, c’est tout simplement parce que la campagne « Greenrights » des Anonymous avait utilisé son service de raccourcisseurs irc.lc dans un tract virtuel.  

L’éditeur de cette solution en ligne a toujours clamé son innocence. Des arguments entendus devant le tribunal correctionnel de Paris, qui avait reconnu que ce service n’avait pour vocation que de « rendre plus accessibles les canaux de discussion IRC », non d’organiser une attaque DDoS. Il prononçait alors sa relaxe.

D'abord relaxé, puis condamné en appel

En appel, Triskel a répété n’être qu’un intermédiaire, non responsable de l’utilisation faite par les tiers de Irc.lc. La cour d’appel a eu une autre analyse, reprochant à l’intéressé d’avoir proposé son service de passerelle vers le canal IRC dédié à GreenRights. Elle l’a reconnu coupable du délit de participation à « une entente établie en vue de la préparation d'entrave au bon fonctionnement de systèmes de traitement automatisé de donnée », ici les sites d’EDF.

Il fut alors condamné à 2 mois de prison avec sursis et obligation de stage de citoyenneté. 

Un délit non caractérisé selon son avocat...

Devant la chambre criminelle de la Cour de cassation, les avocats de Triskel sont repartis au combat : un tel délit suppose avant tout « que soit caractérisée une résolution d'agir concertée et arrêtée entre deux ou plusieurs personnes », ce qui ferait défaut dans l’arrêt de la cour d’appel.

En outre, l'entente implique un objectif, la commission du délit d'entrave, qui ne serait pas davantage démontré. Enfin, les juges d’appel auraient jaugé à tort l’intention délictueuse du prévenu dans la préparation d’une telle entrave ou sa facilitation.

...mais une analyse contestée par la Cour de cassation

La Cour de cassation ne va pas partager ces reproches. Dans un arrêt du 7 novembre, elle a considéré que les juges du fond avaient bien caractérisé les différents éléments de l’infraction. D’un, l'adresse de son raccourcisseur d'url IRC.lc a été diffusée dans des documents d'"Anonymous", plus d'un an avant l’attaque. De deux, il a « mis à disposition » un webIRC « dont il est locataire et gestionnaire », qui a permis aux utilisateurs, même non férus d'informatique, « d'accéder à des sites de discussion, d'avoir connaissance des modalités concrètes d'opérations du mouvement "Anonymous" ».

De trois, Triskel a constaté qu’EDF était prise pour cible. De quatre, il n’ignorait pas que les attaques DDoS étaient un levier des Anonymous qui ont pu être réalisées via ces moyens techniques et informations. Autant d’éléments qui ont caractérisé le délit de participation, et ont permis aux juges de « déduire la pleine conscience (…) du caractère irrégulier de telles attaques ».

27
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Tout plus mieux qu'avant

09:30Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

CyberCom'

09:06Sécurité 0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 1

Sommaire de l'article

Introduction

D'abord relaxé, puis condamné en appel

Un délit non caractérisé selon son avocat...

...mais une analyse contestée par la Cour de cassation

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 0

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 31

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 16
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 139

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 7
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 27
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 0

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 5

La Dreamcast de Sega fête ses 25 ans

Hardware 5

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 1

Commentaires (27)


KP2
Il y a 6 ans

Cet article est parfait car il expose clairement les arguments de la justice pour rendre sa décision.
Ça apporte beaucoup de nuances aux propos du condamné et c’est trop souvent ce qu’il manque dans la presse « classique »…


micromy Abonné
Il y a 6 ans

Si on lit bien l’arrêt, en particulier la motivation de la cours d’appel, on a quand même l’impression que ce n’est pas pour son statut de fournisseur de service (mais je ne savais pas ce qui se passait…) qu’il été condamné, mais plutôt pour avoir eu les informations que son service était utilisé par les anonymous pour un but délictuel précis et de n’avoir rien dit et rien fait alors qu’il en avait le pouvoir…
C’est pas une attaque DDoS sur edf.fr par des scripts-kiddies qui va faire péter les centrales nucléaires, mais bon les DDoS sont illégales, dura lex sed lex <img data-src=" />


linkin623 Abonné
Il y a 6 ans

Certes c’est motivé, mais on voit aussi clairement que les juges de CC ne savent pas ce qu’est l’administration d’un service web.
Les arguments tiennent pour le monde physique, mais pas pour un simple service de raccourcisseur d’url qui se fout des objectifs de chacuns…


Meptalon
Il y a 6 ans






linkin623 a écrit :

Certes c’est motivé, mais on voit aussi clairement que les juges de CC ne savent pas ce qu’est l’administration d’un service web.
Les arguments tiennent pour le monde physique, mais pas pour un simple service de raccourcisseur d’url qui se fout des objectifs de chacuns…



Relis bien l’article : […] De trois, Triskel a constaté qu’EDF était prise pour cible […]

Si une fois constaté l’attaque d’EDF ils n’ont rien fait pour l’imnterrompre, c’est normal qu’on leur reproche d’avoir participé… :)



2show7
Il y a 6 ans

il n’empêche que c’est un peu comme la poste d’être responsable de la poudre qui pourrait y avoir dans une lettre (il ne vont pas fouiller avant laisser passer)


linkin623 Abonné
Il y a 6 ans

Avoir connaissance de l’attaque ok. Mais a quel moment tu peux faire la relation entre l’attaque en cours et ton service de short link ? C’est là qu’il manque une explication…


Jarodd Abonné
Il y a 6 ans

Donc si le service utilisé était t.co, c’est Twitter qui serait condamné pour délit de participation ? Si c’était huit.re, ça serait Framasoft ?

Et pendant ce temps, les Anonymous qui ont fait l’attaque, on leur a fait quoi ?


PtiDidi Abonné
Il y a 6 ans






Jarodd a écrit :

Et pendant ce temps, les Anonymous qui ont fait l’attaque, on leur a fait quoi ?


On attend que Triskel donne des infos qui permettraient de les identifier j’imagine



Programmateur01
Il y a 6 ans

De ce que je comprends de la cour de cassation, il était au courant avant que l’attaque est lieu et s’est connecté sur le site pendant l’attaque pour voir les conséquences de celle ci.

&nbsp;Pour moi le problème est que les juges ont cherché à condamner en mettant comme preuves ces activités informatiques alors que ces activités étaient parfaitement légales.


PtiDidi Abonné
Il y a 6 ans

Le compte-rendu semble dire qu’il était au courant avant les attaques que :




  • les “Anonymous” utilisaient le (D)DOS comme moyen de pression

  • les “Anonymous” utilisaient son service pour organiser leurs opérations

  • les “Anonymous” en avaient après EDF


PtiDidi Abonné
Il y a 6 ans

Ces actes sont légaux mais la finalité ne l’est pas.
Quelqu’un qui héberge des terroristes est-il dans la légalité?


Jarodd Abonné
Il y a 6 ans

D’après Jawad Bendaoud, oui <img data-src=" />


Programmateur01
Il y a 6 ans

La finalité n’est pas d’aider Anonymous à commettre des DDoS mettre de facilité l’échange de liens. Et Anonymous a utilisé son service.

Sinon on peut carrément condamner Google parce qu’on peut trouver des infos sur comment fabriquer une bombes, ou les fabricants de voitures quand on les utilise pour faire des voitures béliers


fabcool
Il y a 6 ans

c’est pas clair:

“Triskel a constaté qu’EDF était prise pour cible”

C’est a dire ?
Comment ça été constaté ?
avant l’attaque, après l’attaque ?

Bon en relisant le compte rendu du 7 Novembre, le compte rendu n’est pas clair:




  • Le mec a refusé l’avocat dès le début :/

  • Ses propos de fierté d’être dans le top on sait pas si c’est avant, sur le moment, ou après.

  • le fait qu’il ait été sur le site d’edf “pour voir” , il faut bien aller dessus pour voir l’impact.

    DU coup la retranscription de l’échange, sans avocat, même s’il signe, peut être interprété dans les 2 sens j’ai l’impression.

    Le billet qui semble litigeux:
    http://operationgreenrights.blogspot.fr/2011/06/rate-target-from-poll.html#comme…
    &nbsp;Le déroulé de l’interrogatoire ou il mentionne quand meme
    “les policiers de la DCRI qui m’ont interrogé semblent avoir bien pigé qu’ils ont fait une bourde sur ce coup la, ce chef d’accusation sans preuve quelconque a été maintenu par le juge d’instruction pour ma remise en liberté sous controle judiciaire” :
    http://infonie.org/DCRI.tourship.html


Seazor Abonné
Il y a 6 ans

Au final, on lui tombe dessus pour “non-assistance à site en danger” , avec circonstance que le danger est passé par un de ses outils publics.

ou alors j’ai mal compris qqch ?


jackjack2
Il y a 6 ans
PtiDidi Abonné
Il y a 6 ans






Jarodd a écrit :

D’après Jawad Bendaoud, oui <img data-src=" />


<img data-src=" /> C’est fou, on a tous les memes références :)




Programmateur01 a écrit :

La finalité n’est pas d’aider Anonymous à commettre des DDoS mettre de facilité l’échange de liens. Et Anonymous a utilisé son service.


Mais il était au courant AVANT l’acte de la cible, de l’attaquant et de la manière. Et n’a rien fait pour empécher la chose.


Programmateur01 a écrit :

Sinon on peut carrément condamner Google parce qu’on peut trouver des infos sur comment fabriquer une bombes, ou les fabricants de voitures quand on les utilise pour faire des voitures béliers


Tu peux, mais je doute qu’ils reconnaissent avoir été au courant des futurs actes commis avec les services qu’il mettent à disposition



PtiDidi Abonné
Il y a 6 ans

“Non assistance à OIV en danger” plutôt


PtiDidi Abonné
Il y a 6 ans

Oui c’est pas très clair pour savoir s’il avait été au courant avant ou pas.

Un avocat, même s’il n’avait rien compris au système d’IRC/URL shortener aurait été plus clair sur les questions de droit.
Dommage pour lui d’avoir estimé ne pas en avoir besoin


graphseb
Il y a 6 ans






PtiDidi a écrit :

“Non assistance à OIV en danger” plutôt


Tu sous-entends que les centrales nucléaires sont pilotées par le back-office du site web, et que ledit back-office est sur la même (et unique) instance ?
<img data-src=" />



PtiDidi Abonné
Il y a 6 ans

Tu es capable d’assurer qu’un DDOS sur le site edf.fr n’aura aucune incidence sur ce qui tourne ailleurs sur le SI de l’entreprise? Moi non

Tu peux être sûr qu’EDF a tout bien fait et teste son infra regulièrement, perso je ne leur accorde pas autant de confiance :)


fred42 Abonné
Il y a 6 ans

En 2011, peut-être pas, même si je pense que ce devait être très étanche.

Mais maintenant, avec cet arrêté, ils ont des obligations assez fortes, entre autre une homologation qui comprend un audit et qui doit être renouvelée tous les 3 ans.


graphseb
Il y a 6 ans

Au temps pour moi, tu as raison d’insinuer : le site a manifestement été réalisé par une filiale de Publicis (Razorfish Paris) et il est auto-hébergé. Toues les doutes sont permis.

<img data-src=" />


PtiDidi Abonné
Il y a 6 ans

Je ne cherche à dénigrer personne mais il peut toujours arriver des conneries.

Pour rappel, il y a un an, DynDNS se faisait DDOS et tous les gros sites US étaient innaccessibles..


ProFesseur Onizuka
Il y a 6 ans

“obligation de stage de citoyenneté”

Tiens la France a adopté le code pénale de Corée du Nord ou d’Arabie Saoudite? <img data-src=" />


djengo Abonné
Il y a 6 ans

Super la justice <img data-src=" />
<img data-src=" /> Triskel


jurinord
Il y a 6 ans

+1.

En droit pénal, l’infraction est réalisée (“consommée”, disent les juristes), lorsque&nbsp; est prouvé la&nbsp; présence simultanée de deux éléments : un ou des élément(s) matériel(s) et un élément moral (l’intention de réaliser un acte contraire au droit pénal).




  1. Elément(s) matériel(s) : les termes de l’article 323-4 du code pénal évoquent&nbsp; “la participation […] en vue de la préparation, caractérisée par un ou plusieurs faits matériels” du délit de l’article 323-2 du code pénal, d’entrave au fonctionnement d’un système de traitement automatisé de données (définition juridique des attaques DDoS).

    &nbsp;Par conséquent, l’élément matériel du délit d’entente est lui-même un acte matériel en vue de la préparation d’un autre délit. Par exemple, l’échange d’information préalable à la réalisation de l’attaque, la coordinations des actes, la répartition des rôles.
    &nbsp;
    Ici, la Chambre criminelle de la Cour de cassation, prend soin dénombrer les faits matériels préparatoires reprochés : diffusion de son minimiseur de liens un an auparavant, son statut de “half-op”, le connaissance que EDF était une cible potentielle.
    Pour les juges d’appel,&nbsp; son rôle fut de permettre de faciliter l’organisation&nbsp; de ces actes préparatoires et d’en assurer la publicité auprès du plus grand nombre.


  2. Elément moral : le prévenu avait connaissance que ces éléments matériels préparatoires avaient pour finalité de réaliser une attaque par déni de service distribuée.&nbsp; Pour caractériser ce délit, la Chambre criminelle de la Cour de cass, mentionne que la Cour d’appel a retenu qu’il avait “ pleine conscience” de la finalité poursuivie&nbsp; tirée de ses propres propos ( il&nbsp; “reconnaissait finalement
    désapprouver”).

    Par conséquent, vouloir échapper à sa responsabilité pénale, en invoquant en appel,&nbsp; le statut d’hébergeur est quelque peu problématique. Car, si l’hébergeur voit sa responsabilité pénale atténuée, c’est en raison de l’absence d’intention de participer à la réalisation d’un délit. La responsabilité ne peut être recherchée qu’après avoir été informé et ne pas avoir agit (cf. 3° de l’art.6-1 de la LCEN : ne pas avoir “effectivement connaissance de l’activité ou de l’information illicites”. &nbsp;Des lors que l’hébergeur à connaissance du caractère illicite d’une information qu’il héberge, son absence d’action “pour retirer ces informations ou en rendre l’accès impossible” permet d’engager sa responsabilité pénale.&nbsp; Cette non action prouve l’intention de participer à l’un des faits matériels mentionnés au sein du code pénal.


  3. C’est pourquoi le pourvoi se borne à reprocher surtout l’absence de poursuite pour le fait principal (l’attaque en elle-même), en suivant le raisonnement pour la notion de la complicité (il ne pas pas y avoir de complicité, sans poursuite du fait principal). Mais, l’article 323-4 n’utilise pas les mots “complice” ou “complicité”.

    Et, surtout,&nbsp; la prise en compte des éléments préparatoires, qui&nbsp; en principe, ne sont pas des actes matériels permettant d’entrér en voie de condamnation. Par exemple, l’achat d’un fusil de chasse à canon rayé (arme de classe C), en vue de tuer son voisin (intention) n’est pas punissable&nbsp; sur le terrain de (la tentative) d’assassinat. Mais si l’achat ne fut pas déclaré, infraction de port d’arme prohibé est consommée (cf. délit de l’article L317-4-1 du code de la sécurité intérieure .
    &nbsp;
    Peut-être que l’élévation d’une QPC sur l’interprétation du sens qu’il convient de donner à la définition de l’élément matériel du délit d’entente&nbsp; aurait pu être possible ici&nbsp; (cf.“la participation […] en vue de la préparation, caractérisée par un ou plusieurs faits matériels d’une ou plusieurs “atteintes aux systèmes de traitement informatisé de données.

    Toutefois, l’entrée en voie de condamnation était possible sur le fondement de l’article 6-1, 3° de la LCEN, puisque à la lecture des faits rappelés par la Cour de cassation :&nbsp; ” [ le prévenu] n’ignorait rien de ce qui était ainsi mis au point sur le site de discussion qu’il hébergeait”.