Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

Coup de couteau dans le DDos

Avatar de l'auteur
Marc Rees

Publié dans

Droit

23/11/2017
27

Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

La Cour de cassation a finalement rejeté le pourvoi exercé par Triskel dans le cadre d’une attaque informatique visant des sites Internet d’EDF. L’éditeur d’une solution de « raccourcisseurs » d’URL utilisé par des « Anonymous » est définitivement condamné  pour participation à une entente en amont de ce DDoS. 

En 2011, une attaque par déni de service distribué visant des sites internet d’EDF, revendiquée par des « Anonymous », avait conduit à une perquisition musclée de la Direction centrale du renseignement intérieur au domicile de Triskel, de son vrai nom Pierrick Goujon.

Si les enquêteurs avaient retrouvé son identité, c’est tout simplement parce que la campagne « Greenrights » des Anonymous avait utilisé son service de raccourcisseurs irc.lc dans un tract virtuel.  

L’éditeur de cette solution en ligne a toujours clamé son innocence. Des arguments entendus devant le tribunal correctionnel de Paris, qui avait reconnu que ce service n’avait pour vocation que de « rendre plus accessibles les canaux de discussion IRC », non d’organiser une attaque DDoS. Il prononçait alors sa relaxe.

D'abord relaxé, puis condamné en appel

En appel, Triskel a répété n’être qu’un intermédiaire, non responsable de l’utilisation faite par les tiers de Irc.lc. La cour d’appel a eu une autre analyse, reprochant à l’intéressé d’avoir proposé son service de passerelle vers le canal IRC dédié à GreenRights. Elle l’a reconnu coupable du délit de participation à « une entente établie en vue de la préparation d'entrave au bon fonctionnement de systèmes de traitement automatisé de donnée », ici les sites d’EDF.

Il fut alors condamné à 2 mois de prison avec sursis et obligation de stage de citoyenneté. 

Un délit non caractérisé selon son avocat...

Devant la chambre criminelle de la Cour de cassation, les avocats de Triskel sont repartis au combat : un tel délit suppose avant tout « que soit caractérisée une résolution d'agir concertée et arrêtée entre deux ou plusieurs personnes », ce qui ferait défaut dans l’arrêt de la cour d’appel.

En outre, l'entente implique un objectif, la commission du délit d'entrave, qui ne serait pas davantage démontré. Enfin, les juges d’appel auraient jaugé à tort l’intention délictueuse du prévenu dans la préparation d’une telle entrave ou sa facilitation.

...mais une analyse contestée par la Cour de cassation

La Cour de cassation ne va pas partager ces reproches. Dans un arrêt du 7 novembre, elle a considéré que les juges du fond avaient bien caractérisé les différents éléments de l’infraction. D’un, l'adresse de son raccourcisseur d'url IRC.lc a été diffusée dans des documents d'"Anonymous", plus d'un an avant l’attaque. De deux, il a « mis à disposition » un webIRC « dont il est locataire et gestionnaire », qui a permis aux utilisateurs, même non férus d'informatique, « d'accéder à des sites de discussion, d'avoir connaissance des modalités concrètes d'opérations du mouvement "Anonymous" ».

De trois, Triskel a constaté qu’EDF était prise pour cible. De quatre, il n’ignorait pas que les attaques DDoS étaient un levier des Anonymous qui ont pu être réalisées via ces moyens techniques et informations. Autant d’éléments qui ont caractérisé le délit de participation, et ont permis aux juges de « déduire la pleine conscience (…) du caractère irrégulier de telles attaques ».

27

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

D'abord relaxé, puis condamné en appel

Un délit non caractérisé selon son avocat...

...mais une analyse contestée par la Cour de cassation

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (27)


Le 23/11/2017 à 09h 20

Cet article est parfait car il expose clairement les arguments de la justice pour rendre sa décision.

Ça apporte beaucoup de nuances aux propos du condamné et c’est trop souvent ce qu’il manque dans la presse « classique »…


micromy Abonné
Le 23/11/2017 à 09h 34

Si on lit bien l’arrêt, en particulier la motivation de la cours d’appel, on a quand même l’impression que ce n’est pas pour son statut de fournisseur de service (mais je ne savais pas ce qui se passait…) qu’il été condamné, mais plutôt pour avoir eu les informations que son service était utilisé par les anonymous pour un but délictuel précis et de n’avoir rien dit et rien fait alors qu’il en avait le pouvoir…

C’est pas une attaque DDoS sur edf.fr par des scripts-kiddies qui va faire péter les centrales nucléaires, mais bon les DDoS sont illégales, dura lex sed lex <img data-src=" />


linkin623 Abonné
Le 23/11/2017 à 09h 35

Certes c’est motivé, mais on voit aussi clairement que les juges de CC ne savent pas ce qu’est l’administration d’un service web.

Les arguments tiennent pour le monde physique, mais pas pour un simple service de raccourcisseur d’url qui se fout des objectifs de chacuns…


Le 23/11/2017 à 09h 41







linkin623 a écrit :



Certes c’est motivé, mais on voit aussi clairement que les juges de CC ne savent pas ce qu’est l’administration d’un service web.

Les arguments tiennent pour le monde physique, mais pas pour un simple service de raccourcisseur d’url qui se fout des objectifs de chacuns…







Relis bien l’article : […] De trois, Triskel a constaté qu’EDF était prise pour cible […]



Si une fois constaté l’attaque d’EDF ils n’ont rien fait pour l’imnterrompre, c’est normal qu’on leur reproche d’avoir participé… :)




Le 23/11/2017 à 09h 43

il n’empêche que c’est un peu comme la poste d’être responsable de la poudre qui pourrait y avoir dans une lettre (il ne vont pas fouiller avant laisser passer)


linkin623 Abonné
Le 23/11/2017 à 09h 46

Avoir connaissance de l’attaque ok. Mais a quel moment tu peux faire la relation entre l’attaque en cours et ton service de short link ? C’est là qu’il manque une explication…


Jarodd Abonné
Le 23/11/2017 à 10h 06

Donc si le service utilisé était t.co, c’est Twitter qui serait condamné pour délit de participation ? Si c’était huit.re, ça serait Framasoft ?



Et pendant ce temps, les Anonymous qui ont fait l’attaque, on leur a fait quoi ?


PtiDidi Abonné
Le 23/11/2017 à 10h 27







Jarodd a écrit :



Et pendant ce temps, les Anonymous qui ont fait l’attaque, on leur a fait quoi ?





On attend que Triskel donne des infos qui permettraient de les identifier j’imagine



Le 23/11/2017 à 10h 31

De ce que je comprends de la cour de cassation, il était au courant avant que l’attaque est lieu et s’est connecté sur le site pendant l’attaque pour voir les conséquences de celle ci.



&nbsp;Pour moi le problème est que les juges ont cherché à condamner en mettant comme preuves ces activités informatiques alors que ces activités étaient parfaitement légales.


PtiDidi Abonné
Le 23/11/2017 à 10h 37

Le compte-rendu semble dire qu’il était au courant avant les attaques que :




  • les “Anonymous” utilisaient le (D)DOS comme moyen de pression

  • les “Anonymous” utilisaient son service pour organiser leurs opérations

  • les “Anonymous” en avaient après EDF


PtiDidi Abonné
Le 23/11/2017 à 10h 40

Ces actes sont légaux mais la finalité ne l’est pas.

Quelqu’un qui héberge des terroristes est-il dans la légalité?


Jarodd Abonné
Le 23/11/2017 à 10h 44

D’après Jawad Bendaoud, oui <img data-src=" />


Le 23/11/2017 à 10h 48

La finalité n’est pas d’aider Anonymous à commettre des DDoS mettre de facilité l’échange de liens. Et Anonymous a utilisé son service.



Sinon on peut carrément condamner Google parce qu’on peut trouver des infos sur comment fabriquer une bombes, ou les fabricants de voitures quand on les utilise pour faire des voitures béliers


Le 23/11/2017 à 10h 55

c’est pas clair:



“Triskel a constaté qu’EDF était prise pour cible”



C’est a dire ?

Comment ça été constaté ?

avant l’attaque, après l’attaque ?



Bon en relisant le compte rendu du 7 Novembre, le compte rendu n’est pas clair:





  • Le mec a refusé l’avocat dès le début :/

  • Ses propos de fierté d’être dans le top on sait pas si c’est avant, sur le moment, ou après.

  • le fait qu’il ait été sur le site d’edf “pour voir” , il faut bien aller dessus pour voir l’impact.



    DU coup la retranscription de l’échange, sans avocat, même s’il signe, peut être interprété dans les 2 sens j’ai l’impression.



    Le billet qui semble litigeux:

    http://operationgreenrights.blogspot.fr/2011/06/rate-target-from-poll.html#comme…

    &nbsp;Le déroulé de l’interrogatoire ou il mentionne quand meme

    “les policiers de la DCRI qui m’ont interrogé semblent avoir bien pigé qu’ils ont fait une bourde sur ce coup la, ce chef d’accusation sans preuve quelconque a été maintenu par le juge d’instruction pour ma remise en liberté sous controle judiciaire” :

    http://infonie.org/DCRI.tourship.html


Seazor Abonné
Le 23/11/2017 à 11h 24

Au final, on lui tombe dessus pour “non-assistance à site en danger” , avec circonstance que le danger est passé par un de ses outils publics.



ou alors j’ai mal compris qqch ?


Le 23/11/2017 à 12h 18
PtiDidi Abonné
Le 23/11/2017 à 13h 03







Jarodd a écrit :



D’après Jawad Bendaoud, oui <img data-src=" />





<img data-src=" /> C’est fou, on a tous les memes références :)









Programmateur01 a écrit :



La finalité n’est pas d’aider Anonymous à commettre des DDoS mettre de facilité l’échange de liens. Et Anonymous a utilisé son service.





Mais il était au courant AVANT l’acte de la cible, de l’attaquant et de la manière. Et n’a rien fait pour empécher la chose.





Programmateur01 a écrit :



Sinon on peut carrément condamner Google parce qu’on peut trouver des infos sur comment fabriquer une bombes, ou les fabricants de voitures quand on les utilise pour faire des voitures béliers





Tu peux, mais je doute qu’ils reconnaissent avoir été au courant des futurs actes commis avec les services qu’il mettent à disposition



PtiDidi Abonné
Le 23/11/2017 à 13h 08

“Non assistance à OIV en danger” plutôt


PtiDidi Abonné
Le 23/11/2017 à 13h 11

Oui c’est pas très clair pour savoir s’il avait été au courant avant ou pas.



Un avocat, même s’il n’avait rien compris au système d’IRC/URL shortener aurait été plus clair sur les questions de droit.

Dommage pour lui d’avoir estimé ne pas en avoir besoin


Le 23/11/2017 à 14h 36







PtiDidi a écrit :



“Non assistance à OIV en danger” plutôt





Tu sous-entends que les centrales nucléaires sont pilotées par le back-office du site web, et que ledit back-office est sur la même (et unique) instance ?

<img data-src=" />



PtiDidi Abonné
Le 23/11/2017 à 15h 35

Tu es capable d’assurer qu’un DDOS sur le site edf.fr n’aura aucune incidence sur ce qui tourne ailleurs sur le SI de l’entreprise? Moi non



Tu peux être sûr qu’EDF a tout bien fait et teste son infra regulièrement, perso je ne leur accorde pas autant de confiance :)


fred42 Abonné
Le 23/11/2017 à 15h 44

En 2011, peut-être pas, même si je pense que ce devait être très étanche.



Mais maintenant, avec cet arrêté, ils ont des obligations assez fortes, entre autre une homologation qui comprend un audit et qui doit être renouvelée tous les 3 ans.


Le 23/11/2017 à 16h 22

Au temps pour moi, tu as raison d’insinuer : le site a manifestement été réalisé par une filiale de Publicis (Razorfish Paris) et il est auto-hébergé. Toues les doutes sont permis.



<img data-src=" />


PtiDidi Abonné
Le 23/11/2017 à 16h 36

Je ne cherche à dénigrer personne mais il peut toujours arriver des conneries.



Pour rappel, il y a un an, DynDNS se faisait DDOS et tous les gros sites US étaient innaccessibles..


Le 23/11/2017 à 18h 26

“obligation de stage de citoyenneté”



Tiens la France a adopté le code pénale de Corée du Nord ou d’Arabie Saoudite? <img data-src=" />


djengo Abonné
Le 23/11/2017 à 18h 37

Super la justice <img data-src=" />

<img data-src=" /> Triskel


Le 24/11/2017 à 11h 45

+1.



En droit pénal, l’infraction est réalisée (“consommée”, disent les juristes), lorsque&nbsp; est prouvé la&nbsp; présence simultanée de deux éléments : un ou des élément(s) matériel(s) et un élément moral (l’intention de réaliser un acte contraire au droit pénal).





  1. Elément(s) matériel(s) : les termes de l’article 323-4 du code pénal évoquent&nbsp; “la participation […] en vue de la préparation, caractérisée par un ou plusieurs faits matériels” du délit de l’article 323-2 du code pénal, d’entrave au fonctionnement d’un système de traitement automatisé de données (définition juridique des attaques DDoS).



    &nbsp;Par conséquent, l’élément matériel du délit d’entente est lui-même un acte matériel en vue de la préparation d’un autre délit. Par exemple, l’échange d’information préalable à la réalisation de l’attaque, la coordinations des actes, la répartition des rôles.

    &nbsp;

    Ici, la Chambre criminelle de la Cour de cassation, prend soin dénombrer les faits matériels préparatoires reprochés : diffusion de son minimiseur de liens un an auparavant, son statut de “half-op”, le connaissance que EDF était une cible potentielle.

    Pour les juges d’appel,&nbsp; son rôle fut de permettre de faciliter l’organisation&nbsp; de ces actes préparatoires et d’en assurer la publicité auprès du plus grand nombre.



  2. Elément moral : le prévenu avait connaissance que ces éléments matériels préparatoires avaient pour finalité de réaliser une attaque par déni de service distribuée.&nbsp; Pour caractériser ce délit, la Chambre criminelle de la Cour de cass, mentionne que la Cour d’appel a retenu qu’il avait “ pleine conscience” de la finalité poursuivie&nbsp; tirée de ses propres propos ( il&nbsp; “reconnaissait finalement

    désapprouver”).



    Par conséquent, vouloir échapper à sa responsabilité pénale, en invoquant en appel,&nbsp; le statut d’hébergeur est quelque peu problématique. Car, si l’hébergeur voit sa responsabilité pénale atténuée, c’est en raison de l’absence d’intention de participer à la réalisation d’un délit. La responsabilité ne peut être recherchée qu’après avoir été informé et ne pas avoir agit (cf. 3° de l’art.6-1 de la LCEN : ne pas avoir “effectivement connaissance de l’activité ou de l’information illicites”. &nbsp;Des lors que l’hébergeur à connaissance du caractère illicite d’une information qu’il héberge, son absence d’action “pour retirer ces informations ou en rendre l’accès impossible” permet d’engager sa responsabilité pénale.&nbsp; Cette non action prouve l’intention de participer à l’un des faits matériels mentionnés au sein du code pénal.



  3. C’est pourquoi le pourvoi se borne à reprocher surtout l’absence de poursuite pour le fait principal (l’attaque en elle-même), en suivant le raisonnement pour la notion de la complicité (il ne pas pas y avoir de complicité, sans poursuite du fait principal). Mais, l’article 323-4 n’utilise pas les mots “complice” ou “complicité”.



    Et, surtout,&nbsp; la prise en compte des éléments préparatoires, qui&nbsp; en principe, ne sont pas des actes matériels permettant d’entrér en voie de condamnation. Par exemple, l’achat d’un fusil de chasse à canon rayé (arme de classe C), en vue de tuer son voisin (intention) n’est pas punissable&nbsp; sur le terrain de (la tentative) d’assassinat. Mais si l’achat ne fut pas déclaré, infraction de port d’arme prohibé est consommée (cf. délit de l’article L317-4-1 du code de la sécurité intérieure .

    &nbsp;

    Peut-être que l’élévation d’une QPC sur l’interprétation du sens qu’il convient de donner à la définition de l’élément matériel du délit d’entente&nbsp; aurait pu être possible ici&nbsp; (cf.“la participation […] en vue de la préparation, caractérisée par un ou plusieurs faits matériels d’une ou plusieurs “atteintes aux systèmes de traitement informatisé de données.



    Toutefois, l’entrée en voie de condamnation était possible sur le fondement de l’article 6-1, 3° de la LCEN, puisque à la lecture des faits rappelés par la Cour de cassation :&nbsp; ” [ le prévenu] n’ignorait rien de ce qui était ainsi mis au point sur le site de discussion qu’il hébergeait”.