Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La DCRI et le Parquet désavoués par la justice face à Bluetouff

Extra Net

La DCRI et le Parquet désavoués par la justice face à Bluetouff

Le 24 avril 2013 à 09h00

Info PC INpact : Rédacteur pour Reflets.info, Olivier Laurelli (alias « Bluetouff ») comparaissait hier devant la justice suite à la publication de documents numériques appartenant à une agence gouvernementale de santé. Accusé par le ministère public d’avoir obtenu ces informations de manière frauduleuse, il vient d’être relaxé par le tribunal correctionnel de Créteil.

anses  

Le 6 septembre 2012, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) déposait plainte auprès du commissariat de Maisons Alfort pour des faits « d’intrusion dans un système informatique et vol de données informatiques ». Trois jours plus tôt, l’institution s’était rendue compte qu’un document PowerPoint, réalisé par un de ses employés, figurait dans un article de nos confères de Reflets. Sauf que le fichier en question (relatif aux nano-substances) n’était pas censé sortir de derrière les murs de l’ANSES.

 

Après des investigations techniques, il s’est avéré qu’une faille de sécurité sur l’extranet de l’institution avait rendu ce fichier accessible sans identification préalable, de même que de nombreux autres documents. Au total, ce sont près de 8 Go de données qui étaient ainsi téléchargeables, sans aucune protection.

 

Un peu plus tard, les autorités ont découvert sur Reflets.info un second article contenant d’autres documents provenant du serveur extranet de l’ANSES. Signé par « Bluetouff », le papier en question comportait également un commentaire dans lequel l’auteur indiquait être en possession de 7,7 Go de documents traitant de santé publique.

Des fichiers en libre accès en raison d’une faille

Après avoir analysé les journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI (Direction Centrale du Renseignement Intérieur) a analysé les adresses IP à partir desquelles avaient été réalisés des téléchargements de fichiers les 27 et 28 août 2012. L’une d’entre elles renvoyait au Panama, et provenait en fait d’un serveur informatique hébergeant une solution VPN qui appartenait justement à une société dirigée par Olivier Laurelli, également connu sous le nom de Bluetouff.

 

S’en est suivie une perquisition ainsi qu’une garde à vue - prolongée une fois de 24 heures - au cours de laquelle l’intéressé a expliqué avoir pu accéder et télécharger ces données suite à une simple recherche Google, sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question. Il a également signalé aux enquêteurs que l’ANSES n’avait par la suite jamais pris contact avec lui afin de réclamer la suppression des données téléchargées.

 

reflets

 

Quoi qu’il en soit, suites aux poursuites engagées par le ministère public (et non pas par l’ANSES, qui ne s'est pas portée partie civile et n’est apparue au procès qu’en tant que témoin), Olivier Laurelli devait répondre hier de plusieurs chefs d’accusation devant la 11ème chambre du tribunal correctionnel de Créteil. On lui reprochait tout d’abord d’avoir « accédé frauduleusement à tout ou partie d’un système de traitement automatisé des données » appartenant à l’ANSES (son serveur extranet) et de s’y être maintenu, toujours frauduleusement. Il s’exposait ainsi à une peine de deux ans de prison et de 30 000 euros d’amende.

 

Ensuite, on l’accusait d’avoir soustrait de manière frauduleuse les fameux documents qui se trouvaient sur cet extranet, puis d’avoir enregistré ces données sur différents supports. Il risquait ainsi jusqu’à trois ans de prison et 45 000 euros d’amende pour le prétendu « vol » de ces données.

Une relaxe illustrant un « cinglant désaveu » des méthodes de la DCRI

Sauf que le tribunal a décidé de donner raison à Olivier Laurelli, qui a ainsi été relaxé. Les juges ont effectivement retenu ses arguments, selon lesquels il avait accédé à ces données sans aucun contournement des mesures de sécurité (défaillantes) de l’extranet de l’ANSES, et donc sans causer de dommage. En outre, il considérait avoir téléchargé ces informations accessibles à tous en toute bonne foi, sans en connaître leur caractère privé.

 

L’avocat d’Olivier Laurelli, Maître Olivier Iteanu, nous a fait part de sa « satisfaction » et de son « soulagement » suite à ce délibéré. Pour lui, le tribunal a infligé un « cinglant désaveu » à la DCRI et à ses méthodes sur ce dossier. Ce jugement arrive d’ailleurs dans un contexte bien particulier. Les services de renseignements ont en effet été récemment mis en cause à deux reprises : tout d’abord pour avoir convoqué et menacé un membre de l’association Wikimedia France afin d’obtenir d’urgence la suppression d’une fiche Wikipedia en français, mais aussi pour avoir convoqué mardi prochain deux journalistes du site OWNI, visiblement pour un document classé « confidentiel défense » sur les interceptions judiciaires, lequel fut publié en septembre dernier (pour en savoir plus, voir cet article de Rue 89).

Commentaires (76)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En même temps la DCRI ne fait que son boulot.



On leur donne des dossiers sensibles qui ont été divulgué… Ils font leur boulot et enquête pour savoir d’où provient la fuite. Rien de très anormal là dedans.



Le truc un peu litigieux c’est produit lors de leur compte rendu au parquet. Et encore, il n’y a pas eu de détention provisoire ou contrôle judiciaire mis en place.



Donc la DCRI n’a fait que son boulot d’enquête.



Et puis quand on entend rien ou que la DCRI réussit à faire son boulot à 100% c’est en général que leur travail silencieux est une réussite…

Encore heureux que le simple citoyen n’est pas au courant de tout, de leurs réussites comme de leurs échecs…

votre avatar



S’en est suivie une perquisition ainsi qu’une garde à vue - prolongée une fois de 24 heures - au cours de laquelle l’intéressé a expliqué avoir pu accéder et télécharger ces données suite à une simple recherche Google,



heu… faut 20s pour expliquer ça , pourquoi garder un type 48h ?

votre avatar







lorksoft a écrit :



Quel vocabulaire respectueux pour ceux qui te fournissent ta nourriture …

Ton job est plus vital que le leur pour t’estimer supérieur a eux ?





Quand on voit leurs prouesses récentes, même un pigeon écrasé se sentirait supérieur aux attardés de la DCRI.


votre avatar

bien joué <img data-src=" /> et vive Bluetouff et Reflets <img data-src=" />

votre avatar







alex13 a écrit :



heu… faut 20s pour expliquer ça , pourquoi garder un type 48h ?





Parce que c’est un dangereux homosexuel terroriste.


votre avatar

A noter que la solution de VPN utilisée pour être anonyme sur le net n’a servi à rien vu qu’il a été retrouvé sans problème il semblerait.



J’en déduis que soit c’est le fournisseur de service qui l’a balancé, soit c’est lui même qui s’est dénoncé, mais ça pourrait être intéressant de savoir.

votre avatar







lorksoft a écrit :



Quel vocabulaire respectueux pour ceux qui te fournissent ta nourriture …







Ils font dans l’agricole maintenant les barbouzes ? <img data-src=" />


votre avatar







MasterDav a écrit :



Quand on voit leurs prouesses récentes, même un pigeon écrasé se sentirait supérieur aux attardés de la DCRI.





Le point fort de la DCRI c’est justement que tu ne vois pas leur prouesses récentes. Il y a deux trois points discutables dont on parle. Mais combien de points ne seront jamais discutés et auront pourtant été utiles à la France et par extension à tous les Français ? Qui plus est le jugement en question est, je trouve tout à fait normal, mais ça n’empêche pas que la DCRI était dans son bon droit d’exiger que la justice vérifie si l’intrusion avait été faite de manière frauduleuse ou pas.



Je trouve ça un peu injurieux d’insulter toute la DCRI pour un mec qui a mal fait son boulot. Enfin vous faites ce que vous voulez mais moi ça me ferait chier qu’on dise que toute ma boite est naze (et donc moi avec) parce que mon collègue a fait preuve d’incompétence.


votre avatar







Zod a écrit :



A noter que la solution de VPN utilisée pour être anonyme sur le net n’a servi à rien vu qu’il a été retrouvé sans problème il semblerait.



J’en déduis que soit c’est le fournisseur de service qui l’a balancé, soit c’est lui même qui s’est dénoncé, mais ça pourrait être intéressant de savoir.







Le VPN était enregistré à son nom…



VPN ne signifie pas forcément anonymat !



Tout comme P2P ne signifie pas forcément Piratage.



Il a utilisé son serveur au Panama pour rapatrier les documents là où ils ne pourraient pas être saisies ou utilise couramment un Tunnel avec ce serveur pour son surf et éviter certaines limitation de QoS (Free…)


votre avatar







Zod a écrit :



A noter que la solution de VPN utilisée pour être anonyme sur le net n’a servi à rien vu qu’il a été retrouvé sans problème il semblerait.



J’en déduis que soit c’est le fournisseur de service qui l’a balancé, soit c’est lui même qui s’est dénoncé, mais ça pourrait être intéressant de savoir.





Ou alors il était pas VPN réellement (je voit mal un fournisseur étranger fournir quoique ce soit à la DCRI, surtout vu le dossier mdr


votre avatar

Comme quoi, même en gonflant ses petits muscles pour faire “gros bras kifaitpeur” quand on est pris le slip sur les chevilles on est TOUJOURS RIDICULE.



Salutation et Bisous touff (Master Calque).

votre avatar







MasterDav a écrit :



Quand on voit leurs prouesses récentes, même un pigeon écrasé se sentirait supérieur aux attardés de la DCRI.





Heu non : relis mon message au complet …..

dire “XXXX ce sont vraiment des bouseux” (remplace XXXX par ce que tu veux) c’est un langage irrespectueux pour les paysans et sous entends qu’on se sent largement supérieur à eux.

pour rappelle :



Bouseux: Sens : Paysan [Péjoratif].


votre avatar







Drepanocytose a écrit :



DCRI : Direction Centrale des Rigolos en Informatique.





Hé oui. C’est tout de suite plus compliqué quand Mr Toutlemonde est plus compétent en info. Le méthodes de barbouzes ne fonctionnent plus.


votre avatar







MasterDav a écrit :



Quand on voit leurs prouesses récentes, même un pigeon écrasé se sentirait supérieur aux attardés de la DCRI.





Tiens une autre petite prouesse de la DCRI, ils veulent justifier leur taf en ce moment j’ai l’impression





Le 13 septembre dernier, deux journalistes du site Owni – aujourd’hui disparu – publiaient un article très fouillé sur une nouvelle plateforme prévue en France, pour centraliser les écoutes téléphoniques, surveiller Internet…



Mardi prochain, les deux auteurs, Pierre Alonso et Andrea Fradin, sont convoqués comme « témoins » à la Direction centrale du renseignement intérieur (DCRI), à Levallois-Perret dans la région parisienne, pour une affaire « les concernant », comme on dit dans le jargon policier.



La convocation intervient dans le cadre d’une « enquête préliminaire », « à la demande du parquet », et prévient les destinataires qu’un refus d’y répondre pourrait déclencher l’article 68 du code de procédure pénale, et donc une comparution contrainte.



Ce qui, visiblement, vaut cette enquête à nos jeunes confrère et consœur, est la mise en ligne, sous forme d’un PDF téléchargeable, d’un document classé « confidentiel défense » contenant tous les détails techniques de cette plateforme nationale des interceptions judiciaires (PNIJ).

Rue89



votre avatar

Si il suffit d’une recherche google pour y accéder… <img data-src=" />

votre avatar







ErGo_404 a écrit :



Je trouve ça un peu injurieux d’insulter toute la DCRI pour un mec qui a mal fait son boulot.







Tu parles de quel mec ;)

Parcequ’a la DCRI, ils ont l’air d’etre tous plus con les uns que les autres.



Tu parles de l’equipe chargé de l’affaire Merah ??

Tu parles du mec qui utilise la violence pour faire supprimer des pages internet (affaire wikipedia) ??

Tu parle du mec qui accuse quelqu’un de faire du hack alors qu’il s’agit d’un bete transfert http ou ftp sans identifiant ??



Du parle duquel alors ? parceque j’ai pas l’impression qu’il y en ai un pour relever l’autre dans cette officine.



Sinon on a aussi la dgse pour nous proteger <img data-src=" />

http://www.francetvinfo.fr/les-voleurs-molestes-par-des-villageois-bulgares-etaient-ils-des-espions-francais_164203.html


votre avatar







tschaggatta a écrit :



Tiens une autre petite prouesse de la DCRI, ils veulent justifier leur taf en ce moment j’ai l’impression





Oui enfin dans ce cas ce n’est pas une faute de la DCRI. Si les journalistes publient un document clairement indique comme confidentiel.


votre avatar







Alianirah a écrit :



Encore heureux que le simple citoyen n’est pas au courant de tout, de leurs réussites comme de leurs échecs…





Si la DCRI a pour objectif d’avoir une réputation de merde, oui c’est heureux.


votre avatar







gwal a écrit :



Sinon on a aussi la dgse pour nous proteger <img data-src=" />

Lien corrigé





<img data-src=" />


votre avatar







gwal a écrit :



Tu parles de quel mec ;)

Parcequ’a la DCRI, ils ont l’air d’etre tous plus con les uns que les autres.



Tu parles de l’equipe chargé de l’affaire Merah ??

Tu parles du mec qui utilise la violence pour faire supprimer des pages internet (affaire wikipedia) ??

Tu parle du mec qui accuse quelqu’un de faire du hack alors qu’il s’agit d’un bete transfert http ou ftp sans identifiant ??



Du parle duquel alors ? parceque j’ai pas l’impression qu’il y en ai un pour relever l’autre dans cette officine.



Sinon on a aussi la dgse pour nous proteger <img data-src=" />

http://www.francetvinfo.fr/les-voleurs-molestes-par-des-villageois-bulgares-etaient-ils-des-espions-francais_164203.html





Le soucis est qu’on parle des échecs, rarement des réussites= )


votre avatar







Zod a écrit :



A noter que la solution de VPN utilisée pour être anonyme sur le net n’a servi à rien vu qu’il a été retrouvé sans problème il semblerait.



J’en déduis que soit c’est le fournisseur de service qui l’a balancé, soit c’est lui même qui s’est dénoncé, mais ça pourrait être intéressant de savoir.





Déjà certainement grillé, mais enregistrer un VPN à son vrai nom dans le but d’être anonyme…<img data-src=" />


votre avatar







ErGo_404 a écrit :



Le point fort de la DCRI c’est justement que tu ne vois pas leur prouesses récentes.





La DCRI on ne devrait pas en entendre parler, leur job c’est de le faire en toute discrétion.

Les bad buzz à répétition récemment, c’est du foirage de compète.







lorksoft a écrit :



Heu non : relis mon message au complet …..





Ah oui pardon, j’avais pas vu ce sens là.

A vrai dire je ne comprenais pas trop pourquoi la DCRI nous “nourrissait” <img data-src=" />







tschaggatta a écrit :



Tiens une autre petite prouesse de la DCRI, ils veulent justifier leur taf en ce moment j’ai l’impression





Oui j’avais lu un truc là dessus aussi.

Le souci c’est que les chiens qui aboient ne sont pas ceux qui mordent.

Et plus ça va, plus la DCRI agit comme les CRS: on fait du bruit, on tape, et on ramasse les pots cassés. Vraiment à chier pour du “renseignement”.

Quelqu’un chez eux a dû oublier de se “renseigner” sur les NTI.


votre avatar







MasterDav a écrit :



Ah oui pardon, j’avais pas vu ce sens là.

A vrai dire je ne comprenais pas trop pourquoi la DCRI nous “nourrissait” <img data-src=" />





Il faut dire : des culs-terreux

<img data-src=" />


votre avatar







Winderly a écrit :



Si il suffit d’une recherche google pour y accéder… <img data-src=" />







C’est clair qu’il y en a chez l’ANSES qui vont avoir des problèmes… <img data-src=" />


votre avatar







seb2411 a écrit :



Oui enfin dans ce cas ce n’est pas une faute de la DCRI. Si les journalistes publient un document clairement indique comme confidentiel.





Oulala des journalistes publient un doc confidentiel et les gardes-chiourmes se lèvent, ils doivent bien se marrer avec le Canard. Invoquer la raison d’Etat, qui est toujours une mauvaise raison, mais c’est vrai j’avais oublié terro-pedo-violeurdebbphoque…


votre avatar

votre avatar







tschaggatta a écrit :



Oulala des journalistes publient un doc confidentiel et les gardes-chiourmes se lèvent, ils doivent bien se marrer avec le Canard. Invoquer la raison d’Etat, qui est toujours une mauvaise raison, mais c’est vrai j’avais oublié terro-pedo-violeurdebbphoque…





Puis si je me trompe pas c’était dispo sans soucis, donc on peux considéré que c’est pas “confidentiel défense” =)


votre avatar







Winderly a écrit :



Si il suffit d’une recherche google pour y accéder… <img data-src=" />





En effet je pense que le coupable dans cet affaire c’est l’ANSES :




  • incapable de protéger ses documents internes,

  • dissimule des informations publiques.

    Depuis l’affaire du Mediator on sait très bien qu’on ne peut pas faire confiance à ces gens là et qu’ils ne seront jamais inquiétés.


votre avatar

Une remarque : Le sieur Bluetouffe a eu bien tort de parler au agents même pour leur donner l’heure. En garde à vue les recommandations de tous les avocats (payés ou commis d’office) sont de ne pas piper mot sans les conseils de son avocat.



La menace de type”si tu parles pas on te gardera 48h au lieu de 24” est du vent, de toute façon ce point est déjà décidé avant même d’avoir été évoqué.



Je vous recommande à ce sujet la lecture du blog de Maître Eolas.

votre avatar

oula, La DCRI nous prepare encore un nouveau gag !!!



J’ai hate de connaitre la chute.




Vais pas arriver un mettre un lien… je doit aussi etre un peu bouseux :)

votre avatar







tAran a écrit :



quand ce sont des entreprises qui sont pas foutues de sécuriser leurs serveurs







A combien se monte l’amende Hadopi pour défaut de sécurisation dans ce cas ?



Parce que le particulier (qui n’y connait rien en informatique) doit sécuriser son accès avec des outils (dont on attend toujours la liste), sinon c’est 1500€.



Et l’entreprise fautive (donc des pros) ? rien ?



Dans ce cas je me déclare autoentrepreneur et je déclare ma ligne comme outil pro.


votre avatar







MasterDav a écrit :



La DCRI on ne devrait pas en entendre parler, leur job c’est de le faire en toute discrétion.

Les bad buzz à répétition récemment, c’est du foirage de compète.





Là je suis d’accord. Mais leur rôle est de protéger nos infos confidentielles. S’ils pensent avoir été victimes de vol, ils portent plainte. La justice ne leur donne pas raison, l’affaire s’arrête là.

Moi ce que je retiens c’est qu’ils n’ont pas usé de méthodes de voyous, ils ont utilisé la justice, qui a tranché. On aurait pu s’attendre à pire. N’oublions pas qu’il s’agit d’infos confidentielles, pas évident pour eux de savoir

1- comment ces infos ont été récupérées

2- dans quel bug et comment elles ont été utilisées.



votre avatar







Commentaire_supprime a écrit :



J’ai vu que le client owncloud était enfin dispo en tux, je vais faire la démarche.



Si on peut lire un fichier vidéo en déporté avec ma tablette grâce à cette application, je jarte les partages smb de ce pas.





Le client owncloud sous Linux a été le premier a être fait (owncloud vient de KDE à la base).



Par contre tu ne peux lire des vidéos en déporter avec owncloud (du moins pas de base il y a peut être un plugin). Cela ressemble plus

à un dropbox.


votre avatar







alex13 a écrit :



heu… faut 20s pour expliquer ça , pourquoi garder un type 48h ?







La GAV est un mécanisme extraordinaire qui permet aux OPJ d’être dans une situation de force.

La plupart des citoyens, de bonne foi mais inexpérimentés dans le domaine, vont vouloir causer alors que rien ne les y oblige, et là c’est le drame : entre mémoire défaillante, stress et raz le bol (parce que les auditions ça peut être bien bien lourd) le gardé à vue va dire des conneries, se contredire. Et la contradiction des les propos fait franchement tâche.

Donc la GAV c’est génial pour remplir le dossier.


votre avatar







millman42 a écrit :



Le client owncloud sous Linux a été le premier a être fait (owncloud vient de KDE à la base).



Par contre tu ne peux lire des vidéos en déporter avec owncloud (du moins pas de base il y a peut être un plugin). Cela ressemble plus

à un dropbox.







Bon à savoir, mais cela n’enlève rien à l’utilité du zinzin.



Je tenterai l’install sur mon DS412+, ça me sera toujours utile. A suivre !


votre avatar







nucl3arsnake a écrit :



Autant coopérer si tu sais que tu n’as rien fait de mal, pourquoi jouer les gros dur à part faire chier le monde? xD



Si je ne m’abuse, suffit d’avoir un avocat qui connais l’informatique et tu paie rien =)







C’est là ou tu te trompe. Tu te tais surtout si tu n’as rien fait de mal, car l’enquête est uniquement à charge. En garde à vue tout ce que tu diras pourra être retenu contre toi, et ton avocat n’a pas accès au dossier (ou imparfaitement).

Bref l’enquête à charge ou décharge ne commencera réellement qu’après la garde à vue.



Or c’est à l’accusation de prouver que tu es coupable, pas à toi de prouver que tu es innocent.

Le danger n’est pas 1984 d’Orwell, mais Le Procès de Kafka.


votre avatar







Unknown_Enemy a écrit :



C’est là ou tu te trompe. Tu te tais surtout si tu n’as rien fait de mal, car l’enquête est uniquement à charge. En garde à vue tout ce que tu diras pourra être retenu contre toi, et ton avocat n’a pas accès au dossier (ou imparfaitement).

Bref l’enquête à charge ou décharge ne commencera réellement qu’après la garde à vue.



Or c’est à l’accusation de prouver que tu es coupable, pas à toi de prouver que tu es innocent.

Le danger n’est pas 1984 d’Orwell, mais Le Procès de Kafka.





Ouais enfin “j’ai pris le lien google et y’avais pas de mot de passe” je voit pas en quoi ca te désert…


votre avatar







Unknown_Enemy a écrit :



C’est là ou tu te trompe. Tu te tais surtout si tu n’as rien fait de mal, car l’enquête est uniquement à charge. En garde à vue tout ce que tu diras pourra être retenu contre toi, et ton avocat n’a pas accès au dossier (ou imparfaitement).

Bref l’enquête à charge ou décharge ne commencera réellement qu’après la garde à vue.





Tu n’aurais pas une forte inspiration américaine ? <img data-src=" />


votre avatar







lateo a écrit :



La GAV est un mécanisme extraordinaire qui permet aux OPJ d’être dans une situation de force.

La plupart des citoyens, de bonne foi mais inexpérimentés dans le domaine, vont vouloir causer alors que rien ne les y oblige, et là c’est le drame : entre mémoire défaillante, stress et raz le bol (parce que les auditions ça peut être bien bien lourd) le gardé à vue va dire des conneries, se contredire. Et la contradiction des les propos fait franchement tâche.

Donc la GAV c’est génial pour remplir le dossier.





ok, en fait c’est pour culpabiliser un innocent

ça me rappelle un dicton/phrase de Richelieu “donner moi 6 ligne de la main d’un innocent et je trouverais avec quoi le pendre”

c’est pas la parole exacte mais le cœur y est comme on dit


votre avatar







alex13 a écrit :



ok, en fait c’est pour culpabiliser un innocent







pour faire bonne mesure et être moins à charge que mon précédent post, je dirais plutôt que c’est pour confondre un suspect.

le hic étant qu’un suspect n’est pas nécessairement un coupable. mais par définition il y a plus de suspects que de coupables, et par extension (inexacte certes) il y a plus d’innocents que de coupables.


votre avatar

J’ai un peu peur des capacités de la DCRI, je trouve que l’ont entend trop parlé d’eux en se moment et pas que en bien malheureusement.



Au lieu de chassé des sorcieres ils serais bien que l’ont revoie leur priorité et objetif principale.

votre avatar

Génial les méthodes : on tape d’abord … on discute après ! <img data-src=" />



Remarquez, maintenant que c’est sur la place public, ils passent encore plus pour des guignols ! <img data-src=" />

(Ils n’auraient rien dit et fait les choses plus discrètement, il y aurait eu moins de publicité … <img data-src=" /> )

votre avatar

Je trouve le rendu de justice juste pour une fois <img data-src=" />

votre avatar







tAran a écrit :



Encore heureux ! <img data-src=" />



Et pour rappel, quand ce sont des entreprises qui sont pas foutues de sécuriser leurs serveurs, elles ont obligations de prévenir leurs clients en cas de fuite de données…



Maintenant, combien réellement préviennent ?





Peu, très peu je peux te l’assurer =) . Le “on a prévenu les gens par mails” qu’on peux lire me parait génial pour ça ^^


votre avatar

A croire que notre DCRI est pleine de Hubert Bonisseur de la Bath

“Hubert : À l’occasion, je vous mettrai un petit coup de polish !”

votre avatar







nucl3arsnake a écrit :



Peu, très peu je peux te l’assurer =) . Le “on a prévenu les gens par mails” qu’on peux lire me parait génial pour ça ^^





Au boulot c’est fou le nombre de mail “Dérangeant” pour le destinataire qui n’arrivent pas a destination ! <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

Le pire c’est que bluetouff prenait la défense, dans une certaine mesure, de la DCRI sur l’affaire Wikimédia sur son blog, notamment dans cet article où il explique que “la DCRI n’a pas joué les cowboys”. Il à peut-être changé d’avis à ce sujet <img data-src=" />

votre avatar







nucl3arsnake a écrit :



Peu, très peu je peux te l’assurer =) . Le “on a prévenu les gens par mails” qu’on peux lire me parait génial pour ça ^^





C’est tout à fait ça. Les plus réglos sont quand même les banques qui mettent des messages sur leur page d’accueil (enfin.. au moins les miennes <img data-src=" /> )


votre avatar







Vilainkrauko a écrit :



Au boulot c’est fou le nombre de mail “Dérangeant” pour le destinataire qui n’arrivent pas a destination ! <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





En même temsp l’informatique c’est que des 1 et 0







tAran a écrit :



C’est tout à fait ça. Les plus réglos sont quand même les banques qui mettent des messages sur leur page d’accueil (enfin.. au moins les miennes <img data-src=" /> )





Idem, mais personne ne lis leur message xD


votre avatar

La DCRI, c’est vraiment des bouseux.

Ridicule 1 jour (affaire Merah), ridicule toujours.



En tout cas, les terroristes et autres ont de beaux jours chez nous avec des guignols pareil.

votre avatar

Ils font un peu trop parler d’eux en ce moment ceux là <img data-src=" />

votre avatar

Punaise, si à la DCRI ‘ils sont aussi compétents en matière de lutte antiterrorisme, il ne doit pas y avoir tant de timbrés que ça prêts à se faire sauter dans un lieu public, sans quoi ça pèterait un peu partout…

votre avatar



le tribunal a décidé de donner raison à Olivier Laurelli, qui a ainsi été relaxé. Les juges ont effectivement retenu ses arguments, selon lesquels il avait accédé à ces données sans aucun contournement des mesures de sécurité (défaillantes) de l’extranet de l’ANSES, et donc sans causer de dommage.





Ils sont gentils, à la place de mesures défaillantes, j’aurais plutôt mis mesures INEXISTANTES !



L’admin qui n’a pas supprimé le compte anonyme des partages SMB ou du serveur FTP, même là où je travaille, personne n’oserait se permettre ce genre d’ineptie…





En outre, il considérait avoir téléchargé ces informations accessibles à tous en toute bonne foi, sans en connaître leur caractère privé.





Du moment que les documents sont accessibles au grand public sans la moindre restriction, c’est qu’ils n’ont pas de caractère privé. Ou que celui qui a fait la manip de mise en ligne est une tanche absolue…

votre avatar

Et encore une fois :



Quoi qu’il en soit, suites aux poursuites engagées par le ministère public (et non pas par l’ANSES, qui ne s’est pas portée partie civile et n’est apparue au procès qu’en tant que témoin),



En gros comme pour les affaires précédentes, les premiers concernés n’ont rien fait, mais la DCRI s’est empare du dossier pour faire n’importe quoi…

votre avatar







gwal a écrit :



La DCRI, c’est vraiment des bouseux.





Quel vocabulaire respectueux pour ceux qui te fournissent ta nourriture …

Ton job est plus vital que le leur pour t’estimer supérieur a eux ?


votre avatar

Pour le système des écoutes le canard en avait parlé aussi.

votre avatar







seb2411 a écrit :



Et encore une fois :



En gros comme pour les affaires précédentes, les premiers concernés n’ont rien fait, mais la DCRI s’est empare du dossier pour faire n’importe quoi…





Ils doivent vouloir justifier les fonds alloués (la hiérarchie doit demander des résultats …), pour essayer d’en demander plus ….. et se plantent (ridiculisent ?) en beauté !


votre avatar

DCRI : Direction Centrale des Rigolos en Informatique.

votre avatar

Encore heureux que ce résultat soit correct !



A partir du moment où c’est le serveur qui est mal configuré, l’intrusion n’est donc pas frauduleuse …

Logique implacable.



Bravo la justice, sur ce coup là <img data-src=" />

votre avatar



Les juges ont effectivement retenu ses arguments, selon lesquels il avait accédé à ces données sans aucun contournement des mesures de sécurité (défaillantes) de l’extranet de l’ANSES, et donc sans causer de dommage.





Encore heureux ! <img data-src=" />



Et pour rappel, quand ce sont des entreprises qui sont pas foutues de sécuriser leurs serveurs, elles ont obligations de prévenir leurs clients en cas de fuite de données…



Maintenant, combien réellement préviennent ?

votre avatar







gwal a écrit :



html][/url]



Vais pas arriver un mettre un lien… je doit aussi etre un peu bouseux :)





Entre les 2 crochets en gras tu peux donner un nom à ton lien







picatrix a écrit :



A combien se monte l’amende Hadopi pour défaut de sécurisation dans ce cas ?



Parce que le particulier (qui n’y connait rien en informatique) doit sécuriser son accès avec des outils (dont on attend toujours la liste), sinon c’est 1500€.



Et l’entreprise fautive (donc des pros) ? rien ?



Dans ce cas je me déclare autoentrepreneur et je déclare ma ligne comme outil pro.







  • 1


votre avatar

Si les actions de la DCRI sont jugées déjà “dés-avouables” sur des sujets “simples”, alors qu’en est il sur des sujets extrêmement sensibles comme le terrorisme ?

votre avatar







picatrix a écrit :



A combien se monte l’amende Hadopi pour défaut de sécurisation dans ce cas ?



Parce que le particulier (qui n’y connait rien en informatique) doit sécuriser son accès avec des outils (dont on attend toujours la liste), sinon c’est 1500€.



Et l’entreprise fautive (donc des pros) ? rien ?



Dans ce cas je me déclare autoentrepreneur et je déclare ma ligne comme outil pro.





Sauf que tu ne laisses pas à l’air libre des données personnelles de tes clients <img data-src=" />



Si c’était le cas, tu risquerais 300 000€ d’amende et 5 ans de prison selon l’article 226-17 du Code Pénal <img data-src=" />


votre avatar







nucl3arsnake a écrit :



Puis si je me trompe pas c’était dispo sans soucis, donc on peux considéré que c’est pas “confidentiel défense” =)







+1.



Sinon, je pourrais coller un tampon “confidentiel défense” sur le PQ des chiottes de l’administration où je travaille afin d’envoyer en taule facilement tous les utilisateurs de ce consommable…



Là, c’était dispo au public. La faute appartient à celui qui n’a pas réglé les droits d’accès (comprenez : supprimer le compte “anonyme” du partage SMB…)


votre avatar







Unknown_Enemy a écrit :



Une remarque : Le sieur Bluetouffe a eu bien tort de parler au agents même pour leur donner l’heure. En garde à vue les recommandations de tous les avocats (payés ou commis d’office) sont de ne pas piper mot sans les conseils de son avocat.





Autant coopérer si tu sais que tu n’as rien fait de mal, pourquoi jouer les gros dur à part faire chier le monde? xD





picatrix a écrit :



A combien se monte l’amende Hadopi pour défaut de sécurisation dans ce cas ?



Parce que le particulier (qui n’y connait rien en informatique) doit sécuriser son accès avec des outils (dont on attend toujours la liste), sinon c’est 1500€.



Et l’entreprise fautive (donc des pros) ? rien ?



Dans ce cas je me déclare autoentrepreneur et je déclare ma ligne comme outil pro.





Si je ne m’abuse, suffit d’avoir un avocat qui connais l’informatique et tu paie rien =)


votre avatar







Commentaire_supprime a écrit :



Là, c’était dispo au public. La faute appartient à celui qui n’a pas réglé les droits d’accès (comprenez : supprimer le compte “anonyme” du partage SMB…)





Je voit bien l’admin “anonyme … connais pas, dans le doute je laisse” <img data-src=" />


votre avatar







nucl3arsnake a écrit :



Je voit bien l’admin “anonyme … connais pas, dans le doute je laisse” <img data-src=" />







J’en parle en connaissance de cause car j’ai fait la connerie sur mon NAS de ne pas vérifier s’il y avait ce type de compte quand j’ai activé le partage SMB parce que le NFS ne montait pas sur mes tablettes… <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



J’ai eu un rigolo ou deux qui ont visité mon dossier public (qui ne contenait pas de données critiques, fort heureusement) puis j’ai dégagé le compte anonyme et bloqué les ports en entrée des partages SMB sur ma box, problème réglé.


votre avatar







nucl3arsnake a écrit :



Je voit bien l’admin “anonyme … connais pas, dans le doute je laisse” <img data-src=" />







C’est une intrusion des anonymous <img data-src=" />


votre avatar







Commentaire_supprime a écrit :



J’en parle en connaissance de cause car j’ai fait la connerie sur mon NAS de ne pas vérifier s’il y avait ce type de compte quand j’ai activé le partage SMB parce que le NFS ne montait pas sur mes tablettes… <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



J’ai eu un rigolo ou deux qui ont visité mon dossier public (qui ne contenait pas de données critiques, fort heureusement) puis j’ai dégagé le compte anonyme et bloqué les ports en entrée des partages SMB sur ma box, problème réglé.







Fait comme moi, supprime tout le monde et recréer ton utilisateur <img data-src=" />


votre avatar







Groumfy a écrit :



C’est une intrusion des anonymous <img data-src=" />





<img data-src=" />


votre avatar







nucl3arsnake a écrit :



Fait comme moi, supprime tout le monde et recréer ton utilisateur <img data-src=" />







Fait. Il n’y a qu’Admin comme utilisateur sur mes NAS, et je vire, ou refuse de créer, des comptes anonymes pour le SMB, le FTP et le WebDAV.



Merci à Synology et ses journaux qui m’ont permis de voir où se situait le problème et de le corriger.


votre avatar







Commentaire_supprime a écrit :



Fait. Il n’y a qu’Admin comme utilisateur sur mes NAS, et je vire, ou refuse de créer, des comptes anonymes pour le SMB, le FTP et le WebDAV.



Merci à Synology et ses journaux qui m’ont permis de voir où se situait le problème et de le corriger.





Si tu a un Syno, met un OwnCloud <img data-src=" />


votre avatar







nucl3arsnake a écrit :



Si tu a un Syno, met un OwnCloud <img data-src=" />







J’ai vu que le client owncloud était enfin dispo en tux, je vais faire la démarche.



Si on peut lire un fichier vidéo en déporté avec ma tablette grâce à cette application, je jarte les partages smb de ce pas.


votre avatar







Commentaire_supprime a écrit :



J’ai vu que le client owncloud était enfin dispo en tux, je vais faire la démarche.



Si on peut lire un fichier vidéo en déporté avec ma tablette grâce à cette application, je jarte les partages smb de ce pas.





Normalement oui, fait juste bien tes mise à jour de OwnCloud. <img data-src=" />


votre avatar







Drepanocytose a écrit :



DCRI : Direction Centrale des Rigolos en Informatique.





AH AH… <img data-src=" /> <img data-src=" />


votre avatar







ErGo_404 a écrit :



Là je suis d’accord. Mais leur rôle est de protéger nos infos confidentielles. S’ils pensent avoir été victimes de vol, ils portent plainte. La justice ne leur donne pas raison, l’affaire s’arrête là.

Moi ce que je retiens c’est qu’ils n’ont pas usé de méthodes de voyous, ils ont utilisé la justice, qui a tranché. On aurait pu s’attendre à pire. N’oublions pas qu’il s’agit d’infos confidentielles, pas évident pour eux de savoir

1- comment ces infos ont été récupérées

2- dans quel bug et comment elles ont été utilisées.





S’toi qui bug sur ce coup <img data-src=" />


La DCRI et le Parquet désavoués par la justice face à Bluetouff

  • Des fichiers en libre accès en raison d’une faille

Fermer