Zataz condamné après avoir filé un coup de main à une société

Un coup de main, un coup de poing 147
zataz Zataz aura mis les doigts un peu trop profondément dans une faille électrique : Damien Bancal, journaliste derrière ce site, a été condamné en référé après avoir tenté de donner un coup de main à une société au système visiblement problématique.

Fin septembre, un lecteur contacte notre confrère pour l’avertir d’un fait pour le moins piquant : un moteur de recherche de FTP basé en Russie, laisse entrevoir de curieux fichiers dans les serveurs d’une société française (Zataz a été contraint en référé à taire son nom).

Sauf que… « le moteur de recherche a aspiré le répertoire (...) d'un espace FTP en accès libre. Celui de la société en question ». Pour pousser un peu plus loin l’analyse, et vérifier les dires du lecteur, il répète la procédure et saisit deux ou trois mots clés très communs qui débouchent effectivement sur des données d’apparence exotique.

Des comptes bancaires, des docs administratifs...

En quelques instants, il n’aura pas été très compliqué de se rendre compte de la présence d'un lot d’informations et de répertoires sensibles qui n’auraient pas dû être aspirés par le moteur de recherche. « Il suffisait ensuite de cliquer sur les liens proposés par le moteur de recherche pour se retrouver dans des comptes bancaires, des documents administratifs, marketing, appartenant à cette société » explique Zataz qui jure n’avoir rien sauvegardé si ce n’est via la mémoire « cache de mon navigateur lors du clic de souris sur le lien donné par le moteur de recherche ».

La société est contactée et finit par le remercier du signalement. Comme souvent dans pareilles situations, Zataz rédige une actualité pour relater les faits (sans indiquer l’adresse du serveur…) et rappeler à la société ses impératifs de sécurisation imposés par la loi informatique et liberté. Une goutte d’eau et des propos qui auront la saveur de l’acide ?

Une demande de retrait d'article et un soupçon de piratage

Le 24 décembre, il reçoit une notification par huissier lui indiquant que la société avait intenté une procédure d’urgence (référé d’heure à heure) pour exiger le retrait du papier. Ce qu’il fait sur le champ. Mi-janvier, Damien est entendu par le juge du tribunal de grande instance de Paris. Les frais commencent alors à s’amonceler avec 6000 euros d’avocat, près de 700 euros de constats d’huissier, en sus des déplacements sur Paris… On parle maintenant de piratage (accès illicite) et la société assigne l’intéressé au fond devant le tribunal correctionnel (jugement en février prochain), pour diffamation.

Une procédure aidée d'une expertise

Dans les premiers temps de la procédure, une expertise est organisée. Selon les propos de Damien Bancal (l’expertise et le jugement ne sont pas encore disponibles), le rapport conclue en estimant que l'accès de Damien aux données référencées « était la résultante obligatoire d'un piratage ». Pour appuyer son analyse, l'expert signale «  l'apparition d'un étrange login "Anonymous" dans les logs de l'entreprise ».
 
« Pour l'expert de cette société, aucun doute, ce sont de mystérieux codes pirates. Pour avoir une explication de l'existence de ces « mystérieux codes », il aurait suffi de lire un article diffusé par l'université de Marseille traitant de ce Monsieur Anonymous « ANONYMOUS : pour permettre les accès publics sous le compte anonymous sans avoir a donner de mots de passe secret. (Dans ce cas, seule l'adresse de messagerie suffit comme mot de passe). » Dans les trois cas des logs de l'entreprise, le code USER et PASS sont générés automatiquement par les navigateurs Firefox ([email protected]) et Internet Explorer (IEUser@; [email protected]) lors d'une connexion autorisée ! »

Autre explication, les logs de la société montrent que le moteur de recherche FTP avait parcouru les données du serveur par deux fois en septembre, en laissant derrière l'ip et le nom du robot référenceur dénommé « Anonymous »...En clair, ces traces d'Anonymous ont tout simplement été générées automatiquement par le moteur ou à l'aide d'un simple navigateur...

La justice exige le retrait de l'article

Finalement, devant le TGI de Paris, Zataz est bien condamné en référé. La justice lui ordonne « de procéder à la suppression de toutes données ou fichiers en sa possession auxquels il a pu accéder sur le serveur de la société X ». En clair de tout gommer, tout effacer. Le juge lui fait en outre « interdiction de procéder à la publication ou la diffusion de tous contenus s’y rapportant », le tout sous astreinte de 400 euros par jour et infraction constatée. Damien Bancal est encore condamné à 1200 euros au pour le remboursement des frais de justice…

« Ce qui est "rassurant", dans cette ordonnance, explique Damien, un peu surpris de cette première après 18 ans d’activité presse, est le fait que le verdict (…) semble indiquer que les données étaient bien accessibles ! Mais ce n'est pas le problème. Mission avouée de l'entreprise, faire disparaître l'article »
Par Marc Rees Publiée le 29/01/2009 à 17:10
Publicité