Nous avons pu nous procurer l’intégralité de l’arrêt de la cour d'appel de Paris dans l’affaire Bluetouff dans laquelle il a décidé de se pourvoir en Cassation. Nous le mettons en ligne. Une analyse plus détaillée suivra.
Affaire Bluetouff : télécharger l’arrêt de la cour d’appel de Paris
Ce n'est qu'un début
David Legrand
07/02/2014
1 minute
Publié dans
Écrit par David Legrand
Tiens, en parlant de ça :
EUCS : la certification cloud européenne sous le feu des critiques en France
Chiens de faïence
17:02
3
L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne
Irréductible gaulois, #oupas
14:00
0
Le « payer ou accepter » de Meta incompatible avec le RGPD pour le CEPD
Schrems vs Meta, une histoire sans fin
11:51
25
Sommaire de l'article
Introduction
Partez acheter vos croissants Et faites chauffer votre bouilloire, Le brief arrive dans un instant, Tout frais du matin, gardez espoir.
Commentaires (235)
#1
On risque a rien à le télécharger ? Non parce que vu la conclusion des juges dans cette affaire, on peut se poser la question….
#2
Ce qui inquiétant dans l’histoire c’est que l’accusé et son avocat n’y ont pas eu accès, mais par contre le Parquet et le Point, oui….
http://twitter.com/iteanu/status/431714827380084736
#3
#4
#5
Je l’ai survolé super vite, et déjà je tombe sur “développeur informateur” comme profession (page 4, paragraphe 5). C’est un développeur informatique qui bosse pour la police ?
#6
Dans 3 jours : PC INpact assigné en justice pour complicité de destruction de planète
" />
#7
#8
Et puis c’est quoi la “thématique des nano-argents” (page 4, paragraphe 4) ? Ça serait pas plutôt “nano-agents” ?
#9
Oui, donc il a vu qu’il était sur un serveur requérant des identifiants et il a téléchargé tous les docs possible… il y a bien infraction. Ca change nettement d’avoir les attendus et pas seulement le discours de la défense :)
#10
dès le paragraphe 1, il aurait “accédé frauduleusement à tout ou partie d’un système bla bla bla”… c’est donc l’utilisation de Google qui est illégale ?
#11
#12
Et dire que nos tribunaux sont remplis de Bruno Laroche…
#13
Je ne voit rien de très choquant dans cette decision. Bluetouff savait qu’il avait accès à des documents sensibles… Il s’avait être sur un extranet et tombé sur de gros glandus incapable de sécuriser leur bouzin. A partir de là, le téléchargements de ces documents et leurs utilisation en conscience, sont condamnable…
#14
#15
Je ne risque pas de le télécharger, il y a un texte qui penche sur le côté. Je trouve ça suspect
" />
#16
#17
#18
Extrait pour ceux qui veulent aller à l’essentiel afin de se faire une idée :
Considérant, pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées à des tiers ; qu’il est, en tout état de cause, établi que O.L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire (…)
Globalement, l’explication se tient.
#19
clair, net, précis, argumenté, coupable… Et il le sait…
#20
#21
#22
#23
Ma réponse à cette news est tellement pas “corporate” que j’ai été obligé par auto censure de l’envoyer par le bouton “signaler” à PCI….
" />
#24
#25
#26
#27
#28
OMG on voit bien que le rédacteur ne capte absolument rien, là.
" />
p4 bluetouff est considéré comme un “développeur informateur”. MDR.
apparemment le tribunal considère que Bluetouff avait constaté que l’extranet de l’ANSES était censé être protégé par identifiant/mot de passe, et donc:
donc, comme l’explique Bluetouff lui-même dans l’article qu’il a écrit sur reflets hier, ce n’est plus la peine, amis administrateurs système, de protéger vos accès par authentifiants! nonon!
il suffira de trainer les accédants devant les tribunaux en arguant d’une “faille dans le système” et que l’accès était “évidemment” censé être protégé.
au hasard suffit de coller un fichier .htaccess à votre racine, le tribunal devrait dès lors considérer que votre accès apparaît “évidemment” protégé même si le fichier est vide.
bref c’est du très grand art.
#29
#30
Autant, copier les fichiers, c’est vrai que c’est pas malin mais condamner pour accès frauduleux
" />
#31
#32
#33
#34
#35
#36
#37
Combien ont souillé leur écran et clavier en lisant Bluetouff à voix haute ?
" />
" />
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
Quand tu pars en vacances et que tu laisses tes volets ouverts, si tu as le malheur de te faire cambrioler, l’assurance ne prendra pas en charge les biens dérobés pour la raison suivant : “incitation au vol”.
Pourquoi dans ce cas présent, le tribunal ne reconnait pas la négligence de l’administrateur du site ayant mis à disposition des informations confidentielles ?
Je ne connais pas les documents concernés mais dans ma boite, dès lors que l’on diffuse un document, il doit se conformer à une charte spécifique avec un cartouche en première page précisant la portée de diffusion : “service, entreprise, confidentiel, public, …”. Est-ce le cas ici ?
#51
#52
#53
#54
#55
Je crois qu’il faut surtout arrêter d’essayer de tout expliquer avec des analogies
" />
#56
#57
#58
#59
#60
#61
#62
#63
#64
#65
#66
#67
Je rentre dans un commissariat, la salle des armes est ouverte, je rentre, je prend un fusil à pompe, je ressort, personne ne me dis rien, et deux jours plus tard, le GIGN rentre chez moi et m’arrête pour détention d’arme illégale.
#68
#69
#70
#71
#72
qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec mot de passe dans le cadre d’une connexion sécurisée
Apparemment c’est pas si constant, vu la quantité de données aspirées.
#73
#74
#75
#76
#77
#78
#79
#80
#81
#82
#83
#84
#85
#86
#87
#88
#89
#90
#91
C’est vrai que le nombre d’analogies sur ce fil de commentaires est limite collector.
" />
" /> )
(et toujours pas une avec les bagnoles
#92
#93
#94
#95
#96
#97
#98
#99
#100
#101
#102
#103
#104
#105
#106
#107
#108
#109
Finalement la seule conclusion qui ne figure malheureusement pas dans l’arrêt c’est qu’une agence travaillant sur des sujets sensibles financée par des généreux fonds publics est incapable de mettre en place un VPN pour l’accès à son extranet et ne connaît pas le minimum en matière de configuration de serveur Web au 21ème siècle.
" />
#110
#111
#112
#113
#114
#115
#116
#117
#118
#119
#120
#121
#122
#123
#124
Autant la présentation à la médiapart m’avait un peu fait flipper, autant à la lecture de l’arrêt on comprend mieux.
Le mec est en aveu là.
“Vous saviez que vous n’aviez pas le droit d’être là et de tout pomper et vous l’avez fait quand même et en plus vous avez distribué les infos ensuite?”
“Oui.”
“Ok, pas besoin de s’attarder sur le lojin, de gogleuh, suivant!”
Juridiquement, je confirme qu’on s’en fout.
Il y a eu des (un?) cas de relaxe alors que les infos n’étaient pas à considérer comme confidentielles si elles n’étaient pas utilement protégées (Kitetoa c/ Tati en 2002, qui me semble être un cas assez isolé d’ailleurs), mais globalement si le mec sait qu’il est là où il ne devrait pas être et en convient devant le juge, c’est mort.
Après, à voir si le fait de savoir si le prévenu en affirmant avoir eu connaissance de l’existence d’un login/mdp à la racine avait bien compris que c’était protégé, je pense que les débats ont été suffisamment clair, au surplus lorsqu’on à affaire à un informaticien. D’autant que le côté “recherche complexe” a fini d’achever la bonne foi du type aux yeux du juge. Il est quand même pas arriver là tout à fait par hasard, même si ce n’est pas suffisant pour le condamner d’un accès frauduleux, en balançant ça on part quand même pas avec une étiquette de blanc mouton.
Bref, ce point ne sera pas tranché par la Cour de cass. C’est une interprétation souveraine du juge du fond.
Je vais continuer à jeter un oeil sur l’affaire, notamment pour voir la gueule du pourvoi.
#125
#126
#127
#128
#129
#130
#131
#132
J’aime la différence qu’ils font entre extranet et internet.
Quelqu’un a du oublié de leur expliquer que tout ce qui répond à une adresse ip publique fait partie d’internet par définition.
Par ailleurs si Google avait référencé les trucs, c’est qu’ils avaient des liens qui y pointaient, non ?
Ou alors il cherche dans les arborescence au hasard ?
#133
#134
#135
qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées
Ni la “démonstration” ni “l’évidence” ne m’ont convaincu de sa culpabilité.
Si c’était aussi évident ce débat n’aurait pas lieu.
#136
#137
#138
#139
#140
LA présence d’identifiants ne prouve RIEN… c’est stupide comme argument.
un syllogisme foireux
du genre
Tout ce qui est rare est cher. Un cheval bon marché est rare. Donc un cheval bon marché est cher (!)
ce truc ce n’est pas du droit !!! Bordel !!!
Je monte un intra dans un CMS…
je le sécurise pas donc tout le monde à accès à mes liens non sécurisés….
La présence d’une POSSIBILITE d’identification PROBABLE n’indique absolument pas que l’arborescence visible depuis le monde entier fait partie de la zone protégée de mon site.
la justification de l’infraction est débile et tirée par les cheveux.
Mais si les documents étaient classifiés et Noté comme tel
1° ça doit être écrit dessus (diffusion restreinte)
2° pourquoi n’étaient ils pas chiffrés ?
Bref mais si c’est tendancieux le seul responsable de cette histoire c’est le service info de l’administration personne d’autre..
#141
#142
#143
#144
Après il est quand même très con d’avoir fait le malin et d’avouer savoir être au mauvais endroit et tout piquer…
S’il avait fermé sa gueule il aurait eu le bénéfice du doute.
il n’en reste pas moins que l’argument du juge est foireux et que ce jugement ne relève que de l’intime conviction du juge.
c’est limite….
#145
#146
#147
#148
#149
#150
#151
#152
#153
#154
#155
#156
#157
il a parcouru le site, téléchargé tout ce qui était derrière la page d’accueil et ne peux donc être qu’en possession du code permettant de sécurisé le site… de TRES mal le sécurisé
" />
#158
#159
#160
#161
Il peut essayer de prendre le juge pour un crétin mais visiblement ça n’a pas marché
" />
#162
#163
#164
#165
#166
il va falloir que les net admin fournissent tous les logs du site dit “sécurisé”
il va falloir une définition juridique précise de ce qu’est un espace sécurisé d’un site web.
y a du boulot….
En attendant pour moi la cour d’appel est notoirement incompétente et a voulu faire un exemple.
J’espère que le jugement sera cassé et qu’on pourra poser des bases d’interprêtation solides.
Après je trouve que Bluetouf a trop fait le malin devant la cour sans se rendre compte qu’il donnait des arguments stupides au juge.
Mais sur le fond ce jugement reste une erreur grave d’appréciation…. qui ouvre la boite de pandore…
#167
#168
“frauduleusement soustrait des documents” -> FAUX
“des adresses IP ayant exfiltré un volume important de fichiers” -> FAUX
“fait une extraction de 250 megaoctets” -> FAUX
" /> Alternatif à quoi ? reflets.info est une source d’information principale, et tf1 est une source d’infos alternative. 
" />
" />
“des opérations de téléchargement de données” -> VRAI
Ils sont ivres ou quoi ?
Sinon j’aime bien le “site d’information alternatif reflets.info”
Sinon je suis globalement d’accord avec le jugement, à ceci près qu’on ne sais pas si l’accusation a apporté la preuve que id/mdp était visiblement destiné à priver d’accès public l’ensemble des 8Go copiés.
Soit elle n’a pas apporté cette preuve => cassation.
Soit elle l’a apporté (mais c’est pas clair dans l’arrêt) => coupable.
#169
#170
#171
C’est à se demander si ceux qui commentent prennent le temps de lire…
#172
#173
#174
#175
#176
#177
#178
Concernant le vol de données informatiques, ça vous trouble, c’est contestable, il n’y a effectivement pas de dépossession, mais c’est admis depuis longtemps chez nous et la France y vient aussi :
http://www.legalis.net/?page=jurisprudence-decision&id_article=3240
Concernant les pseudo-débats sur “est-ce qu’il savait que c’était des données protégées ou pas” : on n’a pas l’intégralité des débats,et ce qui compte à ce stade c’est l’interprétation de la Cour d’appel. Les juges se sont basés sur leur intime conviction et il faut croire qu’il a un peu trop fait le fanfaron (recherche complexe, arrivé par hasard, j’avais vu qu’il y avait besoin d’un mdp/pass à la racine du site).
La Cour d’appel est sur sa ligne dans cet arrêt puisqu’elle avait déjà affirmé dans un arrêt de 1994 que pour que le maintien frauduleux soit punissable, il suffit que «le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées. »
D’ailleurs, même quand il n’y a pas de protection efficace derrière cette intention si l’on suit cette interprétation.
S’il avait simplement dit “Je suis tombé dessus par hasard en tapant des mots clés sur google, je ne savais pas que c’était confidentiel/privé”, le résultat aurait d’ailleurs peut être été différent. L’élément moral aurait été plus lâche.
Comme mentionné tout à l’heure, c’est quoiqu’il arrive l’interprétation souveraine des juges du fond qui semble en cause, la Cassation ne peut pas changer ça…
#179
Autre hypothèse : c’est en vérifiant chaque matin que leur serveur était toujours debout mais que 8 Go avaient été téléchargés sur une courte période de temps qu’ils ont commencé à regarder les logs (mais je suis mauvaise langue).
#180
#181
#182
Je pense que la seule chose éventuellement condamnable est la diffusion à des tiers …
en revanche le telechargement de données accessibles sans mdp - je vois mal en quoi ça peut être condamnable en soi
combien de fois je suis tombé sur des cours ou des articles à priori accessibles uniquement à des personnes autorisés; via Google …
#183
#184
#185
L’affaire Kitetoi de 2002 va à l’encontre de celle là et de celle de 1994 en retenant que le défaut de sécurisation peut entraîner une relaxe de l’accusé.
En revanche il est bien évident que la “victime” peut aussi être condamnée pour défaut de sécurisation des données.
Mais c’est un autre procès, et la jurisprudence actuelle a plutôt tendance à isoler les deux problèmes sans interdépendance.
#186
#187
#188
#189
Dites, total HS, mais tout va bien pour Marc Rees ? Si je ne me trompe pas, pas d’actu depuis 2 semaines (congés) ? Et absent sur Tweeter depuis près de 2 mois
" />
#190
#191
#192
#193
#194
#195
#196
#197
#198
#199
#200
Affaire Bluetouff , quelle idée de toucher la touffe à la schtroumpfette
" />…
#201
Petite analyse sur l’arrêt:
La cour ne donne pas de lien de cause à effet entre le constat de la présence de possibilité d’identification sur la page d’accueil et le maintien frauduleux (enfin irrégulier qui par sa connaissance amène à un maintien frauduleux) dans un système de données. Le fait qu’il soit arrivé “par erreur” sur la page et que les données du site soient “normalement” (sic) protégées ne changeant rien (au contraire, du fait du caractère exceptionnel de l’accès au public de ces données, on aurait pu penser que cela confirme une volonté certaine de diffusion de ces données par l’ANSES).
Elle ne justifie nullement que le prévenu avait conscience d’être dans un système à accès protégé. L’avocat de la défense rappelle même que son client n’était nullement averti du caractère privé de l’espace dans lequel il était, et ne s’en doutait pas.
Aucun des considérants soulevés par la Cour ne met en évidence cette connaissance d’un accès ni d’un maintien irrégulier dans le système et donc du caractère frauduleux de son maintien. L’intention du délit n’est pas caractérisé dans l’arrêt.
En clair, si le monsieur va en cassation, et que son avocat n’est pas trop une brelle (je m’étonne d’ailleurs de sa très faible argumentation), la Cour de cassation risque fortement d’annuler cette décision pour défaut de motivation.
P.S: pour ceux qui sont étonnés d’un téléchargement de données de 8Go, quand on fait des recherches, quelque soit le domaine, il n’est pas rare qu’on se retrouve avec des tonnes de documents (et il suffit que les docs contiennent des images pour que leur taille devienne important). Afin de faciliter le tri et de gagner énormément de temps, le mieux reste de tout récupérer d’un coup pour ensuite procéder à la sélection des articles.
#202
#203
#204
#205
#206
#207
#208
#209
J’espère que ce jugement sera cassé.
Je n’ai qu’une question : a-t-il à un moment contacté l’ANSES pour l’informer que son extranet était troué ?
#210
Sinon j’ai apprécié les expressions “défaillance technique” ou “faille de sécurité” dans le jugement d’appel.
" />
Il y a une défaillance humaine qui rend publiques (liens dans un moteur de recherche) des documents censés ne pas l’être.
Le ministère public qui a fait appel s’est trompé de cible, AMHA ;)
#211
#212
#213
#214
Maitre Eolas à posté le billet annoncé:
http://www.maitre-eolas.fr/
#215
J’ai quand même peur en lisant la majorité d’entre vous : j’ai l’impression que vous allez tous venir prendre des photos de chez moi (et considérer ça normal !) si je pars bosser en oubliant de fermer la porte à clé
" />
#216
#217
#218
#219
#220
#221
(à supprimer, mauvais click)
#222
#223
#224
#225
#226
#227
#228
#229
#230
#231
#232
#233
#234
#235