[MàJ] Prison avec sursis requise pour piratage et usurpation d'identité de Rachida Dati

[MàJ] Prison avec sursis requise pour piratage et usurpation d’identité de Rachida Dati

Une inflation !

Avatar de l'auteur
Marc Rees

Publié dans

Droit

18/11/2014 4 minutes
38

[MàJ] Prison avec sursis requise pour piratage et usurpation d'identité de Rachida Dati

Peut-on exploiter une faille de cross site scripting pour diffuser des parodies de communiqué de presse prétendument signés de Rachida Dati ? Celle-ci est convaincue que non et a attaqué deux internautes pour piratage et usurpation d’identité.

Demain, devant le tribunal correctionnel de Paris, une quatrième audience d'un même procès opposera Rachida Dati à deux internautes. En 2012, l’animateur du compte twitter satirique @Solferishow avait en effet mis à disposition de @jeunespopkemon (compte désormais suspendu), un nom de domaine et un espace d’hébergement offert en 2011 par OVH grâce à des points de fidélité.

 

Celui-ci avait alors mis en ligne le site tweetpop.fr/le-cadeau-de-rachida qui arborait une photo de Rachida Dati, suivie du titre « communiqué de presse gratuit ». L’objet fut de permettre à des internautes de rédiger des communiqués de presse fictifs et humoristiques liés à l’actualité de l’eurodéputée. En tout, d’après les éléments du dossier, une vingtaine de communiqués auraient été diffusés le 3 janvier 2012.

Exploitation d'une brèche XSS depuis longtemps signalée

Le 4 janvier, cependant, le bureau de Rachida Dati déposait plainte pour atteinte à un système de traitement automatisée de données (piratage) et usurpation d’identité. Pourquoi ? L’idée de @jeunespopkemon fut en effet de proposer l’exploitation d’une faille de cross site scripting (XSS) aux visiteurs de Tweetpop.fr dans la joie et la bonne humeur. Cette faille se trouvait dans le moteur de recherche du site rachida-dati.eu.

 

faux site rachida dati

 Capture du site litigieux Crédit : HumourdeDroite.com

 

Globalement, ce type de faille permet d'injecter des bouts de code via notamment une url non sécurisée. Du coup, le visiteur a l’impression que le contenu ajouté provient bien du site mal ficelé, alors qu’il n’en est évidemment rien. C'est par ce biais ainsi que l'auteur du site parvenait à imiter les communiqués officiels. «  L’utilisation de la faille de sécurité, dénommée XSS a conduit simplement à l’utilisation ingénieuse des moteurs de recherche » nous confie Olivier Iteanu, l'avocat de @Solferishow, lui aussi poursuivi par Rachida Dati.

 

« Je soutiens le NPA », « Pour la fellation »

Cette présente faille avait déjà été signalée en 2010 sur Twitter comme le rapportait en mars dernier HumourdeDroiteLe Monde avait lui aussi relaté cette petit blague, citant un faux communiqué de la personnalité politique, également maire du chic VIIe arrondissement de Paris, annonçant sa candidature dans la 10e circonscription de Seine Saint-Denis. D'après 93-infos.fr cette fois, d’autres communiqués imaginés toujours par des internautes plaçaient « Je soutiens le NPA » ou « Pour la fellation », dans la bouche de Rachida Dati.

 

Selon les textes, en tout cas, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. » Quant au « fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération », celui qui en est reconnu coupable risque jusqu’à un an d'emprisonnement et 15 000 € d'amende.

 

Mais techniquement peut-on bien parler d'une modification frauduleuse du contenu du site quand il n'y a que l'exploitation externe d'une faille XSS ? De même, la parodie et la satire étaient-elles assez évidentes ? Peuvent-elles l’emporter contre le fameux délit d’usurpation d’identité ? Dans le cas contraire, quelles peuvent être les responsabilités respectives entre celui qui a simplement offert cet hébergement et ce nom de domaine, et l'éditeur du site litigieux ? Voilà quelques-unes des questions qui seront examinées demain par les juges à l'occasion d'une nouvelle audience.

 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Exploitation d'une brèche XSS depuis longtemps signalée

« Je soutiens le NPA », « Pour la fellation »

Commentaires (38)


Que l’exploitation externe d’une faille xss ? Vous rigolez ?



C’est au moins de l’usurpation, même si satirique, l’URL originale est utilisée.




… « Pour la fellation », dans la bouche de Rachida Dati.





Je sais que j’ai l’esprit mal placé mais la la phrase est trop belle XD


&nbsp;Rhooo, pas eu le temps de la faire ! <img data-src=" />


Sommes toutes la relaxe, c’est ridicule surtout basé sur le fait que la faille technique ne correspond pas au premier chef d’accusation.



Je lui donnerais un euro de dédo moral à cette hyène usurpatrice de diplôme jamais punie, ce qui envers le peuple représente une faute et un montant bien plus conséquents que l’appropriation grossière de son identité crapuleuse.


On n’est pas censé juger en fonction du/de la plaignant(e), mais en fonction du droit <img data-src=" />



Sinon l’audience ouvre demain, mais quand aurons-nous le verdict ? C’est déjà dati daté ou pas ?


Pendant ce temps là, on condamne des français pour non sécurisation de leur ligne internet…



Tiens, il faudrait faire interdire par la même occasion ces petits scripts javascript qui permettent de jouer à Angrybird avec n’importe quel site.



De mon point de vue de Michu, ça me parait un peu exagéré pour de la parodie.



Enfin, disons que le gars joue avec le feu.



Lation.








Jarodd a écrit :



On n’est pas censé juger en fonction du/de la plaignant(e), mais en fonction du droit <img data-src=" />



Ben oui mais là…



usurpation d’identité? deja que c’est compliqué de savoir qui est le pere de son mouflet…


elle devrait avoir une amende pour défaut de sécurisation non ?? &nbsp;<img data-src=" />


“Il faut absolument punir les gens qui se moquent des politiciens. Car, voyez vous, les politiciens ne sont pas des gens comme les autres.”





C’est un politicien qui me l’a dit.


punir ceux qui parlent des politiciens sans leur approbation


Nan, pour un gosse avec père non identifié, juste des alloc et une place en hlm.


Difficilement défendable de mon point de vue. S’ils voulaient faire un site parodique, ils n’avaient qu’à en monter un.



Injecter des données sur un site non satirique en espérant faire passer ça pour de la satyre, c’est chaud. Mais je ne suis pas juriste. :p



Quid de la sécurisation de la connexion de Mme Dati ? &nbsp;:p


<img data-src=" />



Pendant ce temps-là à Vera Cruz…



<img data-src=" />


ça n’engage que moi ..

&nbsp;mais en même temps c’est juste une caricature à elle toute seule .. (comme les autres d’ailleurs ) ..

&nbsp;même le Gorafi est en dessous de la triste réalité ..&nbsp;


C’est pas compliqué, c’est Dominique Desseigne.



&nbsp;Oui j’ai été au dentiste il y a deux semaines <img data-src=" /> (<img data-src=" />)


<img data-src=" /> je suis un peu coupé du monde ininterressant depuis quelques années mais merci j’en parlerai a mon cheval <img data-src=" />








Toorist a écrit :



Je sais que j’ai l’esprit mal placé mais la la phrase est trop belle XD





Tu as tout simplement l’esprit voulu par la news (trop gros Marc <img data-src=" />)



C’est pas elle qui à des faux diplômes et qui a été gentiment évincé du gouvernement à l’époque car elle avait dilapidé son budget de l’année en 6 mois…

Elle aurait du être virée du monde politique depuis longtemps celle là…


On leur reproche quoi là au fait ? Car je suis pas sûr d’avoir pigé….

D’avoir utiliser grosso-merdo le style du site rachida (via une faille dudit site) sur un autre site leur appartenant ?? Ca doit pas être ça…





Sinon visiblement l’administrateur a été avertit par zataz de la dite faille, y’a pas une espèce de négligence caractérisée s’il fait rien ?



&nbsp;


Nan mais les gars, là, sont clairement en tort. Ils utilisent une faille pour injecter des données, pour le coup, ça, ça s’appelle du piratage.

Et pour autant que je saches, la modification de données sur un système qui ne t’appartiens pas, c’est puni par la loi.

Après, faut faire le rapprochement entre eux et le domaine mais visiblement, c’est déjà fait. Ils vont prendre.








Toorist a écrit :



Je sais que j’ai l’esprit mal placé mais la la phrase est trop belle XD





La&nbsp;fellation&nbsp;(du&nbsp;latin&nbsp;fellatio, dérivé de&nbsp;fellare&nbsp;qui signifie «&nbsp;sucer, têter&nbsp;»)&nbsp;



Et le petit Sarko court toujours avec les millions détournés.



Ah non, c’est vrai, c’est son avocat et l’ancien secrétaire qui ont détournés l’argent de l’Etat … Bizarre ça, je croyais que ceux qui contrôlait l’argent de l’Etat c’était le gouvernement …



On a un remake de Virenque : “ On m’aurait menti?! “


Elle s’y connait pour faire payer les autres.

Dans un autre milieu on appelle ça une p… faut payer apres l’avoir b…

&nbsp;








Koxinga22 a écrit :



Nan mais les gars, là, sont clairement en tort. Ils utilisent une faille pour injecter des données, pour le coup, ça, ça s’appelle du piratage.

Et pour autant que je saches, la modification de données sur un système qui ne t’appartiens pas, c’est puni par la loi.

Après, faut faire le rapprochement entre eux et le domaine mais visiblement, c’est déjà fait. Ils vont prendre.





Sauf qu’il n’y a pas de modification de données sur le système.



L’idée du XSS tel qu’il est fait ici c’est que les données que tu passes dans l’URL sont lues et renvoyées telles quelle par le serveur. C’est au contraire le fonctionnement normal du serveur (je me place ici du point de vue de Mme Dati puisque c’est elle qui porte plainte, donc de son site internet) : on m’envoie un truc, je le reprend tel quel et l’insère dans la page retournée.



Il y a 0 modif du serveur ou comme ça, par contre c’est les gens qui s’y connectent qui peuvent porter plainte si le XSS est utilisé pour pirater leurs PCs puisque là il y aurait modification d’un système informatique.



Si tu veux comprendre comment fonctionne un XSS, je vais prendre l’exemple de Google:

Quand tu fais une recherche sur Google, tu as la recherche que tu fait dans l’URL (la partie q=XXXX, non pas de jeu de mots ici). Si tu tapes un text mal orthographié (genre : anticondstrz) Google va t’afficher : “Aucun résultat trouvé pour anticondstrz ”

Maintenant si tu chercher un truc qui ressemble à alert(‘pwnd’);. Si Google retourne la recherche telle quelle, le navigateur va y lire une balise html et l’interpréter comme telle. Il y aurait donc l’exécution du script côté navigateur et une popup apparaîtra qui affichera “pwnd”.

Google de son côté va donc “nettoyer” ce genre de recherche pour faire en sorte que le navigateur n’interprète pas les balises html mais les affiche comme du texte pur (principalement en échappant les caractères balise d’xml, mais pas seulement, plus d’infos :https://en.wikipedia.org/wiki/Cross-site_scripting#Reducing_the_threat).



On voit donc bien que côté site de Google il n’y a aucune modification des données du système.









Khalev a écrit :



Sauf qu’il n’y a pas de modification de données sur le système.





Le texte législatif parle également du fait d’introduire frauduleusement des données dans un système de traitement automatisé, et là, il est possible de défendre que les données du moteur de recherche ont été introduites frauduleusement.



Et contre le piratage, on a la Hadopi. J’espère qu’ils ont eu leur mail de préavis de recommandé ces margoulins


Je vois assez bien comment fonctionne les exploits de type XSS, et il est facile de s’en prévenir. Enfin, ca dépend de la qualité et de la structure du code, mais si on a bien fait le boulot, il n’y a qu’un endroit qui gère les insert/update et les requêtes y sont assainies.



Mais le fait de faire du XSS est évidemment un comportement d’attaque et c’est puni par la loi. On ne peut pas modifier les données d’un SI qui ne nous appartient pas. Et ajouter du contenu, c’est de la modification.


Pas eu le temps d’éditer et du coup, ca a viré le fait que je te répondais :(

Après relecture, je comprend mieux ton message : ils utilisent un mécanisme du site de Mme Dati pour envoyer des données au SI de Twitter.

Seulement, l’usurpation d’identité est bien réelle.


<img data-src=" /> le sous-titre


Elle a été condamnée pour avoir parlé de fellation devant des enfants ?

&nbsp;


Chaud le niveau de certains commentaires ici <img data-src=" />



A en écouter certains la justice devrait presque rendre grâce publiquement à ces deux margoulins pour avoir transgressés la loi <img data-src=" />



Ils ont faits les cons, en sachant pertinemment ce qu’ils faisaient en plus. A partir de là ils ne peuvent s’en prendre qu’à eux-même.



Quand à ceux qui viennent les défendre dans le genre “c’est Rachida Dati, bien fait !” (ou peu importe qui en fait, osef), je comprend même pas pourquoi ce n’est pas modéré …


Euh attendez y a un truc que je comprends pas. Ils ont exploité une faille XSS pour afficher un communiquer de presse fictif accessible seulement via leur navigateur? où ont ils exécuté un script qui a envoyé un tweet à partir de cette adresse? Si 1er cas alors sur le même principe on envoie au gnouf les développeurs de firebug. Si 2ème cas alors usurpation d’identité, mais dans ce cas Dati devrait se prendre une amende par la Hadopi pour défaut de sécurisation <img data-src=" />


La parodie d’une parodie de politicienne, la justice va galérer et finir par condamner Rachida Quota Dati pour défaut de sécurisation de sa connexion Internet <img data-src=" />


Parodier dati, ils méritent la peine de mort au moins pour se rabaisser à ça ^^



&nbsp;

&nbsp;







philanthropos a écrit :



Chaud le niveau de certains commentaires ici <img data-src=" />



A en écouter certains la justice devrait presque rendre grâce publiquement à ces deux margoulins pour avoir transgressés la loi <img data-src=" />



Ils ont faits les cons, en sachant pertinemment ce qu’ils faisaient en plus. A partir de là ils ne peuvent s’en prendre qu’à eux-même.



Quand à ceux qui viennent les défendre dans le genre “c’est Rachida Dati, bien fait !” (ou peu importe qui en fait, osef), je comprend même pas pourquoi ce n’est pas modéré …





Sans rentrer dans les détails, une mauvaise réputation ça marque et c’est très probablement à l’origine de toute cette histoire.



Après, elle est loin d’être la seule à s’en prendre plein la figure (ou pour couper court à toute polémique, parce que c’est une femme). C’est jute que la elle est en tête de ligne.



D’ailleurs, j’en ai autant marre de recevoir des ppt ou mails contre les politiciens que de tomber sur l’un d’eux effectuant son speach creux et démago toute plateforme confondue.


On sait qui est le père ? <img data-src=" />