Selon Le Monde, le parquet a requis trois mois de prison avec sursis contre l'éditeur du site litigieux sur les deux chefs d'accusation (piratage et usurpation d'identité). Il a demandé la relaxe du propriétaire du nom de domaine et du serveur au titre du piratage informatique, mais 500 euros d’amende pour complicité d’usurpation d’identité.
Peut-on exploiter une faille de cross site scripting pour diffuser des parodies de communiqué de presse prétendument signés de Rachida Dati ? Celle-ci est convaincue que non et a attaqué deux internautes pour piratage et usurpation d’identité.
Demain, devant le tribunal correctionnel de Paris, une quatrième audience d'un même procès opposera Rachida Dati à deux internautes. En 2012, l’animateur du compte twitter satirique @Solferishow avait en effet mis à disposition de @jeunespopkemon (compte désormais suspendu), un nom de domaine et un espace d’hébergement offert en 2011 par OVH grâce à des points de fidélité.
Celui-ci avait alors mis en ligne le site tweetpop.fr/le-cadeau-de-rachida qui arborait une photo de Rachida Dati, suivie du titre « communiqué de presse gratuit ». L’objet fut de permettre à des internautes de rédiger des communiqués de presse fictifs et humoristiques liés à l’actualité de l’eurodéputée. En tout, d’après les éléments du dossier, une vingtaine de communiqués auraient été diffusés le 3 janvier 2012.
Exploitation d'une brèche XSS depuis longtemps signalée
Le 4 janvier, cependant, le bureau de Rachida Dati déposait plainte pour atteinte à un système de traitement automatisée de données (piratage) et usurpation d’identité. Pourquoi ? L’idée de @jeunespopkemon fut en effet de proposer l’exploitation d’une faille de cross site scripting (XSS) aux visiteurs de Tweetpop.fr dans la joie et la bonne humeur. Cette faille se trouvait dans le moteur de recherche du site rachida-dati.eu.
Capture du site litigieux Crédit : HumourdeDroite.com
Globalement, ce type de faille permet d'injecter des bouts de code via notamment une url non sécurisée. Du coup, le visiteur a l’impression que le contenu ajouté provient bien du site mal ficelé, alors qu’il n’en est évidemment rien. C'est par ce biais ainsi que l'auteur du site parvenait à imiter les communiqués officiels. « L’utilisation de la faille de sécurité, dénommée XSS a conduit simplement à l’utilisation ingénieuse des moteurs de recherche » nous confie Olivier Iteanu, l'avocat de @Solferishow, lui aussi poursuivi par Rachida Dati.
Demain Trib. correctionnel de Paris: nous défendons avec @Maitre_Eolas la parodie politique ctre le délit d'usurp. d'identité @solferishow
— Olivier Iteanu (@iteanu) 12 Novembre 2014
« Je soutiens le NPA », « Pour la fellation »
Cette présente faille avait déjà été signalée en 2010 sur Twitter comme le rapportait en mars dernier HumourdeDroite. Le Monde avait lui aussi relaté cette petit blague, citant un faux communiqué de la personnalité politique, également maire du chic VIIe arrondissement de Paris, annonçant sa candidature dans la 10e circonscription de Seine Saint-Denis. D'après 93-infos.fr cette fois, d’autres communiqués imaginés toujours par des internautes plaçaient « Je soutiens le NPA » ou « Pour la fellation », dans la bouche de Rachida Dati.
Selon les textes, en tout cas, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. » Quant au « fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération », celui qui en est reconnu coupable risque jusqu’à un an d'emprisonnement et 15 000 € d'amende.
Mais techniquement peut-on bien parler d'une modification frauduleuse du contenu du site quand il n'y a que l'exploitation externe d'une faille XSS ? De même, la parodie et la satire étaient-elles assez évidentes ? Peuvent-elles l’emporter contre le fameux délit d’usurpation d’identité ? Dans le cas contraire, quelles peuvent être les responsabilités respectives entre celui qui a simplement offert cet hébergement et ce nom de domaine, et l'éditeur du site litigieux ? Voilà quelques-unes des questions qui seront examinées demain par les juges à l'occasion d'une nouvelle audience.
