Le TGI de Paris a condamné deux personnes pour l’usurpation de l’identité de Rachida Dati. Par la même occasion, il a jugé que l’exploitation d’une faille XSS (cross site scripting) était un piratage informatique qui devait à ce titre être sanctionné.
Début 2012, Rachida Dati avait porté plainte contre X pour piratage et usurpation d’identité. L’enquête confiée à la BEFTI révèlera que l’animateur du compte twitter satirique @Solferishow avait mis à disposition de @jeunespopkemon un nom de domaine et un espace d’hébergement offert par OVH grâce à des points de fidélité. Sur le site tweetpop.fr, il était alors possible de publier de faux communiqués de presse liés à l’actualité de l’eurodéputée.
Ces communiqués plutôt humoristiques présentaient alors l’apparence d’être hébergé sur le site officiel rachida-dati.eu grâce à l’exploitation d’une faille cross site scripting. Ce type de faille dite XSS permet en effet d’injecter du code notamment via une URL mal sécurisée et de faire dire à un site qui en est victime tout ce que l’on veut.
Atteinte à l'honneur de Rachida Dati en particulier, des femmes, en général
Sur le banc des accusés, l’éditeur du site évoque la parodie, l’humour, bref la blague de potache en témoigne la mention « groupe PPE » (droite européenne, parti de l'eurodéputée) remplacée par un fier « groupe PIPE », ou encore l’expression « communiqué de presse gratuit offert par Rachida Dati ». Sur cette lancée, de faux communiqués édités par des internautes annonçaient la candidature de l’actuelle maire du VIIe arrondissement de Paris dans la 10e circonscription de Seine Saint-Denis, quand d’autres affirmaient « Je soutiens le NPA » ou susurraient son amour « pour la fellation. »
Ces propos sont restés au travers de la gorge du TGI de Paris. Il a d’abord considéré que l’éditeur du site en était également le modérateur. Il aurait donc pu le fermer ou désapprouver la nature injurieuse et diffamante des contenus rédigés. « Force est de constater qu’il s’en est abstenu et qu’il a considéré, bien au contraire qu’il s’agissait là de manifestations « d’humour » ». Un humour non partagé par ces magistrats qui estiment au contraire qu’il y a atteinte à l’honneur ou à la considération de Rachida Dati en particulier, et de la femme en général.
Le tribunal a donc considéré que les éléments constitutifs de l’usurpation d’identité numérique étaient bien réunis puisque selon le Code pénal, modifié par la loi LOPPSI 2, l’infraction suppose une usurpation et un trouble de la tranquillité ou une atteinte à l’honneur ou à la considération d’une personne. C’est ici l'un des premiers jugements connus en matière d’usurpation d’identité numérique.
Faille XSS et introduction frauduleuse de données dans un STAD
Mais l’affaire se doublait d’un autre volet : est-ce que l’exploitation d’une faille XSS peut s’apparenter à un piratage informatique ? Selon les textes, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. »
Pour le cas du site de Rachida Dati, la faille se nichait dans le moteur de recherche de son site, lequel filtrait mal les termes saisis par les utilisateurs. Il était alors possible d’y injecter du code informatique. Or, selon les magistrats, l’exploitant de la faille a voulu « tromper le serveur » et « faire du champ "rechercher" un usage contraire à sa vocation initiale et non souhaité par le maitre du système », bref, « une utilisation tronquée » qui « doit être considéré comme frauduleuse. »
Dans son jugement relayé par Legalis.net, le TGI a balayé par la même occasion les arguments de la défense : peu importe que la faille était connue depuis plusieurs mois par le gestionnaire puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux ». Peu importe de même que cette faille n’a pas entraîné d’altération durable du site de Rachida Dati, puisque c’est la simple introduction frauduleuse de données qui est réprimée par cet article.
Au final, l’initiateur a été condamné à 3 000 euros d’amende pour usurpation et piratage informatique. Le propriétaire de l’espace d’hébergement et du nom de domaine a lui été relaxé pour ce dernier fait, mais a été condamné à 500 euros pour complicité d’usurpation. L’un et l’autre se sont vu enfin confisquer leur matériel informatique. L'auteur du faux site a depuis fait appel.