Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La DCRI et le Parquet désavoués par la justice face à Bluetouff

Extra Net

Info PC INpact : Rédacteur pour Reflets.info, Olivier Laurelli (alias « Bluetouff ») comparaissait hier devant la justice suite à la publication de documents numériques appartenant à une agence gouvernementale de santé. Accusé par le ministère public d’avoir obtenu ces informations de manière frauduleuse, il vient d’être relaxé par le tribunal correctionnel de Créteil.

anses  

Le 6 septembre 2012, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) déposait plainte auprès du commissariat de Maisons Alfort pour des faits « d’intrusion dans un système informatique et vol de données informatiques ». Trois jours plus tôt, l’institution s’était rendue compte qu’un document PowerPoint, réalisé par un de ses employés, figurait dans un article de nos confères de Reflets. Sauf que le fichier en question (relatif aux nano-substances) n’était pas censé sortir de derrière les murs de l’ANSES.

 

Après des investigations techniques, il s’est avéré qu’une faille de sécurité sur l’extranet de l’institution avait rendu ce fichier accessible sans identification préalable, de même que de nombreux autres documents. Au total, ce sont près de 8 Go de données qui étaient ainsi téléchargeables, sans aucune protection.

 

Un peu plus tard, les autorités ont découvert sur Reflets.info un second article contenant d’autres documents provenant du serveur extranet de l’ANSES. Signé par « Bluetouff », le papier en question comportait également un commentaire dans lequel l’auteur indiquait être en possession de 7,7 Go de documents traitant de santé publique.

Des fichiers en libre accès en raison d’une faille

Après avoir analysé les journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI (Direction Centrale du Renseignement Intérieur) a analysé les adresses IP à partir desquelles avaient été réalisés des téléchargements de fichiers les 27 et 28 août 2012. L’une d’entre elles renvoyait au Panama, et provenait en fait d’un serveur informatique hébergeant une solution VPN qui appartenait justement à une société dirigée par Olivier Laurelli, également connu sous le nom de Bluetouff.

 

S’en est suivie une perquisition ainsi qu’une garde à vue - prolongée une fois de 24 heures - au cours de laquelle l’intéressé a expliqué avoir pu accéder et télécharger ces données suite à une simple recherche Google, sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question. Il a également signalé aux enquêteurs que l’ANSES n’avait par la suite jamais pris contact avec lui afin de réclamer la suppression des données téléchargées.

 

reflets

 

Quoi qu’il en soit, suites aux poursuites engagées par le ministère public (et non pas par l’ANSES, qui ne s'est pas portée partie civile et n’est apparue au procès qu’en tant que témoin), Olivier Laurelli devait répondre hier de plusieurs chefs d’accusation devant la 11ème chambre du tribunal correctionnel de Créteil. On lui reprochait tout d’abord d’avoir « accédé frauduleusement à tout ou partie d’un système de traitement automatisé des données » appartenant à l’ANSES (son serveur extranet) et de s’y être maintenu, toujours frauduleusement. Il s’exposait ainsi à une peine de deux ans de prison et de 30 000 euros d’amende.

 

Ensuite, on l’accusait d’avoir soustrait de manière frauduleuse les fameux documents qui se trouvaient sur cet extranet, puis d’avoir enregistré ces données sur différents supports. Il risquait ainsi jusqu’à trois ans de prison et 45 000 euros d’amende pour le prétendu « vol » de ces données.

Une relaxe illustrant un « cinglant désaveu » des méthodes de la DCRI

Sauf que le tribunal a décidé de donner raison à Olivier Laurelli, qui a ainsi été relaxé. Les juges ont effectivement retenu ses arguments, selon lesquels il avait accédé à ces données sans aucun contournement des mesures de sécurité (défaillantes) de l’extranet de l’ANSES, et donc sans causer de dommage. En outre, il considérait avoir téléchargé ces informations accessibles à tous en toute bonne foi, sans en connaître leur caractère privé.

 

L’avocat d’Olivier Laurelli, Maître Olivier Iteanu, nous a fait part de sa « satisfaction » et de son « soulagement » suite à ce délibéré. Pour lui, le tribunal a infligé un « cinglant désaveu » à la DCRI et à ses méthodes sur ce dossier. Ce jugement arrive d’ailleurs dans un contexte bien particulier. Les services de renseignements ont en effet été récemment mis en cause à deux reprises : tout d’abord pour avoir convoqué et menacé un membre de l’association Wikimedia France afin d’obtenir d’urgence la suppression d’une fiche Wikipedia en français, mais aussi pour avoir convoqué mardi prochain deux journalistes du site OWNI, visiblement pour un document classé « confidentiel défense » sur les interceptions judiciaires, lequel fut publié en septembre dernier (pour en savoir plus, voir cet article de Rue 89).

76 commentaires
Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 24/04/13 à 09:04:11

Signaler ce commentaire aux modérateurs :

DCRI : Direction Centrale des Rigolos en Informatique.

Avatar de Bill2 INpactien
Avatar de Bill2Bill2- 24/04/13 à 09:07:30

Signaler ce commentaire aux modérateurs :

Encore heureux que ce résultat soit correct !

A partir du moment où c'est le serveur qui est mal configuré, l'intrusion n'est donc pas frauduleuse ...
Logique implacable.

Bravo la justice, sur ce coup là

Avatar de tAran INpactien
Avatar de tArantAran- 24/04/13 à 09:10:16

Signaler ce commentaire aux modérateurs :

Les juges ont effectivement retenu ses arguments, selon lesquels il avait accédé à ces données sans aucun contournement des mesures de sécurité (défaillantes) de l’extranet de l’ANSES, et donc sans causer de dommage.

Encore heureux !

Et pour rappel, quand ce sont des entreprises qui sont pas foutues de sécuriser leurs serveurs, elles ont obligations de prévenir leurs clients en cas de fuite de données...

Maintenant, combien réellement préviennent ?

Avatar de Vilainkrauko Abonné
Avatar de VilainkraukoVilainkrauko- 24/04/13 à 09:11:46

Signaler ce commentaire aux modérateurs :

Génial les méthodes : on tape d'abord ... on discute après !

Remarquez, maintenant que c'est sur la place public, ils passent encore plus pour des guignols !
(Ils n'auraient rien dit et fait les choses plus discrètement, il y aurait eu moins de publicité ... )

Avatar de nucl3arsnake INpactien
Avatar de nucl3arsnakenucl3arsnake- 24/04/13 à 09:11:49

Signaler ce commentaire aux modérateurs :

Je trouve le rendu de justice juste pour une fois

Avatar de nucl3arsnake INpactien
Avatar de nucl3arsnakenucl3arsnake- 24/04/13 à 09:12:49

Signaler ce commentaire aux modérateurs :

tAran a écrit :

Encore heureux !

Et pour rappel, quand ce sont des entreprises qui sont pas foutues de sécuriser leurs serveurs, elles ont obligations de prévenir leurs clients en cas de fuite de données...

Maintenant, combien réellement préviennent ?

Peu, très peu je peux te l'assurer =) . Le "on a prévenu les gens par mails" qu'on peux lire me parait génial pour ça ^^

Avatar de Jesuisserieux Abonné
Avatar de JesuisserieuxJesuisserieux- 24/04/13 à 09:13:03

Signaler ce commentaire aux modérateurs :

A croire que notre DCRI est pleine de Hubert Bonisseur de la Bath
"Hubert : À l’occasion, je vous mettrai un petit coup de polish !"

Avatar de Vilainkrauko Abonné
Avatar de VilainkraukoVilainkrauko- 24/04/13 à 09:17:27

Signaler ce commentaire aux modérateurs :

nucl3arsnake a écrit :

Peu, très peu je peux te l'assurer =) . Le "on a prévenu les gens par mails" qu'on peux lire me parait génial pour ça ^^

Au boulot c'est fou le nombre de mail "Dérangeant" pour le destinataire qui n'arrivent pas a destination !

Avatar de ctxnop INpactien
Avatar de ctxnopctxnop- 24/04/13 à 09:18:28

Signaler ce commentaire aux modérateurs :

Le pire c'est que bluetouff prenait la défense, dans une certaine mesure, de la DCRI sur l'affaire Wikimédia sur son blog, notamment dans cet article où il explique que "la DCRI n’a pas joué les cowboys". Il à peut-être changé d'avis à ce sujet

Avatar de tAran INpactien
Avatar de tArantAran- 24/04/13 à 09:20:35

Signaler ce commentaire aux modérateurs :

nucl3arsnake a écrit :

Peu, très peu je peux te l'assurer =) . Le "on a prévenu les gens par mails" qu'on peux lire me parait génial pour ça ^^

C'est tout à fait ça. Les plus réglos sont quand même les banques qui mettent des messages sur leur page d'accueil (enfin.. au moins les miennes )

Il n'est plus possible de commenter cette actualité.
Page 1 / 8