Pourquoi la cour d’appel de Paris a condamné Bluetouff

Pourquoi la cour d’appel de Paris a condamné Bluetouff

Laurelli hardi

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

10/02/2014 10 minutes
213

Pourquoi la cour d’appel de Paris a condamné Bluetouff

L’affaire « Bluetouff » a fait couler beaucoup d’encre la semaine dernière, y compris en dehors des seuls médias spécialisés. Maintenant que l’arrêt de la cour d’appel est connu, PC INpact vous propose une lecture plus approfondie de cette décision.

justice palais tgi paris

 

Commençons par un rappel des faits. Le 3 septembre 2012, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) se rend compte qu’un document PowerPoint, réalisé par une de ses employés, figure dans un article de nos confères de « Reflets.info ». Sauf que le fichier en question, qui parlait de nano-substances, n’était pas censé franchir l’enceinte de l’institution... Pensant avoir été victime d’un piratage informatique, l’ANSES se rend trois jours plus tard au commissariat de Maisons-Alfort afin de déposer plainte.

 

De premières investigations techniques sont alors réalisées par l’ANSES, lesquelles permettent d’établir que c’est en raison d’une faille de sécurité sur l’extranet de l’institution que ce fichier a été rendu accessible sans identification préalable, de même que de nombreux autres documents. Au total, ce sont près de 8 Go de données qui étaient ainsi téléchargeables, sans aucune protection.

 

Mais l’ANSES étant un « Opérateur d’importance vitale », c’est à la Direction centrale du renseignement intérieur (DCRI) que l’enquête est rapidement confiée. Cette dernière découvre alors sur Reflets un second article contenant d’autres documents provenant du serveur extranet de l’ANSES. Signé par « Bluetouff », le papier en question comportait également un commentaire dans lequel l’auteur indiquait être en possession de 7,7 Go de documents traitant de santé publique.

 

Après être remonté jusqu’à Olivier Laurelli, alias « Bluetouff », grâce aux journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI procède à une perquisition ainsi qu’à l’interpellation de l’intéressé. Durant sa garde à vue, prolongée une fois de 24 heures, le rédacteur de Reflets explique aux autorités que c’est suite à une simple recherche Google qu’il a pu accéder à un répertoire lui permettant de télécharger ces données. Et ce sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question.

 

Bluetouff a par la même occasion signalé aux enquêteurs que l’ANSES n’avait jamais pris contact avec lui afin de réclamer la suppression des données téléchargées. D’ailleurs, l’institution ne s’est même pas portée civile dans cette affaire.

Un seul prévenu, trois chefs d’accusation

Quoi qu’il en soit, Bluetouff devait répondre de trois chefs d’accusation :

  1. D’avoir accédé frauduleusement à l’extranet de l’ANSES,
  2. De s’y être maintenu frauduleusement,
  3. D’avoir soustrait frauduleusement les documents stockés sur cet extranet, en les téléchargeant sur plusieurs supports (dont un disque dur).

En clair, il était accusé d’avoir volé ces près de 8 Go de fichiers. Le tout en ayant accédé aux données en question au moyen d'actes de piratage, et en s’y maintenant de manière tout aussi illicite. Sauf que le tribunal correctionnel de Créteil a décidé en avril 2013 d’innocenter totalement Olivier Laurelli (voir notre article, et la décision sur Legalis).

 

cour appel paris justice tgi

 

L’affaire s’est néanmoins poursuivie devant la cour d’appel de Paris, après que le Parquet a choisi d’interjeter appel de cette décision. Après une audience publique ayant eu lieu courant décembre 2013, la cour a finalement rendu son verdict mercredi dernier (l'arrêt). Et là, surprise : Bluetouff a été relaxé du premier chef d’accusation, celui d’accès frauduleux, mais pas des deux autres. Pourquoi ?

Pas d’accès frauduleux, du fait de la défaillance technique de l'extranet de l'ANSES

Tout d'abord, les magistrats ont estimé qu’il n’y avait pas assez d’éléments permettant de prouver que Bluetouff avait piraté l’extranet de l’ANSES. La cour d’appel a d’ailleurs bien relevé que cet accès « lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système ». Il a donc été innocenté de ce chef d'accusation.

Pour les juges, Bluetouff savait qu’il se maintenait frauduleusement sur cet extranet

Le point le plus délicat concerne le maintien frauduleux dans ce système automatisé de données. En effet, dès lors que cet accès était reconnu comme licite, difficile de comprendre pourquoi s’y maintenir devenait illégal... Les juges s’en sont sortis ici avec une motivation assez simple : ils ont considéré qu’Olivier Laurelli savait qu’il ne devait pas avoir accès à cet espace.

 

Et pour cause : la cour d’appel explique que l’intéressé a reconnu durant sa garde à vue « qu’après être arrivé "par erreur" au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ». De cet aveu, les juges retiennent qu’il est ainsi démontré que Bluetouff « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité ». En somme, le prévenu aurait dû - selon eux - faire immédiatement demi-tour en voyant que l’accès semblait habituellement restreint.

 

anses

 

L’on se souviendra à cet égard de la réponse apportée en 2002 par la même cour d’appel de Paris, qui tranchait alors un litige dans lequel comparaissait un autre membre de la rédaction de Reflets : Kitetoa. Pour relaxer l’intéressé, les juges avaient retenu qu’« il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d'un logiciel grand public de navigation, ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès » (voir l’arrêt). La cour s’était ici appuyée sur la bonne foi du prévenu. Douze ans plus tard, c’est ce même élément intentionnel qui a été pris en considération par les magistrats, jouant cette fois contre son collègue Bluetouff.

Le vol caractérisé par la copie de fichiers, contre le gré de l’ANSES

Enfin, s’agissant du chef d’accusation de vol de ces données informatiques, la cour d’appel retient « qu’il est, en tout état de cause, établi qu’Olivier Laurelli a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ». C’est sur cette base que le chef d’accusation de « vol de données informatiques » au préjudice de l’ANSES a été retenu, le vol étant juridiquement défini comme « la soustraction frauduleuse de la chose d'autrui » (voir l’article 311-1 du Code pénal).

L'affaire se poursuivra devant la Cour de cassation

Résultat des courses : Olivier Laurelli a écopé d'une amende de 3 000 euros, avec inscription de cette peine au casier judiciaire. Si Bluetouff et son avocat ont d'ores et déjà annoncé la semaine dernière qu’ils formaient un pourvoi en cassation, les commentaires relatifs à cette décision ont fleuri ces derniers jours sur la toile. Maître Eolas a ainsi publié un billet dans lequel il explique pourquoi le seul aspect qui le choque vraiment dans cette décision est celui concernant la condamnation pour vol. Extrait :

 

« Sur le vol, la cour est moins diserte, et c’est à mon humble avis le point sur lequel l’arrêt est juridiquement le plus critiquable, et justifie la décision du prévenu de se pourvoir en cassation. La cour estime le vol constitué par le fait d’avoir réalisé des copies des fichiers de l’ANSES à l’insu et contre le gré de l’agence. Sans vouloir souffler aux conseillers de la chambre criminelle, il y a à mon sens une insuffisance de motifs.

 

Le vol est la soustraction frauduleuse de la chose d’autrui. La loi pénale est d’interprétation stricte. On entend par soustraction une appréhension, une appropriation : il faut se comporter en propriétaire de la chose, dépossédant ainsi le véritable propriétaire. La soustraction doit être frauduleuse, c’est à dire en ayant conscience que l’on n’est pas propriétaire de la chose. Or s’agissant d’un fichier informatique, on peut le copier sans jamais déposséder le propriétaire. (...) On peut voler un support informatique (disquette, clef USB, disque dur, CD-ROM…), mais en aucun cas le contenu de cette mémoire. Cette dernière condamnation ne tient pas à mon sens, et on peut espérer que la Cour de cassation y mette bon ordre (même si en cas de renvoi devant une autre cour d’appel, une requalification en contrefaçon n’est pas impossible, auquel cas une condamnation serait envisageable). »

 

La professeur de droit public Roseline Letteron, qui publie régulièrement des billets sur son blog « Liberté, Libertés Chéries », s’est également montrée peu surprise par la décision de la cour d’appel de Paris. L'intéressée a d'ailleurs lancé une pique contre les conclusions un peu trop hâtives. Extrait :

 

« On ne peut que déplorer une vision extrêmement simplificatrice de la "blogosphère" [vis-à-vis de cet arrêt, ndlr]. Bon nombre de commentateurs très présents sur les réseaux sociaux ont feint de croire que la décision ouvrait la porte à une jurisprudence nouvelle. Tout internaute téléchargeant des données indexées par Google serait donc menacé de poursuites pénales, interprétation pour le moins caricaturale de la décision. Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des "Whistleblowers". À sa manière, Bluetouff est un lanceur d'alerte, et les données téléchargées méritaient peut être d'entrer dans le débat public. Mais c'est une autre question, hélas. »

 

Rappelons enfin la réaction d’Olivier Iteanu, l’avocat de Bluetouff, quelques heures après que la cour d’appel de Paris a rendu son délibéré : « Il y a peut-être un avertissement à tous ceux qui sont dans l'investigation, dans la recherche d'informations sur Internet. C’est quelque part un appel à l'auto-censure. Si on est poursuivi parce qu’on a trouvé une information et qu’on est condamné, je trouve que c’est grave » nous avait-il expliqué jeudi.

 

Restera maintenant à voir ce qu'en pense la Cour de cassation. Cette dernière ne se prononcera cependant pas sur le fond de l'affaire, la haute juridiction étant simplement là pour vérifier que les juges de la cour d'appel ont correctement appliqué le droit. 

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un seul prévenu, trois chefs d’accusation

Pas d’accès frauduleux, du fait de la défaillance technique de l'extranet de l'ANSES

Pour les juges, Bluetouff savait qu’il se maintenait frauduleusement sur cet extranet

Le vol caractérisé par la copie de fichiers, contre le gré de l’ANSES

L'affaire se poursuivra devant la Cour de cassation

Commentaires (213)


Je crois qu’on tient la palme d’or de l’aberration juridique.








MrOut a écrit :



Je crois qu’on tient la palme d’or de l’aberration juridique.





Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.




Le chef d’accusation “s’y être maintenu frauduleusement” est lol.



Je vais vite déconnecter de PCI de peur d’attirer la suspicion ! <img data-src=" />


On touche là une fois de plus à ce qu’on peut appeler une condamnation pour intention, comme si la Cour avait sondé le cerveau même de Bluetouff. Sauf s’il avait sciemment annoncé les motivations de son acte, il ne peut y avoir aucune preuve. La présomption d’innocence prévalant toujours, je crains pour la Cour qu’elle ne se soit aventurée sur un terrain mouvant.


Au final, c’est cohérent.

Voir aussi l’article de Me. Eolas :

http://www.maitre-eolas.fr/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%AAtre-conda…








babelouest a écrit :



On touche là une fois de plus à ce qu’on peut appeler une condamnation pour intention, comme si la Cour avait sondé le cerveau même de Bluetouff. Sauf s’il avait sciemment annoncé les motivations de son acte, il ne peut y avoir aucune preuve. La présomption d’innocence prévalant toujours, je crains pour la Cour qu’elle ne se soit aventurée sur un terrain mouvant.







Des preuves, il y en a : son audition lors de sa garde a vue. Il a clairement dit qu’il s’était rendu qu’il était la ou il ne devrait pas être … Selon la loi en cours depuis 30 ans sur l’informatique, il aurait du se déconnecter.



Voir maitre eolas :http://www.maitre-eolas.fr/m/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%AAtre-con…



Question bête…



Lorsqu’il est remonté dans l’arborescence et est arrivé sur la page d’accueil, il se serait rendu compte qu’il y avait une authentification.

Comment savoir sur quelle partie du site, il était nécessaire de s’identifier ?




« Il y a peut-être un avertissement à tous ceux qui sont dans l’investigation, dans la recherche d’informations sur Internet. C’est quelque part un appel à l’auto-censure. Si on est poursuivi parce qu’on a trouvé une information et qu’on est condamné, je trouve que c’est grave » nous avait-il expliqué jeudi.



Rien à rajouter…


Demain les lieux secrets vont donc mettre de grande baies vitrées en pignon sur rue et interpeller pour espionnage tous ceux qui regarderont. Vitres teintées ? plus nécessaires. Accès sécurisés, etc. ? vraf.

Ben ouais, ils savent qu’ils n’ont pas le droit de regarder là.

On dit que la curiosité est un vilain défaut, elle va devenir sujet de délit.



Demain, si vous êtes passionné de propulsion (ionique, plasmique, etc.) et que vous tombez via une simple recherche sur un truc inédit via un moteur de recherche, que forcément ça vous intéresse, qu’éventuellement vous en parlez sur un blog (parce qu’une passion, généralement, ça se partage), vous pourrez être poursuivi en justice, parce que vous serez tombé sur un prototype d’un truc (censé être) protégé.



Magnifique.




« qu’après être arrivé “par erreur” au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ». De cet aveu, les juges retiennent qu’il est ainsi démontré que Bluetouff « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité »





Est-ce qu’on pourrait pas faire un parallèle ?

Je cherche une vidéo sur Youtube sur Google, j’accède au lien direct.

Je me balade sur le site, je finis par tomber sur un formulaire login / mdp pouir accéder à un espace perso, est-ce que je dois en déduire que je n’étais pas censé avoir accès à la première vidéo ?



Ca sent la porte ouverte à du délire juridique cette décision - les juges considèrent qu’il savait - ça parait très léger








Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Tout dépend de ton intention …



Etait ce de dormir sur la proriété privée au frais de la princesse ?

Etait ce de démontrer le manque de sécurité de la propriété ?

Etait ce te faire de la pub avec le battage médiatique qui s’en suit ?



Si ton intention était de démontrer l’incompétence du gardien de propriété, malgré plusieurs avertissements clairs…. Via une “action publique” surtout si cette propriété est publique et que par la même ton action est d’utilité publique/citoyenne… <img data-src=" />



C’est vrai qu’une fois l’émotion passée, et quand on s’éloigne un peu d’un “justice bashing”, l’arrêt paraît moins ridicule qu’au 1er abord, surtout sur le maintien frauduleux dans un extranet.








Dude76 a écrit :



Demain les lieux secrets vont donc mettre de grande baies vitrées en pignon sur rue et interpeller pour espionnage tous ceux qui regarderont. Vitres teintées ? plus nécessaires. Accès sécurisés, etc. ? vraf.

Ben ouais, ils savent qu’ils n’ont pas le droit de regarder là.

On dit que la curiosité est un vilain défaut, elle va devenir sujet de délit.



Demain, si vous êtes passionné de propulsion (ionique, plasmique, etc.) et que vous tombez via une simple recherche sur un truc inédit via un moteur de recherche, que forcément ça vous intéresse, qu’éventuellement vous en parlez sur un blog (parce qu’une passion, généralement, ça se partage), vous pourrez être poursuivi en justice, parce que vous serez tombé sur un prototype d’un truc (censé être) protégé.



Magnifique.





ça donne aussi l’impression que l’on se trompe de fautif…<img data-src=" />

Car ce n’est pas le fait de télécharger le dit fichier qui est choquant, mais le fait qu’il soit rendu accessible au grand via google alors qu’il était censé être confidentiel … <img data-src=" />

On légitime quand même l’incompétence là … <img data-src=" />









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Ce n’est pas parce que il y a présence d’un formulaire de login que tout le site est bloqué/fermé.









0rsa a écrit :



Est-ce qu’on pourrait pas faire un parallèle ?

Je cherche une vidéo sur Youtube sur Google, j’accède au lien direct.

Je me balade sur le site, je finis par tomber sur un formulaire login / mdp pouir accéder à un espace perso, est-ce que je dois en déduire que je n’étais pas censé avoir accès à la première vidéo ?



Ca sent la porte ouverte à du délire juridique cette décision - les juges considèrent qu’il savait - ça parait très léger







Surtout qu’un extranet peut avoir une partie libre et une partie sécurisée je pense, donc aucun moyen de savoir si c’est un défaut de sécurisation (tiens ça me fait penser, faudrait faire appel à l’HADOPI pour venir au secour de bluetouff <img data-src=" />) ou des documents en libre accès.



Comme le dit Maitre Eolas d’un point de vue purement juridique, seule la condamnation pour vol peut être attaquée (et pour les raisons qu’il avance).



Pour le reste et notamment pour le maintien frauduleux sur un site extranet, désolé mais:




  • Il ne s’agit pas d’un péquin moyen, donc il savait ce qu’il faisait (et ou il se trouvait)

  • d’autant plus que s’il a pu trouver un fichier avec Google, il a téléchargé tous les autres qui étaient présents.



    On est donc loin de Mme Michu qui tombe par hasard sur la route planifiée d’un de nos sous marin nucléaire via Google.



    Quant à ce que dit son avocat: concernant l’investigation, rien ne l’obligeait à faire une copie de tout ce qui se trouvait sur le site (et encore moins de s’en vanter). Il aurait pu pondre un article puis effacer les sources (ou dire qu’il l’avait fait), etc. etc.








Dude76 a écrit :



Demain les lieux secrets vont donc mettre de grande baies vitrées en pignon sur rue et interpeller pour espionnage tous ceux qui regarderont. Vitres teintées ? plus nécessaires. Accès sécurisés, etc. ? vraf.

Ben ouais, ils savent qu’ils n’ont pas le droit de regarder là.

On dit que la curiosité est un vilain défaut, elle va devenir sujet de délit.



Demain, si vous êtes passionné de propulsion (ionique, plasmique, etc.) et que vous tombez via une simple recherche sur un truc inédit via un moteur de recherche, que forcément ça vous intéresse, qu’éventuellement vous en parlez sur un blog (parce qu’une passion, généralement, ça se partage), vous pourrez être poursuivi en justice, parce que vous serez tombé sur un prototype d’un truc (censé être) protégé.



Magnifique.





On peut aller plus loin :



Si vous prévenez une boite que des fichiers se baladent sur le net alors qu’ils sont censés être protégés, vous pourrez être poursuivi aussi.



De peur de vous faire arrêter, vous préférez ne pas prévenir, de toute façon la boite n’avait qu’à embaucher un admin compétent.



Bien sûr, si vous pouvez y accéder, alors d’autres aussi, que ce soit des concurrents, d’autres pays, etc… peu importe : entre risquer d’être poursuivi en justice en prévenant d’un potentiel espionnage industriel et votre tranquillité, le choix est vite vu.









caesar a écrit :



Tout dépend de ton intention …





Ici l’intention était claire puisque la récupération des Go de documents a fait l’objet d’un publication sans autorisation des auteurs.



Si demain, j’entre dans une propriété mal sécurisée et que je dérobe sciemment des objets, je serais aussi inculpé.



Oh ce sous-titre <img data-src=" />

Fallait oser <img data-src=" /><img data-src=" />



<img data-src=" />








Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







C’est plus compliqué que ça. Comme l’a expliqué Bluetouff plusieurs fois, rien n’empêche d’avoir une partie publique dans truc qui semble privé. tu peux très bien avoir un truc du stylehttp://mon_site.com/privé/public

En gros, la seule chose à laquelle tu peux te fier c’est ce que te dit le serveur. C’est le seul à pouvoir t’indiquer où tu es et ce que tu peux faire. C’est son job.



http://reflets.info/letrange-confrontation-entre-le-droit-et-la-technique/



Ce que dit Eolas par contre, si j’ai bien compris son article, c’est que c’est justement le taf de l’avocat de faire de la pédagogie au juge pour lui expliquer réellement les faits.









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Non, ce n’est pas “exactement pareil”. Le fait que la page d’accueil soit protégée (ou présente ce qui suggère un dispositif de contrôle d’accès) n’est pas suffisant pour protéger l’intégralité du site Internet. Déduire directement que le contenu que Bluetouff a téléchargé n’était pas public teint de la sur-interprétation.

Les faits sont là : ce n’était pas protégé, et donc disponible publiquement concrètement.





Il est vrai que ce point est le moins problématique dans cette décision de justice, Bluetouff a lui-même reconnu avoir senti qu’un dispositif de contrôle d’accès aurait dû l’empêcher, lui et le robot Google, de consulter ces documents.

On notera la bonne foi certaine de Bluetouff à ce sujet. Les données n’étaient clairement pas dignes d’une mise au secret d’État…





Le point le plus risible et presque parodique se place au niveau de la mention de “vol” des données de l’ANSES par Bluetouff. Il n’y a pas eu “soustraction” mais bien “copie”, ce qui au sens juridique est réellement différent.



Je trouve qu’il y a quand même un énorme problème avec cette décision, sur le point “qu’il est, en tout état de cause, établi qu’Olivier Laurelli a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire”.



Or la cour a reconnu que les fichiers en question étaient bien accessibles au public, même si ce n’était pas normal, puisqu’ils ont reconnus que l’accès était licite. Pour moi il y a un très gros problème de logique ici.








Pazns a écrit :



Non, ce n’est pas “exactement pareil”. Le fait que la page d’accueil soit protégée (ou présente ce qui suggère un dispositif de contrôle d’accès) n’est pas suffisant pour protéger l’intégralité du site Internet. Déduire directement que le contenu que Bluetouff a téléchargé n’était pas public teint de la sur-interprétation.

Les faits sont là : ce n’était pas protégé, et donc disponible publiquement concrètement.





Il est vrai que ce point est le moins problématique dans cette décision de justice, Bluetouff a lui-même reconnu avoir senti qu’un dispositif de contrôle d’accès aurait dû l’empêcher, lui et le robot Google, de consulter ces documents.

On notera la bonne foi certaine de Bluetouff à ce sujet. Les données n’étaient clairement pas dignes d’une mise au secret d’État…





Le point le plus risible et presque parodique se place au niveau de la mention de “vol” des données de l’ANSES par Bluetouff. Il n’y a pas eu “soustraction” mais bien “copie”, ce qui au sens juridique est réellement différent.





les codes HTTP 401 et 403 sont censé être utilisés dans ces cas, ils sont clairement défini dans le protocole HTTP. <img data-src=" />









Crysalide a écrit :



Ici l’intention était claire puisque la récupération des Go de documents a fait l’objet d’un publication sans autorisation des auteurs.



Si demain, j’entre dans une propriété mal sécurisée et que je dérobe sciemment des objets, je serais aussi inculpé.







L’analogie est mauvaise car dans ton cas c’est bien du “vol” et non de la “copie”.









Haseo a écrit :



Je trouve qu’il y a quand même un énorme problème avec cette décision, sur le point “qu’il est, en tout état de cause, établi qu’Olivier Laurelli a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire”.



Or la cour a reconnu que les fichiers en question étaient bien accessibles au public, même si ce n’était pas normal, puisqu’ils ont reconnus que l’accès était licite. Pour moi il y a un très gros problème de logique ici.







Tu laisses la porte de ta maison ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?









feuille_de_lune a écrit :



les codes HTTP 401 et 403 sont censé être utilisé dans ces cas, ils sont clairement défini dans le protocole HTTP. <img data-src=" />







Euh, oui, et ?



Je n’ai pas compris là où tu veux en venir.









Pazns a écrit :



L’analogie est mauvaise car dans ton cas c’est bien du “vol” et non de la “copie”.







Tu n’as qu’à remplacer le verbe “dérober” par le verbe “photographier”…









Pazns a écrit :



Euh, oui, et ?



Je n’ai pas compris là où tu veux en venir.





Le serveur web n’aurait pas du permettre ces actions par l’utilisation d’un de ces deux codes. La faute est dans les deux camps.









carbier a écrit :



Tu n’as qu’à remplacer le verbe “dérober” par le verbe “photographier”…







J’avais bien compris ce que tu voulais faire remarquer, c’est juste que ce souci de vocabulaire a la vie dure <img data-src=" />









Krinosk a écrit :



C’est vrai qu’une fois l’émotion passée, et quand on s’éloigne un peu d’un “justice bashing”, l’arrêt paraît moins ridicule qu’au 1er abord, surtout sur le maintien frauduleux dans un extranet.







Ca me rappelle une discussion il y a pas longtemps…



Ah ben oui, c’était sur l’article précédent dis-donc:







brazomyna a écrit :



Compte rendu du jugement:

en gros il avait conscience d’être sur une zone dans laquelle il n’était pas censé avoir le droit d’aller. La notion de maintien devient alros compréhensible puisque:




  • il n’avait pas conscience des restrictions d’accès au moment où il entre sur le serveur

  • il en prend conscience en cours de route.

  • il continue quand même de télécharger le contenu.





    Ca apporte un éclairage assez différent de la version relayée par les médias.









    brazomyna a écrit :



    Vient ensuite le jugement de la première instance qui l’a relaxé. C’est manifestement cette conclusion qui a fait débat en appel.

    “Monsieur Olivier L. a pu donc légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système.”









    Khalev a écrit :



    C’est contestable. Le fait qu’il y ait une page d’authentification ne prouve aucunement que les documents rangés en aval de cette page nécessitent cette authentification







    brazomyna a écrit :



    Je suis s’accord, et le jugement en première instance l’a considéré ainsi. Je me borne à relater l’ensemble des faits étant donné que ça manque (cruellement) dans l’article de pci.









    brazomyna a écrit :



    La logique voudrait que quand tu t’aperçois que ce que tu as téléchargé est manifestement censé être protégé, tu effaces ce que tu viens de télécharger.

    Au pire, si tu as juste oublié les fichiers dans un coin du disque, tu ne t’en sers pas ensuite pour faire des articles.

    Enfin, quand tu as un doute, et la page avec login/mdp doit logiquement mettre le doute, le plus simple était quand même de contacter directement l’organisme pour en avoir le coeur net



    C’est mon opinion personnelle quant à la bonne foi du bonhomme: pour ma petite opinion personnelle, je pense que j’ai suffisamment d’éléments qui prouvent qu’il a sciemment téléchargé/gardé/utilisé des documents qu’il savait confidentiels.



    Sauf que sa petite opinion personnelle et le droit ce sont deux choses distinctes. Ca ne m’empêche donc pas pour autant de considérer que le droit devrait avoir une lecture différente de la situation. Le droit devrait être rendu en prenant en compte la présomption d’innocence, or, comme tu le dis bien:



    Il n’a pas été lui-même à ce niveau de détail.

    Il n’a pas été produit une analyse de logs qui permettait d’affirmer cela.

    Donc les 2 points du jugement en appel (qui normalement reprennent les faits exposés en première instance) ne s’appuient sur aucune preuve.

    Cela doit donc être cassable.



    Et donc en l’absence de preuves (qu’il a sciemment téléchargé/gardé/utilisé des documents qu’il savait confidentiels) le seul jugement qui devrait être rendu devrait être la relaxe pure et simple. Notamment parce que ça créé un dangereux précédent.







    <img data-src=" /> <img data-src=" />









Dude76 a écrit :



Demain, si vous êtes passionné de propulsion (ionique, plasmique, etc.) et que vous tombez via une simple recherche sur un truc inédit via un moteur de recherche, que forcément ça vous intéresse, qu’éventuellement vous en parlez sur un blog (parce qu’une passion, généralement, ça se partage), vous pourrez être poursuivi en justice, parce que vous serez tombé sur un prototype d’un truc (censé être) protégé.



Magnifique.





Un truc comme ces plans secrets d’un avion non polluant par exemple ?

Je l’ai déjà posté sur une autre news du même sujet, mais j’aime partager les trésors que je trouve.







Attention, ne cliquez pas, vous allez être passible de poursuites. Trop tard ? Tant pis pour vous.



Et si je vais en plus chercher dans le même site en remontant l’arborescence et lire cet annuaire :http://www.dac-s.aviation-civile.gouv.fr/IMG/xls/annuaire_dac_sud.xls je commets aussi un vol de données ?









Je vous rassure, cet annuaire est inoffensif (si je puis dire) et l’organisme en question ne peut être poursuivi par la CNIL pour défaut de protection de données personnelles.









feuille_de_lune a écrit :



Le serveur web n’aurait pas du permettre ces actions par l’utilisation d’un de ces deux codes. La faute est dans les deux camps.







En effet, l’administrateur du site web a mal fait son boulot.

Pour ce qui est de Bluetouff, sa plus importante erreur est d’avoir reconnu avoir compris que les documents n’étaient pas censés être disponibles publiquement.

Il aurait dû omettre ce fait, sa bonne foi étant dès lors décrédibilisée.









Haseo a écrit :



Or la cour a reconnu que les fichiers en question étaient bien accessibles au public, même si ce n’était pas normal, puisqu’ils ont reconnus que l’accès était licite. Pour moi il y a un très gros problème de logique ici.







Le problème n’est pas que les fichiers étaient accessible au public, mais qu’ils ne devaient pas l’être, et que “Bluetouff” a reconnu pendant sa garde à vue, qu’il s’était aperçu que les fichiers auraient du être protégé. D’ailleurs, il aurait fermé sa gueule, il aurait pu échappé à la condamnation en prétendant qu’il savait pas.



La morale de l’histoire, c’est qu’en garde à vue, innocent ou coupable, il faut se taire.









Dude76 a écrit :



Demain les lieux secrets vont donc mettre de grande baies vitrées en pignon sur rue et interpeller pour espionnage tous ceux qui regarderont. Vitres teintées ? plus nécessaires. Accès sécurisés, etc. ? vraf.

Ben ouais, ils savent qu’ils n’ont pas le droit de regarder là.

On dit que la curiosité est un vilain défaut, elle va devenir sujet de délit.



Demain, si vous êtes passionné de propulsion (ionique, plasmique, etc.) et que vous tombez via une simple recherche sur un truc inédit via un moteur de recherche, que forcément ça vous intéresse, qu’éventuellement vous en parlez sur un blog (parce qu’une passion, généralement, ça se partage), vous pourrez être poursuivi en justice, parce que vous serez tombé sur un prototype d’un truc (censé être) protégé.



Magnifique.







C’est simplement le droit d’en connaître.



J’ai moi même accès à des informations et documents voir même à lire et corriger mais je n’ai pas le droit d’en avoir connaissance, je n’ai jamais lu/vu et n’ai aucune information concernant ces documents.



Le problème c’est qu’avec l’humain un peu con de base ça ne fonctionne pas, faut de grosses barrières et un bain d’acide pour espérer qu’il n’y ait pas un con qui se dise (bon, y a quand même un moyen, donc j’ai le droit hein ? steuppllééé j’suis juste un abruti c’pas ma faute).



Il y a qu’à voir sur la route, le code existe bien et il est interdit de l’enfreindre, pourtant des gens le font quand même !!









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Sauf que si la pancarte propriété privée est cachée au sol sous 30 cm de broussaille tu vas avoir du mal à savoir que tu es sur une propriété privée. l’ANSES elle-même n’est pas partie civile!! Si ce n’est pas politique et qu’on veut en faire un exemple…



Je n’ai pas vu l’article de Bluetouff qui à suivie les fait, mais qu’a-t’y fait des données qu’il a copié ?

A priori, il se savait être dans une zone privé/confidentiel (en tout cas, supposons le).

S’il n’a rien révélé de leur contenu, qu’il les as donc télécharger comme preuve de l’incompétence, je ne vois pas trop le problème. C’est le principe d’un White Hat.

Au contraire, s’il les a télécharger, analysé et exploité leur contenu en vu de les publié, bon, là, il y a matière a discussion.








NonMais a écrit :



Sauf que si la pancarte propriété privée est cachée au sol sous 30 cm de broussaille tu vas avoir du mal à savoir que tu es sur une propriété privée.





C’est pour ça que le droit n’est pas rendu par des machines, mais par des Hommes à même de prendre en compte la situation particulière.

Or ici, on a un gugus qui a admis lui-même qu’il avait vu la page de login. La cour considère manifestement qu’il aurait dû à minima avoir un doute suffisant pour chercher à clarifier les choses avant de télécharger/utiliser les documents.



En ce sens, c’est loin d’être idiot comme jugement.





Si ce n’est pas politique et qu’on veut en faire un exemple…



Non, mais bien plus que ça: c’est une conspiration entre Rosewell, AlQuaida, Bush, les tours qui ne sont jamais tombées et une tentative opportune de Hollande de détourner l’attention des péripéties de sa bite. <img data-src=" />









durthu a écrit :



Question bête…

Comment savoir sur quelle partie du site, il était nécessaire de s’identifier ?







Techniquement c’est à mon avis impossible <img data-src=" /> (je peux le prouver <img data-src=" /> <img data-src=" />)



Bon sinon, ça a l’air d’être la fête à l’analogie foireuse au dessus de moi <img data-src=" />









brazomyna a écrit :



Non, mais bien plus que ça: c’est une conspiration entre Rosewell, AlQuaida, Bush, les tours qui ne sont jamais tombées et une tentative opportune de Hollande de détourner l’attention des péripéties de sa bite. <img data-src=" />







Pourquoi le Parquet a continué les poursuites, alors que le tribunal correctionnel de Créteil avait innocenté Bluetouff, l’ANSES n’ayant elle-même pas fait appel de cette décision ?









Pazns a écrit :



Pourquoi le Parquet a continué les poursuites, alors que le tribunal correctionnel de Créteil avait innocenté Bluetouff, l’ANSES n’ayant elle-même pas fait appel de cette décision ?





D’une tu comprendras que la charge de la preuve de (non) conspirationisme ne m’incombe pas.



De deux, l’ANSES fait partie des autorités qui sont suivies par les renseignements généraux, de par la nature des informations qu’elle manipule. Et sauf erreur de ma part ce sont les RG qui ont posé une demande d’appel, et ça constitue une partie de leur boulot.









brazomyna a écrit :



D’une tu comprendras que la charge de la preuve de (non) conspirationisme ne m’incombe pas.







Je ne demandais pas ça par rapport au paragraphe sur les complots spécifiquement, c’était juste pour utiliser le système d’alerte de PCInpact <img data-src=" />









carbier a écrit :



Tu laisses la porte de ta maison ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?





Oui à la première question.

Code pénal - Article 226-4 :



L’introduction ou le maintien dans le domicile d’autrui à l’aide de manoeuvres, menaces, voies de fait ou contrainte, hors les cas où la loi le permet, est puni d’un an d’emprisonnement et de 15 000 euros d’amende.





Si la porte n’est pas fermée à clé, on peut entrer sans manœuvres ou autres cas prévus par la loi.

On fait tout au plus preuve d’impolitesse d’entrer sans frapper ni demander l’autorisation.



On remarquera que la loi a copié sur la vie de tous les jours la caractérisation des faits sur un système informatique : Code pénal - Article 323-1 alinéa 1



Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.



Sauf que : c’est moins bien écrit (on n’explique pas ce qui est frauduleux) et la peine peut être doublée par rapport à la vie de tous les jours ! On punit plus ce que l’on ne comprend pas bien.

C’est entre autre sur le flou du maintien frauduleux qu’il a pu être condamné.



Sûrement non à la seconde question.









brazomyna a écrit :



D’une tu comprendras que la charge de la preuve de (non) conspirationisme ne m’incombe pas.



De deux, l’ANSES fait partie des autorités qui sont suivies par les renseignements généraux, de par la nature des informations qu’elle manipule.

Et sauf erreur de ma part ce sont les RG qui ont posé une demande d’appel, et ça constitue leur boulot.







De toute façon, rien n’empêchait “legalement” le parquet de faire appel s’il estimait le jugement / peine “non conforme”.



L’article d’Eolas recadre bien juridiquement les choses…









brazomyna a écrit :



Et sauf erreur de ma part ce sont les RG qui ont posé une demande d’appel, et ça constitue leur boulot.







1/ C’est la DCRI qui a mené l’enquête. Les RG ça n’existe plus depuis 2008

2/ Ce ne sont pas les enquêteurs qui font appel. En l’occurrence, c’est le parquet qui a fait appel. Et ce n’est pas le boulot d’enquêteurs de faire appel q’une décision de justice. Leur boulot c’est d’enquêter, c’est tout



<img data-src=" />









tazvld a écrit :



Je n’ai pas vu l’article de Bluetouff qui à suivie les fait, mais qu’a-t’y fait des données qu’il a copié ?

A priori, il se savait être dans une zone privé/confidentiel (en tout cas, supposons le).

S’il n’a rien révélé de leur contenu, qu’il les as donc télécharger comme preuve de l’incompétence, je ne vois pas trop le problème. C’est le principe d’un White Hat.

Au contraire, s’il les a télécharger, analysé et exploité leur contenu en vu de les publié, bon, là, il y a matière a discussion.







De mémoire il avait essayé de les fourguer à des journaleux, personne lui a pris, il en a pondu lui même des articles.



Encore un petit con qui se croyait malin en voulant jouer les justiciers d’opérette.



kick in the teeth ! <img data-src=" />


Je pense qu’on tiens pour la même raison dans ce cas le droit de couper Google en France.

Google rentre dans tous les répertoires ouverts sans se soucier si ce sont des parties privées ouvertes par erreur un peu comme si vous laisser votre pote de maison ouverte et qu’un service de photographe y vienne sans que vous puissiez y faire quelque chose ..

L’intention de Google n’est certes pas de rentrer absolument dans tous les Intranet

ouverts par erreur mais on peu se douter qu’il en sera ainsi vu le mode opératoire

du robot. Il n’y a pas plus de raison que Google entre dans des répertoires privés

ouverts par erreur que moi ou Bluetouff .

La solution: Google doit vous avertir à priori qu’il va publier vos Url et vous devez donner votre accord… S’ il n’a pas les moyens de le faire (pas d’adresse) il ne publie pas. Vous pouvez donnez votre accord à priori en l’indiquant dans vos entêtes mais vous signifiez aussi que toutes les informations fournies en clair sur le site sont indexables et utilisables dans la limite des copyright et que personne ne pourra être poursuivi même en cas d’erreur de votre part.




Comment tuer les moteurs d'indexation ...   





Si je me fait prendre comme Bluetouff, je dirai que je suis un robot biologique et que je n’ai pas de conscience de ce qui est bien ou ce qui est mal … Au fait, Buetouff n’a pas des antécédents d’autisme ? ça pourrait aider pour la cassation …








brazomyna a écrit :



Et sauf erreur de ma part ce sont les RG qui ont posé une demande d’appel, et ça constitue une partie de leur boulot.







Leur boulot c’est donc de taper sur ceux qui découvre des failles ridicules plutôt que de pénaliser ceux qui en sont responsable, très français <img data-src=" />









fred42 a écrit :



C’est entre autre sur le flou du maintien frauduleux qu’il a pu être condamné.







Malheureusement pour lui, il a reconnu lui même lors de sa gav qu’il avait accéder à une partie “privée” (via une faille) du dit-site.



C’est clairement sur ses déclarations que le juge l’a condamné (pour maintien frauduleux).



Apres, comme l’a noté Eolas dans son article, seule la dernière condamnation (vol de données) aura des chances d’être cassée en cassation.



La Hadopi devrait condamner l’ANSES pour défaut de sécurisation plutot non ? <img data-src=" />









jethro a écrit :



Encore un petit con qui se croyait malin en voulant jouer les justiciers d’opérette.



kick in the teeth ! <img data-src=" />







Tu ne sembles pas savoir de qui et de quoi tu parles <img data-src=" />









tot0che a écrit :



La Hadopi devrait condamner l’ANSES pour défaut de sécurisation plutot non ? <img data-src=" />







Mais non, l’ANSES n’a rien téléchargé elle ;-)



J’ai beaucoup de mal à comprendre comment le fait d’avoir un portail sécurisé implique forcément que des fichiers dans le même dossier sont confidentiel. Et je vois pas comment ça peu tenir la route au niveau juridique : si ce n’est pas précisé sur le portail de connexion que cela concerne l’ensemble des fichiers concerné, ou est la preuve que Bluetooth savait que le portail de connexion était censé concerner ces fichiers ?

Je suis étonné que Maitre Eolas n’en parle pas, pour moi c’est loin d’être une preuve incontestable. Beaucoup de sites ont des pages d’identifications (back-office) ET des dossiers réellement publics.


Oui mais il y a négligence caractérisé sur la sécurisation de leur extranet



Hadopi ne condamne pas le téléchargement <img data-src=" />








Silenus a écrit :



Malheureusement pour lui, il a reconnu lui même lors de sa gav qu’il avait accéder à une partie “privée” (via une faille) du dit-site.







Il le pensait en tout cas, mais qu’elle est la preuve que ces fichiers étaient réellement privés si ils étaient en libre accès <img data-src=" />



Il y a aucun moyen d’être sûr que c’est pas voulu.





Les juges s’en sont sortis ici avec une motivation assez simple : ils ont considéré qu’Olivier Laurelli savait qu’il ne devait pas avoir accès à cet espace.



Heuuu … faudrait pas revoir les procès de juste tous les politiciens amenés en justice et relaxés pour raisons fallacieuses ? Ils ne savaient pas pertinemment, eux, qu’ils violait la loi ?








blackdream a écrit :



J’ai beaucoup de mal à comprendre comment le fait d’avoir un portail sécurisé implique forcément que des fichiers dans le même dossier sont confidentiel. Et je vois pas comment ça peu tenir la route au niveau juridique : si ce n’est pas précisé sur le portail de connexion que cela concerne l’ensemble des fichiers concerné, ou est la preuve que Bluetooth savait que le portail de connexion était censé concerner ces fichiers ?

Je suis étonné que Maitre Eolas n’en parle pas, pour moi c’est loin d’être une preuve incontestable. Beaucoup de sites ont des pages d’identifications (back-office) ET des dossiers réellement publics.









Si Bluetouff n’avait pas fait remarqué qu’il avait vite compris que les documents n’étaient pas dans un espace voulu public, cette histoire de “maintien frauduleux” aurait été démontée instantanément.

Dans les faits, il a reconnu sa “faute” (le maintien là où il ne fallait pas) lors de sa garde-à-vue.









Jean_Peuplus a écrit :



Il le pensait en tout cas, mais qu’elle est la preuve que ces fichiers étaient réellement privés si ils étaient en libre accès <img data-src=" />



Il y a aucun moyen d’être sûr que c’est pas voulu.









C’est là le souci de la situation : s’il n’avait jamais évoqué ce fait (d’avoir pensé être dans un espace censé être verrouillé), il n’aurait pas été inquiété à ce sujet.



Il a mal joué, on peut dire.



Aux lanceurs d’alertes français et autres personnes trop curieuses : laissez tomber vos investigations, et laissez la France se faire voler des données par des étrangers mal intentionnés. Même si c’est un pauvre civil traçable par son IP, ils ne pourront rien faire.





Nos dirigeants qui pensent à notre place, ne savent que réagir de façon virulente face aux drames. Prévention, anticipation et sécurisation sont des mots bannis du vocabulaire. Le concept “un drame, une loi”, ça ne vous dit rien ?

Du coup, il faut faire la technique appliquer la technique de “la truffe dans leur propre merde”. Il n’y a que comme ça qu’ils apprennent.



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />








Pazns a écrit :



C’est là le souci de la situation : s’il n’avait jamais évoqué ce fait (d’avoir pensé être dans un espace censé être verrouillé), il n’aurait pas été inquiété à ce sujet.



Il a mal joué, on peut dire.









Je suis pas juriste mais une déposition est elle si puissante que ça ?

L’utilisation de l’affirmatif au lieu du conditionnel dans une déposition te fait passer de coupable à blanchi ?



N’empêche, ça peut donner des idées pour tendre des pièges à des journalistes, non ? Une “fausse” faille de sécurité menant à des documents… et hop on porte plainte…



Même si Bluetoof pensait bien qu’il n’avait théoriquement pas accès à ces données, toujours est-il qu’elles étaient mises à disposition du publique…








Tuttle7 a écrit :



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />







super, il nous manque plus que la comparaison traditionnelle avec la bagnole.









Crysalide a écrit :



Ici l’intention était claire puisque la récupération des Go de documents a fait l’objet d’un publication sans autorisation des auteurs.



Si demain, j’entre dans une propriété mal sécurisée et que je dérobe sciemment des objets, je serais aussi inculpé.









…. ouais il voulait surement publier des informations de premier ordre, son but n’était pas d’avertir le public sur le manque de sécurité de l’organe public… <img data-src=" />









brazomyna a écrit :



C’est pour ça que le droit n’est pas rendu par des machines, mais par des Hommes à même de prendre en compte la situation particulière.

Or ici, on a un gugus qui a admis lui-même qu’il avait vu la page de login. La cour considère manifestement qu’il aurait dû à minima avoir un doute suffisant pour chercher à clarifier les choses avant de télécharger/utiliser les documents.



En ce sens, c’est loin d’être idiot comme jugement.





Non, mais bien plus que ça: c’est une conspiration entre Rosewell, AlQuaida, Bush, les tours qui ne sont jamais tombées et une tentative opportune de Hollande de détourner l’attention des péripéties de sa bite. <img data-src=" />





<img data-src=" />



Mais d’un autre côté, ce n’est pas parce qu’il un .htaccess ou je ne sais plus inopérant que forcément tu es dans l’illégalité. Enfin globalement je trouve ça dangereux, tu as le droit d’entrée, les docs ne sont pas estampillés “doc internes uniquement”, etc… : je trouve que ça va donner une jurisprudence dangereuse.

Après je comprends aussi tes arguments mais bon ce n’était pas manifestement interdit, donc pour moi c’était permis. Parce que là on en vient encore une fois à retourner la situation : au lieu de tant que ce n’est pas interdit c’est permis, on en vient, es-tu vraiment sûr que c’est permis, sinon considère que c’est interdit =&gt; autocensure comme le dit très bien l’avocat.









carbier a écrit :



Tu laisses la porte de ta maison ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?







Là n’est pas la question, si tu laisses ton wifi ouvert à tout le monde ou que ton voisin le pirate (sans même le savoir) et qu’on l’utilise a ton insu, tu peux te faire épingler pour négligence caractérisé car on aura fait des conneries avec ta ligne et que tu n’auras pas su la protéger, la dans le cadre d’un extranet, ce n’est plus la même chose, pourquoi ?



Si ces documents sont d’ordre privé, ils n’ont pas a être accessible par tout le monde via une simple recherche. Comme dit dans la news, c’est clairement pour que les blogueurs et autres “vrais” journaliste s’auto censure si ils tombent sur des documents sensible dispo sur le web sans authentification (Du wikileaks proof ?)









Jean_Peuplus a écrit :



super, il nous manque plus que la comparaison traditionnelle avec la bagnole.







Internet n’est pas une zone de non droit, il existe déjà des lois simples à comprendre, qui relèvent du bon sens.



La où ça deviens intéressant, comment l’ANSES aurait réagi si l’intéressé aurait signalé “l’accès libre”.









Jean_Peuplus a écrit :



Je suis pas juriste mais une déposition est elle si puissante que ça ?

L’utilisation de l’affirmatif au lieu du conditionnel dans une déposition te fait passer de coupable à blanchi ?







Oui, nos propres mots sont très puissants à notre encontre, même en garde-à-vue, lorsqu’on a affaire avec la justice.









Jean_Peuplus a écrit :



super, il nous manque plus que la comparaison traditionnelle avec la bagnole.





Mon voisin laisse sa voiture ouverte, avec ses documents porno secrets verrouillés dans le coffre.

Seulement, il y a un moteur de recherche singe dressé à l’arrière qui abaisse la banquette et révèle un accès au coffre.

Mes yeux voient les document secrets.

Mon voisin surgit d’un buisson, en tenue de camouflage fluorescente, et hurle “Ah-ah !”.



Analogie avec la voiture : done <img data-src=" />









durthu a écrit :



Lorsqu’il est remonté dans l’arborescence et est arrivé sur la page d’accueil, il se serait rendu compte qu’il y avait une authentification.

Comment savoir sur quelle partie du site, il était nécessaire de s’identifier ?





C’est à mon avis la grande faiblesse de la justification de la condamnation sur la base du second chef d’accusation. N’ayant pas personnellement pu visiter les serveurs de l’ANSES, si on suppose que Bluetouff a accédé via Google à un lien du genrehttp://extranet.anses.fr/documents/colloques/2012/nanoparticules.ppt et a exploré l’arborescence à partir de là, rien ne dit que la page d’authentification ne permettait pas en fait d’accéder à l’arborescence qui prends racine àhttp://extranet.anses.fr/documents-prives. Bien sûr à mon sens, cet argument ne tient pas si l’URL trouvée à l’aide de Google contenait des informations permettant de supposer que les documents étaient privés avant même d’y accéder.



Je suis d’ailleurs curieux de savoir à partir de quelle page publique Google a pu accéder à l’arborescence de l’ANSES.



Sinon je trouve l’extrait de l’article de Roseline Letteron très juste.









Tuttle7 a écrit :



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />







La porte de ton voisin est tjrs ouverte, tu l’as averti des dangers de laisser sa porte ouverte, ton voisin continue de faire de même. Tu t’introduis chez lui après l’avoir avertis des conséquences possibles, et ce afin de montrer les conséquences de sa négligence (caractérisée j’oserais dire… étant donné les multiples relances (peut être même la dernière par recommandé) à lui comme aux investisseurs (ici le public).









Jean_Peuplus a écrit :



Je suis pas juriste mais une déposition est elle si puissante que ça ?

L’utilisation de l’affirmatif au lieu du conditionnel dans une déposition te fait passer de coupable à blanchi ?





Bah apparemment oui, le temps employé fait passer la déposition au statut d’aveux : la différence entre douter de la légalité ou la certitude de l’illégalité.



C’est décidé, si un jour je passe en garde à vue, je ferme ma gueule et laisse un avocat répondre au questions.









Pazns a écrit :



Pour ce qui est de Bluetouff, sa plus importante erreur est d’avoir reconnu avoir compris que les documents n’étaient pas censés être disponibles publiquement.









cyrilleberger a écrit :



(…) et que “Bluetouff” a reconnu pendant sa garde à vue, qu’il s’était aperçu que les fichiers auraient du être protégé.









brazomyna a écrit :



(…)

Or ici, on a un gugus qui a admis lui-même qu’il avait vu la page de login. La cour considère manifestement qu’il aurait dû à minima avoir un doute suffisant pour chercher à clarifier les choses avant de télécharger/utiliser les documents.







J’ai vraiment dû manquer une information…

Où est-il indiqué que Bluetouff a admis avoir compris que les fichiers devaient être protégés ? Je ne trouve réellement pas cette information… Quelqu’un peut me citer le truc ?

Non, parce que je campe un peu sur ma position alors que oui, s’il a admis cela, je comprends bien le “maintien frauduleux”…



Il a par contre effectivement admis être tombé à un instant T devant une mécanisme d’identification. De là à dire que la démonstration de l’évidence (de la protection) est faite… c’est quand même bien bancale.



“Avez-vous vu une page d’identification sur la page d’accueil ?” : “oui”.

“En avez-vous alors déduis que les documents pouvaient être protégés ?” : “non”.









BreizFenrir a écrit :



N’ayant pas personnellement pu visiter les serveurs de l’ANSES, si on suppose que Bluetouff a accédé via Google à un lien du genrehttp://extranet.anses.fr/documents/colloques/2012/nanoparticules.ppt et a exploré l’arborescence à partir de là







<img data-src=" /> juste site:gouv.fr intitle:“index of









Tuttle7 a écrit :



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />







Faut arrêter avec cet argument : la maison de son voisin, elle est entièrement privée, on le sait. Donc effectivement, on ne se sert pas à l’intérieur.



Un extranet, comme répété maintes et maintes fois, ça peut contenir des parties privées et des parties publiques, donc c’est différent.



Par contre, comme suggéré par d’autres un peu plus tôt, quitte à condamner Bluetouff, alors autant condamner Google aussi, car pour indexer les pages, leur outil a dû accéder et se maintenir dans ce même système d’information.









malock a écrit :



J’ai vraiment dû manquer une information…

Où est-il indiqué que Bluetouff a admis avoir compris que les fichiers devaient être protégés ? Je ne trouve réellement pas cette information… Quelqu’un peut me citer le truc ?

Non, parce que je campe un peu sur ma position alors que oui, s’il a admis cela, je comprends bien le “maintien frauduleux”…



Il a par contre effectivement admis être tombé à un instant T devant une mécanisme d’identification. De là à dire que la démonstration de l’évidence (de la protection) est faite… c’est quand même bien bancale.



“Avez-vous vu une page d’identification sur la page d’accueil ?” : “oui”.

“En avez-vous alors déduis que les documents pouvaient être protégés ?” : “non”.







sauf qu’il n’est pas stupide et ne plaide pas l’incompétence et la naïveté, je crois … et c’est cité dans l’article qu’il a vu les verrous, et a choisi de pomper un max quand même (au cas où ça deviendrait inaccessible rapidement, a du en déduire la justice, pas uniquement pour faire le tri, vu qu’il a tout gardé)



sinon, content de voir que les analyses a posteriori se calment et enterrent le “condamné pour avoir utilisé google”, raccourci de maljournalisme s’il en est … Ce qui reste est quand même cette étrange qualification de vol de données, à voir si elle tiendra.









caesar a écrit :



tu l’as averti des dangers de laisser sa porte ouverte







Il leur à signalé l’accès libre dans cette affaire ?









NonMais a écrit :



Après je comprends aussi tes arguments mais bon ce n’était pas manifestement interdit, donc pour moi c’était permis.





Ce ne zont pas “mes” arguments, je me borne essentiellement à relater les mécanismes de décision de justice.



Quant à mon opinion, je l’ai déjà exprimée avant: d’un point de vue personnel, je suis convaincu qu’il n’était pas ignorant que ce qu’il downloadait n’était pas public ; d’un point de vue du droit, je pense que tant que le tribunal n’a pas prouvé qu’il en avait conscience, c’est une erreur que de le condamner.









Tuttle7 a écrit :



Il leur à signalé l’accès libre dans cette affaire ?







st’une bonne question çà ! <img data-src=" />



Moralité, ne pas utiliser le VPN d’un copain


La position de Bluetoof est analogue au type qui rentre dans un hangar de la Poste, y pique tous les colis, et se justifie en affirmant que le site était sans surveillance et donc “open bar”.



Après pour un journaliste ses actions étaient morales. Mais pas légales.








brazomyna a écrit :



Ce ne zont pas “mes” arguments, je me borne essentiellement à relater les mécanismes de décision de justice.



Quant à mon opinion, je l’ai déjà exprimée avant: d’un point de vue personnel, je suis convaincu qu’il n’était pas ignorant que ce qu’il downloadait n’était pas public ; d’un point de vue du droit, je pense que tant que le tribunal n’a pas prouvé qu’il en avait conscience, c’est une erreur que de le condamner.







sauf que “prouver” ce qui est dans la tête des gens, c’est impossible. c’est donc l’intime conviction qui prime, au cas par cas. En l’occurence c’est un “expert” reconnu sur le net, et il ne semble pas vraiment nier le fait qu’il se doutait du caractère peu public de ces fichiers…



Après je partage aussi le point de vue d’Eolas sur la peine, la dispense de peine était largement préférable, l’amende est trop importante..









brazomyna a écrit :



Or ici, on a un gugus qui a admis lui-même qu’il avait vu la page de login. La cour considère manifestement qu’il aurait dû à minima avoir un doute suffisant pour chercher à clarifier les choses avant de télécharger/utiliser les documents.





Ça dépend comment il l’a dit :

“ Oui j’ai effectivement vu une page de login, mais je n’y ai pas prété plus attention que ça vu qu’elle n’apparaissait pas sur les documents que je récupérais”.

“ Oui j’ai vu la page de login mais j’ai continué quand même, c’était pas bien protégé, tant pis pour eux”.



Je caricature un peu mais dans les deux cas le tribunal va retenir que Bluetouff avait vu la page de Login et on verra juste ça dans l’arrêt. L’intention exacte qui transparaît de ses déclarations, on ne peut l’avoir qu’en ayant la retranscription complète de celles-ci sous les yeux. Et ça aucun d’entre nous ne l’a il me semble (faudrait peut-être se balader sur “l’extranet” de la cours d’appel <img data-src=" />)



Concernant le doute, il a peut-être juste ouvert les documents et vu qu’il n’y avait aucune classification ni mention “confidentiel”. Ça peut être suffisant pour légitimement clarifier les choses à son niveau.



Le problème c’est qu’on a au final qu’un résumé de l’audiance dans laquelle il y avait déjà un résumé des faits et des déclarations. Donc on perd pas mal d’informations en cours de route et dans ce cas la motivation de la décision se joue dans des détails que l’on a pas.



Bref tout ça pour dire que je pense qu’on a pas les éléments suffisants pour dire si le juge est totalement à l’ouest ou non. Mais la conclusion que tu tires (ainsi que le tribunal et maître Eolas), bien que possible, n’est pas si évidente en s’en tenant à ce que l’on sait.









Tim-timmy a écrit :



sauf qu’il n’est pas stupide et ne plaide pas l’incompétence et la naïveté, je crois …





Ok. Mais la décision de la cour ne porte pas sur ça. Du moins, je ne le crois pas.

La cour appuie sa décision de “maintien frauduleux” sur l’aspect “il a vu à un moment une page qui propose de se logger, il le confirme” : ça, ça continue de me gêner.

Que la cour démontre réellement qu’il avait conscience que ces documents devaient être protégés autrement que par l’implication foireuse “Login/MDP =&gt; ces documents sont protégés”, je serais déjà plus à l’aise avec la décision.



Oui, je ne suis pas dupe non plus, je suppose bien que Bluetouff savait où il mettait les doigts. Mais, à mon sens toujours, la preuve de ça n’est pas apportée…







Tim-timmy a écrit :



et c’est cité dans l’article qu’il a vu les verrous





Affirmer avoir vu les verrous n’indique en rien qu’une quelconque association entre ces verrous et les documents concernés a été faite (je pense que Bluetouff l’a faite oui… où en est la preuve ?)



Bref. Bluetouff a joué avec le feu, j’imagine qu’il sans doutait. ça ne passe pas, il est condamnée ok ok. Mais la façon dont c’est fait me gêne réellement…









lataupe a écrit :



Google rentre dans tous les répertoires ouverts sans se soucier si ce sont des parties privées ouvertes par erreur un peu comme si vous laisser votre pote de maison ouverte et qu’un service de photographe y vienne sans que vous puissiez y faire quelque chose ..

L’intention de Google n’est certes pas de rentrer absolument dans tous les Intranet

ouverts par erreur mais on peu se douter qu’il en sera ainsi vu le mode opératoire

du robot. Il n’y a pas plus de raison que Google entre dans des répertoires privés

ouverts par erreur que moi ou Bluetouff.





Tu peux avoir un extranet ouvert aux quatre vents depuis un bail et dans lequel les crawlers de Google ne sont jamais allé, tant que personne ne mettra sur un site connu de Google un lien vers ledit extranet. Après, il reste plusieurs possibilités comme un robots.txt (sous réserve qu’il est pris en compte, mais je veux bien faire confiance à Google sur ce point) ou encore un filtrage sur la base du User Agent (idiot mais ça s’est vu dans d’autres cas, et suffit à repousser le crawler du moment que le code réponse retourné est approprié).



Il est très compliqué d’utiliser des analogies du monde réel pour présenter la manière dont les moteurs de recherche construisent leurs bases de connaissance sur Internet.



Le principal intéressé a aussi publié un billet à ce sujet <img data-src=" /><img data-src=" />



http://bluetouff.com/2014/02/10/du-delit-de-maintien-dans-un-espace-public/








FulguroPoint a écrit :



Des preuves, il y en a : son audition lors de sa garde a vue. Il a clairement dit qu’il s’était rendu qu’il était la ou il ne devrait pas être … Selon la loi en cours depuis 30 ans sur l’informatique, il aurait du se déconnecter.



Voir maitre eolas :http://www.maitre-eolas.fr/m/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%AAtre-con…



il peut très bien y avoir une partie sous chasse gardée avec login/mdp obligatoires, et une autre en accès libre. et ces fichiers auraient parfaitement pu faire partie de l’accès libre…









caesar a écrit :



<img data-src=" /> juste site:gouv.fr intitle:“index of





Je parlais de l’URL servie par Google, pas de la requête de recherche effectuée pour trouver celle-ci.









jb18v a écrit :



Le principal intéressé a aussi publié un billet à ce sujet <img data-src=" /><img data-src=" />



http://bluetouff.com/2014/02/10/du-delit-de-maintien-dans-un-espace-public/







De l’hypocrisie. Il savait qu’il était dans un espace non public, il a tenté de contacter des journalistes pour leurx filer le bébé. A priori il n’a jamais contacté l’ANSES pour leur signaler le problème.



Maintenant il qualifie cet espace de “public”.



Être derrière un PC semble ôter une bonne part de jugeote.









Crysalide a écrit :



Ici l’intention était claire puisque la récupération des Go de documents a fait l’objet d’un publication sans autorisation des auteurs.



Si demain, j’entre dans une propriété mal sécurisée et que je dérobe sciemment des objets, je serais aussi inculpé.



comme beaucoup, tu confonds vol et copie.









carbier a écrit :



Tu laisses la porte de ta maison l’entrée de la mairie ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?



là, c’est plus correct pour faire une analogie, vu que c’est un site d’une administration publique.









BreizFenrir a écrit :



Je parlais de l’URL servie par Google, pas de la requête de recherche effectuée pour trouver celle-ci.









bah il me semble qu’avec la requete sus nommée, tu ne peux avoir que des répertoires listables ^^ non les documents qui s’y trouvent (même si la description te donne un début de listing)









jb18v a écrit :



Le principal intéressé a aussi publié un billet à ce sujet <img data-src=" /><img data-src=" />



http://bluetouff.com/2014/02/10/du-delit-de-maintien-dans-un-espace-public/





Scandale : les pharmacies des hôpitaux publics ne sont pas ouvertes au public. L’autre jour on m’a interdit de repartir avec mes quinze poches de morphine. Pourtant la circulation est libre dans certaines parties de l’hôpital !









Patch a écrit :



là, c’est plus correct pour faire une analogie, vu que c’est un site d’une administration publique.







Le publique “d’Administration publique” ne veut pas dire que tu peux faire la visite des bureaux <img data-src=" />









HarmattanBlow a écrit :



La position de Bluetoof est analogue au type qui rentre dans un hangar de la Poste, y pique tous les colis, et se justifie en affirmant que le site était sans surveillance et donc “open bar”.



Après pour un journaliste ses actions étaient morales. Mais pas légales.



vu que tu parles d’un vol et qu’il n’y en a pas eu ici (à la limite vol de propriété intellectuelle - et encore), c’est faux.









Silenus a écrit :



Malheureusement pour lui, il a reconnu lui même lors de sa gav qu’il avait accéder à une partie “privée” (via une faille) du dit-site.



C’est clairement sur ses déclarations que le juge l’a condamné (pour maintien frauduleux).



Apres, comme l’a noté Eolas dans son article, seule la dernière condamnation (vol de données) aura des chances d’être cassée en cassation.





Les seules choses qu’il a reconnues sur ce point de maintien est

qu’après être arrivé “par erreurs au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il a constaté la présence des contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe

J’ai recopié l’arrêt de la cour d’appel tel que publié par PCI.

C’est ensuite que la cour d’appel dit :



qu’il a été ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système…



Je trouve la démonstration un peu courte :

à partir des déclarations, elle passe tout de suite à la conclusion de ce qu’elle appelle donc une démonstration.

De mon temps, mon prof de math était un peu plus exigeant sur ce que devait contenir une démonstration, c’est-à-dire un ensemble d’étapes qui mènent des hypothèses à la conclusion avec un raisonnement.

Si je lui recopiais les hypothèse et que j’ajoutais juste il est donc démontré que la conclusion est vraie, j’aurais eu 0.

J’espère que la cour de cassation sera aussi exigeante et renverra la cour d’appel à sa démonstration.(Oui la cour de cassation est plus sympa qu’un prof de math, elle demande de recommencer un devoir là où il y avait une faute au lieu de mettre 0)

Bluetouff pourra alors se défendre sur ce point de maintien frauduleux qui je l’ai lu je ne sais plus où n’a pas été abordé lors des débats pendant l’appel. Comme quoi, il faut aborder toutes les accusations et les démonter toutes lors d’un procès sans supposer que si la première tombe (accès frauduleux) le maintien tombera par la même occasion.



Il a manifestement des arguments que son avocat l’aidera à mettre en place d’un point de vue de la loi.



Nota : il dit exactement la même chose que moi (je ne l’avais pas lu avant d’écrire la première partie) :



Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique.



Espérons qu’il y a matière à cassation sur l’absence de démonstration, je ne suis pas assez calé en droit pour savoir si c’est possible, mais il me semble avoir déjà lu des arrête de la cour de cassation qui cassaient une absence de démonstration. Par exemple ici









Patch a écrit :



vu que tu parles d’un vol et qu’il n’y en a pas eu ici (à la limite vol de propriété intellectuelle - et encore), c’est faux.





L’important dans l’analogie était le fait que le lieu n’était pas ouvert au public. Pas le détail de ce qui y est fait.



L’approche de fred42 est en revanche pertinente. Je suis sceptique mais je n’ai pas le temps de me pencher sur le problème pour savoir si oui ou non il savait que les pages n’étaient pas supposées être visibles.









Tuttle7 a écrit :



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />





Et si tu demandes à ton voisin :

-“Je peux lire tes livres?”

-“Oui”

-“Même ton journal intime?”

-“Oui oui vas-y”



Et au final il t’engeule et il te dit que t’avais pas le droit de lire son journal intîme et qu’il a dit oui par inattention.



C’est plutôt ça ce qu’il s’est passé.









Nithril a écrit :



Le publique “d’Administration publique” ne veut pas dire que tu peux faire la visite des bureaux <img data-src=" />



je sais parfaitement, mais parler d’une habitation privée n’est absolument pas adapté à la situation pour le coup <img data-src=" />







HarmattanBlow a écrit :



L’important dans l’analogie était le fait que le lieu n’était pas ouvert au public. Pas le détail de ce qui y est fait.



légalement, si, le détail de ce qui a été fait est aussi important que le reste.









malock a écrit :



Oui, je ne suis pas dupe non plus, je suppose bien que Bluetouff savait où il mettait les doigts. Mais, à mon sens toujours, la preuve de ça n’est pas apportée…



Il a dit lui-même qu’il savait ce qu’il faisait et où il mettait les pieds.



On ne télécharge pas près de 8Go de données sur l’extranet de Anses, sensé être protégé, alors que c’est concrètement la DCRI qui va s’occuper de l’enquête (pour rappel, la Direction Centrale du Renseignement Intérieur sont les types qui s’occupe du Secret Défense) pour ensuite faire des copies et publier ces documents sur un site de presse.



Il n’y a pas besoin de preuves matérielles indéniables pour que la cour puisse assumer le caractère avéré du maintient frauduleux.



Il faut aussi se dire que si la cour avait relaxé Bluetouff sur ce chef d’accusation, elle aurait instauré une jurisprudence rendant bien plus difficile l’application de la loi en la matière. En clair : ça aurait laissé la porte ouverte à des abus potentiellement plus dangereux.



Là où la cour s’est plantée, c’est la condamnation sur le chef d’accusation de vol. La décisions à de fortes chances d’être cassée sur ce point.

Cependant, le maintient frauduleux, en soi, le laisse pas vraiment place au doute.









Patch a écrit :



je sais parfaitement, mais parler d’une habitation privée n’est absolument pas adapté à la situation pour le coup <img data-src=" />



légalement, si, le détail de ce qui a été fait est aussi important que le reste.





Non. Tu n’as pas davantage le droit de rentrer dans le bloc de chirurgie de l’hôpital sous prétexte que tu es curieux et que “c’est un endroit public donc je fais ce que je veux bande de fascistes”.





Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des “Whistleblowers”. À sa manière, Bluetouff est un lanceur d’alerte, et les données téléchargées méritaient peut être d’entrer dans le débat public.





Remarque très pertinente.








Tim-timmy a écrit :



sauf qu’il n’est pas stupide et ne plaide pas l’incompétence et la naïveté, je crois … et c’est cité dans l’article qu’il a vu les verrous, et a choisi de pomper un max quand même (au cas où ça deviendrait inaccessible rapidement, a du en déduire la justice, pas uniquement pour faire le tri, vu qu’il a tout gardé)





Le problème c’est que là on touche au procès d’intention.

Ce qui transparaît de l’arrêt c’est qu’il a vu des verrous mais pas sur les documents qu’il cherchait à télécharger.

Qu’il en ait dit un peu plus pendant sa garde à vue, c’est possible. Mais avec les éléments qu’on a le passage du “login sur la page d’accueil” à “tous les documents (non classifiés) auraient dû être protégés” n’est pas si évident que ça.



Comme dit précédemment, quand tu bosses sur des documents (que tu sois journaliste, chercheur ou autre) tu télécharges souvent les documents qui t’intéresse pour pouvoir les retrouver facilements, les classer et faire passer des outils d’analyses ou autre par dessus. Il y a tout un tas de bonnes raisons pour télécharger des documents accessibles publiquement.



Au passage pourquoi PCI a téléchargé et hébergé l’arrêt contenant la décision de la cours d’appel? Ils ont peur que ça soit pas vraiment publique et que ça soit effacé ensuite? Et ils n’ont pas peur d’être attaqué?









Jean_Peuplus a écrit :



super, il nous manque plus que la comparaison traditionnelle avec la bagnole.





La bagnole de mon voisin est ouverte avec les clés dessus …

(il est vraiment quand mon voisin)














Khalev a écrit :



Le problème c’est que là on touche au procès d’intention.





Non, c’est l’information qui est jugée, pas l’intention. Savait-il que ces documents étaient confidentiels ?









HarmattanBlow a écrit :



Non. Tu n’as pas davantage le droit de rentrer dans le bloc de chirurgie de l’hôpital sous prétexte que tu es curieux et que “c’est un endroit public donc je fais ce que je veux bande de fascistes”.



en fait, tu n’as juste rien compris à ce que j’ai dit…









HarmattanBlow a écrit :



La position de Bluetoof est analogue au type qui rentre dans un hangar de la Poste, y pique tous les colis, et se justifie en affirmant que le site était sans surveillance et donc “open bar”.





Non









HarmattanBlow a écrit :



Non, c’est l’information qui est jugée, pas l’intention. Savait-il que ces documents étaient confidentiels ?





L’Anses avait déclaré que les documents n’étaient pas classifiés. Donc pas de tag “confidentiel” ni rien apparemment.









Ordo a écrit :



Il a dit lui-même qu’il savait ce qu’il faisait et où il mettait les pieds.





Mais je ne demande qu’à vous croire mais où ? Où donc l’a-t-il dit ? Pointe moi l’info s’il te plaît, je vais devenir fou !







Ordo a écrit :



Cependant, le maintient frauduleux, en soi, le laisse pas vraiment place au doute.





A mon sens toujours, le doute est là vu le peu de justification que propose la cour. Beaucoup me le disent : il a voulu données les infos à d’autres, il a voulu montrer l’incapacité des services public à protéger les données, etc…

Ok ok, bin par exemple, pourquoi ne voit-on pas cela abordé dans la décision de la cour ? Cela pourrait-être un bon angle “d’attaque” : n’avez vous pas tenter de partager l’information à ce point car vous connaissiez le caractère “privé” de ces documents ?



Non, c’est juste : “t’as vu une page d’authentification alors t’es un méchant”. Je trouve vraiment ça léger.

Mais, personnellement, je ne doute pas non plus que l’idée que ces documents soient normalement protégés lui est venu à l’esprit.



Je cite une partie du billet de Bluetouff sur son blog :



Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique…





Je partage cette vision et je reste déçu que la justice exploite cet argument pour démontrer la culpabilité d’un type…









Khalev a écrit :



Le problème c’est que là on touche au procès d’intention.







Ca s’appelle la justice hein, juger si quelqu’un avait l’intention de faire ce pour quoi il est accusé … Une immense partie des prévenus dira, “c’est pas moi” ou “je savais pas” ou “je voulais pas”’ … et si on les acquitte sur leur bonne foi, c’est stupide. Au juge d’apprécier selon les éléments, leur personnalité, leurs déclarations… choses dont nous ne disposons pas vraiment….







Ce qui transparaît de l’arrêt c’est qu’il a vu des verrous mais pas sur les documents qu’il cherchait à télécharger.

Qu’il en ait dit un peu plus pendant sa garde à vue, c’est possible. Mais avec les éléments qu’on a le passage du “login sur la page d’accueil” à “tous les documents (non classifiés) auraient dû être protégés” n’est pas si évident que ça.



Comme dit précédemment, quand tu bosses sur des documents (que tu sois journaliste, chercheur ou autre) tu télécharges souvent les documents qui t’intéresse pour pouvoir les retrouver facilements, les classer et faire passer des outils d’analyses ou autre par dessus. Il y a tout un tas de bonnes raisons pour télécharger des documents accessibles publiquement.





donc après ça spécule gentiment par manque d’éléments…





Au passage pourquoi PCI a téléchargé et hébergé l’arrêt contenant la décision de la cours d’appel? Ils ont peur que ça soit pas vraiment publique et que ça soit effacé ensuite? Et ils n’ont pas peur d’être attaqué?





l’arrêt est public il me semble, mais il y a un truc étrange… Ils ont visiblement violemment foiré en diffusant l’avis non expurgé de certains détails au début (son salaire, occupation et autres données personnelles)… Mais visiblement personne ne semble s’en préoccuper sur pci, un edit silencieux et hop :p Après, avait-il été fourni par bluetouff et expurgé à sa demande suite à une boulette de sa part ? Ou est-ce juste une belle divulgation de données persos ?









blackdream a écrit :



Bah apparemment oui, le temps employé fait passer la déposition au statut d’aveux : la différence entre douter de la légalité ou la certitude de l’illégalité.



C’est décidé, si un jour je passe en garde à vue, je ferme ma gueule et laisse un avocat répondre au questions.







Voilà, en garde à vue : ne rien dire, c’est très dangereux sur l’interpétation qui en sera fait après.

L’avocat ne peut répondre pendant une garde à vue. Vous serez donc 2 silencieux, mais ce n’est pas un problème : droit de garder le silence qui est à nouveau rappelé en cas de garde à vue.







malock a écrit :



J’ai vraiment dû manquer une information…

Où est-il indiqué que Bluetouff a admis avoir compris que les fichiers devaient être protégés ? Je ne trouve réellement pas cette information… Quelqu’un peut me citer le truc ?

Non, parce que je campe un peu sur ma position alors que oui, s’il a admis cela, je comprends bien le “maintien frauduleux”…



Il a par contre effectivement admis être tombé à un instant T devant une mécanisme d’identification. De là à dire que la démonstration de l’évidence (de la protection) est faite… c’est quand même bien bancale.



“Avez-vous vu une page d’identification sur la page d’accueil ?” : “oui”.

“En avez-vous alors déduis que les documents pouvaient être protégés ?” : “non”.





La plupart mélange ce que Bluetouff a reconnu et ce qu’à conclut la cour d’appel avec une soi-disant démonstration.



Ta seconde question ne figure pas dans le jugement en appel (et n’a a priori pas été posée en garde à vue en déduction de ce que dit Bluetouff)







Tim-timmy a écrit :



sauf qu’il n’est pas stupide et ne plaide pas l’incompétence et la naïveté, je crois … et c’est cité dans l’article qu’il a vu les verrous, et a choisi de pomper un max quand même (au cas où ça deviendrait inaccessible rapidement, a du en déduire la justice, pas uniquement pour faire le tri, vu qu’il a tout gardé)





Ce n’est pas du tout ce qu’il a dit, c’est toi qui suppose un truc qui est peut-être vrai, mais pas avoué ni démontré par l’accusation ou la cour.

Il reconnaît avoir vu les verrous et l’avoir dit en garde à vue, mais il nie en avoir conclut qu’il était dans un espace interdit.

Voir chez lui :

Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique









fred42 a écrit :



Voilà, en garde à vue : ne rien dire, c’est très dangereux sur l’interpétation qui en sera fait après.

L’avocat ne peut répondre pendant une garde à vue. Vous serez donc 2 silencieux, mais ce n’est pas un problème : droit de garder le silence qui est à nouveau rappelé en cas de garde à vue.





La plupart mélange ce que Bluetouff a reconnu et ce qu’à conclut la cour d’appel avec une soi-disant démonstration.



Ta seconde question ne figure pas dans le jugement en appel (et n’a a priori pas été posée en garde à vue en déduction de ce que dit Bluetouff)





Ce n’est pas du tout ce qu’il a dit, c’est toi qui suppose un truc qui est peut-être vrai, mais pas avoué ni démontré par l’accusation ou la cour.

Il reconnaît avoir vu les verrous et l’avoir dit en garde à vue, mais il nie en avoir conclut qu’il était dans un espace interdit.

Voir chez lui :







Et en meme temps si le gardé à vue n’est pas d’accord avec ce qui est retranscris il n’est pas obligé de signer le compte rendu non?



Qu’il refute et qu’il dise également qu’il avait l’intime conviction sans aucun doute que ces données étaient publiques



Au final, ce qu’il manque c’est l’avis du sys admin de l’ANSES. Faut savoir si il y a avait une volonté de protéger les dossiers ou si cet admin avait qlq lacunes techniques<img data-src=" />

L’article de Maitre EOLAS donné en lien est très intéressant.<img data-src=" />



Et sinon, les analogies ubuesques des commentaires sont tjs aussi désopilantes. Cela change des sempiternelles comparaisons bagnolesques <img data-src=" />








malock a écrit :



-snip-



Je comprends.

Mais, le fait qu’il ait avoué avoir fait des recherches pour parcourir le site jusqu’à remonter sur un accès protégé montre qu’il aurait dû se douter qu’un truc clochait. C’est pour ça que la cour estime qu’il était de son devoir de faire demi-tour et de ne pas aller plus loin (ce n’est pas car on est sur l’extranet d’une agence publique que tous les documents qui y sont présents sont destinés au public…).

Cependant, il a non seulement creusé d’avantage, mais a téléchargé 8Go de données tout en publiant une partie sur un site de presse.



Même si on lui laisse le bénéfice du doute, la cour a considéré que c’était au minimum une erreur de jugement de sa part. Et ça, quoi qu’on en pense, ça reste condamnable.









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.





OK, sauf que dans son cas il n’y avait pas de barrière ni de panneau qui disait “défense d’entrer”… Un peu comme une maison sans mur ni porte..









Ordo a écrit :



Je comprends.

Mais, le fait qu’il ait avoué avoir fait des recherches pour parcourir le site jusqu’à remonter sur un accès protégé montre qu’il aurait dû se douter qu’un truc clochait. C’est pour ça que la cour estime qu’il était de son devoir de faire demi-tour et de ne pas aller plus loin (ce n’est pas car on est sur l’extranet d’une agence publique que tous les documents qui y sont présents sont destinés au public…).

Cependant, il a non seulement creusé d’avantage, mais a téléchargé 8Go de données tout en publiant une partie sur un site de presse.



Même si on lui laisse le bénéfice du doute, la cour a considéré que c’était au minimum une erreur de jugement de sa part. Et ça, quoi qu’on en pense, ça reste condamnable.







et ce sans prendre en compte le fait même que republier les documents n’est pas forcément tolérable (public != publiable .. d’ailleurs le cas de cet avis de jugement, qui a du être expurgé en cata après publication ici) … (même si ce n’est pas le même chef d’accusation et que celui-ci n’est pas utilisé on dirait) Donc sur pas mal de points son action est légère et semble condamnable …









Nithril a écrit :



Et en meme temps si le gardé à vue n’est pas d’accord avec ce qui est retranscris il n’est pas obligé de signer le compte rendu non?



Qu’il refute et qu’il dise également qu’il avait l’intime conviction sans aucun doute que ces données étaient publiques





C’est sur qui n’a pas été écrit et sur lequel la cour a fait une soi-disant démonstration qu’il n’est pas d’accord.

Il est d’accord pour dire qu’il est remonté jusqu’à une page avec un login demandant une authentification. Et cela a été écrit dans le procès verbal de la garde à vue qu’il a sûrement signé. Ce qu’il conteste c’est la conclusion que tout ce qui était sur cet extranet était par conséquent privé et donc interdit de téléchargement. Et cette conclusion, elle n’est venue que dans le jugement de la cour d’appel, même pas dans les débats qui n’ont pas porté sur le maintien frauduleux. Il n’a donc même pas pu se défendre sur ce point et démontrer que la démonstration de la cour était fausse.



Donc, je maintiens : ne rien dire en garde à vue parce que l’avocat ne peut pas intervenir et conseiller sur la façon de s’exprimer.

Il sera toujours temps de parler avec l’aide d’un avocat plus tard.









Tim-timmy a écrit :



Ca s’appelle la justice hein, juger si quelqu’un avait l’intention de faire ce pour quoi il est accusé … Une immense partie des prévenus dira, “c’est pas moi” ou “je savais pas” ou “je voulais pas”’ … et si on les acquitte sur leur bonne foi, c’est stupide. Au juge d’apprécier selon les éléments, leur personnalité, leurs déclarations… choses dont nous ne disposons pas vraiment….





Sauf que la justice essaie de trouver des preuves pour prouver son intention. Par exemple le fait qu’il ne puisse pas ignorer que les pages étaient sensées être protégées par un mot de passe.

Pas le simple fait qu’il ait DL les documents ou qu’il utilise un VPN. il y a trop de bonnes raisons pour faire ça pour que ça prouve quoique ce soit.

Tu essaies de prouver son intention en utilisant une intention non prouvable : DL les docs ne prouve rien, c’est le fonctionnement normal de wget : si tu utilises wget dans un script tu vas DL tout ce que tu peux et une fois que c’est fini tu constates “houla, j’ai choppé 8Go!”.









Ordo a écrit :



(…) jusqu’à remonter sur un accès protégé montre qu’il aurait dû se douter qu’un truc clochait.

(…)







Il n’est pas condamné ici pour avoir manqué à douter correctement <img data-src=" />



Bref. Je comprends bien aussi ce que tu me dis et plus généralement, ce que d’autres me disent. Je vois bien que l’action de Bluetouff a été borderline…



Encore une fois, qu’il en soit puni, pourquoi pas. Je m’attends juste à avoir un dossier un peu plus étoffé du côté de la justice, des éléments probant pour démontrer qu’il avait conscience ici que les documents devaient être protégés.

Amha, apporter ces “preuves” autre qu’une “intime conviction” est possible…









Khalev a écrit :



Non





Merci pour cet argument de qualité.







Khalev a écrit :



L’Anses avait déclaré que les documents n’étaient pas classifiés. Donc pas de tag “confidentiel” ni rien apparemment.





Classifié et confidentiel ne sont pas synonymes.



Sinon, pour les apprentis chercheurs de documents, j’ai trouvé encore 4 documents PDF + (une ancienne version de ces 4 documents dans un répertoire fils nommé old) sur le site de l’anses.fr qui sont accessibles directement à partir d’un listing de répertoire.



En fait, c’est encore une fois google qui m’a indiqué les répertoires.



Saurez-vous les trouver vous aussi ?



Dans ces fichiers, il y a le nom de personnes, ce que l’on peut appeler des données personnelles, il me semble.



Je ne sais pas quoi faire.









Spoiler :





En fait, ces documents sont accessibles directement par une page Web classique non protégée par mot de passe. Ouf, je ne vais pas être condamné, enfin, j’espère parce que j’accède à cette partie de site par le port 8080. <img data-src=" />








HarmattanBlow a écrit :



Merci pour cet argument de qualité.





Bah ton analogie est fausse. Je vois pas ce qui a a argumenter tu parles d’un truc privé (un hangar de la poste) là où on parle d’un serveur web accessible publiquement qui répond positivement à des requètes de documents provenant de clients non authentifiés.

Il n’y a aucon rapport. Donc non.





HarmattanBlow a écrit :



Classifié et confidentiel ne sont pas synonymes.





Effectivement.



Cependant dans ce cas là il n’y avait pas d’inscription “confidentiel” sur les documents. Sinon le tribunal n’aurait pas hésité à soulevé cet argument.









fred42 a écrit :



En fait, ces documents sont accessibles directement par une page Web classique non protégée par mot de passe. Ouf, je ne vais pas être condamné, enfin, j’espère parce que j’accède à cette partie de site par le port 8080. <img data-src=" />







Quel rapport avec les bateaux ? C’est dans quel pays ? Je ne trouve aucun port ayant l’indicatif 8080 sur gogleu….



il y’a un truc que je n’ai lu nulle part:



si ce repertoire était connu de Google, c’est que a un moment donné Google a trouvé un lien diffusé publiquement vers ce repertoire.

(et oui Google il invente pas les liens tout seul. il les trouve et les suit pour les inventorier)



je n’avais pas percuté sur cet aspect, mais cela montre réellement que cette partie du site était prevue pour etre publique (au moins a l’instant T ou Google l’a trouvée)



edit: ou alors que l’erreur humaine d’administration était déjà connue et diffusée.




Conformément au courriel…Sinon merci de suivre…



Merci, ça achève de m’enlever tout doute quand à l’incompétence des administrateurs du site.








Khalev a écrit :



Bah ton analogie est fausse. Je vois pas ce qui a a argumenter tu parles d’un truc privé (un hangar de la poste) là où on parle d’un serveur web accessible publiquement





Avoir le droit de pénétrer l’accueil de l’hôpital ne te donne pas le droit de visiter les blocs de chirurgie.





Cependant dans ce cas là il n’y avait pas d’inscription “confidentiel” sur les documents.



Et il n’est pas marqué sur les colis de la poste qu’il est interdit de les voler. Présumais-tu pour autant avoir le droit de te servir dans la fourgonnette jaune ?









HarmattanBlow a écrit :



Avoir le droit de pénétrer l’accueil de l’hôpital ne te donne pas le droit de visiter les blocs de chirurgie.





Et il n’est pas marqué sur les colis de la poste qu’il est interdit de les voler. Présumais-tu pour autant avoir le droit de te servir dans la fourgonnette jaune ?







la tu fais des analogies bidons juste pour contredire…









HarmattanBlow a écrit :



Avoir le droit de pénétrer l’accueil de l’hôpital ne te donne pas le droit de visiter les blocs de chirurgie.





Il y aura donc un élément (souvent visuel) pour te l’indiquer. Ou un humain.







HarmattanBlow a écrit :



Et il n’est pas marqué sur les colis de la poste qu’il est interdit de les voler. Présumais-tu pour autant avoir le droit de te servir dans la fourgonnette jaune ?





Amha, il y a des lois sur la correspondance privée. Les colis de la poste sont identifiés par un bloc adresse sans doute suffisant à caractériser l’aspect privée du paquet.



Au passage, je ne trouve pas tes analogies très percutantes voire même “daubées”… mais ce n’est que mon petit avis.



200+ commentaires sur le blog de Maitre Eolas, je suis pas sur que ce soit très habituel.








HarmattanBlow a écrit :



Avoir le droit de pénétrer l’accueil de l’hôpital ne te donne pas le droit de visiter les blocs de chirurgie.





Quand tu parles des blocs de chirurgie tu parles bien de ces endroits où c’est marqué pendant au moins 3 sas avant que l’accès est limité aux personnes autorisées/habilitées?





HarmattanBlow a écrit :



Et il n’est pas marqué sur les colis de la poste qu’il est interdit de les voler. Présumais-tu pour autant avoir le droit de te servir dans la fourgonnette jaune ?





Sauf qu’un colis de la poste est fermé avec une adresse de destinataire inscrite dessus. Si tu n’es pas le destinataire tu n’as pas le droit de l’ouvrir. C’est comme ça c’est la loi.



Là le serveur a bien envoyé le document à Bluetouff (via son VPN mais c’est kiff-kiff) qui a ouvert ce que lui avait envoyé le serveur.



Si ça ne lui était pas destiné il y a 2 jolis codes HTTP prévus pour ça : 403 et 406.



Tu vas dans une administration, tu demandes un document dont tu as entendu parlé. On te le donne, tu trouves des informations intéressantes, tu publies un article dessus. On t’attaque parce qu’en fait tu n’avais pas à lire ce document.



Tu trouves normal de te faire attaquer?









Winderly a écrit :



200+ commentaires sur le blog de Maitre Eolas, je suis pas sur que ce soit très habituel.







bah normal, il ne va pas dans le sens du poil de l’Internaute libre, ça ennuie les commentateurs …







Khalev a écrit :



Tu vas dans une administration, tu demandes un document dont tu as entendu parlé. On te le donne, tu trouves des informations intéressantes, tu publies un article dessus. On t’attaque parce qu’en fait tu n’avais pas à lire ce document.



Tu trouves normal de te faire attaquer?









si tu en profites pour re-publier le document, largement … (mais bizarrement ici ça n’a pas été utilisé pour les poursuites)









jb18v a écrit :



Le principal intéressé a aussi publié un billet à ce sujet <img data-src=" /><img data-src=" />



http://bluetouff.com/2014/02/10/du-delit-de-maintien-dans-un-espace-public/









« Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. » peut -on lire chez Libertécherie qui transcrit bien ce que me reproche la cour d’appel, sauf que… c’est factuellement faux, mais le mot est lâché : FAILLE.





C’est précisément là que je bloque, pour moi il n’existe ici aucune faille.









Tim-timmy a écrit :



si tu en profites pour re-publier le document alors que ce n’est pas autorisé, largement … (mais bizarrement ici ça n’a pas été utilisé pour les poursuites)





<img data-src=" />









FulguroPoint a écrit :



Des preuves, il y en a : son audition lors de sa garde a vue. Il a clairement dit qu’il s’était rendu qu’il était la ou il ne devrait pas être … Selon la loi en cours depuis 30 ans sur l’informatique, il aurait du se déconnecter.



Voir maitre eolas :http://www.maitre-eolas.fr/m/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%AAtre-con…









Silenus a écrit :



Malheureusement pour lui, il a reconnu lui même lors de sa gav qu’il avait accéder à une partie “privée” (via une faille) du dit-site.



C’est clairement sur ses déclarations que le juge l’a condamné (pour maintien frauduleux).



Apres, comme l’a noté Eolas dans son article, seule la dernière condamnation (vol de données) aura des chances d’être cassée en cassation.









Pazns a écrit :



Si Bluetouff n’avait pas fait remarqué qu’il avait vite compris que les documents n’étaient pas dans un espace voulu public, cette histoire de “maintien frauduleux” aurait été démontée instantanément.

Dans les faits, il a reconnu sa “faute” (le maintien là où il ne fallait pas) lors de sa garde-à-vue.









Ordo a écrit :



Il a dit lui-même qu’il savait ce qu’il faisait et où il mettait les pieds.



On ne télécharge pas près de 8Go de données sur l’extranet de Anses, sensé être protégé, alors que c’est concrètement la DCRI qui va s’occuper de l’enquête (pour rappel, la Direction Centrale du Renseignement Intérieur sont les types qui s’occupe du Secret Défense) pour ensuite faire des copies et publier ces documents sur un site de presse.



Il n’y a pas besoin de preuves matérielles indéniables pour que la cour puisse assumer le caractère avéré du maintient frauduleux.



Il faut aussi se dire que si la cour avait relaxé Bluetouff sur ce chef d’accusation, elle aurait instauré une jurisprudence rendant bien plus difficile l’application de la loi en la matière. En clair : ça aurait laissé la porte ouverte à des abus potentiellement plus dangereux.



Là où la cour s’est plantée, c’est la condamnation sur le chef d’accusation de vol. La décisions à de fortes chances d’être cassée sur ce point.

Cependant, le maintient frauduleux, en soi, le laisse pas vraiment place au doute.





Non, non, non et non !

Vous inventez là.

Relisez bien l’arrêté de la cour. Il n’a JAMAIS dit savoir qu’il était sur une partie sensée être privée du site et qu’il n’avait pas le droit de télécharger les documents.











Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.





Non, pour que ce soit pareil ça serait exactement ça :

« Tu te promènes en forêt. Au bout de 5 km tu rencontres une clôture. Tu continues sans jamais franchir la clôture, tu prends des photos des arbres et des champignons, tu te casses et tu vas ailleurs. »









Mihashi a écrit :



Non, non, non et non !

Vous inventez là.

Relisez bien l’arrêté de la cour. Il n’a JAMAIS dit savoir qu’il était sur une partie sensée être privée du site et qu’il n’avait pas le droit de télécharger les documents, une fois qu’il a vu le portail, et qu’il a sciemment choisi de l’ignorer (et je pense très fortement que c’est le cas).







la cour a estimé qu’il ne pouvait pas, du fait de ses compétences revendiquées et assumées, ne pas se douter du caractère non public de ces documents.







Non, pour que ce soit pareil ça serait exactement ça :

« Tu te promènes en forêt. Au bout de 5 km tu rencontres une clôture. Tu continues sans jamais franchir la clôture, tu prends des photos des arbres et des champignons, tu te casses et tu vas ailleurs. »







en publiant ensuite les photos (et pour faire un peu mieux dans l’analogie, on va dire que ce sont des photos de bâtiments, donc protégées par le droit de l’architecte) :p









Tim-timmy a écrit :



si tu en profites pour re-publier le document, largement … (mais bizarrement ici ça n’a pas été utilisé pour les poursuites)





Si c’est un document que n’importe qui peut demander et sans restriction comme quoi sa diffusion est limitée, en quoi ça pose un soucis?









Tim-timmy a écrit :



la cour a estimé qu’il ne pouvait pas, du fait de ses compétences revendiquées et assumées, ne pas se douter du caractère non public de ces documents.





T’as une source de ça? Parce que c’est pas que je lis dans l’arrêté mais si tu as une source je suis preneur, ça permettrait d’éclaircier la situation.









Mihashi a écrit :



Non, non, non et non !

Vous inventez là.

Relisez bien l’arrêté de la cour. Il n’a JAMAIS dit savoir qu’il était sur une partie sensée être privée du site et qu’il n’avait pas le droit de télécharger les documents.



Donc, tu es en train de dire que l’article de PC INpact est mensonger et a fabriqué cette citation de toute pièce ?

la cour d’appel explique que l’intéressé a reconnu durant sa garde à vue « qu’après être arrivé “par erreur” au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe »

…et aussi que Bluetouff lui-même a écrit sur son blog avoir effectivement eu connaissance de cet accès privé ?



Huh ? Première fois que je vois quelqu’un qui connait mieux le dossier que la cour, la presse et l’intéressé lui-même.

Fascinant.









Ordo a écrit :



Donc, tu es en train de dire que l’article de PC INpact est mensonger et a fabriqué cette citation de toute pièce ?…et aussi que Bluetouff lui-même a écrit sur son blog avoir effectivement eu connaissance de cet accès privé ?





PcInpact ne fait que reprendre ce qu’il y a dans l’arrêté et ce qui a donc été retenu par le tribunal.



Concernant ce que dit Bluetouff sur le “par erreur” :

Au détour d’une recherche Google portant sur un thème n’ayant strictement aucun rapport avec l’ANSES ni avec des questions de santé publique, je me suis retrouvé dans un répertoire de l’extranet de l’ANSES.



Par erreur parce que sa recherche n’avait pas de lien avec l’ANSES où la santé publique. Pas par erreur technique ou par utilisation involontaire de “faille”.



Et voici un exemple de document que Bluetouff a téléchargé. Je sais pas pour vous, mais moi ça ne me saute pas vraiment aux yeux que ça soit confidentiel comme truc. Surtout que ça se trouve sur Gdrive avec une simple recherche google.









Khalev a écrit :



Et voici un exemple de document que Bluetouff a téléchargé. Je sais pas pour vous, mais moi ça ne me saute pas vraiment aux yeux que ça soit confidentiel comme truc. Surtout que ça se trouve sur Gdrive avec une simple recherche google.







je rebondis sur ce que vient de dire khalev.

parce que apparemment vous vous comportez comme des chiffonniers pour savoir qui a la plus grosse et qui aura raison.



mais répondez a cela: comment Google a pu tomber sur ces documents ?

il a bien fallu qu’un jour une personne diffuse un lien vers un repertoire libre.









Ordo a écrit :



Donc, tu es en train de dire que l’article de PC INpact est mensonger et a fabriqué cette citation de toute pièce ?…et aussi que Bluetouff lui-même a écrit sur son blog avoir effectivement eu connaissance de cet accès privé ?



Huh ? Première fois que je vois quelqu’un qui connait mieux le dossier que la cour, la presse et l’intéressé lui-même.

Fascinant.





Citer une partie de l’article (qui correspond exactement au problème soulevé ici) c’est bien. Comprendre ce qui manque dans la partie citée c’est mieux.



Ce que Mihashi indique, c’est qu’avoir des documents publiquement accessibles d’un côté, et une page web avec contrôle d’accès plus haut dans l’arborescence de l’autre côté, est insuffisant pour prouver que les documents précités auraient dû être accessibles uniquement après s’être authentifié. Il n’y a pas de lien évident entre l’un et l’autre.









Tim-timmy a écrit :



la cour a estimé qu’il ne pouvait pas, du fait de ses compétences revendiquées et assumées, ne pas se douter du caractère non public de ces documents.





Et ça, que la cour ne le note pas dans la décision finale, ce n’est pas un soucis ? Nul part il est fait mention de “compétences revendiquées et assumées” dans la décision.



C’est plutôt, je me permets : “la cour a estimé qu’il ne pouvait pas, du fait qu’il a affirmé avoir vu un formulaire d’authentification sur la page d’accueil, ne pas se douter du caractère non public de ces documents.”







Ordo a écrit :



Huh ? Première fois que je vois quelqu’un qui connait mieux le dossier que la cour, la presse et l’intéressé lui-même.

Fascinant.







Il me semble pourtant qu’il est dans le juste. Il me semble qu’il ne fait que lire correctement ce qui est noté sur l’arrêt : fascinant comme tu le dis.

On recite le blog de Bluetouff ?





Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique…










Tuttle7 a écrit :



La porte de mon voisin de pallier est ouverte, je m’introduis chez lui pour voir si il va bien, ce qui est tout à fait normal. Mais je n’en profite pas pour lire ces livres, en faire des copies, et les diffuser à des tiers. <img data-src=" />







Mais Google a le droit de le faire , de tout mettre dans son cache même quand c’est retiré parce que , de toute façon, il le fait automatiquement chez tous le monde et que personne ne le conteste, alors on peut pas lui demander , à lui , de vérifier si il a le droit de le faire ….

Les limites de ton raisonnement ….



La question n’est pas de savoir si l’ANSES est responsable de laisser du contenu protégé en libre accès.

C’est que Bluetouff a dit lui même, durant la garde à vue, que les fichiers devaient être protégés par une authentification.

Dans ce cas, il se maintient bel et bien dans un système de manière frauduleuse.

Même si une erreur de l’ANSES.



je suis plutôt d’accord avec Me Eolas, la condamnation pour vol semble plutôt bancal quand on parle de copie de fichier.











HarmattanBlow a écrit :



La position de Bluetoof est analogue au type qui rentre dans un hangar de la Poste, y pique tous les colis, et se justifie en affirmant que le site était sans surveillance et donc “open bar”.



Après pour un journaliste ses actions étaient morales. Mais pas légales.





Au début j’ai cru que tu parlais sérieusement, et que tu étais authentiquement à la ramasse. Puis j’ai lu tes réponses et j’ai compris que tu trollais.

Me voilà rassuré… Mais on n’est pas vendredi !! <img data-src=" />







Ordo a écrit :



Donc, tu es en train de dire que l’article de PC INpact est mensonger et a fabriqué cette citation de toute pièce ?…et aussi que Bluetouff lui-même a écrit sur son blog avoir effectivement eu connaissance de cet accès privé ?



Huh ? Première fois que je vois quelqu’un qui connait mieux le dossier que la cour, la presse et l’intéressé lui-même.

Fascinant.





Je remercie à ceux qui ont pris la peine de te répondre pour préciser en quoi une nuance subtile mais essentielle t’échappait.

Pour être bien sûr j’en remets une couche :

conscience d’une limitation d’accès au niveau X != conscience que le niveau X-3 est interdit.



Cf les commentaires sur cette news et les précédentes où plusieurs exemples courants ont été donnés. ;)





Impli a écrit :



La question n’est pas de savoir si l’ANSES est responsable de laisser du contenu protégé en libre accès.

C’est que Bluetouff a dit lui même, durant la garde à vue, que les fichiers devaient être protégés par une authentification.

Dans ce cas, il se maintient bel et bien dans un système de manière frauduleuse.

Même si une erreur de l’ANSES.



je suis plutôt d’accord avec Me Eolas, la condamnation pour vol semble plutôt bancal quand on parle de copie de fichier.





Non, même erreur de compréhension qu’Ordo. :)









Impli a écrit :



C’est que Bluetouff a dit lui même, durant la garde à vue, que les fichiers devaient être protégés par une authentification.





Il n’a jamais dit que les fichiers devaient être protégés par une authentification…









malock a écrit :



Il n’a jamais dit que les fichiers devaient être protégés par une authentification…









« qu’après être arrivé “par erreur” au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ».





Autant pour moi.



c’est ici l’open bar ou les gros cons commentent apres leur journée de travail ?



( pour les modos ou les enervés: je ne voulais insulter personne en particulier, mais j’aimerais avoir la confirmation que les contributeurs lisent tous les commentaires. effectivement, je suis passé par de la provoc, c’est plus facile)








Impli a écrit :



Autant pour moi.





Pas de soucis <img data-src=" />

C’est pas toujours simple de s’y retrouver dans toutes ces infos, ce vocabulaire…









Ordo a écrit :



Donc, tu es en train de dire que l’article de PC INpact est mensonger et a fabriqué cette citation de toute pièce ?…et aussi que Bluetouff lui-même a écrit sur son blog avoir effectivement eu connaissance de cet accès privé ?



Huh ? Première fois que je vois quelqu’un qui connait mieux le dossier que la cour, la presse et l’intéressé lui-même.

Fascinant.





Non, l’article de PCI ne dit jamais que Bluetouff savait que c’était des documents sensés êtres privés : “Pour les juges, Bluetouff savait qu’il se maintenait frauduleusement sur cet extranet”.



Et Bluetouff dit aussi qu’il ne le savait pas : https://twitter.com/bluetouff/status/431851260992425984



Et c’est bien ce qu’il y a de marqué dans l’arrêté de la cour.









malock a écrit :



Pas de soucis <img data-src=" />

C’est pas toujours simple de s’y retrouver dans toutes ces infos, ce vocabulaire…









Bien entendu, j’étais ironique.



Il est assez simple de comprendre qu’il avoue lui même que les informations auxquelles il a eu accès n’étaient pas censées être disponible à tous.

Ou alors le tribunal a fait comme moi et a tout compris de travers.









Impli a écrit :



Bien entendu, j’étais ironique.



Il est assez simple de comprendre qu’il avoue lui même que les informations auxquelles il a eu accès n’étaient pas censées être disponible à tous.

Ou alors le tribunal a fait comme moi et a tout compris de travers.





Oui, vous comprenez de travers.

Comme répété mille fois ici (et ailleurs) ce n’est pas parce qu’il y a une page demandant des identifiants que ça impose que les documents étaient sensés être privés !









Impli a écrit :



Bien entendu, j’étais ironique.



Il est assez simple de comprendre qu’il avoue lui même que les informations auxquelles il a eu accès n’étaient pas censées être disponible à tous.

Ou alors le tribunal a fait comme moi et a tout compris de travers.







Ah. Bon…

Lis-le thread de commentaire… Lis même correctement l’extrait de l’arrêt que tu as cité…

Maintenant, explique moi la relation entre “il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification” et “les documents que vous avez trouver sont alors indiscutablement protégés” ?



De nombreux exemple ont été donné… (C:/Users/malock/ -&gt; privée, C:/Users/malock/public/ -&gt; public. ça te parle ?)



Sinon, j’abandonne… Déformez les propos de vos contemporains autant que vous le souhaitez si ça vous chante









Citan666 a écrit :



Au début j’ai cru que tu parlais sérieusement, et que tu étais authentiquement à la ramasse. Puis j’ai lu tes réponses et j’ai compris que tu trollais.





Ni l’un ni l’autre.



On peut débattre du fait de savoir si oui ou non il avait conscience d’être dans des répertoire confidentiels. Mais le défaut de protection ou le fait qu’une partie du site soit public ne suffit pas à déclarer la zone publique, pas plus que les blocs de chirurgie d’un hôpital ne sont publics même en l’absence de panonceau le déclarant et même si l’accueil est ouvert au public. On peut à la rigueur disculper une personne si elle était ignorante de commettre un délit car croyant la zone publique (“de bonne foi”). Mais la zone reste néanmoins confidentielle et toute la question est de savoir si oui ou non la personne savait ce qu’elle faisait.



Et tu sais comme moi qu’il savait très certainement que c’était le cas ou au moins le suspectait. Arrêtons l’hypocrisie.









HarmattanBlow a écrit :



(…)

Mais le défaut de protection ou le fait qu’une partie du site soit public ne suffit pas à déclarer la zone publique,





Absolument. Tout comme la présence d’une page web du site A affichant un mécanisme d’authentification ne suffit pas à déclarer qu’une URL parmi d’autres toutes relatives à ce site A est évidement protégée par ce mécanisme.







HarmattanBlow a écrit :



Et tu sais comme moi qu’il savait très certainement que c’était le cas ou au moins le suspectait. Arrêtons l’hypocrisie.





Oui, je suis d’accord. Mais ça c’est entre nous.

On peut s’attendre à ce que la justice argumente un peu plus qu’un simple “mais ça se sait que tu savais” non ?









HarmattanBlow a écrit :



Et tu sais comme moi qu’il savait très certainement que c’était le cas ou au moins le suspectait. Arrêtons l’hypocrisie.



Article d’aujourd’hui de l’intéressé concernant précisément cette question.



Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?

(…)

il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe« . Peut-on lire chez Presse-Citron.



Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?

La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?









carbier a écrit :



Tu laisses la porte de ta maison ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?





Faut arrêter avec cette pseudo-comparaison foireuse… Un domicile est par défaut privé (de par sa finalité), un serveur web est par défaut public (son rôle c’est la communication sur internet).



Si tu veux vraiment une analogie avec le monde physique, en voici une que j’ai lu dans les commentaires chez Eolas : dans une bibliothèque publique, il y a 4 portes d’accès, A, B, C et D ; la porte A est protégée par un lecteur de carte, les portes B à D sont grandes ouvertes. Il y a un contrôle d’accès sur la porte A, et pourtant tu es tout à fait libre de rentrer et sortir de la bibliothèque par les 3 autres portes.





blackdream a écrit :



J’ai beaucoup de mal à comprendre comment le fait d’avoir un portail sécurisé implique forcément que des fichiers dans le même dossier sont confidentiel. Et je vois pas comment ça peu tenir la route au niveau juridique : si ce n’est pas précisé sur le portail de connexion que cela concerne l’ensemble des fichiers concerné, ou est la preuve que Bluetooth savait que le portail de connexion était censé concerner ces fichiers ?

Je suis étonné que Maitre Eolas n’en parle pas, pour moi c’est loin d’être une preuve incontestable. Beaucoup de sites ont des pages d’identifications (back-office) ET des dossiers réellement publics.





Tout à fait.





Jean_Peuplus a écrit :



Il le pensait en tout cas, mais qu’elle est la preuve que ces fichiers étaient réellement privés si ils étaient en libre accès <img data-src=" />



Il y a aucun moyen d’être sûr que c’est pas voulu.





D’autant qu’a priori il n’était pas écrit non plus sur les documents eux-mêmes qu’ils étaient confidentiels…







Ordo a écrit :



Il a dit lui-même qu’il savait ce qu’il faisait et où il mettait les pieds.





Non, il a dit lui-même qu’en remontant il y avait un login à la racine, aucunement que ça impliquait pour lui que les documents étaient protégés (de fait ils ne l’étaient pas).







Ordo a écrit :



On ne télécharge pas près de 8Go de données sur l’extranet de Anses, sensé être protégé, alors que c’est concrètement la DCRI qui va s’occuper de l’enquête (pour rappel, la Direction Centrale du Renseignement Intérieur sont les types qui s’occupe du Secret Défense) pour ensuite faire des copies et publier ces documents sur un site de presse.





Bah si, quand on est journaliste (ou autre personne intéressée), et qu’on compte analyser les documents ou faire des recherches dedans, on les télécharge pour pouvoir bénéficier d’une recherche full text.



Quant à la partie que j’ai rayée, tu la sors de ton fondement visiblement (ou plus précisément le sous-entendu que tout le monde est supposé savoir que cet extranet non protégé est censé l’être) : comme il a été précisé par de nombreuses personnes, un extranet, même avec un formulaire de connexion à la racine, ça peut avoir une arborescence volontairement publique, et c’est même très souvent le cas ; mieux, le fait d’être authentifié peut avoir un effet sur les fichiers que tu peux voir dans cet arborescence publique.







Ordo a écrit :



Il n’y a pas besoin de preuves matérielles indéniables pour que la cour puisse assumer le caractère avéré du maintient frauduleux.





Ah c’est beau ça… Tu veux qu’on te l’applique à toi aussi ce principe de “y a pas besoin d’avoir de preuves pour te condamner” ? Désolé, mais en France, du moins officiellement, il faut des preuves indéniables pour condamner quelqu’un.







Ordo a écrit :



Il faut aussi se dire que si la cour avait relaxé Bluetouff sur ce chef d’accusation, elle aurait instauré une jurisprudence rendant bien plus difficile l’application de la loi en la matière. En clair : ça aurait laissé la porte ouverte à des abus potentiellement plus dangereux.





Jurisprudence dangereuse ? De dire que quelqu’un qui accède à des données rendues publiques par leur propriétaire sur internet (que ce soit par erreur de sa part ou non) n’a pas à être condamné, c’est une jurisprudence dangereuse ?



Pourquoi devrait-on donner raison à l’incompétence ? Si les documents étaient supposés être en accès restreint, il était du devoir de l’administrateur du serveur web de les protéger. Faire porter la responsabilité à ceux qui accèdent à une information publiée par son propriétaire est au contraire un précédent dangereux !



Si demain tu vas en mairie et que sur la panneau d’affichage public au milieu de la mairie il y a un document de la mairie détaillant les dépenses du maire, il faudrait foutre en taule tous ceux qui le lisent parce que peut-être ce n’était pas volontaire dans un mouvement de transparence, mais que le document aurait dû en fait être affiché sur le panneau d’affichage réservé aux proches conseillers du maire ?







Ordo a écrit :



Cependant, le maintient frauduleux, en soi, le laisse pas vraiment place au doute.





Si le maintient frauduleux ne laisse pas place au doute, alors il ne fait pas plus de doute que tous les visiteurs de PCI qui ne seraient pas authentifiés sont coupables de maintient frauduleux dans les serveurs de PCI : c’est même encore plus évident, sur CHAQUE PAGE il y a un formulaire de login, c’est bien la preuve que tout le contenu est protégé et interdit à toute personne non authentifiée, non ?









Ordo a écrit :



Je comprends.

Mais, le fait qu’il ait avoué avoir fait des recherches pour parcourir le site jusqu’à remonter sur un accès protégé montre qu’il aurait dû se douter qu’un truc clochait. C’est pour ça que la cour estime qu’il était de son devoir de faire demi-tour et de ne pas aller plus loin (ce n’est pas car on est sur l’extranet d’une agence publique que tous les documents qui y sont présents sont destinés au public…).

Cependant, il a non seulement creusé d’avantage, mais a téléchargé 8Go de données tout en publiant une partie sur un site de presse.



Même si on lui laisse le bénéfice du doute, la cour a considéré que c’était au minimum une erreur de jugement de sa part. Et ça, quoi qu’on en pense, ça reste condamnable.







Je crois q’un exemple vaut mieux qu’un long discours:

Peux-tu me dire sisi cet extranet est censé être public ou privé:??



Tu trouveras bien la possibilité de se logger sur la page mais il est impossible de savoir si Renault est ok pour divulger ces données ou pas.

Si je reste et télécharge ces données, sera-ce une erreur de jugement de ma part?



Tu comprends à quel point cette situation est ubuesque?







Winderly a écrit :



200+ commentaires sur le blog de Maitre Eolas, je suis pas sur que ce soit très habituel.







Heuuu… oui, c’est très courant <img data-src=" />







Tim-timmy a écrit :



la cour a estimé qu’il ne pouvait pas, du fait de ses compétences revendiquées et assumées, ne pas se douter du caractère non public de ces documents.





Même remarque qu’à Ordo.



Je te mets au défi de me dire si le site que j’ai mis en lien est censé être public ou privé, et si il est vraiment public ou privé… <img data-src=" />



Fastoche, hein?<img data-src=" />







HarmattanBlow a écrit :



Et tu sais comme moi qu’il savait très certainement que c’était le cas ou au moins le suspectait. Arrêtons l’hypocrisie.





Et blam… <img data-src=" />

Des siècles et des siècles d’évolution du droit, pour se voir répliquer la fameuse brève de comptoir “mais voyons, avec sa tête, il est forcément coupable”… <img data-src=" />



Haaa, les préjugés, les “évidences”, les “c’est forcément lui”, les présomptions de culpabilité… quels superbes signes d’intelligence suprême permettant de déjouer ces sataniques esprits de déduction et de réflexion … <img data-src=" />









Ordo a écrit :



Je comprends.

Mais, le fait qu’il ait avoué avoir fait des recherches pour parcourir le site jusqu’à remonter sur un accès protégé montre qu’il aurait dû se douter qu’un truc clochait.





Ah, parce qu’à supposer qu’à la racine de debian/dists/wheezy/main/installer-amd64/current/images/netboot/xen/ il y ait une demande d’authentification, remonter les répertoires jusqu’à y arriver montrerait qu’on aurait dû se douter qu’un truc clochait ?



Encore une fois, ce n’est pas parce qu’un répertoire est protégé que les sous-répertoire le sont, le contraire est même particulièrement fréquent ! Et quand tu arrives au milieu d’une arborescence qui contient des éléments qui t’intéresse, il est normal de remonter jusqu’à ce qu’on te bloque l’accès (et même en général jusqu’à la racine, parce que c’est possible qu’en venant de /a/b/c/d et en remontant, /a/b demande un mot de passe bien que /a/b/c et /a/b/c/d soient accessibles, mais que /a lui n’en demande pas et propose d’autres contenus publics) pour voir à quoi d’autre tu as accès, vu qu’il y a des chances qu’il y ait d’autres trucs qui t’intéressent dedans.









Khalev a écrit :



Si ça ne lui était pas destiné il y a 2 jolis codes HTTP prévus pour ça : 403 et 406.





Petite erreur, c’est 401 Unauthorized et 403 Permission Denied, 406 c’est Not Acceptable (normalement utilisé quand le client précise une liste de formats qu’il accepte et que le serveur n’en supporte aucun, genre je fais une demande pour une ressource au format xml ou pdf, et le serveur ne peut me la donner qu’en json, il est supposé me renvoyer 406 Not Acceptable).









Khalev a écrit :



Et voici un exemple de document que Bluetouff a téléchargé. Je sais pas pour vous, mais moi ça ne me saute pas vraiment aux yeux que ça soit confidentiel comme truc. Surtout que ça se trouve sur Gdrive avec une simple recherche google.





Mais nan, tu comprends pas, c’est sur un site de l’administration française. Et comme c’est bien connu que non seulement l’administration française refuse de rendre publique même les données qui devraient l’être et que ce sont des branques intersidéraux en informatique, il est indéniablement évident que ces documents sont censés être privés, et donc dès que l’on voir un document émis par une administration française, on doit comprendre qu’on ne devrait pas avoir le droit de le lire.



Hein ? Un PV ? Ah non, désolé, je n’ai pas le droit de le lire (c’est émis par une administration française), donc forcément je peux pas le payer <img data-src=" />







saf04 a écrit :



( pour les modos ou les enervés: je ne voulais insulter personne en particulier, mais j’aimerais avoir la confirmation que les contributeurs lisent tous les commentaires. effectivement, je suis passé par de la provoc, c’est plus facile)





Certains lisent tout, probablement pas la majorité ;)









js2082 a écrit :



Je crois q’un exemple vaut mieux qu’un long discours:

Peux-tu me dire sisi cet extranet est censé être public ou privé:??





Bah privé, évidemment. C’est même encore plus clair que pour l’Anses : pour l’Anses il fallait remonter l’arborescence jusqu’en haut pour voir le formulaire de login, là on le voit sur chaque page, comme sur PCI ! Donc faudrait vraiment être de mauvaise foi pour croire que c’est public ; c’est comme PCI d’ailleurs, il faudrait être de mauvaise foi pour croire qu’on a le droit d’en consulter le contenu sans s’authentifier d’abord ! <img data-src=" />









js2082 a écrit :



Je crois q’un exemple vaut mieux qu’un long discours:

Peux-tu me dire sisi cet extranet est censé être public ou privé:??



Tu trouveras bien la possibilité de se logger sur la page mais il est impossible de savoir si Renault est ok pour divulger ces données ou pas.

Si je reste et télécharge ces données, sera-ce une erreur de jugement de ma part?







racine protégée ? non

site avec possibilité de se logger séparée de la possibilité d’accès, le tout sur une même page ? oui



si il y a un souci avec ce site, c’est même plus des tanches qu’il faut chercher, hein ….



ps: et voyant les données exposées, bizarrement il ne me viendrait pas à l’idée de pomper tout le site via le panama pour ensuite en redistribuer des parties non négligeables de mon propre chef … je connais le concept de lien, et la recherche pour trouver ce que je veux dedans… mais bon, passe encore … internet -1.0, quand tu nous tiens ..





Et blam… <img data-src=" />

Des siècles et des siècles d’évolution du droit, pour se voir répliquer la fameuse brève de comptoir “mais voyons, avec sa tête, il est forcément coupable”… <img data-src=" />



Haaa, les préjugés, les “évidences”, les “c’est forcément lui”, les présomptions de culpabilité… quels superbes signes d’intelligence suprême permettant de déjouer ces sataniques esprits de déduction et de réflexion … <img data-src=" />







et la même chose pour entendre dire “il est connu sur le net et dit qu’il a raison, il a raison et les vilains juges sont idiots et n’y comprennent rien, si il le dit. Et en plus ils renversent la charge de la preuve et jugent ses intentions qu’ils ne peuvent pas connaître !” <img data-src=" />



brancher les neurones, ça ne veut pas forcément dire être d’accord, ensuite :p









Tim-timmy a écrit :



et la même chose pour entendre dire “il est connu sur le net et dit qu’il a raison, il a raison et les vilains juges sont idiots et n’y comprennent rien, si il le dit. Et en plus ils renversent la charge de la preuve et jugent ses intentions qu’ils ne peuvent pas connaître !” <img data-src=" />



brancher les neurones, ça ne veut pas forcément dire être d’accord, ensuite :p







Il y a une légère (ENORME) différence entre réfléchir/développer une argumentation posant un point de vue et accuser quelqu’un sans preuve en se basant sur son intime conviction.



Tu m’excuseras de ne pas être assez partial pour placer des procès d’intention à tout va, sans apporter d’éléments concrets.

<img data-src=" />









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Savais tu qu’une partie du site pcinpact est protégée par des identifiants ? alors, es tu sur une partie privée mal protégée, ou bien une partie publique ?









doctor madness a écrit :



Savais tu qu’une partie du site pcinpact est protégée par des identifiants ? alors, es tu sur une partie privée mal protégée, ou bien une partie publique ?







ça dépend, tu es sur la partie www ou ailleurs, tu y trouves ce que tu t’attendrais à y trouver, ou le rapport financier actuel ? tu t’empresses de tout récupérer, pour juste stocker ça (peut être que ça servira un jour?) ou tu utilises la recherche pour trouver les infos que tu cherches ? Bref, faire des généralités foireuses, ça n’amène pas à grand chose dans un cas comme celui-ci …



Honnêtement pour moi, c’est une orga publique qui plus est traitant de santé, les docs devraient être systématiquement publier de façon publique mais bon moi ce que j’en dis…


Une autre démonstration que j’ai vue dans les commentaires sur le blog de Bluetouff, et qui s’adresse à tous ceux qui insistent que “puisqu’il y avait un formulaire de login à la racine du site, c’est que tout était protégé” :











Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Nan, la comparaison est foireuse….la faudrait plus comparé à ça :



j’ai une fausse sceptique, elle déborde et va dégueuler dans la rue, la faute incombe au proprio de la fosse sceptique pas au quidam qui marche dedans DANS LA RUE…google et l’extranet/nas monté par des tanches c’est la rue, le quidam bluetoof, la fosse sceptique l’anses/dcri, la seule chose qu’on peut reprocher à bluetoof c’est d’avoir un peut trop traîner sa grolle sur le bitume histoire de se débarrasser des excréments sur la chaussé ayant ainsi prévenu les passants venant en sens inverse qu’un gros tas de m…. était présent en face!



et pour les râleurs mal embouché, le budget de fonctionnement de bluetoof? le budget de fonctionnement de l’anses??



Allé, qui rêverait pas ici de bosser pour des branquignoles pareils et dire, ‘tain chef ça a été une journée super tendu aujourd’hui, j’ai du faire un .htaccess ET un .htpasswd pour protéger les powerpoints……….de la à faire une page log/pass avec gestion des droits et tout le toutim…..on parle d’un organisme d’état la, pas la peine <img data-src=" />



Communiqué:



Je tiens à m’excuser auprès de la cour d’appel pour avoir facepalmé publiquement ici même, à mauvais escient, à l’annonce du verdict.



Merci, bonsoir.








lanoux a écrit :



Nan, la comparaison est foireuse….la faudrait plus comparé à ça :



j’ai une fausse sceptique, elle déborde et va dégueuler dans la rue, la faute incombe au proprio de la fosse sceptique pas au quidam qui marche dedans DANS LA RUE…google et l’extranet/nas monté par des tanches c’est la rue, le quidam bluetoof, la fosse sceptique l’anses/dcri, la seule chose qu’on peut reprocher à bluetoof c’est d’avoir un peut trop traîner sa grolle sur le bitume histoire de se débarrasser des excréments sur la chaussé ayant ainsi prévenu les passants venant en sens inverse qu’un gros tas de m…. était présent en face!



et pour les râleurs mal embouché, le budget de fonctionnement de bluetoof? le budget de fonctionnement de l’anses??



Allé, qui rêverait pas ici de bosser pour des branquignoles pareils et dire, ‘tain chef ça a été une journée super tendu aujourd’hui, j’ai du faire un .htaccess ET un .htpasswd pour protéger les powerpoints……….de la à faire une page log/pass avec gestion des droits et tout le toutim…..on parle d’un organisme d’état la, pas la peine <img data-src=" />







1/ fosse septique

2/ l’analogie est foireuse aussi, tu as oublié de prévenir qu’il est venu avec sa citerne pomper ladite fosse .. mais stop les analogies on avait dit, elles sont toutes foireuses :p

3/ chouette je suis pauvre, je peux donc faire n’importe quoi si ça se rapporte juste au budget …

4/ ouip, des branquignols ..





Pour conclure sinon, bonne chance à lui pour la cassation, en espérant que la qualification de vol suffise à faire casser cela … et que le retour en appel le dispense d’amende…



Mais je ne pense pas que le jugement saute, si il ne justifie pas du fait que cette action est pour lui routinière (aspirer un site dès qu’il le trouve intéressant pour ses posts).. Si il l’a fait uniquement sur celui-là, toute défense tombe assez facilement … Si non, je ne vois pas pourquoi il ne convaincrait pas le juge en appel …









Tim-timmy a écrit :







1/dsl, pour l’orth, j’étais en plein js

2/rien à battre pour la citerne et l’aspiration, c’est en libre service il a le droit

3/chouette tu es pauvre MAIS tu vas quand même contribuer au budget ;), wouho, salaud d’pauvre! tu vas les payer quand même tes impôts????

4/Ouaipes, des branquignoles…..htaccess/htpasswd….pour le reste j’ai euro card master card….sinon je leur vend une presta de sécurisation, mais bon l’appel d’offre auprès du petit cousin n’a pas du être trop élevé pour qu’il se permette (le petit cousin) d’embaucher un professionnel….parce que qu’en tu embauche des branques où quand tu as un chef de service qui dit, moi je connais parce que je vais sur le site du zero, bun ça donne ce genre de grosse connerie!!!!………..et me dit pas que leur nas ou extranet était sécurisé, parce que la on un putain de pebkac





ils ont considéré qu’Olivier Laurelli savait qu’il ne devait pas avoir accès à cet espace.





Si vous croyez être coupable, alors c’est que vous êtes coupable.



<img data-src=" />





And-Justice-For-All \m/








Tim-timmy a écrit :





dsl, après relecture et impossibilité de ré-éditer il y a toujours des fautes d’orth, mais je remarque cependant que sur le fait, que leurs docs confidentiels débordent sur la voix publique, rien, nada, niente……c’est pas leur faute???



désolé môssieur le juge, j’avais mal fermé ma braguette et ma bi… débordait de mon pantalon devant l’école primaire, je m’excuse accusez donc le prof qui l’a vu, c’est sa faute!



Cela ne vous choque pas que l’institution ne s’est même pas portée civile dans cette affaire et que l’on tente de condamner Bluetouff.



Mais s’il n’y a pas de plaignant, qui se porte partie civile contre Bluetouff ?



C’est assez amusant aussi que les anti-Bluetouff, ceux soient les mêmes qui se battent pour les Ayants-droits.



Les pirates volent et tuent nos belles industries de la culture comme c’est vilain.



Le verbe copier ne veut pas dire voler. Et on retrouve le même amalgame utilisé pour accuser Bluetouff comme celui des Ayants-droits face aux Internautes “tipiak”.



On l’accuse de VOL alors qu’il n’a fait que copier des documents disponibles et accessibles au grand public. Et j’abonde dans le sens de Maître Eolas.



Mais j’irais plus loin,





qu’il est, en tout état de cause, établi qu’Olivier Laurelli a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire







La cour d’appel a d’ailleurs bien relevé que cet accès « lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système ». Il a donc été innocenté de ce chef d’accusation.





S’il a été prouvé que les données sont accessibles au public, il ne peut y avoir intrusion ou copie contre le gré du propriétaire (les données sont accessibles au public).



Certains aiment les exemples bancales alors voici la mienne :



Un grand magasin expose sa vitrine au public mais oublie de cacher une partie de celle-ci. Un photographe passe et immortalise la scène qu’il ne fallait pas.



Le photographe est-il condamnable ? Il est dans l’espace public. Ce n’est pas parce qu’il y a une porte fermée à double tour que l’on ne peut pas photographier ce qui est accessible sinon cela voudrait dire que l’on n’a le droit de rien.








Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Sauf que si il n’y a pas de clôture tu n’es censé savoir que tu es sur un propriété privée. <img data-src=" />









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.





il faut donc parcourir 5 km pour se rendre compte que c’est une propriété privée ?

n’y avait-il pas un avertissement avant ?









Tim-timmy a écrit :



1/ fosse septique

2/ l’analogie est foireuse aussi, tu as oublié de prévenir qu’il est venu avec sa citerne pomper ladite fosse .. mais stop les analogies on avait dit, elles sont toutes foireuses :p

3/ chouette je suis pauvre, je peux donc faire n’importe quoi si ça se rapporte juste au budget …

4/ ouip, des branquignols ..





Pour conclure sinon, bonne chance à lui pour la cassation, en espérant que la qualification de vol suffise à faire casser cela … et que le retour en appel le dispense d’amende…



Mais je ne pense pas que le jugement saute, si il ne justifie pas du fait que cette action est pour lui routinière (aspirer un site dès qu’il le trouve intéressant pour ses posts).. Si il l’a fait uniquement sur celui-là, toute défense tombe assez facilement … Si non, je ne vois pas pourquoi il ne convaincrait pas le juge en appel …





L’analogie est vraiment mauvaise en plus d’être dégueulasse, il faudrait qu’il puisse copier la merde dans sa citerne sans rien pomper.









Tim-timmy a écrit :



ça dépend, tu es sur la partie www ou ailleurs, tu y trouves ce que tu t’attendrais à y trouver, ou le rapport financier actuel ? tu t’empresses de tout récupérer, pour juste stocker ça (peut être que ça servira un jour?) ou tu utilises la recherche pour trouver les infos que tu cherches ? Bref, faire des généralités foireuses, ça n’amène pas à grand chose dans un cas comme celui-ci …







Yep. On regretta alors que la cour ait usé des mêmes généralités foireuses pour prendre une décision qui reste, à mon sens, que très peu argumentée.



C’est ni “Ooooh, le merveilleux Bluetouff” ni “enflures de juges daubés” ou ni même l’inverse, c’est simplement s’appuyer sur des éléments qui tiennent la route pour que ça ressemble à une décision bien faite.









Gorkk a écrit :



Petite erreur, c’est 401 Unauthorized et 403 Permission Denied, 406 c’est Not Acceptable (normalement utilisé quand le client précise une liste de formats qu’il accepte et que le serveur n’en supporte aucun, genre je fais une demande pour une ressource au format xml ou pdf, et le serveur ne peut me la donner qu’en json, il est supposé me renvoyer 406 Not Acceptable).





Ah oui. J’ai confondu avec d’autres codes… Ça m’apprendra à ne pas vérifier. Merci pour ta correction :-)









Gorkk a écrit :



Faut arrêter avec cette pseudo-comparaison foireuse… Un domicile est par défaut privé (de par sa finalité), un serveur web est par défaut public (son rôle c’est la communication sur internet).





<img data-src=" /> Donc par défaut tout serveur connecté à Internet est public… <img data-src=" />









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Non ce n’est pas pareil : si le propriétaire ne te poursuit pas en justice, l’affaire s’arrête là. Et le parquet ne te considère pas comme un criminel, ton casier judiciaire reste vierge, et tu n’as pas d’amende. Le proprio met une clôture car il reconnaît son erreur pour éviter que cela se reproduise (l’ANSES l’a fait), la promeneur continue sa promenade ailleurs, et tout le monde s’en sort bien, sur ce qui est considéré comme une faute mineure et clairement excusable.









HarmattanBlow a écrit :



Ni l’un ni l’autre.



On peut débattre du fait de savoir si oui ou non il avait conscience d’être dans des répertoire confidentiels. Mais le défaut de protection ou le fait qu’une partie du site soit public ne suffit pas à déclarer la zone publique, pas plus que les blocs de chirurgie d’un hôpital ne sont publics même en l’absence de panonceau le déclarant et même si l’accueil est ouvert au public. On peut à la rigueur disculper une personne si elle était ignorante de commettre un délit car croyant la zone publique (“de bonne foi”). Mais la zone reste néanmoins confidentielle et toute la question est de savoir si oui ou non la personne savait ce qu’elle faisait.



Et tu sais comme moi qu’il savait très certainement que c’était le cas ou au moins le suspectait. Arrêtons l’hypocrisie.





Anéfé, l’inverse étant également tout à fait vrai.

Et c’est précisément ce que tout le monde reproche à la Cour d’Appel, avoir sauté aux conclusions dans un sens au lieu de faire une analyse poussée de l’état réel des limitations d’accès pour en tirer une conclusion logique, argumentée et en phase avec la réalité technique.



Marrant comme tu campes sur des positions foireuses alors qu’une bonne vingtaine d’INpactiens différents ont démonté ces positions.



Allez c’est pas grave c’est pas la première fois que tu joues la mauvaise foi pour le plaisir d’entretenir la discussion. <img data-src=" />









carbier a écrit :



<img data-src=" /> Donc par défaut tout serveur connecté à Internet est public… <img data-src=" />





Pourquoi tu irais connecter un serveur Web à l’internet mondial sans mettre en place de protection si c’est pour pas que ça soit public?



Je veux dire ça se fait pas spontanément, tu as fais l’action volontaire de connecter ton serveur. Il me semble donc logique de penser que ce qui est accessible est public puisque le serveur a été configurer pour répondre positivement aux requètes, sauf si ça semble évident que ce que tu accèdes sont des documents qui devraient être privés, ce qui ne semblait pas être le cas ici (point non retenu par le tribunal et l’Anses avait l’air de dire que les documents n’avaient rien de confidentiels).



Je te rappelle quand même que techniquement, le wget de BT a demandé s’il avait le droit de récupérer les documents et que c’est le serveur qui lui a volontairement envoyé les documents demandés. C’est pas comme si BT était passé par une faille pour accéder à la console du serveur et avait rapatrier les informations par un service non prévu, ni configuré pour ça. Il a utilisé une requète strandard à laquelle un service publiquement accessible à répondu selon sa configuration.









Kisscooler a écrit :



Cela ne vous choque pas que l’institution ne s’est même pas portée civile dans cette affaire et que l’on tente de condamner Bluetouff.



Mais s’il n’y a pas de plaignant, qui se porte partie civile contre Bluetouff ?





Si je ne me trompe pas c’est du pénal, donc le plaignant est l’Etat, sous la forme du Parquet. Les parties civiles peuvent se joindre à l’accusation, afin d’être dédommagé des torts qu’ils ont subit, mais on considère aussi qu’il y a eu trouble à l’ordre public, ce dont est garant le Parquet.







carbier a écrit :



<img data-src=" /> Donc par défaut tout serveur connecté à Internet est public… <img data-src=" />





Tout à fait. C’est pas pour rien qu’on a inventé des systèmes d’authentification et d’autorisation. Sans compter les firewalls et autres VPN qui protègent des sections de réseau entières.



Quel que soit le protocole utilisé, si le serveur ne te répond pas “Qui êtes-vous monsieur ?” ou “Vous n’avez pas le droit d’être ici” et te retourne des informations, c’est que celles-ci sont publiques du point de vue de la relation ordinateur à ordinateur.



Après bien sûr, du point de vue humain à humain, le document en question peut être chiffré, ou alors avoir “Secret défense” ou “Document de travail, ne pas partager” écrit dedans. Information qui aurait je pense été suffisante pour condamner Bluetouff. Sauf que ça ne semblait pas être le cas ici.



L’explication est claire et la décision logique.



Vous voyez une porte ouverte et un bureau avec des documents dessus, vous devez vous posez la question “est-ce qu’il y avait une serrure sur la porte ? Est-ce normal que la porte ne soit pas fermée ?” Il aurait dû contacter le site pour savoir si ces documents était réellement en accès libre. Au moins il aurait gardé une trace de cette demande, et une absence de réponse de l’administration aurait été une faute de cette administration.



D’un point de vue journalistique, bluetouff aurait dû faire valoir le secret des sources. Même si la source est lui-même ! C’est un petit joueur comparer à Edwy Plenel…








Vouze a écrit :



L’explication est claire et la décision logique.



Vous voyez une porte ouverte et un bureau avec des documents dessus, vous devez vous posez la question “est-ce qu’il y avait une serrure sur la porte ? Est-ce normal que la porte ne soit pas fermée ?” Il aurait dû contacter le site pour savoir si ces documents était réellement en accès libre. Au moins il aurait gardé une trace de cette demande, et une absence de réponse de l’administration aurait été une faute de cette administration.



D’un point de vue journalistique, bluetouff aurait dû faire valoir le secret des sources. Même si la source est lui-même ! C’est un petit joueur comparer à Edwy Plenel…





Arrêtez avec les analogies sur la vie réelle, elles n’ont aucun sens!

Pour rappel :



Lyzz a écrit :



Article d’aujourd’hui de l’intéressé concernant précisément cette question.



Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?

(…)

il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe« . Peut-on lire chez Presse-Citron.



Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?

La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?












Vouze a écrit :



L’explication est claire et la décision logique.



Vous voyez une porte ouverte et un bureau avec des documents dessus, vous devez vous posez la question “est-ce qu’il y avait une serrure sur la porte ? Est-ce normal que la porte ne soit pas fermée ?” Il aurait dû contacter le site pour savoir si ces documents était réellement en accès libre. Au moins il aurait gardé une trace de cette demande, et une absence de réponse de l’administration aurait été une faute de cette administration.





Cette analogie est fausse. Là on parle d’une mise volontaire sur un espace accessible au publique ET destiné à un affichage publique d’une information qui aurait dû être confidentielle sans pour autant l’être clairement indiqué.



Dans la rue les pubs sont bien publiques et visibles de tous. Pourtant il y a bien un verrou sur la pub. Ça veut dire que je devrais demander l’autorisation à chaque fois que je vois une pub pour savoir si j’ai le droit de la lire?









Khalev a écrit :



Cette analogie est fausse. Là on parle d’une mise INvolontaire sur un espace accessible au publique ET destiné à un affichage publique d’une information qui aurait dû être confidentielle sans pour autant l’être clairement indiqué.



Dans la rue les pubs sont bien publiques et visibles de tous. Pourtant il y a bien un verrou sur la pub. Ça veut dire que je devrais demander l’autorisation à chaque fois que je vois une pub pour savoir si j’ai le droit de la lire?







La différence est là surtout.

La mise aurait été volontaire, il n’y aurait pas eu de soucis.









lava a écrit :



La différence est là surtout.

La mise aurait été volontaire, il n’y aurait pas eu de soucis.





Et comment BT pouvait savoir que c’était involontaire? Comment tu fais la différence entre la mise à disposition volontaire et involontaire?









Nathan1138 a écrit :



Pourquoi ?



Tu te promènes en forêt. Au bout de 5 km tu te rends compte que t’es sur une propriété privée. Tu plantes pas ta tente : tu te casses et tu vas ailleurs.



Ben là, c’est exactement pareil.







Oh, merde.



Bien sûr que non ce n’est pas pareil. Ce n’était pas une propriété privée.









Khalev a écrit :



Et comment BT pouvait savoir que c’était involontaire? Comment tu fais la différence entre la mise à disposition volontaire et involontaire?







Ah mais je suis entièrement d’accord pour dire que ce n’est pas “possible” de le savoir :)



AMHA, il le savait certainement mais en l’état les faits ne permettent pas de conclure que c’était volontaire.









lava a écrit :



Ah mais je suis entièrement d’accord pour dire que ce n’est pas “possible” de le savoir :)



AMHA, il le savait certainement mais en l’état les faits ne permettent pas de conclure que c’était volontaire.





Bin le juge il a décidé que si.

Quand on voit que le gouvernement à plusieurs extranet avec des dossiers publiques sur le même domaine, ça fait peur. Aucune moyen de savoir ce qui est legit ou non, mais si tu te trompes, tu perd un procès.









BreizFenrir a écrit :



Citer une partie de l’article (qui correspond exactement au problème soulevé ici) c’est bien. Comprendre ce qui manque dans la partie citée c’est mieux.



Ce que Mihashi indique, c’est qu’avoir des documents publiquement accessibles d’un côté, et une page web avec contrôle d’accès plus haut dans l’arborescence de l’autre côté, est insuffisant pour prouver que les documents précités auraient dû être accessibles uniquement après s’être authentifié. Il n’y a pas de lien évident entre l’un et l’autre.







malock a écrit :



Il me semble pourtant qu’il est dans le juste. Il me semble qu’il ne fait que lire correctement ce qui est noté sur l’arrêt : fascinant comme tu le dis.

On recite le blog de Bluetouff ?







Citan666 a écrit :



Je remercie à ceux qui ont pris la peine de te répondre pour préciser en quoi une nuance subtile mais essentielle t’échappait.

Pour être bien sûr j’en remets une couche :

conscience d’une limitation d’accès au niveau X != conscience que le niveau X-3 est interdit.







Mihashi a écrit :



Non, l’article de PCI ne dit jamais que Bluetouff savait que c’était des documents sensés êtres privés : “Pour les juges, Bluetouff savait qu’il se maintenait frauduleusement sur cet extranet”.



Et Bluetouff dit aussi qu’il ne le savait pas : https://twitter.com/bluetouff/status/431851260992425984



Et c’est bien ce qu’il y a de marqué dans l’arrêté de la cour.







js2082 a écrit :



Je crois q’un exemple vaut mieux qu’un long discours:

Peux-tu me dire sisi cet extranet est censé être public ou privé:??



Tu trouveras bien la possibilité de se logger sur la page mais il est impossible de savoir si Renault est ok pour divulger ces données ou pas.

Si je reste et télécharge ces données, sera-ce une erreur de jugement de ma part?



Tu comprends à quel point cette situation est ubuesque?







Gorkk a écrit :



Ah, parce qu’à supposer qu’à la racine de debian/dists/wheezy/main/installer-amd64/current/images/netboot/xen/ il y ait une demande d’authentification, remonter les répertoires jusqu’à y arriver montrerait qu’on aurait dû se douter qu’un truc clochait ?



Encore une fois, ce n’est pas parce qu’un répertoire est protégé que les sous-répertoire le sont, le contraire est même particulièrement fréquent ! Et quand tu arrives au milieu d’une arborescence qui contient des éléments qui t’intéresse, il est normal de remonter jusqu’à ce qu’on te bloque l’accès (et même en général jusqu’à la racine, parce que c’est possible qu’en venant de /a/b/c/d et en remontant, /a/b demande un mot de passe bien que /a/b/c et /a/b/c/d soient accessibles, mais que /a lui n’en demande pas et propose d’autres contenus publics) pour voir à quoi d’autre tu as accès, vu qu’il y a des chances qu’il y ait d’autres trucs qui t’intéressent dedans.



Si vous accédez à une ressources par un chemin direct pointant vers un répertoire d’un extranet, puis que vous vous rendez compte que la page d’accueil même de cet extranet a un accès protégé, il me semble normal de se demander pourquoi je peux d’un côté accéder à ces fichier, mais pas de l’autre. Surtout si cet “autre” chemin est l’accès principal.

Sur son blog, Bluetouff affirme est tombé sur un “répertoire”. Ce mot est important. Il n’a pas parlé d’une page web, mais bien d’un répertoire. Typiquement ce qu’on a lorsqu’on parcours les dossiers d’un site sans que ceux-ci n’aient de fichier index ni qu’un fichier ht ne les protège. www.trucmachinchose/site/news/images/ , si non protégé, va certainement présenter par défaut un tas de fichiers images dans une jolie liste renvoyée et mise en page par défaut.

Il m’est très souvent arrivé de voir ce genre de choses. Des “répertoires” comme celui-ci non protégés. Dans la quasi-totalité des cas, c’était un simple oubli sans graves conséquences.

Maintenant, j’ajoute à celà qu’il s’agissait ici d’un extranet. Vous savez à quoi sert un extranet, pas vrai ? Même si ceux-ci ont parfois une partie publique, lorsque la page d’accueil principale est derrière un accès protégé, il serait stupide d’assumer en premier lieu qu’il est normal que l’on puisse rentrer par la porte de derrière, mais pas par celle de devant.



Donc, que Bluetouff ait pensé que c’était open bar ne regarde que lui, mais je vous renvoie à mes messages sur les erreurs de jugements. Bluetouf a assumé “avec évidence” qu’il était en droit de télécharger 8Go de données sortie d’un répertoire accéssible uniquement par un accès direct, je n’aurais personnellement pas fait cette erreur, car je sais que ce genre de faille est fréquente et basique… en particulier dans le public.



J’accuserais volontier de faire preuve d’une insultante mauvaise foi n’importe qui avec un minimum de connaissances dans le domaine qui viendrait me dire le contraire.

Je défie également quiconque de trouver une seule partie publique à l’extranet de l’ANSES en partant de là : extranet.anses.fr

La seule chose que vous avez c’est un lien qui vous redirige vers le site publique www.anses.fr, un outil de récupération de mot de passe qui exige un login préalable et un lien dans le logo en haut à gauche qui vous dit gentiement “Vous devez être authentifié pour acceder à cette partie du site.” Désolé mais si j’arrive à tomber sur un répertoire de stockage de fichiers contenant 8Go de données en utilisant l’URL directe alors que je ne peux même pas passer la page d’accueil, oui, il y a un truc qui cloche. Réfrénez votre envie de jouer les White Knights et constatez le par vous-mêmes.











Gorkk a écrit :



Non, il a dit lui-même qu’en remontant il y avait un login à la racine, aucunement que ça impliquait pour lui que les documents étaient protégés (de fait ils ne l’étaient pas).



Déjà répondu.









Gorkk a écrit :



Bah si, quand on est journaliste (ou autre personne intéressée), et qu’on compte analyser les documents ou faire des recherches dedans, on les télécharge pour pouvoir bénéficier d’une recherche full text.



Quant à la partie que j’ai rayée, tu la sors de ton fondement visiblement (ou plus précisément le sous-entendu que tout le monde est supposé savoir que cet extranet non protégé est censé l’être) : comme il a été précisé par de nombreuses personnes, un extranet, même avec un formulaire de connexion à la racine, ça peut avoir une arborescence volontairement publique, et c’est même très souvent le cas ; mieux, le fait d’être authentifié peut avoir un effet sur les fichiers que tu peux voir dans cet arborescence publique.



Déjà répondu.

Aussi : apprends ce que “sensé être” signifie. “L’ANSES n’avait pas l’intention de mettre ces documents à disposition du public, il s’agissait de documents internes” n’est pas une phrase sortie de mon fondement, comme tu dis, c’est un fait. Tu sais ce que c’est, un fait ? Bien.









Gorkk a écrit :



Ah c’est beau ça… Tu veux qu’on te l’applique à toi aussi ce principe de “y a pas besoin d’avoir de preuves pour te condamner” ? Désolé, mais en France, du moins officiellement, il faut des preuves indéniables pour condamner quelqu’un.



En parlant de trucs qui sortes des fondements de certains… tu l’as trouvée où cette jolie phrase ? Non, car en fait, je t’expliques : je n’ai jamais dit ça.

Maintenant, si t’as envie de t’imaginer des trucs et faire des discussions tout seul dans ta tête en me prêtant des propos que je n’ai pas tenu, libre à toi… du moment que ça reste dans ta tête.









Gorkk a écrit :



Jurisprudence dangereuse ? De dire que quelqu’un qui accède à des données rendues publiques par leur propriétaire sur internet (que ce soit par erreur de sa part ou non) n’a pas à être condamné, c’est une jurisprudence dangereuse ?



Tu ne vois pas la différence entre “données rendues publiques par leur propriétaire” (sous entendu “volontairement”) et “données internes privées rendues disponibles au public par une faille provenant d’une négligence technique” ? Soi tu es naïf, soit tu es stupide, soit tu es de mauvaise foi et tu racontes n’importe quoi juste pour essayer de me contredire de manière aggressive. Fais attention, généralement on se met à dire des conneries quand on fait ça.







Gorkk a écrit :



Pourquoi devrait-on donner raison à l’incompétence ? Si les documents étaient supposés être en accès restreint, il était du devoir de l’administrateur du serveur web de les protéger. Faire porter la responsabilité à ceux qui accèdent à une information publiée par son propriétaire est au contraire un précédent dangereux !



Ouaip, c’est son job. Ouaip, il l’a mal fait. Et ? Si j’oublie de fermer ma porte, mon assurance va probablement aller m’envoyer balader quand je vais leur dire que t’es entré et que t’as piqué des trucs. Par contre, ça ne m’empêchera pas d’obtenir gain de cause si je t’attaque pour vol. (Ouaip, je fais cette analogie. Ouaip, je vais avoir des réponses comme quoi elle n’est pas bonne, blablabla. Ouaip, ceux qui me répondront n’auront rien compris et prendront ça hors contexte dans lequel je l’utilise. Ouaip, ceux-là peuvent aller se faire mettre.)

Ce n’est pas car l’ANSES (ou un presta) a fait une bourde lors de la conception de son extranet que ça déresponsabilise un tiers de ses actes.







Gorkk a écrit :



Si demain tu vas en mairie et que sur la panneau d’affichage public au milieu de la mairie il y a un document de la mairie détaillant les dépenses du maire, il faudrait foutre en taule tous ceux qui le lisent parce que peut-être ce n’était pas volontaire dans un mouvement de transparence, mais que le document aurait dû en fait être affiché sur le panneau d’affichage réservé aux proches conseillers du maire ?



Sauf que l’extranet de l’ANSES n’est pas sensé être un “affichage public”. Mais comme tu vas encore buter sur ce “sensé être”, je vais simplement faire comme la majorité des commentaires ici présents : ton analogie est incorrecte.







Gorkk a écrit :



Si le maintient frauduleux ne laisse pas place au doute, alors il ne fait pas plus de doute que tous les visiteurs de PCI qui ne seraient pas authentifiés sont coupables de maintient frauduleux dans les serveurs de PCI : c’est même encore plus évident, sur CHAQUE PAGE il y a un formulaire de login, c’est bien la preuve que tout le contenu est protégé et interdit à toute personne non authentifiée, non ?



Je retires ce que j’ai dit tout à l’heure sur la mauvaise foi, et là j’opte pour la stupidité.

Tu n’as même pas pris le temps d’aller voir à quoi ressemblait le site de l’ANSES, et tu viens en faire une comparaison avec PCI. Désolé mais là c’est juste stupide.









lataupe a écrit :



Mais Google a le droit de le faire , de tout mettre dans son cache même quand c’est retiré parce que , de toute façon, il le fait automatiquement chez tous le monde et que personne ne le conteste, alors on peut pas lui demander , à lui , de vérifier si il a le droit de le faire ….

Les limites de ton raisonnement ….







Vous avez du mal à comprendre la parabole, ou c’est de la mauvaise fois. Même si ça a été indexé, on se s’approprie pas un contenu tiers. Le consulter alors que c’est distribué de manière non intentionnelle, c’est limite, l’exploiter c’est tout autre chose.

L’ANSES n’as pas voulu faire de l’open data à ce que je sache… <img data-src=" />









Ordo a écrit :



Si vous accédez à une ressources par un chemin direct pointant vers un répertoire d’un extranet, puis que vous vous rendez compte que la page d’accueil même de cet extranet a un accès protégé, il me semble normal de se demander pourquoi je peux d’un côté accéder à ces fichier, mais pas de l’autre. Surtout si cet “autre” chemin est l’accès principal.





Absolument. Et à ce questionnement, on peut se dire, en toute bonne fois, “bizarre. Mais bon, j’y ai accès, c’est que ça doit être normal”.

Je ne suis pas en train de dire que ça été la démarche de Bluetouff (je n’en sais rien, je ne suis pas dans sa tête même si j’ai le sentiment, non vérifié donc, qu’il a bien compris ce qu’il se passait).







Ordo a écrit :



(…)Même si ceux-ci ont parfois une partie publique, lorsque la page d’accueil principale est derrière un accès protégé, il serait stupide d’assumer en premier lieu qu’il est normal que l’on puisse rentrer par la porte de derrière, mais pas par celle de devant.





Et pourquoi donc ? “Stupide” n’est peut-être pas le bon mot… “Maladroit” est peut être plus pesé. Parce que, c’est quoi “la porte de derrière” ? Non, parce qu’il pourrait y en avoir beaucoup de “porte de derrière” non ? Pourquoi ne pourrait-on pas supposer “c’est stupide de fermer le devant mais pas le derrière, c’est alors sans doute normal, les mecs, ils seraient pas aussi cons” ?



Encore une fois, je crois que Bluetouff avait bien compris où il mettait les pieds. ça n’empêche pas pour autant de s’attendre à recevoir une décision argumentée et précise plutôt qu’une “intime conviction”…







Ordo a écrit :



(…) Bluetouf a assumé “avec évidence” qu’il était en droit de télécharger 8Go de données sortie d’un répertoire accéssible uniquement par un accès direct, je n’aurais personnellement pas fait cette erreur, car je sais que ce genre de faille est fréquente et basique… en particulier dans le public.





Grand bien t’en fasse. Sincèrement, de mon côté, j’aurai pu me faire avoir. J’ignore simplement que c’est si fréquent et basique que ça…







Ordo a écrit :



Désolé mais si j’arrive à tomber sur un répertoire de stockage de fichiers contenant 8Go de données en utilisant l’URL directe alors que je ne peux même pas passer la page d’accueil, oui, il y a un truc qui cloche.





Tu ne peux pas, parce que ton esprit de déduction colle + à la réalité terrain, reprocher au autre de ne pas être à ton niveau.

Avec mes quelques connaissances en administration web (qui sont faible, je ne le cache pas), j’ai tout de même l’impression que l’on fait ce que l’on veut avec une URL et qu’elle peut ne pas représenter du tout l’organisation du site sur le système de fichier du serveur.







Ordo a écrit :



Réfrénez votre envie de jouer les White Knights et constatez le par vous-mêmes.





Tu comprends que beaucoup ici ne “se battent” pas pour défendre Bluetouff mais pour obtenir une décision de justice fondée plutôt qu’un avis basé des erreurs ?

Faut-il vraiment laisser une brèche dans l’historique des procès rendu en définissant “un mécanisme d’authentification sur une page 1 du site A comme mesure de sécurité évidente pour toute les pages de ce site A” ? Je ne crois pas non…



Tout à fait d’accord avec Malok.



Je pense que nous sommes tous d’accord pour dire que Bluetouff savait très bien ce qu’il faisait, à savoir qu’il récupérait des données non disponibles volontairement au public.



Mais que nous ne sommes pas d’accord avec la conclusion, que condamner qqn en le jugeant sur son “intention de faire” ce n’est pas correct.



Que le fait de dire “La racine est protégée donc tout ce qu’il y a ensuite l’est aussi” est faux.








Ordo a écrit :



Si vous accédez à une ressources par un chemin direct pointant vers un répertoire d’un extranet, puis que vous vous rendez compte que la page d’accueil même de cet extranet a un accès protégé, il me semble normal de se demander pourquoi je peux d’un côté accéder à ces fichier, mais pas de l’autre. Surtout si cet “autre” chemin est l’accès principal.





drive.google.com

https://docs.google.com/viewer



Oh une authentification sur la page principale.

Oh un document accessible.









Ordo a écrit :









Comme le dis Malok, c’est le raisonnement qui est mauvais et contraire au fonctionnement d’internet.



Exemple concret (non je je vais pas faire une comparaison foireuse avec une maison) : j’avais voulu récupérer les tutoriels du site du zéro.

Pour faire çà, j’utilise un outil tout à fait légal et légitime : un aspirateur de site. En faisant ça, je télécharge tout ce qui est publique sur le site. Jusqu’ici, rien d’illégale, rien d’anormal, et j’ai donc tous les tutoriels que je voulait. Maintenant, imaginant que dans les parties publiques, on a par exemple le dossier ou sont stockés les mots de passe. C’est à priori une erreur de l’admin, mais absolument pas une faille exploitée comme tu le sous-entend. Le problème, c’est que du coup, j’ai téléchargé des fichiers privé, en faisant une utilisation légale d’un aspirateur de site. Tout ça donc, à cause d’une erreur humaine. Vus que ces fichiers sont privés, je peux être condamné.

Pour résumer, le fait d’utiliser un aspirateur de site est normal et légale, sauf si un dev à fait une erreur, dans ce cas là tu peux te prendre un procès. C’est là que le verdict devient un non-sens, parce que quand tu utilise un aspirateur de site, le principe est de récupérer tout ce que tu as le droits de récupérer, pas d’exploiter une faille.

La ou je veux en venir, c’est que télécharger des fichiers en accès libre, sans les utiliser pour en faire une attaque sur le site ( si par exemple des mots de passe me permettent d’aller dans une partie privée du site en toute connaissance de cause) ne DEVRAIT PAS être condamnable.

Accéder à des dossiers publique ne devrait pas être considérer comme exploiter une faille. Que cette faille existe peut être condamnable pour la personne responsable, mais accéder à un dossier publique, non.



Cela est au final exactement comme lire une revue sur lequel une étude à été publiée par erreur. La personne qui la publie est responsable, la personne qui la lis, non, car elle le fait dans un cadre légale et légitime.

Bref, ce verdict dépasse largement le cas de Bluetouff, c’est évident. Il rend condamnable une utilisation légale et légitime d’internet, à cause d’une erreur de dev.









Ordo a écrit :



Désolé mais si j’arrive à tomber sur un répertoire de stockage de fichiers contenant 8Go de données en utilisant l’URL directe alors que je ne peux même pas passer la page d’accueil, oui, il y a un truc qui cloche.





Il ne savait pas qu’il y avait 8Go. Il a fait un wget -R sur le répertoire et c’est ensuite rendu compte qu’il y avait 8Go de données.



Il aurait pu y avoir 10ko il aurait fait la même chose.



J’aimerais bien connaître ta façon de tester de façon sûre TOUS les moyens d’accéder à une ressource pour t’assurer que ce soit normal qu’un lien direct t’y amène.









Ordo a écrit :



Si vous accédez à une ressources par un chemin direct pointant vers un répertoire d’un extranet, puis que vous vous rendez compte que la page d’accueil même de cet extranet a un accès protégé, il me semble normal de se demander pourquoi je peux d’un côté accéder à ces fichier, mais pas de l’autre. Surtout si cet “autre” chemin est l’accès principal.

Sur son blog, Bluetouff affirme est tombé sur un “répertoire”. Ce mot est important. Il n’a pas parlé d’une page web, mais bien d’un répertoire. Typiquement ce qu’on a lorsqu’on parcours les dossiers d’un site sans que ceux-ci n’aient de fichier index ni qu’un fichier ht ne les protège. www.trucmachinchose/site/news/images/ , si non protégé, va certainement présenter par défaut un tas de fichiers images dans une jolie liste renvoyée et mise en page par défaut.

Il m’est très souvent arrivé de voir ce genre de choses. Des “répertoires” comme celui-ci non protégés. Dans la quasi-totalité des cas, c’était un simple oubli sans graves conséquences.





Et donc tu prends un exemple quelconque pour en faire une règle générale ?

Bah tiens je vais faire pareil, sauf que je vais même pas l’inventer. Sur le projet open source dont je faisais partie à un moment, on avait tout le code sur un dépôt svn. Avec une partie publique et une partie privée.

Sauf que, pour simplifier la vie des développeurs et contre toute logique d’accueil de visiteurs lambda, le répertoire de plus haut niveau était en accès protégé, tandis qu’une sous-arborescence était en accès libre.



Et là ce n’était pas une erreur mais bien volonté délibérée (malheureusement).

D’où : il faut juger sur pièces avec analyse précise et détaillée.



Pour le reste d’autres t’ont déjà répondu mais j’en remets une couche pour être bien sûr. Peu d’entre nous ont des doutes sur le fait que Bluetouff savait jouer avec le feu. Simplement on ne fonde pas une jurisprudence aussi dangereuse sans étayer son raisonnement. Ce que n’a pas fait la cour d’appel, par manque de temps, compétence, ou agacement vis-à-vis de la personne en cause. Et ça ce n’est pas acceptable.



S’tout.<img data-src=" />



EDIT : +1 Blackdream et Malok, le raisonnement de la CA dans son état actuel pose un principe contraire au fonctionnement d’internet. C’est fou que certains n’arrivent pas à comprendre ça…









Khalev a écrit :



Il ne savait pas qu’il y avait 8Go. Il a fait un wget -R sur le répertoire et c’est ensuite rendu compte qu’il y avait 8Go de données.



Il aurait pu y avoir 10ko il aurait fait la même chose.



J’aimerais bien connaître ta façon de tester de façon sûre TOUS les moyens d’accéder à une ressource pour t’assurer que ce soit normal qu’un lien direct t’y amène.









on a compris que pour le défendre, tu assumes qu’il est stupide et incompétent … mais bon, pas fichu de lister le contenu et vérifier la taille avant de tout pomper ? haha. (allez, indice, ça peut même se faire avec wget (pas vérifié si ça se fait efficacement, par contre, juste avec wget :p) …)



La seule question est de savoir si il fait ça sur tout site/dossier partagé qu’il trouve intéressant, en mode internet 1992, ou si il a décidé de faire ça uniquement sur le site de l’anses, car il s’est dit que les fichiers disparaîtraient peut être un jour, quand ils auraient corrigé la faille …









Tim-timmy a écrit :



on a compris que pour le défendre, tu assumes qu’il est stupide et incompétent … mais bon, pas fichu de lister le contenu et vérifier la taille avant de tout pomper ? haha. (allez, indice, ça peut même se faire avec wget …)



La seule question est de savoir si il fait ça sur tout site/dossier partagé qu’il trouve intéressant, en mode internet 1992, ou si il a décidé de faire ça uniquement sur le site de l’anses, car il s’est dit que les fichiers disparaîtraient peut être un jour, quand ils auraient corrigé la faille descendu et changé d’admin …







<img data-src=" />









Tim-timmy a écrit :



on a compris que pour le défendre, tu assumes qu’il est stupide et incompétent … mais bon, pas fichu de lister le contenu et vérifier la taille avant de tout pomper ? haha. (allez, indice, ça peut même se faire avec wget (pas vérifié si ça se fait efficacement, par contre, juste avec wget :p) …)



La seule question est de savoir si il fait ça sur tout site/dossier partagé qu’il trouve intéressant, en mode internet 1992, ou si il a décidé de faire ça uniquement sur le site de l’anses, car il s’est dit que les fichiers disparaîtraient peut être un jour, quand ils auraient corrigé la faille …





Au final, non, c’est pas vraiment la question, ni le problème. La justice ne juge pas en fonction du QI ou du niveau technique, il me semble.

Elle définit ce que tu as le droit ou non de faire.

Récupérer la totalité des documents publiques d’une site, avant le jugement, faisait partie des choses dont tu avais le droit. Tu as le droit d’utiliser un aspirateur de site. Ce jugement apporte une modification à ce droit : pour récupérer tous les documents publique d’un site, tu dois t’assurer au préalable que la personne qui les a rendus publique l’a fait en toute connaissance de cause, même si tu récupères les données de façon standard, sans aucune attaque de sécurité.



Avec même très peu de connaissance sur le fonctionnement d’internet, on comprend vite que ça ne peux pas marcher comme principe.









Tim-timmy a écrit :



on a compris que pour le défendre, tu assumes qu’il est stupide et incompétent … mais bon, pas fichu de lister le contenu et vérifier la taille avant de tout pomper ? haha. (allez, indice, ça se fait aussi avec wget …)



La seule question est de savoir si il fait ça sur tout site/dossier partagé qu’il trouve intéressant, en mode internet 1992, ou si il a décidé de faire ça uniquement sur le site de l’anses, car il s’est dit que les fichiers disparaîtraient peut être un jour, quand ils auraient corrigé la faille …







Et vous pour l’accusez vous supposez qu’il est omnicient. C’est pas mieux.



Ça ne m’étonnerai pas qu’il fasse ce genre de manip assez souvent. Suffit de voir comment bossent pas mal de chercheurs quand ils trouvent un truc qui pourrait les intéresser : “Tiens ça à l’air pas mal ça, je prends, ça aussi, ça aussi, ça aussi, ça aussi.” Puis après ils font le tri quand ils ont le temps.



Vu ce que décrit Bluetouff sur son blog j’ai l’impression qu’il était dans ce genre d’esprit : “tiens des docs en accès libres, je prends. Voyons jusqu’où je peux remonter… tiens une page d’authentification, ok je reste en dessous alors.”



Mais ça on ne saura jamais exactement ce qu’il a dans la tête. Par contre au vu des éléments qu’on a je vois mal ce qui permet de dire qu’il est omniscient.



Le problème dans ce cas c’est qu’on demande à l’utilisateur de faire attention quand il utilise des documents sans signalement particulier librement accessibles sur un site internet publique.

Dans ce cas on doit demander l’autorisation pour toutes les pages webs du monde. Par contre ça va faciliter le travail des juges sur les licenciements en fonction de ce qui s’est dit sur Facebook ça va être facile. Le patron va se faire poursuivre pour maintient frauduleux dans un STAD et ça sera plié.



Bon je te laisse faut que je retrouve ma boule de cristal pour pouvoir deviner les intentions des webmasters des sites que je vais visiter. Au pire je pourrais me retourner vers la licorne qui me l’a vendue si la boule se trompe.









carbier a écrit :



<img data-src=" /> Donc par défaut tout serveur connecté à Internet est public… <img data-src=" />





Tout à fait oui. S’il n’y a aucun mécanisme limitant/bloquant les accès à tout ou partie, un serveur (web, ftp, webdav, etc.) connecté à Internet est par défaut et par construction d’Internet, public.









Ordo a écrit :



J’accuserais volontier de faire preuve d’une insultante mauvaise foi n’importe qui avec un minimum de connaissances dans le domaine qui viendrait me dire le contraire.





Il faudrait que tu aies des connaissances dans le domaine très nettement supérieures à ce que tu montres dans ce sujet pour qu’une telle accusation ait ne serait-ce qu’une chance d’avoir la moindre valeur.



Dans ce sujet même, plusieurs personnes ayant bossé pour des entreprises / administrations avec des extranet ont déjà expliqué qu’il est fréquent qu’un répertoire /a/b soit volontairement en accès libre (dès lors qu’on en connaît l’adresse, il n’est pas pour autant forcément référencé sur la page d’accueil ou même ailleurs sur le site) et que le répertoire /a, lui, demande des autorisations. Ou même qu’il faille passer par /a et s’authentifier pour voir certaines des ressources dans /a/b, avec pourtant une partie des ressources de /a/b accessibles à tous.







Ordo a écrit :



Je défie également quiconque de trouver une seule partie publique à l’extranet de l’ANSES en partant de là : extranet.anses.fr





Ce qui n’implique aucunement que ce qu’il y a dans l’arborescence n’est pas censé être public (cf. ci-dessus, entre autres). Il est plus que courant d’avoir des ressources accessibles à tous (volontairement) mais pour lesquelles on ne fait pas de publicité de l’adresse (parce que mettre un lien sur la page d’accueil ou alors sur le site, c’est faire de la publicité pour l’adresse de la ressource).



D’ailleurs, vu que tu n’as pas pris la peine de réagir à ma dernière démonstration : je te mets au défi d’arriver sur https://www.facebook.com/PCINpact à partir de https://www.facebook.com sans t’authentifier. Donc d’après ta “logique”, https://www.facebook.com/PCINpact est privé et quiconque y accède sans être authentifié est coupable en toute évidence de maintien frauduleux dans un STAD.









Ordo a écrit :



Déjà répondu.





Déjà répondu.





Et à côté de la plaque.







Ordo a écrit :



Aussi : apprends ce que “scensé être” signifie. “L’ANSES n’avait pas l’intention de mettre ces documents à disposition du public, il s’agissait de documents internes” n’est pas une phrase sortie de mon fondement, comme tu dis, c’est un fait. Tu sais ce que c’est, un fait ? Bien.





Apprends à lire un peu plus d’une demi phrase. Comme tu as l’air d’avoir du mal, je te remets en gras la partie importante (en soulignant une partie encore plus importante) :



Quant à la partie que j’ai rayée, tu la sors de ton fondement visiblement (ou plus précisément le sous-entendu que tout le monde est supposé savoir que cet extranet non protégé est censé l’être)









Ordo a écrit :



En parlant de trucs qui sortes des fondements de certains… tu l’as trouvée où cette jolie phrase ? Non, car en fait, je t’expliques : je n’ai jamais dit ça.

Maintenant, si t’as envie de t’imaginer des trucs et faire des discussions tout seul dans ta tête en me prêtant des propos que je n’ai pas tenu, libre à toi… du moment que ça reste dans ta tête.







Il n’y a pas besoin de preuves matérielles indéniables pour que la cour puisse assumer le caractère avéré du maintient frauduleux.



Bah si, c’est exactement ce que tu dis. Si tu ne sais pas t’exprimer et que tu ne dis pas ce que tu veux dire, ce n’est pas mon problème. Cette phrase dit clairement, reformulée autrement “Il n’y a pas besoin de preuves indéniables pour condamner Bluetouff pour maintien frauduleux”, et qui donc, par extension, “Il n’y a pas besoin de preuves indéniables pour condamner quelqu’un” (ou alors faudra m’expliquer en quoi le maintien frauduleux serait différent des autres faits interdits par la loi, et Bluetouff différent de n’importe quel autre justiciable).









Ordo a écrit :



Tu ne vois pas la différence entre “données rendues publiques par leur propriétaire” (sous entendu “volontairement”) et “données internes privées rendues disponibles au public par une faille provenant d’une négligence technique” ? Soi tu es naïf, soit tu es stupide, soit tu es de mauvaise foi et tu racontes n’importe quoi juste pour essayer de me contredire de manière aggressive. Fais attention, généralement on se met à dire des conneries quand on fait ça.





D’un point de vue de la personne qui y accède, non il n’y en a aucune. Donc oui, condamner quelqu’un qui a accédé à des données rendues publiques par son propriétaire, volontairement ou par incompétence, c’est une jurisprudence dangereuse qui ouvert la porte à toutes les dérives. Avec cette logique on peut donc condamner n’importe qui en disant après avoir rendu publique des informations “ah bah non elles ne devaient pas être publiques, donc en taule” (aka RFC6996 (bis)).







Ordo a écrit :



Sauf que l’extranet de l’ANSES n’est pas sensé être un “affichage public”. Mais comme tu vas encore buter sur ce “sensé être”, je vais simplement faire comme la majorité des commentaires ici présents : ton analogie est incorrecte.





C’est un serveur web, placé sur le web, avec des contenus dont l’accès n’est pas restreint : par définition et conception d’Internet, c’est supposé être un affichage public. Et le simple nom “extranet” n’indique aucunement à lui tout seul que rien n’est censé être public : la seule chose qu’il indique (et encore), c’est que peut-être il y a dessus des données qui ne sont pas accessibles à tous (ce que confirme le formulaire de login sur la page d’accueil) à côté de données publiques.



Un nom de domaine c’est juste ça : un nom, et rien d’autre. C’est régulièrement que tu vas pouvoir trouver sur des sous-domaines du type “static.machin.tld” des ressources qui sont tout sauf statiques.



[quote]Je retires ce que j’ai dit tout à l’heure sur la mauvaise foi, et là j’opte pour la stupidité.

Tu n’as même pas pris le temps d’aller voir à quoi ressemblait le site de l’ANSES, et tu viens en faire une comparaison avec PCI. Désolé mais là c’est juste stupide./quote]

SI j’y suis allé. Et en fait ça ne diffère pas beaucoup de Facebook (plus que PCI) : une page d’accueil avec un formulaire de login, et des trouzaines de ressources accessibles au public.



Et j’ai aussi regardé par Google et dans le cache google, et on y retrouve des ressources qui étaient justement dans cette arborescence que Bluetouff a téléchargée, et qui sont aujourd’hui toujours accessibles, via Google Docs, mises en ligne par leur auteur (et mises en ligne depuis l’url alors accesible de l’extranet de l’ANSES comme l’indique l’adresse du document sur Google Docs).









malock a écrit :



Tu ne peux pas, parce que ton esprit de déduction colle + à la réalité terrain, reprocher au autre de ne pas être à ton niveau.

Avec mes quelques connaissances en administration web (qui sont faible, je ne le cache pas), j’ai tout de même l’impression que l’on fait ce que l’on veut avec une URL et qu’elle peut ne pas représenter du tout l’organisation du site sur le système de fichier du serveur.





Non, c’est surtout que bien que se croyant visiblement omniscient, il n’a en réalité que peu de connaissance de la réalité d’Internet (et a priori de son origine également). Citan666 vient d’ailleurs de donner un autre exemple de réalité d’Internet prouvant le manque de connaissance d’Ordo sur le sujet, on doit en être à au moins 3 ou 4 dans ce sujet (et sans compter bien les exemples de raisonnement par l’absurde avec facebook ou google drive/docs).









blackdream a écrit :



Dans ce cas on doit demander l’autorisation pour toutes les pages webs du monde. Par contre ça va faciliter le travail des juges sur les licenciements en fonction de ce qui s’est dit sur Facebook ça va être facile. Le patron va se faire poursuivre pour maintient frauduleux dans un STAD et ça sera plié.





Ah oui tiens ce serait pas mal ça si la Cour de Cassation venait à confirmer le jugement : suggérer à tous les avocats en droit du travail d’utiliser cette jurisprudence. C’est vrai quoi, un truc qui pourrait te faire virer, c’est bien évident que ça n’avait pas vocation à être public ! En plus y a même un formulaire de login sur l’accueil de Facebook…









Gorkk a écrit :



Ah oui tiens ce serait pas mal ça si la Cour de Cassation venait à confirmer le jugement : suggérer à tous les avocats en droit du travail d’utiliser cette jurisprudence. C’est vrai quoi, un truc qui pourrait te faire virer, c’est bien évident que ça n’avait pas vocation à être public ! En plus y a même un formulaire de login sur l’accueil de Facebook…





<img data-src=" /> c’est pas moi qu’ai dis ça !



La France a peur d’un…Snowden français…








cyrilleberger a écrit :



Le problème n’est pas que les fichiers étaient accessible au public, mais qu’ils ne devaient pas l’être, et que “Bluetouff” a reconnu pendant sa garde à vue, qu’il s’était aperçu que les fichiers auraient du être protégé. D’ailleurs, il aurait fermé sa gueule, il aurait pu échappé à la condamnation en prétendant qu’il savait pas.



La morale de l’histoire, c’est qu’en garde à vue, innocent ou coupable, il faut se taire.







Ils auraient dû mais ne l’étaient pas. Dans l’état actuel des lois, ça tombe je pense plutôt du côté du “défaut de sécurisation” que de “ l’accès illicite”, d’ailleurs l’accès a été reconnu licite.









carbier a écrit :



Tu laisses la porte de ta maison ouverte: est-ce que n’importe-qui a le droit de rentrer et de faire ce qu’il veut ?







La comparaison ne tient pas parce qu’une maison ne dispose pas de partie publique et de partie privée, et que de fait une partie censée être privée ne peut pas d’un coup se retrouver publique.









Haseo a écrit :



La comparaison ne tient pas parce qu’une maison ne dispose pas de partie publique et de partie privée, et que de fait une partie censée être privée ne peut pas d’un coup se retrouver publique.





Tu es propriétaire ?

Parceque une partie de ma propriété est publique: c’est une obligation imposée par ma mairie (pour que les gens puissent se garer)… <img data-src=" />









carbier a écrit :



Tu es propriétaire ?

Parceque une partie de ma propriété est publique: c’est une obligation imposée par ma mairie (pour que les gens puissent se garer)… <img data-src=" />







Et si tu poses tes documents confidentiels de travail sur ton trottoir, tu auras du mal à lui reprocher de les avoir simplement ramassés. C’est une erreur de ta part, pas une violation de ta résidence privée.



Ensuite, tu parlais de ta maison, pas de ton terrain; et je ne crois pas qu’une partie de ta maison soit ouverte au public pour se garer, du coup tu peux ranger ton petit smiley prétentieux.