La Cour de cassation rendra fin mai son arrêt dit « Bluetouff », du nom de notre confrère de Reflets.info, poursuivi et condamné pour avoir copié des données mal sécurisées et disponibles sur Internet.
En 2012, notre confrère de Reflets.Info avait diffusé dans un article un PowerPoint de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Ce document relatif aux nano-substances n’était pas censé être diffusé aux quatre vents. L’ANSES craint un piratage et dépose plainte. Cet opérateur étant « d’importance vitale » (OIV), la Direction centrale du renseignement intérieur (DCRI) prend l’enquête sous le bras, d’autant que Bluetouff affirme dans un commentaire disposer de 7,7 Go de documents traitant de santé publique.
Mis en garde à vue, il explique avoir mis la main sur ces données tout simplement via le moteur Google. Il est cependant accusé d’avoir accédé frauduleusement à l’extranet de l’ANSES, de s’y être maintenu frauduleusement, et d’avoir soustrait frauduleusement les documents stockés sur cet extranet, en les téléchargeant sur plusieurs supports.
Maintien frauduleux dans un système
Si Olivier Laurelli était innocenté par le tribunal correctionnel de Créteil, la Cour d’appel a malgré tout conclu à sa culpabilité en 2014, avec à la clef 3 000 euros d’amende et une inscription sur le casier judiciaire (l'arrêt). Relaxé sur le terrain de l’accès frauduleux, il a en effet été condamné ainsi pour s’être maintenu frauduleusement sur l’extranet de l’ANSES. Pourquoi ? Car lors de sa garde à vue, l’inculpé a reconnu qu’en se promenant sur l’arborescence des fichiers mal sécurisés il était tombé sur la page d’accueil source, protégée par contrôle d’accès (login, mot de passe). Du coup, pour les juges, pas de doute : Bluetouff « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité. »
Vol de données informatiques (sans soustraction)
Autre chose, en ayant copié les fichiers normalement inaccessibles, le même confrère s’est rendu coupable de vol de données informatiques, selon la Cour d’appel. Ce point a été particulièrement commenté en ce sens que le vol suppose juridiquement la soustraction frauduleuse de la chose d’autrui (le tiers avait quelque chose, il ne l’a plus, suite à un vol). Or, si en informatique on peut copier, on ne peut réaliser ce tour de passe-passe. C’est justement cette impossibilité physique qui a conduit le législateur à dépoussiérer le droit pénal informatique lors de la dernière loi sur le terrorisme, fin 2014. Le texte actuel punit en effet celui qui détient, extrait, reproduit ou transmet une donnée acquise suite à la pénétration dans un système informatique.
Devant la Cour de cassation, « l’avocat général a sans surprise conclu au rejet du pourvoi », nous a indiqué Me Olivier Iteanu, avocat de Bluetouff. Les points de droit soulevés seront juridiquement tranchés autour du 20 mai prochain par la Cour de cassation.
Commentaires (75)
#1
Je pensais que ce dossier était clos depuis le temps… Toujours aussi rapide la justice.
#2
#3
#4
Bon je sais bien que c’est capilotracté mais il y a des sites où une partie est en libre accès et une autre protégée par un portail.
Après le patent-troll, le honeypot-troll, ou tu “sécurises mais pas assez” tes données et tu accuses tout le monde d’y avoir pénétré puis maintenu " />
#5
#6
#7
#8
#9
Enfin le mot piratage employé dans le bon contexte.. Il est temps.
Sinon, pourquoi des rapports sur les risques sanitaires sont maintenus secrets et cachés aux citoyens ? On a des choses à cacher à l’AENSS ?? Des petits trucs pas reluisants ?
#10
Désolé ,je ne peux tjs pas.
entre le jeu de mot bluetooth et la touffe du mon de vénus de la Schtroumpfette…
#11
La comparaison n’est pas 100% fiable mais en gros, on lui reproche d’être passé devant une maison fermée à clé, avec fenêtre grande ouverte, et d’avoir pris une photo par la fenêtre avec comme principal argument qu’il avait vu une serrure sur la porte.
C’est moi ou c’est vraiment n’importe quoi ?
#12
#13
#14
Et inversement,ils peuvent être accusés et condamnés pour exhibitionnisme …il me semble
#15
c’est à peu près ça pour moi " />
#16
#17
Seulement si tu montre ta porte de derrière par la fenêtre ! " />
#18
#19
#20
En effet, je patche : Prendre une photo d’une décapotable et attaquer pour cause de photo du truc qui pendouille au rétro.
#21
J’espère que Bluetouff s’en sortira, pas pour lui mais pour le statut des prochains journalistes et autres lanceurs d’alerte.
Si un système n’est pas sécurisé par la plus élémentaire des solutions, c’est pas à celui qui navigue dans le système de payer. Avec ce type de raisonnement, rien n’évoluera.
Taper sur le messager que réfléchir sur le message.
#22
#23
#24
On peut pas se balader à poil chez soi la fenêtre ouverte si on est visible depuis la rue ??
#25
#26
Aucune idée, mais je vais vérifier par curiosité. Mais pour moi si une jolie voisine veut le faire, ça ne me pose pas de problème ! " />
#27
Y a pas un délit de “défaut de sécurisation” qui a été créé par la loi hadopi par hasard ??? Car s’il n’y en a pas un là, je me demande ce qui pourrait un constituer un :cartonrouge”
#28
#29
#30
#31
#32
faut un grand imper et tu restes tout nu dessous.
ah non je confonds, ça se fait dans la rue ça " />
#33
#34
#35
Me pense à Aaron Swartz.
Je pas content! " />
#36
#37
Si je me souviens bien, en plus d’y accéder, il a aussi récupérer des fichiers, les as transférer à un tierce partie pour évaluer le contenu des fichiers récupérer.
Pour rester dans la maison avec la fenêtre ouverte, je suis entré, j’ai pris un objet au hasard et je suis allé voir un préteur sur gages pour en évaluer la valeur.
Donc, ni blanc, ni noir.
#38
S’il avait accédé à un ou deux fichiers pour les lire, on aurait pu y croire, mais après qu’il ait téléchargé et mis à l’abri 7Go de documents, c’est un peu plus difficile d’avaler qu’il aurait été convaincu d’avoir affaire à des documents publics.
#39
#40
nops. C’est toujours de l’exhibitionnisme.
La question commence à être un peu plus délicate lorsque de la rue, tu restes invisible mais que ce sont tes voisins qui profitent de la vue. Mais là encore, dans la plupart des cas, c’est quand même considéré comme exhibitionnisme.
Mais ça devient plus coton lorsque justement ton voisin commence à t’épier au point que ça peut devenir du voyeurisme.
Du coup, la vrai question est si tu as une télescope pointé par hasard sur la fenêtre de salle de bain de ta voisine et que justement, tu regardais par l’oculaire, toujours par hasard, au moment où elle y était nue, est ce de l’exhibitionnisme ou du voyeurisme ?
#41
Je passe une petite annonce dans le journal “Germaine, j’ai laissé la porte de la maison ouverte, tu peux passer prendre les 1000euros que je te devais’ signé Jean Michu de 99500 Trifouilly les oies”.
Effectivement, techniquement, le 1er voleur qui lit le journal et passe à l’acte est-il condamné ? ou est-ce une negligence de l’auteur de la petite annonce ?
M’enfin l’auteur de la petite annonce, quand même …
#42
L’ANSES est une organisation publique, financée par le publique, avec des missions publiques de conseil pour le gouvernement. En tant que Français, il est tout à fait normal dans un processus de contrôle démocratique que ces documents soient consultables.
Ça me fait penser au TAFTA ce truc fait dans le dos du peuple.
Je dis pas que tout doit être publique, mais bon, une agence de consultation gouvernementale, quoi…
#43
2ans que cela dure ! Il est temps de se passer du juge pour accélérer la machine. on devrait pouvoir le faire dans l’heure qui suit.
#44
#45
#46
" /> faut que j’arrête alors…
Et si tu bronzes dans ton jardin à poil et que tu apparais dans maps. exhibition ou voyeurisme télescopique ?
#47
Comme il l’a très bien expliqué sur son blog, les administration publiques mettent souvent des tas de données en accès libre (open data, tout ça). Il n’a fait qu’aspirer les données pour les étudier à tête reposée plus tard.
#48
#49
Ben ouais. Si tu tombes sur une page de login à la racine du site, sans autres liens, tout est confidentiel.
Si tu vas regarder à chaque fenêtre si c’est pas ouvert, tu peux pas dire que t’es rentré là par hasard..
#50
#51
#52
Haha… bien vu. J’ai l’image d’une porte avec une serrure en plein milieu d’un champs…
#53
#54
#55
#56
Vu que c’est un org
#57
#58
#59
#60
Lire aussi une bonne analyse de la jurisprudence existante sur le maintien frauduleux dans un système d’information (SI):
http://www.cabinetbastien.fr/publication-18807-que-nous-enseigne-l-affaire-bluet…
Le coeur du maintien frauduleux dans un SI, c’est de savoir si l’admin du SI avait l’INTENTION de sécuriser son SI. Autrement dit, dès que tu modifies .htaccess, la Cour de cassation te couvre contre tous les pirates! " />
D’autre part, le vol de données informatique n’est pas très pertinent ici. Poursuivre Bluetouff pour contrefaçon aurait été plus intelligent. " />
Mais au vu de la jurisprudence existante, et surtout au vu du pedigree dudit Bluetouff, il risque fort d’être condamné, et de devoir trainer la France devant la CJUE.
#61
J’espère que ce vil pirate ira en taule. Non pas pour avoir les capacités de déclencher la troisième guerre mondiale avec un Minitel, nenni, mais pour avoir utilisé Gougueuleu. " />
#62
#63
#64
Merci à la réforme de la carte judiciaire …
#65
wai m’enfin entre-temps il peux il y avoir des lois pondu comme ici… en espérant cette fois que les personne en face aussi soit compétente et ne dise pas gougle pour google…
le nombre de doc que l’on peux trouvée planquée dans les site avec google aussi " />
#66
Trouver une faille de sécurité (même triviale) et l’exploiter pour diffuser des documents privés, c’est à la fois immoral et illégal.
Même quand c’est Bluetouff.
#67
Marc a écrit :
“ Le texte actuel
punit en effet celui qui détient, extrait, reproduit ou transmet une
donnée acquise suite à la pénétration dans un système informatique.”
Encore faut-il que les données en question ne soit pas “littéralement” mises à la disposition d’un quelconque moteur de recherche, fut-il Google …
Dans ce cas il faudrait aussi condamner le moteur de recherche qui a indexé ces données …
Enfin bref, la subtile différence entre une porte grande ouverte et une porte soigneusement fermée !
CQFD
" />
#68
" /> " />
#69
nextinpact me demande parfois mon login et mon mot de passe …
puis continuer a naviguer sur ce site sans être inquiété ?
#70
#71
#72
#73
“la Direction centrale du renseignement intérieur (DCRI) prend l’enquête sous le bras”
Elle ferait mieux de s’occuper des vrais problèmes en France, telle la fuite des capitaux et autres détournements de fonds publics…
#74
#75
Lui il risque de prendre chère :
http://actualite.portail.free.fr/france/14-03-2015/un-collegien-poursuivi-pour-a…" />