Journal d'un avocat

Instantanés de la justice et du droit

Aller au contenu | Aller au menu | Aller à la recherche

L'affaire Bluetouff ou : NON, on ne peut pas être condamné pour utiliser Gogleu

Le titre de ce billet peut paraître surprenant, mais il répond en fait à un titre d’article qu’un journal en ligne de la presse spécialisée, au demeurant excellent sur son secteur, a employé pour relater la présente affaire. Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts. Heureusement, outre son goût pour les pizzas froides et la Guinness, ce qui la caractérise avant tout est le goût de comprendre, et je l’entends qui piaffe aux portes de ce blog. Faites entrer les fauves, on va faire du droit.

Au-delà des aspects techniques de cette affaire, que nous allons aborder, on se retrouve dans une problématique récurrente lorsqu’on doit juger des délits commis dans un contexte technique complexe : que ce soit la finance, la médecine, la pharmacologie, ou la technologie : les prévenus regardent les juges comme des ignares car ils n’ont pas leurs connaissances, ni même parfois les bases. Ça n’a pas manqué ici puisque des journalistes ayant assisté à l’audience ont raillé la façon de tel juge de prononcer Google “gogleu”, ou un log-inlojin” au lieu du loguine canon.

C’est regrettable bien sûr car ce genre de détail, qui peut faire sourire, sape l’autorité morale qui doit s’attacher à une décision de justice. Comment un juge qui ne sait pas prononcer Google avec l’accent de Mountain View pourrait-il être apte à juger un dossier où les thèses en présence soulèvent des points techniques, notamment en terme de sécurité informatique, domaine où le prévenu est un spécialiste reconnu ? Mais alors, faut-il refuser de juger les dossiers trop techniques faute de juge diplômé dans la matière ? Car soyons clairs : il n’y a pas de magistrat ayant l’ancienneté requise pour siéger en cour d’appel qui ait un diplôme d’ingénieur en informatique. C’est naturellement impossible. La solution est assez simple: une audience est un moment de débat qui impose aux parties de la pédagogie. Faire comprendre aux juges ces aspects techniques est une partie essentielle de la fonction de défendre. Avant d’exposer sa thèse, il faut d’assurer que le juge la comprenne. Et vous allez voir qu’ici, les conseillers de la cour d’appel de Paris ont plutôt bien compris la problématique informatique. Paradoxalement, c’est en droit pénal que leur décision est la plus critiquable.

I am da hakerz

À titre de prolégomènes, voyons un peu les délits informatiques. Ils ont été créés par une loi de 1985 qui est objectivement plutôt une réussite, car nonobstant les progrès et les évolutions de l’informatique, il n’y a pas eu besoin de les modifier, ils tiennent bon et sont toujours adaptés. Peu de lois peuvent en dire autant.

Les délits en question sont aux articles 323-1 et suivants du code pénal.

Le premier est l’accès frauduleux à un système de traitement automatisé de données (ou STAD, le terme légal pour un système informatique, qui recouvre aussi bien feu le minitel que des ordinateurs, serveurs, tablettes ou smartphone). Il est caractérisé dès lors que l’on a conscience d’accéder à un STAD alors qu’on n’a pas le droit de le faire (l’accès doit être frauduleux). Que ce soit par une attaque par dictionnaire ou force brute pour un accès protégé par mot de passe, ou en ayant obtenu le mot de passe en lisant le post-it accolé sur le moniteur, ou en exploitant une faille ou une backdoor. C’est en quelque sorte la violation de domicile informatique. Notons que la loi n’exige pas un niveau minimum de sécurité. Accéder à un STAD non protégé peut constituer le délit, mais il sera plus difficile d’établir que vous aviez conscience de pénétrer un système sans en avoir l’autorisation. Cet accès est puni (au maximum) de deux ans de prison et 30 000 € d’amende, peine portée à 3 ans et 45 000 € si cet accès a eu pour conséquence l’altération ou la suppression de données, ou si le fonctionnement du système a été altéré, que ce soit volontairement ou non. Si votre attaque par force brute a provoqué un DDoS que vous n’escomptiez pas, le délit est aggravé. Si le système concerné traite des données personnelles pour le compte de l’État, c’est 5 ans et 75 000 € encourus.

Le deuxième est le fait de se maintenir frauduleusement dans un STAD. C’est l’hypothèse où on arrive par erreur, ou en cliquant sur un lien mal paramétré, dans l’interface admin du site ou dans l’arborescence des répertoires, des bases de données MySQL, ou que sais-je encore. À l’instant où on réalise qu’on n’a rien à faire là, il convient de mettre fin à cette connexion. Ne pas le faire, fut-ce pour jeter un coup d’œil, constitue le délit. Les mêmes aggravations s’appliquent, les peines sont les mêmes.

Le troisième est l’entrave au fonctionnement d’un STAD. Typiquement, c’est l’attaque par DDos (Distributed Denial of Service)pour faire tomber un site en le submergeant de requêtes inutiles et consommatrices de bande passante. Mais de manière générale, toute mesure, toute action, informatique ou extérieure, visant à empêcher un STAD de fonctionner normalement constitue le délit. Et ce même s’agissant de Drupal, qui pourtant ne fonctionne jamais normalement. (Hein ? Où ça un troll ?)

Peine encourue : 5 ans, portées à 10 si le STAD attaqué traite des données personnelles pour l’Etat.

Le quatrième est l’introduction, la modification ou la suppression de données dans un STAD. On est là au cœur de ce qui constitue le piratage informatique. Porter atteinte à l’intégrité des données est puni de 5 ans de prison et 75 000  € d’amende, porté à 7 ans et 100 000 € si la cible est un système traitant des données personnelles pour l’État (par exemple, accéder au fichier national des permis de conduire et se rajouter des points).

Enfin, le fait, sans motif légitime (comme le serait la recherche en sécurité informatique) de détenir ou faire circuler un moyen (que ce soit un appareillage ou un programme) de commettre l’une de ces infractions est un délit puni des peines prévues pour le délit principal. C’est une sorte de délit de complicité, délit autonome car il n’exige pas la conscience de fournir une aide pour la commission d’une infraction : la simple détention constitue déjà le délit.

Voilà, chers hackers, vous savez à quelle sauce vous pouvez être mangés.

À présent, voyons l’affaire qui nous préoccupe.

Accusé Bluetouff, levez-vous

La mésaventure qui nous intéresse aujourd’hui concerne Bluetouff, oui c’est un pseudonyme, professionnel de la sécurité informatique et full disclosure, mon fournisseur de VPN, même s’il ne m’a jamais sollicité pour que j’écrive sur son affaire.

Particulièrement sensibilisé à ce qui se passe en Syrie depuis le début de la révolte contre le régime d’El Assad, un jour qu’il cherchait via Google des informations sur la situation sur place et l’assistance apportée par des sociétés française à la surveillance électronique de la population, il tombe sur un lien vers des documents de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). En cliquant sur le lien généré par Google, il réalise très vite qu’il est dans l’extranet de l’Agence, et peut accéder sans problème à des quantités de documents internes portant sur la santé publique. Il télécharge près de 8 Go de données et après les avoir en vain proposé à des journalistes spécialisés, prend l’initiative de publier des articles se reposant sur ces données. C’est un de ces articles qui va attirer l’attention de l’ANSES qui va réaliser qu’il s’agit là de documents internes censés être confidentiels. Pensant avoir été victime d’un piratage, l’agence va porter plainte, et l’affaire va être prise très au sérieux, puisque c’est la DCRI qui va être chargée de l’enquête, comme tout ce qui concerne les affaires ou les intérêts nationaux sont en cause : en effet, l’ANSES a le statut d’Opérateur d’Importance Vitale prévu par le Code de la Défense. Bluetouff explique l’affaire en détail dans ce billet, auquel je vous renvoie pour plus de détails.

L’enquête établit assez rapidement (mais pas assez pour que Bluetouff échappe à 30 heures de garde à vue) que l’accès s’est fait sans difficulté, du fait d’une incroyable faille de sécurité du serveur de l’ANSES qui permettait à Google d’indexer des liens directs vers l’extranet de l’Agence. Le parquet renvoie tout cela devant le tribunal correctionnel de Créteil, compétent car l’ANSES se situe à Maisons-Alfort, dans le Val de Marne, pour 3 délits : introduction frauduleuse dans un STAD, maintien frauduleux dans un STAD et vol des 8 Go de documents.

Le 23 avril 2013, le tribunal correctionnel de Créteil relaxe Bluetouff de l’intégralité des préventions retenues contre lui. L’ANSES s’était constituée partie civile, mais réalisant sans doute qu’elle ne peut décemment s’en prendre qu’à elle même, ne fait pas appel. Le parquet, lui, si.

L’affaire revient donc devant la cour d’appel le 18 décembre, audience dont la presse s’est faite écho en soulignant à quel point les magistrats avaient l’air dépassés, l’avocat général admettant ne pas avoir compris la moitié des termes employés lors de l’audience. On sait pourtant à quel point en pénal, l’honnêteté ne paye pas. L’arrêt a été rendu le 5 février et peut être lu intégralement ici.

Que dit au juste la cour ? Elle doit statuer dans les limites de sa saisine, fixée par le parquet quand il a saisi le tribunal. En l’espèce, il reproche 3 délits à Bluetouff : introduction frauduleuse dans un STAD, maintien frauduleux dans un STAD et vol des documents de l’ANSES.

Sur l’introduction frauduleuse dans un STAD, la cour reconnait que Bluetouff est bien arrivé sur l’extranet de l’Agence en raison d’une grave faille de sécurité, que l’Agence a reconnue et a depuis, je l’espère, comblé. Dans ce cas, l’élément moral de l’infraction, son caractère frauduleux, c’est à dire la conscience d’entrer là où on n’a pas le droit d’aller, informatiquement s’entend, n’est pas constitué. La relaxe s’impose et la cour confirme sur ce point le jugement de Créteil.

Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. Dès lors, Bluetouff a creusé sa tombe. En admettant cela, il a reconnu ce que le parquet aurait été autrement incapable de démontrer : le caractère frauduleux de son maintien. À la seconde où Bluetouff a compris qu’il était dans un extranet dont la porte était fermée mais dont on avait juste oublié de monter les murs autour, il commettait le délit de maintien frauduleux dans un STAD. Or loin de se déconnecter immédiatement, il est resté et a téléchargé l’important volume de documentation, ce qui lui a pris plusieurs heures, caractérisant le maintien. Quand je vous dis que le droit au silence en garde à vue, ce n’est pas un gadget. Le délit est donc prouvé, et la cour infirme le jugement sur ce point et condamne Bluetouff.

Sur le vol, la cour est moins diserte, et c’est à mon humble avis le point sur lequel l’arrêt est juridiquement le plus critiquable, et justifie la décision du prévenu de se pourvoir en cassation. La cour estime le vol constitué par le fait d’avoir réalisé des copies des fichiers de l’ANSES à l’insu et contre le gré de l’agence. Sans vouloir souffler aux conseillers de la chambre criminelle, il y a à mon sens une insuffisance de motifs.

Le vol est la soustraction frauduleuse de la chose d’autrui. La loi pénale est d’interprétation stricte. On entend par soustraction une appréhension, une appropriation : il faut se comporter en propriétaire de la chose, dépossédant ainsi le véritable propriétaire. La soustraction doit être frauduleuse, c’est à dire en ayant conscience que l’on n’est pas propriétaire de la chose. Or s’agissant d’un fichier informatique, on peut le copier sans jamais déposséder le propriétaire. C’est même la règle et la base du téléchargement payant de fichier. C’est précisément pour cela qu’il a fallu créer un délit spécifique pour le vol de propriété intellectuelle (la contrefaçon) qui nuit à l’auteur de l’œuvre, mais en aucun cas le dépossède de celle-ci. Personne ne pourrait voler les Misérables à Victor Hugo. On peut voler un support informatique (disquette, clef USB, disque dur, CD-ROM…), mais en aucun cas le contenu de cette mémoire. Cette dernière condamnation ne tient pas à mon sens, et on peut espérer que la Cour de cassation y mette bon ordre (même si en cas de renvoi devant une autre cour d’appel, une requalification en contrefaçon n’est pas impossible, auquel cas une condamnation serait envisageable).

C’est là le paradoxe de cette décision : bien qu’ayant affiché une ignorance de l’informatique, la cour d’appel me semble avoir correctement apprécié les faits et en avoir tiré des conséquences juridiquement correctes (je ne discute pas son appréciation des preuves, ne connaissant pas le dossier) ; c’est sur le terrain du droit pénal on ne peut plus classique du vol, où on a 2000 ans de jurisprudence, que la cour s’est mélangée les pinceaux.

Sur la peine finalement prononcée (3000 € d’amende), je trouve simplement, mais c’est ma déformation de pénaliste sans doute, que la cour a laissé passer une excellente occasion de prononcer une dispense de peine. Le trouble à l’ordre public a cessé par la destruction des fichiers copiés et la mise hors ligne des articles les citant, la victime a reconnu sa faute et a renoncé à poursuivre ; quant à la réinsertion de Bluetouff dans la société, le fait d’être mon fournisseur de VPN est largement suffisant à l’établir.

Commentaires

1. Le dimanche 9 février 2014 à 01:08 par yves

Que n’a-t’il utilisé le cache de gogueule pour accéder aux documents! il aurait été totalement blanchi… et le législateur n’aurait plus eu qu’à ajouter un cinquième délit «utilise le cache de google pour accéder à des documents qui sont censés être protégés.»

2. Le dimanche 9 février 2014 à 01:19 par banane

Google dépense une technologie incroyable pour entrer partout où il peut sans y être invité. Puis met en ligne le résultat de ses recherches. Et tout le monde trouve ça normal.
De même, Google lit vos mails (certes de manière automatique) et en extrait des mots clés afin de vous servir la pub. Google stocke les coordonnées géographiques de vos box et de vos portables à l’insu de votre plein gré.

3. Le dimanche 9 février 2014 à 01:21 par pouet

Merci maitre pour toutes ces précisions.
Je retiens donc que la condamnation de Bluetouff est justifiée même si la peine peut sembler sévère. J’espère qu’il lira votre billet.

4. Le dimanche 9 février 2014 à 01:30 par Samuel

D’abord, merci.
Ensuite, philosophiquement, j’aurai toujours une divergence avec vous : trouver l’occasion de défendre en l’espèce le droit au silence, ce qui aurait permis au coupable de ne pas être condamné, ça me choque. Personnellement, le cas jugé me donne plutôt envie de remettre en question le droit au silence du coup je ne sais pas si vous avez été son meilleur avocat…
Enfin, je ne comprends pas le rapport entre le titre du billet et son contenu, mais c’est peut-être parce qu’il est tard.

5. Le dimanche 9 février 2014 à 01:37 par elfabixx

Intéressant de voir comment (une fois de plus), l’analyse des faits par la presse (même spécialisée) détonne vis-à-vis de l’analyse ici présente.
Intéressant également à mon sens de voir qu’en fin de compte, la loi ne reproche à Bluetouf que le maintien frauduleux dans un STAD, alors que les enjeux du cas sont peut-être plus globaux (et plus graves ?) : que les documents traités par le dit STAD soient des documents confidentiels d’une entité gouvernementale de nature à provoquer une panique généralisée, ou les dernières statistiques de fréquentation du site web troulouloutsouintsoin.tld, la peine encourue est (si j’interprète correctement l’article) la même.
Pour finir, même avec l’éclairage de l’explication d’Eolas, je continue à trouver la peine prononcée trop grande et disproportionnée. L’idée d’une dispense de peine est-elle utopique dans le cas présent ? Mon inculture juridique me fait ici défaut. Merci, Eolas, pour cette explication claire et concise.

6. Le dimanche 9 février 2014 à 01:38 par Scaler

Analyse pertinente (comme d’habitude), cependant un point me semble incorrect sur le maintien frauduleux : le fait que la page principale requiert une authentification par login / mot de passe n’implique absolument pas que le reste des documents était sensé être hors d’accès.

7. Le dimanche 9 février 2014 à 01:46 par Nak

@banane une solution simple pour que google ne vous surveille pas: n’utilisez pas de produits google…

Pas d’accord avec la dispense de peine. Il semble que bluetouff trouve la notion qu’il ai commis un acte delictueux risible. Dans ces conditions, je pense qu’une peine s’impose.

8. Le dimanche 9 février 2014 à 01:50 par Lesgalapagos

Je me pose une question…

En effet on arrive à la conclusion juridique que Bleutouf est resté dans un STAD alors qu’il savait qu’il aurait dû en sortir, de plus, potentiellement, il pourrait être condamné pour contrefaçon.

Mais il y a un complice, une société lui a fourni les outils permettant ces actions, de plus cette société c’est maintenue (et y est retournée très régulièrement) alors qu’elle aussi à eu accès à la page spécifiant qu’il y avait un mot de passe. De plus elle a chargé les données, les a lue, les à mise en cache (et il est probable qu’elle les a toujours en cache). Une petite société étasunienne appelée Google.

Pourquoi n’est-elle pas citée dans cette affaire ?

9. Le dimanche 9 février 2014 à 01:54 par codlab

@banane la technologie employée pour lister les documents est entièrement connue (et n’est pas unique, plusieurs moyens d’arriver à un listing sans utiliser de techniques crackers ou autre) et ici s’agit certainement simplement d’une commande directory listing disponible souvent par défaut sur des serveurs web pré configurés (ou a configurer) ou même, tout simplement, en suivant un lien mis à disposition sur un quelconque espace par une personne ayant eu l’accès au document et ne s’apercevant pas du caractère confidentiel, à indiquer en public un lien direct au document qui étant sur un espace “extranet” non sécurisé a pu être scanné par un des robots de google.
Ce robot pouvant alors avoir simplement suivi la redirection jusque dans l’extranet “sécurisé”. Bref de fil en aiguille, un lien confidentiel est connu publiquement, scanné, répertorié, arborescence analysée, etc…

Sinon non Google ne fait rien à l’insu de notre plein gré, il est clairement stipulé dans les conditions d’utilisation ce qui est faisable. Et puis bon, soyons sérieux quelques minutes, toute notre activité effectuée en ligne dès lors que l’on demande une position gps mise à jour, utilise des mails, etc… implique un stockage et une mise à disposition sur son propre compte d’où la réflexion en suivant nous laissant dire “hum je peux faire ca grace à Google avec mon téléphone, mais j’ai aussi ca ici et ca là, tiens Google et les autres peuvent donc avoir telle ou telle donnée, ok, je fais quoi? > une réflexion doit suivre et ce sont nos choix qui nous incombent, ne pas s’arrêter à lancer des simples faits, possibilités mais chercher absolument à comprendre et anticiper ; je serais ravi de continuer de façon plus en détail via mail - le sujet de cet article n’étant pas l’impérialisme Google ou le croisement systématique de données personnelles dans la sphère numérique

10. Le dimanche 9 février 2014 à 01:55 par Japtwit

Je ne vous suis pas… Le vol d’informations a pourtant été reconnu depuis plus de dix ans, avec, selon les exemples une appropriation limitée dans le temps du support de l’information (les fameuses disquettes ou les photocopies), mais même plus récemment sans cette appréhension physique, constatant la volonté du propriétaire de préserver l’information, et celle du voleur de se l’approprier… (cf. Crim 4 mars 2008, n° 07-84.002, de mes recherches très rapides…).

11. Le dimanche 9 février 2014 à 01:59 par Nak

@Lesgalapagos Je pense que la difference principale vient du fait que bluetouff avait conscience d’acceder a un systeme normalement protege. Les crawlers automatiques de google n’en ont pas conscience. Si une personne s’en etait rendu compte chez google ou si l’ANSES les avait notifie et que google avait maintenu son acces, alors je pense que oui, il y aurai eu infraction.

12. Le dimanche 9 février 2014 à 02:36 par Hulk

Une question complémentaire : comment se fait-il que google ne soit pas poursuivi pour complicité et recel ?

Complicité car c’est google qui donne les liens permettant d’accéder à cet espace de manière illicite,

Recel car c’est google qui conserve dans son cache des copies de ces pages.

13. Le dimanche 9 février 2014 à 02:41 par Lesgalapagos

@Nak. Il est possible à l’aide de fichiers de configurations de limiter le crawl de google. De la même manière, si ce serveur avait été correctement configuré (et conçu) cela n’eusse même pas été nécessaire.

Il n’empêche que les actions entreprises par Google (et probablement d’autres moteurs) sont les mêmes que celles reprochées ici et qu’il est nécessairement passé sur la page demandant l’authentification. Que ces constructeurs ont choisi d’ignorer ce type d’avertissement (naturel) dans leur politique de crawl au profit d’un fichier de configuration d’exclusions, peut-être plus simple informatiquement, mais pas plus naturel pour un humain.

14. Le dimanche 9 février 2014 à 02:50 par vinc17

Ce n’est pas parce qu’il y a une authentification par login / mot de passe que tous les documents d’un site sont privés (donc je suis du même avis que Scaler sur ce point). De nombreux sites proposent une authentification pour les membres, et c’est le serveur qui s’occupe de gérer les permissions, les accès publics et privés pouvant se faire aux mêmes URL. C’était le cas avec le site web de mon labo dans le passé: suivant qu’on s’était authentifié ou non, le contenu de la page changeait. J’ai aussi vu des sites pour lesquels si on cherche à remonter dans l’arborescence, on obtient des erreurs. Soit Bluetouff était réellement conscient qu’il n’avait pas le droit d’accéder à ces documents, soit il s’est mal défendu…
En revanche, même si on a le droit de télécharger des documents, on n’a pas le droit de les (re)publier, sauf si la licence le permet. La cour n’a rien dit sur cette publication non autorisée?

15. Le dimanche 9 février 2014 à 03:10 par OlivierJ

@banane (#2) qui a écrit “Google dépense une technologie incroyable pour entrer partout où il peut sans y être invité”, et
@Hulk (#12) qui parle de complicité de Google :

Google se contente de se balader de lien en lien et d’indexer les pages qu’il parcourt, il ne peut pas “entrer” sur une partie privée d’un site. Le site de l’ANSES comportait donc au moins un lien vers la partie privée, lien pouvait être le résultat d’une mauvaise configuration du serveur Web (par exemple l’activation du “directory listing”). Et même sur un site mal configuré, on peut préciser pour les “robots crawlers” (les programmes des moteurs de recherchent qui parcourent le Web et ses liens) certaines parties à ne pas indexer.

16. Le dimanche 9 février 2014 à 03:23 par Hulk

@OlivierJ

“Google se contente”…

Si je me contentais de publier les adresses des gens qui partent de chez eux en oubliant de fermer à clé, en indiquant les objets de valeur qui se trouvent chez eux, je ne doute pas qu’un tribunal aurait tôt fait de me condamner pour complicité des cambriolages qui en auraient résulté.

17. Le dimanche 9 février 2014 à 03:33 par john

Tout comme le précise Scaler en 6, l’interprétation du maintien frauduleux me semble erronée.

Notre cher prévenu précise qu’il a remonté l’arborescence des fichiers et a constaté la présence d’une authentification par login / mot de passe. => OK.
Vous nous dites (enfin… l’arrêt) donc que cela suffit à déterminer le caractère frauduleux de son maintien… HEIIINNN???
A moins de n’avoir jamais fait d’informatique de sa vie, je ne vois pas comment on peut dire des énormités pareilles.
Ce n’est pas parce qu’une page d’accueil contient un login et mdp que tout le site est obligatoirement protégé ainsi. La grande majorité des sites web, disposant d’une identification comme précité, permettent aussi d’accéder à une partie, voire la majorité de leur contenu. Cela est souvent le cas pour les sites d’infos, les sites institutionnels (surtout eux)… Voire même des sites d’entreprises, notamment renault, qui permet au public de connaitre le fonctionnement de ses magasins.
Connaissant cela, comment ne pas penser que le fait d’accéder à ces données sans aucune difficulté représentait une volonté claire du site de diffuser ces données au public? Nous pourrions même aller encore plus loin en relevant que l’ANSES est un établissement public à caractère administratif, que ses travaux ont vocation à être rendus publics, et qu’il était donc difficile, si ce n’est impossible, de penser que ces données étaient protégées.

Si vous souhaitez faire une analogie, il serait plus juste de comparer le site à une agence immobilière et les données aux annonces qui sont affichées en vitrine: l’agent immobilier aurait ainsi affiché des données confidentielles sur des biens en vitrine, et il reprocherait ainsi aux passants d’avoir regardé ces infos… c’est clairement du n’importe quoi, et c’est pourtant bien ce qu’il se passe avec cet arrêt.

Comment savoir que ce qui est libre d’accès est interdit de consultation? C’est clairement impossible, à part si nous sommes en présence d’un bandeau “page confidentielle réservée aux abonnés”, ce qui n’était pas le cas ici. (de même, les documents téléchargés ne semblaient nullement avoir la mention “confidentiel”, pourtant fortement utilisé quand besoin est).

En clair (et à mes yeux), la Cour établit un maintien irrégulier (qui n’est pas réprimé), mais pas le maintien frauduleux. Il a une absence flagrante de lien de causalité, une absence de motivation ou plutôt une motivation clairement erronée, se basant sur un raisonnement entaché d’une méconnaissance certaine du fonctionnement d’un site web.

Je ne peux qu’espérer qu’une cassation renvoie ce jugement malsain aux oubliettes de l’ignorance desquelles il n’aurait jamais du sortir.

18. Le dimanche 9 février 2014 à 03:44 par philounatik

@Samuel :
Si je puis me permettre, je ne pense pas que Maître Eolas défende “philosophiquement” l’action de garder le silence : il s’agit juste de la constatation qu’un prévenu ne voulant pas être condamné a plutôt intérêt à garder le silence, présenté sous la forme d’un conseil (“moi, si j’étais à votre place, je la bouclerais”).
De même, lorsque notre cher Maître donne des conseils sur Twitter aux Manifestants Pour Tous afin qu’ils aient le moins de problèmes possible, on peut difficilement le taxer de proximité philosophique ; d’un peu de malice, à la rigueur.

19. Le dimanche 9 février 2014 à 04:05 par le_butch

le texte qui suit est confidentiel. si vous le lisez, c’est que vous vous maintenez frauduleusement dans un STAD.

Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. Dès lors, Bluetouff a creusé sa tombe. En admettant cela, il a reconnu ce que le parquet aurait été autrement incapable de démontrer : le caractère frauduleux de son maintien. À la seconde où Bluetouff a compris qu’il était dans un extranet dont la porte était fermée mais dont on avait juste oublié de monter les murs autour, il commettait le délit de maintien frauduleux dans un STAD.

c’est exactement la ou est visible l’incompétence technique du tribunal.
Avoir une page d’accueil avec login/mot de passe ne prouve pas que ce qui est en derriere est privé. ca prouve juste qu’on ne veut pas qu’on y accede par ce chemin.
le webmaster a peut etre choisi de n’avoir que des liens directs plutot qu’en passant par le parcours de l’arborescence (ca arrive souvent). il aura juste eu la flemme de faire de .htaccess partout ou un .htaccess propre. malheureusement ca arrive tout le temps: incompetence, flemme, meconnaissance, inutilité.
et comment savoir si c’est l’une ou l’autre raison, surtout que les sites institutionnels sont souvent gérés comme ca (pas d’acces a l’arborescence mais acces OK en lien direct), on envoit un mail a tous les mauvais webmasters? on les appelle? on essaye de retrouver la page qui possede le lien direct?

quand, dans une bibliotheque IRL, on veut que les lecteurs utilisent une entrée et pas une autre, on ferme les autres a clef. ca ne veut pas dire que les lecteurs n’ont pas le droit de rentrer ni d’etre a l’interieur; les lecteurs n’ont juste pas le droit d’utiliser certaines portes (pour x raisons possibles).
donc des portes fermées a clef ne veulent pas forcement dire que ce qui est derriere est sécurisé, ca veut juste dire qu’il ne faut pas passer par les portes fermées à clef.
ça parait évident quand c’est énoncé mais on a tendance a l’oublier.
je peux aussi donner l’exemple des chemins communaux qui sont indiqués par des panneaux mais fermés par des barrieres avec cadenas pour ne pas que les vehicules passent mais les pietons peuvent. alors marcher sur de tels chemins communaux serait donc pas la meme logique illegal alors que pas du tout.
et comment voir la difference avec une voie d’acces privee?
j’ai eu de nombreuses fois le probleme l’annee derniere, tu as l’impression d’etre chez les gens mais non c’est bien le chemin communal. et parfois ca ressemble au chemin communal malgré que tu sois bel et bien chez les gens.

ce qui est vrai dans le monde réel l’est encore plus dans l’informatique car par défaut tout ce qui est publique est publique sinon le web en lui même n’aurait pas lieu d’être.

quant aux mentions “confidentiel” c’est tellement galvaudé car utilisées pour un oui ou pour un non que finalement ca ne veut plus rien dire. dans certaines multinationales ou j’ai travaillé (dans plusieurs pays), les juristes ont imposé des signatures “confidentiel” par défaut à tout, et finalement tout est confidentiel même les communiqués de presse (si si !) ou le mail pour dire a ta femme que tu n’as pas oublié le pain.
apres va savoir ce qui est confidentiel mais vraiment, ce qui est confidentiel mais ok pour ton niveau d’accréditation, ce qui n’est pas confidentiel mais marqué comme tel…
au boulot, plutôt que de perdre du temps sur des questions aussi débiles et surtout insolvables, la seule alternative pour travailler est:
- tu y as accès, c’est que tu es accrédité.
- tu n’y as pas accès, c’est que tu n’es pas accrédité.

sur le net c’est pareil: tu y as acces facilement c’est que c’est que tu as le droit d’y acceder. attention ca ne te permet pas de reproduire publiquement le document (sauf le cas du lanceur d’alerte qui n’existe pas dans la loi francaise) toutefois tu peux faire une copie dite personnelle (de toutes facons la copie est automatiquement dans ton cache si tu as le malheur de visionner le document)…

au final, ce probleme ci n’existe que parce que c’est franco francais, sinon ce ne serait meme pas jugé.
Encore une fois l’erreur est d’etre francais en france.

comme je l’ai écrit au tout debut de ce texte, ce texte est confidentiel. si vous le lisez, c’est que vous avez commis le délit de maintien frauduleux dans un STAD, et quand on est interdit de STAD c’est qu’on est un dangereux hooligan :o)

20. Le dimanche 9 février 2014 à 04:16 par Arn0

“Pourquoi n’est-elle pas citée dans cette affaire ?”

Parce qu’elle ne s’est pas maintenue dans un système contenant des données confidentielles EN SACHANT qu’elle n’avait pas le droit de s’y maintenir…

21. Le dimanche 9 février 2014 à 04:28 par Nak

@john il faudrait avoir les détails du dossier pour pouvoir juger, mais le site de l’ANSE a en effet une partie publique et une partie intranet. Il est possible que bluetouff ait expressément avoué 1) avoir téléchargé des documents qu’il savait contenus dans l’intranet (par exemple par l’url avec un /intranet/ dedans) 2) savoir qu’un intranet est suposé être restreint a certaines personnes (généralement les employés) et 3) savoir que cet intranet était sécurisé par login/mdp sur sa page d’accueil. De la, plaider avoir téléchargé les fichiers en toute bonne foi devient difficile.
Autre élément possible du dossier: qu’il n’ai téléchargé que les documents de l’intranet, évitant soigneusement la partie publique du site.
Ce ne sont que des supositions, il faudrait avoir plus de détails.

22. Le dimanche 9 février 2014 à 04:34 par OlivierJ

@Hulk (#16) : votre analogie avec les maisons ne fonctionne pas. Les “robots” qui “crawlent” le web n’ont aucun moyen de savoir qu’ils arrivent sur un lien qui n’est pas supposé être public, et ce n’est pas leur but de toutes façons. Je pense que vous ne comprenez pas complètement le fonctionnement d’un “crawler”, ni la configuration de l’accès aux différentes parties d’un site Web (des explications figurent dans d’autres commentaires que les miens), dont la configuration du fichier “robots.txt”.

23. Le dimanche 9 février 2014 à 05:45 par Laurent C

Bonjour maître,

Je suis d’accord avec bon nombre des commentaires qui précèdent: sans connaître précisément le contenu du dossier et la défense de Bluetouff, il est plus qu’acrobatique de décider s’il était conscient ou non de commettre un délit en “restant” après avoir vu une page d’identification.

Peut-être, peut-être pas (et c’est, il me semble, à l’accusation de le prouver, ce qui est impossible techniquement et donc ne peut reposer que sur des aveux supposés du prévenu).

Ma question, dans l’hypothèse où le jugement serait cassé, concerne la possibilité d’une condamnation future pour contrefaçon: je suis d’accord (comment ne pas l’être) sur le fond, mais sur la forme, sans partie civile pour s’en plaindre, est-ce vraiment un risque ?

24. Le dimanche 9 février 2014 à 09:13 par fab

Si les juges ne savent pas apprécier les finesses techniques et informatiques qu’ils ont à juger , ne peuvent-ils pas demander conseil à des experts ? Car en l’espèce même vous maitre semblez un peu à coté de la plaque.

25. Le dimanche 9 février 2014 à 09:19 par clems

Quelques points :

Sur le maintien frauduleux :

L’argumentaire du tribunal qui tient compte me semble t’il des propos de bluetouff en garde à vue ne peut que les avoir dénaturés :

Les permissions et droits d’accès sur des sous répertoires par défaut ne s’héritent pas. Cela doit correspondre à une volonté propre de l’administrateur réseau ou du site. Par exemple, prenons une classe de trois élèves. Je décide sur le serveur de créer trois sous dossiers et meme un quatrième pour que les élèves puissent travailler dans leurs propres répertoires dont un en commun.

Le répertoire C sera protégé en totalité, seul l’administrateur pourra lister, créer, supprimer etc.
Le répertoire éleve1 donc C:\eleve1 est autorisé pour l’élève 1 est lui seul.
Le répertoire éleve2 donc C:\éleve2 est autorisé pour l’élève 2 “”
Le répertoire éleve3 donc C:\éleve3 est autorisé pour l’élève 2”“”

Le répertoire Commun donc C:\commun est autorisé pour tous. Donc tout le monde pourra y déposer des documents pour qu’ensemble des participants puissent travailler en collaboratif.

Nous avons donc un répertoire C: sur le serveur qui est lui protégé par mot de passe contre toutes les tentatives d’intrusion mais également des sous répertoires qui sont ouverts en fonction des objectifs à certains utilisateurs ou totalité des participants en fonction des travaux à prévoir.

Par conséquent si l’on remonte une arborence, il est tout à fait normal de tomber sur un répertoire protégé, sinon cela signifierait que le visiteur pourrait supprimer la totalité du site. Donc le résultat constaté par bluetouff lorsqu’il a remonté l’arborescence des répertoires (donc par analogie en c:) est simplement le résultat normal et attendu sur un serveur. Cela délimitait simplement la partie publique et la partie privée.

L’accès et le référence par google :

Sur ces deux points, je suis étonné de voir que l’on n’a pas fait citer l’administrateur réseau du site pour témoigner ou meme google. Car non, google ne référence pas des pages privées qui nécessitent un LOGIN. OU même qui devraient nécessiter un login pour accès.

Si il s’agit d’un espace de stockage sur une partie du site pour entreposer des photos, des documents, ou autres fichiers. Pour que cette page soit référencée. Il faut au préalable qu’un membre de l’administration de cette organisation -décide- de donner l’url complète dans une publication qui elle sera publique.

Par exemple, si j’écris sur ce blog : A l’adresse www.maitre-eolas.fr/photos/vacances/luinu.jpg vous trouverez une photo oléolé.

A ce moment là, cette page sera référencée sur google car ce commentaire est public donc lu par les robots de gogole. Donc si bluetouff a trouvé une URL complète via google en effectuant une recherche sur les documents PDF, cela signifie que l’URL de la page avait été publiquement donnée par des membres qui en connaissaient l’existence.

Si un administrateur réseau ne veut pas qu’une page internet soit référencée par google tout en maintenant son caractère publique, il le peut. Il peut baliser la page, pour donner comme instruction aux robots des moteurs de recherche d’ignorer la page, et de ne pas la référencer. La page reste accessible si on connait le lien direct, en revanche, comme pour un annuaire téléphonique, elle ne sera pas référencée.

En conclusion, l’administateur du site dispose de tous les outils nécessaire pour gérer comme il l’entend son site. Dans la mesure, où l’administateur est la seule personne à connaitre le détail des permissions qu’il fixe, le visiteur extérieur, ne peut qu’en constater le résultat sans forcément pouvoir en tirer des conclusions sur ses motivations ou ses éventuelles erreurs.

Accessoirement, la jurisprudence en matière sociale de la Cour de Cassation, lorsqu’il s’agit en entreprise de savoir si un administrateur réseau peut ou non consulter un répertoire réseau ou un mail d’un salarié, impose au salarié d’indiquer le caractère privé sur le document, ou sur le répertoire, sans cette mention “privée”, le répertoire ou le mail reste consultable sans que cela soit une violation de vie privée.

Il en va de même toujours en entreprise, lors de l’ouverture du courrier. Les tribunaux avaient validé, le licenciement d’un salarié qui s’était fait adresser à son travail, à son nom prénom, des revues pornographiques sous enveloppe. Au motif, qu’il est normal pour un service courrier ne s’attendant pas à ouvrir autre chose que du courrier professionnel d’en prendre connaissance afin de le dispatcher auprès des personnes.

Donc il serait bon que la Cour valide ce meme raisonnement, à savoir, et ce n’est pas contesté dans ce cas particulier que les documents copiés sur le serveur n’avaient par défaut aucun caractère confidentiel, ni mentionné, ni évident.

26. Le dimanche 9 février 2014 à 09:26 par cGuille

Bonjour,

Merci pour l’éclairage. Je suis étudiant en Informatique et j’ai passé un examen de Droit sur le sujet il y a une semaine, dans lequel j’ai cité cette affaire en exemple.

À l’annonce du jugement, j’étais arrivé à peu près aux mêmes conclusions que celles de cet article, si ce n’est que je n’avais pas entendu parler de cette histoire de portail d’authentification, et que par conséquent, le maintient n’était à mes yeux pas du tout frauduleux.

Cela étant dit, si le fait que cela aurait dû mettre la puce à l’oreille de Bluetouff, peut-on réellement considérer que la vue du portail d’authentification permet directement d’en conclure que le répertoire auquel il accédait n’était pas censé être accessible ?
Le fait qu’un site web propose un système d’authentification et de contrôle d’accès ne signifie pas que tous les contenus sont inaccessibles pour les utilisateurs non-connectés, loin de là. Ne peut-on pas penser qu’en voyant cela, n’importe qui aurait pu se dire « il y a un système d’authentification en place, si je ne devais pas avoir accès à cette partie du site, j’aurais pris une “403 FORBIDDEN” dans la face » ?

Vous l’aurez compris, je reste encore assez dubitatif sur le caractère frauduleux de ce maintient.
En effet, même si comme vous l’avez dit « la loi n’exige pas un niveau minimum de sécurité », ce “niveau minimum de sécurité” n’est-il pas devenu nécessaire de nos jours afin de prouver le caractère frauduleux du maintient, étant donné que la “norme” actuelle est de mettre en place un système de contrôle d’accès sur les parties internes d’un SI ?

Merci pour votre article,

Cordialement,
Guillaume.

27. Le dimanche 9 février 2014 à 09:28 par dan

Je ne connais pas bien l’affaire mais j’avais entendu dans la presse la simplification “cliquer sur un lien google = condamnation de 3000€” et “les juges ne savent pas prononcer google” ce qui me conduisait mécaniquement à faire le raccourci (et je ne pense pas avoir été le seul) : les juges ont condamnés car ils sont incompétents sur le sujet. Merci de remettre un peu les choses à leur place avec ce billet.

Néanmoins, une question me taraude : si la divulgation des documents avaient été d’une quelconque utilité pour le public (je ne pense pas que c’est le cas ici mais peut être que je me trompe), aurait-il été plus difficile de prononcer une condamnation (ou du moins y aurait il eu des circonstances atténuantes) ?

28. Le dimanche 9 février 2014 à 09:42 par Toto

Pour ceux qui disent que google est complice, relisez l’article… Il faut avoir conscience que l’accès est frauduleux, et c’est sur cela que Bluetouff a été condamné. Jusqu’à preuve du contraire, les robots n’ont pas conscience de quoi que ce soit. Si l’ANSES avait envoyé un petit mail à Google pour leur demander de ne plus indexer leurs pages internes, là d’accord.

29. Le dimanche 9 février 2014 à 10:30 par Tonio

Et google, je suis sur qu’ils ont conscience de pouvoir indexer des pages qui n’ont pas été protégées. C’est même leur gagne-pain (en partie). La différence c’est qu’ils ne savent pas quelles sont précisément les pages qui ne sont pas protégées.

Si je me met à faire un site qui indexe des pages automatiquement et les stocke sur mon serveur en précisant dans les conditions qu’il faut mettre un fichier pas-touche.txt dans le répertoire trucmuche. Et hop j’ai accès à un paquet de sites non autorisés récupérés légalement sur mon serveur. Soit parce qu’ils ont oubliés de mettre le fichier, soit plus probablement qu’ils ne savaient pas qu’il fallait le faire: trop occupé à créer un robot.txt correct.

Bon je sais: robot.txt c’est probablement du standard W3C (“nul n’est censé ignorer le standard W3C”) mais n’empêche que même avec un robot.txt je pense pouvoir récupérer un paquet de documents interdits à la consultation. Qui nous dit que Google (ou la NSA) ne lit pas ces documents?

30. Le dimanche 9 février 2014 à 10:31 par récap59

Même analyse que scaler en 6.

Quand vous constatez qu’on a installé une porte fermée à clef et oublié de monter les murs autour vous ne pouvez pas deviner quelle partie du bâtiment l’architecte avait prévu de réserver à l’usage privé du patron du bar et de sa famille, ni s’il avait déjà réfléchi à la question.

De surcroît un même document peut être accessible simultanément par login/mot de passe aux membres de la famille sur l’intranet et librement aux clients et amis sur l’extranet de l’établissement.

Les toilettes sont accessibles par clef au serveur qui arrive le matin devant une porte fermée et doit d’abord la déverrouiller, puis sans clef aux clients qui arrivent ensuite. L’employé utilise pour son travail des documents qui se trouvent indifféremment sur l’intranet ou l’extranet de l’entreprise, ou les deux.

31. Le dimanche 9 février 2014 à 10:31 par nayllko

@fab (#25) Développer un peu cet argument aurait été intéressant. En quoi les juges et Maitre Eolas sont-ils à ce point coté de la plaque? Quand tu mets un cadenas (même toupouri©) à un coffre, c’est bien pour protéger l’ensemble du contenu dudit coffre. Je ne vois pas quelle subtilité informatique permet de supposer le contraire.

Ce qui m’interpelle, surtout, c’est que l’ANSES laisse tomber après la première instance, la queue entre les pattes, mais que le ministère public tient à ce point à faire condamner Bluetouff, alors que les articles de ce dernier ne cherchent qu’à défendre l’intérêt public.

32. Le dimanche 9 février 2014 à 10:35 par Tonio

Dans mon exemple, Google n’accède pas frauduleusement, ne se maintient pas sur les sites, ne modifient ni ne suppriment de données. Et en gardant le silence, ils peuvent lire tranquillement des données confidentielles.

33. Le dimanche 9 février 2014 à 10:43 par Tendance

Il semble bel et bien ressortir de l’ensemble des commentaires que l’ANSES a été incapable de prouver que l’accès aux documents en cause était protégé par login et mot de passe (voir le commentaire de john: la structure de la page d’accueil ne prouve rien). Le fait que l’ANSES ne se soit pas porté partie civile est significatif à cet égard et aurait du mettre la “puce à l’oreille” des juges. L’arrêt se contente d’affirmer lapidairement sur ce point “il est constant que”. Dès lors, on comprend mal d’une part l’acharnement du parquet et d’autre part la condamnation sans sursis (avec réduction de 20% pour un paiement dans le délai d’un mois) et inscription au casier judiciaire pour un prévenu sans antécédent.

34. Le dimanche 9 février 2014 à 10:45 par Rataxès

Sur le vol, pas certain que la cour d’appel ait tort, compte tenu de ce qu’a déjà jugé la chambre criminelle.

Par exemple : 27 avril 2011, pourvoi n° 10-86233, inédit, où il est retenu ceci “Attendu que, pour déclarer le prévenu coupable de vol au préjudice de l’association X qui l’employait en qualité d’analyste de gestion, l’arrêt relève qu’il a fait des copies de fichiers informatiques et des photocopies de documents papiers à des fins personnelles à l’insu et contre leur gré de leur propriétaire, son employeur, sans que les nécessités de sa défense dans une instance prud’homale ne le justifient ;

Attendu qu’en l’état de ces énonciations, la cour d’appel a caractérisé en tous ses éléments, tant matériels qu’intentionnel, le délit de vol dont elle a déclaré le prévenu coupable”.

35. Le dimanche 9 février 2014 à 10:48 par récap59

J’ajoute que si vous laissez votre porte ouverte la police a le droit d’entrer chez vous sans commission rogatoire et le droit de rester même après avoir deviné que vous avez involontairement oublié de tourner la clef.

36. Le dimanche 9 février 2014 à 10:56 par Derek

@cGuill 27

S’il n’avait pas conscience d’être dans l’intranet pourquoi s’est il empressé de copier 8Go et de les proposer à la presse?

Il avait conscience d’être dans l’intranet et que c’était une faille. Element moral caractérisé: il savait qu’il se maintenait dans un stad mal protégé c’est même pour ça qu’il s’y maintenait.

Discuter l’absence de 403 c’est comme ces gens qui prétendent que repasser la 1ere à un stop suffit et qu’il n’y a pas besoin de s’arrêter…

37. Le dimanche 9 février 2014 à 10:57 par Ivan

C’est toujours cela en france: le métier de spécialiste en sécurité informatique implique facilement de se retrouver devant un tribunal.
Pourquoi se maintenir dans le systeme: pour l’analyser et voir l’étendu des défaillances (de la passoire) qu’est le systeme d’information de l’ANSES. Et au lien d’être remercié par l’Anses et/ou par la Dcri: garde à vue, frais d’avocats, multiples procès pour cibler le découragement, la perte de temps, la perte d’argent: bref: faire taire (annihiler ?) le ‘prévenu’.
Le procureur, c’est bien l’état, non ? …

38. Le dimanche 9 février 2014 à 11:03 par Aurélien

Je trouves ça assez fou de se faire condamner pour l’incompétence d’un autre, j’espère au moins qu’ils ont corrigé la faille…

J’ai une question toute bête, pourquoi Google n’a pas été condamnée, ses robots ont permit d’exploiter une “faille de sécurité” sur un site gouvernemental, il ne devrait pas avoir, logiquement, de sanctions contre lui ? Sachant qu‘“il” à crawler le contenu bien avant Bluetouff.

39. Le dimanche 9 février 2014 à 11:15 par twolaw

@nayllko l’analogie du coffre-fort n’est pas pertinente. Préfère plutôt l’analogie de la bibliothèque municipales dont certaines portes sont verrouillées parce qu’il ne faut pas passer par là, la bibliothèque n’en est pas interdite d’accès pour autant.

Les juges et Maitre Eolas s’appuient sur un lien de causalité qui n’est pas vrai :
Un verrou à l’accès A d’un lieu ne prouve pas que le lieu est interdit d’entrée par tous les autres accès B, C, D et E.

Halala c’est dingue comme les gens ont tendance à perdre leur logique dès qu’ils sont face à l’informatique !

40. Le dimanche 9 février 2014 à 11:22 par Vince

Merci Maître pour cet article éclairant.

Il n’y a guère de doute, quels que soient les détails techniques, qu’Olivier a continué à accumuler des documents *après* avoir compris qu’il ne s’agissait pas de documents rendus publics volontairement par l’ANSES mais d’une faille de sécurité (aussi béante soit elle). S’il l’a en plus confirmé en garde à vue, les faits sont malheureusement clairs, le maintien frauduleux dans un STAD est indéniable, et les mécontents peuvent éventuellement s’en prendre au législateur mais certainement pas à la cour d’appel (sur le maintien frauduleux en tout cas, le “vol” me paraissant quant à lui aussi absurde que dangereux pour l’avenir si cet aspect de la décision ne venait pas à être cassé).

Ceci dit, si je vous lis correctement, Maître, c’est le parquet qui a fait appel et non l’ANSES.
Certains des documents téléchargés contenant des données nominatives, je ne doute pas que ce même parquet sera tout aussi diligent et proactif si l’ANSES était poursuivie pour ne pas avoir protégé correctement ces données (Art 226-17 du CP, cinq ans d’emprisonnement et 300 000 Euros d’amende).
Question du mekeskidi que je suis : qui peut/doit avoir l’initiative de telles poursuites ? Est-ce le parquet lui-même ? Ou une personne dont le nom apparaîtrait dans ces fichiers mal protégés ?

41. Le dimanche 9 février 2014 à 11:22 par Le_Pompiste

Que les magistrats ne soient pas ingénieurs en informatique ne peut certes leur être reproché. Mais est-il réellement besoins d’être ingénieur pour avoir connaissance de gogleu, et d’un lojin ? De même qu’on peut supposer que le Président de la République ne passe pas son précieux temps à surfer sur le Net, on n’en a pas moins été surpris de la découverte par Chirac du mulot et de son usage.
Il semble assez bizarre que des professionnels d’un milieu social et intellectuel supposé confortable ignorent aussi superbement le monde numérique qui les entoure. Ils ne consultent aucun document professionnel en ligne, ignorent les journaux (y compris le Journal Officiel), il n’existe pas de base de données juridiques indispensables à leur profession ?

42. Le dimanche 9 février 2014 à 11:22 par récap59

Bonjour Rataxès (36)

Pour moi la cour de cassation a dans cette affaire outrepassé le code pénal, dont je croyais qu’il était d’interprétation stricte.

Le vol est la soustraction frauduleuse de la chose d’autrui.

http://www.legifrance.gouv.fr/affic…

Or une copie peut s’analyser comme une addition ou une multiplication mais certainement pas comme une soustraction, sauf à envoyer au pilon les manuels d’arithmétique du cours élémentaire 1ère année, ce qui excède à mon avis les prérogatives de la justice pénale. En tout cas on est loin du niveau ingénieur en informatique.

43. Le dimanche 9 février 2014 à 11:43 par clems

@nayllko Le raisonnement par analogie avec le coffre fort n’est pas pertinent et est erroné. Si un serveur était un coffre-fort, il n’y aurait pas de site du tout. Il serait fermé à clef et personne ne l’ouvrirait.

Il s’agit simplement d’un contenant. Contenant qui affichera des contenus différenciés ou non en fonction des droits ouverts sur les fichiers et sous répertoires aux utilisateurs. Comme c’est l’administrateur du site qui gère les accès et qui définit la stratégie à appliquer pour son site, il est le seul à savoir si il est normal ou non que le site pour une partie soit ouvert aux invités non authentifiés.

A partir du moment ou un administrateur du site décide de ce qu’il veut, tous les schémas réseaux sont possibles.

44. Le dimanche 9 février 2014 à 11:43 par fab

@nayllko #33,

L’image du cadenas ou tout autre dispositif de sécurité ne peut être abordé que si l’on connait les finesses des droits d’accès aux fichiers informatiques, comme évoqué dans d’autres commentaires une partie de l’arbre peut être accessible et une autre non et ce n’est pas à celui qui y accède de le deviner.

Qui se souvient de cette affaire dans laquelle Renault avec fait condamner (et lourdement) une société éditrice d’un site web qui avait proposé à différents constructeurs de visiter leur site web en construction via un lien privé et inaccessible depuis la page d’accès (à la racine) et que Renault avait argüé une diffusion public sans autorisation ? C’était encore un exemple de justice qui n’avait rien compris au waibeu.

45. Le dimanche 9 février 2014 à 11:46 par récap59

“Enfin, le fait, sans motif légitime (comme le serait la recherche en sécurité informatique) de détenir ou faire circuler un moyen (que ce soit un appareillage ou un programme) de commettre l’une de ces infractions est un délit puni des peines prévues pour le délit principal”

Cela ressemble fort à un délit d’intention, et même pire à la dernière mode en la matière, un délit en défaut d’intention. Je trouve cela très dangereux, ne serait-ce que du point de vue procédural. Comme il est très difficile de prouver une intention, plus encore un défaut d’intention, la tentation est trop grande pour les juges d’inverser de facto (jamais de jure, ils sont plus malins que cela) la charge de la preuve.

Surtout quand il n’y a ni préjudice ni victime qui risquerait de se plaindre que le vrai coupable court toujours.

Les délits d’intention, en défaut d’intention, et les délits sans victime ne devraient tout simplement pas exister.

46. Le dimanche 9 février 2014 à 11:53 par Tendance

Bizarre!
La page d’accueil de l’ANSES ne comporte aucun accès par login
http://www.anses.fr/fr
et plein de documents sont en accès libre, par exemple:
http://www.anses.fr/sites/default/f…

47. Le dimanche 9 février 2014 à 11:55 par VyGER91

@Samuel 4
“Ensuite, philosophiquement, j’aurai toujours une divergence avec vous : trouver l’occasion de défendre en l’espèce le droit au silence, ce qui aurait permis au coupable de ne pas être condamné, ça me choque. Personnellement, le cas jugé me donne plutôt envie de remettre en question le droit au silence du coup je ne sais pas si vous avez été son meilleur avocat…”

Ca ne me choque pas que quelqu’un ne soit pas condamné en l’absence de preuves objectives.
Ici la seule véritable preuve c’est la déclaration du prévenu de la conscience de l’environnement dans lequel il évoluait. Et si ça n’avait pas été un spécialiste mis un jeune écervelé qui l’avait compris a posteriori mais s’en serait vanté pendant l’interrogatoire pour frimer ?

Plus généralement, le droit au silence, ça permet surtout à des innocents de ne pas être condamné à tort.

48. Le dimanche 9 février 2014 à 12:00 par mauve

Pour nuancer le propos de conclusion, nonobstant le fait que je suis, personnellement (ce qui n’a aucune valeur même si je m’aime bien) intrinsèquement d’accord avec notre beinveillant Maître des lieux sur l’analyse des textes qui devraient exclure la qualification de vol pour les choses immatérielles, puisqu’il ne peut pas y avoir de dépossession du propriétaire, il faut noter qu’Eolas feint d’oublier que la Chambre Criminelle de la Cour de cassation ne s’encombre pas de cette pudeur de rosière, et a déjà, à de nombreuses reprises depuis 2004, soutenu des condamnations pour vol de données informatiques.
On peut désapprouver foncièrement cette extension analogique du champ de l’incrimination de vol, il n’empêche que cette appréciation de la ch. crim. est suprême en l’absence de moyen efficace pour le prévenu de la contester.

v. par ex. Cour de cassation, Chambre criminelle, 4 mars 2008, pourvoi n° 07-84.002. La Cour a même cru bon de préciser dans cet arrêt : « la cour d’appel a, sans insuffisance ni contradiction, répondu aux chefs péremptoires des conclusions dont elle était saisie et caractérisé en tous leurs éléments, tant matériels qu’intentionnel, les délits dont elle a déclaré le prévenu coupable ».
v. également en plus récent : Cass., crim., 27 avril 2011, pourvoi n° 10-86.23 ; (motivation identique).

49. Le dimanche 9 février 2014 à 12:04 par drondron

Le but est de faire une jurisprudence qui servira a eviter de trop se casser le bol sur des cas similaiees dans le futur, plutot que d’avoir a se remettre en question sur le monde d’aujourd’hui et ses nouveaux jouets, le temps que le metier renouvelle son staff, que l’on ai la generation geek du droit qui soit operationnelle.
Ceci dit, comment croire un seul instant que Bluetouff n’ait pas su ou il mettait le nez…

50. Le dimanche 9 février 2014 à 12:12 par Pierre M. Boriliens

Bonjour,

Je dois avouer que je fais régulièrement des choses illégales, semble-t-il, en particulier sur des sites ftp, qui apparaissent toujours sous la forme d’une arborescence commençant par “Parent directory” (ou “Vers un rép. de plus haut niveau”), comme ici, par exemple : ftp://ubuntu.univ-nantes.fr/ubuntu-…

Bien entendu, la curiosité peut me faire cliquer sur ce Parent directory et il arrive que j’accède à d’autres branches du site, que j’explore. Et ainsi de suite…

J’ai toujours pensé que puisque c’est en ligne et qu’on peut y accéder sans aucune manoeuvre frauduleuse, à moins que cliquer sur un lien le soit, c’est qu’on avait le droit d’y accéder, en tous cas que le propriétaire ne l’a pas interdit. Et comme il s’agit de sites ftp (file transfert protocol) en l’occurrence, je m’imagine qu’on peut même télécharger ce qu’on trouve intéressant…

Prenons un autre cas : hadopi. Si on se fait pirater sa ligne (là c’est bien du piratage, puisqu’il faut craquer un mot de passe) et qu’il s’en suit des téléchargements illégaux, hadopi ne veut pas le savoir, me semble-t-il. Argument : c’est à vous d’empêcher ça ! Ce que je trouve d’ailleurs limite, puisqu’il s’agit d’une effraction par un tiers…

A mon avis, si l’ANSES n’insiste pas, c’est bien parce qu’ils ont compris ça : leurs données sont librement accessibles, c’est un fait, faute d’aucune interdiction là-dessus. C’est quand même internet, dont la fonction de base est précisément de publier des choses !

51. Le dimanche 9 février 2014 à 12:30 par récap59

Bonjour mauve (50)

Toutes les voies de recours ont-elles été épuisées ?

Il me semble que la justice européenne censure les incriminations sans texte. Or le texte qui sanctionne le vol dans notre code pénal ne peut pas de bonne foi être considéré comme interdisant la copie, l’addition, la multiplication ou la publication de données même publiques. Il y a donc violation de l’article 7 de la CESDH.

Article 7 – Pas de peine sans loi

Nul ne peut être condamné pour une action ou une omission qui, au moment où elle a été commise, ne constituait pas une infraction d’après le droit national ou international.

52. Le dimanche 9 février 2014 à 12:31 par ginette

Dans quelle mesure le caractère expérimenté de Bluetouff peut-il ou pas intervenir dans le verdict ? (je me rappelle m’être moi aussi retrouvé un jour en recherchant un organigramme avant entretien d’embauche dans des fichiers comptables et autres d’un hosto du coin avec salaires etc sur lesquels j’ai cliqué sans réfléchir, super surprise, avant d’en sortir de suite bien entendu)
Et en marge, je me demandais si (et comment le cas échéant) dans cette histoire il aurait été possible d’ouvrir également une instruction à l’encontre de l’Anses pour son manquement aux mesures de sécurité ?

53. Le dimanche 9 février 2014 à 13:04 par cGuille

@Derek (38)

S’il n’avait pas conscience d’être dans l’intranet pourquoi s’est il empressé de copier 8Go et de les proposer à la presse?
Il pensait ces documents intéressant alors il les a récupéré. Je ne vois pas trop le rapport avec la question du maintient frauduleux… si tu penses qu’il a téléchargé ça en pensant qu’il risquait de ne pas les retrouver plus tard, bluetouff a lui même répondu à cette question.

Il avait conscience d’être dans l’intranet et que c’était une faille.
Tu énonces le fait comme si il était établi, alors que je remets justement en question le raisonnement qui l’établit.

Discuter l’absence de 403 c’est comme ces gens qui prétendent que repasser la 1ere à un stop suffit et qu’il n’y a pas besoin de s’arrêter…
Encore une fois, je trouve que ça n’a aucun rapport, désolé. La métaphore n’a aucun sens, ou alors je ne le vois pas.

Il se trouve que lorsque le juge détermine si le maintient est frauduleux (i.e. si l’auteur des faits avait conscience qu’il ne devait pas le faire), je pense qu’il doit chercher si le contexte permettait de comprendre que le maintient dans le STAD était interdit. Or, la “norme”, c’est-à-dire ce à quoi nous sommes tous habitués, c’est qu’en présence d’un système de gestion d’autorisations, celui-ci nous dira si on a le droit ou non d’accéder aux informations que l’on consulte.

À partir du moment où ce n’est pas le cas, cela devient difficile à mes yeux de dire que Bluetouff devait comprendre que ces documents étaient des documents internes.
Pire encore, avec une telle jurisprudence, c’est un coup à devenir paranoïaque : qui me dit que le propriétaire de la page que je suis en train de consulter ne décidera pas qu’elle n’aurait pas dû être accessible et qu’il souhaite m’attaquer en justice ?

54. Le dimanche 9 février 2014 à 13:09 par Geoffrey

Bonjour Maître et merci pour ces éclaircissements.
Je réagis sur le seul point qui semble, a priori, justifier la condamnation de Bluetouff : le maintien frauduleux.

Un site web peut être composé de plusieurs sections, certaines pouvant être protégées par mot de passe, et d’autres non.
La découverte de ce site et de ces données par l’accusé le place dans la position de l’ignorant qui parcourt un espace public. La découverte postérieure d’une page ou d’une zone sur une page d’authentification ne signifie pas que tout le site web est protégé par ce “lojin”. Les données découvertes et copiées (et non volées) antérieurement n’étaient pas nécessairement sujettes à cette protection puisque accessibles via un espace publique.

Bluetouff ne connaissant pas nécessairement l’arborescence complète du site qu’il était en train de découvrir a très bien pu partir du postula que des éléments étaient bien protégés par mot de passe, mais pas les documents qu’il a découvert via “gogleu”. Ce qui semblerait logique dans un espace aussi varié qu’est Internet : des espaces protégés et d’autres non, et parfois les deux sur le même domaine !

Je possède des sites web où certains documents sont protèges et d’autres non, le tout sur le même domaine et parfois même dans le même “dossier”. Un visiteur ne pourrait pas distinguer un document protégé d’un autre non protégé, si mon système ne demandait pas une authentification pour lire les documents censés être protégés.

Je ne sais pas si c’est clair :)

Bon dimanche !
Geoffrey

55. Le dimanche 9 février 2014 à 13:42 par clmasse

@banane, Google lit les méta données “robot” et n’indexe pas les pages qu’on lui a demandé de ne pas indexer. Ça c’est une première chose. Deuxièmement, tous les webmasters sont bien contents que leur site soit indexé, car c’est comme ça qu’ils ont du trafic, donc de la notoriété ou des revenus publicitaires, certain râlent même qu’ils ne le sont pas assez rapidement ou qu’ils ne sont pas en haut de la liste. Aucune loi n’interdit de le faire, car c’est l’intérêt général, contre l’intérêt particulier de quelques anti-américanistes primaires.

56. Le dimanche 9 février 2014 à 14:11 par AlterEgo

”(…) l’accès frauduleux à un système de traitement automatisé de données (ou STAD, le terme légal pour un système informatique, qui recouvre aussi bien feu le minitel que des ordinateurs, serveurs, tablettes ou smartphone”.
Je me permet de vous suggérer d’ajouter un paragraphe - ou une note de bas de page - pour préciser qu’un article controversé de la LOPPSI II (l’article 23) autorise la justice à installer sur l’ordinateur d’un particiulier un logiciel, sauf si ledit particulier est un député ou…un avocat ! :-)

57. Le dimanche 9 février 2014 à 14:11 par mauve

@Récap59 (53) : j’ai écris que le prévenu n’avait pas à sa disposition de moyen efficace de contester un rejet de son pourvoi, même s’il n’a pas encore épuisé son recours devant la CEDH, car étant soumis à l’inscription au casier judiciaire, le délai de recours étant ce qu’il est, un chercheur en sécurité qui veut pouvoir travailler un peu dans les 15 prochaines années a intérêt à faire profil très bas pour pouvoir demander l’effacement de la mention du bulletin n°2, ce qui se fait auprès de la juridiction ayant rendu le jugement…

Et en toute hypothèse, à supposer que notre prévenu, capable tel les fakirs de l’Inde de tirer sa subsistance de l’air environnant, et décidant de rester droit dans ses bottes et d’y aller quand même, gagne devant la CEDH, cela n’enlèverait rien au fait qu’une partie essentielle de la condamnation repose non pas sur le vol mais sur le maintien frauduleux dans un STAD, laquelle infraction peut entraîner par elle-même isolément un quantum de peine supérieur à celui imposé. Donc une révision du procès n’amènerait probablement pas un changement significatif de la condamnation au final.

Le droit y gagnerait, mais cela supposerait un altruisme tout à fait extraordinaire de la part de bluetouff.

58. Le dimanche 9 février 2014 à 14:24 par Hulk

@OlivierJ

Vous dites :
“votre analogie avec les maisons ne fonctionne pas. Les “robots” qui “crawlent” le web n’ont aucun moyen de savoir qu’ils arrivent sur un lien qui n’est pas supposé être public, et ce n’est pas leur but de toutes façons. Je pense que vous ne comprenez pas complètement le fonctionnement d’un “crawler”, ni la configuration de l’accès aux différentes parties d’un site Web (des explications figurent dans d’autres commentaires que les miens), dont la configuration du fichier “robots.txt”.”

Rassurez-vous, je connais très bien tout cela. Ce que je conteste, c’est votre argument selon lequel, puisque les robots “n’ont aucun moyen de savoir”, alors ils ne participent pas à un délit. C’est le problème de google de revoir la conception de ses crawlers de manière à ce qu’ils détectent lorsqu’ils se trouvent dans une zone privée.
Sinon, avec le même raisonnement, si je trouve une enveloppe plein de billets abandonnée sur un banc public, je n’ai aucun moyen de savoir si son propriétaire l’a perdue, ou s’il voulait en faire don au premier passant venu, et par conséquent je me l’approprie en toute bonne conscience.

Vos arguments reviennent à dire qu’il n’y a pas de délit si la technologie permettant d’éviter le délit n’existe pas encore, ou est trop chère à déployer. C’est le monde à l’envers.

Dans le cas présent, google sait que ses crawlers indexent des pages privées mal protégées. google sait qu’il en recopie le contenu dans son cache qui lui est public. google sait que des gens utilisent cela pour commettre des délits. Et pourtant, google ne fait rien pour modifier ses algorithmes en conséquence.
Par conséquent, google est a minima complice et receleur.
cqfd.

59. Le dimanche 9 février 2014 à 14:37 par vinc17

@philounatik 18
Garder le silence en garde à vue: peut-être aussi à cause du risque que les propos soient mal interprétés?

@Derek 38
Il a peut-être copié les 8 Go pour pouvoir tranquillement les lire en off-line ou pour pouvoir faire une recherche de mots-clés plus facilement dessus, etc. S’il a proposé à la presse des informations qu’il a trouvées, je ne vois pas le problème; la presse n’est pas au courant de tout. S’il a proposé ce qu’il a téléchargé pensant que cela ne restera peut-être pas en libre accès (l’admin pouvant se rendre compte d’une grosse quantité de données téléchargées), là c’est douteux, mais sans aveux, il est impossible de connaître la raison exacte.

60. Le dimanche 9 février 2014 à 14:43 par OlivierJ

@Hulk (#60) : Vous dites « C’est le problème de google de revoir la conception de ses crawlers de manière à ce qu’ils détectent lorsqu’ils se trouvent dans une zone privée. »
Vous n’êtes pas sérieux… C’est à la personne qui met en place un site Web de le configurer correctement. Et de toutes façons un crawler n’a AUCUN moyen de “deviner” qu’il n’est pas censé suivre un lien.

@Toto (#30) : Je suis d’accord avec vous, sauf pour la partie “Si l’ANSES avait envoyé un petit mail à Google pour leur demander de ne plus indexer leurs pages internes, là d’accord.”.
Il n’y a aucun mail à envoyer à Google, il suffit juste de configurer son serveur Web correctement. Des millions de webmasters y arrivent.

@Tonio (#31) : vous dites “google, je suis sur qu’ils ont conscience de pouvoir indexer des pages qui n’ont pas été protégées. C’est même leur gagne-pain (en partie). La différence c’est qu’ils ne savent pas quelles sont précisément les pages qui ne sont pas protégées.”
Ce n’est pas la faute de Google si des sites Web sont mal configurés, et vous avez tout dit avec votre dernière phrase. Sur la 1e phrase, c’est évident, mais vu qu’ils n’y peuvent rien, peu importe. Ce n’est pas comme si les crawlers dataient d’hier. Et le gagne-pain de Google, c’est l’indexation des pages destinées à être publiques (les pages mal configurées, ça doit être une proportion assez faible du Web).

61. Le dimanche 9 février 2014 à 14:45 par NosCandidats

“Comme quoi la communauté geek sait avoir les mêmes réflexes corporatistes que n’importe quel autre groupe social ayant des intérêts communs assez forts.”

> Je trouve au contraire qu’il y a assez peu de corporatisme ici et qu’il serait souhaitable qu’il y en ai d’avantage ici mais bon ne digressons pas d’avantage.

“Ils ont été créés par une loi de 1985 qui est objectivement plutôt une réussite, car nonobstant les progrès et les évolutions de l’informatique, il n’y a pas eu besoin de les modifier, ils tiennent bon et sont toujours adaptés. Peu de lois peuvent en dire autant.”

> La loi CNIL de 1978 ?

“Notons que la loi n’exige pas un niveau minimum de sécurité. Accéder à un STAD non protégé peut constituer le délit, mais il sera plus difficile d’établir que vous aviez conscience de pénétrer un système sans en avoir l’autorisation.”

> Article proche : http://www.lapresse.ca/actualites/i…

La BnF donne accès à des données opendata via un login-mot de passe public spécifique.
Or il m’a été difficile de savoir si cette diffusion de ce couple login-mot de passe était ou non une faille de sécurité. Un mail au responsable à permis de répondre à cette question : Non, tout est normal. Ah !

“Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. Dès lors, Bluetouff a creusé sa tombe. En admettant cela, il a reconnu ce que le parquet aurait été autrement incapable de démontrer : le caractère frauduleux de son maintien.”

> Techniquement la page d’accueil peut avoir un login et les sous-dossiers volontairement non protégés. ça ne prouve donc pas totalement le caractère frauduleux du maintien.

62. Le dimanche 9 février 2014 à 15:01 par Hulk

@ OlivierJ

Vous dites : “C’est à la personne qui met en place un site Web de le configurer correctement. Et de toutes façons un crawler n’a AUCUN moyen de “deviner” qu’il n’est pas censé suivre un lien.”

Avec ce genre de raisonnement, si je sors de chez moi sans fermer la fenêtre et que je suis cambriolé, il n’y a pas délit et c’est moi le responsable.

Et je peux vous garantir une chose : le jour où google aura été condamné pour ce genre de faits, on va tout d’un coup se rendre compte qu’un crawler a parfaitement les moyens de détecter cela, au moyen d’algorithmes revus.

C’est très surprenant cette façon qu’ont les geeks de considérer que le droit commun ne devrait pas avoir cours sur l’internet, et que tout ce qui serait évidemment réprouvé comme délictueux dans le monde physique devrait être admis dans le monde “virtuel”.
Eh bien non. L’internet ce n’est pas un monde virtuel régi par les lois de la tachnique. C’est tout autant le monde réel que le monde physique, et il est avant tout régi par le droit. Et le fait de commettre un délit au motif que la technologie provoque ce délit n’est en rien une justification. Ça reste un délit qui doit être puni, et une fois que ce sera le cas, on verra la technologie évoluer pour se conformer, même dans les cas où c’était soi-disant impossible.

63. Le dimanche 9 février 2014 à 15:09 par JuristeG

Bonjour,

Un billet qui met bien en lumière l’insuffisance technique des juges dans certains domaines ainsi que leur façon hasardeuse de caractériser certaines infractions (ici le vol). On peut se demander si les juges respectent vraiment le Code pénal ou s’ils font, en réalité, ce qu’ils veulent lors de la détermination de la sanction.

Voici d’ailleurs un article qui peut compléter le sujet. Il porte sur une question souvent posée sur l’impartialité du juge, à savoir si celui-ci est objectif ou subjectif lorsqu’il rend une décision :

http://juristeg.unblog.fr/2014/01/2…

Cordialement

64. Le dimanche 9 février 2014 à 15:22 par Marcel

@Hulk : Avec ce genre de raisonnement (le votre), j’ouvre un magasin avec une grande porte ouverte marquée “ENTRÉE” et “BIENVENUE” avec plein de denrées à l’intérieur et une caisse automatique, mais à la seconde où quelqu’un entre dans le magasin, la police lui tombe dessus pour violation de domicile : il était censé deviner que le magasin n’était pas ouvert au public. Comment ? “Avec des algorithmes”, ha oui. Les algorithmes c’est magique, ça devine les intentions des admins réseau. C’est bien connu.

Je suis désolé, mais un site web, par défaut, c’est public. Sinon il faut pas le mettre sur un serveur web ouvert au public. Si on veut en interdire des bouts, il faut le dire explicitement.

Je rappelle que le fonctionnement technique du web, c’est que le navigateur ou le crawler effectue une requête (il ne force rien : il demande ; c’est le serveur qui décide d’envoyer ou non le fichier), auquel le site web réponds “OK” ou “INTERDIT” (FORBIDDEN). À partir du moment où un contenu est placé publiquement sur internet, et où, quand on envoie la requête “Je peux accéder à ce contenu ?” le serveur réponds “OK” (HTTP 200) alors qu’il existe une réponse qui signifie “INTERDIT” (HTTP 403), je ne vois pas au nom de quoi il y aurait délit sous prétexte que “oui bon il a pas dit INTERDIT alors qu’il pourrait mais en fait c’est ce qu’il pensait, tu avais qu’à le deviner !”

Quand c’est un humain, encore, on peut discuter des éléments qu’il avait à disposition pour deviner l’interdiction malgré tout à l’aide d’indices plus ou moins évidents (et en fonction des aveux dudit humain). Mais un crawler n’est pas censé connaître personnellement tous les propriétaires de tous les sites web du monde pour deviner ses intentions. Il fais une demande, on lui réponds “OUI” ou “MERDE”, si on lui réponds “OUI”, je vois pas ce qu’il y a d’anormal à ce qu’il comprenne “OUI” et non “MERDE”. Le crawler est pas dans la tête de l’admin sys.
Quand c’est un humain qui

65. Le dimanche 9 février 2014 à 15:26 par Hulk

@JuristeG

Commentaire hors sujet.
1) le billet d’Éolas ne dit pas ce que vous tentez d’en résumer, et en particulier il dit que l’insuffisance technique des juges n’est pas tant un problème que cela, et que la condamnation est justifiée pour le motif de maintien frauduleux,
2) si vous avez des arguments à développer, pourquoi ne le faites vous pas ici, au lieu de faire de la publicité pour votre blog ?

66. Le dimanche 9 février 2014 à 15:29 par Hulk

@Marcel

Où avez vous vu que ce site avait posté des grandes bannières incitant les internautes à venir le visiter sur sa partie privée ?
Votre comparaison est hors de propos.

Et vos arguments sont purement techniques. Vous nous expliquez pourquoi la technologie en vigueur justifie que la loi soit violée. C’est irrecevable, et je ne vais pas à nouveau développer ce que j’ai déjà répondu à un autre intervenant juste au-dessus, en dehors du fait que si un humain qui remonte la hiérarchie des liens finit par tomber sur un login/password, un algo peut évidemment faire de même.

67. Le dimanche 9 février 2014 à 15:42 par vinc17

@Hulk: Non, un algo ne peut pas savoir de manière sûre si un document est public ou privé. Il faudrait une analyse très poussée du texte du document, et encore, même pour un humain, cela peut être ambigu. Certains se sont essayés pour filtrer le porno, et les filtres ont par la même occasion bloqué des sites importants comme certains pour la protection des enfants: http://www.independent.co.uk/life-s…

68. Le dimanche 9 février 2014 à 15:55 par OlivierJ

@Hulk (#64) : 1) votre analogie avec votre maison ne fonctionne pas (l’analogie correcte, c’est une rue ou route sans barrière ni panneau de sens interdit), et 2) on ne peut pas condamner un moteur de recherche pour avoir parcouru le Web de lien en lien (c’est le principe du Web, les liens), c’est absurde, je ne ne sais pas en quelle langue vous le dire.

Et au juste, quel est cet algorithme qui permettrait à un crawler de savoir qu’il arrive sur une page que l’administrateur n’aurait pas souhaité rendre disponible ?

@Marcel (#66) : merci d’ajouter des précisions, j’espère qu’il finira pas comprendre.

69. Le dimanche 9 février 2014 à 15:56 par vinc17

@Hulk 68

De nombreux sites demandent un login / mot de passe en page d’accueil (tous ceux où l’utilisateur peut avoir un compte), bien qu’une grande partie de leur contenu soit public. Donc un crawler ne peut rien déduire.

De plus une “remonter la hiérarchie des liens” n’a pas forcément un sens. Par exemple, c’est le cas depuis cette page, où http://www.maitre-eolas.fr/post/201… donne une erreur “Document non trouvé”. Le type d’erreur dépend du site web. Parfois, c’est un 403 Forbidden. Doit-on en déduire que cette page que vous lisez tous est censée être privée???

70. Le dimanche 9 février 2014 à 16:09 par gauvain

vinc17, tous les bouquins de ma bibliothèque sont des livres que l’on trouve dans le commerce ou en biblio, ils sont donc d’une certaine manière publique„ ce n’est pas pour autant que j’apprécierai que n’importe qui vienne s’y servir.

71. Le dimanche 9 février 2014 à 16:14 par Marcel

@Hulk : Le principe d’un site web est de donner un accès à des documents. C’est à ça que ça sert, c’est dans cette optique que ça a été conçu. Ce n’est pas un assemblage de “maisons” dans lequel rentrer est une violation de domicile et lire les documents s’apparente à un vol. Votre présupposé est faux. C’est plutôt un assemblage de lieux habituellement accessibles au public 24h/24, 7j/7.

Juridiquement, l’accès et le maintien frauduleux (c’est à dire avec conscience qu’on n’en a pas le droit) dans un STAD est interdit. Fort bien. Il faut donc que cet accès ne soit pas permis, et qu’on le sache (si c’est interdit mais qu’on le sait pas y a pas fraude, c’est indiqué dans le billet d’Eolas).

Pour le savoir, le meilleur moyen, c’est encore de demander… et ça tombe bien car c’est exactement ce que fait un navigateur et un crawler comme celui de Google. Il demande s’il peut avoir accès, et le serveur lui réponds “OUI” ou “CROTTE” (il y a d’autres réponses possibles, genre “J’ai pas compris la question” ou “Désolé je peux pas répondre car je suis complètement ivre” mais c’est pas ce qui nous intéresse).

Si le serveur réponds “Oui, tu peux avoir accès à ce document que tu me demandes”, ça n’est en rien comparable à quelqu’un qui entre chez vous par la fenêtre pour vous cambrioler. C’est équivalent à quelqu’un qui voit que la porte d’un lieu accueillant du public est ouverte (un magasin, un musée, une administration…), qui demande “je peux entrer ?” et à qui on réponds “Oui bien-sûr, entrez c’est ouvert”.

En soi, ça devrait suffire à écarter l’accès et le maintien frauduleux dans l’endroit, puisque :
1) Il accueille habituellement du public
2) On lui a demandé si c’était permis et il a répondu “Oui”.

Mais je veux bien admettre que, une comparaison ayant ses limites, contrairement à l’administration ou au magasin où c’est une personne humaine qui vous dit si vous pouvez entrer ou pas à un instant T, là c’est une machine qui a été programmée à l’avance. Il peut arriver qu’elle ait été mal programmée.

Dans le cas, et dans le cas SEULEMENT, où une personne a toutes les cartes en main pour savoir qu’effectivement c’est une erreur de programmation de la machine, on peut continuer à parler du caractère frauduleux, étant entendu que c’est alors à l’accusation de prouver que la personne ne pouvait pas ignorer qu’il s’agissait d’une erreur, eu égard notamment aux indices qui le laissent supposer et au niveau d’expertise de la personne (quand c’est bluetouff, par exemple, qui est compétent en sécurité informatique, il est plus facile de supposer qu’il se doutait qu’il n’avait rien à faire là).

Ce n’est pas à Google d’apprendre à repérer les erreurs des admins réseau. Pas plus que c’est à Madame Michu qui a jamais entendu parler de “lojin” de devenir experte en sécurité informatique pour apprendre si elle est arrivée là à cause d’une erreur de l’admin réseau ou si c’est volontaire. Et Google essayerait-il qu’il y a fort à parier que le résultat ne serait pas brillant, avec en particulier un risque de surblocage important, qui ne ferait que déplacer les accusations envers Google (certains “bloqués” sans l’avoir voulu l’accuseraient alors probablement de censure).

Bref : Google respecte la loi. Il demande “je peux ou je peux pas ?”, on lui répond “tu peux”, il n’est pas assez intelligent pour chercher plus loin, il n’a donc pas conscience de faire un truc interdit, donc le caractère “frauduleux” de l’accès et du maintien dans le STAD n’est pas caractérisé. Fin de l’histoire.

72. Le dimanche 9 février 2014 à 16:30 par Hulk

@vinc17

En ce cas, les sites devront revoir leur architecture interne pour être bien référencés par google, une fois que google aura déployé ces nouveaux algorithmes plus contraignants. Ce n’est pas un problème de fond.

73. Le dimanche 9 février 2014 à 16:40 par Hulk

@Marcel

Je ne nie en rien que pour qu’il y ait délit, il faut qu’il y ait eu connaissance du fait d’agir délictueusement et intention de le faire (ce qui est le cas dans le jugement qui nous occupe ici).
Donc madame Michu ne risque rien.
Ce que je dis, c’est que google est parfaitement informé du fait que son moteur référence de tels espaces, et qu’il le fait quand-même volontairement. Il y a là connaissance du fait que des délits sont commis et intention de continuer à les commettre. Par conséquent, dans le cas de google, les faits délictueux sont établis.

74. Le dimanche 9 février 2014 à 17:07 par ole

bluetouff n’a rien à se repprocher, le seul coupable c’est l’admin de l’anse, j’en ai connu qui se sont fait virer pour beaucoup moins que cela…
Déjà pour apparaitre dans google il faut le specifier dans le code de sa page avec un petti scprit made in google, donc quand on apparait dans google c’est un acte volontaire dans 99,99% des cas…
Si ils laisse leur doc en libre accès bin y’a pas photo d’après moi…

75. Le dimanche 9 février 2014 à 17:15 par Tortuga

Il me semble normal de ne pas exiger de la victime de se protéger. Si vous oublier de fermer votre domicile à clef, le cambrioleur sera quand même coupable.
Il en est ici de même : que la victime se soit mal protégé n’est pas une excuse.

76. Le dimanche 9 février 2014 à 17:22 par Marcel

@Hulk, 58 : Non désolé. Google ne référence pas “volontairement” des pages interdites. Chaque fois qu’il a les bons éléments pour savoir que c’est interdit, il ne le fait pas. À partir du moment où il ne sait pas que telle page en particulier lui est interdite (parce que personne ne le lui dit, alors que bordel, les solutions ne manquent pas et que c’est quand-même le B-A-BA d’un administrateur amateur débutant), on ne peut pas dire qu’il passe outre les interdictions “volontairement”.

Il ne suffit pas de dire que “Google sait qu’il lui arrive occasionnellement de référencer un truc interdit” pour en conclure automatiquement que c’est volontaire. C’est involontaire, mais quand on référence je ne sais combien de centaines de milliers de pages à l’heure, on sait que mathématiquement il arrivera occasionnellement de faire une boulette. Je vois pas où est la volonté là-dedans. Il y a des tas de choses qu’on fait involontairement tout en sachant pertinemment que ça nous arrive occasionnellement). Pour que fraude il y ait, il faut qu’il y ait volonté, d’accéder ou de se maintenir dans un STAD déterminé malgré la conscience que l’accès ou le maintien dans ce STAD précis est interdit.

Ce que vous êtes en train de dire revient à dire “Untel, qui passe sa journée à rédiger des courriers, est informé qu’il lui arrive de faire des fautes de frappe. Or il continue à taper des courriers, et occasionnellement, à y faire des fautes de frappe. Puisqu’il est au courant qu’il en fait, c’est totalement volontaire de sa part. Ce sont donc des fautes volontaires, il le fait exprès !” - Ben non, c’est idiot comme raisonnement, désolé de le dire ainsi.

Google ne référence pas volontairement des pages interdites. Quand il peut éviter, il évite. Chaque fois qu’on l’informe que c’est interdit, il n’y met pas les pieds. Chaque fois qu’on le prévient à l’avance, il s’abstient. Chaque fois qu’on le prévient postérieurement, il répare (il est tout à fait possible de déréférencer des URLs nous appartenant et indexées par Google - je l’ai fait récemment). Dire qu’il y a volonté, de la part de Google, de référencer des pages interdites, est faux. Ce n’est pas parce qu’il sait que ça lui arrive occasionnellement qu’il sait quand, où, quoi et de quelle façon, ce qui serait nécessaire pour l’éviter.

77. Le dimanche 9 février 2014 à 17:28 par Prince2b

Merci Maître !

78. Le dimanche 9 février 2014 à 17:28 par Marcel

@Tortuga, 77 : Désolé mais pour la N-ème fois, le World Wide Web, ce n’est pas un assemblement de maisons. Ce ne sont pas des réseaux privés. C’est un assemblement de lieux généralement ouverts au public 24h/24, 7j/7. Si vous ne voulez pas que des gens entrent dans le magasin, l’administration ou le restaurant, il faut le fermer. Si vous laissez grand ouvert, que vous mettez des tables et des chaises, et que même quand on vous demande si c’est ouvert vous répondez “Oui”, les gens ne sont pas censés deviner qu’en fait c’est fermé, que vous vouliez dire “Non”, et que l’entrée est interdite. Si votre établissement est constitué de plein de pièces ouvertes au public, mais que vous voulez interdire l’accès à certaines, il faut les verrouiller ou mettre un écriteau “Réservé au personnel de l’établissement”. Sinon les clients sont fondés à ouvrir la porte.

C’est quand-même un peu facile (et pas très malin) d’ouvrir en grand son magasin et de porter plainte dès qu’un client y entre.

79. Le dimanche 9 février 2014 à 17:31 par mauve

@Marcel : ce que vous refusez de comprendre, c’est que pendant la garde à vue, quelqu’un a demandé à bluetouff : “est-ce que vous saviez que vous n’aviez rien à faire là ?” et qu’il a répondu, en substance : “oui”.

Tout le reste, c’est inopérant, car les juges n’ont pas examiné ces points.

80. Le dimanche 9 février 2014 à 17:38 par selyana

@tortuga
Si vous oublier de fermer votre domicile à clef, le cambrioleur sera quand même coupable.

l’analogie du domicile est mauvaise : un domicile est par nature d’accès restreint et privé. si vous voulez prendre une analogie (avec tous les dangers que ça inclut) prenez plutot celui d’une boutique (accès public) et de l’arrière boutique (accès privé).

Si rien ne distingue l’arrière-boutique de la boutique, on peut très bien penser être dans un espace public alors même qu’on est dans l’espace restreint.

Le problème de l’analogie c’est que dans un bâtiment il y a plusieurs portes et plusieurs serrures. sur un site web il n’y a qu’une seule serrure, et suivant la clé qu’on met dedans (voire si on n’en met pas du tout) ça ouvre certaines portes et d’autres pas. Si on arrive sans mot de passe (sans clé) à pénétrer dans une pièce, cette pièce est de facto d’accès public, sauf si :

- toutes les pièces sont notoirement d’accès privé (pas de partie publique du tout)
- une grosse pancarte sur le mur indique “propriété privée - accès interdit à toute personne étrangère au service”
- la pièce contient une grande quantité de documents ou objets manifestement non-public

81. Le dimanche 9 février 2014 à 17:49 par ole

@ tortuga:

on ne peut faire aucune analogie avec le monde réel dans cette affaire, cela ne tient tout simplement pas la route.
Internet c’est public, quand vous concevez un site vous vous arranger de vous donner les moyens de restreindre l’accès à toute infos confidentielles, c’est le béaba.
Je réitere, le seul coupable ici c’est l’admin du site qui n’a pas su proteger les informations dont il avait la charge…Il n’y a eu aucune attaque/intrusion de la part de Bluetouff
En tant que sys admin le jour ou mon patron decouvre que des documents censés etre proteges (en gros non accessible au quidam) se retrouvent dans la nature et bien je recois mon C4 illico presto au minimum

82. Le dimanche 9 février 2014 à 17:51 par Repris d'Injustice

En tant que développeur informatique et passionné de droit, je conteste le raisonnement d’eolas et de la cour d’appel. Le caractère frauduleux du maintien de l’intéressé n’est pas démontré. La présence d’une authentification par login / mot de passe ne signifie pas nécessairement que l’accès au contenu indexé par Google n’était pas autorisé. La présence de cette possibilité de s’authentifier peut présumer bien d’autre chose, comme l’accès à du contenu « réellement » protégé autre que celui qui a été téléchargé. Rien ne permettait de présumer que le serveur n’hébergeait pas plus de contenu que celui en cause. De même, l’arborescence visible publiquement ne correspond pas forcément à l’arborescence réelle des fichiers et dossiers présent sur le serveur. Par exemple, l’adresse « http://www.example.com/ peut cibler la ressource «C:/www/site/dossier1/dossier2/confidentiel» sur le serveur, tandis que l’adresse http://www.example.com/ dossier1/dossier2/ peut cibler la ressource «C:/www/site/».

Egalement, une ressource protégée, même si vous connaissez le lien permettant d’y accéder, ne peut être accessible tant que vous ne vous êtes pas authentifié. En l’absence d’authentification, le serveur doit retourner une erreur «403 forbidden».

Aussi, l’indexation d’une ressource par un moteur de recherche ne peut être autorisé que manuellement. Ce moteur de recherche est par conséquent autorisé à télécharger ces ressources pour les analyser ou pour les rendre disponible en cache hors connexion. Si un moteur de recherche est donc autorisé à télécharger des données, tout le monde en est autorisé, peu importe que l’autorisation découle d’une erreur humaine.

83. Le dimanche 9 février 2014 à 17:59 par Hulk

@Repris d’Injustice

Vous vous dites passionné de droit, mais vous ne donnez pas le moindre argument juridique en réponse au tribunal et à Éolas. Vous vous contentez d’arguments techniques, et de vos opinions non étayées en droit.

84. Le dimanche 9 février 2014 à 18:10 par Fabian

Je pense que nous sommes tous d’accord: le prévenu est éthniquement coupable, et le tribunal qui l’a jugué totalement incompétent. Sauf qu’il fallait que le prévenu soir coupable, alors juridiquement, c’est la faille fournie par le prévenu qui a permis de le condamner : reconnaissance d’une page de login.
Et là, tout comme l’agence qui n’a pas renchéri, le prévenu - même s’il est en droit de le faire - devrait s’arrêter là.
Sauf que (et oui c’est du droit) ce jugement sera alors une jurisprudence qui permettra alors de condamner des faits similaires.
Aussi pour ce dernier aspect - et seulement celui-là - je penses que l’affaire - au plus stricte sans du droit et sans l’examen de toute morale - ne doit pas en rester là.

Et bordel, que le parquet fasse des cours de rattrapage à ses magistrats et que des modules de numériques soient enseignés à Bordeaux en école de magistrature. Nous sommes au 21ème siècle tout de même.

85. Le dimanche 9 février 2014 à 18:15 par Hulk

@Fabian

Vous écrivez “Je pense que nous sommes tous d’accord”

Eh bien non ; vous aurez mal lu la discussion.

86. Le dimanche 9 février 2014 à 18:27 par ole

@hulk:

“Ce que je dis, c’est que google est parfaitement informé du fait que son moteur référence de tels espaces, et qu’il le fait quand-même volontairement. Il y a là connaissance du fait que des délits sont commis et intention de continuer à les commettre. Par conséquent, dans le cas de google, les faits délictueux sont établis.”

Nimporte quoi en substance, google ne reference que les pages qui contiennent un script qui demandent spécifiquement à google de les référencer…Il y a donc un acte volontaire de référencement, c’est voulu (ce n’est pas google, enfin ses robots, qui décide quelle page sera référencée ou non)

87. Le dimanche 9 février 2014 à 18:34 par nonos

Le problème, ce n’est pas qu’une page de login implique ou non que tout le domaine est interdit (ce qui en soit reste intéressant)

le problème, c’est que BT a avoué: il savait qu’il naviguait dans une partie de domaine qui devait être interdite.

Il savait, il l’a dit en garde à vue, et d’après le billet du Me des lieux, il aurait du se taire en attendant d’être assisté de son avocat.

C’est une belle boulette.

88. Le dimanche 9 février 2014 à 18:35 par gougoule

Merci pour cet article. Un truc qaui me chiffonne. Quand on trouve une page de login au sommet d’un extranet, rien n’indique pour autant que ce login protège la partie par laquelle Google nous à fait rentrer. A moins de considerer par défaut qu’un serveur est mal configuré, cet argument me semble tout de même un peu fragile.

Exemple simple : google m’emène voir un de vos article un peu ancien sur votre blog, et en remontant l’arborescance, je tombe sur la page qui vous permet à vous, administrateur, de vous logger. Je suis dans le même cas que Bluetouff et pourtant il n’y a rien de frauduleux dans mon maintien sur votre article.

89. Le dimanche 9 février 2014 à 18:35 par Tortuga

@80 Marcel : D’après le billet de Me Eolas, le blogueur savait que les documents sont confidentiels. Il aurait justement dit en garde à vue s’être rendu compte que ces données sont censées être protégées par un login et mot de passe.

C’est comparable à quelqu’un qui entre volontairement dans un lieu en sachant qu’il n’y a pas le droit. Si vous voyez un magasin fermé avec une chaîne en fer et un cadenas cassé, allez-vous entrer sous prétexte que le cadenas est cassé en disant ensuite au juge “je ne savais pas que c’était interdit ?

Si effectivement il n’avait pas su que les documents sont confidentiels et les avaient téléchargés en toute bonne foi, il n’aurait pas pu être inquiété. Mais ce n’est pas ici le cas.

90. Le dimanche 9 février 2014 à 18:38 par Tortuga

@83 ole : Vous vous basez sur l’idée qu’une erreur de la victime excuse le coupable.

91. Le dimanche 9 février 2014 à 18:41 par gougoule

@tortuga :

Le billet indique qu’il y avait une page de login qualquepart dans l’arborescence de l’extranet. Dire que cela suffit à démontrer que Bluetouff savait que son accès etait frauduleux n’est qu’une interprétation à débattre, pas une réalité évidente.

92. Le dimanche 9 février 2014 à 18:47 par gauvain

ole,

le référencement s’est toujours fait par défaut.

google référence sauf si le site le refuse et c’est bien le problème.

93. Le dimanche 9 février 2014 à 19:04 par Marcel

@Tortuga et Nonos : Comme le fait remarquer Gougoule, ce n’est pas ce qui est dit dans les éléments qu’on a à disposition. Il est dit que Bluetouff a reconnu être tombé, en se baladant dans l’arborescence, sur une page de login/mot de passe. Sauf que, comme beaucoup d’informaticiens l’ont fait remarquer ici, cela ne permet pas de conclure que tout le reste de l’arborescence est privé. Il n’y a pas de règle qui dit “si un dossier est privé, alors en toute logique tous ses sous-dossiers le sont”. Je sais que ça peut paraître logique mais en pratique, ça n’est pas vrai, du moins pas toujours. Il n’est donc pas possible de conclure de l’aveu “Je suis tombé sur une page de login/pass” que Bluetouff savait forcément que tout le reste de l’arborescence était privée.

A-t-il fait d’autres aveux qui ont permis d’écarter tout doute à ce sujet ? Je ne connais pas le dossier. C’est possible que oui, comme c’est possible que non. Mais Maître Eolas n’en fait pas mention, il semble se contenter de l’affirmation de Bluetouff pour conclure que “Bluetouff savait”, ce qui est inexact. Si les juges ont commis la même erreur d’interprétation, ils ont condamné à tort. Si toutefois Bluetouff a fait d’autres aveux qui permettent d’avoir plus de certitudes sur le fait qu’il savait ce qu’il faisait, la chose est différente. Je doute que ce soit le cas car je crois savoir que le parquet, dans sa poursuite comme dans son appel, a relevé “la mauvaise foi” de l’accusé. Cela me paraît sous-entendre qu’il a prétendu ne pas savoir ce qu’il faisait alors que, de l’avis du parquet, l’évidence était contre lui. Or, il faut se méfier des évidences, surtout quand elles reposent sur des présupposés techniques inexacts.

94. Le dimanche 9 février 2014 à 19:08 par Holmes

@ récap59 (47) (“Les délits d’intention, en défaut d’intention, et les délits sans victime ne devraient tout simplement pas exister.”)

“Le moyen fait partie de la vérité, aussi bien que le résultat. Il faut que la recherche de la vérité soit elle-même vraie ; la recherche vraie c’est la vérité déployée, dont les membres épars se réunissent dans le résultat.” Le Soldat rose - Karl Marx

@ oie (76) (“Quand on apparaît dans google c’est un acte volontaire dans 99,99 % des cas…”

  • La précaution inutile.

Il a fermé sa porte en donnant son passe-partout… “Le dieu des cabales est irrité !”
Enfants ! “Si vous ne savez pas où vous allez, vous allez probablement vous retrouver ailleurs.”

95. Le dimanche 9 février 2014 à 19:08 par OlivierJ

@Tortuga, @Hulk : on est quand même plusieurs à vous expliquer que vous vous trompez et pourquoi, vous êtes durs de la feuille quand même, je vais finir par croire au troll.
Ce n’est pas compliqué, l’énorme majorité des sites n’a aucun souci avec les crawlers, parce qu’ils savent configurer leur site pour que les pages soumises à autorisation ne soient pas accessibles, ni par un humain ni évidemment par un crawler, et quand bien même l’URI serait demandée, la réponse du serveur serait “vous n’avez pas accès”. L’Anses a fait une erreur, c’est tout.

96. Le dimanche 9 février 2014 à 19:17 par Hulk

@OlivierJ

Vous pourriez être des millions à expliquer les mêmes sornettes, ça n’en ferait pas des vérités. Il n’y a pas de démocratie en ces matières.
Vous n’avez apporté aucune réponse à mes arguments, en dehors de répéter les mêmes éléments techniques dont je vous dis qu’ils sont hors sujet et irrecevables. Vous feriez mieux de répondre à ça en expliquant pourquoi des arguments techniques devraient être recevables, au lieu de répeter sans cesse ces mêmes arguments techniques.

97. Le dimanche 9 février 2014 à 19:17 par gauvain

OlivierJ, je crains que ce soit vous qui soyez dur de la feuille.

que l’ANSES ait fait une erreur est une évidence. Est-ce que ça donnait le droit de profiter de cette erreur bien sûr que non.

Qu’en distributeur de billet se retrouve avec un bug et distribue des billets gratis, vous croyez que vous avez pour autant le droit d’en profiter ?

La réponse est bien évidant non.

Les crawler ne devraient pouvoir scanner un site que s’ils en ont l’autorisation et non le site qui doit dire non.

98. Le dimanche 9 février 2014 à 19:18 par suruo

Mes quelques pensées à deux sesterces (plus inflation cumulée depuis Flavius) :

1) -> A propos de la non-complicité des robots indexeurs de Google. Certes les robots ne sont pas des personnes juridiquement constituées, et il leur arrive de faire des choses sans que leurs concepteurs ne le sachent. Mais ce type de raisonnement a pour défaut de donner à ces robots des permissions très supérieures à ce qui est permis à un humain : ici, Bluetouff est poursuivi, et on laisse les concepteurs de ces robots dormir sur leurs deux oreilles au motif que l’administrateur du site de l’ANSES n’aurait pas assez tenu compte de la programmation de ces robots lorsqu’il a sécurisé le site.
Moi, je trouve cela louche : administrer ou sécuriser un site web n’est pas se conformer à la programmation desdits robots, puisque la concurrence (Bing, Yahoo, etc.) est à même de proposer des robots différents : il y a donc une forme de distorsion des règle de la concurrence, non-dite, comme si Google venait de faire une OPA sur Internet. Ce n’est pas le cas.

2) -> Citation :
À titre de prolégomènes, voyons un peu les délits informatiques. Ils ont été créés par une loi de 1985 qui est objectivement plutôt une réussite, car nonobstant les progrès et les évolutions de l’informatique, il n’y a pas eu besoin de les modifier, ils tiennent bon et sont toujours adaptés.
(et plus loin :)
À la seconde où Bluetouff a compris qu’il était dans un extranet dont la porte était fermée mais dont on avait juste oublié de monter les murs autour, il commettait le délit de maintien frauduleux dans un STAD.

à force d’avoir des lois trop bien faites, on en oublie de construire des murs.
Il faut donc que la loi soit mal faite.
Q.E.D.

99. Le dimanche 9 février 2014 à 19:33 par gougoule

@gauvain

Personne ne dit que profiter des erreur de config d’un serveur est une bonne chose, on vous dit que la connaissance de cette erreur et donc l’intention d’en profiter est beaucoup moins évidente que ce que vous semblez croire.

100. Le dimanche 9 février 2014 à 19:36 par gauvain

ben si elle est évidente puisqu’il l’a dit lui même.

faut pas déconner là.

101. Le dimanche 9 février 2014 à 19:43 par Marcel

@Hulk, 98 : Moi je vous ai répondu, et bizarrement, depuis, vous ne me parlez plus. Ce n’est pas une question de technique, c’est une question, mettons, de “protocole”. C’est à dire que concrètement, si on vous a demandé l’autorisation et que vous avez répondu “Oui bien-sûr, avec plaisir”, vous n’êtes plus en mesure d’affirmer sérieusement devant un juge que la personne en face avait l’obligation de comprendre “Non, sortez d’ici tout de suite”.

À l’extrême rigueur, on peut envisager des cas où malgré votre “Oui”, la personne avait toutes les cartes en main pour savoir que c’était quand-même interdit et que c’était l’évidence même. Mais alors il faut démontrer que la personne avait vraiment toutes les cartes en main et que c’était vraiment évident. Ce que vous ne faites pas. La charge de la preuve va à l’accusation, c’est pas de la technique, c’est du droit.

Vous allez me répondre que “Google sait bien, que parfois, il va sur des sites interdits, donc l’évidence est caractérisée”. Je vous ai répondu : Il sait que ça lui arrive mais ça ne veut pas dire qu’il le fait exprès. De même que je sais que de temps en temps je me tape le petit orteil contre le pied de table, et que pourtant, ça ne suffit pas à démontrer que je le fais exprès. On pourrait raisonnablement soutenir que Google fait exprès si l’on pouvait démontrer qu’il sait exactement à quel moment, à quel endroit, il va accéder à un contenu interdit et lequel, mais à ma connaissance personne n’a jamais démontré cela.

Vous n’avez pas démontré que Google savait quels STAD étaient interdits d’entrée et à partir de là, vous ne pouvez soutenir sans preuve que Google entre frauduleusement dans un STAD, c’est à dire entre dans un STAD en sachant pertinemment qu’il n’a rien à faire dans ce STAD là en particulier.

C’est un pur argument de droit, et non un argument technique : pour que l’accès ou le maintien frauduleux soit caractérisé lors de l’entrée dans un STAD, il faut avoir conscience que l’accès ou le maintien dans ce STAD précis est interdit et passer volontairement outre l’interdiction. On ne poursuit pas en justice une attitude, on poursuit des faits. On poursuit une “entrée par effraction” donnée, ou une série d’entrées par effractions données. Et pour que l’effraction soit caractérisée, il va falloir démontrer que, pour chaque entrée reprochée, Google savait qu’il commettait une effraction à ce moment là précis. Ce que vous ne faites pas.

102. Le dimanche 9 février 2014 à 19:44 par Hulk

@gauvain

J’en connais qui doivent bien rigoler chez google, en observant les armées de vaillants petits soldats technophiles endoctrinés qui viennent bénévolement au secours de leur grosse multinationale en défendant ses intérêts face aux méchants régulateurs et défenseurs du droit.
Enfin, je dis bénévoles ; pas tous. Certains sont plus malins que d’autres.

103. Le dimanche 9 février 2014 à 19:47 par Hulk

@Marcel

Si, je vous avais répondu, ne serait-ce que parce que vos commentaires sont un peu plus structurés et approfondis que le reste de ce qu’on lit ici.
Le seul problème est que vous persistez à éluder le point juridique en restant sur des arguments techniques et/ou de “bon sens”.
Google ne sait pas aujourd’hui qu’un lien donné est interdit, nous sommes bien d’accord. En revanche, google sait qu’une proportion des liens qu’il référence et stocke dans son cache sont interdits. Et il ne fait rien pour améliorer ses algorithmes et protocoles de manière à éviter ça. Dès lors le délit est constitué.

104. Le dimanche 9 février 2014 à 19:48 par gauvain

vi c’est assez rigolo, surtout quand beaucoup se présentent comme libertaire.

105. Le dimanche 9 février 2014 à 19:52 par Hulk

@Marcel

Sur l’argument juridique de la fin de votre dernier commentaire, je vais faire une analogie.

Supposons que Philip Morris sache que 0,01% des paquets de cigarettes qu’il vend contiennent des cigarettes au cannabis, pour des raisons liées à la production, mais qu’il décide de maintenir sa production sans rien changer en arguant du fait que les consommateurs s’en rendront compte et viendront procéder à l’échange standard des paquets défectueux. Peut-on dire que cela suffirait à exonérer Philip Morris de poursuites pour trafic de stupéfiants ?

Je ne dis pas que quiconque suit un lien google et se retrouve dans une zone interdit commet un délit, étant donné que pour commettre un délit il faut la connaissance et l’intention. Mais je dis qu’en continuant à permettre cela en connaissance de cause, google se rend complice de tout délit commis au moyen de ces liens. Et ça, vous ne l’avez pas réfuté.

106. Le dimanche 9 février 2014 à 19:55 par Dan Olafson

Une page de login/password ne signifie pas que le site est privé.

Même un site complètement et volontairement public en a assez usuellement au moins une (rien que pour modifier le contenu du site et non simplement y accéder en lecture).

107. Le dimanche 9 février 2014 à 19:56 par Marcel

@gauvain, 99 : Un crawler est un navigateur comme un autre. Si vous donnez l’autorisation de naviguer, vous donnez l’autorisation de crawler, sauf mention explicite contraire. Un crawler comme le Googlebot ne va jamais dans des pages qui sont interdites à la navigation standard. Si on va jusqu’au bout de votre logique, Maître Eolas est fondé à vous poursuivre en justice, au motif qu’il ne vous a jamais donné explicitement l’autorisation de visiter son site, et que vous ne devriez accéder qu’à des pages dont on vous a donné l’autorisation explicite, et non vous contenter de rester à l’écart des sites explicitement interdits.
Google est comme vous : là où il n’y a pas interdiction, il va. Parce que c’est le principe du web en fait, et que sinon, il faut interdire le web.

Du reste, je l’ai déjà dit, je le redis, techniquement, quand on accède à une page web, c’est toujours qu’on en a reçu l’autorisation. Parce que c’est le serveur lui-même qui envoie la page web. Le crawler ou le navigateur se contente de demander gentiment.

Quand un crawler ou un navigateur contacte un serveur, il lui demande à accéder à une ressource. Et le serveur répond obligatoirement “Oui” ou “Non”. Il n’y a pas de réponse intermédiaire. Il n’y a pas de “silence” possible qui permette d’accéder quand-même à la page. Si un crawler accède à une page web, c’est que le serveur lui a dit “Oui, tu peux accéder à cette ressource. Tiens, la voilà.”

C’est exactement la même chose que dans une boutique où les produits sont derrière le comptoir. Vous avez demandé à la vendeuse, et elle vous a dit “Oui” ou “Non”. Si elle se tait, vous n’obtenez pas le produit. Du coup, une fois qu’elle vous a dit “Oui” et qu’elle vous a donné le produit, elle serait culottée de vous dire que vous n’aviez absolument pas le droit d’y toucher ou même de le regarder et que c’est un scandale.

@gauvain, 102 : Pouvez-vous me montrer à quel endroit, exactement, Bluetouff a dit qu’il avait avoué savoir qu’il n’avait pas le droit d’accéder à ces documents ? Vous risquez de chercher longtemps : il n’est rien mentionné de tel. La seule chose mentionnée, c’est que Bluetouff “a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe.”
Or, ce qu’on est nombreux à vous expliquer et depuis un moment, c’est qu’il est erroné d’en conclure automatiquement qu’il savait que les documents auquel il a accédé étaient interdits d’accès comme le fait Eolas. Car il est difficile, voire impossible, de savoir quels documents l’authentification par login/pass étaient censés protéger ou non. Peut-être qu’il savait, peut-être qu’il ne savait pas. Les informations données dans ce billet ne permettent pas de répondre à cette question.

108. Le dimanche 9 février 2014 à 19:56 par gougoule

@gauvain 102: S’il l’a avoué, c’est different bien sûr. Ceci-dit, l’a-t-il affirmé parce qu’il avait de bonnes raisons de le savoir ou parce qu’il n’avait pas encore songé que cela n’était pas si évident que cela ? Je lis Bluetouff depuis des années et je partage beaucoup de ses causes et trouves en général ses avis très pertinents, cela ne m’empêche pas de savoir (ça me le permet, même, en fait) qu’il conclu parfois un peu plus vite que ses capacités de reflexions.

Justice-fiction : Et si, par totale mauvaise foi, c’etait l’ANSES qui avait décidé a posteriori que ces documents n’étaient pas public ? On a des éléments pour savoir ça ? Après tout, une certaine forme de “bon sens” ne pourrait-elle pas faire passer l’abandon de l’ANSES en appel pour une “évidence” de culpabilité de l’organisme ? Tiré par les cheveux, certes, mais… allez savoir…

109. Le dimanche 9 février 2014 à 20:03 par Hulk

@Marcel

Vous écrivez : ” Si on va jusqu’au bout de votre logique, Maître Eolas est fondé à vous poursuivre en justice, au motif qu’il ne vous a jamais donné explicitement l’autorisation de visiter son site, et que vous ne devriez accéder qu’à des pages dont on vous a donné l’autorisation explicite, et non vous contenter de rester à l’écart des sites explicitement interdits.”

Ça c’est vraiment n’importe quoi, et ce n’est pas sérieux. Ce blog, comme tous les autres, invite explicitement les lecteurs à le lire et à y commenter.

110. Le dimanche 9 février 2014 à 20:16 par gougoule

“Ce blog, comme tous les autres, invite explicitement les lecteurs à le lire et à y commenter.”

Qu’est ce qu’un blog fondamentalement ? Un site web. Et comme tout site web, il vous invite à consulter les documents qui y sont produits, et les partager si aucune mention relative aux droits d’auteurs ne s’y oppose.

111. Le dimanche 9 février 2014 à 20:20 par Hulk

@ gougoule

Trop de mauvaise foi tue la mauvaise foi, là vous faites très fort :-)))

112. Le dimanche 9 février 2014 à 20:22 par gauvain

j’adore la mauvaise foi quand elle atteint ce point c’est carrément un art.

113. Le dimanche 9 février 2014 à 20:23 par Xavier

Bonjour à tous, et merci @Eolas.

J’ai lu avec attention ce billet et tous les commentaires déposés. Pour moi, ce jugement est extrêmement grave, car il ouvre une incroyable incertitude juridique pour chacun d’entre nous. Qui n’a pas lié, dans un de ses articles, un PDF sur le site de X institution après en avoir trouvé le lien par ailleurs?

Pire, je peine à trouver le moindre rapport entre les effractions prévues pour les STAD, et les actions de Bluetouff. Je vais tenter d’expliquer pourquoi. Je pense aussi que toutes les analogies présentées jusqu’ici sont absolument invalides. Alors j’en propose une autre beaucoup, beaucoup plus simple…


*** Et avant les réseaux, on faisait comment? :) ***

1- Bluetouff s’est rendu à la BNF. Il y a consulté le Grand Thésaurus, qui l’a informé, bien aimablement, de l’existence de certains documents chez l’ANSES. La BNF lui a fourni l’adresse postale de l’ANSES, ainsi que, pour chacun de ces documents, l’endroit physique où ils étaient rangés (noms, dans telle armoire, tel casier, tel classeur). Accessoirement, la BNF a également proposé à Bluetouff d’en consulter des extraits et même leurs photocopies intégrales dont elle disposait, car elle avait elle-même reçu ces photocopies de l’ANSES, au préalable.

2- Intéressé par ces documents, et ces thématiques en général, Bluetouff n’a pour autant jamais eu l’intention, ni d’aller cambrioler l’ANSES, ni de voler quoi ou qui que ce soit — et il est poli, vous verrez à quel point.

3- Maisons-Alfort n’est pas sur le trajet quotidien de Bluetouff. Plutôt que de s’y rendre physiquement, il a donc contacté le secrétariat public de l’ANSES directement, par courrier postal avec A/R, comme tout le monde. Il lui a transmis une liste de ces documents, voire de noms de casiers où ils sont censés être rangés (d’après la BNF), en demandant à l’ANSES de bien vouloir lui livrer, par la poste, toujours aimablement, les photocopies d’un certain nombre de ces documents, ainsi que la liste des autres documents disponibles dans les mêmes casiers ou armoires. Et ainsi de suite.

4- L’ANSES a examiné chacune de ses demandes, pour les exaucer toutes. Elle a, dans l’ordre, et strictement par elle-même: produit les contenus de chacun de ses casiers, accédé à chaque document, photocopié chacun, puis les a ensuite envoyés (avec ses petites mains) par ChronoPost, dans de jolis paquets. L’ANSES toujours, a pris soin, bien entendu, de placer sur chaque colis l’adresse postale jointe par Bluetouff à chacune de ses demandes. Elle a ensuite mandaté son propre transporteur, pour effectuer chacune de ces livraisons (à ses frais, car sa procédure n’exige aucun timbre du demandeur). Elle n’indique aucune restriction quant à l’usage de ces documents.

5- Toutes ces livraisons se sont parfaitement déroulées: Bluetouff a bien reçu les photocopies de tous les documents qu’il a jugé utile de demander à l’ANSES. Merci l’ANSES!

6- Compte tenu de la nature des documents, Bluetouff soupçonne l’ANSES d’avoir été peu regardante en lui envoyant ces photocopies. Il découvre que l’ANSES offre plusieurs formulaires de procédures pour l’obtention de documents, dont une au moins, sur présentation de pièce d’identité ou de carte professionnelle — qui eut paru plus adaptée ici. Qu’à cela ne tienne : il n’a violé aucune procédure pour les obtenir, et il y trouve quelque information pertinente. Il décide d’écrire et de publier, à son tour, un article au sujet de quelques unes de ces photocopies, qu’il joint en y apportant ses commentaires. L’article de Bluetouff est distribué dans toutes les bonnes librairies.

7- Soudainement, l’ANSES prends connaissance de la publication de Bluetouff (l’ANSES aussi va en librairie, comme tout le monde). Elle réalise qu’il a publié certains documents qu’elle considérait confidentiels! Elle porte plainte! Une enquête s’en suit. Le secrétariat retrouve les bordereaux de livraison. La DCRI enquête. L’adresse, bien qu’éloignée, est enregistrée au nom de Bluetouff, placé 30 heures en garde à vue. Bluetouff raconte ce que vous venez de lire.

8- Le Parquet attaque Bluetouff, pour avoir envoyé, frauduleusement, des courriers au secrétariat de l’ANSES? Pour s’être “introduit” frauduleusement dans les casiers de l’ANSES? Les juges le déclareront non coupable. Pour s’être “maintenu” dans les casiers de l’ANSES? Les juges le déclarent coupable. Pardon ?!? Et, enfin, pour avoir “volé” des documents, coupable encore ?!? (à tort, disent certains dont @Eolas, qui pressent la contrefaçon plus adaptée). De qui se moque-t-on?

Bluetouff n’a envoyé, dans aucune de ses demandes, aucune information fausse à l’ANSES, aucune falsification d’une quelconque identité, autorisation, approbation, signature ou prétendu aval d’une autorité, qui ait été de nature à tromper l’ANSES sur la légitimité de ses demandes.

Précisément, tout au contraire, il est resté “anonyme” (le type lambda) aux yeux de l’ANSES, du début à la fin. Il a utilisé le bon formulaire, celui qui ne requière aucune autorisation, juste une adresse postale pour réception. Il a juste donné à l’ANSES une liste de demandes, et une adresse de livraison. Il l’a adressé au bon secrétariat, l’unique, l’officiel, le public. Il n’a pas contacté le bureau du mécanicien au sous-sol, si?

Les techniciens noteront au passage, je l’espère (?) que cette loooongue analogie est au plus proche du fonctionnement du réseau. Les STAD ne sont pas plus “automatisés”… que les procédures affichées et suivies à la lettre par le personnel des gros secrétariats publics.

Quelqu’un pourra-t-il m’expliquer, maintenant, en quoi cette analogie pourrait être mauvaise?

Bluetouff a-t-il jamais “pénétré” un STAD? Il a communiqué avec l’interface (le secrétariat public) d’un STAD, oui. Peut-on confondre?

Pénétrer un STAD, n’est-ce pas plutôt (par exemple) entrer dans une interface de gestion en tant qu’utilisateur local (au sens Unix, privilégié ou non) par le système? Comment parler encore ici de “maintien frauduleux dans un STAD”, et pire encore, de “vol” de données quand c’est l’ANSES qui a copié, émis et transmis de son propre chef?

Merci à tous \o/

114. Le dimanche 9 février 2014 à 20:23 par john

@ gauvain (102)
Ben, non il ne dit pas ça du tout, que ce soit dans l’arrêt ou dans le billet de maitre éolas.

Il dit qu’il est remonté sur la page d’accueil sur laquelle il a vu qu’il y avait possibilité d’identification par login et mdp.
C’est un peu comme condamner quelqu’un pour un meurtre au couteau parce qu’il aurait dit “j’ai vu des couteaux dans la cuisine”.
Cette affirmation ne démontre rien du tout, si ce n’est le fait que le site disposait d’un partie privée.

Il manque clairement un lien de causalité pour prétendre que l’accusé avait conscience d’être dans un système non autorisé.

115. Le dimanche 9 février 2014 à 20:27 par gougoule

@Hulk 113

Je veux bien un developpement, parce que je ne vois que deux solutions : ou je suis de mauvaise foi, ou je suis completement con. Comme je ne suis pas de mauvaise foi, je veux bien devenir moins con. Merci d’avance.

116. Le dimanche 9 février 2014 à 20:30 par gauvain

“En cliquant sur le lien généré par Google, il réalise très vite qu’il est dans l’extranet de l’Agence, et peut accéder sans problème à des quantités de documents internes portant sur la santé publique. Il télécharge près de 8 Go de données et après les avoir en vain proposé à des journalistes spécialisés, prend l’initiative de publier des articles se reposant sur ces données. “

vous avez raison rien n’est dit de la sorte :)….

117. Le dimanche 9 février 2014 à 20:32 par Hulk

@gougoule

C’est vous qui le dites, mais je ne peux pas vous aider, ne faisant pas dans le bénévolat, contrairement à vous.

118. Le dimanche 9 février 2014 à 20:36 par gauvain

gougoule on parle ici d’extranet et d’intranat pas d’un site web quelconque.

là se trouve votre mauvaise foi.

119. Le dimanche 9 février 2014 à 20:41 par selyana

@Hulk
Google … et tous les autres moteurs de recherche d’ailleurs (je ne sais pas pourquoi on fait une fixette sur Google) ne font pas “rien” contre les indexations de pages privées. Des mesures techniques ont été mise en place très tôt dans l’histoire d’internet pour qu’un responsable de site puisse indiquer qu’une page (ou un site entier) ne doit pas l’être (indexée), qu’elle soit publique ou privée.

En outre, certes a posteriori, il est possible de demander à google de dé-réferencer des pages qui aurait été rendues publiques par erreur.

Vous pouvez estimer que ce n’est pas suffisant, mais il faut bien mettre la limite quelque part

A la fin un robot, ou même un opérateur humain n’ont pas la science infuse, et il est impossible de garantir à 100% qu’une page est publique et vous n’allez pas demander page par page à l’administrateur d’un site si les moteurs de recherche ont le droit d’indexer telle ou telle page : d’une part ça serait herculéen comme tache et d’autre part que cela vous plaise ou non le web est par nature un espace public, l’exception c’est l’espace privé, pas l’inverse. A partir de là la logique de l’autorisation par défaut a tout son sens.

Vous avez le droit de penser que par défaut une page Web ne devrait pas être indexée, et ne devrait l’être que sur autorisation explicite : vous arrivez juste 20 ans trop tard presque jour pour jour (robots.txt a été inventé en février 1994 … Google n’existe “que” depuis 1996); ça fait longtemps que la bataille, au moins sur le plan technique, a été perdue (pour autant qu’on pense que c’est une défaite). Et ça c’est le B-A-BA vous avez plein de solutions qui ne dépendent pas de google, yahoo, exalead ou autre pour “cloturer” et/ou marquer votre site web privé.

120. Le dimanche 9 février 2014 à 20:45 par Marcel

@Hulk, 105. Désolé, mais non. Pour que le délit soit constitué, il ne suffit pas que Google sache que l’accès à certains STAD est interdit. Il faut qu’il sache lesquels. Lui reprocher, en substance, de “ne pas faire l’effort de devenir assez intelligent pour deviner lesquels”, ne me paraît correspondre à aucun article du Code Pénal. Aucun article du Code Pénal, à ma connaissance, ne mentionne d’obligation d’être assez intelligent pour éviter de faire des erreurs de bonne foi.

Concernant votre analogie, en 107 : Cela supposera, en premier lieu, que Philip Morris détient du cannabis (déjà en soi c’est un délit) dans ses usines et ne peut prétendre sérieusement ignorer ou celui-ci se trouve et donc, ne peut prétendre être dans l’incapacité de remédier au problème.
La situation de Google est assez différente : il a conscience que certains STAD lui sont interdits et, dans 99% des cas, c’est à dire chaque fois qu’il a été correctement prévenu, il évite soigneusement d’y mettre les pieds. Mais il arrive que, sans que rien ne prévienne, certains STAD qui devraient lui être interdits, on le laisse entrer, sans qu’il ne sache à l’avance lequel et quand. Là-dessus, Google se déclare incompétent, et c’est assez compréhensible.

Pour reprendre votre analogie, c’est plutôt un peu comme si Philip Morris faisait tout pour décourager la vente de ses cigarettes aux mineurs (comme la loi l’exige), mais sait que dans 0,01% des cas, un mineur, se faisant passer pour un majeur, arrivait à obtenir des clopes malgré tout. Tout en admettant qu’à moins de pratiquer une enquête de police systématique sur chaque client, il est quasi impossible d’éviter cela. Vous êtes en train de dire que Philip Morris est coupable de continuer de vendre des clopes aux majeurs dès lors qu’il sait qu’il arrivera une fois de temps en temps qu’un mineur se glisse parmi les majeurs. Sans même avoir à démontrer, côté accusation, que Philip Morris savait lequel de ces clients était le mineur (et de fait, sans avoir à démontrer qu’il était seulement possible de savoir que ce mineur l’était).
Et vous rajoutez, pour défendre votre théorie, que “Philip Morris a qu’a prendre plus de précautions, en ne vendant des clopes qu’aux petits vieux qui ont déjà des cheveux blancs” (et s’il tombe sur un mineur atteint du progéria et qu’il lui vend des clopes, il est à nouveau coupable).

Ça n’est pas comme ça que ça marche. Philip Morris (enfin les buralistes mais peu importe) cherche à vendre exclusivement aux majeurs, ne cherche absolument pas à vendre aux mineurs, il prends des précautions raisonnables pour écarter les mineurs (demander une carte d’identité et vérifier que la date de naissance est antérieure d’au moins 18 ans à la date d’aujourd’hui), il a beau savoir que 0,01% passeront entre les mailles du filet en montrant la carte d’identité d’un pote majeur qui leur ressemble drôlement, pour le faire condamner, il faudra démontrer que le buraliste avait toutes les cartes en main pour deviner que TEL mineur auquel il a vendu des clopes était effectivement mineur. Surtout que de l’autre côté, s’il refuse de vendre à un majeur parce qu’il a un doute, on n’hésitera pas à le poursuivre pour refus de vente.

Une autre comparaison : la SNCF sait que, mathématiquement, une fois de temps en temps, dans 0,01% des cas, elle transporte des gens qui ont sur eux des stupéfiants. Donc elle transporte des stupéfiants (10 ans d’emprisonnement, 7,5M€ d’amende, Art. 222-37 CP).

La SNCF cherche à transporter des clients et des contenus légaux, ne cherche absolument pas à transporter du cannabis, elle prend des précautions raisonnables pour éviter de le faire (collaboration avec la police ferroviaire etc.), ils ont beau savoir que 0,01% passeront entre les mailles du filet et que donc ils transporteront à bord de leurs trains un peu de cannabis alors que c’est strictement illégal, pour les faire condamner, il faudra démontrer que la SNCF savait que tel bagage ou telle personne possédait du cannabis et qu’elle l’a volontairement transporté sans rien faire contre. Surtout que de l’autre côté, si elle refuse de transporter tous les voyageurs à dreadlocks au motif qu’ils sont suspects et que la SNCF veut pas prendre le risque de transporter du cannabis, va y avoir du grabuge.

Vous pouvez faire la même analogie avec n’importe quelle compagnie de transport et l’aide à l’entrée irrégulière sur le territoire français (5 ans de prison, 30K€ d’amende, Art. L622-1 CESEDA)

De la même manière, Google cherche à référencer exclusivement le web PUBLIC, ne cherche absolument pas à référencer le web privé, il prends des précautions raisonnables pour vérifier que la page à laquelle il accède est effectivement publique (il vérifie le code HTTP reçu et n’indexe que s’il reçoit un code HTTP 200 OK, et n’indexe pas s’il reçoit un code HTTP 403 FORBIDDEN), il a beau savoir que 0,01% des pages qu’il indexe passent entre les mailles du filet à cause d’une mauvaise programmation, pour le faire condamner, il faudra démontrer qu’il savait que TELLE page était en fait interdite. D’autant que de l’autre côté, on n’hésitera pas à le poursuivre pour atteinte à la concurrence s’il déréférence par erreur une page que le propriétaire voulait voir référencée.

121. Le dimanche 9 février 2014 à 20:45 par gougoule

@Hulk
Merci de me conforter (bénévolement) dans l’idée que la 3ème solution est la bonne finalement ;)

@gauvain
Differences entre un extranet et le premier site www venu ?

122. Le dimanche 9 février 2014 à 20:48 par john

@ gauvain
Comme dit et répété maintes fois par de nombreux commentateurs: se retrouver dans un extranet ne signifie pas cela soit interdit.
Au contraire de nombreux sites (presque tous même) permettent ce genre de choses. La règle est l’autorisation. L’interdiction est l’exception. Et quand il y a interdiction… ben tu ne peux pas y accéder.

Quant au téléchargement de 8go de données, si vous faisiez un peu de recherche (scientifique, sociale voire même juridique), vous verriez qu’il n’est pas rare que l’on ait des tonnes de documents à traiter. Le meilleur moyen de traiter tout cela, c’est de télécharger tout d’un bloc pour trier et conserver par la suite ce qui nous intéresse.

123. Le dimanche 9 février 2014 à 20:53 par dglaude

Bonjour,

Je me demande si il faut réellement considérer un site web sur internet comme un STAD (système de traitement automatisé de données). Même si le minitel existait à l’époque, l’internet était inconnu de ceux qui ont écris ces lois. Ce sont d’autres système (mainframe) que l’on voulait protéger à l’époque.

Ce que visait cette loi archaïque c’est se protéger de ceux qui accède à votre base de donnée, qui se loggent sur votre système, qui y installe un virus, … Bref un système qui traite des données (et fait quelque chose avec) et pas un système qui ne fait que mettre à disposition des données à tout qui veut bien venir les consulter.

Je crois qu’une analogie dans le monde physique aurait son intérêt. Celui qui pénètre chez vous, s’installe dans la cave, fait un double des clefs, et utilise votre électricité (en Belgique, les premier “pirate” ont été condamné pour vol d’électricité), lui est un méchant.

Mais si vous publiez sur votre mur plein d’information à la vue de tous, ceux qui regardent, notent sur un carnet ce qui est ecris, etc… ce ne sont pas des méchant.

Qu’en pensez vous?

124. Le dimanche 9 février 2014 à 20:53 par gauvain

une fois encore je vais me répéter.

L’indexation ne devrait ce faire qu’avec l’accord du site web et non l’inverse.

ça éviterait bien des soucis selyana. D’ailleurs les premiers moteurs de recherche fonctionnaient très largement ainsi puisqu’il fallait s’y inscrire pour qu’ils vous référencent.

et oui je glande sur le net depuis avant 94.

maintenant je ne crois pas que l’on puisse parler de fixette quand on est face à un opérateur qui est pratiquement en position de monopole. Critiquer IE quand ce navigateur représentait plus de 95% du marché ce n’était pas une fixette juste un état de fait.

125. Le dimanche 9 février 2014 à 20:55 par gauvain

john se retrouver sur un extranet ou un intranet c’est se retrouver dans un secteur privé.

de là au minimum on demande une autorisation pour y télécharger des données.

126. Le dimanche 9 février 2014 à 20:56 par Bianca

Accusé Bluetouff, levez-vous
Maitre, je ne comprends plus. Vous nous aviez expliqué qu’on est prévenu, pas accusé, lorsqu’il s’agit d’un délit.
Dit on “Prévenu, levez-vous”?

127. Le dimanche 9 février 2014 à 20:58 par gauvain

un extranet peut être public, quand un site web peut-être privé.

j’vous laisse réfléchir à ça…

128. Le dimanche 9 février 2014 à 21:04 par mauve

La répétition lassante des arguties technologiques sur la faute de l’ANSES n’est qu’une variation du thème rebattu au pénal de “Mais M’sieur le Juge, sa jupe était tellement courte qu’elle cherchait forcément ce qui lui est arrivé”. Bip. Non. La faute de la victime n’est pas une excuse - tout au plus, c’est un élément qui va minorer les réparations dues à la partie civile, et en l’espèce l’ANSES a bien compris qu’elle n’avait aucun intérêt à appuyer l’action, donc elle s’est désistée. Mais l’action pénale est distincte de la responsabilité civile, elle est exercée par la société toute entière et pas uniquement au profit de la victime, donc le parquet avait seul l’opportunité de poursuivre, et il l’a fait. Il n’avait pas à se poser la question de savoir si google ou d’autres commettent également des délits en indexant le web, il a le pouvoir exorbitant de choisir ses cibles, et c’est bluetouff qui s’est retrouvé dans le viseur, dommage. C’est le droit absolu du Parquet, et il l’a utilisé, il n’y a rien à dire. De un.

De deux, pour ceux qui capillotractent sur le lien de causalité existant entre la connaissance admise par bluetouff de la page de connexion sécurisée et la nature plus ou moins publique des documents stockés par le serveur intranet, il faut aussi comprendre que le pénal ne règle pas des problèmes abstraits se situant dans la sphère éthérée des vérités mathématiques. Le droit se développe dans la sphère concrète de la justice humaine, et à cette échelle, bluetouff est un professionnel de l’informatique, spécialiste des questions de sécurité, et concrètement, quand il est arrivé sur cette page d’authentification, le standard de comportement attendu était celui de la prudence. En s’abstenant de vérifier quels documents étaient réellement accessibles publiquement en passant par le portail principal du site, dont il venait de découvrir l’emplacement, et au contraire en persistant à utiliser un accès détourné dont toute son expérience aurait du lui crier qu’il s’agissait d’une erreur du propriétaire du site, il a intentionnellement passé outre le contrôle d’accès du site et s’est bel et bien maintenu sans droit dans le STAD. Donc la Cour a estimé que ce lien existait, et comme il s’agit d’une appréciation concrète des faits, cette appréciation échappe au contrôle de la Cour de cassation, et devient LA vérité puisqu’on dit en droit que “res juridicata pro veritate habetur”, la chose jugée doit être tenue pour vraie.

129. Le dimanche 9 février 2014 à 21:08 par Marcel

@gauvain, 118 : Je n’ai pas dit que rien n’est dit, mais que Bluetouff n’avait rien dit de tel. Et effectivement, ce que vous citez, ce n’est pas Bluetouff qui le dit, c’est Eolas. Qui saute un peu vite aux conclusions.

120 : Par définition, un intranet n’est pas visible sur internet. Sinon c’est pas un intranet. Donc de base, la notion d’intranet est exclue ici. Un extranet alors ? Oui, et alors ? Vous en voulez, des pages issus d’un extranet et qui sont légalement accessibles au public ? Il y en a plein. Là comme ça, en cherchant 30 secondes :
http://extranet.cnsa.fr/qr.php?them… (si vous retournez sur la homepage de l’extranet, vous aurez confirmation que ce n’est pas une erreur, et que c’est bien la volonté du webmaster de laisser ces pages en accès libre… et que pourtant il y a un système de login/pass, permettant d’accéder à d’autres ressources).
https://extranet.bpifrance.fr/fui_w… (idem)
http://www.paris-valdeseine.archi.f…
http://www.esgci.net/
https://extranet-formation.regionpa…
etc. etc. etc.

En fait, sans aller jusqu’à dire que c’est courant, avoir une partie d’un extranet en accès libre et public n’a rien d’exceptionnel. Et c’est totalement volontaire de la part des organismes concernés.

130. Le dimanche 9 février 2014 à 21:11 par john

Un exemple vaut mieux qu’un long discours:
portant sur l’organisation de ses enseignes.
On voit très clairement qu’il y a une partie identification, et le reste sans aucune précision. Impossible pour moi de savoir si ce à quoi j’ai accès est interdit.
Aucun lien de contact pour demander des renseignements.

L’autorisation, il me semble bien qu’elle m’a été donnée dès que j’ai pu accéder à leur intranet. En toute bonne foi, rien ne m’indique que je suis sur ce site de manière frauduleuse.

Dans votre logique, il faudrait donc que je demande une deuxième confirmation du responsable du site pour être sur de ne pas être hors la loi…
En clair, le site me dit oui une fois, il faudrait que je demande ensuite à l’humain pour un autre oui…
Vous vous rendez compte de l’absurdité de la chose. On aurait un STAD qui ne fonctionnerait que si il y avait un humain pour contrôler vos faits et gestes dans ce STAD.

En clair, le STAD n’aurait aucune utilité…

Vive le monde qui se marche sur la tête ;))

131. Le dimanche 9 février 2014 à 21:14 par Tortuga

@gougoule93 :
Selon le billet d’Eolas, il y aurait des éléments suffisant pour dire qu’il savait que ces document ne sont pas publics.
Pire, sur son site web (donné en lien dans l’article d’Eolas), l’inculpé dit qu’il a voulu publier les données. S’il a voulu les publier, c’est bien qu’il pensait qu’elles n’étaient pas déjà publiques (sinon ça n’a pas de sens).

@Olivierj 97
Personne ne nie qu’il y a eu une erreur sur le serveur. Ce qu’on conteste, c’est le droit de profiter d’une telle erreur.

132. Le dimanche 9 février 2014 à 21:16 par john

La 2e phrase manquante avec le lien sur le site web de renault

voici un des extranet de renaul

133. Le dimanche 9 février 2014 à 21:19 par gougoule

@gauvain 129

Mais oui, très exactement, merci d’y avoir reflechi pour nous. Donc quand google nous prend par la main pour nous conduire vers un extranet, on ne peux pas se douter en premier lieu qu’on est sur du privé, c’est pas possible. Encore faut-il déjà comprendre qu’on est sur de l’extranet. On y accede via le web, on est sur le web, point.

“Extranet” n’est qu’un mot pour qualifier un genre de site web particulier, comme “blog”, “moteur de recherche”, “réseau social”, etc. Tout ceux là sont des sites web. Que ça vous plaise ou pas, c’est comme ça, désolé.

Maintenant on vous explique que trouver une page de login au milieu de tout ça ne démontre en aucun cas que le contenu qu’on à atteint est protégé. Pas le moins du monde. Vous avez le droit de pas y croire, ça vous regarde, mais la mauvaise foi sera plutôt de votre côté, pardon.

134. Le dimanche 9 février 2014 à 21:21 par Marcel

@mauve : Si vous voulez, je vous donne accès à l’arborescence d’un de mes sites. Ensuite, vous allez jouer la “prudence” comme vous dites et essayer de discriminer, tout seul :
- Les fichiers qui sont directement pointés par un lien ou comme élément du site, par le site web racine.
- Les fichiers qui ne sont pas directement pointés par le site, mais qui sont pointés par d’autres ressources web (par exemple des liens que j’ai laissé sur des forums) et qui sont publics.
- Les fichiers qui sont confidentiels.

Je vous souhaite bon courage…

Vous allez me dire “Dans le doute abstiens-toi”… mais je suis désolé, PRÉCISÉMENT pour un vieux routard du web comme Bluetouff, ce n’est pas le comportement qui prévaut parce que sur le World Wide Web, la publicité est la règle, la confidentialité l’exception. Et la publicité involontaire, l’exception dans l’exception, surtout sur un site professionnel, et a fortiori sur intranet. Je veux dire, laisser librement accessible des documents confidentiels, chez des amateurs c’est déjà pas courant, mais alors chez des pros, c’est RARE (et c’est la honte). Honnêtement, le premier réflexe quand on tombe sur des fichiers en accès libre, même s’il existe une page d’authentification à la racine, c’est pas forcément de se dire “ces documents sont accessibles à tout vent MAIS ils sont sûrement strictement interdits d’accès”.

Pour le reste, je n’ai pas lu le dossier. Peut-être que d’autres éléments du dossier permettent de conclure plus clairement à la fraude de la part de bluetouff. C’est possible et je ne me prononce pas là-dessus.

Simplement, le Maître de céans ne le mentionne pas et, partant, me paraît sauter un peu vite aux conclusions. De là, j’ose espérer que les juges n’ont pas eux aussi opté un peu vite pour un scénario qui n’a rien de certain, et qui serait en substance que “dès lors qu’il a vu la page d’authentification, quoi qu’il en dise par ailleurs, il a OBLIGATOIREMENT deviné que les documents qu’il voyait, il aurait pas dû y avoir accès”, parce que ça me paraît relever de la simple supposition, en aucun cas de la certitude. Même (et surtout) s’agissant d’un professionnel de l’informatique.

Si toutefois les juges ont pris cette décision sur la base d’autres éléments de l’enquête qui accablent davantage bluetouff, alors je n’ai rien à y redire. Encore faut-il que ce soit le cas.

135. Le dimanche 9 février 2014 à 21:24 par john

@ Tortuga 133
S’il a voulu les publier, c’est bien qu’il pensait qu’elles n’étaient pas déjà publiques (sinon ça n’a pas de sens).
Gnéé???
Si on suit votre raisonnement, il faudrait alors fermer toutes les pages de wikipédia, tous les sites de presse et d’informations et même fermer le site d’Eolas, qui ne fait que publier des informations qui ne sont pas publiques (parce que si elles l’étaient, il n’aurait pas eu besoin de les publier… logique non??)

J’espère que vous avez compris l’absurdité de votre remarque.
L’immense majorité des sites web reprennent et republient des informations déjà existantes ailleurs. C’est le principe même d’Internet

136. Le dimanche 9 février 2014 à 21:30 par OlivierJ

C’est stupéfiant de lire certaines choses erronées en 2014 sur le fonctionnement du Web. Quand on ne connaît pas bien, on évite de dire des âneries et d’insister.

@Hulk (#98) : vous divaguez, excusez-moi l’expression. Si un crawler pouvait faire quelque chose d’illégal, ça se saurait (indiquez-nous sinon les textes de loi), et surtout ça n’a aucun sens. Les arguments techniques ici sont simples et tout à fait dans le sujet, il ne manquerait plus que ça. Si en cliquant de lien en lien, vous arrivez sur une page à laquelle le propriétaire ne souhaitait pas qu’on accède, on ne peut rien vous reprocher, et heureusement. C’est comme une rue sans panneau d’interdiction.

Google n’est complice de rien du tout, c’est stupéfiant de lire des choses pareilles. Personne ne songe sérieusement à reprocher à un moteur de recherche d’indexer une page accessible.

@gauvain (#99) : elle est bien bonne celle-là, un crawler devrait demander l’autorisation pour indexer un site… Mais un crawler demande déjà, il fait un “GET” sur la page, et c’est le site qui soit délivre la page, soit répond “NON” (codes HTTP 30x et 40x).

Sinon je vous renvoie à l’explication ci-dessus. Un crawler ne fait que suivre des liens, il ne peut pas deviner qu’il arrive sur un lien que le propriétaire ne souhaitait pas diffuser.

J’ai déjà administré un site public avec une partie privée, je n’ai jamais craint que Google (ni quiconque) arrive sur la partie privée, tout comme des millions d’administrateurs de site. Et si la partie privée avait été indexée par mégarde suite à une erreur de ma part, je n’aurais à m’en prendre qu’à moi-même.

137. Le dimanche 9 février 2014 à 21:46 par gougoule

@OlivierJ 138

Sans compter que la syntaxe pour interdire tout un domaine par défaut sauf *éventuellement* quelques pages explicites existe, encore faut il connaitre un minimum le métier qu’on prétend exercer…

138. Le dimanche 9 février 2014 à 21:47 par Hulk

@OlivierJ

Vous ne faites que répéter une fois de plus les mêmes arguments techniques, j’en déduis que c’est votre horizon, stoppons-là cet échange qui ne mène à rien svp.

139. Le dimanche 9 février 2014 à 21:54 par Xavier

@mauve en 130

… en persistant à utiliser un accès détourné dont toute son expérience aurait du lui crier qu’il s’agissait d’une erreur du propriétaire du site, il a intentionnellement passé outre le contrôle d’accès du site …

De quel “accès détourné” parlez-vous? Je n’en vois aucun.

Et de quel “contrôle d’accès” parlez-vous? Le seul qui fut cité, apparait sous la forme d’un formulaire de connexion, sur une autre page publique du site de l’ANSES.

Or, comme beaucoup l’ont expliqué, la hiérarchie des arborescences (et des droits d’accès) ne fait strictement aucun sens pour des URLs publiques, comme celles qu’a interrogées Bluetouff en aspirant ces 8Go de données.

J’ai transposé le tout en termes de courriers postaux en 115, je pense que c’est TRÈS approprié, vous en jugerez, afin de sortir de ces querelles “techniques”. J’aimerais beaucoup lire votre réponse, point par point.

140. Le dimanche 9 février 2014 à 21:54 par nonos

@ Marcel en 95:

vous avez raison, rien n’est effectivement assuré sur les aveux de BT.

J’ai pensé qu’au regard des connaissances techniques de BT, il savait que la page de login n’était pas suffisante pour l’incriminer comme il est fait, mais que des aveux préalables ruinaient cette possibilité de défense. Une boulette, comme je l’écrivais, faite dans un soucis explicatif de sa démarche, pour démontrer son honnêteté … Mais vous avez raison, ces aveux, je les imagines bien, mais je n’en trouve nulle mention.

141. Le dimanche 9 février 2014 à 21:56 par jems

Bon, +1 au camp de ceux qui soutiennent que non, une page de login à la racine ne signifie pas que les documents soient privés.

Notamment, non, il n’y a pas eu exploitation d’une faille de sécurité. Non, elle n’est pas béante. Non. Le serveur était mal configuré, c’est tout. Il a répondu très correctement compte tenu de sa configuration. Rien à ajouter, redire. Il n’est pas possible a priori de déterminer qu’un serveur est mal configuré. Sinon, c’est simple, le web n’existe plus, puisqu’il ne m’est pas possible de savoir si les résultats affichés par google sont publics ou pas (je ne parle pas des liens cibles, uniquement de la réponse des serveurs de google elle-même). Dès lors, je ne peux plus accéder de manière sûre (juridiquement) qu’à mon intranet privé. C’est stupide.

Sur l’accès aux documents, non, ils n’étaient pas privés. ils étaient disponibles publiquement sur le Web. Je ne comprends pas où il peut y avoir débat là-dessus ? Je comprends qu’on puisse vouloir discuter de la causalité entre la page de login et la supposition que peut-être (“peut-être”) il y ait des documents privés sur ce serveur, mais en l’occurrence, les documents dont nous parlons sont publics. Je peux les consulter sans autorisation. C’est une faute de l’ANSES. Turpitudes, toussa.

@mauve : “La faute de la victime n’est pas une excuse”. Oui, mais enfin dans le cas que vous citez, la personne avait la mini-jupe sur les oreilles (pas de login), elle disait “prends-moi” (indexée) et pendant l’acte elle a ajouté “j’aime ça”, plusieurs fois (sur 8Go de documents). Dur quand même d’avoir deviné a priori qu’elle n’était pas consentante ! (et franchement, parler de viol sur ce sujet, c’est limite).

142. Le dimanche 9 février 2014 à 22:09 par Kemener Ru

Cher maître,

Pour une fois vous faites erreur : j’ai l’ancienneté requise pour siéger en cour d’appel, et avant d’être magistrat j’ai travaillé près de 18 ans dans l’informatique : 10 ans comme analyste programmeur, et 8 ans comme technicien support logiciel (spécialiste réseau X25 et TCPIP notamment…)
Mais je vous l’accorde : je dois être le seul..

Bien à vous.

143. Le dimanche 9 février 2014 à 22:18 par plop

juste un exemple pour compléter l’explication sur l’aspect login n’implique pas privé: page d’accueil de Facebook: formulaire de login/passwd. Les informations accessibles sans s’authentifier n’en sont pour autant pas privée, et il est impossible à priori de savoir si c’est une erreur ou une volonté de la personne ayant publié les dites informations.

144. Le dimanche 9 février 2014 à 22:48 par françois carmignala

Un objet virtuel n’est pas un objet réel.
L’argument du procureur cité par Bluetouff dans son argumentaire
est assez clair: dans un boulangerie, aucune baguette n’est “publique”.

Pourtant, dans un site web, ne sont publics que les documents accessibles.
Cette capacité pour un document, d’avoir deux status n’est pas
reconnue par la loi, donc, et le procureur a ainsi manifestement tort.

Et bien c’est un problème. La loi est mal faite, c’est manifeste.

Eolas, toujours sur la brèche pour jouer avec les lois, et
se féliciter du beau raisonnement juridique sur des lois
qu’il estime est ainsi aussi, “aux fraises”.

Encore une fois, la profonde stupidité du juge interprétant
des lois mal faites a été activée. Le résultat, buggé, d’un
tel processus est patent. Il faut agir.

Un autre point est que le vrai coupable dans l’affaire est
évidemment le responsable de la mise en public de ces documents.
Le fait qu’il n’ai pas été inquiété est surprenant: la DCRI
serait elle insuffisamment paranoïaque ?
Il est pourtant patent et connu que beaucoup des négligences
sont en fait coupables: la sécurité s’affaiblit de l’intérieur,
bien sur. Alors ?

145. Le dimanche 9 février 2014 à 23:18 par @f4grx

@maitre_eolas: les hackers vous remercient de ne pas les confondre avec des pirates et des crackers

cette confusion des genres permanente est assez pénible à entendre pour une personne comme vous qui est censée faire dans la précision légale…

146. Le dimanche 9 février 2014 à 23:31 par corrector

Pardon maître, mais votre analyse (qui reprend celle de la Cour) n’a strictement aucun sens.

La racine du site n’est pas LA porte d’entrée, c’est UNE porte d’entrée. Il y a autant de portes d’entrée que de pages. Chaque page en accès libre est une porte ouverte. Que la porte principale, celle de la belle entrée soit verrouillé n’a aucune importance.

Vous avez fait un magnifique contre sens informatique, comme les juges.

147. Le dimanche 9 février 2014 à 23:33 par eeemmm

@Hulk comment pourrais-je savoir en te disant “TA GUEULE” si je m’adresse à un humain et ou à un robot ?

148. Le dimanche 9 février 2014 à 23:40 par Hulk

@corrector

Vous dites : “Vous avez fait un magnifique contre sens informatique, comme les juges.”

Ce qui n’a aucune importance, vu qu’il s’agit de droit, et pas d’informatique.

149. Le dimanche 9 février 2014 à 23:49 par Archicham

@mauve (128) et @jems (141) : l’analogie avec le viol est d’autant plus déplacée que porter une minijupe N’EST PAS une faute. En revanche, laisser traîner des documents accessible via Google quand on est un “Opérateur d’Importance Vitale prévu au Code de la Défense” est plus problématique.

150. Le dimanche 9 février 2014 à 23:56 par Pierre M. Boriliens

@ hulk - 138

Je sonne chez vous, vous me demandez qui je suis par l’interphone, je vous le dis, vous ouvrez, je grimpe les étages, j’arrive devant votre porte et là ?
The Incredible Hulk me tombe dessus à bras raccourcis et me casse la gueule en me demandant ce que je fous là…

Vous trouvez ça normal ?

151. Le lundi 10 février 2014 à 00:16 par banane

@ Nak, codlab et surtout OlivierJ : Google (et d’autres) parcourt de manière automatique (c’est-à-dire sans pilote) des millions d’url et les met en ligne (cf Google hacking). Bien sûr, vous avez raison de dire qu’elles sont insuffisamment protégées. Et bien sûr, c’est bien pratique quand on cherche des infos. Mais il me semble que le bon sens voudrait qu’il indexe une url que si on le demande et non l’inverse (il faut demander pour ne pas être indexé). Qu’un petit robot pénètre chez moi, prenne des photos et les diffuse sur le net pour la simple raison que j’ai oublié de fermer la porte ne me satisfait pas.

152. Le lundi 10 février 2014 à 00:35 par Hulk

@banane 151

Pour ces propos hérétiques à l’orthodoxie geek, vous serez mené au bûcher, et que cela vous serve de leçon.
N’oubliez jamais que tout ce que la technologie permet sur le net est moralement bien.

153. Le lundi 10 février 2014 à 00:42 par a3nm

Merci pour cet excellent article.

Typo : il manque une espace dans “Service)pour”.

154. Le lundi 10 février 2014 à 00:46 par OlivierJ

@banane : Certaines réactions que je vois ici me laissent vraiment perplexe, c’est la première fois que je vois ça (à propos des “crawlers”).
Si vous craignez de ne savoir configurer votre site afin que la partie privée soit effectivement privée, ne mettez rien en ligne. Pour les autres, le référencement par les moteurs de recherche est parfois un besoin presque vital pour leur activité ; quand la Google a modifié son algorithme de façon notable il y a quelques années, ça a créé des protestations car certains sites n’apparaissaient plus en première page.
Sans un bon moteur de recherche, le Web perdrait énormément de son intérêt de nos jours. Les gens/sites veulent être indexés.

155. Le lundi 10 février 2014 à 00:53 par Archicham

@banane et @Hulk : Alors là, il y a une incompréhension de ce qu’est Internet. Internet EST public, c’est le principe de base. Votre site Internet, ce n’est pas chez vous, c’est une part d’espace public où vous avez le droit de vous exprimer. Il se trouve que sur Internet (c’est moins vrai pour l’espace public physique), vous avez le droit de mettre des paravents autour de ce que vous faites pour que les autres ne puissent pas voir ce que vous faites. Bluetouff n’a pas regardé par dessus le paravent, ce qui serait frauduleux, il a regardé par un des cotés qui n’était pas protégé.

Vous pouvez toujours regretter cet aspect public d’Internet et dire qu’il faudrait que ce soit autrement, mais vous allez contre la réalité.

Par ailleurs, dans la vrai vie, si j’entre chez vous par une porte que vous avez laissé ouverte, je ne commets aucun délit…

156. Le lundi 10 février 2014 à 01:00 par Hulk

@Archidam

Vous dites : “Par ailleurs, dans la vrai vie, si j’entre chez vous par une porte que vous avez laissé ouverte, je ne commets aucun délit…”

Eh si. Vous commettez un délit de violation de domicile. Voilà qui prouve votre méconnaissance du droit et qui rend vos avis au sujet du droit sur internet nuls et non avenus.

Internet n’est pas un espace public. Ce n’est qu’un support technique à une multitude d’activités, certaines publiques, d’autres privées.

157. Le lundi 10 février 2014 à 01:02 par Hulk

@OlivierJ 154

Vous dites : “Sans un bon moteur de recherche, le Web perdrait énormément de son intérêt de nos jours.”

On avait compris. Il perdrait surtout beaucoup de son intérêt financier, pour ceux qui en vivent.

158. Le lundi 10 février 2014 à 01:27 par Archicham

@Hulk
Non, justement, je ne commets pas le délit de violation de domicile car vous avez laissé la porte ouverte, ou simplement non verrouillé. La violation de domicile, ce n’est pas l’introduction au domicile d’autrui sans son accord, c’est l’introduction au domicile, par manœuvres, menaces, voie de fait ou contrainte. Faire fonctionner normalement une porte ne rentre dans aucun de ces cadres. (voir CA Reims 00/00580 ”Qu’il est constant, cependant, que, pour pénétrer dans le bureau du Père A…, Monsieur X…, qui s’est borné à entrer sans frapper, et qui n’est seulement reprochable de n’avoir pas eu la politesse de solliciter préalablement la permission d’entrer, ne s’est livré à aucune manœuvre, que l’intéressé n’a pas plus, pour cela, fait usage de menaces ou de voies de fait, et qu’il n’a pas non plus recouru à une contrainte pénalement répréhensible ;
”)
Internet a été créé pour le partage d’information. Il est par défaut public, et vous avez la possibilité d’en rendre une partie privée, si vous faites vos réglages correctement.

159. Le lundi 10 février 2014 à 01:43 par Hulk

@Archidam

Votre jusrisprudence parle d’un bureau, pas d’un domicile, il va falloir trouver autre chose.

Vous dites : “Internet a été créé pour le partage d’information. Il est par défaut public, et vous avez la possibilité d’en rendre une partie privée, si vous faites vos réglages correctement.”

C’est votre opinion. Merci de produire le texte de loi qui définit cela.

160. Le lundi 10 février 2014 à 01:48 par Pierre M. Boriliens

@ Hulk - 157

“On avait compris. Il perdrait surtout beaucoup de son intérêt financier, pour ceux qui en vivent.”

Ce qui n’a aucune importance, vu qu’il s’agit de droit, et pas d’argent.

161. Le lundi 10 février 2014 à 02:05 par mauve

Là où vous vous trompez, Archicham, c’est que vous pouvez retourner le C. pénal dans tous les sens, vous ne verrez nulle part écrit “Internet” ; en revanche, vous y trouverez “Système de Traitement Automatisé des Données”, et quoi que vous en ayez, les juges, qui font serment d’appliquer la loi, sont TENUS par les termes dans laquelle elle est écrite. Que ce soit vrai, vraisemblable, ou complètement faux n’a absolument, au niveau de la Cour, aucune espèce d’importance. Contrairement à toutes les autres disciplines de l’esprit qui sont maîtresses des définitions et des catégories qu’elles s’appliquent, la pratique du droit n’est pas libre, et un juriste ne se lève pas le matin en se disant “oh la la, mais le législateur n’a pas compris, là, moi, je vais faire autrement”. Non. Pas possible. Or, dans cette matière, le législateur a volontairement et très soigneusement éludé de donner une définition du STAD. En revanche, il ressort du texte que le STAD a un maître, qui décide des conditions dans lesquelles il peut être utilisé, et que violer ces conditions est une infraction réprimée.

Pour entrer en voie de condamnation (présomption initiale d’innocence), il faut donc que le Procureur amène la preuve, devant le juge, que le prévenu réunit sur sa tête les 4 éléments de l’infraction : Élément matériel, élément moral, élément légal, et absence d’excuse.

Pour ce qui a été de l’intrusion, en l’espèce, le Procureur a échoué par impossibilité de prouver l’élément intentionnel : l’intrusion est réprimée par un texte (élément légal), le prévenu est entré dans le système (élément matériel), il n’est pas excusable, mais le simple fait d’avoir trouvé le lien dans Google en soi ne prouve pas la volonté d’outrepasser le système de contrôle (défectueux) mis en place.

En revanche, selon la Cour, le maintien dans le système au-delà de la découverte de la page de login par le prévenu complète l’infraction de son élément intentionnel, puisque passé ce moment, le prévenu ne pouvait plus ignorer qu’au moins certaines parties auraient du être hors limites, et que nonobstant, en continuant à aspirer de manière indiscriminée la totalité du contenu, il ne pouvait dès lors plus ignorer avoir au minimum copié un panachage de données publiques et privées.

C’est le raisonnement de la Cour ; vous pouvez pester, tempêter, lever les bras au ciel, mais il n’empêche qu’elle a fait son job. Elle a pesé les arguments en balance, et elle a estimé que le Procureur avait bel et bien rapporté la preuve de la culpabilité du prévenu dans tous ses éléments. Vous, vous plaidez pour qu’internet dans sa globalité soit traité comme une exception au sein des STAD, peut-être que le législateur vous entendra un jour (j’en doute), mais en droit positif, cette exception n’existe pas.

162. Le lundi 10 février 2014 à 02:21 par OlivierJ

@Hulk (#157) : Je pensais surtout aux utilisateurs. Tout le monde y perdrait. Ce n’est pas par hasard que Google est devenu le géant qu’il est.

Si un jour vous trouvez ce que le droit aurait à redire à un crawler qui suit des liens, ce serait intéressant. En attendant, vous ne convainquez personne de votre point de vue étrange.

@Archicham (@155) : je suis d’accord avec votre commentaire, sauf sur cette malheureuse analogie avec le domicile, qui n’est pas la bonne. Une analogie pertinente est celle de la rue (ou route) sans panneau d’interdiction, j’en ai déjà parlé précédemment.

163. Le lundi 10 février 2014 à 02:34 par HugoMe

@mauve
Vous n’avez pas compris les objections : la page de login est une porte d’entrée, ce n’est pas la seule, et rien ne définit ce qu’elle protège. Le fait d’avoir un rideau de fer au supermarché ne signifie pas qu’il est interdit d’aller sur le parking.

164. Le lundi 10 février 2014 à 02:47 par mauve

@HugoMe : j’ai très bien compris les objections, le problème c’est que la Cour ne les pas retenues lorsque la défense les a présentées. Ce n’est pas moi qu’il faut convaincre, et de toute manière il est trop tard. Il existe par ailleurs toute une jurisprudence sur l’infraction impossible dont la tentative est néanmoins punissable qui suffirait à justifier cette condamnation. La Cour se moque, concernant l’infraction de maintien dans le système, qu’il y ait eu des données publiques ou privées à l’intérieur, ou même que le STAD ait été vide. Elle condamne le simple fait de l’avoir exploré malgré la découverte de la page login qui servait en l’espèce de panneau “propriété privée”, si je puis utiliser cette image pour clarifier mon propos.

165. Le lundi 10 février 2014 à 02:52 par vinc17

Certains comme Hulk se semblent pas avoir compris ce qu’est un serveur web. Un serveur web n’est pas l’équivalent d’un domicile. C’est une machine où tout le monde a le droit de tenter de faire une connexion: on ne va pas demander la permission à chaque fois qu’on veut faire une requête à une URL. Par défaut, une URL est considérée comme publique, et c’est au serveur de décider comment répondre à la requête. La bonne analogie serait: on sort un certain nombre de documents de chez soi (chez soi = disque dur privé, par exemple) et on les met sur la voie publique en disant “Servez-vous!”. Certains documents peuvent nécessiter une clé. Si le responsable s’est trompé en oubliant de protéger des documents, il ne peut s’en prendre qu’à lui-même. Quelqu’un ayant conscience du caractère privé de certains documents est censé ne pas aller plus loin. Parfois le caractère privé est évident: liste de coordonnées de clients ou autres informations personnelles. Généralement, ça l’est moins. Des documents de travail internes peuvent très bien être publics, même s’ils sont censés aboutir à des versions payantes; c’est par exemple le cas de la plupart des documents des groupes de travail de l’ISO (jusqu’à un certain point).

Les moteurs de recherche (Google ou autre) ne peuvent pas faire grand chose. Le risque d’erreur en se basant sur des heuristiques (elles-mêmes dépendant du moteur de recherche en question) est beaucoup plus important qu’avec un protocole bien spécifié. Quand on voit que certains admins sont incapables de respecter un protocole assez simple, que dire s’ils doivent s’adapter aux diverses heuristiques implémentées par les divers moteurs de recherche…

@mauve: il est aussi possible que les propos de Bluetouff en GAV aient mal été interprétés. Dans son billet, Bluetouff ne parle que d’espace public et de documents publics. Mais les PV parlent de document volés. Cf son billet:

C’est un élément de détail mais c’est aussi un élément qui figure dans les PV, quelque chose de facile à interpréter de manière erronée pour un profane avec un truc du type « l’accusé a fait des copies de sauvegarde de ces documents volés ».

@Hulk: ce n’est pas un problème de droit, mais de faits. Les faits: Bluetouff a téléchargé des documents publics (même pour l’ANSES, il n’y avait pas de caractère privé, cf billet de Bluetouff). Mais la cour a considéré, par sa méconnaissance du fonctionnement technique du web, que ces documents étaient privés.

166. Le lundi 10 février 2014 à 03:01 par vinc17

@mauve Sur sa page d’accueil, Facebook présente une boîte de login. Donc Facebook, c’est “propriété privée” et on n’a pas le droit d’y aller si on n’a pas de compte? C’est absurde!

167. Le lundi 10 février 2014 à 03:11 par vinc17

Allons plus loin. http://fr.web.img2.acsta.net/ (page d’accueil) renvoie une erreur “403 - Forbidden: Access is denied”. En déduisez-vous qu’on n’a pas le droit d’accéder aux documents sur ce site?

168. Le lundi 10 février 2014 à 03:34 par Marcel

@Hulk. Vous ne cessez de répéter “restons-en sur la question du droit, pas de la technique”.

Pas d’accord. On juge certes à partir du droit, mais on juge des faits. La partie “technique” est essentielle. Pas pour définir le droit en vigueur, mais pour définir les faits. C’est là que le bat blesse.

Personne ne conteste l’application du droit dans cette histoire : nous contestons l’interprétation qui a été faite par la Cour des faits.

Vous aurez beau répéter dans toutes les langues que le Code Pénal est formel sur le fait que le meurtre est interdit, si l’accusé n’a tué personne, il est innocent.

De la même façon, vous pourrez répéter mille fois que le droit est formel sur l’interdiction de se maintenir sur un endroit que l’on sait inaccessible au public : personne ne conteste cela. Si l’accusé ne savait pas que l’endroit était inaccessible au public, il est innocent.

Et c’est là que la technique intervient et a pleinement sa place : parce que la technique permet de discuter du caractère “manifestement interdit au public” ou pas. Et sur deux points au moins : “interdit au public” et “manifestement”.

En l’espèce, l’état de l’art sur internet, la façon dont les choses se font, interdisent très clairement de partir du principe que l’interdiction était manifeste. Beaucoup de choses pouvaient laisser croire qu’il n’y avait pas d’interdiction. Quand la justice dit en substance que “à partir du moment où il est tombé sur une page de login, l’interdiction était manifeste”, c’est fondamentalement inexact. Là tout de suite, je peux vous prouver le contraire, et sur un site d’une administration de l’État en plus. Regardez :

http://extranet.csa.fr/Extranet_TNT…

Oh mais que vois-je, un “Extranet”. Je clique dessus… Oh mais que vois-je, une page m’informant que l’endroit est privé, avec un bouton et un formulaire de connexion.

Et pourtant… http://extranet.csa.fr/Extranet_TNT…

Oh mais que vois-je ? Des documents en accès public ! Encore une faille de sécurité ? Perdu ! Le responsable de l’extranet a confirmé que l’accès public de ces documents était volontaire, et qu’il était tout à fait permis d’y accéder.

Je suis prêt à parier que c’est une erreur technique de bonne foi de la part des juges. C’est à dire que concrètement, ils ont dû tenir le raisonnement suivant : “si la base de l’arborescence était protégée, alors tout le reste était censé l’être, et l’accusé bluetouff le savait très bien”. Ça peut paraître logique, mais c’est factuellement faux. Il existe des tas de contre-exemples (je viens d’en montrer un mais il en existe plein d’autres) et Bluetouff avait des raisons sérieuses de croire qu’il avait le droit d’être là où il était.

L’interprétation, non-pas du droit, mais des faits par la justice, est donc erronée. Et c’est la technique qui nous en informe.

On pourrait s’arrêter là, on devrait s’arrêter là : il manque, dans les faits, l’un des éléments caractérisant l’infraction. Ça devrait être relaxe et fin de l’histoire. Mais on peut aller encore plus loin :

Les documents étaient-ils, ou non, confidentiels/interdits au public ? C’est ce que dit l’ANSES. Mais nemo auditur propriam turpitudinem allegans. Puis-je crier au scandale parce qu’on a “lu un texte confidentiel dont je suis l’auteur” si c’est moi qui le fournis à autrui ?

Concrètement, si vous me demandez gentiment de vous montrer ce que contient mon dernier mail envoyé, et que je vous le donne, puis-je prétendre que vous m’avez volé une information confidentielle ? Pas que je sache.

Or c’est bien ce qui s’est passé. La justice part du présupposé technique que Bluetouff a accédé à une ressource sans demander la permission. Nul ne conteste qu’en droit, c’est illégal. Mais ce n’est pas sur la question du droit que je conteste l’affirmation de la justice. C’est sur le plan des faits. Bluetouff a bel et bien demandé la permission. Pour la bonne raison que c’est la seule façon d’accéder aux données d’un site web. On demande la permission à l’aide d’une commande, et on accède au document si et seulement si le serveur donne une réponse positive. Si le serveur donne une réponse négative ou même pas de réponse du tout, on n’accède pas au document. Il a fallu que le serveur web de l’ANSES donne une réponse positive et envoie le document à Bluetouff après que ce dernier l’ait demandé. En réalité, parler “d’accéder à un document” est un abus de langage. Ce n’est pas nous qui nous déplaçons à la bibliothèque pour consulter un document : c’est la bibliothèque qui nous envoie le document par courrier.

Or, le droit, c’est dire “il est interdit de récupérer un document sans autorisation”, et cela, personne ici ne le conteste.
Les faits, c’est dire “il avait ou il n’avait pas l’autorisation d’accéder à ces documents”, et là, nous contestons l’affirmation selon laquelle on ne lui avait pas fourni d’autorisation d’accéder à ces documents.

Dans les faits, on lui a donné une autorisation explicite (et là encore c’est de la technique : techniquement il n’est pas possible d’obtenir ces documents sans en avoir reçu une autorisation explicite par le serveur informatique), à partir de là il me semble que l’élément d’accès à une ressource non-autorisé n’est pas caractérisé. Venir déclarer après coup “ouais non mais je l’ai autorisé mais en fait j’étais bourré, en vrai je suis contre”, c’est tout de même un peu facile et pas très sérieux.

Voilà pourquoi la technique est essentielle dans ce dossier. L’état du droit, nul ne le conteste. On a compris la définition des infractions et, d’accord avec ou pas, on sait tous que les juges n’ont pas de marge de manœuvre vis à vis de ça (ils ne font pas le droit, ils l’appliquent). Ce n’est pas ça qui est au centre du débat. Ce qui est au centre du débat, ce sont les faits matériels censés être constitutifs de l’infraction. Ces faits, éminemment techniques, nous paraissent mal rapportés et mal compris par la justice. Qui du coup applique correctement le droit, mais sur des faits erronés.

Du coup, je pense honnêtement que les chances en cassation sont plutôt minces, puisque la Cour de Cassation, justement, juge les questions de droit pur et ne se préoccupe pas des faits. Cependant, il y a éventuellement matière à reconnaître un défaut de base légale, et éventuellement une fausse application de la loi. Mais les chances me paraissent minces.

169. Le lundi 10 février 2014 à 03:57 par mauve

@vinc17 : Ce que vous ne parvenez pas à admettre, c’est que le droit ne traite pas “internet” en bloc, comme un espace unique disposant de règles uniformes. La loi considère que chaque système est indépendant, et les juges apprécient les modalités d’utilisation des STAD de manière isolée et autonome. Internet n’est que le moyen d’accéder à chacun des STAD qui le compose (ce qui, d’ailleurs, est la véritable définition d’Inter-net, l’entre-réseaux). Ce qui est vrai pour Facebook ne l’est pas pour l’Anses, et l’appréciation des juges est concrète. Elle serait certainement différente pour d’autres systèmes. Ici, elle considère souverainement, étant donné la personnalité du prévenu (professionnel de l’informatique) qu’il ne pouvait plus ignorer qu’il était hors-jeu après être tombé sur la page en question. Le fait que la Cour n’ait pas retenu l’intrusion démontre qu’elle a justement présumé que l’accès public sur internet est la règle ; après, que ce soit une page de login, un gif animé qui tourne avec des flammes ou quoi que ce soit d’autre, n’est pas le problème de fonds. Ce qui compte, c’est quand le prévenu, compte tenu de son bagage et de ce qu’il a vu, ne pouvait plus être considéré de bonne foi. Si vous trouvez un moyen d’aspirer avec wget, sans discrimination, toutes les photos attachées à un compte sur facebook en violation d’un éventuel statut privé qui serait attaché à certaines d’entre elles, vous serez tout aussi coupable.
@Marcel : vous, au contraire, vous traitez chaque parcelle d’information de manière autonome, en isolation du système dont il fait partie, ce qui, encore, contrevient à la lettre de la loi. L’accès à un serveur web suppose quelque part de le parcourir selon les prévisions de celui qui le créé. Dans l’extranet que vous présentez, il y a un lien direct qui vous permet d’accéder aux ressources liées à la page ; vous ne contournez pas le système en forçant une url à l’aveugle.
(Enfin, juste pour info, la règle “Nemo auditur” ne s’applique qu’au civil, en droit des obligations, et seulement subsidiairement à la règle “In pari causa” - ce n’est pas du tout applicable en droit pénal).

170. Le lundi 10 février 2014 à 05:01 par Marcel

@mauve, 169 : Un détail non-négligeable : Si les pages en question ont été indexées par Google, c’est que quelqu’un, quelque part, par le passé, a fait un lien vers cette page. Google ne devine pas les adresses spontanément. Il y a d’ailleurs à ce sujet des expériences qui ont été menées (par exemple, est-ce que Google suit et crawle une URL dont l’unique occurrence est celle d’emails dans GMail : la réponse est non).

Bluetouff, en professionnel de l’informatique, sait cela, d’où il a toutes les raisons d’en conclure spontanément :
- Qu’il n’est pas le premier à arriver sur cette page.
- Que non-seulement d’autres personnes l’ont visité avant lui, mais qu’au moins une personne en a déjà fait un lien.
- Que la source la plus probable d’un lien situé loin dans l’arborescence du site de l’ANSES… c’est le site de l’ANSES lui-même.

Autrement dit, même s’il n’a pas suivi un beau lien depuis la page d’accueil du site grand-public de l’ANSES, il n’avait pas forcément de raison de penser qu’il utilisait une voie détournée. En général, quand une page est connue de Google, c’est qu’elle est connue tout court et que son URL a été publiée en toutes lettres. Et il est assez peu commun qu’une URL ait été publiée exclusivement de l’extérieur et qu’il n’y ait jamais eu de lien interne depuis le site principal vers cette URL. Honnêtement, quand on trouve une adresse dans Google, c’est pas spontanément le scénario auquel on pense.

J’en profite pour réagir à ce que vous dites à vinc17 : Vous avez parfaitement raison sur la définition que vous faites d’internet. On notera quand-même qu’internet est constitué d’un tas de protocoles qui ont leurs propres usages. Vous relevez d’ailleurs que la justice a retenu l’usage de “a priori, sauf élément contraire, par défaut c’est public”, fort bien.
Là où je vous rejoins moins, c’est quand vous dites que la cour a apprécié que, dans le cas de l’ANSES, et au contraire du cas de Facebook, la règle était “la page login/pass s’appliquait à l’ensemble de l’arborescence et Bluetouff ne pouvait pas ne pas le savoir”. Enfin oui, bien-sûr, c’est effectivement ce qu’a considéré la Cour. Mais je ne partage pas l’avis de la Cour sur ce point. Je trouve que la chose n’est pas prouvée et surtout, très mal argumentée. L’arrêt dit en substance “il est tombé sur une page de login/pass DONC il savait que ces documents étaient protégés.” Pour moi, c’est vraiment condamner sur une simple hypothèse. C’est présenté comme un fait avéré et ne soulevant aucun débat, alors que ça n’a rien de certain.

Et je suis assez convaincu que c’est lié à une compréhension trop approximative des mécanismes de protection des arborescences sur les serveurs web. C’est à dire qu’à mon avis, le raisonnement des juges a été “lorsque la base est protégée, sauf erreur malencontreuse, tout ce qui va plus profondément dans l’arborescence est aussi protégé, si ce n’est plus, et bluetouff, en informaticien, ne peut pas sérieusmeent prétendre ne pas l’avoir su”. Et c’est là qu’il y a erreur.

Pour moi, les juges ont cru, de bonne foi, que la norme était que les protections soient héritées au sein d’une arborescence : les sous-dossiers hériteraient des protections des dossiers de niveau supérieur. Si ça avait été vrai, alors effectivement, Bluetouff, en informaticien, aurait été de totale mauvaise foi en prétendant “ha non mais je savais pas moi” (alors que Madame Michu aurait pu être crédible avec une telle défense).
Seulement voilà : c’est ce que pensent les juges, mais ça n’est pas vrai. Si l’héritage des protections est une pratique effectivement courante, elle est LOIN d’être systématique. Et rien que sur le cas très spécifique des extranets d’établissements, administrations, ministères ou autres organisations publiques françaises, il y a plusieurs contre-exemples. Notamment sur l’extranet du CSA, de la BPI, de la CNSA, de l’école d’architecture de Paris Val de Seine (école publique), ou encore de la région PACA. Les extranets de chacun de ces établissements, qui ont tous, à leur racine, une page d’authentification, disposent tous, un peu plus profond dans leur arborescence, de documents mis volontairement à la libre disposition du public.

Est-ce que la Cour d’Appel avait conscience de cela et a pu en tenir compte pour juger souverainement du fait que Bluetouff savait ou pas que les documents en question “étaient censés” être protégés ? Je n’en suis pas convaincu du tout et à tout le moins, l’arrêt va beaucoup trop vite sur la question pour lever les doutes à ce sujet.

Maintenant, si vous voulez le fond de ma pensée, je pense moi aussi que Bluetouff savait. Mais je pense que concrètement la cour n’avait pas les billes pour l’affirmer avec assez de certitude pour condamner. Parce que concrètement, ça relève du domaine de la simple supposition. Il n’y a aucune certitude en la matière, ou alors, il fallait citer les aveux correspondants dans l’arrêt.

171. Le lundi 10 février 2014 à 08:41 par clems

“169 : Un détail non-négligeable : Si les pages en question ont été indexées par Google, c’est que quelqu’un, quelque part, par le passé, a fait un lien vers cette page”

On pourrait d’ailleurs se demander si cela ne pourrait pas en plus d’une relaxe fonder par la suite des poursuites sur la base de la dénonciation calomnieuse. Comme je l’indiquais plus haut. Pour que google référence une page alors que le moteur de recherche ne peut parcourir des pages (faute de pouvoir s’identifier), il faut au préalable que quelqu’un publie et diffuse publiquement les URL complètes. Et ce quelqu’un ne peut être qu’une personne en connaissant l’existence.

Personnellement, j’aurais interrogé google pour connaitre la provenance de l’indexation des pages. Imaginez que ces liens aient été données par un responsable dans les comptes rendus de rapports publics.

Je vous donne un exemple tout simple. PC impact à publié l’Arret dans le corps d’un article :

Télécharger l’arrêt de la cour d’appel de Paris :
http://www.pcinpact.com/news/85811-…

Le moteur google lit l’article à la recherche d’hyperliens. Il trouve donc le lien ci dessus. Il référence donc le fichier pdf directement dans son moteur de recherche comme suit :

https://www.google.fr/#q=http:%2F%2…
“( 6 Page” de la Cour d’Abp°’ de ““5 - PC INpact
static.pcinpact.com/medias/arret_du_0502144.pdf‎
Il y a 5 jours - données téléchargées puis fixées et enregistrées sur plusieurs supports (média center et disque dur), au préjudice de l’ANSES, infraction …”

172. Le lundi 10 février 2014 à 08:56 par FrancoisCarmignola

@Hulk 58 avec récidive en 105
Argument “typique” d’un point de vue juridique allant à fond dans le mur de l’absurde en serrant les dents.
Ainsi donc, TANT que les algorithmes de Google n’auront pas pris en compte TOUTES les erreurs de configuration des sites que ses robots balayent, Google sera coupable de recel en cas de fuite de documents. Comme la fuite de documents ne se produit QUE quand l’algorithme le permet, TOUTE fuite de document sera à la charge de Google, et cela jusqu’à la fin des temps.

Par conséquent, l’activité même de collecter des documents de cette manière se trouve donc délictueuse, car incapable (ah comme il est délicieusement hystérique, ce qualificatif) d’éviter ses possibles conséquences délictueuses. C’est bien ça ?

D’autant que Hulk s’acharne: en 66 par exemple, il réclame au nom du droit que les algorithmes coupables soient poursuivis. On a beau lui expliquer que ceux ci ne sont pas humains, il n’en a cure et applique à un monde non humain la belle notion d’ intention.

En 105, il assimile Google à un Philip Morris trafiquant de cannabis, sans réaliser que l’exemple s’applique à l’ANSES en fait. (Son inconscient juridique sans doute, parle).

En 156 pour finir, il confirme l’assimilation “juridique” de la visite à un domicile physique à celle d’un site web.

Nous avons donc là l’alliance traditionnelle, “juridique”, d’une loi inadaptée et d’un raisonneur pervers. Son mérite est que sa capacité à aller aux extrêmes du non sens mène inéluctablement à la réforme de la loi, que de telles absurdités rend maintenant inévitable.
Hulk a t il un point de vue sur cette possible (et souhaitable) réforme ?

Personne ne fait la comparaison avec Hadopi, qui exigeait que l’on protège son accès, la poursuite étant faite au nom de l’insuffisance (encore) de protection contre un délit possible.
On remarque ici que l’application des principes se fait dans des sens variés et que à chaque
fois, l’absurde montre son nez.

173. Le lundi 10 février 2014 à 09:16 par dieu

Si en 2014 tu sais pas prononcer “Google” comme il se doit , t’as raté ta vie et tout le reste .
La culture générale ne s’acquiert pas avec un diplôme d’informaticien faut quand-même pas déconner et pourquoi le juge ne s’est il pas un peu penché sur le sujet ? Je suis routier , les règles change souvent, ma conscience professionnelle fait que je me tient au courant de ces changements. Il devrait peu être se rendre compte qu’on a passer la barre des 2000 ans !

174. Le lundi 10 février 2014 à 09:28 par Taz

Sur l’accès à un STAD OK,
Sur le vol de données OK et à mon avis si la contrefaçon est retenue ca va faire mal.

Par contre le maintien dans un STAD, je suis plus dubitatif. En effet, le fait d’arriver sur une page de login et mot de passe ne veut pas dire que tout le site est privé. Prenons l’exemple de votre site, il y a un accès privé et un accès public, comment puis je savoir quelle est votre volonté de laisser admin privé ou au contraire public ?
Dans le cas d’un extranet le chemin est en général incompréhensible et rien ne permet de savoir si on est dans une partie privée ou publique….

autre axe d’ailleurs, le fait que le procureur n’ait pas attaqué l’ANSES pour ne pas avoir protégé ses accès (Hadopi, meme si c’est plutot dans l’autre sens….) n’est ce pas une rupture du traitement d’égalité devant la loi ?

175. Le lundi 10 février 2014 à 09:41 par Hindifarai

Si je vous suis, la condamnation se justifie de par la présence d’une page login/password plus haut dans l’arborescence…
Donc pour la justice les droits d’accès sont forcément récursifs? La loi l’indique ? Parce que les systèmes d’exploitation ne le forcément pas et ça n’est pas une règle obligatoire en science informatique.
J’aimerais comprendre d’où provient cette logique auto proclamée logique.

176. Le lundi 10 février 2014 à 09:44 par plop

L’ANSES est un OIV. D’après Wikipédia, concernant les OIV:

«Fin 2013, sur la base du projet de loi , l’État serait en mesure de:

  • fixer des obligations comme par exemple l’interdiction de connecter certains systèmes critiques à Internet;
  • vérifier le niveau de sécurité des systèmes d’information critiques à travers un système d’audit ;»

Ah, ben oui, bien sur…

177. Le lundi 10 février 2014 à 09:50 par niczar

C’est quand même choquant de voir que les magistrats avalent la propagande des «ayant-droits» (qui sont en fait des privilèges mai passons) à propos du «vol» de «propriété intellectuelle.»

Quant à Bluetouf, ma première réaction a été la surprise: il n’est pas né de la dernière plus, et je m’attendais à ce qu’il sût, comme j’en ai pris conscience il y a près de 15 ans, qu’en matière de «traitement automatisé des données» on ne traite pas les lanceurs d’alertes comme des héros dans ce pays, c’est le moins qu’on puisse dire.

178. Le lundi 10 février 2014 à 09:56 par Hulk

@FrancoisCarmignola 172

Eh oui. De même que tant que mon fils mineur est incapable de contrôler ses pulsions qui le font de temps en temps attaquer les vieilles dames dans la rue, je suis responsable si je le laisse sortir sans surveillance.

179. Le lundi 10 février 2014 à 10:26 par plop

@Hulk euh, oui, mais là on parle d’un organisme d’état, d’importance vitale (c’est son statut) avec un service informatique que l’on peut supposer compétant (en fait c’est même désormais imposé par la loi si j’en crois Wikipédia); pas du premier quidam venu. Il me semble donc légitime, d’autant plus en connaissant l’existence d’une zone à accès restreint (puisque page d’authentification), que si l’accès aux documents est possible, c’est qu’il est autorisé. Pas de mauvais esprit là-dedans

180. Le lundi 10 février 2014 à 10:27 par Eldrad

Si votre attaque par force brute a provoqué un DDoS
Soyons précis, il s’agirait ici d’un DoS, et non un DDoS

181. Le lundi 10 février 2014 à 10:30 par plop

@Eldrad 180
l’attaque en force brute peut très bien être distribuée… c’est même plutôt ce qui se fait si on veut éviter d’être trop vite black-listé

182. Le lundi 10 février 2014 à 10:48 par plop

en 179, j’entend bien sur autorisé volontairement, pas par erreur. Dans les faits, l’accès était autorisé, faute de quoi il n’aurait pas eu lieu. Le débat portant sur le statut de cette publicité (volontaire ou par erreur) et sur la conscience que pouvait en avoir bluetouff, ceci pour caractériser le maintient frauduleux.

183. Le lundi 10 février 2014 à 10:59 par banane

@ Archicham :
je rentre chez vous alors que vous êtes en train de déjeuner en famille, peinard, et vous n’avez aucun droit de me chasser sous prétexte que vous avez laissé la porte ouverte ? En fait, si je vous suis, seule la Police a besoin d’une autorisation…
@ OlivierJ : si c’est la première fois que vous voyez des gens s’inquiéter du Google hacking je vous suggère de taper l’expression dans… Google ;-)
Et contrairement à ce que vous semblez penser, des tas d’url sont utilisées pour permettre l’accès, via internet, à des informations privées : intranets, nas perso, webcams, équipements réseaux, sites de partage de fichiers (genre dropbox) etc. Google n’exploite pas de faille de sécurité à proprement parler, mais il rend possible l’accès à des tas de données privées non sécurisées (et les garde en cache même après correction de votre part).
Note : pour ceux qui pensent que Google informe correctement ses utilisateurs, n’avez-vous rien remarqué sur sa page d’accueil ce week-end ?

184. Le lundi 10 février 2014 à 11:04 par Khalev

@tortuga #131 : “Pire, sur son site web (donné en lien dans l’article d’Eolas), l’inculpé dit qu’il a voulu publier les données. S’il a voulu les publier, c’est bien qu’il pensait qu’elles n’étaient pas déjà publiques (sinon ça n’a pas de sens).”
PcInpact a bien publié l’arrêt en question en l’hébergeant sur son site Web (donné aussi en lien dans l’article d’Eolas). Ça ne veut pas dire pour autant qu’ils pensent que l’arrêt n’est pas publique juste qu’il veulent épargner les serveurs sources d’une surcharge de travail.

185. Le lundi 10 février 2014 à 11:13 par Archicham

@Hulk
Je vous renvois votre demande en sens inverse : trouvez-moi la loi qui dit qu’Internet est un espace privé par défaut…
En droit français, même une centrale nucléaire est un domicile (c’est le seul moyen de condamner les militants de Greenpeace qui vont y faire un tour), alors le bureau d’un prêtre est bien évidemment considéré comme domicile. D’ailleurs, si vous aviez lu l’arrêt dont je donne le lien, vous auriez vu :
le bureau d’un curé de paroisse, installé dans le presbytère qui y est attaché, est, eu égard à son affectation réservée à l’activité personnelle de son occupant, un lieu justiciable d’une pleine et totale protection domiciliaire
Le point crucial, c’est que l’introduction au domicile d’autrui ne suffit pas à caractériser la violation de domicile, il faut une introduction frauduleuse. Si vous laissez une porte ouverte, il n’y a pas de fraude. Donc pas de délit.
Je vous laisse chercher sur légifrance, après tout vous n’avez que 180 ans de jurisprudence remarquablement constante sur ce thème…

@OlivierJ : Je reprends la comparaison du domicile parce qu’elle a déjà été utilisée, et que la loi applicable aux STAD est directement issue de là. A ma connaissance, elle avait été prise après une affaire de piratage de Minitel et une tentative de condamnation pour “vol d’électricité”. Après, je suis d’accord qu’Internet ne peut pas être assimilé à un domicile, c’est pour ça que je parle d’espace public et de paravents…

@Mauve Je n’ai jamais prétendu qu’un site Internet n’était pas un STAD ou devait être traité de manière spécifique. Mais vous écrivez :
il ressort du texte que le STAD a un maître, qui décide des conditions dans lesquelles il peut être utilisé, et que violer ces conditions est une infraction réprimée.
Et c’est justement tout le point en discussion. Il se trouve que le maître du site Internet de l’ANSES a décidé de laisser les documents accessibles. C’était une erreur, il ne s’en est pas rendu compte avant que Bluetouff ne publie des articles, mais c’est bel et bien ce qui s’est passé.
Ce que vous disent tous les informaticiens, c’est que la présence d’une identification en haut de l’arborescence d’un site ne signifie absolument pas que l’ensemble du site veuille être protégé. D’où il ressort que, même en ayant connaissance de cette identification, Bluetouff, qui n’a commis aucune fraude, ne pouvait pas savoir que l’ensemble du site aurait dû être protégé.

186. Le lundi 10 février 2014 à 11:19 par plop

@banane si vous tenez à l’analogie de la maison qui est pourtant foncièrement fausse, il n’est pas entré par une porte ouverte. Il a sonné, le vigile a ouvert et l’a laissé entrer. Et on lui reproche de ne pas avoir su que le proprio ne voulait pas qu’il entre…

187. Le lundi 10 février 2014 à 11:28 par Arns

Extrait des mentions légales du site www.anses.fr:

“Les informations et les données présentes sur le site Internet de l’Anses www.anses.fr sont mises à disposition du public. “

188. Le lundi 10 février 2014 à 11:28 par plop

Ou plus exactement on lui reproche de ne pas être sorti immédiatement car la présence du vigile qui lui a pourtant ouvert impliquerait que le proprio ne voulait en fait pas qu’il entre

189. Le lundi 10 février 2014 à 11:49 par calimero

Bonjour,
J’ai réalisé, à mon domicile, que les correspondances du directeur des ressources humaines se trouvait sur le disque dur que m’a prêté un collègue de l’informatique.
J’ai fait l’erreur faire une recherche et de découvrir une stratégie de harcèlement à mon encontre et je m’en suis plaint.
Je suis poursuivi pour avoir frauduleusement accéder à ces correspondances en accédant à ce disque qui m’a été prêté, après enquête de PJ.
Sur la base de l’article L.226-15 pour avoir frauduleusement pris connaissance de ces échanges.
Quequ’un sait me dire ce qu’il y a de frauduleux dans ce que j’ai décrit?
Merci..
X.

190. Le lundi 10 février 2014 à 11:58 par JMB

@flop, non, c’est le fait que le vigile l’a empêché d’entrer dans certaines pièces qui aurait du lui faire savoir que les autres étaient aussi interdites.

191. Le lundi 10 février 2014 à 12:06 par plop

@JMB 190
Le vigile (système d’autentification) ne lui a apriori interdit l’accès nulle part. Et quand bien même, ceci ne remet pas en question l’authorisation donnée pour le reste. Pour poursuivre l’analogie, le vigile à l’entrée le laisse passer, un autre lui interdit de rentrer dans le bureau du parton, donc il doit en déduire que tout est interdit ? Quid du mec de l’entrée alors? Ah mais oui, vu qu’il est du domaine, il aurait du déduire que celui-ci avait été mal briefé ? Seulement parceque l’accès à certaines zone est interdit? Sans aucun mauvais esprit ? Soyons sérieux deux minutes…

192. Le lundi 10 février 2014 à 12:15 par calimero

Le problème avec ce genre de décision que, j’estime navrante, est qu’il va induire la généralisation de l’utilisation des outils de navigation anonyme comme tor et onion-pi, le risque de prendre connaissance d’un document non autorisé devenant trop important.

193. Le lundi 10 février 2014 à 12:21 par Anterak

@calimero
Vous saviez que ces échanges ne vous étiez pas destinés.
C’est comme découvrir une lettre qui ne vous est pas destinée dans votre boite aux lettre, et l’ouvrir.

194. Le lundi 10 février 2014 à 12:27 par calimero

@anterak : le problème est que la lettre a déjà été lue par son destinataire (pas d’interception de correspondance dans ce cas) et qu’on m’en laisse une copie à mon domicile..

195. Le lundi 10 février 2014 à 12:36 par mauve

@Calimero : les correspondances ont un statut spécifique en droit pénal (art. 226-15) ; “Le fait, commis de mauvaise foi, d’ouvrir, des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 euros d’amende.”

À partir du moment où vous savez que vous n’êtes pas destinataire, même si la remise desdites correspondance vous a été faite par erreur, vous n’êtes plus de bonne foi en en prenant connaissance.

196. Le lundi 10 février 2014 à 12:37 par OlivierJ

@banane (#183) : non je ne connaissais pas l’expression, sans doute parce que pour moi un moteur de recherche ne peut pas faire de “hacking” (au sens intrusion) vu qu’il se contente de demander à un serveur web de lui envoyer des pages. C’est la faute du serveur (de son administrateur en fait) si une page censée être privée est renvoyée à un inconnu.

Je ne comprends pas votre “contrairement à ce que vous semblez penser, des tas d’url sont utilisées pour permettre l’accès, via internet, à des informations privées”. J’ai justement écrit qu’un site peut avoir une partie soumise à autorisation. J’en ai même géré. Et je n’ai jamais craint une indexation de la partie privée.

Quant à l’information que fait Google (je ne vois pas le rapport avec la CNIL dans notre histoire), il y a par exemple (et depuis le début) ce genre de page https://support.google.com/webmaste… concernant le fichier “robots.txt”. Il est même précisé dès le premier paragraphe quelque chose qui me semble évident : “Toutefois, un fichier robots.txt n’est pas incontournable et certains spammeurs (ou d’autres utilisateurs mal intentionnés) peuvent l’ignorer. C’est pourquoi nous vous conseillons de protéger vos données confidentielles par un mot de passe.”

197. Le lundi 10 février 2014 à 12:49 par PMB

Ah le Bluetouff. Il est pour la liberté de tout faire, tout dire, tout savoir.

Sauf quand vous allez sur son blogue le contredire, arguments à l’appui. Vous avez beau le faire en vous essuyant les pieds avant d’entrer et en tenant poliment votre casquette à la main, si vous insistez dans la contradiction en mettant le doigt sur ses propres contradictions, hop, vos commentaires sont trappés.

Faites ce que je dis, pas ce que je fais : adage qui remonte au moins au déluge.

PS. Dépourvu de toute forme de paranoïa et vivant dans un pays calme, je laisse ouverte ma maison comme une vulgaire ANSES jour et nuit sauf si je pars pour plus d’un jour. Si je suis volé, mon assureur excipera de ce fait et je n’aurai plus que mes yeux pour pleurer.

Mais mon voleur restera un voleur, et sera condamné pour ça si par un hasard digne du Loto la police le retrouve.

198. Le lundi 10 février 2014 à 13:14 par Dalton

La cour distingue-t-elle l’indexation systématique et la mise à disposition du monde entier via ses propres caches de celui qui télécharge directement à la source ?

La défense a-t-elle fait valoir qu’à partir du moment où Google est passé par là sans les restrictions d’usage contenus dans un fichier robot.txt visiblement absent, alors l’intégralité du contenu est dupliqué sur des caches accessibles sans même rentrer dans le site “violé” ?

Bluetouff ne peut donc être valablement reconnu coupable pour avoir récupéré un contenu qu’il savait, compte tenu de son niveau de compétence, forcément disponible à tous via les caches de Google (et d’autres d’ailleurs). Il serait très facile de le prouver en simulant une situation identique et le fait qu’il reconnaisse avoir sciemment téléchargé les dits documents ne peut être assimilé à une violation du système telle que la loi le considère.

En conclusion : “Il ne peut y avoir violation d’un système si le contenu de celui-ci a été, de manière certaine, mise à la disposition du public du fait d’une anomalie dans la programmation ou dans l’organisation du site.”

199. Le lundi 10 février 2014 à 13:21 par Vulgum Techus

Sur les nombreuses analogies qu’on lit dans les commentaires et tous azimut, rappelons qu’un système informatique n’est pas un champs, un appartement, une personne ou un porte-monnaie plus ou moins ouvert !

Les interactions entre une base de données et le monde extérieur sont nombreuses et ce qui importe n’est pas où les informations ont été prise mais la preuve de leur confidentialité. Cela ne peut être prouvé par la simple mention “confidentiel”.

Il suffit d’une simple recherche du type : confidentiel pdf sur Google pour s’en rendre compte.

Un document est duplicable. Rien ne l’est dans les éléments physiques cités plus haut.

En conclusion : Si un moteur de recherche a accès a une zone dite “réservée” alors de facto elle ne l’est plus parce que son contenu devient, immédiatement visible par tous, sans restriction, et fait perdre à la dite zone réservée son caractère privée et cela doit primer sur la notion de violation condamnée ici.

200. Le lundi 10 février 2014 à 13:28 par RG

Quand je vous dis que le droit au silence en garde à vue, ce n’est pas un gadget.

A l’évidence, et cela eût évité “qu’à ces mots on cria haro sur le baudet.”

Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires….

Patatras, fatalitas mais surtout abracadabra, une illusion de preuve va apparaître sous nos yeux.

….. en remontant jusqu’à la page d’accueil……

Cela ne veut rien dire, ou plutôt il y a une grosse confusion. On peut remonter jusqu’à la page d’accueil d’un site web, c’est alors la page principale, mais cela n’a rien à voir avec l’arborescence du serveur (et sa racine) qui l’héberge, constitué de répertoires pour lesquels les droits d’accès sont attribués spécifiquement et individuellement.

….. où il a constaté la présence d’une authentification par login / mot de passe.

Encore heureux, c’est pratiquement toujours comme ça. Cela prouve que des droits d’accès ont spécifiquement été attribués au répertoire qui a été consulté, et seulement celui là, et que Bluetouth n’ayant tapé aucun mot de passe s’est bien promené dans le ou les répertoires dûment autorisés et en aucun cas dans les autres.

Le délit est donc prouvé….,

Ebénon, pas grand chose n’a été dit et absolument rien n’a été prouvé.

Car enfin, sur le plan technique ce genre de situation n’est pas nouvelle en droit. Elle est comparable à celle d’employés ayant mal configuré les paramètres de confidentialité Facebook et qui croyant converser en privé dénigrement publiquement leur entreprise, le privé est devenu public.

Et si l’employeur poursuit:

- Personne ne va lui reprocher de profiter d’une “faille de sécurité dans les paramètres du serveur Facebook”.
- Personne ne va contester le caractère devenu public de données qui étaient censées être restées privées.
- Personne ne va contester le fait que l’employeur (ou quiconque) a le droit de procéder au téléchargement de l’ensemble de ces informations publiques, ou d’en dresser constat.
- Personne ne va reprocher l’employeur (ou quiconque) qu’en se maintenant sur cette page publique il avait conscience du fait qu’elles auraient dû garder leur caractère privé et personne ne va accuser l’employeur (ou quiconque) de maintien frauduleux.

Et si donc l’employeur poursuit l’employeur gagnera car tous les arguments technico-juridiques retenus dans le présent arrêt seront rejetés.

201. Le lundi 10 février 2014 à 13:53 par Anterak

Victoire par TKO !

202. Le lundi 10 février 2014 à 14:59 par DarkPara

Le problème ici, on le voit bien, d’analogie en analogie, c’est la très grande non-connaissance, pas sur le plan technique, ni même purement juridique, mais sur le plan de l’essence, de ce qu’est internet.

Déjà, à tout ceux qui opposent le “technique” et le “juridique” : désolé de vous le dire, mais dès lors qu’on parle de “public” et de “privé”, on est dans le juridique pur. Parce que l’appropriation d’un espace ou d’un objet, quel qu’il soit, n’a de sens QUE juridique : aucun état de fait ne peut déterminer que le lieu de que habitez est votre propriété, sinon un document juridique - c’est un contrat entre vous et la collectivité. Certains anarchistes n’hésitent d’ailleurs pas à nier, sur le plan éthique, le principe même de propriété, en tant que fiction…

Internet, donc, c’est quoi ? C’est une technologie permettant la connexion entre deux serveurs informatiques, basée sur des droits d’accès. Si on parle d’un “espace” virtuel, ou de “domaines”, c’est par pure métaphore : le propriétaire des serveurs n’est pas nécessairement le “propriétaire” des contenus (cf. stockage en “nuage”), et les contenus rendus accessibles sur un serveur d’accès public, à moins d’être protégés, ne sont pas entreposés dans un lieu privé.
Si on dépose un bagage dans une consigne à la piscine mais qu’on ne ferme pas la porte, on ne peut pas accuser de vol l’employé qui est passé et a envoyé le bagage aux objets trouvés (voire l’a signalé pour destruction, plan vigipirate oblige) !

Pas même - et c’est là que la comparaison entre internet comme “espace” virtuel et entre un lieu géographique réel cesse - lorsque le propriétaire du contenu est aussi administrateur du domaine d’accès, et toujours pas plus s’il est propriétaire du serveur.

Même en admettant la métaphore, et en parlant d’Internet comme d’un “espace”, le droit de “propriété” ne s’applique pas comme à du foncier : ce n’est pas parce que je suis administrateur d’un domaine que c’est “chez moi” : j’y ai les droits d’administration et de gestion, d’écriture des données, d’usufruit des éventuels profits (par la publicité par exemple), et j’ai même le droit d’en sécuriser l’accès - mais si je ne prends pas l’initiative de construire cette sécurisation, alors, par fonctionnement et par défaut, c’est public.
Ceux qui comparent un site à un domicile se trompent dans la mesure où une maison, avec ses murs et ses portes, c’est un espace aménagé, justement, comme d’accès manifestement restreint. La comparaison serait plus juste avec une concession forestière par exemple : j’achète une parcelle de forêt, c’est à moi, j’ai le droit de porter plainte contre celui qui y coupe un arbre, mais, à moins d’y implanter un grillage ou un panneau “propriété privée”, pas de porter plainte contre le randonneur qui traverse en flânant et qui regarde (sans les cueillir) les fleurs.

203. Le lundi 10 février 2014 à 15:02 par thoraxou

Pour info, nous sommes tous ici sauf Eolas sur un STAD protégé par login et mot de passe sur la page d’admin sans y avoir été explicitement autorisé, la seule lecture de ce commentaire prouve un maintient prolongé sur la page. Sommes nous donc tous coupable ?
- d’une introduction frauduleuse ?
- d’un maintient frauduleux ?

Non évidement et à moins de faire dans la divination, le fait de cliquer sur un lien Google ou autre n’est pas commettre un délit.

Il faut pour constituer un délit
- forcer la page d’admin via des scripts utilisant des combinaisons login/mdp
- obtenir des login/mdp frauduleusement
- harceler le serveur pour le faire tomber
….

204. Le lundi 10 février 2014 à 15:13 par Holmes

@ RG (200) (“Patatras, fatalitas mais surtout abracadabra, une illusion de preuve va apparaître sous nos yeux.”)

La clé de la réserve et l’homme qui en savait trop :

“Sacré pouvoir : un particulier se filme en train d’ouvrir un cadenas Kryptonite avec un stylo.” (source wikipédia par l’auteur lui-même)

205. Le lundi 10 février 2014 à 15:16 par Fred

@Samuel
J’ai eu le même réflexe que vous en lisant la phrase sur le droit au silence; mais à la réflexion je l’ai trouvée juste dans le contexte, en tout cas vu de l’accusé (à la place duquel nous pouvons tous nous retrouver un jour).

Dans le cas qui nous occupe, le seul moyen pour l’accusation de prouver la culpabilité de maintien frauduleux dans un STAD était de démontrer que Bluetouff était conscient du fait qu’il était sur un site disposant d’une protection (dont on a vu qu’elle était défaillante). Et ceci était impossible de manière irréfutable à moins de disposer d’un appareil à lire les pensées. La seule personne pouvant l’affirmer était l’accusé lui-même en avouant qu’il avait conscience de ce fait.
Le point à retenir est donc “si vous êtes accusé de quelque chose, même si vous êtes convaincu d’être innocent, ne dites rien car vous pourriez être dans une situation où vous seriez le seul qui puisse démontrer votre culpabilité”.

Maintenant je vous rejoins sur un fait je pense. Supposons que Bluetouff n’ai rien dit en garde à vue, mais ait tout gardé pour son avocat. Celui-ci aurait alors constaté la culpabilité de son client et conclu que seul des aveux auraient pu le faire condamner puisque l’accusation de maintien frauduleux n’aurait pas pu être prouvée par l’accusation. Bon, je pense que ce cas de figure où l’avocat se retrouve dans le dilemme où il est le seul à être conscient de la culpabilité de son client n’est pas non plus légion (j’ai bien lu les billets d’Eolas sur le pénaliste qui “défend les coupables” ;-).
Certes ici on parle d’un délit relativement mineur, pas d’un crime contre l’humanité…

206. Le lundi 10 février 2014 à 15:40 par Passares

Les problèmes de la méconnaissance par le législateur ou le juge des sciences de l’information ou de la discrimination entre monde réel et monde virtuel n’est pas nouvelle. Je ne sais si elles sont volontaires mais elles conduisent de plus en plus fréquemment à une réduction des libertés du citoyen. Quelques exemples :

La loi dite HADOPI pour faire court, prévoyait que le titulaire d’un abonement à un service d’accès à internet pouvait être condamné pour ne pas avoir pris la précaution de sécuriser suffisamment son accès en particulier en intervenant sur sa box. L’HADOPI (l’agence) devait toujours selon cette loi proposer au consommateur, ce qu’elle n’a jamais fait, des solutions de sécurisation. Nos braves députés et sénateurs ne se sont jamais aperçus durant les débats que les box restant, en général, la propriété des FAI, l’hypothétique sécurisation par l’introduction d’un logiciel de protection aurait été constitutive de l’intrusion et du maintien dans un STAD.

La dernière loi de programmation militaire, passée sans coup férir permet sous divers motifs extrêmement généraux à l’exécutif de se passer de l’autorisation d’un magistrat pour prendre connaissance des mails envoyés sur le net et des communications que nous échangeons sur nos mobiles. Pas grand monde ne s’est formalisé des ces nouvelles intrusions non contrôlées. Qu’en aurait-il été (alors que cela est strictement la même chose) si l’on avait autorisé l’exécutif à ouvrir, sur les mêmes motifs, les courriers transitant par la poste et à enregistrer les adresses des expéditeurs et destinataires ? Même chose pour les communications téléphoniques traitées différemment selon qu’elles passent par fixe ou portable…il est d’ailleurs étonnant que les barreaux gardiens vigilants (avec raison) de la confidentialité des cabinets n’aient pas jugé bon de s’en émouvoir alors que désormais la majorité des échanges avec clients et confrères s’effectuent par mails et portables. Là encore l’absence d’émoi ne vient que du traitement différentié entre monde virtuel et monde réel.

207. Le lundi 10 février 2014 à 16:05 par Anterak

Juste une petite chose qui m’a fait tiquer :
Vous dites :
“C’est regrettable bien sûr car ce genre de détail, qui peut faire sourire, sape l’autorité morale qui doit s’attacher à une décision de justice.”

Mais dans les fameux “détails”, il y avait aussi cette saillie “truculente” :
« Vous ne vous souciez pas de savoir si vous alliez tuer toute la planète ? »

Etre pédagogue, c’est certainement important, mais s’il faut partir de zéro, voir de moins un, ça devient compliqué.

208. Le lundi 10 février 2014 à 16:34 par Freddy

La métaphore (de la porte fermée à clef sans murs annexes pour cloisonner l’espace) est curieuse pour justifier que l’auteur savait qu’il se maintenait frauduleusement sur le site en ayant vu sur la page d’accueil un espace nécessitant authentification et mot de passe. Imaginiez un site qui souhaite mettre gratuitement à disposition du public 20% de ses documents. En revanche 80 % sont censés rester confidentiels et accessibles uniquement aux membres du site. Il y aura un espace d’authentification et mot de passe (permettant d’accéder au 80% des documents). En revanche n’importe qui pourra et aura droit d’accéder aux 20% restants.

209. Le lundi 10 février 2014 à 16:56 par juju

http://bluetouff.com/2014/02/10/du-…

Les détails apportés par bluetouff contredisent bel et bien l’analyse de maitre eolas. Techniquement, il est en effet évident qu’une simple page d’authentification n’implique pas forcément que l’ensemble de l’arborescence du site soit privée. C’est dommage qu’un “blogueur influent” comme maitre eolas, qui devrait quand même mieux maîtriser la technologie qu’un juge ne sachant pas prononcer “login”, se permette de propager un avis juridique basé sur cette hypothèse totalement erroné.

210. Le lundi 10 février 2014 à 18:08 par EvivBulgroz

En fait, ce qui me “gêne” toujours dans tout ceci… c’est la distance pour le même mot entre, 1-) le concept ou l’idée qu’il véhicule pour le commun des mortels, 2-) les mêmes notions dans le “dialecte juridique”…

Pour moi, il est évident qu’il n’y a rien de “frauduleux” concernant l’accès au famous STAD ni le maintien in situ, mais un tribunal peut exactement voir de ses yeux le contraire de ce que je constate… perturbant…

OK, il y a des hommes de lois pour faire la traduction français (“normal”) <-> français (“juridique”), mais tout de même…

Ce que je retiens personnellement, et définitivement cette fois, Oui Maître, vous avez raison, le silence en garde à vue…. le silence…

Bluetouff a fort certainement oublié votre précieux conseil, certain de sa bonne fois et voulant par l’honnêteté qu’on lui connait collaborer avec les forces d’investigation qu’il n’a pas pris pour “la partie adverse” !

(MODE TROLL ON ^^) Pourtant à lire toute la prose de Simone et de ses “amis”, tout le monde sait bien que les personnes qui sont en face de vous lors des gardes à vus sont toujours animées profondément du seul et unique désir irrépressible de faire baisser le nombre de poursuites et de condamnation en France ! (MODE TROLL OFF^^)

Silence…. On tourne ! Et ne jamais oublier dans la garde à vue que c’est nous, le prévenu, la vraie star…

211. Le lundi 10 février 2014 à 18:49 par RG

@209 juju

La clarification de Bluetouff est tout à fait convaincante. Moralité, en GAV il faut sinon se taire du moins vérifier soigneusement la transcription de ses déclarations.

@210 EvivBulgroz

Pour moi, il est évident qu’il n’y a rien de “frauduleux” concernant l’accès au famous STAD ni le maintien in situ, mais un tribunal peut exactement voir de ses yeux le contraire de ce que je constate… perturbant…

Mais il y a une jurisprudence claire et établie depuis plus de dix ans, et par qui ? par la cour d’appel de Paris.

De par cette jurisprudence tout internaute sait qu’il peut (pouvait ?) légalement accéder puis se maintenir dans les portions de sites rendues publiques alors qu’elles devaient rester inaccessibles.

En conséquence comment Bluetouff pouvait-il sérieusement avouer être coupable d’un accès et/ou d’un maintien qu’il savait légaux ?

212. Le lundi 10 février 2014 à 19:14 par Fox Mulder

Décidément cette décision est hautement critiquable à plusieurs niveaux et pour l’ensemble des intervenants.
Le Ministère public en premier lieu qui décide de faire appel, considérant donc que l’infraction est constituée. Mais dans ce cas il devait poursuivre GOUGLEU pour complicité par instructions. En effet fournir à un prévenu des renseignements suffisamment précis sans lesquels il n’aurait pu commettre son infraction (Ce qui est la caractéristique des liens fournis par le moteur de recherche) est une complicité passible des mêmes peines que l’auteur du délit. Pourquoi le Ministère Public n’a pas poursuivi GOUGLEU? Et qu’il ne prétende pas que se faisant, GOUGLEU n’avait pas l’intention de faciliter la commission d’un délit, puisque c’est l’essence même de la fourniture de lien permettant de contourner une interdiction d’accès. Ou alors, si GOUGLEU n’à pas eu conscience de fournir là un moyen de commettre une infraction, l’auteur lui même de l’infraction ne peut en avoir eu conscience non plus. C’est tout ou rien. Faites donc rentrer l’accusé GOUGLEU.
Les juges de la Cour d’appel ensuite qui déduisent un peu vite que le fait d’avoir vu un verrou sur une porte d’entrée implique la conscience que tout accès est interdit alors que une foultitude d’autres portes étaient ouvertes, et que la seule conclusion qu’on peut tirer de ça, logorrhée verbale de garde à vue ou pas, c’est que l’accès était interdit par cette porte, et cette porte seulement, point barre.
Et le vol étant la soustraction frauduleuse de la chose d’autrui, celà implique une dépossession absente en l’espèce, et une fraude, qui n’est pas constituée si l’on admet que rien ne permettait de penser que cet accès était frauduleux.
Donc non seulement le Tribunal n’était pas constitué d’ingénieurs informaticiens, mais on peut se demander s’il y avait un juriste dans la salle….

213. Le lundi 10 février 2014 à 20:41 par Xavier

Oui la précision de Bluetouff est utile, mais elle ne réponds pas pour autant aux (graves!) questions ouvertes par ce jugement, à moins de considérer que la justice rendue … s’est trompée, strictement.

Si je reste reconnaissant envers @Eolas, je trouve son billet de plus en plus incomplet. Il suffit de lire ce fil de commentaires pour le comprendre!

(@Eolas: il serait utile que vous corrigiez votre erreur, cf. l’ANSES ne s’est jamais portée partie civile, pas même en première instance, et que vous pointiez vers la réponse de Bluetouff que juju vient de lier )

Et puis Ah! elle a bon dos, la « dématérialisation » ! Faut-il le rappeler? Les STAD, comme les algorithmes des moteurs de recherche, sont faits de programmes informatiques conçus, écrits, exécutés et gérés par des humains. Ils engagent la responsabilité de leurs auteurs. Ayant conçu de nombreux programmes informatiques, j’ai toujours considéré être personnellement responsable du code que j’ai livré, jusqu’à en être déchargé explicitement lors de son acceptation par autrui (transfert de responsabilité).

J’ai lu tous les commentaires avec patience, j’ai essayé de participer à dissiper tout malentendu technique ci-avant, fut-il le mien, pour demander à mon tour, gentiment, un éclairage légal devant mes yeux de néophyte (je suis technicien, aucunement juriste). Mais ce fil tourne résolument en rond, si je résume, autour de l’absence d’une réponse juridique “compréhensible” par tous, aux deux mêmes questions, fondamentales il me semble, que j’ai posées hier à @mauve ici.

Si j’ai choisi d’expliquer, en détail, les interactions entre les STAD respectifs (je ne résiste pas) de Bluetouff et l’ANSES, en les transposant aux courriers postaux, c’est que la seule différence consiste en le fait que ces procédures, suivies par l’usager et le secrétariat que je décris, ont pu être définies et dématérialisées jusqu’à les remplacer dans leur ensemble par des STAD (c’est à dire, strictement ici, un client et un service web, qui parlent ensemble le protocole HTTP). Mais dans le cas qui nous intéresse, rien d’autre ne diffère : ni la séquence des échanges, ni leur contenus.

Par le passé d’aucun ont abusé, ou reçu par erreur de secrétariat (publics ou privés, automatisés ou non) toutes sortes de documents. Parfois en ayant demandé tout autre chose, voire sans avoir rien demandé du tout. Lorsqu’il s’agit d’abus, ils ne sont possibles que du fait de la faiblesse desdites procédures, y compris lorsqu’elles sont humaines.

Par exemples: si quiconque obtenait mon certificat de naissance en usurpant mon identité, il s’agirait fort heureusement, je l’espère, d’un délit ? Si je découvre, en Mairie, disponible en libre-consultation, une liste de mes concitoyens inscrits sur les listes électorales, accompagnée de leurs coordonnées complètes et d’autres informations personnelles, serait-ce à moi de savoir si cette liste est légale, et si je commets un délit en la consultant ? Nul n’est censé ignorer la Loi, mais ne puis-je donc pas me fier au secrétariat qui m’offre des informations, a fortiori le secrétariat public d’une agence publique, pour m’offrir des informations publiques sans que je risque la moindre poursuite en les consultant?

À partir de là, j’aimerais comprendre une bonne fois pour toute en quoi, aux yeux du Droit, cette seule différence (secrétariat version STAD ou sans intermédiaire technique) et malgré la parfaite similitude des échanges (requête par courrier postal ou HTTP, la mécanique est exactement la même, relisez ceci si vous en doutez encore?) semblerait permettre à la victime désignée, ou au Parquet, de renverser la charge de la preuve (?) ou au minimum, à la Cour de juger de la responsabilité qui pèse sur le simple Usager du secrétariat/STAD, au point de faire peser sur le premier la responsabilité des actions du second ?!

Et ce, peu importe sa profession!

En effet certains, dont la Cour, et les nombreux donneurs de leçons, se complaisent dans un magnifique paradoxe. Bluetouff est un technicien reconnu et si chevronné :

  • qu’ils lui refusent toute circonstance atténuante en cas de culpabilité, notamment…
  • tout en professant des évidences, que les techniciens chevronnés (dont Buetouff évidemment) ne peuvent que décrire comme infondées…
  • avant de se dédouaner de toute nécessité de comprendre les aspects techniques, au motifs que c’est du droit !

Ah ? Justement! Si Bluetouff est si chevronné qu’on le raconte à toutes ces fins (et personnellement, je n’en doute pas une seconde), alors, ne faut-il pas aussi accepter de suivre le raisonnement jusqu’au bout, ce qui ne nécessiterait pourtant, je pense, aucun bagage technique particulier ?

Pour en finir avec la polémique Être ou ne pas être un Robot, figurez-vous que Bluetouff aura surement eu bien autre chose à faire que de demander à un STAD, un par un, une liste de documents totalisant 8 Go de données. Au lieu de cela, il aura surement automatisé lui aussi, en aspirant le répertoire, tout comme Google avant lui ! Mais de mon point de vue, peu importe : l’auteur d’un processus automatique porte la responsabilité de ses actions ou travers potentiels et là n’est donc pas la question.

Reste que cela ouvre une grande incertitude. Moi aussi “j’aspire” parfois, suis-je un criminel en puissance ? Quelle loi m’interdirait de le faire ? Faudra-t-il bientôt délivrer une “autorisation spécifique d’aspiration de contenus”, dont l’usage serait réservé et exclusif à telle ou telle entreprise habilitée, au motif que cette aspiration devrait être interrompue en temps réel, si par malheur, à la vue de ce qu’il aspire, l’Usager venait à douter de son droit d’accès — et sauf dérogation ?

Ensuite, il semble utile de le rappeler: La vraie connaissance est de connaître l’étendue de son ignorance. Cet adage est tout aussi (surtout, même !) valable en informatique. Bluetouff saurait donc, mieux que nul autre, qu’à défaut de pénétrer un STAD pour l’observer de l’intérieur, bien prétentieux serait celui qui oserait conclure de sa structure interne, réelle, ou des permissions qui y sont à l’œuvre.

Oui, c’est exactement au contraire de ce que la justice a osé conclure (ainsi que des commentateurs ici-même). Par ‘pénétrer un STAD ici, on entendra, au stricte minimum, pouvoir lire les fichiers journaux générés par le service web, derrière le comptoir. Journaux qui ne seront suffisants pour conclure quoi que ce soit, du reste, que si et seulement si le système en question fut à ce point rudimentaire, que le service web s’occupât seul des permissions…

Oui, les réponses fournies par un service web, aussi rudimentaire puisse-t-il apparaitre, peuvent être le résultat de nombreux processus exécutés sous le capôt, pour n’en citer que quelques uns: bases de données/CMS, points de montages, liens symboliques, masques, reconnaissance de l’adresse IP du demandeur, etc. ou exécution de tout autre mécanisme d’identification, parfois même invisible à l’œil de l’Usager (global, transversal) sur les sites concernés. Avez-vous jamais entendu parler de certificats SSL installés dans le navigateur de l’internaute ? D’un intranet et d’un extranet qui ne font qu’un, mais se comportent différemment, selon le réseau (interne ou externe) depuis lequel on s’y connecte? Qu’ils soient recommendables ou non, tous ces usages existent.

Si vous n’aviez rien compris au point précédent, trop technique, posez la question à un Expert : le tout peut être totalement transparent pour l’utilisateur, et dynamique selon l’authentification en cours. C’est même, typiquement, l’un des intérêts principaux d’une interface web, quand elle ne constitue pas un STAD à elle toute seule (ce que l’on ne peut pas non plus conclure sans lui ouvrir un peu les entrailles). Ce pourquoi, résolument non : il est indéniable que la présence d’une page d’authentification (et peu importe son URL) permettre de présumer d’une défaillance de permissions, pour un contenu qui nous est présenté sur un site.

Et puis, est-ce à nous de “juger” de l’intention de communiquer d’autrui ? Personne n’a-t-il entendu parler des initiatives de transparence des administrations publiques (OpenData), par exemple ? Est-ce choquant de trouver des documents non encore officiellement publiés (c.a.d. accompagnés d’un communiqué de presse, par exemple, ou liés depuis un article affiché sur un portail), ou au contraire, dépubliés sur le portail pour des motifs futiles (par exemple, un relookage du site qui y aura rendu “incompatible” l’affichage des contenus plus vieux…) mais laissés à disposition du public pour ne pas risquer de l’en priver, ni casser les liens hypertextes des autres sites ? (et c’est mauvais pour le SEO, vous savez ?).

Il y a ainsi des montagnes de contenus, sur de très nombreux sites, toujours accessibles en ligne mais sans lien depuis le portail. Beaucoup de contenus sont même, à dessein, publiés sans jamais être liés depuis les portails : par exemple, des images telles des logos aux dimensions particulières, utilisées en signature de courriel, ou plus fréquemment, un mini-site que l’administrateur n’a pas souhaité “associer” de façon brute, en termes d’images, à son portail principal, tout en diffusant son URL par d’autres canaux.

Bref, de fait, à défaut d’une mention explicite accompagnant directement le document sur son lieu de consultation, seul l’accès effectif à une ressource peut nous aider à comprendre, ou non, notre “droit” d’y accéder. La présence de liens hypertextes sur des pages Web, ou non, ne présage en rien de l’usage prévu par son administrateur de l’ensemble de la ressource accessible au public. Bienvenus sur Internet, ce contexte formidablement bordélique. Cet argument de l’usage prévu d’un portail web, quelle hérésie !

Imaginons un instant que certains documents, en eux-mêmes, ait été de nature confidentielle, ce que Bluetouff réfute aussi, de même que l’ANSES (!) si j’ai bien compris, tandis que le Parquet l’affirmerait seul (?). Et que Bluetouff eut déclaré que son expérience globale, en tant qu’Usager public du site, ait pu questionner ses notions d’expert en sécurité informatique, jusqu’à faire naitre un doute dans son esprit. Ne serait-ce pas alors une preuve de bonne foi ? Reconnaitre ses observations et ses doutes, serait-ce un crime réprimé par la loi ? J’ai un tas de doutes, moi aussi…

Celui qui comprends ces aspects techniques mieux que d’autres, donc, ici, sait précisément… qu’il ne peut rien conclure, tout de moins en respectant la Loi, c’est à dire, en restant de ce côté du “comptoir” et sans chercher à regarder derrière.

Tout cela donc, précisément, car Bluetouff serait un expert chevronné.

Et dans le cas contraire… les motivations du jugement ne s’effondreraient-elles pas (aussi) ?

Une fois écartée la question de l’auto-détermination de culpabilité, Bluetouff n’aurait, en aucun cas :

  • ni “pénétré” ce STAD, mais juste interagit avec, en HTTP
  • ni témoigné d’un comportement inattendu du système
  • ni forcé ou influencé les réactions du STAD d’aucune manière
  • ni détecté ou profité d’une faille ou erreur technique mal gérée
  • ni prétendu au STAD qu’il possédait la moindre identité

(pour rappel, c’est l’IP panaméenne allouée à l’entreprise dont il est responsable, qui a permis à la DCRI de l’interroger, Bluetouff n’a donc pas même pris la peine d’anonymiser ses connections en utilisant Tor, par exemple !)

Si je comprends bien les articles de la Loi (que j’ai lu aussi, merci @Eolas pour le lien), ce billet et ses commentaires, des faits tels ceux juste au-dessus auraient pu contribuer à démontrer un accès et/ou un maintien frauduleux. Mais ce n’est pas le cas !

Enfin, il n’a pas non plus fabriqué les URLs qu’il a demandé, comme j’ai pu le lire plus haut : il n’aura eu besoin que d’utiliser la racine des documents, fournie par Google, et laissé son automate aspirer le reste. Et même s’il avait raccourci une URL manuellement, en quoi eût-ce été illégal ? Qui ne l’a jamais fait, ne serait-ce que pour revenir sur la page principale d’un site, ou d’un sous-site? Je viens de le faire, cette fois pour revenir sur l’acceuil d’@Eolas. C’est délirant !

En interprétant la Loi ainsi, la justice veut-elle que nous nous mettions à solliciter les webmasters, quotidiennement, au moindre doute ? Et qu’à défaut de lire leurs réponses, nous nous privions d’utiliser les contenus qu’ils nous offrent pour référence ? Que le monde entier aille toujours plus loin dans l’auto-censure ? Que seules de grandes entreprises aient le privilège d’aspirer un site ? Que nous ne puissions plus naviguer nulle part sans craindre un poursuite judiciaire, avec saisie de matériels et garde à vue à la clef ? Que nous n’utilisions plus que Tor pour lire autre chose que la Wikipédia ? Que tous les gardés à vue se taisent à jamais ? Est-ce là où nous en sommes ? Vraiment ?

Combien de câbles ont-ils soufferts au cours du jugement ?

214. Le lundi 10 février 2014 à 20:59 par Exequatur

Bonsoir Me Eolas.

Bien que n’étant qu’en L3 Droit j’approuve votre analyse. Toutefois, si copier coller des fichiers n’en dépossède pas le véritable propriétaire (ce qui est exact) mais parallèlement, porte préjudice, alors ne s’agit-il pas d’un vide juridique? Pensez-vous qu’il faille créer une nouvelle infraction spécifique au domaine de l’informatique?

Sinon, je me suis esclaffée à “gogleuh” ou “loguine”.

Bien cordialement,

NB: Vous lisez tous les commentaires?

215. Le lundi 10 février 2014 à 21:06 par FrancoisCarmignola

@Hulk (c’est ciblé)
L’inconscient parle encore, le fils coupable envers les vieilles dames c’est celui de Marisol Touraine, digne héritière du “responsable mais pas coupable “.

En bref, mon cher, vos raisonnements juridiques à la noeud, c’est “choucroute”.
Quand donc le droit parlera de principes et cessera de nous imposer tel le parasite des considérations moralisantes dont nous n’avons que faire ? Votre raison morale explose au contact de l’absurde monsieur !

216. Le lundi 10 février 2014 à 21:35 par herve_02

Moi ce qui me fait rire, c’est l’acharnement de la puissance publique contre le petit.

Imaginons un seul instant que le péquin de base demande un devis à un plombier et qui surfant sur son site, tombe sur une partie ou le dit plombier archive ses devis et s’aperçoive que pour les même travaux le plombier demande en général 30% moins cher, s’en ouvrant à l’artisan (ou le publiant sur son blog) il se trouve en garde à vue pendant 30 heures.

Pensez vous que le ministère public aurait poursuivi en appel ?

Pensez vous que le ministère public poursuivrait un employé qui aurait lu (à cause d’un mauvais paramétrage des critères de confidentialité) une conversation facebook entre son employeur et le drh le concernant (donc sachant bien qu’il n’était pas convié à cette conversation ?)

Effectivement si c’était le cas (mais je ne le pense pas), on pourrait commencer à réfléchir à la compétence de ceux qui nous punissent, mais c’est bien la mauvaise foi de la puissance publique qui est en oeuvre, celle qui voit des terroristes tapis dans l’ombre des épiceries du fin fond de la france.

Même si on peut supposer que les documents ont été mis ici par erreur (d’ailleurs ils ne sont pas confidentiels, donc quelle est le préjudice ?), ce n’est pas un délit de lire un livre qu’on laisse en consultation libre par erreur.

Mais lorsque c’est kraft food, anses, un ministère, un conglomérat ayant ses entrées sous les ors du pouvoir, la loi est bien plus attentive à votre cas et à une tendance manifeste à vous protéger.

217. Le lundi 10 février 2014 à 21:48 par Xavier

@herve_02 Moi ce qui me fait rire, c’est l’acharnement de la puissance publique contre le petit.

Oui voilà, le petit :) Et ça n’est pas comme s’il s’était déjà comporté en “lanceur d’alertes” sur des sujets sensibles comme le DPI, ce qui n’est qu’une posture à la mode sur des affaires auxquelles personne ne comprends rien. Ne mélangeons pas les torchons et les serviettes! :)

218. Le lundi 10 février 2014 à 22:25 par herve_02

@xavier

Et les épiciers de tarnacs ils étaient quoi ? et milka elle était quoi ?

Je ne mélange pas les torchons et les serviettes, je dis que d’un coté il y a ceux qui écrivent et font appliquer les lois et leurs amis (qui ne sont pas assujettis à ces même lois) et de l’autre les individus normaux que l’on peut écraser sans se poser de question.

On est condamné à 3000 euros lorsqu’on lit des documents non confidentiels dans un dossier publique sur le web, on est relaxé lorsqu’on demande (en dehors de tout cadre légal) des fadettes pour étouffer une affaire dans laquelle on est parti prenante. D’un coté un citoyen, de l’autre un magistrat..

c’est vrai faut pas mélanger..

219. Le lundi 10 février 2014 à 22:53 par Xavier

@herve_02

Ce n’était qu’un sarcasme de ma part : Ne pas mélanger les torchons et les serviettes n’était qu’une manière de limiter ma propre ouverture (soulignant l’activisme notable de Bluetouff) pour rester concentré sur le cas de l’ANSES. J’ai bon espoir de comprendre un jour (peut être) cette décision de justice.

Il ne s’agissait en aucun cas d’une critique de vôtre commentaire. Toutes mes excuses pour cette mauvaise expression (qui a du vous paraitre bien grossière!).

Quant à cet apparent traitement différencié, je préfère m’en tenir, moi aussi, à l’étonnement — je suis donc bien d’accord avec vous :)

220. Le lundi 10 février 2014 à 22:58 par RG

@218 herve_02

Envisageriez vous l’hypothèse selon laquelle certains auraient droit aux jokers “coup de fil au procureur général” et “la réquisition de couloir” ?

221. Le lundi 10 février 2014 à 23:16 par herve_02

@rg

je n’en sais rien, je ne peut que voir les résultats ; en envisageant même une auto-persuasion du juge qui regarde (et qui juge) celui qui est “important” avec plus de bienveillance (une sorte d’a-priori) que le citoyen lamba. Nous sommes tous humain.

Votre solution d’une intervention extérieure qu’on écouterait invaliderait totalement en entièrement la notion de justice en la sapant dans son fondement même : l’égalité devant la loi.

@xavier, autant pour moi, en relisant votre commentaire, j’ai découvert ce même sens (l’inverse de ma première lecture). Non, je n’ai rien trouvé de grossier ;-)

222. Le lundi 10 février 2014 à 23:49 par banane

à Xavier : je ne comprends pas bien ce que vous dites (et, pourtant, vous en dites…). M Bluetouff va par hasard sur un site non protégé dont le contenu est privé, c’est-à-dire que sa publication n’est pas souhaitée par son propriétaire. M Bluetouff a lui-même tellement conscience de l’aspect confidentiel des données qu’il les propose à des journalistes (vous proposeriez à des journalistes les pages web d’un site public vous ?).
Rappelons (mais Me Eolas l’a fait) que le fait qu’une arborescence présente sur internet soit non protégée ne fait pas de celle-ci un site public, ouvert à consultation (et encore moins à diffusion). De même, la portière de votre voiture laissé ouverte ne m’autorise pas à y pénétrer pour faire un tour à l’œil ou l’inventaire de ce qui s’y trouve. C’est une chose de se retrouver par hasard (et par Google) dans une zone privée. C’en est une autre d’y faire des copies pour les mettre en ligne ou les proposer à la presse.

223. Le mardi 11 février 2014 à 00:16 par Endy le Fourbe

Grand merci, mestre. Depuis que cette affaire a éclaté, je me demandais une unique chose : y a-t-il un quelconque élément qui justifie la qualification de maintien frauduleux ? (Celle de vol me laissant aussi perplexe que vous, pour les mêmes raisons.) Vos explications et le texte de l’arrêt m’ôtent tout doute sur le sujet (tout en me faisant également grincer des dents sur le droit au silence). Bien que mon sentiment par rapport à la peine aille plus loin que de simplement regretter l’absence d’une dispense de peine. 3000€ pour avoir publié des documents qui, de l’aveu même de leurs auteurs, n’étaient pas si confidentiels que cela, n’avaient aucune valeur stratégique ou commerciale, et dont la divulgation n’a finalement causé - à ma connaissance - aucun trouble d’aucune sorte ni aucun tort à quiconque ?

Si bluetouff est votre fournisseur de VPN, sans nul doute s’agit-il d’un entrepreneur talentueux qui ne sera pas trop affecté par cette sanction. Mais tout de même, je tique quant au signal envoyé. Est-ce donc une si grande faute pour le peuple français que de de chercher à se documenter sur l’action des organismes crées et administrés en son nom ?

224. Le mardi 11 février 2014 à 00:32 par herve_02

@banane

Vous faites de la morale, pas du droit :

1 - est-il entré frauduleusement ? non
2 - peut-on se maintenant frauduleusement si l’accès n’a pas été frauduleux ? c’est la question.
3 - les documents ne sont pas confidentiels, ou est le préjudice ?

Qui a décidé que c’était privé ? la justice ? c’est donc devenu privé APRÈS l’acte, on ne peut pas le punir pour quelque chose qui est devenu privé après sa lecture.

Si vos voisins se promènent à poil chez eux la fenêtre ouverte, peuvent-il porter plainte si vous regardez ?

225. Le mardi 11 février 2014 à 01:26 par Marcel

@banane, 222 : Franchement, au bout d’un moment il faut abandonner cette analogie tarte à la crème et totalement erronée du “domicile” ou de la “voiture” (ce qui revient au même) pour parler d’un site web. Un site web n’est assimilable, ni de près ni de loin, à une maison ou une voiture. Si vraiment vous tenez à assimiler le site web d’une administration publique à un lieu clos, ce qui est en soi déjà très approximatif, plutôt que de comparer le site web de l’ANSES à une voiture, comparez-le plutôt au bâtiment d’un organisme public quelconque. Genre la mairie ou la CAF.

L’autre fois, je suis allé à la mairie, la porte était ouverte, je suis rentré. J’y ai vu des documents, étalés sur un présentoir, je les ai lus et j’ai même pris une photo d’un dépliant qui m’intéressait particulièrement. Et pourtant j’ai bien vu que plus loin il y avait des portes fermées à clef. Je n’ai d’ailleurs pas tenté de forcer les serrures, je me suis contenté de rester dans cette zone d’une administration publique, qui m’était ouverte, dans un lieu destiné à accueillir du public.

Suis-je un délinquant ?

Non ?

Bon bah voilà.

226. Le mardi 11 février 2014 à 01:31 par corrector

@Hulk
“Ce qui n’a aucune importance, vu qu’il s’agit de droit, et pas d’informatique.”

Donc le Droit existe dans un univers parallèle, où les faits n’ont aucune importance.

J’ai rarement lu quelque chose d’aussi con.

227. Le mardi 11 février 2014 à 01:40 par corrector

@Hulk
“C’est le problème de google de revoir la conception de ses crawlers de manière à ce qu’ils détectent lorsqu’ils se trouvent dans une zone privée.”

Vous ne racontez décidément que des énormes conneries.

Googlebot n’a aucun moyen de savoir si une information diffusée ne devrait pas l’être.

Le moyen technique de signaler qu’une information ne devrait pas être diffusée est de ne pas la diffuser.

En mettant une information en accès public sur votre site vous autorisez son accès. C’est tellement tautologique que je ne vois pas comment vous l’expliquer, ni comment l’expliquer aux juges.

Avec vos “raisonnements”, on pourrait reprocher à un boutiquier qui vend un journal d’avoir diffusé le contenu d’un article du journal à l’insu de l’auteur. Vous êtes en pleine alter-réalité mon pauvre.

Je me demande si vous êtes un troll ou juste idiot.

228. Le mardi 11 février 2014 à 01:42 par Pierre M. Boriliens

@banane - 222

“le fait qu’une arborescence présente sur internet soit non protégée ne fait pas de celle-ci un site public, ouvert à consultation”

Pourriez-vous être assez aimable pour m’expliquer comment je peux savoir à quoi j’ai accès, ou pas, si rien ne me permet de la savoir ?

229. Le mardi 11 février 2014 à 01:53 par corrector

@Hulk
“Vos arguments reviennent à dire qu’il n’y a pas de délit si la technologie permettant d’éviter le délit n’existe pas encore, ou est trop chère à déployer. C’est le monde à l’envers.”

La technologie existe, mon pauvre. Pour Apache c’est un “.htaccess”. Il suffit de ne pas publier ce qu’on veut garder secret.

“Si je me contentais de publier les adresses des gens qui partent de chez eux en oubliant de fermer à clé, en indiquant les objets de valeur qui se trouvent chez eux, je ne doute pas qu’un tribunal aurait tôt fait de me condamner pour complicité des cambriolages qui en auraient résulté.”

D’après vous, c’est donc celui qui publie qui doit être poursuivi, et celui qui publie est celui a porté plainte, qui devrait donc être condamné à l’issu de sa propre plainte.

Que l’organisme à l’origine de l’affaire ne soit pas poursuivi est un véritable scandale.

“Avec ce genre de raisonnement, si je sors de chez moi sans fermer la fenêtre et que je suis cambriolé, il n’y a pas délit et c’est moi le responsable.”

Encore une énorme connerie!!! Si vous êtes cambriolé sans que rien ne soit volé, autrement dit si vous n’êtes pas cambriolé, il n’y a pas de délit de vol.

Dans l’affaire qui nous intéresse, il n’y a pas eu vol.

Si il y a effraction d’une fenêtre ouverte, autrement dit s’il n’y a pas effraction, il n’y a pas de délit d’effraction.

Dans l’affaire qui nous intéresse, il n’y a pas eu effraction.

(Tout cela est parfaitement évident et sans grand intérêt mais il faut tout vous expliquer.)

Et effectivement, c’est vous le responsable du verrouillage des issues, et si vous êtes cambriolé votre assureur vous l’expliquera. Mais dans l’affaire dont on parle il n’y a pas eu vol. Donc ça n’a rien à voir.

Une meilleure analogie (en même temps, on ne peut faire de moins bonnes analogies que les vôtres) serait qu’un maire indique le taille de son machin dans le bulletin communale puis porte plainte contre chaque administré pour viol de vie privée, espionnage, et vol d’information métrique.

230. Le mardi 11 février 2014 à 02:05 par corrector

@nonos
“le problème, c’est que BT a avoué: il savait qu’il naviguait dans une partie de domaine qui devait être interdite.”

Qui aurait du, qui aurait pu, mais qui ne l’était pas.

Il n’a donc pas contourné une interdiction, il n’a pas exploité une faille de sécurité, il n’a pas outrepassé une politique de sécurité. Il n’y avait pas du tout de politique de sécurité.

Il n’y a donc aucun délit.

Ce que vous suggérez, c’est que chaque personne doit essayer de deviner quelles contrôles d’accès les autres personnes auraient mis en place si … je ne sais quoi. C’est une vision totalitaire.

231. Le mardi 11 février 2014 à 02:15 par Pierre M. Boriliens

Franchement, je conseille aux béotiens de lire ceci : http://httpd.apache.org/docs/2.4/ho…
Et d’en discuter avec quelqu’un qui s’y connaît un peu, - nous avons tous des gens comme ça autour de nous -, pour éclaircir tel ou tel point. Voire de poser des questions ici-même…

Parce que quand même, on lit ici des choses un peu hallucinantes, je trouve.

232. Le mardi 11 février 2014 à 02:25 par corrector

@Nak
“@banane une solution simple pour que google ne vous surveille pas: n’utilisez pas de produits google…”

Ne pas utiliser GA?
C’est une blague?

“Pas d’accord avec la dispense de peine. Il semble que bluetouff trouve la notion qu’il ai commis un acte delictueux risible. Dans ces conditions, je pense qu’une peine s’impose.”

Cette idée n’est pas seulement risible, elle est abjecte.

233. Le mardi 11 février 2014 à 02:25 par Pierre M. Boriliens

J’ai oublié d’inclure une citation du document proposé :

Si votre site web contient des informations sensibles ou destinées seulement à un groupe de personnes restreint, les techniques exposées dans cet article vont vous aider à vous assurer que les personnes qui ont accès à ces pages sont bien celles auxquelles vous avez donné l’autorisation d’accès.

C’est la base du boulot. Tout webmaster sait ça et est censé le faire ! Et alors aucun secret là-dedans. C’est la documentation de base du serveur apache, probablement le plus utilisé dans le monde…

Si ça n’est pas fait, c’est que l’accès est autorisé à tous !

234. Le mardi 11 février 2014 à 02:29 par corrector

@banane
“Rappelons (mais Me Eolas l’a fait) que le fait qu’une arborescence présente sur internet soit non protégée ne fait pas de celle-ci un site public, ouvert à consultation (et encore moins à diffusion). “

Bien sûr que si, par définition.

“De même, la portière de votre voiture laissé ouverte ne m’autorise pas à y pénétrer pour faire un tour à l’œil ou l’inventaire de ce qui s’y trouve. “

Grave, le mec.

235. Le mardi 11 février 2014 à 02:35 par corrector

@Exequatur
“Toutefois, si copier coller des fichiers n’en dépossède pas le véritable propriétaire (ce qui est exact) mais parallèlement, porte préjudice, alors ne s’agit-il pas d’un vide juridique?”

Ah oui, parce que la copie illicite est un vide juridique? Personne n’est poursuivi pour copie illicite, jamais?

“Bien que n’étant qu’en L3 Droit j’approuve votre analyse.”

Vous êtes sûr que vous vous êtes inscrit en droit et pas en macramé?

236. Le mardi 11 février 2014 à 03:14 par corrector

Je pense que le souci avec la Justice en France et aux USA est l’incapacité des juges à comprendre le principe philosophique de base :

Si ma tante en avait, on l’appellerait mon oncle.

Si mon site Web était ma voiture, on l’appellerait ma voiture.
Si mon site Web était ma maison, on l’appellerait ma maison.

En résumé, on ne peut pas postuler qu’une chose en vaut une autre juste parce qu’on connait et qu’on comprend la deuxième et pas la première.

Ce qui implique :

  1. Il n’y a pas d’alternative pour un juge au fait de comprendre les faits qu’il a à juger.
  2. La compréhension des faits précède la qualification juridique des faits.
  3. Certains juges sont incapables de juger certaines affaires qui les dépassent.
  4. Si les faits ne vous intéressent pas, votre place est dans un asile de fous et pas dans un tribunal. Cette dernière remarque s’adresse particulièrement à Hulk.

237. Le mardi 11 février 2014 à 04:13 par mauve

@corrector : “Encore une énorme connerie!!! Si vous êtes cambriolé sans que rien ne soit volé, autrement dit si vous n’êtes pas cambriolé, il n’y a pas de délit de vol.”
Faux ; l’infraction impossible est punissable dans tous les cas, au titre de la tentative, depuis 1928. V., en matière de vol, Cour de Cassation, Chambre criminelle, 15 mars 1994 pourvoi n° 93-81.607 http://www.legifrance.gouv.fr/affic…
“Et effectivement, c’est vous le responsable du verrouillage des issues, et si vous êtes cambriolé votre assureur vous l’expliquera.”
Encore faux. Vous mélangez la responsabilité civile avec la responsabilité pénale. Si vous êtes volé alors que vous avez laissé les issues ouvertes, et que par miracle votre voleur se fait tout de même prendre, il sera jugé et condamné pour ce vol. De fait, votre assureur ne vous remboursera pas, mais cela n’a pas d’incidence autre sur la responsabilité pénale de l’auteur que de passer du vol avec circonstance aggravante d’effraction au vol simple.

Nous les juristes, on n’est peut-être pas calé en .htaccess, mais on a une autre forme d’expertise. Votre point de vue de technicien, c’est que le système exprime ontologiquement la volonté de son maître (si je peux accéder à un fichier quelque soit le chemin que j’emprunte, alors le fichier est public). Cela revient à sanctionner l’imprudence de la victime par la relaxe du criminel. C’est contraire aux principes du droit pénal, c’est contraire à l’intention du législateur, et c’est contraire au texte.

Ce qui compte en pénal, ce sont les intentions, la volonté psychologique des personnes en cause, l’expression de cette volonté, et la preuve qu’on peut rapporter de la connaissance par l’auteur des faits des règles qu’il viole. Si le maître du système informatique affiche avec du scotch sur la façade du serveur la liste sur feuille a4 des fichiers en accès restreint, sans rien paramétrer, ces fichiers sont privés parce qu’il l’a voulu et l’a exprimé ; mais on ne pourra pas condamner quelqu’un qui y accéderait à distance, parce qu’on ne pourra jamais prouver qu’il connaissait cette liste, ni même qu’il aurait du soupçonner son existence. Concrètement, d’après l’arrêt, sans avoir assisté aux audiences ni lu les PV sur lesquels la Cour s’est appuyée, on peut dire que les juges ont constaté 1) qu’en accédant au système via google, le prévenu ignorait qu’il entrait dans un espace virtuel restreint ; il est donc relaxé du chef d’intrusion, puisqu’il n’a pas manifesté d’intention de forcer l’entrée d’un système protégé ; 2) qu’en découvrant une page de “login”, il aurait du en déduire, lui, personne humaine, par raisonnement et expérience, que le système n’était pas entièrement public; 3) qu’en persistant au-delà dans son parcours, il, toujours en tant qu’humain, manifestait la volonté de passer outre, et donc caractérisait l’intention au sens pénal de se maintenir sans droit dans ce système restreint. C’est l’appréciation de la Cour, et c’est conforme au texte. On aurait pu peut-être souhaiter que la Cour expose en quoi le texte de la fameuse page de connexion manifestait la volonté non-équivoque du maître du système, cela peut-être un mince espoir de cassation sur l’insuffisance des motifs, mais ça n’a aucun rapport avec des droits d’accès au sens informatique.

Ce n’est pas un problème de technologie, c’est un problème de preuve d’une intention psychologique.

Pour le vol, c’est plus discutable, mais il existe une série de décisions jurisprudentielles dans ce sens depuis 2004.

238. Le mardi 11 février 2014 à 07:59 par Cédric

Les considérants ne font état d’aucune preuve matérielle indiquant que le prévenu a téléchargé les fichiers litigieux après avoir accédé à la page d’accueil, sur laquelle il a pu prendre conscience d’avoir accédé à un espace privé. Pas plus de fait matériel repris dans le jugement qui démontrerait que le prévenu s’est maintenu dans l’espace privé après cette découverte. Les explications obtenues par les enquêteurs sont certes très claires. Mais…

Le prévenu aurait-il été condamné sur la seule foi de ses aveux ?

Maître Eolas, condamneriez-vous le prévenu pour la seule beauté de la démonstration ?

239. Le mardi 11 février 2014 à 08:16 par corrector

“Nous les juristes, on n’est peut-être pas calé en .htaccess, mais on a une autre forme d’expertise.”

Oui, l’art de raconter n’importe quoi.

“Votre point de vue de technicien”

Je sens du mépris dans vos propos.

“(si je peux accéder à un fichier quelque soit le chemin que j’emprunte, “

Le chemin? Le seul chemin est celui présent dans l’URL; il n’y a qu’un seul chemin.

“Cela revient à sanctionner l’imprudence de la victime par la relaxe du criminel.”

N’importe quoi, puisqu’il n’y a pas de victime ni de crime.

“C’est contraire aux principes du droit pénal, c’est contraire à l’intention du législateur, et c’est contraire au texte.”

Quels principes?

Vous êtes prétentieux et je vous ne m’impressionnez pas.

“parce qu’il l’a voulu et l’a exprimé”

Mais il a exprimé le contraire dans le paramétrage même.

“le prévenu ignorait qu’il entrait dans un espace virtuel restreint”

N’importe quoi, il n’est pas rentré dans un espace restreint.

“qu’en découvrant une page de “login”, il aurait du en déduire, lui, personne humaine, par raisonnement et expérience, que le système n’était pas entièrement public”

Complètement délirant.

“mais ça n’a aucun rapport avec des droits d’accès au sens informatique.”

Bien sûr que si.

“Ce n’est pas un problème de technologie, “

Si, le problème est qu’un organisme public est incapable de se servir correctement de la technologie. C’est un “défaut de sécurisation” comme on dit.

240. Le mardi 11 février 2014 à 09:06 par Syl

Comment peut-on être condamné pour maintien frauduleux dans un STAD et être relaxé pour accès frauduleux au même STAD ?

C’est complètement illogique ! S’il n’y a pas eu d’accès frauduleux, il ne peut y avoir de maintien frauduleux.

L’excuse de dire que l’on s’aperçoit que l’accès serait protégé ou que le webmestre aurait voulu le protéger par une page de login/mot de passe ne tient pas, car l’accès au répertoire était bien public et indexé donc librement accessible.

Pour faire encore une image avec une maison dont la porte est fermée (à clef on non), c’est que ces documents sont sur le trottoir devant cette maison et que personne ne les surveille.

D’autre part, cette décision mais en danger tout internaute qui consulterait un document dans ces conditions, car consulter revient forcément à télécharger et donc à se “maintenir” sur le dit STAD !

241. Le mardi 11 février 2014 à 09:35 par nooby

@mauve (237) :
“Ce qui compte en pénal, ce sont les intentions, la volonté psychologique des personnes en cause, l’expression de cette volonté, et la preuve qu’on peut rapporter de la connaissance par l’auteur des faits des règles qu’il viole.”
Et, en informatique, la façon dont un administrateur système exprime sa volonté sur les restrictions de droits de consultation de documents, c’est en paramètrant correctement son fichier de configuration.
Si je peux consulter un document sur Internet ou sur un intranet, c’est que l’administrateur l’a permis. Donc, que je ne viole aucune règle en le consultant.
En l’occurence, je suis persuadé que moralement, bluetouff était au courant qu’il n’était pas censé consulter ce qu’il a consulté. Mais, dans les faits, il n’a strictement rien fait de répréhensible (du moins, selon les arguments avancés par Maître Eolas). Les documents étaient consultables, et avaient été référencés (donc leur URL (leur localisation sur Internet) avait été postée publiquement), donc c’est que l’administrateur n’avait pas jugé bon de les protéger.
Bref, j’espère que les juges ont condamné ce blogueur pour d’autres arguments que ceux rapportés par Maître Eolas, parce que si ce n’est pas le cas ils ont posé une jurisprudence qui va tout simplement à l’encontre du monde réel et de son fonctionnement… :/

242. Le mardi 11 février 2014 à 09:48 par corrector

@VyGER91
“Ca ne me choque pas que quelqu’un ne soit pas condamné en l’absence de preuves objectives.
Ici la seule véritable preuve c’est la déclaration du prévenu de la conscience de l’environnement dans lequel il évoluait.”

Ou plutôt une interprétation orientée de ses propos, interprétation qu’il dément formellement.

Le verrouillage d’une page n’implique pas l’intention de verrouiller d’autres pages, ce “raisonnement” est délirant.

243. Le mardi 11 février 2014 à 09:53 par corrector

@Syl
“Comment peut-on être condamné pour maintien frauduleux dans un STAD et être relaxé pour accès frauduleux au même STAD ?”

C’est aussi ce que je me suis dit. S’il peut y avoir maintien frauduleux sans accès frauduleux, je ne comprends plus la loi.

Et je prétends qu’elle est donc incompréhensible.

“À titre de prolégomènes, voyons un peu les délits informatiques. Ils ont été créés par une loi de 1985 qui est objectivement plutôt une réussite, car nonobstant les progrès et les évolutions de l’informatique, il n’y a pas eu besoin de les modifier, ils tiennent bon et sont toujours adaptés. Peu de lois peuvent en dire autant.”

Si une loi est restée inchangée parce qu’elle est in-interprétable donc arbitrairement interprétable, ça ne peut pas être bonne chose.

244. Le mardi 11 février 2014 à 10:00 par nooby

“C’est aussi ce que je me suis dit. S’il peut y avoir maintien frauduleux sans accès frauduleux, je ne comprends plus la loi.”
Non, on peut s’introduire dans une zone privée sans le savoir (par exemple, à cause d’un défaut de sécurisation), puis avoir des éléments permettant de savoir qu’on n’est pas censé s’y trouver (comme la possibilité de modifier des paramètres, de publier des articles, d’accéder à des données visiblement privées…). Auquel cas, rester dans cette zone est frauduleux.
C’est plutôt logique, simplement ça va dépendre de la situation. ^^

245. Le mardi 11 février 2014 à 10:04 par corrector

@suruo
“Moi, je trouve cela louche : administrer ou sécuriser un site web n’est pas se conformer à la programmation desdits robots, puisque la concurrence (Bing, Yahoo, etc.) est à même de proposer des robots différents : il y a donc une forme de distorsion des règle de la concurrence, non-dite, comme si Google venait de faire une OPA sur Internet. Ce n’est pas le cas.”

Quelle salade… Vous n’y connaissez rien et vous n’y comprenez rien, c’est triste…

Un Web-robot est avant tout un client Web, comme votre navigateur Web, vous savez ce que vous utilisez pour poster vos inepties sur ce blog.

Il ne s’agit pas de se “conformer à la programmation d’un logiciel”, ce que vous écrivez est du charabia. Il s’agit de se conformer aux normes du Web, et surtout à la norme du sens commun : si un document est confidentiel il ne doit pas être accessible par n’importe qui. Il faut mettre un contrôle d’accès. Cela n’a rien à voir avec la programmation des robots.

Si un document n’est pas accessible sans s’être auparavant identifié, ni un quidam ni le robot de Google n’y accédera. Cela n’a strictement rien à voir avec le robots.txt qui est spécifique aux Web-robots.

Ensuite le robots.txt est une norme du Web, la syntaxe et la sémantique de ce fichier sont standardisés. Cela n’est pas spécifique au robot de Google. Ce n’est pas Google qui inventé ces principes. Cela s’applique aussi à Bing, comme cela s’appliquait à Altavista et autres moteurs de recherche connus.

246. Le mardi 11 février 2014 à 10:07 par corrector

@nooby
“puis avoir des éléments permettant de savoir qu’on n’est pas censé s’y trouver (comme la possibilité de modifier des paramètres, de publier des articles, “

Vous voulez dire, comme sur un Wiki?

Il y aurait un défaut de sécurisation sur Wikipédia?

247. Le mardi 11 février 2014 à 10:12 par nooby

@corrector :
‘faut aussi arrêter d’être de mauvaise foi. Si je trouve un accès qui me permet de modifier le code source ou les permissions des utilisateurs de Wikipedia, alors je pourrai difficilement plaider que je ne savais pas que cette page n’était pas d’accès public.
C’est pour ça que j’ai dit que ça dépendait des circonstances…

248. Le mardi 11 février 2014 à 10:18 par corrector

@gauvain
“OlivierJ, je crains que ce soit vous qui soyez dur de la feuille.”

Moins que vous.

“que l’ANSES ait fait une erreur est une évidence.”

Non, justement, c’est tout sauf évident.

“Est-ce que ça donnait le droit de profiter de cette erreur bien sûr que non.”

Quel profit?

249. Le mardi 11 février 2014 à 10:22 par syl

@ nooby
“Entrer dans une zone privée sans le savoir (par exemple, à cause d’un défaut de sécurisation), puis avoir des éléments permettant de savoir qu’on n’est pas censé s’y trouver” c’est bien un accès frauduleux !

Là le répertoire était accessible publiquement.

C’est exactement le cas où ton voisin déménage et laisse toute ses affaires sur le trottoir sans surveillance toute la journée et vient se plaindre le soir qu’un brocanteur les a ramassées. Y a t-il eu accès frauduleux ? non ! maintien frauduleux ? non plus, le trottoir est un espace publique.

250. Le mardi 11 février 2014 à 10:23 par AG

Merci à Xavier en 115 et à Marcel : leurs explications pédagogiques m’ont bien permis de comprendre enfin comment marche référencement et requête!

251. Le mardi 11 février 2014 à 10:30 par nooby

@syl :
Dans le cadre des explications données par Maître Eolas, je suis bien d’accord. ;)
J’expliquais simplement que, selon les circonstances, il est possible de se rendre compte que le document auquel on a accédé sans problèmes n’était pas censé être accessible. C’est le cas dans lequel il y a maintien frauduleux sans avoir accès frauduleux.
Rien de plus. ^^

252. Le mardi 11 février 2014 à 10:37 par corrector

@Tonio
“Si je me met à faire un site qui indexe des pages automatiquement et les stocke sur mon serveur en précisant dans les conditions qu’il faut mettre un fichier pas-touche.txt dans le répertoire trucmuche”

Pour indexer les pages déjà il faut les télécharger. Je pense que vous n’allez pas les sauvegarder une par une avec votre navigateur et que vous allez programmer un Web-robot pour le faire automatiquement à votre place.

Si vous faites un Web robot qui ne respecte pas le robots.txt, vous violez une norme du Web. Un robot doit respecter les instructions de ce fichier, c’est tout.

“Et hop j’ai accès à un paquet de sites non autorisés récupérés légalement sur mon serveur.”

De sites dont le contenu était publiquement accessible. Qu’entendez-vous par sites non autorisés? De sites qui n’autorisent pas le téléchargement et l’exploitation systématique des données par un robot?

“Soit parce qu’ils ont oubliés de mettre le fichier, soit plus probablement qu’ils ne savaient pas qu’il fallait le faire: trop occupé à créer un robot.txt correct.”

Vous n’avez rien compris à la problématique, vous.

Le robots.txt (pas robot.txt!) indique quels fichiers peuvent être téléchargés par un robot, et pas du tout quels documents sont publiquement accessible. Si vous allez sur google.com, vous avez le droit de faire une recherche et de consulter la page de résultat. Maintenant allez voir http://google.com/robots.txt cela commence par :

User-agent: *
Disallow: /search

autrement dit : les pages de résultats de recherche sont interdites aux robots. Si vous êtes un robot, vous ne devez pas lire la page de résultat d’une recherche Google.

Et là je vais vous révéler un truc : les pages de résultats de recherche de Google ne sont pas un contenu confidentiel.

Quand un contenu est confidentiel, il faut que personne d’autre que les personnes autorisés ne puisse y accéder. Quand vous mettez un robots.txt, seuls les Web-robots respectant les normes sont exclus, c’est comme de mettre une affiche INTERDIT AU PUBLIC. Quand vous avez des documents secret défense, vous devez prendre d’autres mesures de sécurité que des affiches même écrites en gros et en rouge!

Quand un document est confidentiel en principe on empêche aux personnes non autorisé d’y accéder. On ne met pas juste une affiche INTERDIT.

Dans un serveur Apache les restrictions d’accès sont configurées avec les fichiers .htaccess; cela n’a absolument aucun rapport avec le robots.txt qui n’est pas un fichier de configuration du serveur HTTP.

Si malgré mes explications tout se mélange encore dans votre tête, je vous conseille de lire des cours d’introduction au Web et de poser des questions dans un forum.

Mais surtout arrêtez de commenter sur des sujets auxquels vous n’entendez rien.

253. Le mardi 11 février 2014 à 10:57 par corrector

@banane
“Note : pour ceux qui pensent que Google informe correctement ses utilisateurs, n’avez-vous rien remarqué sur sa page d’accueil ce week-end ?”

Que peut-on reprocher à Google, concrètement?

254. Le mardi 11 février 2014 à 11:00 par Syl

@nooby

C’est un non-sens, car il y a bien accès frauduleux (à l’insu de ton plein grès), même si tu ne t’en pas rendu compte avant !

C’est une question de pure logique, on ne peut dire qu’il n’y a pas eu accès frauduleux et dire qu’il y a eu maintien frauduleux.

Il faut que l’accès frauduleux commence à un instant pour pouvoir dire qu’il a duré un temps certain, ce qui permet de dire qu’il y a maintien frauduleux.

Ce jugement est complétement absurde. Si on va dans ce sens en déformant le sens des mots on peut tout justifier.

255. Le mardi 11 février 2014 à 11:07 par Pierre M. Boriliens

Je viens de trouver un exemple qui correspond mieux à la question.

1) J’allume la télé (mon ordinateur)
2) je cherche un programme avec ma zapette (mon navigateur internet)
3) j’en trouve un, passionnant, avec des trucs, j’vous dit pas, mais je vous conseille.

Ai-je le droit de regarder cette émission ?

256. Le mardi 11 février 2014 à 11:38 par Morigan

Comme Scaler (6e commentaire) et bien d’autres après lui, je ne vois pas comment on peut affirmer qu’il y a maintient frauduleux par la simple présence d’un login en un point de l’extranet. Ça n’a aucun sens.

Ce point, bien plus que les prononciations aléatoires, le fait que le proc’ n’ait pas compris la moitié des mots et les déclarations alarmistes (tuer toute la planète, tout ça…), me semble montrer que la cour n’a pas compris ce qu’ils jugeaient.

257. Le mardi 11 février 2014 à 12:33 par Talla

@VyGER91

Pour ce qui est du cas du jeune abruti qui se vante, j’ai envie de dire qu’il n’a qu’à pas être idiot, ou alors mieux écouter son avocat. N’importe qui d’un peu sensé, une fois placé en garde-à-vue, doit pouvoir se douter qu’inventer des trucs pour se faire mousser n’est pas très malin. Tout être humain normalement constitué, sous le coup d’une accusation de délit, en face des policiers, devrait plutôt avoir tendance à minimiser les faits qu’à dire “j’ai piraté tout le système, en plus de celui de la Banque de France” ou “non, je n’ai pas volé que le porte-feuille, j’ai aussi piqué l’argenterie”. Qu’on frime auprès de ses copains, c’est une chose. En face des forces de l’ordre, ça relève de crétinerie aggravée. Comme le type qui se fait manger après avoir sauté dans l’eau à côté du panneau “attention aux crocodiles”.

258. Le mardi 11 février 2014 à 12:43 par Pierre M. Boriliens

@mauve - 237
Votre point de vue de technicien, c’est que le système exprime ontologiquement la volonté de son maître (si je peux accéder à un fichier quelque soit le chemin que j’emprunte, alors le fichier est public)

Mais considérez qu’un site internet est une bibliothèque publique, sinon elle ne serait pas sur internet, avec un bibliothécaire, à savoir le serveur.
Vous remplissez une fiche (une requête) et vous la donnez au bibliothécaire qui va chercher le bouquin. Et le bibliothécaire répond en vous donnant le bouquin demandé, ou bien en vous disant que celui-là n’est pas disponible au public (une bible originale de Gutenberg) ou même qu’il n’y a rien dans la bibliothèque qui corresponde à la fiche…

Pourquoi est-ce que je devrais me demander si le bibliothécaire a bien fait de me donner ce livre ? Peut-être que le généreux mécène qui finance tout ça ne tient pas du tout à ce qu’on prête ce livre ?

C’est ridicule !

259. Le mardi 11 février 2014 à 12:47 par Rene

Je ne sais pas si tu as déjà vu cette vidéo Eolas, mais elle te concerne directement, et elle est très proche de l’affaire Kitetoa que Bluetouff évoque comme la raison pour laquelle il n’a pas prévenu de la faille.

http://www.youtube.com/watch?v=uIwK…

260. Le mardi 11 février 2014 à 12:52 par RG

@251 nooby

J’expliquais simplement que, selon les circonstances, il est possible de se rendre compte que le document auquel on a accédé sans problèmes n’était pas censé être accessible.

Vous voulez dire : comme ceux de la Maison Blanche par exemple ? mais c’est tout à fait évident.

C’est le cas dans lequel il y a maintien frauduleux sans avoir accès frauduleux.

C’est surtout que vous êtes fort car en 15 ans personne tribunaux compris ne s’en était aperçu, ou plutôt ne voulait être source d’insécurité juridique.

Il faut dire aussi que l’hystérie collective n’était pas encore à la mode.

261. Le mardi 11 février 2014 à 12:55 par Holmes

Timbré à l’occiput,

“L’ordinateur, tout comme l’employé humain, est soumis au principe de Peter. S’il commence par faire du très bon travail, les gens ont tendance à le promouvoir à des tâches plus difficiles, jusqu’à ce qu’il atteigne son niveau d’incompétence.

Même s’il est parfaitement compétent, l’ordinateur magnifie à l’infini les résultats de l’incompétence de son propriétaire et de ses programmateurs.” - Peter et Hull -

Alors, condamnés à voir ses bagatelles sur le Web à perpétuité ?

262. Le mardi 11 février 2014 à 14:00 par RG

@244 nooby

Non, on peut s’introduire dans une zone privée sans le savoir (par exemple, à cause d’un défaut de sécurisation), puis avoir des éléments permettant de savoir qu’on n’est pas censé s’y trouver (comme la possibilité de modifier des paramètres, de publier des articles, d’accéder à des données visiblement privées…).

On peut également s’introduire dans la zone privée d’un employé (répertoire disque, mail) sans le savoir et avoir accès à des photos ou une correspondance olé olé, donc visiblement privées…..

… Auquel cas, rester dans cette zone est frauduleux.

…..auquel cas l’accès à cette zone visiblement privée est tout à fait légal si l’employé n’a pas expressément et clairement indiqué qu’il lui donnait un caractère privé (répertoire et l’objet des emails marqués PERSONNEL).

Le caractère privé même évident ne se présume (présumait ?) pas.

263. Le mardi 11 février 2014 à 14:15 par Passares

@mauve 237

Un peu pompeux le nous les juristes non ?

Pour lancer une nouvelle analogie, vous rentrez dans un café, derrière le comptoir une porte fermée avec un panneau PRIVE. Vous devez donc sortir immédiatement du café. Vachement logique !

264. Le mardi 11 février 2014 à 14:26 par Holmes

@ RG (262) (“…ou une correspondance olé olé…”)

  • Le crime était presque parfait,

“Un certain ordinateur était tellement sensible à l’électricité statique qu’il faisait des erreurs chaque fois qu’une employée portant de la lingerie de nylon s’approchait de lui.”

Sur Internet rien ne s’efface.

265. Le mardi 11 février 2014 à 14:31 par Kus

@mauve - 237
Votre point de vue de technicien, c’est que le système exprime ontologiquement la volonté de son maître (si je peux accéder à un fichier quelque soit le chemin que j’emprunte, alors le fichier est public). Cela revient à sanctionner l’imprudence de la victime par la relaxe du criminel.

Votre point de vue est très peu défendable par différents aspects:

1) Mettre des documents sur un site web entraine au contraire des responsabilités. Votre point de vue, s’il était appliqué de façon récurrente, entrainerait des problèmes évidents: Les contenus insultants, diffamatoires, les violations de droits d’auteurs pourraient simplement être couverts par le simple fait que l’on déclare cela comme du contenu privé (librement accessible certes, mais privé, j’y ai donc les droits que j’ai dans ma sphère privée?). Si on configure un serveur pour fournir du contenu sur le web, on prend des responsabilités.

2) Contrairement au mauvais exemples de la maison avec la porte ouverte, un site web est réputé être public de prime abord. Alors que si j’arrive face à une maison, je présume en premier lieu son caractère privé. Sur un site au contraire, tant qu’on ne m’y refuse pas l’accès, je présume que je navigue librement, particulièrement si je ne fais que cliquer sur les liens qui me sont présentés (ce qui ne peut être considéré comme un comportement inapproprié).

3) Valider un pareil jugement crée une zone gris dangereuse, dans laquelle on place l’internaute dans une insécurité juridique pouvant éventuellement le faire condamner à la suite d’un usage qui apparait comme légitime. Alors qu’en face on a une société, qui aurait découvert la faille si elle s’était donnée la peine de se payer au minimum 1h de consulting par un spécialiste, avant de déverser ses contenus sur le web.

Sinon, contrairement au billet de Me. Eolas, si j’arrive suite à un lien mal configuré sur une interface de gestion de la base de donnée du site, on pourrait effectivement arguer que j’ai les connaissances nécessaires pour comprendre que je n’ai probablement rien à faire là (je les ai). Cependant ici, il n’est nullement le cas d’interface d’administration de quoi que ce soit, mais de pages donnant accès à des documents à télécharger. Ceci est la base de tout site web public, et il est très difficile d’y voir autre chose, hormis pour ceux qui «savent».

Sur un système d’information, on distingue en général 4 opérations principales: La lecture, la création, la modification et la suppression. En jargon, on parle de CRUD (create read update delete). Bien que chacune de ces opérations puissent être limitées en accès, les opération d’édition et de suppression sont considérées comme particulièrement sensibles. La création ensuite est aussi souvent limitée. Mais la lecture est le droit le plus couramment accordé. Ce qui fait que généralement, n’importe quel usager avec un peu de connaissances, ne vas penser que ce droit lui est accordé par erreur, au contraire des autres.
Par exemple j’ai accès à tous les commentaires de ce billet: ça ne me choque pas.
J’ai accès à la création d’un commentaire (avec des limitations): ça ne me choque toujours pas.
Je n’ai pas accès à leur modification ni à leur suppression: dans le cas contraire j’aurais pu être étonné.

Dans le cas Bluetouff c’est bien uniquement de la première catégorie dont il s’agit. Il est tout à fait légitime de penser qu’une authentification servirait afin d’accéder au droits supplémentaires mentionnés, voir à l’accès d’autres documents, considérés eux comme confidentiels.

266. Le mardi 11 février 2014 à 15:27 par rprot@laposte.net

à corrector : si j’ai bien compris, Google a récemment regroupé plusieurs services rachetés à des sociétés séparées. Et a fusionné les données sans en informer clairement les utilisateurs. Par exemple : les photos intimes que vous avez stockées sur Picasa et dont vous ne souhaitiez pas la diffusion se retrouvent en première ligne sur votre profil Google + (exemple réel).
à Pierre M. Boriliens : vous vous retrouvez sur une arborescence (pas un site web en html, hein, un truc aussi sexy que ftp://ftp1.freebsd.org/pub/FreeBSD/ ). Et là, vous tombez sur un répertoire appelé “private” contenant des factures, des relevés bancaires, des dossiers sous-titrés “confidentiel”, des photos de mariage ou des courrier intimes. Voila.
à Marcel : qui vous parle de site web ?
à herve_02 : je ne connais pas le droit (juste un peu de droit de l’informatique quand même) et je ne sais pas non plus qui a décidé que les documents copiés étaient privés (simple supposition : M Bluetouff a lui-même proposé les docs à la presse, il n’est donc pas exclu qu’il ait lui-même pensé être en possession de documents non publics)

267. Le mardi 11 février 2014 à 15:36 par dineptus

@OlivierJ : c’est un peu plus compliqué.

J’ai par exemple crée un site web, et j’ai eu la surprise de voir que google a tenté (mais en vain evidemment car je sais paramétrer mon serveur) d’acceder à une bonne partie de mes pages d’administration, ainsi que de debuggage. Il n’y a pourtant aucun lien nulle part menant vers ses pages. Comment google y est-arrivé dans ce cas me direz vous ? A partir de mon propre historique.

D’un façon ou d’une autre (je ne me suis pas très bien renseigné), google a pu analyser mon historique et tenter de l’explorer. Attention, je ne dis pas que google va tenter d’explorer toutes les pages sans permission ! Simplement, mon domaine est bien indexé par google et comme il a vu des pages qu’il ne connaissait pas dans ce domaine qu’ile st sensé indexer, en bon élève il a tenté d’y accéder.

Dans ce cas, il est donc probable que google ait eu cette ou ces URL via l’historique de quelqu’un, et comme les fichiers n’étaient pas protégés (erreur classique, il se trouve que protéger les fichiers est un tout petit peu plus délicat que protéger les pages web), il les a référencé.

268. Le mardi 11 février 2014 à 17:27 par #FAQ #LeParcEtSaMuse #EssaiTouff #LàDesCerfsRientJaune

LIVRE DU DROIT DE PIED DES STAL

CODE PÉNAL DE L’UTILISATION DES SOUS-SYSTÈMES DE TRAITEMENTS AUTOMATISÉS LÉGI-TUMÉFIÉS ET DES SYNDROMES PSYCHOLOGIQUES ASSOCIÉS CHEZ LES NULS EN TÉLÉPATHIE QUANTIQUE

( Qui protège mal, préjuge bien ! )

1. i-Robot => Accès DE RÉFVÉRENCE
i-Robot => Maintien DE RÉFVÉRENCE

2. i-Savé-Tou! => Accès FRAUDULEUX
i-Iz-Da-PiratZ! => Maintien FRAUDULEUX

3. i-Savé-Rien! => Accès RELAX™
i-Na-Rien-Vu! => Maintien RELAX™

4. i-Savé-Rien! => Accès RELAX™
i-Iz-Da-Piratz! => Maintien FRAUDULEUX

5. i-Savé-Tou! => Accès FRAUDULEUX
i-Lsé-Rézo-Nez! => Maintien RELAX™

6. Cas particulier (sur nomination par le garde des Sceaux — exclusivement):

Bonjour Oh, de l’OpenDATA? => Accès QUANTIQUE
<3 Merci! <3 => Instruction inconnue… bip bip.. Garde à vue.. bip bip..

Oui, c’est bien moi qui ait publié. Ben oui, bien sûr que j’ai tout pris, merci! Mais j’ai pas tout euh, compris. Vous auriez une idée de ce que signifie….? Ah oui? Non, si? OK, bien désolé, je dé-publie… => MAINTIEN RELAX(TMP) bip. bip… (TMP) bip… (TMP)… APPEL! APPEL!

En informatique, « la vérité est ailleurs »! Il pique vraiment les yeux ce STAD, non? => Maintien FRAUDULEUX, VOL, (…) et SCÉLÉRAT!!

(À suivre ?)

269. Le mardi 11 février 2014 à 17:42 par killkiki

google peut il être accuse d accès frauduleux, ou de recel dans le cas ou bleutouf est accuse?

270. Le mardi 11 février 2014 à 18:37 par SB

@Dineptus: “il est donc probable que google ait eu cette ou ces URL via l’historique de quelqu’un”

Vous parlez de l’historique du navigateur, en principe inaccessible à Google, ou de l’historique des recherches Google ? (mais il est peu probable que quelqu’un fasse cette recherche dans Google, sauf si on parle justement des gestionnaires du site qui veulent vérifier que la page n’est pas indexée.)

271. Le mardi 11 février 2014 à 19:45 par Jira

Bonjour,

Juste pour vous indiquer que si Bob avait plaidé le fait de tester la sécurité de ce site, il aurait été relaxé tout simplement :

http://www.donneespersonnelles.fr/i…

Cordialement,

Jira

272. Le mardi 11 février 2014 à 22:06 par Tortuga

@Syl : Vous dites “on ne peut dire qu’il n’y a pas eu accès frauduleux et dire qu’il y a eu maintien frauduleux.”

Et bien si, on peut très bien accéder en toute bonne foi à un site privé croyant que c’est public (accès non frauduleux car on ne l’a pas fait exprès). Mais si on reste dans le site après s’être rendu compte de son caractère public, alors là il y a maintient frauduleux (on sait qu’on ne devrait pas mais on continue).

Ici, on a :

  1. Un accès qui est à priori honnête.
  2. Le blogueur qui se serait rendu compte par la suite que le site est privé. On s’en rend compte par plusieurs points :
  • Il a repéré qu’il fallait normalement passer par une page de login/mot de passe
  • Il dit avoir voulu publier (et non pas republier) ces données, ce qui sous-entend qu’elles n’étaient pas encore publiques
  • Il n’aurait pas mis le lien vers sa source dans son article (ce qui laisse penser qu’il savait que sa source n’était pas nette)
  • Il a téléchargé 8Go de données alors qu’il aurait pu se contenter de les consulter en ligne. ceci laisse penser qu’il savait que ces données n’avaient pas vocation à être publiques et que dès que l’admin s’en rendrait compte, il en couperait l’accès. Est-ce que vous téléchargez souvent 8Go de données publiques vous alors qu’elles sont en libre accès en permanence ?

Il me semble difficile d’affirmer qu’il ne s’est rendu compte de rien.

273. Le mardi 11 février 2014 à 22:26 par Holmes

@ 268 (“Il pique vraiment les yeux ce STAD, non ?”)

  • L’examen (attentif) révèle quelques écoulements spontanés d’encre de Chine dans les commissures inter…zygomatiques.

274. Le mardi 11 février 2014 à 22:57 par banane

à Kus : “Contrairement au mauvais exemple de la maison avec la porte ouverte, un site web est réputé être public de prime abord.” Mais qui vous parle de site web dans cette histoire ? (et quand bien même il s’agirait d’un site web : télécharger 8 Go de données à un endroit qui s’appellerait www.entreprise.com/intranetprivé/répertoireTopSecret/ vous semble légitime ?)
Pour info, quelques petits exemples là (y a qu’à cliquer sur les liens) : http://www.geekorama.fr/12-astuces-…
Ce sont des exemples de neuneux, hein, pas de quoi vous faire condamner (heu, en fait si) mais sachez qu’on peut faire bien mieux (ou bien pire, c’est selon).

275. Le mardi 11 février 2014 à 23:02 par herve_02

@tortuga

je réécris l’histoire pour la faire coller à ma réalité. Si cela vous satisfait. cela fait au moins une personne.

Même si le site a “oublié” de protégé ses données et que l’on peut supposer que c’est une aubaine, il n’y a pas de délit de lire et télécharger.
- S’introduire n’a pas été frauduleux : un simple lien,
- y rester non plus car le paramétrage le permet.
- Comme la “victime” affirme elle même qu’il n’y a rien de confidentiel
- le site de l’anses affirme que toutes ses données sont publiques,
- “nul ne peut s’opposer à la diffusion une fois que cela a été porté à l’attention du public”

On peut par exemple supposer que tous ses documents sont en consultations lien par lien, individuels et qu’il n’est pas prévu de pouvoir y accéder “en masse”, qui ne fait que “faciliter” l’investigation.

Pas de victime, pas de préjudice, pas de délit… juste le délire sécuritaire d’une société de contrôle.

276. Le mardi 11 février 2014 à 23:11 par RG

@272 Tortuga

Il a repéré qu’il fallait normalement passer par une page de login/mot de passe

Absolument pas, et si c’était le cas Google ainsi que lui-même seraient coupables d’intrusion.

Il a téléchargé 8Go de données alors qu’il aurait pu se contenter de les consulter en ligne.

Dit-il sachant que consulter tout ça en ligne revient à télécharger …… 8Go de données.

On est en plein délire.

277. Le mardi 11 février 2014 à 23:23 par RG

@ 275 herve_02

nul ne peut s’opposer à la diffusion une fois que cela a été porté à l’attention du public

Sous respect du droit de la propriété industrielle, intellectuelle, à la vie privée etc etc….

278. Le mardi 11 février 2014 à 23:58 par banane

à herve_02 :
“- S’introduire n’a pas été frauduleux : un simple lien,
- y rester non plus car le paramétrage le permet.”
Effectivement, si c’est possible, c’est donc que c’est autorisé. Flûte… je n’y avais pas pensé.

279. Le mercredi 12 février 2014 à 00:06 par herve_02

@banane

Effectivement, si c’est possible, c’est donc que c’est autorisé.
Flûte… je n’y avais pas pensé.

oui, nemo auditur turpitudinem allegans

280. Le mercredi 12 février 2014 à 00:29 par makemeasandwich

Cher Maître,

Merci pour ces explications. Le raisonnement, selon lequel la présence d’une page d’authentification à la racine d’un site web suffit à établir le caractère frauduleux du maintiens dans ce système d’information, me semble toutefois erroné et risque de rendre beaucoup de monde coupable de ce délit. Ainsi, je m’en rendrais moi-même coupable, par exemple, en lisant vos tweets. En effet, c’est bien une recherche Google qui m’a permis de les trouver à l’URL https://twitter.com/Maitre_Eolas. Mais après être remonté dans l’arborescence des répertoires jusqu’à la page d’accueil (https://twitter.com/), j’ai constaté la présence d’une authentification par login / mot de passe. N’étant pas inscrit sur ce site, je devrais en conclure que :

  1. vos tweets, bien que consultables publiquement, n’ont en fait pas vocation à être publics ;
  2. si j’ai pu les lire, ce n’est qu’en raison d’une erreur de configuration des serveurs de Twitter par leurs administrateurs (ah, les n00bs) ;
  3. je dois donc cesser de les lire, sans quoi je me rendrais coupable de maintiens frauduleux dans un STAD.

281. Le mercredi 12 février 2014 à 00:36 par herve_02

@makemeasandwich

Mais le juge se cogne de eolas… par contre l’anses, c’est la “république menacée”…

dérive (délire) sécuritaire de la classe dominante qui sent la révolte approcher.

282. Le mercredi 12 février 2014 à 00:59 par corrector

@Pierre M. Boriliens
“Pourquoi est-ce que je devrais me demander si le bibliothécaire a bien fait de me donner ce livre ?”

Parce que le pays glisse lentement vers le totalitarisme.

“C’est ridicule !”

Oui.

283. Le mercredi 12 février 2014 à 01:19 par corrector

@nooby
“Non, on peut s’introduire dans une zone privée sans le savoir (par exemple, à cause d’un défaut de sécurisation), puis avoir des éléments permettant de savoir qu’on n’est pas censé s’y trouver (comme la possibilité de modifier des paramètres, de publier des articles, d’accéder à des données visiblement privées…).”

Bon, admettons, même si c’est complètement tiré par les cheveux. Il y a quelque part sur un site Web des pages qui donnent accès à des réglages qui ne devraient pas être publiquement accessibles.

“Auquel cas, rester dans cette zone est frauduleux.”

Quelle zone? Le site? La page?

Si j’entre dans un magasin, et que je vois que la caissière est partie, que la caisse n’a pas été refermée et que je pourrais (essayer de) prendre l’argent de la caisse, alors c’est que je ne suis pas supposé pouvoir entrer … dans le magasin?

Cas plus concret :

J’ai accès à un système de fichier avec un compte utilisateur normal. J’ai accès à des appels système (open, read, write, link, unlink…) qui me permettrait d’accéder et de modifier certaines données. Mais en fait je ne peux pas savoir si ces appels me permettent d’effectuer des modifications, par exemple sous linux un fichier accessible en écriture (visible avec “ls -l”) peut être non modifiable (attribut “i”). Il y a aussi les listes de contrôle d’accès. Il y a aussi le MAC.

Ce que je veux dire est que les apparences immédiates peuvent être trompeuses : un fichier peut sembler accessible (d’après “ls -l”) mais ne réalité ne pas l’être. Pour savoir si j’ai le droit de modifier un fichier, il faudrait que j’essaie de le modifier - toute autre approche n’est pas fiable et tout programme qui a besoin de prévoir s’il pourra accéder à une source avant d’y accéder est bugué (et la fonction “access” d’unix qui prétend faire cette prédiction est une fumisterie).

Si je ne peux pas savoir si je dispose d’un accès à une ressource sensible, accès qui à l’évidence devrait être protégé, je ne peux pas savoir s’il y a défaut manifeste de sécurisation.

284. Le mercredi 12 février 2014 à 01:22 par corrector

@banane
“Effectivement, si c’est possible, c’est donc que c’est autorisé.”

Exactement. C’est un principe de base.

Après on peut discuter de ce qui est un contournement.

“Flûte… je n’y avais pas pensé.”

Il n’est jamais trop tard pour apprendre l’informatique.

285. Le mercredi 12 février 2014 à 01:44 par corrector

@dineptus
“J’ai par exemple crée un site web, et j’ai eu la surprise de voir que google a tenté (mais en vain evidemment car je sais paramétrer mon serveur) d’acceder à une bonne partie de mes pages d’administration, ainsi que de debuggage.”

Comment savez-vous que c’est Google qui a fait ça?

Utilisez-vous les outils Google pour webmestres?

“Il n’y a pourtant aucun lien nulle part menant vers ses pages.”

En êtes vous absolument sûr?

Est-ce qu’un referer était indiqué dans le log?

“Comment google y est-arrivé dans ce cas me direz vous ? A partir de mon propre historique.”

Vos accusations contre Google me semblent graves, cela revient à dire que Google espionne ce que vous faites avec votre navigateur.

Vous avez des preuves? Vous avez gardé les logs?

Comment Google pourrait-il connaitre votre historique?

  • Avez-vous utilisé un outil Google comme la barre d’outils Google pour navigateur (qui a été supprimée sur Firefox, je ne sais pas pour IE)?
  • Utilisez-vous Google Chrome? En effet, Chrome propose synchroniser ses onglets ouverts via un compte Google, afin de pouvoir les retrouver sur un autre ordinateur. (L’accès au compte se fait après identification et authentification par mot de passe. Les données sont chiffrées pendant le transit. On peut aussi demander que les données soient stockées chiffrées chez Google, avec un autre mot de passe. Avec l’option de chiffrement, en principe, Google ne peut absolument pas connaitre vos onglets ouverts.)
  • Avez-vous utilisé une fonction de navigateur qui nécessite l’envoie d’une URL à Google?
  • Avez-vous recherché ces URL pour savoir si elles étaient indexées?

Google propose des lieux d’échange avec les webmestres, qui devraient permettre d’éclaircir cette histoire étonnante.

286. Le mercredi 12 février 2014 à 02:07 par corrector

@Tortuga
“Il a repéré qu’il fallait normalement passer par une page de login/mot de passe”

N’importe quoi. Vous savez lire le français? Vous comprenez ce que vous lisez? Après plus de 200 messages il faut ENCORE recommencer l’explication au début?

De très nombreux messages postés par des contributeurs différents ont expliqué que :

  • le fait qu’une page d’un site soit protégée par “lojin” n’implique pas qu’une autre page soit censée l’être (ex. Twitter)
  • le fait qu’un répertoire “au dessus” ne soit pas accessible (listable) ne signifie pas que les pages en dessous devraient être aussi inaccessibles (ex. ce blog, le répertoire parent donne “Document non trouvé”)
  • la page racine d’un site n’est pas L’entrée du site, c’est UNE entrée possible sur le site; chaque URL accessible est une “entrée” possible sur le site.

La conclusion, c’est que vous ne comprenez rien au Web, vous ne savez pas ce qu’est un site Web, vous ne comprenez rien aux réseaux et vous ne comprenez rien à l’informatique, et donc vous ne devriez pas faire des assertions aussi définitives que ridicules, tout comme les juges.

(Oui, tout ça en gras parce que maintenant ça suffit, on ne va pas répéter 300 fois la même explication.)

“Il dit avoir voulu publier (et non pas republier) ces données, ce qui sous-entend qu’elles n’étaient pas encore publiques”

Arrêtez avec vos interprétations fumeuses, les données avaient déjà été publiées, c’est un FAIT, les faits ont la priorité sur les interprétations des propos, sauf dans le monde de fous des juristes chtarbés.

“Il n’aurait pas mis le lien vers sa source dans son article”

Quelle “source”?

“(ce qui laisse penser qu’il savait que sa source n’était pas nette)”

Non, ça laisse penser qu’il ne l’a pas mis.

“Il a téléchargé 8Go de données alors qu’il aurait pu se contenter de les consulter en ligne”

Il aurait pu, il aurait pu….

Donc d’après vous si j’aurais pu faire une chose et que j’ai choisi d’en faire une autre, je suis coupable?

On n’est pas dans une République, là.

Il y a plein de bonnes raison “d’aspirer” un site :

  • pouvoir le consulter après s’être déconnecté
  • pouvoir le consulter même si le serveur devient inaccessible pour n’importe quelle raison (oui, les pannes, ça arrive)
  • faire des recherches rapides sur plusieurs pages
  • l’indexer

“Est-ce que vous téléchargez souvent 8Go de données publiques vous alors qu’elles sont en libre accès en permanence ?”

Sans pertinence. Dans des situations différentes, les gens utilisent des outils différents.

Il m’est arrivé d’aspirer un site, pour pouvoir le consulter hors ligne (avec un outil légitime qui respecte le robots.txt). D’autres personne n’ont jamais eu besoin de faire cela, ou bien ne savent pas faire. L’inexpérience de certaines personnes qui sont en face de vous, qui ne savent pas aspirer un site, qui ne savent pas à quoi ça sert, n’est pas un argument.

L’accusé est plus compétent en informatique que vous. Cela en soi vous interdit les raisonnements “moi j’aurais jamais fait ça”. Vous n’auriez pas fait ça, parce que vous êtes incompétent en informatique.

Ce que vous proposez est du fascisme, purement et simplement.

Conclusion : si vous voulez contribuer intelligemment à une discussion, commencez pas intégrer ce qui a été écrit par des gens qui savent de quoi ils parlent.

287. Le mercredi 12 février 2014 à 02:10 par corrector

@banane
“Mais qui vous parle de site web dans cette histoire ?”

DEPUIS LE DÉBUT IL N’EST QUESTION QUE D’UN SITE WEB.
D’UN SITE WEB.
D’UN SITE WEB.
D’UN SITE WEB.

Qu’est-ce qui ne va pas chez vous?

Est-ce que vous êtes un troll?
Est-ce que vous êtes juste complètement con?

288. Le mercredi 12 février 2014 à 02:29 par corrector

@Hulk
“Internet n’est pas un espace public. Ce n’est qu’un support technique à une multitude d’activités, certaines publiques, d’autres privées.”

C’est une interconnexion (à l’échelle mondiale) de réseaux IP.

Là déjà vous êtes largué, merci de ne revenir ici que quand vous aurez compris les termes utilisés.

“Il perdrait surtout beaucoup de son intérêt financier, pour ceux qui en vivent.”

Allez vivre dans une grotte, ça nous fera des vacances.

289. Le mercredi 12 février 2014 à 03:48 par corrector

@Hulk
“En ce cas, les sites devront revoir leur architecture interne pour être bien référencés par google, une fois que google aura déployé ces nouveaux algorithmes plus contraignants. Ce n’est pas un problème de fond.”

Vous dites vraiment de la merde, Hulk.

Si tous les sites Web sont forcés d’être réorganisés parce qu’une société change ses algorithmes, c’est un problème de fond.

On attend bien sûr que vous décriviez ces algorithmes magiques.

290. Le mercredi 12 février 2014 à 03:50 par corrector

@ole
“Déjà pour apparaitre dans google il faut le specifier dans le code de sa page avec un petti scprit made in google”

N’importe quoi.

Vous ne connaissez rien au référencement, vous ne comprenez rien aux moteurs de recherche, évitez d’en parler.

291. Le mercredi 12 février 2014 à 03:53 par corrector

@rprot@laposte.net
“si j’ai bien compris, Google a récemment regroupé plusieurs services rachetés à des sociétés séparées. Et a fusionné les données sans en informer clairement les utilisateurs.”

Quoi?

Les utilisateurs ont été informés par un message dans leur boite Gmail et par des messages présents sur les pages Web.

Aucune société n’a à ma connaissance fait une plus grande campagne d’information que Google concernant une modification des conditions d’utilisation.

“Par exemple : les photos intimes que vous avez stockées sur Picasa et dont vous ne souhaitiez pas la diffusion se retrouvent en première ligne sur votre profil Google + (exemple réel).”

Ah bon. Source?

292. Le mercredi 12 février 2014 à 04:00 par corrector

@mauve
“En revanche, selon la Cour, le maintien dans le système au-delà de la découverte de la page de login par le prévenu complète l’infraction de son élément intentionnel, puisque passé ce moment, le prévenu ne pouvait plus ignorer qu’au moins certaines parties auraient du être hors limites, et que nonobstant, en continuant à aspirer de manière indiscriminée la totalité du contenu, il ne pouvait dès lors plus ignorer avoir au minimum copié un panachage de données publiques et privées.”

C’est de la démence ce que vous écrivez : il pourrait y avoir des pages privées sur un site qui serait publiées par erreur, donc je n’ai rien le droit de consulter.

Donc vous ne pouvez plus utiliser un navigateur Web.

“C’est le raisonnement de la Cour ; vous pouvez pester, tempêter, lever les bras au ciel, mais il n’empêche qu’elle a fait son job.”

Oui, dans un asile de fous, votre point de vue débile serait défendable.

“Vous, vous plaidez pour qu’internet dans sa globalité soit traité comme une exception au sein des STAD, peut-être que le législateur vous entendra un jour (j’en doute), mais en droit positif, cette exception n’existe pas.”

L’exception du droit de consulter des documents publiés?
L’exception du droit d’entrée par là où il y a marqué ENTRÉE alors qu’on vous invite à entrer?

Vous le faites exprès ou bien vous êtes à ce point stupide?

Rassurez-nous, vous ne pratiquez pas réellement le droit?

Sérieusement, il y a quelque chose de dysfonctionnant chez vous.

293. Le mercredi 12 février 2014 à 04:09 par corrector

@Freddy
“En revanche n’importe qui pourra et aura droit d’accéder aux 20% restants.”

Et surtout il sera absolument impossible de s’assurer avant, ou en accédant à un document, qu’il fait parti des 20 %, sauf à demander normalement l’accès et à considérer qu’il en fait parti si l’accès est autorisé - ce qui a été fait.

294. Le mercredi 12 février 2014 à 04:31 par Gou-Gueule Le Tout Puissant

@222, banane (Très bon choix de pseudo - vous en êtes une d’un fort beau gabarit.)

“Rappelons (mais Me Eolas l’a fait) que le fait qu’une arborescence présente sur internet soit non protégée ne fait pas de celle-ci un site public, ouvert à consultation (et encore moins à diffusion).”

Bah si - ça fait.

295. Le mercredi 12 février 2014 à 04:37 par Gou-Gueule Le Tout Puissant

Merci à “corrector” pour sa patience et son abnégation. Ses commentaires sont de loin les plus sensés et les plus informés de toute cette page Web, et ce en incluant le billet de blog à l’origine de cette foire aux ignorants et aux analogies imbéciles (pour la grande majorité d’entre elles…).

296. Le mercredi 12 février 2014 à 06:13 par FrancoisCarmignola

Deux choses intéressantes qui expliquent bien le point de vue “juridique” tant revendiqué ici:

- Bluetouff est victime de son aveu. Le délit est ainsi fondé sur l’intention.
Le condamnable est donc subjectif et la culture de l’aveu (qui évoque la torture des anciens temps) est bien là.
- Un document accessible interdit ne doit pas être lu, ni communiqué. Le mal est dans la vision, dans la perception, dans la parole, pourvu que l’objet de l’expression soit, non pas protégé ou caché, mais approprié par une puissance morale.

C’est mauve qui crache le morceau en 237:
“Ce qui compte en pénal, ce sont les intentions, la volonté psychologique des personnes en cause, l’expression de cette volonté, et la preuve qu’on peut rapporter de la connaissance par l’auteur des faits des règles qu’il viole.”
Une telle explication, j’en remercie l’auteur, clarifie le débat et fait comprendre les arguments des “juridistes”.

Aprés tout, la loi est aussi là pour protéger le faible: et si bluetouff avait accédé au site du procureur, et tenté de
vendre à closer les photos olé olé mal protégées qui s’y trouvaient ?

297. Le mercredi 12 février 2014 à 07:55 par kus

Ce qui est drôle, c’est toutes ces personnes qui voient un aveu, là où l’intéressé voit lui-même qu’une simple constatation sans grand rapport avec le problème. Ça ne peut donc en tout cas pas être pris comme une preuve de ses intentions, tout au plus comme une erreur de jugement. Bien que je conteste aussi ce dernier point.

«Aprés tout, la loi est aussi là pour protéger le faible: et si bluetouff avait accédé au site du procureur, et tenté de
vendre à closer les photos olé olé mal protégées qui s’y trouvaient ?»
Sauf que ce n’est pas du tout ce qui s’est passé. Bluetouff n’est pas tombé sur une page d’administration, de réglages systèmes, ou contenant des données à caractère privées. Il est tombé sur des rapports techniques regroupés par une société publique, ces rapports étant pour une bonne partie effectivement publics et publiés ailleurs sur le web.

298. Le mercredi 12 février 2014 à 08:21 par nooby

@corrector (283) :
Je ne comprends pas vraiment pourquoi vous vous acharnez à me répondre à côté de la plaque alors que je ne faisais que préciser à un commentateur qui affirmait que c’était impossible (j’ai oublié qui c’était d’ailleurs u__u) qu’il peut y avoir maintien frauduleux sans accès frauduleux dans un STAD.
Mon exemple est tout à fait valable : si vous tombez, par exemple, sur la zone de modération des commentaires de ce blog via une URL référencée, votre accès n’est pas frauduleux (vous n’avez pas utilisé d’outil autre qu’un moteur de recherche, qui se base sur des données rendues publiques ; vous n’avez pas eu à en forcer l’accès ; tout ça), mais étant donné que vous vous y connaissez en informatique et que vous connaissez le site sur lequel vous êtes, vous pouvez difficilement plaider de bonne foi que vous pensiez que la page était publique… auquel cas vous maintenir dans cette zone privée est frauduleux (du moins, peut l’être, selon la décision du juge si Maître Eolas va jusque là =P). Après, vous pouvez continuer à lire les articles du site.
Je ne sais pas si je suis très clair. :hm En gros, je veux dire que si vous accèdez à une zone qui est manifestement censée être privée et protégée, mais qui se trouve être publique (par faute de l’administrateur), vous ne devez pas y rester, mais la quitter le plus vite possible et avertir l’administrateur.
Du reste, je suis tout à fait d’accord avec vous : Tortuga, Hulk et banane ne connaissent rien à Internet et à l’informatique en général et devraient donc s’abstenir de la ramener sur le sujet, et au vu des seuls argument rapportés par Maître Eolas, cette condamnation est un non-sens dangereux… Je me contentais simplement d’apporter ma pierre à l’édifice en disant qu’il peut y avoir maintien frauduleux sans accès frauduleux, même si ça paraît assez peu probable. ^^

299. Le mercredi 12 février 2014 à 08:38 par banane

à corrector et à Gou-Gueule Le Tout Puissant : vous savez ce qu’on appelle un extranet ? parce que c’est de ça qu’il s’agit dans l’article de Me Eolas (j’imagine que vous savez lire et que nous commentons son article). Vous pouvez toujours taper dans wikipedia (désolé mais faut tout vous dire) et revenir nous dire ensuite si un extranet est un site public.
Heu, pour info, sans vouloir vous vexer, vous êtes insultants, vous sous estimez les compétences informatiques de vos interlocuteurs et, pour corrector, vous m’avez l’air assez malin pour penser que Google s’est fait condamner en France sans raison (peut-être, pour vous, n’a-t-il pas les moyens de se payer un bon avocat).

300. Le mercredi 12 février 2014 à 08:46 par nooby

@banane :
http://www.maitre-eolas.fr/post/201…
OH MON DIEU DES EXTRANETS QUI PROPOSENT DES DOCUMENTS LIBREMENT ACCESSIBLES.
Votre vision du monde s’en remettra-t-elle ? =O

301. Le mercredi 12 février 2014 à 09:37 par Charles

Puisque les VPN sont évoqués avec humour à la fin du billet. Est-ce que justement le fait que Bluetouff n’ait pas utilisé un VPN n’est pas une circonstance atténuante ou une preuve de l’absence de volonté de nuire ?

Il aurait en effet aisément pu enregistrer le lien direct vers l’Intranet qui lui permettait d’entrer sans passer par la page de login et utiliser ce lien derrière un VPN crypté genre Tor ce qui aurait au minimum fortement compliqué son inculpation.

Ceci dit il est vrai que si l’on vole ouvertement quelque chose dans un magasin l’air dégagé, cela ne change rien à l’acte. Encore qu’il s’agit alors d’une prise physique de propriété au détriment du magasin….

302. Le mercredi 12 février 2014 à 10:28 par mauve

@FrancoisCarmignola (296) : Voilà ; exactement, c’est ça. Plutôt que “culture de l’aveu”, je pense qu’il vaudrait mieux parler d’une manière générale de régime de la preuve, l’aveu étant un mode de preuve parmi d’autres, mais celui qui a emporté la décision en l’espèce. Quant à moi, je n’ai pas “craché le morceau”, ma seule religion est celle de la pédagogie, je n’ai donc eu qu’à lire l’article 121-3 du C. pénal. ;-)

« Il n’y a point de crime ou de délit sans intention de le commettre. (…)»

PEBCAK, comme on dit.

303. Le mercredi 12 février 2014 à 11:42 par _Alex_Uper_

plutôt bonne analyse , mais réductrice …

l’analogie avec la pièce sans mur n’est pas la seule possible !
le protection découverte ne montre seulement que des documents étaient (à?) protégés mais pas forcément ceux-ci ..
il y avait un digicode mais sans indication de la porte qu’il commandait (ou pas) ….

304. Le mercredi 12 février 2014 à 12:22 par Lavrenti

Je pense que l’analyse présentée par Mauve est correcte.

Les elements d’Eolas sont tres limités et il me semble impossible d’en tirer conclusion que le jugement a été rendu sur la base d’une absence de culture technique.

Ce qui est essentiel est que les juges ont considéré que que le prévenu etait conscient d’avoir acces à des données protégées.

Le seul fait d’être tombé sur une page de login quelque part dans une arborescence est bien sur insuffisant pour arriver à cette conclusion, mais en l’absence des declarations faites à la police et sans connaitre la teneur des débats, se baser uniquement sur cet element pour considerer que les juges sont incompetents est absurde.

Pour tomber dans l’exces inverse, c’est un peu comme si l’on considerait que la presence d’une page de login signifiait que le prevenu n’est rien d’autre qu’un HacKerZ sans foi ni loi coupable de tout ce qui est reprimé par la loi dans le domaine de la protection des données.

Donc sauf à faire apparaitre des elements nouveaux permettant d’infirmer cette analyse, il est juste de considérer que le jugement rendu est correct.

305. Le mercredi 12 février 2014 à 12:26 par herve_02

@mauve

Il est parfait votre 121-3, l’accusé-coupable par défaut n’avait pas l’intention de commettre un truc illégal car les documents étaient largement accessibles. Donc il est censé être innocent.

Mais comme c’est la puissance publique contre un citoyen, la balance est déséquilibrée au départ et il a été décidé qu’il est coupable, il a juste fallu trouver une justification et malheureusement elle fait un peu “cheap” : se maintenir illégalement dans une zone publique (par simple navigation) en aspirant 8Go de donnée (la taille importe pour impressionner - parce que des fadettes illégales, c’est tout petit donc pas grave) non confidentielles. D’ailleurs il n’y a aucun préjudice car la pseudo-victime n’est même pas partie prenante.

Vous êtes la preuve par 9 de ce que la loi peut être un régime d’oppression dans la mesure ou elle est décidée, écrite et appliquée toujours par la même classe dominante et qui sait s’en servir (c’est ici un exemple, les fadettes de la courroie en est une autre, les armes de karachy encore une autre, le sang contaminé encore une, la vache folle encore une, le financement des partis politiques…) avec discernement pour être fort avec les faibles et faible avec les forts.

C’est pour cela qu’il ne faut RIEN dire du tout en garde à vue ou en convocation car ce que vous dites sera interprété (et souvent mal retranscrit) à l’aune de vos “intentions” que l’on a décidées bien avant de vous écouter et que l’on tordra pour arriver à la conclusion décidée d’office.

C’est une constante, dès que les 2 parties au procés sont “de la même classe”, il est, sauf exception, équilibré ; dès qu’il y a un “dominant” du coté de la balance, il faut un sacré poids de preuves, irréfutables, et un couverture médiatique forte pour tenter d’infléchir l’injustice alors qu’une simple supposition (que l’inculture ou la compromission transforme en intime conviction) suffit pour le “vulgaire”, ensuite, un peu d’interprétation de la loi et paffff.

C’est vrai que 3000 euros c’est cher, mais pas si cher payé pour montrer ce mécanisme d’oppression. Une fois que les recours seront épuisées, la cehd condamnera la france (une fois encore) pour son comportement qui ne respecte pas les droits de l’homme, un peu comme la turquie. Et le pire de tout, en fait, c’est qu’il y a toujours une cohorte de lambda pour justifier le truc, des lambdas qui ont abdiqués leur esprit critique pour que perdurent leurs servitudes volontaires qui rassurent leur petit monde étriqué.

Lorsqu’un péquin aspire une partie publiée d’un site d’un organisme publique avec des donnés à caractères publiques, il faut le condamner lorsque l’état aspire la totalité des correspondances privés du particulier c’est normal.. si vous avez rien à vous reprocher….

ca fait peur.

306. Le mercredi 12 février 2014 à 13:05 par eomer

moralités:
1 - fermer sa gueule, en tout lieu et en tout temps, mais n’en pas moins penser et agir.
2- si tu tombes sur quelque chose, récupère le et balance le anonymement (une cle usb ne coute pas cher et tu l’envoie par la poste, ca c’est anonyme.)
3 - on est vraiment dirigés et jugés par des boulets, aussi bien politiques que justice. (le parquet, en plus, c’est les deux.. double peine)
4 - quand tu fouilles, utilises tor et des vpn chainés, au minimum, sinon, t’es déjà mort..
5 - tu veux conserver ta liberté, ne fais pas confiance à quelque état que ce soit pour ca, et apprends, apprends, encore et encore.
le savoir rend libre. et le faire savoir y participe. c’est plus que jamais d’actualité.

307. Le mercredi 12 février 2014 à 14:06 par KOH

Il y a quelques temps, je me suis intéressé à la Révolution Française. Entre autres, je suis tombé sur cette page : http://www.amis-robespierre.org/fr/…
On y mentionne, avec le lien, et dans la rubrique Sites majeurs francophones, ceci :
Notes et Archives, 1789-1794 :
Le site incontournable sur la Révolution française. De nombreuses choses sur Robespierre dans les parties archives et discours.
http://www.royet.org/nea1789-1794/n…

Un site effectivement remarquable, avec des centaines de documents d’époque, discours, lettres, délibérations des assemblées, extraits de journaux, fac-similés, etc. Une vrai mine d’or ! J’en profite pour remercier Royet pour ce travail considérable.

Mais le site lui-même était très mal conçu, manifestement par un amateur. En particulier la navigation était une catastrophe. Comme je le consultais régulièrement, je l’ai aspiré (sous linux : wget -R http://www.royet.org/ . wget étant une commande standard unix, donc linux, depuis qu’unix existe… 1969 !).
De cette manière, j’avais accès directement aux divers tiroirs (répertoires) qui contenaient les documents. Je m’étais même promis qu’un jour je referais un site plus “propre” que j’offrirais bien entendu à l’auteur (une forme de remerciements).

Aujourd’hui le site a hélas disparu, pour des raisons que j’ignore… Mais j’ai toujours les centaines de documents qu’il contenait (et que j’aurais pu télécharger un à un).

Suis-je un cyber-criminel qui s’ignore ?

308. Le mercredi 12 février 2014 à 14:45 par autantenemportelevent

Excusez-moi, monsieur eolas, mais vous connaissez peut-être la récente affaire des fans de Mickael Jackson qui se font faits indemniser de sa mort. J’aimerais bien savoir si moi-aussi, quand Johnny, il sera mort, si je pourrais me faire indemniser, ah que !

309. Le mercredi 12 février 2014 à 15:18 par nonos

@ corrector en 235:

vous écrivez n’importe quoi, en utilisant une citation hors de son contexte (tiens, c’est exactement ce que dénonce BT, on le sait aujourd’hui …), et surtout, sans en regarder la date d’écriture … cherchez le début des interventions concernées, replacez cela dans le contexte chronologique des infos qui arrivent petit à petit,

et reprenez à votre compte les maux dont vous voulez affubler les autres.

Merci.

310. Le mercredi 12 février 2014 à 16:05 par PIA

@autantenemportelevent
c’est vrai que c’est totalement hors sujet votre question, mais ça me défrise moi que des citoyens français aient mobilisé notre appareil judiciaire pour leur pauv’ préjudice de fans de Mickael Jackson !!!!!
et pour au final 1€ symbolique chacun, combien ce dossier aura-t-il coûté aux autres contribuables pas fans de Mickael Jackson, ou même si, aux fans, mais pas cons à ce point.
Si la Justice doit servir à ça, alors en effet, il va falloir doubler ses budgets !!!

Désolé donc pour le hors-sujet, mais bon les 300 commentaires sur ce qu’est un extranet et ce qu’est internet commençaient à tourner un peu en rond.

311. Le mercredi 12 février 2014 à 16:46 par KOH

Je viens de faire un test d’aspiration du site de l’ANSES, avec mon linux préféré (Debian).
Requête envoyée : wget -r http://www.anses.fr/fr
Exemples de réponses :

2014-02-12 16:28:48— http://www.anses.fr/fr/user/connect
Réutilisation de la connexion existante vers www.anses.fr:80.
requête HTTP transmise, en attente de la réponse…200 OK
Longueur: non spécifié text/html
Sauvegarde en : «www.anses.fr/fr/user/connect»

2014-02-12 16:28:50— http://www.anses.fr/fr/alertes
Réutilisation de la connexion existante vers www.anses.fr:80.
requête HTTP transmise, en attente de la réponse…403 Forbidden
2014-02-12 16:28:51 ERREUR 403: Forbidden.
-
D’où il apparaît clairement des choses autorisées (200 OK), que je retrouve enregistrées sur mon disque dur, et d’autres interdites (403 Forbidden).

J’aimerais que l’on m’explique quels critères juridiques me permettent de reconnaître les choses autorisées mais interdites. Et ce d’autant plus qu’il y a clairement des choses interdites, signalées comme telles… et réellement interdites, puisque le serveur refuse de me les faire parvenir.

312. Le mercredi 12 février 2014 à 16:55 par banane

à KOH : il est une chose d’aspirer un site de manière récursive et automatique, c’en est une autre de naviguer dans des zones interdites de manière intentionnelle… Si vous aspirez un site dans l’intention d’accéder plus commodément à des pages publiques pour une lecture personnelle, j’imagine que pas de soucis (encore que je n’en suis pas certain). Si vous aspirez un site dans l’espoir d’y trouver des infos confidentielles afin d’exercer un chantage à leur diffusion c’est différent.

313. Le mercredi 12 février 2014 à 17:08 par KOH

@banane
Ça ne répond pas à ma question. Parce que nul doute qu’en poursuivant l’aspiration, je télécharge aussi les 8 Go de Bluetouff, puisque justement ils font partie de ces choses autorisées mais interdites…

De surcroît, si vous cliquez là-dessus, http://www.anses.fr/fr/user/connect , l’ANSES vous propose de créer un compte, qui vous permettra évidemment de saisir le fameux login/password, qui transformera juridiquement les zones autorisées mais interdites, en zones autorisées…

314. Le mercredi 12 février 2014 à 17:18 par KOH

@banane
Et je viens de créer un compte au nom de John Koh, email : eolas@fantaisie.com, mot de passe : banane
Me voilà donc juridiquement parfaitement en règle !

315. Le mercredi 12 février 2014 à 17:39 par KOH

J’en profite pour rappeler à Bluetouff que je lui avais donné mes coordonnées pour qu’il puisse me télécharger les 8 Go, parce que j’étais en panne d’internet…

Piratage en bande organisée, ça va chercher dans les combien ?

316. Le mercredi 12 février 2014 à 17:56 par JMU

Off-topic et à effacer une fois lu : ça vous dirait de taper un peu sur les Suisses, maître ? http://www.lemonde.fr/europe/articl…

317. Le mercredi 12 février 2014 à 18:06 par KOH

Dernière information, peut-être importante : le fichier robots.txt du site de l’ANSES date du 16 janvier 2013 à 11h46, donc après le téléchargement “illégal” par Bluetouff (avant septembre 2012, semble-t-il).
Si ça se trouve, au moment des faits il n’y en avait peut-être pas, ce qui expliquerait que les liens utilisés aient pu être trouvés chez gogole…

318. Le mercredi 12 février 2014 à 18:48 par RG

@ KOH

J’aimerais que l’on m’explique quels critères juridiques me permettent de reconnaître les choses autorisées mais interdites.

C’est nouveau, c’est du droit pénal 2. Avant ce qui n’était pas interdit était autorisé mais ça c’était avant.

Avant les documents suivaient une classification, les droits y attachés étaient écrits dedans. Le lecteur savait donc ce qui était interdit et en déduisait ce qui était permis.

Nous avons vu plus haut tout ce qui n’avait aucune pertinence pour caractériser un maintien frauduleux :

- La personnalité du lecteur, son âge, son nombre de maitresses etc…
- Les notions d’intranet et extranet, on peut à ses risques et périls mettre du privé et du public dans les deux.
- Le chemin suivi pour accéder au document, passer par un proxy à Sochi sera simplement plus long.
- La position du document dans l’arborescence. J’ai des documents officiellement publiés dans des répertoires d’accès interdits sur 4 niveaux, il suffit de taper le chemin direct /…/…/…/fichier.pdf
- Les droits des répertoires. Mes fichiers sont officiellement accessibles alors que l’accès à leur racine est interdit.
- Le téléchargement, car pour pouvoir lire un fichier pdf il faut préalablement le télécharger, 1 simple lecture = 1 téléchargement.

Aussi si l’on supprime des motifs tous les arguments n’ayant pas plus de rapport avec le maintien frauduleux (ou le vol) qu’avec la choucroute il ne reste pratiquement rien.

Par contre il y avait un argument hautement pertinent, essentiel même, qui est la classification des documents en cause car:

- S’ils étaient classifiés secret défense la solution eût été simple et unique, le trou.
- S’il y avait marqué des trucs en rouge genre “document confidentiel” “lecture interdite aux personnes non autorisées” “copie interdite” etc etc alors la question du maintien frauduleux se posait très sérieusement.
- Mais s’il n’y avait rien, rien d’interdit, alors Mme Michu internaute activiste était parfaitement en droit d’user de ces documents….. mais en bon père de famille !!!

Ce qui est bête c’est que dans ses motifs la cour d’appel a oublié de vérifier ce point.

Il y aurait de quoi envoyer tout ça à la casse.

319. Le mercredi 12 février 2014 à 19:05 par KOH

@RG
Mais s’il n’y avait rien, rien d’interdit, alors Mme Michu internaute activiste était parfaitement en droit d’user de ces documents….. mais en bon père de famille !!!

Ça m’embête un peu. Parce que c’est évidemment vrai pour toutes les Mme Michu qui auraient par hasard cliqué sur les liens gogole. L’Univers entier qui doit se comporter en bon père de famille et ne surtout pas divulguer ce que tout le monde peut savoir par les mêmes moyens ? Et les Mme Michu, profession journaliste ? Il se trouve que ça ne s’est pas produit, en tous cas officiellement, mais c’est un pur hasard…

320. Le mercredi 12 février 2014 à 19:22 par herve_02

@koh

en france ? des vrais journalistes qui peuvent vraiment exercer leur métier ?

Il y en a ?

321. Le mercredi 12 février 2014 à 19:44 par KOH

@herve_02
C’est un autre problème. Mais un journal comme le Canard Enchaîné en aurait peut-être fait quelque chose, s’il y avait vraiment eu de quoi… Parce qu’on n’en sait rien, en définitive, du contenu de ces 8 Go… On apprend peut-être que l’ANSES considérait que la viande de cheval était très bonne pour la santé et que c’était une très bonne idée de faire des lasagnes au cheval, garanti pur boeuf… Ou autres secrets d’Etat de cette sorte, classés Secret-Défense…

322. Le mercredi 12 février 2014 à 21:49 par corrector

@nooby
“En gros, je veux dire que si vous accèdez à une zone qui est manifestement censée être privée et protégée, mais qui se trouve être publique (par faute de l’administrateur), vous ne devez pas y rester, mais la quitter le plus vite possible et avertir l’administrateur.”

Au risque d’être accusé d’accès non autorisé, etc.?

Merci, mais non merci!

323. Le mercredi 12 février 2014 à 21:53 par corrector

@KOH
“On apprend peut-être que l’ANSES considérait que la viande de cheval était très bonne pour la santé”

La viande de cheval est en effet considérée comme meilleure pour la santé que la viande de bœuf, et son impact environnemental est moindre. Les écolos devraient donc encourager les gens à manger du cheval, s’ils avaient le moindre souci de la santé et de l’environnement (ce que personne ne peut sérieusement penser).

“et que c’était une très bonne idée de faire des lasagnes au cheval, garanti pur boeuf”

C’est une autre histoire.

324. Le mercredi 12 février 2014 à 22:22 par récap59

Je persiste à croire que l’ANSES ne savait pas à l’avance quels documents elles comptait restreindre en lecture, voire en écriture à ses seuls collaborateurs, aux internautes qui passent par des captcha et/ou à ceux qui créent des login/mot de passe, de quelle manière et dans quel ordre. La question était tout sauf facile vu que l’ANSES est un organisme public qui travaille sur la santé publique avec l’argent du contribuable.

Évidemment il devait y avoir par défaut une page administrateur avec protocole d’authentification livrée dans le logiciel pour assurer l’intégrité du système et des données, ce qui ne veut pas dire qu’elle était déjà en service et paramétrée. Pour démêler tout cela et prédire quels documents publics les administrateurs jugeront opportun de classer privés quand on leur posera la question il aurait d’abord fallu lire les 8 GO de données et Bluetouff n’en avait pas le temps, il ne s’intéressait de toute façon qu’à ce qui touche la santé publique.

Il a donc transféré les 8 Go sur un support auquel il pourrait accéder plus facilement ultérieurement.

Quand il a eu le temps de rechercher les documents qui l’intéressaient il n’y a rien compris et demandé des éclaircissements à tout le monde. Il a même contacté des journalistes. Cela implique-t-il qu’il pensait que les documents qu’il leur soumettait étaient privés ? C’est possible s’il a choisi Voici, Gala ou News of the World, par exemple.

Mais sinon…

Merci à RG, corrector et tous ceux qui ont éclairé les aspects techniques de la question.

325. Le mercredi 12 février 2014 à 22:23 par RG

@319 KOH

Dans tous les États Mme Michu activiste a dès le départ un gros désavantage positionnel par rapport à l’État. Aussi si l’action (et non les opinions) de l’une contrarie l’action ou les intérêts de l’autre elle doit s’attendre à un minimum de déconvenues, c’est mécanique, elle devrait le savoir.

326. Le mercredi 12 février 2014 à 22:49 par RG

@320 herve_02

en france ? des vrais journalistes qui peuvent vraiment exercer leur métier ? Il y en a ?

Trop peu mais il y en a, et comme pour les blogueurs les plus râleurs sont les meilleurs. Dans les démocraties dites avancées (et prospères) on invite toujours un adversaire dans un débat, de peur de se tromper. Par contre et contrairement à la France (à la traine) il n’y a au final et à tous les étages qu’une action politique.

327. Le mercredi 12 février 2014 à 23:05 par KOH

@récap59
“Je persiste à croire que l’ANSES ne savait pas à l’avance quels documents elles comptait restreindre en lecture…”
Ça me dépasse carrément. Si on ne sait pas ce qu’on veut mettre en ligne, on ne met rien, et on réfléchit d’abord. Un site internet n’est pas encore une obligation légale, que je sache…

Vous imaginez Dassault mettre en ligne les plans du rafale, en attendant de savoir si oui ou non c’est une bonne idée ?
C’est n’importe quoi !

328. Le mercredi 12 février 2014 à 23:11 par corrector

@banane
Fais-toi greffer un cerveau.

Sans blague.

329. Le mercredi 12 février 2014 à 23:17 par RG

@324 récap59

La classification de ses actifs (informationnels) est la première chose qu’était ou est censée faire un organisme comme l’ANSES.

330. Le mercredi 12 février 2014 à 23:17 par corrector

@nonos
“vous écrivez n’importe quoi, en utilisant une citation hors de son contexte”

Le contexte, c’est un truc magique que les idiots invoquent quand ils ont écrit une connerie.

331. Le mercredi 12 février 2014 à 23:42 par corrector

@Lavrenti
J’ai relu 3 fois votre message avant de réaliser que si je ne le comprenais pas, c’est parce qu’il n’a aucun sens.

Pour résumer votre propos, l’absence de la moindre preuve justifie l’intime conviction de la culpabilité, conviction fondée sur l’appréciation de l’état d’esprit, en absence du moindre fait délictuel.

C’est magnifique.

332. Le mercredi 12 février 2014 à 23:47 par Hulk

Je constate avec amusement que tous les sectateurs de la corporation des geeks, comme le dit justement Éolas, me sont tombés dessus comme un seul homme, sur le thème “Hulk ne comprend rien à l’internet, bla bla bla, donc ses arguments ne méritent même pas qu’on essaie de les comprendre (ça tombe bien, on n’est pas trop équipés pour, on n’a pas acheté l’extension de CPU idoine)”. Ce qui démontre bien mon point énoncé à plusieurs reprises dans ce fil, qui est que le geek ordinaire est incapable de s’extraire de ses considérations purement techniques et de prendre du recul pour appréhender un problème dans sa globalité.
Et également que ce même geek ordinaire est in fine un vaillant petit soldat défenseur bénévole de la patrie en danger (la patrie étant ici la multinationale google).
Ils doivent bien rigoler à l’état-major de google quand ils voient ça ; ça leur fait des économies au département marketing et publicité.

Plus sérieusement, que vous le vouliez ou non, l’internet fait partie de la vie, et il rentre peu à peu sous la juridiction ordinaire du droit. Vous pourrez couiner vos arguments techniques autant que vous voudrez pour tenter de justifier les multiples violations du droit dont se rendent coupables les google et assimilés, vous ne serez pas entendus : il n’y a pas de zone de non droit durable, et si le Net a tardé à en sortir, c’est enfin en cours, et ce n’est plus qu’une question d’années avant que les google et autres changent de fond en comble leurs pratiques sous peine d’être condamnés au pénal, avec leurs dirigeants.

333. Le mercredi 12 février 2014 à 23:55 par KOH

@hulk
J’espère que les juristes dans votre genre, si toutefois vous l’êtes parce que votre diatribe ne reflète en rien le langage précis et mesuré du maître de céans mais bien davantage une haine inconsidérée pour ce que vous ne comprenez pas, auront pris leur retraite, d’ici-là…

334. Le mercredi 12 février 2014 à 23:59 par Hulk

@KOH

Je ne hais personne, je me contente de me marrer devant toute cette démonstration d’inanité écervelée :-)))))

335. Le jeudi 13 février 2014 à 00:41 par banane

à corrector : “Fais-toi greffer un cerveau.Sans blague.” Je vois que vous progressez dans le niveau de vos arguments. Puisque c’est tout ce que vous trouvez à dire, je vais vous expliquer un truc (pas en informatique, j’ai renoncé et je doute de vos compétences) : certaines personnes ne sont pas de votre avis ici. C’est un fait. Et bien (attention, vous allez être drôlement surpris) : figurez-vous que ce n’est pas grave ! Cela ne devrait pas vous énerver et ne vous autorise pas à les insulter. Enfin, je dis ça… à vous de voir, hein…

336. Le jeudi 13 février 2014 à 00:56 par Kus

@recap59, @KOH,

attention à ne pas tout confondre. Le site en question est https://extranet.anses.fr, et ça n’a rien à voir avec http://www.anses.fr, ce n’est pas sur le même serveur. On a deux applications distinctes.

Cependant, comme il a été dit beaucoup de choses parfois très à côté, je voulais revenir sur la définition de extranet/internet/intranet. Derrière ces noms se cachent des modèles de réseau qui permettent assez bien d’appréhender les besoins d’une entreprise/institution. Ces réseaux, en permettant de définir qui y a accès et qui n’y a pas accès, constitue la première couche de sécurité d’un système informatique. En gros ça sert de pare-feu.

Internet
Le réseau des réseaux, dont le but est d’interconnecter tous les réseaux à l’échelle mondiale. C’est complètement public, en gros tout les serveurs qui s’y trouvent et qui y disposent d’une adresse IP peuvent être accédés par n’importe qui sur la planète.

Intranet
C’est l’opposé. C’est un réseau privé. Le réseau de votre entreprise. Les serveur s’y trouvant ne répondront que si vous êtes dans ce réseau. Afin de pouvoir se connecter à l’intranet (je parle toujours de réseau, pour le site j’y viendrai plus tard) pour des bureaux distants ou des gens travaillant en déplacement, on crée un VPN, un réseau privé virtuel. Ce VPN va relier votre ordinateur à la maison au réseau de votre entreprise en passant par l’internet, mais dans un «tunnel» de connexion chiffré. C’est le réseau le plus sécurisé. Vous gérez tous les comptes qui y ont accès.

Extranet
L’extranet est une sorte de réseau étendu, dans le sens ou on l’ouvre à des partenaires. En gros on connecte notre VPN à leur VPN pour leur donner accès à des ressources. Ce réseau est moins sécurisé, dans le sens que vous ne gérez plus directement les comptes y ayant accès mais ce sont vos partenaires qui les gère. Les amis des amis en gros.

Dans ces réseaux, on parle souvent d’intranet ou d’extranet en parlant d’un site accessible que depuis ces réseaux. Ces sites peuvent avoir à nouveau une couche de sécurité (mot de passe/login, règles d’accès, etc.). Cependant en ce qui concerne les informations disponibles sur le site extranet, on peut avoir besoin de les mettre sur le réseau internet, pour des raisons de coûts et de facilité d’accès. Vu qu’on y a placé la même application, on emploie souvent l’abus de langage en l’appelant «extranet».

C’est le cas de https://extranet.anses.fr, bien qu’il y ait le nom extranet dedans, il se trouve bel et bien sur l’internet, sinon on ne pourrait voir la page de login, sans s’être au préalable connecté sur l’extranet en question. Autrement dit si ce site était réellement un extranet, jamais Bluetouff n’aurait pu accéder à ces fichiers de cette façon (sans commettre d’accès frauduleux), et Google n’aurait jamais indexé cette page.

J’ai lu plusieurs commentaires qui parlait de secrets d’état, secret-défense, etc. Si pareils documents étaient stockés sur un réseau internet, j’ose imaginer que le responsable risquerait bien plus que Bluetouff (bien que je n’en sache rien sur les lois en la matière ^^). Des documents de très haute confidentialité ne doivent en aucun cas se trouver ailleurs que sur un intranet. Des documents confidentiels sur un extranet ou sur un intranet. Sur un internet évidemment on peu avoir des documents privés ou faiblement confidentiels, mais c’est tout.

Là Bluetouff, du fait de ses connaissances techniques, est, contrairement à ce que j’ai pu lire, plutôt enclin à pencher pour la thèse de documents publics:

– On est sur un réseau tout public. Un site internet.
– On a utilisé aucun moyen détourné pour y accéder.
– On est sur un site internet d’une société sérieuse qui a fait appel a des professionnels (jamais oublier la confiance, je me méfierais plus du site de mon carrossier)
– On y a accédé par un lien sur google (excusez du peu, mais ça prédispose pas mal à se croire sur une ressource public)
– On y trouve des documents non confidentiels et non privés (ce qui a été confirmé par l’ANSES)
– On sait que les documents confidentiels se trouvent sur d’autres réseaux.

On peut évidemment chercher la petite bête pour essayer de dresser un profil psychologique de Bluetouff pour tenter d’imaginer la quantité de doute qu’il pouvait avoir dans sa tête. Je m’en garde. Peut-être que lui-même ne sait pas trop. Ce qui est choquant c’est que pour des éléments aussi minces et un plaignant qui s’est retiré, on se retrouve avec 30H de garde à vue (hors à ce moment ils s’étaient déjà rendu compte qu’il n’y avait pas d’accès frauduleux ou de piratage), une perquisition, saisie de matériel, procès, appel et condamnation. Si il n’y a pas quelque chose qui cloche, je ne sais pas ce qu’il vous faut.

337. Le jeudi 13 février 2014 à 01:35 par banane

à Kus : “On y a accédé par un lien sur google (excusez du peu, mais ça prédispose pas mal à se croire sur une ressource public)”
Google a été (et est encore mais moins qu’avant) un outil puissant de recherche d’infos privées et c’est une vraie erreur de penser le contraire en sécurité informatique. Exemples très simples ici : http://www.geekorama.fr/12-astuces-…

338. Le jeudi 13 février 2014 à 01:38 par herve_02

@khus

it’s not a bug, it’s a feature.

L’oppression montre enfin son visage, comme avec les radars automatiques, comme avec la verbalisation par caméra de surveillance, comme la culture de l’aveu obtenu par pression psychologique, comme le non respect des droits de l’homme, comme tous les pouvoirs dans la même main.

Maintenant il n’y a plus qu’a taper sur ce qui dépasse en abreuvant les crétins de bases de grands mots pour faire peur, et les crétins suivent.

8Go de donnés… brrrr ca fait peur… et je ne parles même pas de faire exploser la france. brrrr

bon quand un procureur se fait refiler les écoutes des téléphones de journaliste, c’est pas trop grave ça…, c’est pour notre bien, tandis que bluetouff, c’est un terroriste ..

339. Le jeudi 13 février 2014 à 01:51 par kus

@Hulk
Bien entendu qu’il faut sortir les yeux de la technique pour appréhender un jugement. Ce n’est pas forcément facile, je fais des efforts pourtant.
Cependant, évitez de tomber sur les lieux communs. La communauté Geek fut la première à applaudir le message imposé par la CNIL sur le site de Google ce week-end. Google est une multinationale qui joue au jeu du «essayer de payer le moins d’impôts / taxes» que possible. Vous en connaissez beaucoup qui ne s’y essayent pas? Certes pour l’instant sur le net c’est plus aisé qu’ailleurs. Mais je serai le premier, ainsi que bien d’autre, à applaudir lorsque ce ne sera plus le cas.

«il n’y a pas de zone de non droit durable, et si le Net a tardé à en sortir, c’est enfin en cours»
Ah le lieu commun, internet est une zone de non-droit! C’est l’argument à répétition tellement éculé qu’on ne sait plus d’où ça sort. Ce n’est pas une zone de non-droit, au contraire le droit y est régulièrement appliqué, parfois avec une insistance disproportionnée. C’est une zone que l’on peut difficilement contrôler par quelques personnes/organisations bien placées, c’est ce qui effraie. C’est quelque chose de vivant en effet. Après il y a bien entendu de la criminalité et des choses moches qui s’y passent, ce n’est pas disneyland non plus.

C’est ce genre de commentaires, d’autant plus quand on y mêle les «geeks» en les dépeignant comme des criminels sans limite, qui cristallisent ce côté corporatiste. Ce genre de procès éveille aussi nos craintes. Au vu de la manière dont a été traité Bluetouff, il a surtout été coupable du délit de sale gueule. Coupable avant tout d’être un geek. Et c’est sûr que je vais au monter au créneau justement pour défendre mes/nos droits!

340. Le jeudi 13 février 2014 à 03:16 par Gou-Gueule Le Tout Puissant

@299, banane
“vous savez ce qu’on appelle un extranet ? parce que c’est de ça qu’il s’agit dans l’article de Me Eolas (j’imagine que vous savez lire et que nous commentons son article). Vous pouvez toujours taper dans wikipedia (désolé mais faut tout vous dire) et revenir nous dire ensuite si un extranet est un site public.”

Ah. Effectivement. Comme ça, je comprends mieux le problème. Si vos connaissances en informatique se limitent à aller jeter un œil de temps à temps à des articulets Wikipédia, vos gesticulations désespérées au milieu de tous ces concepts dont vous avez l’intime conviction que jamais vous ne pourrez les saisir sont de fait beaucoup moins étonnantes. Voire même attendrissantes.

Tenez, c’est comme votre pseudo : c’est marqué banane, mais à vous lire, vous semblez plutôt être une courge.

341. Le jeudi 13 février 2014 à 03:27 par corrector

@Hulk
“Plus sérieusement, que vous le vouliez ou non, l’internet fait partie de la vie, (…)”

Que de mots.

Bref.

Plus sérieusement, que vous le vouliez ou non, vous êtes un con.

Un ignoramus, un beauf donneur de leçons satisfait.

Bref, un con.

Je ne défends pas spécialement Google, je défends la liberté, la démocratie et la République.

Je défends les valeurs contre les juristoïdes ignorants et satisfaits, faisant parti votre engeance néfaste (engeance qui inclut notamment le bien nommé “banane”).

Et étant donné que vous avez démontré votre volonté farouche de résister à la survenue de connaissances dans ce que vous tient lieu de cerveau, et que toutes vos interventions ici ne sont que pures émanations toxiques, je demande aux autres commentateurs de suivre mon exemple en évitant de marcher dans vos arguties débiles, même si ça porte bonheur. Je ne vous répondrais plus.

342. Le jeudi 13 février 2014 à 03:45 par corrector

@banane
“Puisque c’est tout ce que vous trouvez à dire,”

J’ai déjà expliqué, d’autre ont déjà expliqué, en long en large et en travers, ce qu’il y avait à dire sur les “arguments” des juges, sur les inepties du procureur, sur affirmations de Maître Eolas, sur les assertions contenus dans vos commentaires ineptes et ceux de vos copain, sur le fond de cette histoire.

“certaines personnes ne sont pas de votre avis ici.”

Perdu, encore une fois. (La greffe de cerveau s’impose, vraiment.)

Je n’ai pas donné mon avis, j’ai exposé des faits (comme d’autres personnes ici).

Le fait qu’un site Web n’est ni une maison ni une voiture, que le site d’une administration n’est certainement pas un domicile privé, et qu’un téléchargement n’est pas un vol. Que la Cour d’appel, la Cour de cassation, ou le Pape ou votre imam raconte le contraire ne change rien aux faits.

Les faits ne se décident pas au Tribunal, les faits sont.

Pour résumé (c’est la dernière fois) :

Le fait qui résume cette non-affaire sur laquelle il est inutile de réfléchir plus de 2 min (je parle pour un individu très lent, normalement 30 s devraient suffire) est que Google a indexé les documents en question, ce qui indique l’absence de la moindre mesure de contrôle d’accès, ce qui implique qu’aucune technique de contournement d’un contrôle d’accès n’a été nécessaire pour y accéder. C’est simple, vraiment très très simple.

Il n’y a ni maison ni voiture ni vol ni cadenas cassé ni domicile privé. Il faut rester sur les éléments de l’histoire (je ne dis pas l’affaire parce qu’il est absolument évident qu’il n’y en a pas) : il y a un site Web, accessible directement depuis Internet, et indexable par Google. Ce qui explique qu’on ne parle pas d’un intranet, d’un extranet ou de je-ne-sais-quoi. Ce n’est pas mon avis, c’est les faits, reconnus par toutes les parties.

Si j’avais donné mon avis, j’aurais dit que :

  • l’Etat montre son visage immonde,
  • le procureur devrait être muté à Pétaouchnok,
  • les juges devraient être démis de leurs fonctions immédiatement.

343. Le jeudi 13 février 2014 à 04:42 par corrector

@kus
“La communauté Geek fut la première à applaudir le message imposé par la CNIL sur le site de Google ce week-end.”

Applaudir, mais quoi?

Moi j’ai applaudis le fait que la CNIL se discrédite définitivement, afin qu’on se rapproche de l’élimination de ce machin grotesque.

344. Le jeudi 13 février 2014 à 05:10 par ZorroZero

@corrector / 341

Vous écrivez que Hulk est un con…
Vous écrivez que vous défendez “la liberté, la démocratie et la République” (nom d’un p’tit bonhomme!).

Vous êtes marrant, si si…

Il faudra bien que vous redescendiez un jour de votre… CLOUD !!! :-)

Hulk a raison, Internet fait parti de la vie courante et la loi doit s’y appliquer comme sur la place de votre village.

Si ça vous plait pas, trouvez vous un autre jouet…

345. Le jeudi 13 février 2014 à 06:32 par FrancoisCarmignola

De mon point de vue et en résumé, il semblerait donc que dans l’état présent de la loi:
- l’aveu sert l’intention et peut-être utilisé juridiquement comme SEUL élément d’accusation par un procureur (sans doute indépendant du ministère, mais on ne sait jamais).
- des documents accessibles sont des objets qu’il est délictueux de s’approprier dès lors qu’il se manifeste une intention de les protéger.

Passons sur la notion d’intention, c’est le code pénal après tout.
Par contre:
- avouer en garde à vue est l’équivalent juridique de la mauvaise protection de ses arborescences: une erreur à ne pas(plus) commettre.

- comme Eolas le suggère, il conviendrait de faire évoluer la loi quant à la caractérisation juridique des données accessibles par télécommunication. C’est la morale de toute cette histoire.

346. Le jeudi 13 février 2014 à 07:13 par corrector

“Hulk a raison, Internet fait parti de la vie courante et la loi doit s’y appliquer comme sur la place de votre village.”

Internet n’est pas la place du village.
Internet n’est pas un lieu.
On a déjà expliqué tout ça.
Vous n’avez rien compris.

Maintenant, ça suffit vos conneries, hein.

347. Le jeudi 13 février 2014 à 07:17 par nonos

@ corretor: pour ce qui est d’invoquer quand on n’a plus grand chose à dire, visiblement, vous en êtes le champion.

Ce n’est pas corrector qu’il fallait choisir comme pseudo, mais collector.

Bises.

348. Le jeudi 13 février 2014 à 07:38 par corrector

@nonos
Alors que vous, vous avez des choses intéressantes à dire, peut être?

349. Le jeudi 13 février 2014 à 07:59 par Hulk

@corrector 341

Me faire insulter par un geek inculte à moitié abruti par ses écrans, pseudo libertaire de pacotille en réalité inféodé aux multinationales de la technologie, c’est toujours un plaisir de fin gourmet, encore, encore !

350. Le jeudi 13 février 2014 à 08:06 par Hulk

@corrector 341

Vous écrivez : “je défends la liberté, la démocratie et la République.”

Quelle rigolade. Et dans le même temps vous tentez (sans succès) d’interdire de s’exprimer ceux qui ne pensent pas comme vous. Tu parles d’un démocrate !
La République et la démocratie, vous ne savez pas ce que c’est, et la liberté non plus, vous n’êtes qu’une sorte de libertaire en toc, et derrière la façade se cache un petit facho ordinaire, comme on le voit à vous lire.

351. Le jeudi 13 février 2014 à 08:18 par corrector

“Me faire insulter par un geek inculte à moitié abruti par ses écrans, pseudo libertaire de pacotille en réalité inféodé aux multinationales de la technologie”

Tous les clichés gauchistes-fascistes y passent.

352. Le jeudi 13 février 2014 à 08:33 par Hulk

En tant qu’électeur de Sarkozy, je ne pense pas que ceci m’était destiné mon brave ami.

353. Le jeudi 13 février 2014 à 08:47 par PMB

@corrector 341

Vous écrivez : “je défends la liberté, la démocratie et la République.”

Comme Bluetouff sur son blogue qui censure les posts lui déplaisant, même s’ils ne sont pas injurieux comme celui où vous traitez Hulk de con.

Devise du geek : la liberté c’est pour moi, pas pour les autres

354. Le jeudi 13 février 2014 à 09:59 par ZorroZero

@geekimbu

Vous dites…
“Internet n’est pas la place du village.
Internet n’est pas un lieu.
On a déjà expliqué tout ça.
Vous n’avez rien compris.”

Soit, mais dites-moi, et Dieu dans tout ça… mmm ?

355. Le jeudi 13 février 2014 à 10:27 par banane

à Gou-Gueule Le Tout Puissant : vous ne doutez jamais vous… La sécurité informatique fait partie de mon métier (accessoirement, je l’enseigne à l’université et j’anime un club d’ethical hacking - on se fait un p’tit challenge ?). Mais si ça vous amuse de penser que je découvre le domaine…

356. Le jeudi 13 février 2014 à 10:50 par juju

@banane : c’est facile de diffamer bluetouff en prétendant qu’il a voulu “exercer un chantage à leur diffusion” et de répondre à des attaques personnelles sans intérêts. Ca vous permet d’éviter les remarques pertinentes de vos interlocuteurs. Vous avez sous-entendu qu’un extranet était forcément un site privé pour justifier le fait que bluetouff aurait du savoir qu’il naviguait sur un site interdit, mais vous n’avez pas pris la peine de contredire les exemples de nooby qui prouvent que votre interprétation du caractère privé implicite d’un extranet est erronée.

Mais bon, si la sécurité informatique fait partie de votre métier, vous devez forcément avoir raison. Mais, attendez… Ce ne serait pas un sophisme, ce genre d’argument d’autorité ?

357. Le jeudi 13 février 2014 à 12:58 par Gou-Gueule Le Tout Puissant

@355, banane :
“La sécurité informatique fait partie de mon métier (accessoirement, je l’enseigne à l’université et j’anime un club d’ethical hacking - on se fait un p’tit challenge ?).”

Double couche d’arguments d’autorité invérifiables, fourrés aux rodomontades anglo-putassières d’un petit gratte-papier de sous-préfecture berrichonne. Là, vous m’épatez, patate banane, même si du coup votre propos en devient extrêmement indigeste - et donc encore plus grotesque.

@356 : Bien vu, juju.

358. Le jeudi 13 février 2014 à 13:24 par RG

@ banane

La sécurité informatique fait partie de mon métier (accessoirement, je l’enseigne à l’université…)

Vous pouvez ajouter à votre CV qu’ici vous professez des inepties.

@327 KOH

Vous imaginez Dassault mettre en ligne les plans du rafale, en attendant de savoir si oui ou non c’est une bonne idée ?

Et une documentation de télescope spatial dont le répertoire est d’accès interdit ça vous dit ?

Il n’est pas difficile de faire croire à un juge (qui ne vérifierait pas que les documents ne comportent aucune classification) qu’un tel maintien serait frauduleux et qu’avec ça on pourrait faire péter la planète.

Et pourtant pour avoir travailler dessus je puis certifier que cette documentation a toujours été publique (cliquer sur l’onglet “documents (including drawings)”) et que cela a été fait sciemment.

359. Le jeudi 13 février 2014 à 13:40 par Passares

@Hulk

Il est normal que le droit s’applique à Internet qui fait partie de la vie courante. Ce qui n’est pas normal c’est que la loi s’applique de façon différente de la vie courante parce que ce qui est jugé s’est passé sur internet.

Et dans l’affaire en question c’est bien le cas à travers un procureur et des magistrats (comme d’ailleurs pas mal de commentateurs ici semble-t-il) qui par manque de curiosité pour ne pas dire par apathie intellectuelle ne se sont jamais intéressés à la principale révolution culturelle du XXème siècle : Internet.

Dès que le mot est prononcé, l’ignorant tremble devant l’inconnu ce qui permet que, dans notre pays, n’importe quel flic puisse relever l’ensemble votre courrier électronique sans coup férir alors que la moindre ouverture d’un courrier passant par la poste déclencherait un tollé.

Alors, non définitivement à la ségrégation par le média utilisé dans une décision de justice !

360. Le jeudi 13 février 2014 à 14:02 par banane

à Juju :
- où ai-je prétendu que M Bluetouff avait fait du chantage ? J’ai juste dit que récupérer des données pour faire du chantage (par exemple à l’aide d’un aspirateur) c’était mal. C’est tout. D’ailleurs, je ne connais pas le dossier Bluetouff (contrairement, visiblement, à pas mal de gens ici) et même je m’en fous : je commente le billet de Me Eolas.
- affirmer qu’un extranet peut contenir des infos privées (c’est même son rôle principal, sinon, on n’appelle pas ça un extranet !) veut simplement dire… qu’il peut contenir des infos privées. Et rien d’autre. Je répondais à ceux qui prétendent que tout ce qui est sur internet est public (quelques personnes ici, vous l’aurez remarqué).
- si j’ai parlé de quelque compétence, c’est en réponse à ceux qui prétendent (sans argument ou alors j’ai loupé quelque chose) que je ne connais rien à l’informatique. Et c’est tout. Rien d’autre. Faut pas tout interpréter.

361. Le jeudi 13 février 2014 à 15:30 par costarLoveuse

MENACER ou attaquer un blogueur qui diffuse un témoignage authentique de client insatisfait (car relayé dans la Presse traditionnelle),
est-ce de la diffamation ?

Est-ce légitime ?

http://web.archive.org/web/20100822…

362. Le jeudi 13 février 2014 à 15:54 par Pierre M. Boriliens

@Eolas
A plusieurs reprises vous utilisez l’expression “faille de sécurité”, ici par exemple : “une incroyable faille de sécurité du serveur de l’ANSES”.
J’avoue que je suis perplexe.

Prenez par exemple un login. Lorsque vous taper une requête SQL (la technique de “piratage” se nomme injection SQL), il peut arriver que cette requête ne soit pas détectée comme telle mais exécutée, ce qui peut conduire à… toutes sortes de choses, comme l’entrée directe dans une base de données genre mysql, par exemple.
Normalement, ce qui est tapé dans la zone de login est vérifié (2 lignes de php) et rejeté en fonction d’un certains nombre de critères.
Si ça n’est pas fait, il s’agit bien d’une faille de sécurité, et, le cas échéant, d’une introduction frauduleuse. Parce qu’un login n’est pas prévu pour des requêtes SQL, mais pour un nom et un mot de passe (et c’est clairement indiqué, le plus souvent).

Mais des documents rangés au mauvais endroit, si bien qu’ils deviennent publics alors qu’ils auraient dus être privés (aux yeux de celui qui met en ligne) ? C’est le fruit d’une décision qu’il s’agit de prendre document par document. C’est l’activité normale de quelqu’un qui met des choses en ligne. J’ai beaucoup de mal à nommer ça une “faille de sécurité”. Qu’est-ce que la sécurité informatique a à voir avec ça ? Moi je trouve que c’est une simple erreur de classement, et encore, aux yeux de celui qui est censé le faire.

363. Le jeudi 13 février 2014 à 15:56 par Holmes

@ ZorroZero (354) (“…Soit, mais dites-moi, et Dieu dans tout ça…mmm ?

À la manière de Suzuki,

“Faites-moi la boule à zéro, Pedro.”

Et la phrase banale devient clé****

364. Le jeudi 13 février 2014 à 17:11 par Setaire

@Samuel le 9/2/2014 à 01:30: “trouver l’occasion de défendre en l’espèce le droit au silence, ce qui aurait permis au coupable de ne pas être condamné.”

Vous devriez visionner la vidéo http://www.youtube.com/watch?v=6wXk…
titrée “DON’T TALK TO THE POLICE” ou tout au moins un résumé par exemple
celui-là:
https://www.schneier.com/blog/archi…
En gros, en parlant vous alimentez un processus, le jugement, qui a plein de raison de se tromper sur la réalité.

365. Le jeudi 13 février 2014 à 18:17 par banane

à Koh : “De surcroît, si vous cliquez là-dessus, http://www.anses.fr/fr/user/connect , l’ANSES vous propose de créer un compte, qui vous permettra évidemment de saisir le fameux login/password, qui transformera juridiquement les zones autorisées mais interdites, en zones autorisées…”
Une zone “autorisée” n’est pas nécessairement une zone “publique”. Elle n’est autorisée, ici, que parce que vous êtes authentifié. Votre accès est probablement logué (heure de connexion, pages visitées, adresse IP de connexion…), et vos coordonnées sont normalement sans un fichier déclaré à la CNIL. Il se peut que la zone en question contienne des données publiques, mais il se peut également que certaines de ces données accessibles “parce que vous êtes authentifié” ne le soient pas (en particulier si vous contournez l’authentification). Si c’est le cas, bien que vous y ayez accès, vous n’avez pas forcément le droit des les diffuser librement. Dans la pratique, si on met en place une authentification, c’est bien quand même pour contrôler l’accès des données (ce qui n’est plus faisable si vous les rediffusez en accès libre sur internet).

366. Le jeudi 13 février 2014 à 18:55 par RG

@364 Setaire

Nous n’avons pas aussi prestigieux que le blog de Bruce Schneier mais nous avons compris la problématique :)

367. Le jeudi 13 février 2014 à 21:36 par corrector

@Hulk
“En tant qu’électeur de Sarkozy, je ne pense pas que ceci m’était destiné mon brave ami.”

C’est ce que je dis : gauchiste, et ignorant, et fiers de l’être.

368. Le jeudi 13 février 2014 à 21:39 par corrector

@banane
“La sécurité informatique fait partie de mon métier (accessoirement, je l’enseigne à l’université”

L’université est une poubelle.

“Mais si ça vous amuse de penser que je découvre le domaine…”

Les bouffons de votre engeance ne m’amusent en rien.

369. Le jeudi 13 février 2014 à 21:43 par corrector

@PMB
“Comme Bluetouff sur son blogue qui censure les posts lui déplaisant, même s’ils ne sont pas injurieux comme celui où vous traitez Hulk de con.”

C’est son droit : supprimer les réponses qui lui déplaisent.

C’est le principe même d’un blog, et la différence avec un forum qui lui comporte une charte que les modérateurs doivent respecter.

Les cuistres de votre espèce ignorent cette différence, bien sûr.

“Devise du geek : la liberté c’est pour moi, pas pour les autres”

Créez votre blog, pauvre gland, vous pourrez y effacer les messages qui vous déplaisent.

370. Le jeudi 13 février 2014 à 21:51 par corrector

@banane alias courge alias prof de fac de 3ème zone
“ce qui est sur internet

Internet étant l’interconnexion mondiale des réseaux IPv4 (resp. IPv6, oui, il y a DEUX Internet), “être sur Internet” ne veut rien dire. On est DANS Internet quand on est un réseau IP ou un routeur IP ou un hôte IP.

Le contenu d’un site Web n’est pas “sur Internet”, il est accessible “via Internet”.

“Je répondais à ceux qui prétendent que tout ce qui est sur internet est public”

Le contenu d’un site Web (d’un site HTTP accessible via Internet) accessible sans authentification est public, par définition.

Le contenu indexé par Google est public, par définition.

Fin de l’histoire.

371. Le jeudi 13 février 2014 à 21:56 par corrector

@Setaire
“En gros, en parlant vous alimentez un processus, le jugement, qui a plein de raison de se tromper sur la réalité.”

Le pire, c’est qu’en disant la vérité, vérité qui sera ensuite confirmée par l’enquête, vérité qui n’est pas contestée, vérité qui établit parfaitement, définitivement et à la portée d’un enfant de 10 ans votre innocence, cette vérité peut servir à établir une culpabilité de type judiciaire.

372. Le jeudi 13 février 2014 à 22:08 par KOH

@banane
John Koh, email : eolas@fantaisie.com, mot de passe : banane
Vous appelez ça une authentification ?
Sur n’importe quel forum on vous envoie un courriel à l’adresse indiquée avec un mot de passe provisoire permettant d’activer le compte. Et quand c’est une administration (genre CAF) on vous envoie même ça par courrier… Et rien sur un site censé héberger des secrets d’état ?

En passant, je remercie Kus de m’avoir fait découvrir qu’en fait il ne s’agit pas du site de l’ANSES. Mais comme le montre Kus lui-même (il s’agit bien d’un site internet puisqu’on y accède par internet) ainsi que RG ici, http://www.maitre-eolas.fr/post/201… , et plus haut aussi, ça ne change rien au raisonnement.

373. Le jeudi 13 février 2014 à 22:18 par KOH

@banane

J’ajoute que ce que je viens d’écrire ne colle pas pour le site ANSES concerné, puisqu’il s’agit d’une authentification attribuée par l’ANSES elle-même à qui elle veut. Cf les procédures indiqués plus haut dans la doc d’apache, par exemple.
Et je remarque quand même que vous ne l’avez pas relevé…

374. Le jeudi 13 février 2014 à 22:28 par banane

à corrector : vous avez tord, rire c’est très bon pour la santé. Les gens dont le courage consiste à insulter tout le monde quand ils se retrouvent le soir, bien planqués, anonymes, derrière leur clavier, par exemple, moi, ça m’amuse. :-)
à Hulk : corrector est un troll, vous ne l’aviez pas remarqué ?

375. Le jeudi 13 février 2014 à 22:36 par Hulk

@banane 377

Non. Un troll est une brave bête un peu rustaude mais pas bien méchante. Un troll n’est pas un trou du cul avec un cancer dudit trou autour. Ce corrector n’est donc pas un troll.

376. Le jeudi 13 février 2014 à 22:40 par corrector

@ducond et ducont
Vous devriez vous marier.

C’est beau, un mariage troll.

377. Le jeudi 13 février 2014 à 22:49 par jm

@hulk : non, corrector n’est pas un troll. Il a tort de vous insulter, mais franchement, je le comprends. Vous n’avez jamais répondu à ses objections, sous la seule raison qu’elles sont techniques et non juridiques. C’est … bon, je tente de garder mon calme.

Non, Internet n’est pas une zone de non-droit, il y a déjà plein de lois qui s’appliquent, certaines d’ailleurs citées et expliquées dans cet article. Non plus, une page de login ne fait d’un site quelconque une entité complètement privée. Cela a déjà été dit. Ce n’est pas du droit, et si vous voulez faire autorité en droit, essayez d’écouter les techniciens sur la technique. Si vous voulez réguler la technique sans la connaitre, alors corrector a raison aussi sur la forme.

Ah oui, pour un enseignant en université, vous auriez pu citer autre chose que les champs standards d’un accesslog, parce que ceux-là sont conservés sur tous les serveurs (bien administrés… ou même pas administrés du tout d’ailleurs), que vous soyez authentifiés ou pas. Et il n’y a pas de déclaration à la CNIL pour un accesslog…

On va tenter une nouvelle fois :
- Oui, Internet c’est public par défaut, sinon, expliquez-moi comment vous faites pour trouver les “routes publiques”. (et NON, cela n’en fait pas une zone de non-droit, encore une fois). Si Internet est privé par défaut, vous pouvez éteindre votre ordinateur, ou retourner jouer au solitaire.
- une page de login permet de supposer que tout ou partie est privé. C’est tout, rien de plus. Si j’y accède d’une manière standard (navigateur web par exemple) sans authentification, alors je considère que c’est public. Je n’ai rien contourné, je n’ai utilisé aucune technique particulière pour éviter d’avoir à m’authentifier…
- oui, je suis d’accord avec vous, il vaut mieux se taire en garde à vue. Un juriste pourrait faire comprendre le contraire de ce qu’on a dit à un juge…

Il ne faut pas laisser le droit aux juristes, ils en feraient n’importe quoi. La preuve dans cette affaire (et dans les commentaires). Vous voudrez bien noter que je pense la même chose des autres domaines (médecine, informatique). Et que je travaille dans un de ces domaines :-)

378. Le jeudi 13 février 2014 à 23:10 par Hulk

@jm 380

Un bon ami me fait remarquer que toute cette discussion est du même ordre que si la corporation des garagistes revendiquait le droit d’être les seuls à pouvoir parler du code de la route et le définir au motif qu’ils savent régler des carburateurs contrairement aux autres usagers de la route.

Tous les arguments techniques présentés ici sont de cet ordre : le réglage de carburateur. Ça n’a rien à voir avec le code de la route, et n’a pas à être pris en compte, n’en déplaise aux geeks pour qui tous les problèmes du monde se ramènent à des carburateurs à régler.

379. Le jeudi 13 février 2014 à 23:23 par corrector

@ducond
“Un bon ami me fait remarquer que”
Votre ami est aussi débile que vous.

Allez en enfer.

380. Le jeudi 13 février 2014 à 23:28 par jm

@hulk nos avis divergent. Je pense que nous sommes plus près de l’usage du clignotant, qui lui est défini par le code en question. Et si je ne sais pas ce qu’est un clignotant, alors, pourquoi j’en parle ? Comment définir son usage ?

Et c’est bien là le fond du problème. Vous considérez que ce n’est que du droit fondamental (=théorique), or nous pensons (et nous pensons avoir raison en plus ! :-) ) que le droit s’applique sur des faits, des objets, et que refuser de prendre en considération l’objet en question c’est malhonnête intellectuellement. Je ne suis pas sûr que l’analogie soit bonne, mais c’est un peu comme si pour juger d’un meurtre, on se contentait de dire “arme + personne = meurtrier”, alors que l’arme est une feuille de papier, et la personne était à 10m… ce serait au mieux stupide. Il n’est pas possible de ne pas considérer l’état de l’art du domaine à juger. Sans en devenir expert, bien sûr, mais en l’ayant un minimum compris.

Pour en revenir aux voitures et aux codes de la route, lorsque le deuxième rétroviseur est devenu obligatoire, ou la ceinture passager, la loi s’appuyait sur l’état de l’art, en précisant des dates de prise d’effet, des conditions de dérogations (voitures anciennes par exemple) etc. Sans devenir garagiste ou ingénieur en mécanique, le législateur (et les juristes ensuite) avaient obligation de connaitre un minimum. Dans le cas de cette affaire nous estimons que le juge et le parquet n’ont pas fait ces efforts, et qu’ils ont eu raison, puisque vous les soutenez…

J’ai presque envie de vous retourner l’argument en fait. Moi je fais de l’informatique, pas du droit. Alors, si je fais comme vous, je considère la CNIL comme du droit, les lois informatique et liberté et la propriété intellectuelle comme du droit, ce n’est pas mon domaine, ce sont des cons de juristes, alors je ne lis pas, je ne m’intéresse pas, je n’applique pas, et quand on viendra me voir, je dirai que dans mon bureau, la seule chose qui compte, c’est l’informatique. Oui ce serait stupide. Mais vous me donnez vraiment l’impression de considérer cela comme normal ? (et j’espère que vous allez me détromper !). J’apprécie les éclaircissements juridiques, pourquoi refusez-vous les éclaircissements techniques ?

381. Le jeudi 13 février 2014 à 23:42 par Hulk

Je n’ai rien contre les éclaircissements techniques, c’est souvent intéressant, quelque soit le domaine.
Ce que je réfute, ce sont les arguments déployés ici par tout un tas de gens selon lesquels la volonté du législateur devrait être soumise à ce que l’état de l’art juge comme étant possible, ou pas, techniquement. Ce qui est parfaitement irrecevable.

C’est comme si on avait renoncé à rendre obligatoire la ceinture de sécurité pour le motif technique que ça bloquait le conducteur sur son siège. Sauf que du coup on a inventé la ceinture à enrouleur.
Eh bien c’est pareil. Le législateur peut décider des restrictions qu’il veut sur l’internet afin de lui appliquer le droit courant (protection du droit d’auteur, de la vie privée, du secret, interdiction de la diffamation et de la calomnie, etc), sans tenir compte des soi-disant contraintes techniques que les lobbies lui opposent.

Et guess what ? Une fois ces lois votées, les acteurs du web développeront en un temps record lesdites solutions techniques.

C’est pourquoi la technique peut être un éclairage, mais en aucun cas une contrainte pesant sur la décision du législateur.

382. Le jeudi 13 février 2014 à 23:53 par corrector

@ducont
Tout ce que tu dis est de la merdasse.

Va chier ailleurs.

383. Le vendredi 14 février 2014 à 00:15 par Xavier

@Hulk : Et guess what ? Une fois ces lois votées, les acteurs du web développeront en un temps record lesdites solutions techniques.

Et guess what? Pour le cas dont nous débattons ici, précisément, cela fait de nombreuses années qu’ils l’ont fait. Les solutions techniques sont implémentées un peu partout, y compris à l’ANSES.


200 OK Requête traitée avec succès

401 Unauthorized Une authentification est nécessaire pour accéder à la ressource

403 Forbidden Le serveur a compris la requête, mais refuse de l’exécuter. Contrairement à l’erreur 401, s’authentifier ne fera aucune différence. Sur les serveurs où l’authentification est requise, cela signifie généralement que l’authentification a été acceptée mais que les droits d’accès ne permettent pas au client d’accéder à la ressource

407 Proxy Authentication Required Accès à la ressource autorisé par identification avec le proxy

Cette décision de justice ignore pleinement l’existence de ces solutions techniques, malgré leur ancienneté et l’extrême popularité d’implémentations simples à mettre en œuvre, libres et gratuites.

384. Le vendredi 14 février 2014 à 00:18 par Xavier

Oops, j’ai oublié d’inclure la source de mes citations :

https://fr.wikipedia.org/wiki/Liste…

385. Le vendredi 14 février 2014 à 00:20 par corrector

“Pour le cas dont nous débattons ici, précisément, cela fait de nombreuses années qu’ils l’ont fait.”

Heu, non, il veut dire “une solution technique pour qu’un secret d’état ne se retrouve jamais sur le net”.

En fait il veut détruire Internet, c’est un casseur avec la Loi dans la main, comme d’autres agitent la Bible ou le Coran et prétendent interdire la recherche et l’enseignement au nom de la religion. Sa religion, c’est la Loi, dont il faut une lecture extrémiste et terroriste.

386. Le vendredi 14 février 2014 à 00:23 par jm

@hulk
“Ce que je réfute, (…) Ce qui est parfaitement irrecevable.”
C’est bien le fond du problème de communication dans les commentaires en fait. Nous (geeks, techniciens) venons en paix, et nous recevons des fins de non-recevoir non-justifiables (oui, -iables). Quand le seul argument est “j’ai raison, je suis juriste”, vous comprenez bien que la discussion ne peut pas bien se passer… Évitez les arguments d’autorité non-fondés, et nous nous arrêterons en bons termes avant les noms d’oiseaux. :-)

“la volonté du législateur devrait être soumise à ce que l’état de l’art”
C’est comme si on avait jugé sur la ceinture avant qu’elle n’existe… oh wait, ah si en fait, l’état de l’art précède le droit ! En fait, de facto, le droit est soumis (en ce qu’il suit) l’état de l’art !

D’ailleurs, j’ai répondu à vos arguments sur la voiture, je n’ai pas vu vos réponses… Je veux bien croire que mes remarques étaient stupides pour un juriste, mais j’aimerais comprendre quand même (enfin, si il y a quelque chose à comprendre).

Sur l’obligation de ceinture, le législateur a juste considéré deux maux, et a décidé que la ceinture sauvait plus de vies qu’elles ne causait de morts. C’est intelligent, et c’est basé sur une stricte compréhension des faits, des chiffres, et de l’état de l’art. Ensuite (comme je l’ai déjà signalé), il a encore tenu compte de l’état de l’art dans la mise en pratique (délai pour les nouvelles voitures, pour les anciennes). Mais on s’éloigne du sujet, hormis que le droit s’applique bel et bien sur des objets existants, connus et compris. Ou en tout cas, devrait.

“Et guess what ? Une fois ces lois votées, les acteurs du web développeront en un temps record lesdites solutions techniques.”
Mais il ne s’agit de forcer de nouveaux développement, il s’agit de comprendre les actuels. Ceux qui sont en place. Ceux qui ont précédés, si ce n’est le droit (voté par le législateur) en tout cas la jurisprudence. Et une fois qu’ils sont compris, pourquoi pas les moduler. Mais arriver au milieu d’un groupe d’experts en disant “j’y comprends rien, mais j’va tout vous expliquer !” bah, oui, dis comme ça c’est nul.

Et encore une fois, ce n’est pas parce que j’ai un couteau dans les mains que je suis meurtrier (enfin, je ne crois pas ?) c’est bien parce que l’arme (désignée comme telle dans ce cas) est entrée profondément, volontairement dans le corps d’autrui. Il s’agit bien d’apprécier les contraintes techniques (le couteau, qui le tenait, les circonstances, il a glissé sur une plaque de verglas ou il a pris 10m d’élan) et ça, ce n’est pas du droit ! Il s’agit bien de regarder ce qui s’est passé, de le comprendre, puis de qualifier en droit. Ce que corrector avait dit bien plus haut dans la discussion, les faits et leur compréhension précédent la qualification, le jugement vient ensuite. Si la compréhension est erronée, le jugement ne peut que l’être également.

“C’est pourquoi la technique peut être un éclairage, mais en aucun cas une contrainte pesant sur la décision du législateur.”
Presque tout à fait. C’est cet éclairage que nous souhaitons apporter, et nous estimons que le juge (et le parquet) n’était pas suffisamment éclairé pour rendre cette décision. Nous pensons qu’ils auraient dus (mais est-ce possible ? C’est un éclairage juridique que vous pouvez nous apporter) se déclarer incompétents, et renvoyer cela vers un juge (juridiction ? tribunal ?) qui fait la différence entre une feuille de papier et un couteau de chasse (ou entre un radio-réveil et un ordinateur).
Quant à estimer qu’il n’a pas à peser, cela veut dire qu’on peut juger avant d’avoir les faits, et que les experts (informatiques, psychologues) ne servent à rien. Remarquez, ça ferait faire des économies au système judiciaire; pas sûr que cela le rende meilleur par contre !

387. Le vendredi 14 février 2014 à 00:28 par Hulk

@Xavier

Cela prouve juste que ce ne sont pas les solutions techniques adéquates, et qu’il en faudra d’autres, plus sophistiquées.

388. Le vendredi 14 février 2014 à 00:35 par corrector

@ducond
“qu’il en faudra d’autres, plus sophistiquées”

Ne plus utiliser Internet, ça te va?

C’est ce que tu veux : interdire le progrès, comme tous les obscurantistes.

Retourne dans ta caverne.

Personne n’aime les casseurs de ton genre, et à trop vouloir faire ch. le monde, un jour, tu pourrais te faire des ennemis.

389. Le vendredi 14 février 2014 à 00:36 par jm

@hulk 390 : non, cela prouve juste 3 choses :
- l’administrateur n’a pas fait son travail (peu importe la raison, incompétent, pas demandé, demandé, pas de moyen, pas eu le temps…)
- ces solutions sont parfaitement adéquates dans le cas présent (voir point 1)
- vous portez des jugements techniques sur une technique que vous ne maîtrisez pas.

Pour le point 3, c’est comme si nous disions que la loi était mal faite, qu’il fallait en voter d’autres. Ce que nous ne disons pas, nous disons que le juge a mal qualifié les faits, par manque de compréhension des-dits faits.

390. Le vendredi 14 février 2014 à 00:40 par banane

à jm : je n’ai pas dit que je déclarais des logs serveurs. Quand je dis “vos coordonnées” je parle des coordonnées des utilisateurs (l’annuaire quoi). Par ailleurs, je suis d’accord avec ce que vous dites… à ce détail près que, ben non, si vous trouvez des codes de carte bleue, des mots de passe, des documents manifestement confidentiels (pas toujours facile à évaluer, bien sûr), même avec un simple navigateur (donc manifestement mal protégés), il s’agit bien de données privées. Vous êtes prié de les laisser en l’état, de sortir sur la pointe des pieds et de ne pas les diffuser (et, même, a fortiori si vous avez le sens civique, de prévenir l’administrateur).

391. Le vendredi 14 février 2014 à 00:57 par jm

@banane :
Donc nous sommes d’accord sur les faits suivant je pense :
- pour évaluer les documents, il faut les avoir télécharger (les consulter en ligne, c’est pareil, puisque si le navigateur les affiche, cela veut bien dire que les données sont dans l’ordinateur client, les bits ont transité sur le réseau)
- pas toujours facile à évaluer : une liste de cartes bleues, les adhérents à un parti politique, ok, je vois bien. Des documents émanant d’un service public officiel, qui ne comportent pas de mention, j’ai un peu plus de doutes déjà, non ? (sinon, je vais hésiter à télécharger les pdf de pôle-emploi sur la création d’entreprise… peut-être sont-ils confidentiels ? ça expliquerait le faible taux d’entrepreneurs en France…)
- j’en ai regardé quelques uns, ils ne me semblent pas “manifestement confidentiels”, je télécharge les autres, je n’ai pas de raisons de penser “a priori” que je commet un crime ?
- parmi les remarques avec lesquelles vous êtes d’accord, je pense qu’il y a la question fondamentale : une page de login ne veut pas dire que tout le site (toutes les données) est confidentiel ?

Si nous sommes d’accord, alors je ne vois pas comment nous pouvons considérer que le juge n’est pas allé un peu vite en besogne ?

392. Le vendredi 14 février 2014 à 00:57 par corrector

@ducont
“(et, même, a fortiori si vous avez le sens civique, de prévenir l’administrateur)”

Ce qui déclenchera une enquête, et avec des procureurs un peu “concons”, et des juges complètement à l’ouest, on risquera de conclure contre toute évidence que vous vouliez tuer tout le monde sur Terre.

Pourquoi risquer des ennuis?

De toute façon, avec des gens comme vous (ducont et ducond), ce pays est foutu.

Il faut d’abord rétablir la République, et ça commence par le Karcher sur les planqués de la Cour d’appel et de Cassation.

Et surtout, ne plus faire juger les manquements des magistrats par d’autres magistrats, mais par des jurys de citoyens ordinaires.

393. Le vendredi 14 février 2014 à 01:01 par Hulk

@facho 395

“Il faut d’abord rétablir la République, et ça commence par le Karcher sur les planqués de la Cour d’appel et de Cassation.”

Ok pigé, un soralien rouge-brun, encore un paumé du 21è siècle. Vas-y gaston, fais-nous donc une belle quenelle qu’on t’admire un peu.
PS : tu devrais finir ta boutanche et aller au dodo sinon tu vas rouler sous la table et passer la nuit à ronfler dans ton vomi.

394. Le vendredi 14 février 2014 à 01:25 par corrector

@ducond
L’antilibéral haineux facho UMPSiste qui traite un Républicain libéral de soraliste (=socialiste-nationaliste, ou nationaliste-socialiste), c’est le pompon.

“(et, même, a fortiori si vous avez le sens civique, de prévenir l’administrateur)”

Non, ce n’est pas signalant en privé les plus grosses bourdes de non-sécurisation qu’on va arriver à avoir la sécurité informatique.

Il faut rendre l’administration qui est “victime” d’une intrusion informatique, c’est à dire, qui n’a permise, responsable de cette violation de sécurité.

C’est à dire qu’il faut revenir à l’informatique : un ordinateur fait ce qu’il est programmé pour faire. Si un ordinateur est mal programmé, c’est celui qui l’a programmé qui est responsable, point final.

395. Le vendredi 14 février 2014 à 02:03 par ZorroZero

A Maitre Eolas :

Pourriez-vous je vous prie supprimer tous les coms de “corrector” qui insulte à tour de bras et profère des menaces. De mon coté, j’ai réussi à le géolocaliser (grace à son iPhone, quel andouille!) et j’informe aussitôt les CRS du Net qu’un excité trouble l’ordre public sur Internet…

396. Le vendredi 14 février 2014 à 02:07 par Hulk

@ ZorroZero

Monsieur,

Il suffit. Laissez s’exprimer les fachos, les tarés et les ratés. C’est leurs droits de l’homme à eux qu’ils ont.
Si on leur enlève ça, que leur reste t-il, je vous le demande, en dehors du cancer qui ronge leur fondement ?

397. Le vendredi 14 février 2014 à 02:12 par Xavier

@Hulk Cela prouve juste que ce ne sont pas les solutions techniques adéquates, et qu’il en faudra d’autres, plus sophistiquées.

Je n’ai rien compris à ce que vous venez d’écrire. Pourriez-vous s’il vous plait essayer de me répondre de manière moins sophistiquée peut-être, ou plus exhaustive ?

D’abord, que signifie Cela dans votre phrase ? Le fait que des documents non-classifiés mais aux thématiques sensibles aient pu échapper au contrôle de diffusion de l’ANSES ? Ou l’échec de l’ANSES à mettre en œuvre les Standards en vigueur sur un réseau avant d’y raccorder son service ? Ou la confiance que Bluetouff a eu tort d’accorder aux réponses HTTP de l’ANSES ? Ou le jugement rendu quant à la condamnation de Bluetouff ? Ou autre chose ?

Ensuite, en quoi considérez-vous que ces solutions techniques ne sont-elles pas adéquates ?

Actuellement, lorsque vous demandez une ressource précise, vous recevez pour réponse un OK accompagnée du contenu ou un Refusé accompagné (si et seulement si administrateur en a jugé utile de vous en informer) de la raison de ce refus.

Grâce à ces réponses de refus explicites, présentées dans votre langue par votre navigateur, et qui elles-mêmes ne présentent aucun caractère technique, en conviendrez-vous (?) — vous avez l’entière capacité d’adapter votre comportement bref, vous voilà responsable :

  • soit de tenter un nouvel accès, si vous avez des raisons légitimes de penser que le refus est une erreur temporaire (ou si vous réalisez vous être trompé d’authentification ou de ressource)
  • sinon de contacter l’administrateur du site
  • ou encore bien sûr, si vous êtes “étranger” au service, de ne pas vous y maintenir.

N’est-ce pas tant formidable que conforme à l’esprit des articles de loi existants ?

Enfin, quelle type de solutions techniques plus sophistiquées imaginez-vous et surtout, quel problème en particulier seraient-elle à même de résoudre, selon vous ?

398. Le vendredi 14 février 2014 à 02:17 par Hulk

@Xavier 400

Plus sophistiquées au sens où elles permettront de respecter la loi. Je fais confiance au département R&D de google pour imaginer ce qu’il faut dans les meilleurs délais, et par ailleurs ce genre de détail ne m’intéresse absolument pas. C’est un truc de techniciens.

399. Le vendredi 14 février 2014 à 02:19 par ZorroZero

Non monsieur, il n’y a pas de raison pour être conciliant en la matière. Ces jeunes effrontés dont la vie tourne depuis l’age le plus tendre autour de vidéo games, de youporn et de l’Internet méritent de temps en temps qu’on les remette à leur place. Il s’agit simplement d’être severe, et juste, cela va de soi.

400. Le vendredi 14 février 2014 à 02:20 par corrector

@ZorroZero
Tu t’es vu quand t’as bu?

C’est Hulk ici qui menace le monde civilisé avec son gros engin (son code pénal qu’il balance sur la tête des gens plus intelligents que lui, c’est à dire tout le monde).

PS : J’ai repéré tes coordonnées grâce au dispositif espion implanté dans ton trou du c.l. Les extraterreux (à ne pas confondre avec les extraterrestres) vont venir te kidnapper avec leur soucoucoupe. S’ils essaient de te sonder, ne résiste pas, tu verras, ça fait bien par où ça passe.

401. Le vendredi 14 février 2014 à 02:24 par corrector

@ducond
“Je fais confiance au département R&D de google pour imaginer ce qu’il faut dans les meilleurs délais,”

Google va désindexer les sites français.

Ce sera peut être une bonne chose : ça précipitera ce pays dans le chaos, les honnêtes gens expulseront les fachos de ton engeance. On pourra mieux respirer.

“et par ailleurs ce genre de détail ne m’intéresse absolument pas. C’est un truc de techniciens.”

Oui, le monde réel ne t’intéresse pas, on a bien compris.

Tu vas décréter un monde meilleurs, comme Lénine, Mao, Hitler…

402. Le vendredi 14 février 2014 à 02:34 par Hulk

@ pitre 404

Vous confondez le monde réel avec le monde des peigne-culs. C’est votre vie, j’espère pour vous que vous en êtes content.

403. Le vendredi 14 février 2014 à 02:35 par corrector

“Ces jeunes effrontés dont la vie tourne depuis l’age le plus tendre autour de vidéo games, de youporn et de l’Internet méritent de temps en temps qu’on les remette à leur place. “

Et pour les vieux national-socialistes, on fait quoi?

404. Le vendredi 14 février 2014 à 02:36 par corrector

“Vous confondez le monde réel avec le monde des peigne-culs. C’est votre vie, j’espère pour vous que vous en êtes content.”

Quel asile de fous te permet d’accéder au net, papy?

405. Le vendredi 14 février 2014 à 02:48 par corrector

“Plus sophistiquées au sens où elles permettront de respecter la loi.”

La seule façon de respecter la loi facho de ducond serait de lire dans les pensées.

Je propose qu’on implante un récepteur de pensée dans le cerveau de volontaires à commencer par les ducond/t : à chaque téléchargement d’une page Web, l’implant interrogera le cerveau des ducond/t.

Je ne garantis pas le résultat, mais ce serait toujours ça de fait pour l’avancement de la Science.

406. Le vendredi 14 février 2014 à 02:48 par ZorroZero

@l’aut’ geek de mes deux…

Vous êtes un malotru. Consultez un proctologue.

407. Le vendredi 14 février 2014 à 02:56 par corrector

“Personne n’aime les casseurs de ton genre, et à trop vouloir faire ch. le monde, un jour, tu pourrais te faire des ennemis.”

Je crois que certains individus mentalement déficients et national-socialistes ont considéré ces propos comme menaçants.

Il s’agit pourtant d’une évidence que même un enfant de 8 ans mentalement retardé aurait compris : quand vous supprimez des outils aussi utiles que le Web et l’Internet, vous risquez de vous faire beaucoup d’ennemis, et vraiment très énervés. Dans le lot, il y aura forcément des gens malpolis ou carrément violents.

Aussi sûr que 2 + 2 font 4.

Trop compliqué pour un national-socialiste.

408. Le vendredi 14 février 2014 à 02:58 par corrector

“Laissez s’exprimer les fachos, les tarés et les ratés. C’est leurs droits de l’homme à eux qu’ils ont.”

Qui vous empêche de déféquer vos commentaires ici?

409. Le vendredi 14 février 2014 à 04:37 par Xavier

@Hulk Plus sophistiquées au sens où elles permettront de respecter la loi.

Vous contredîtes sans aucune argumentation et balayez toute question d’un revers de la main. Pourtant mon propos n’est pas technique. Les solutions actuelles permettent de respecter la loi à cet égard mais vous-même, une partie de la sphère judiciaire ainsi que le Parquet, l’ignorez semble-t-il ou choisissez de l’ignorer.

Si ce n’est que du mépris que vous montrez là, nous avons tous deux mieux à faire que de poursuivre cette discussion. :)

Et oubliez un peu Google, cette entreprise encore jeune n’a inventé ni les Internets ni le Web mais n’est “que” le plus gloutons de ses reletons. Elle se fout royalement de votre problème imaginaire et ses intérêts sont aux antipodes de toute protection de données (demandez-vous pourquoi le Parquet ne s’y est pas frotté, elle est pourtant pleinement responsable de ses robots).

410. Le vendredi 14 février 2014 à 07:22 par jm

@hulk 401 : Xavier a parfaitement raison, tout est déjà présent pour respecter les lois techniquement. Tout ? non. Il manque des juristes moins têtus.

“et par ailleurs ce genre de détail ne m’intéresse absolument pas. C’est un truc de techniciens.”
Alors la loi ne m’intéresse pas, c’est un truc de juriste. Oui, dans un sens comme dans l’autre sens, cette remarque est complètement con.

411. Le vendredi 14 février 2014 à 07:28 par Xavier

Merci à tous ceux qui ont bien voulu commenter ce billet, les quelques uns qui ont fait l’effort de me répondre en particulier, et à @Eolas pour presque tout. Suivre un fil de discussion ici, c’est une expérience assez unique :)

Heureux l’idiot qui oublierait qu’une entreprise aussi proéminente que Google dans l’intelligence artificielle et le BigData, à l’affut de toute innovation scientifique ou technique et qui indexe aussi la presse du monde entier (de vulgarisation comme spécialisée) tout en prédisant le cours des épidémies de grippe jusque dans nos campagnes, négligerait ses algorithmes au point de manquer le caractère (hypothétiquement) sensible de thématiques traitées par des documents d’une agence comme l’ANSES.

Que ceux qui prêtent à Bluetouff la capacité évidente de conclure au caractère frauduleux de son maintien, réussissent à expliquer comment diable tous les voyants de Montain View n’auraient pas simultanément clignoté au rouge sirènes hurlantes, dès la première seconde de la mise en ligne par l’ANSES ?

C’est cela au fond, qu’il faut être e-gnare pour ne pas comprendre : soit le réquisitoire tient et l’on poursuit, présume coupable et condamne l’un comme de l’autre, soit toute les motivations s’effondrent comme un château de cartes.

Il m’apparait à présent évident que le Parquet a assuré fermement le “Géant” de ses liberté sans borne, tout en ciblant le “petit” avec soin. La loi est la même pour tous et la justice, un outil de répression malléable à l’envie par l’exécutif ? Alors vous êtes leurs pantins !

L’interprétation de la Cour a envoyé au pilori des années de pratiques universelles et éprouvées quant aux règles d’accès les plus basiques en vigueur sur le “Web”. Mais passons. La culpabilité est présumée par un raisonnement technique qui est erronée. Cela permettra dorénavant d’inverser, chaque fois que “nécessaire” la responsabilité de la sécurité d’un contenu en la faisant porter sur ceux parmi les visiteurs qui auront été “jugés techniquement cultivés”. Mais bien sûr, c’est une affaire de droit et la technique n’a rien à y voir ? Bravo!

À chacun ses évidences, sans doute.

Je rie encore de la soi-disant sécurité préservée de Mme Michu évoquée comme un bouclier (‘faut pas affoler Mamie, elle commence à faire ses achats en ligne et puis, elle est bien incapable d’élever sa culture technique, c’est ça ?). Quelqu’un a-t-il une idée de combien nous sommes, “nous les techniciens” et autres e-duqués de tous poils, à nous retrouver ainsi en insécurité juridique lors de nos moindres téléchargements ? En 2014 ?

Paradoxalement en plein scandale NSA/Snowden (et Lustre, n’oublions pas Lustre !) le jugement encourage ouvertement à l’usage de services centralisés.

À court terme, voici la seule leçon qui en sera retenue :

Téléchargez depuis le cache de Google, on ne sait jamais !

Le signal est aussi fort que regrettable. C’est une honte.

Faut-il choisir entre surveillance généralisée et justice médiocre ?

Navrons-nous pour la DCRI : il ne faudra pas se venir se plaindre que la police ne parvienne plus à opérer ses écoutes judiciaires lorsque les générations montantes auront massivement assimilé les techniques d’échanges tout à la fois fortement chiffrés et__ anonymes.
__

Tor, nous arrivons tous ! Et pourquoi pas entre mille, toonux :)

C’est l’heure de faire campagne. Résolument. Encore merci pour tous ces arguments. Salut!

412. Le vendredi 14 février 2014 à 09:03 par Hulk

@jm 413

Non, car nul n’est sensé ignorer la loi. Si vous ne tenez pas compte de la loi, vous allez en prison, tandis que si vous ne tenez pas compte de la technique, c’est sans conséquence.

413. Le vendredi 14 février 2014 à 09:24 par PMB

372. Le jeudi 13 février 2014 à 21:43 par corrector

Je ne vous ai pas insulté, vous m’insultez.

La colère est mauvaise conseillère.

Un autre proverbe : ira furor brevis est.

Pour vous, elle est longis.

414. Le vendredi 14 février 2014 à 09:33 par jm

@hulk 415
“Si vous ne tenez pas compte de la loi, vous allez en prison, tandis que si vous ne tenez pas compte de la technique, c’est sans conséquence.”
Donc, le juge n’a pas à tenir compte des faits. “Tiens, aujourd’hui je colle des non-respect d’un stop. La journée va être fendard !” Vous allez voir la tronche des plaignants et des prévenus !

Ce que vous dites est proprement hallucinant. Vous dites, droit dans vos bottes, que le juge fait ce qu’il veut, qu’il n’a pas de comptes à rendre, qu’il est (parce qu’il est juge) une sorte de demi-dieu qui ne répond qu’à lui-même ? C’est assez incroyable. Et vous traitiez Corrector de troll ?

Je vais essayer une question : soit un litige immobilier quelconque (un problème de caution par exemple). Le juge condamne (ou relaxe) pour non-respect d’un passage piéton. Ça ne vous choque pas ? Parce que c’est quand même ce que vous écrivez !

415. Le vendredi 14 février 2014 à 09:37 par Hulk

@jm 417

Je n’ai pas écrit cela, et je ne suis pas responsable de vos manifestes difficultés cognitives à comprendre ce que vous lisez.

416. Le vendredi 14 février 2014 à 10:08 par Martigan

Disclaimer: je ne suis pas juge, avocat ou même de formation juridique; je ne suis pas non plus hacker, informaticien, spécialiste réseau etc.
Donc, je ne suis pas un spécialiste, d’aucune de ces matières….

Toutefois, je dois bien admettre qu’à la lecture des commentaires, en omettant les derniers commentaires de corrector, un peu emporté par la mauvaise foi et le manque d’argumentation claire de ses contradicteurs, je me range plus généralement du coté des “geeks”, qui pour la plupart sont juste des gens, à mon sens, qui savent ce qu’est Internet…

Internet n’est pas entièrement public, c’est vrai. C’est un réseau d’interconnexion, destiné au partage d’information.
Ce partage peut être total (accès libre) ou restreint (accès sur loguine, c’est à dire exigence d’authentification).

Par principe de base (nous verrons si nous pouvons voir des exceptions à ce principe), tout document accessible après une requête d’un navigateur (safari, firefox, internet explorer…) sans authentification préalable, est réputé public.
Tout document, en revanche, qui nécessite d’être authentifié, est lui réputé privé.

Une analogie assez bonne du système de requête avait été faite sur une demande par lettre d’un document d’une administration; je ne vais pas la reprendre in extenso.

A mon sens (c’est un point qui se discute), les seuls cas où un document accessible librement ne peut être considéré comme public sont ceux ou ce document, de part sa nature ou son contenu, est clairement un document sensible, qui est explicitement à diffusion restreinte.
On trouvera notamment:
- Les documents confidentiel ou secret défense
- Les documents sur lesquels sont écrits les mentions “Confidentiel”, “Diffusion restreinte” etc., que ces documents soient originaires d’administration ou bien d’entreprises privées d’ailleurs (en réalité, le premier point est souvent inclus dans celui-ci, les documents “defense” étant TRES explicite en la matière, et les militaires très généreux dans l’application de ces termes)
- Les correspondances à caractère privée. Tous messages qui sont clairement des échanges entre personnes clairement individualisées, et pour lesquels il n’est pas fait mention de la publicité explicite, doivent être considérés comme privés, par nature.

On remarquera que l’appréciation du caractère confidentiel (et donc privé) dépend donc de la capacité de la personne qui accède à ce document à discerner le caractère confidentiel. Un chinois ne connaissant pas un mot de français ne pourra se voir reprocher de ne pas avoir distingué le caractère confidentiel d’un document écrit en français, à mon sens (là encore on peut en discuter). Je pense que c’est d’ailleurs un des arguments qui sous-tend la distinction entre spécialiste et Madame Michu, sauf que celui-ci se place sur la connaissance de l’informatique, et non pas de la langue…

Je ne vois pas ce que viennent faire les arguments suivants:
- Il y avait une page de loguine quelquepart… (so what?, en quoi cela implique-t-il que l’ensemble du site soit privé? C’est clairement FAUX, y compris pour moi, qui ne suit PAS un spécialiste informatique, et les très nombreux exemples fournis, y compris pour des sites gouvernementaux ou administratifs devraient suffire à établir cela)
- Les documents étaient manifestement confidentiels (ah bon? absolument faux - il n’y avait aucune mention évidente, et d’ailleurs l’ANSES n’a jamais prétendu cela…)
- Le volume de donnée montre le coté frauduleux (ah bon…? depuis quand un téléchargement de plusieurs Go est-il signe de fraude? Dans plusieurs années 1Go sera minuscule, il y a quelques années c’était colossal. Actuellement c’est plutôt… banal!)

L’autre point qui me chagrine, c’est la qualification de vol (le maître des lieux a lui même levé les sourcils… le vol est une qualification juridique, donc je suis moi-même en terrain glissant, mais si on devait se pencher que quelque chose, ce serait semble t il plutôt copie illégale, en termes d’homme de la rue).
Si vol il y a eu, alors Gougleu est également
- Soit coupable également du même vol, car ses robots ont accédés à toutes ces pages également, et accédé aux mêmes contenus, et mis en cache ces contenus, donc les a téléchargé (dans les mêmes proportions, en termes de Go)
- Soit coupable de recel, si je ne prends même pas la peine d’aller directement sur le site Internet référencé par Gougleu, mais que je consulte directement le cache…
La nature robotique de la démarche n’a rien à voir avec la responsabilité de Gougleu ou pas (ou alors il faut m’expliquer en détails pourquoi cela change quelque chose, et le cas échéant je crois que je vais rapidement imaginer des dispositifs robotisés de vol, y compris dans le monde physique, pour me mettre à l’abri de toute poursuite).

Tout ceci pour dire mon incompréhension à la fois de la décision du tribunal, mais aussi de l’attitude des Hulk and co qui ne cessent de marteler que la loi est la loi, et que nul n’est censé l’ignorer… (ce qui n’est pas un argument, vous en conviendrez).

Je n’espère plus vraiment de réponse structurée, mais il ne faut jamais perdre espoir!

417. Le vendredi 14 février 2014 à 10:20 par nooby

@Hulk :
Pouvez-vous expliquer en quoi le système actuel de requêtes HTTP ne permet pas déjà l’application de la loi, et les améliorations qui pourraient y être faites selon vous ? Je suis sûr que ça intéressera beaucoup de gens. Oh mais, suis-je bête, vous ne pouvez pas répondre à cette question, vu que c’est “trop technique” pour vous de comprendre que quand on essaye d’accéder à un document sur Internet, on reçoit une réponse qui peut aller de “OK” à “Va Te Faire Mettre Par Des Hippopotames”, réponse qui est fonction des permissions du document et de celles du navigateur cherchant à y accéder, tout étant défini par l’administrateur.
Ce que vous êtes en train de dire, c’est que pour éviter que les gens grillent des stops, il suffirait d’interdire les voitures.
Il y a un monde réel en-dehors de votre Code Civil adoré, vous savez… =/

418. Le vendredi 14 février 2014 à 10:32 par Martigan

@nooby 420
Non! Hulk ne dit pas supprimer les voitures, loin de là!
Il dit qu’il faut que les fabricants de voiture fabriquent des systèmes qui permettent de détecter les stops, ou qu’ils soient, et qui arrêtent les voitures automatiquement…
pareil pour les feux rouges, etc…

419. Le vendredi 14 février 2014 à 10:37 par nooby

@Martigan (421) :
Pas vraiment, vu qu’apparemment pour lui les stops (erreur HTTP 403 par exemple) ne sont pas suffisants. En gros, il voudrait des voitures capables de détecter les endroits où il n’y a pas de stop mais où l’ingénieur qui a conçu la route voulait que les automobilistes s’arrêtent, sans juger bon de l’indiquer… ^^

420. Le vendredi 14 février 2014 à 10:47 par jm

@hulk 418
“Je n’ai pas écrit cela, et je ne suis pas responsable de vos manifestes difficultés cognitives à comprendre ce que vous lisez.”
Mes difficultés cognitives vont très bien, merci pour elles. :-)

Ce n’est peut-être pas ce que vous pensez, mais c’est ce que vous avez écrit. Je vous cite, hein, histoire qu’on soit bien d’accord sur le phrasé :
“Non, car nul n’est sensé ignorer la loi. Si vous ne tenez pas compte de la loi, vous allez en prison, tandis que si vous ne tenez pas compte de la technique, c’est sans conséquence.”
Donc la seule chose qui compte c’est le code. Uniquement le code, rien d’autre que le code. Rien n’a d’importance en dehors du code. Le code, c’est la vie, la source intrinsèque de tout sur Terre et dans l’univers.
Si on doit se contrefoutre des codes de retour du serveur web, pourquoi devrait-on prendre en compte un clignotant ? Parce que vous savez ce qu’est un clignotant ? :-D

Je vous remercie pour votre (non-)attention et j’attends toujours vos arguments et vos réponses (j’en ai demandé quelques-uns et quelques-unes poliment, et j’ai répondu à tous vos arguments, j’ai même déjà demandé pourquoi vous ignoriez mes réponses. Elles sont peut-être fausses, mais faudrait descendre de votre piédestal et venir me l’expliquer - en termes simples, comme vous l’avez constaté, je ne suis qu’un faible technicien avec des difficultés cognitives) !

421. Le vendredi 14 février 2014 à 11:34 par pierre

Ce que dit Eolas et qu’essai d’expliquer Hulk, je crois, est résumé par l’adage déjà cité selon lequel “nul n’est sensé ignorer la loi”.
Comme l’a déjà expliqué Eolas dans un billet précédent, il ne faut pas comprendre cet adage comme une exhortation à avoir connaissance de la loi. Il s’agit de rendre impossible toute exonération à son application au prétexte de sa méconnaissance.

Ainsi, pour se rapprocher du cas d’espèce, un lieu privé n’a pas besoin d’être clôt pour être interdit au public, son caractère (comprendre caractéristique) privé suffit à cela.
De la même façon un bien, matériel ou immatériel, propriétaire ne peut faire l’objet d’une appropriation par autrui. Même si ledit bien est immédiatement disponible.

Illustration, forcement absurde, ramasser un téléphone ou un portefeuille dans la rue et le garder est du recel.
Merci de garder à l’esprit que “comparaison n’est pas raison”. Par conséquent, toute argumentation par l’exemple est vouée à l’approximation, à l’erreur, à l’absurde, à la nullité (celui qui lit ici un jugement de valeur est en pleine surcharge cognitive). L’exemple ne peut qu’illustrer une argumentation abstraite.

422. Le vendredi 14 février 2014 à 11:38 par banane

à jm : “Si nous sommes d’accord, alors je ne vois pas comment nous pouvons considérer que le juge n’est pas allé un peu vite en besogne ?” Je ne sais pas. Je n’étais pas au procès et je ne connais pas les arguments des uns et des autres.
Ce qui compte ici, et la technique n’a rien à voir là-dedans, c’est uniquement la bonne foi de M Bluetouff. Et je pense qu’on ne propose généralement pas à la presse des données que l’on estime publiques. M Bluetouff a pu être jugé compétent pour apprécier l’aspect privé des informations téléchargées. Je sais surtout, désormais, par les commentaires trouvés ici, que certains informaticiens pensent (de bonne foi) que ce qui est accessible en ligne est par définition systématiquement public et libre de diffusion (la porte est ouverte, j’ai donc forcément le droit de m’inviter). Il n’est pas exclu que M Bluetouff se soit trouvé dans ce cas (ça expliquerait sa non dissimulation) et que le juge ait voulu marquer le coup pour une prise de conscience. Mais c’est une pure hypothèse.

423. Le vendredi 14 février 2014 à 11:46 par nooby

@banane(425) :
“certains informaticiens pensent (de bonne foi) que ce qui est accessible en ligne est par définition systématiquement public”
Parce que c’est le cas, duh. Par défaut, une ressource accessible sur Internet est publique. Il y a des moyens très simples de la rendre privée si on le souhaite.

“(la porte est ouverte, j’ai donc forcément le droit de m’inviter)”
Quand la porte d’une administration, d’un magasin ou d’un autre lieu public est ouverte (~ ressource accessible en ligne), que je demande à un employé et qu’il me répond que je peux entrer (~code HTTP 200), alors, oui j’ai le droit de “m’inviter”, duh.
Un site Internet n’est pas assimilable à une propriété privée. C’est un lieu public, auquel on peut mettre des restrictions en le configurant correctement.

424. Le vendredi 14 février 2014 à 11:56 par Martigan

@pierre 424

Je comprends votre point de vue. J’aurais d’ailleurs beaucoup à dire sur l’adage en question…

Mais sur le fait que la loi existe et qu’il faut l’appliquer, personne ici ne dit le contraire. Et il est tout à fait possible d’enfreindre la loi sans le savoir, cela n’exonère pas l’auteur des faits (c’est souvent - mais pas systématiquement - un élément qui va jouer tout de même sur la peine finalement prononcée).

De même que personne (ou presque) n’a prétendu qu’un lieu ou une chose privée doivent nécessairement être défendue explicitement. En revanche, ce que beaucoup de gens ici soutiennent, c’est que dans le cas présent (ANSES et Bluetouffe), et peut-être même dans le cas plus général des sites Internet, le caractère privé des données trouvées par un lien indexé par Google et sans authentification n’est absolument pas évident (explicite encore moins).

Je ne veux pas faire trop d’analogies, elles sont souvent très approximatives. Si je trouve un portefeuille dans la rue, je ne dois pas le garder, mais le restituer (via la force publique éventuellement). Mais si je trouve des tracts ou des dossiers d’information - en nombre illimité, c’est important! - qui ne font pas mention d’un caractère confidentiel ou privé, sur un présentoir dans un lieu public, ou bien sur un salon professionnel, si j’en prends un et que je le garde pour moi, je ne vois pas ou est l’infraction…

Après, sur l’affaire exacte qui nous intéresse, j’aimerais bien avoir des réponses argumentées, y compris juridique, sur les éléments avancés (caractère privatif, qualification du vol, responsabilite de google…)

425. Le vendredi 14 février 2014 à 12:31 par clic

@Hulk 415: le problème c’est que vous n’arrivez à convaincre personne sur le fait que les moyens techniques mis en place permettent DEJA de respecter la loi. Vous appellez à un moyen technique “plus efficace”, qui permettrait d’éviter des erreurs, tout en reconnaissant que vous ne voulez pas vous intéressez aux réponses techniques des techniciens: c’est incohérent. Posez-vous quand même la question: pourquoi dans ce cas personne n’a encore attaqué google là dessus? la réponse est une ligne au dessus.

@Xavier 414: l’arrêt est peut être un peu court, mais on peut considérer qu’il s’agit de juger le cas présent (voir Mauve 169) et pas de disserter en général. Le fait que le prévenu soit un informaticien expérimenté capable au premier coup d’oeil de comprendre qu’il avait eu accès à endroit protégé (via la mise en page), car il savait lui même qu’il était sur un site contenant des données confidentielles (non pas seulement parce qu’il y avait un log in sur la page de garde, mais parce qu’il savait qu’il était sur le site de l’ANSES, qu’il n’y était pas allé par hasard, qu’il savait ce que cette agence fait et qu’une part de ses données sont confidentielles) même mal protégées, me semble devoir être pris en compte. Il est vrai que cela n’est pas dans l’attendu du jugement.
quelqu’un a fait l’analogie avec un viol (c’est douteux), et ce fameux argument de “je l’ai violée car elle a une jupe trop courte”. Ce à quoi en l’occurence il a été répondu qu’elle avait été violée, certes avec une jupe trop courte, mais surtout elle disait “oui, continue” (puisqu’elle se comportait comme n’importe quelle personne désirant faire l’amour). Mais il faudrait rajouter: certes elle disait oui, continue, mais le prévenu savait qu’il était rentré dans un hopital psychiatrique, il était évident au vu du lieu que même si elle disait “oui continue”, n’importe qui pouvait se douter que son consentement n’avait pas de sens dans ce cas là. Et à mon avis “ce cas là” ne doit pas être généralisé: le site, le mode d’accès, le déroulement du délit, les compétences du prévenu, tout cela entre en compte et auraient fait la différence avec Mme Michu qui serait tombé par hasard sur l’extranet de “cuisinesetcasseroles.com” et se serait dit “tien, je vais télécharger ces fichiers pour les regarder plus tard”. On ne peut pas juste regarder la question du protocole internet et dire “le système disait oui, donc les fichiers étaient accessibles”, il faut voir le déroulé de l’histoire qui fait qu’à peu près n’importe qui, et évidemment n’importe quelle personne compétente, aurais compris avoir eu accès à un site mal protégé.

426. Le vendredi 14 février 2014 à 13:10 par pierre

@Martigan 427 :

De fait, en prétendent que le niveau de sécurité mis en place par l’ANSES était insuffisant, certains commentateurs font fît du caractère confidentiel des documents. Hors, ce niveau d’insécurité n’a que peut d’importance du moment que le caractère confidentiel est reconnue. C’est ce que je souligne dans mon précédent commentaire.

Vous soulevez à raison, je pense, la difficulté induite par la condition immatérielle d’internet. Comment reconnaitre un espace privé, confidentiel ?
D’après le récit d’Eolas, en l’espèce, rien ne le permettait. Ce sur quoi se concentre, en grande partie, les débats dans ce fils.

Oui, mais ! Bluetouffe a reconnu en garde à vue avoir remonté l’arborescence du serveur et avoir constaté que l’accès à la racine de celui-ci nécessitait une identification par mot de passe.
C’est là que le débat prend fin pour le juge. Ayant constaté le caractère privé de l’espace et ayant persisté dans sa démarche, le prévenu est coupable. Peu importe qu’un notre chemin permettait l’accès sans effraction, l’espace reste privé.

Pour illustrer, si vous trouvez sur un présentoir marqué de l’inscription “servez-vous” un objet appartenant à quelqu’un (qui devrait-être dans la poche de ce quelqu’un) et que vous le prenez, on peut supposer votre bonne fois. Celle-ci tombera si vous avouez que d’une manière quelconque vous aviez compris que cette objet est la propriété d’autrui.
C’est ce que les juges reproche à bluetouffe, en un peu plus compliqué, puis n’est pas puni l’appropriation mais le simple maintien dans l’espace privé.

Maintenant, le débat peut s’ouvrir sur le moyen de la preuve. Un unique aveu (mais non démenti).

J’espère être clair dans mon énoncé et ne pas dire trop d’énormités.

427. Le vendredi 14 février 2014 à 13:29 par Tortuga

Qui parmi vous à déjà téléchargé 8Go de pages Wikipédia sur son disque dur pour les consulter chez lui ?

Personne. Personne ne fait ça, car tout le monde sait que Wikipédia, c’est public, et qu’on peut aller les consulter en ligne dès qu’on en a besoin (pour les pinailleurs, non, le stockage temporaire des données pour lire une page Wiki est différent du stockage permanent sur le disque dur).

Ici, pourquoi a-t-il utilisé 8Go de disque dur pour des données librement accessible à tout instant sur le net ?
Soyons sérieux, c’est bien qu’il savait que ces données n’étaient pas libre d’accès, et qu’il y avait eu accès à cause d’une erreur de paramétrage du serveur.

428. Le vendredi 14 février 2014 à 13:34 par herve_02

@clic

je comprends bien votre raisonnement, mais il est un peu court (et le contenu du blog du coupable qui voulait faire sauter la terre le démontre, tandis que l’ansses dit elle même que ces données n’étaient pas confidentielles) de décider que le coupable SAVAIT que c’était privée, en interprétant la retranscription de ses propos.

On peut même se dire que 30 heures de garde à vue + saisie du matériel informatique pour ce simple truc montre bien l’état d’esprit de la machine répressive. dans un billet bien loin Mr Eolas avait bien indiqué que la manière dont l’affaire commence influe fortement sur le verdict et nous avons là un bel exemple : considéré comme coupable dès le début, il a fallut bien des contorsions pour arriver à la conclusion avec même une introduction frauduleuse sur un simple clic dans google. Parce que si on regarde le déroulement qui a permis d’arriver là, on est loin de l’analyse des faits et le jugement, on a des tâtonnements destinés à le condamner coupable.

Ce que vous dites est faux : “n’importe qui aurait compris….” - non moi j’aurais pensé que ces documents viennent d’être “déclassifiés” et qu’il y a un lien ailleurs donnant sur eux. Et comme le soucis majeur est la permanence des liens, ils restent à leur ancienne place (et ne sont peut être que des liens symboliques) pour garder les anciens liens valides (ou leur accès depuis la partie classifiée) et sont mis à dispo ailleurs. Ce pourrait être même une conséquence de la décision du gouvernement et de l’open data en demandant aux administrations de donner accès aux données : ce que fait l’anses en libérant les droits de CE répertoire dans son arborescence.

Je serais comme lui, j’aurais profiter de télécharger les documents car ils étaient à porté, plutôt que de chercher aux 4 coins du web le lien direct d’une page “classique”. sur le fait de le proposer à des journalistes et y voir une “preuve” d’un comportement malveillant c’est un peu gros (je pense que seul les malveillants voient les autres malveillants). un comportement tout aussi possible est que dans un monde de profusion de documentation en gros volumes, les journalistes qui essayent de faire leur travail sont confrontés à l’enfouissage de la vraie information dans le volume de remplissage. ainsi étant tombé sur un contenu _semblant_ intéressant, il est intelligent de le proposer aux gens dont c’est le métier. Le fait que les journalistes ne l’ait pas repris veut peut être tout simplement dire que c’était inintéressant, ce qu’accréditerait la position de l’anses qui dit que ces docs n’étaient pas confidentiels et existent peut être déjà en plusieurs endroit sur le web.

Voila une interprétation possible. Bon maintenant lorsque l’on a décidé que son chien a la rage, il faut l’abbatre, mais ce n’est pas du droit, c’est de la politique.

Que l’intention détermine le quorum de la peine (avec circonstance atténuante ou aggravante) je peux le comprendre, mais on ne peut pas condamner l’un (le spécialiste) et relaxer l’autre (mme michu) pour la même action ou alors ce n’est plus de la justice mais de la divination.

429. Le vendredi 14 février 2014 à 13:43 par herve_02

@tortuga

Moi j’ai un wikipedia hors ligne et j’ai déjà téléchargé bien plus que 8 Go. Ensuite même s’il avait eu accès à cause d’une erreur de paramétrage (mais en ce cas l’admin SAVAIT qu’il y avait accès car le robot google était passé dessus, donc il savait que ces documents étaient en accès libre) nul ne peut rendre responsable des autres de ces propres turpitudes. Si je laisse 200 euros par terre et qu’une personne les ramasse, je ne peux l’accuser de vol. Car en fait de meuble possession vaut titre.

Ce n’est pas parce que c’est en ligne que ca le restera toujours, certains docs disparaissent lors de refonte de site ou de migration de serveur ou parce qu’une nouvelle version est mise à la place… Penser que ce qui est en ligne le reste montre une bien mauvaise connaissance d’internet. il suffit de comparer avec la wayback machine pour voir que des docs disparaissent. Il y a même des entreprises qui font pression pour faire disparaître des données publiques. Et si on veut faire une recherche plein texte dans un doc, il FAUT le télécharger pour l’indexer.

Mais comme il a été décidé qu’il était coupable avant tout jugement, il ne sert à rien de discuter, mais ne venez pas raconter que c’est du droit : c’est de la politique.

430. Le vendredi 14 février 2014 à 13:47 par Bidoum

@Tortuga 430 : Moi, pas sur Wikipédia il est vrai. Et en plus c’était légal. Mais j’allais partir en vacances sans internet et j’avais besoin de ces documents (je n’avais pas le temps de faire le tri plus exactement). Et pourtant je ne suis pas informaticien.
Mais le fait que vous disiez “personne” prouve assez que vous ne savez pas ce qu’est “aspirer” un site ni pourquoi on le fait, bref que vous n’y connaissez rien mais que vous prétendez deviner les intentions de quelqu’un sans rien y connaître dans le domaine où se situent ses actions. Bref, vous faites de la divination.
Personnellement je n’y connais rien non plus, mais je m’abstiens. Et si je devais en parler, je me renseignerais.

431. Le vendredi 14 février 2014 à 13:55 par jm

@tortuga :
“Ici, pourquoi a-t-il utilisé 8Go de disque dur pour des données librement accessible à tout instant sur le net ?
Soyons sérieux, c’est bien qu’il savait que ces données n’étaient pas libre d’accès, et qu’il y avait eu accès à cause d’une erreur de paramétrage du serveur.”

Non, avoir les documents en local permet de faire des recherches larges par exemple. Tiens, puisque je suis dessus, je suis en train de télécharger pleins de pdf d’un site (public, ressources libres), pour les merger, et ne lancer qu’une seule impression, je trouve cela plus pratique. Nous pouvons avoir des opinions différentes sur le sujet, néanmoins, je ne crois pas que cela prouve que j’ai de mauvaises intentions. De là à déduire une erreur de paramétrage, les professionnels (mais ce ne sont pas des juristes, il ne faut pas les écouter) vous diront que non, il n’est pas possible de déduire de cela une erreur de paramétrage. Si les données avaient été explicitement confidentielles (numéros de carte bancaire, interface d’administration de la base de données, enfin des trucs “gros”), Olivier n’aurait pas agi comme cela. Même si il avait récupéré les documents (et il ne l’aurait pas fait probablement), il ne s’en serait pas vanté. Dire le contraire c’est quand même le considérer bien bête !

@banane 425 :
“Et je pense qu’on ne propose généralement pas à la presse des données que l’on estime publiques.”
Faux, pour les éléments cités ci-dessus notamment, mais aussi en cas de panne du serveur, ou de tout autre aléa (aléa, donc pas “il s’est rendu compte de son erreur de configuration et les documents ne sont plus accessibles”).

“M Bluetouff a pu être jugé compétent pour apprécier l’aspect privé des informations téléchargées. “
Et il a apprécié l’aspect non-privé de ces informations pour toutes les raisons déjà évoquées :
- pas de faille de sécurité
- documents non-classifiés (c’est-à-dire pas de bande rouge “secret-défense”)
- une page de login interdisant l’accès à “tout ou partie” du site (donc, sauf si on considére de prime abord l’administrateur comme mauvais, on peut penser que d’autres parties sont privées, et donc pas celles-là)

etc

@pierre 429
“Oui, mais ! Bluetouffe a reconnu en garde à vue avoir remonté l’arborescence du serveur et avoir constaté que l’accès à la racine de celui-ci nécessitait une identification par mot de passe.
C’est là que le débat prend fin pour le juge. Ayant constaté le caractère privé de l’espace et ayant persisté dans sa démarche, le prévenu est coupable.”
Oui, et tout ce que nous disons, c’est que le débat pour le juge a pris fin prématurément (“est allé vite en besogne” j’ai écrit précédemment), notamment par manque d’implication technique (oui, d’accord, la technique c’est pour les bouseux, les gens sérieux font du Droit)…

432. Le vendredi 14 février 2014 à 14:17 par Martigan

@Tortuga 430
Euh… Télécharger des documents, les mettre sur mon disque dur, je le fais tous les jours pour le boulot, et très souvent à titre perso.
Déjà c’est systématique, dans mon cas, pour les PDF, quels qu’ils soient, et la très grande partie de tous les documents.
C’est également le cas pour tous les sites de news, parce qu’en quelques jours, pouf! Ca disparait, et pourtant c’est très très clairement public, un article de journal, non?
De temps à autre je ne fais que garder trace de l’URL, mais c’est vraiment rare, car je sais, comme beaucoup d’utilisateurs, qu’Internet est mouvant, et que ce qui est la un jour peut disparaitre le lendemain, sans que ce qui disparaissent ne le fasse pour une raison de “mauvais paramétrage” antérieur du site hébergeant les documents…

433. Le vendredi 14 février 2014 à 14:20 par banane

à nooby : vous confondez le caractère d’un document (public ou privé) et le caractère de son accès (contrôlé ou libre). Les 2 sont indépendants, même si l’usage le plus répandu est que les documents privés sont d’accès contrôlés, et les publics d’accès libre. Si je trouve sur le web votre numéro de carte bleue avec le code qui va bien, cela n’en fait pas une information publique et je me ferai probablement condamner à l’afficher dans les abribus. De même que si je trouve dans la rue un vélo en accès libre (sans antivol), cela ne me donne pas le droit de faire un tour avec (le caractère privé du vélo peut être remis en cause, cependant, si vous le trouvez dans une décharge).

434. Le vendredi 14 février 2014 à 14:26 par Simplet

@ clic 428: Interdisez vous aux patients internés en psychiatrie d’avoir une vie sexuelle au nom d’un consentement douteux ? Aux trisomiques? Aux patients “en ville” mais sous psychotropes ? Aux drogués ?

@Tortuga 430. A moi. Pas sur Wikipedia, mais il m’est arrivé souvent d’aspirer un site ou plus de 8GO de docs en série pour travailler tranquillement hors ligne.

435. Le vendredi 14 février 2014 à 14:31 par 465464

https://www.youtube.com/watch?v=pPj…

436. Le vendredi 14 février 2014 à 14:31 par Martigan

@banane 436
Justement!
Dans la plupart des commentaires, il est fait mention des deux arguments séparés:
- L’accès était libre, donc espace “public”
- Les documents ne présentaient aucun caractère confidentiel évident ou explicite

Le raisonnement mis en avant par les juges est:
- Il a vu à un moment une page avec login
- Il est spécialiste en informatique
- il devait savoir que tous les documents étaient censés être confidentiels
- il a continué à télécharger
- il s’est donc maintenu frauduleusement dans un STAD

Ce que dise la plupart des gens ici (geeks ou pas):
- Il a vu à un moment une page avec login
- Il est spécialiste
- Il sait que cela ne veut pas nécessairement dire que le site entier est privé
- Le caractère explicite des documents n’était franchement pas évident et pas du tout explicite (même si très intéressants)
- il a donc considéré qu’il pouvait continuer à télécharger

Par ailleurs, le maintien frauduleux sans accès frauduleux, dans un cas d’un STAD (pas d’une propriété privée avec un portail à un bout, et un accès libre du coté du petit bois ou de la rivière svp, les parallèles sont trompeurs), il faut m’expliquer…
Qu’il y ai maintien dans le STAD, certes, mais en quoi est-il frauduleux?

De plus, le vol est-il le bon qualificatif?

437. Le vendredi 14 février 2014 à 14:33 par clic

@425 snooby: sauf que sur l’internet, en dehors des protocoles, il y a pleins de choses qui nous permettent de deviner une erreur de protection: la mise en page par exemple: personne ne construit pareil une page pour le public et pour stocker des données. Et le droit protège aussi la victime de ses erreurs: ce qui fait que même si une personne a mal protégée une page, si des indices vous permettent de comprendre que vous êtes à un endroit où vous ne devriez pas être, vous devez en tenir compte.

438. Le vendredi 14 février 2014 à 14:55 par jm

@clic 440 :
” la mise en page par exemple: personne ne construit pareil une page pour le public et pour stocker des données.”
Encore un mauvais raisonnement par méconnaissance. La page en question est construite par le serveur web lui-même, il n’y a qu’une option à mettre (ou à ne pas mettre) dans la configuration. C’est juste une fonctionnalité “standard” de tous les logiciels de ce type, il n’y a vraiment rien de particulier à dire là-dessus… Cette option n’est jamais activée par défaut dans les distributions sérieuses, ce qui conduit à 2 hypothèses :
- l’administrateur utilise une mauvaise distribution, ou ce n’est pas un bon administrateur, ou la configuration a été faite par un stagiaire
- l’administrateur a activé consciemment cette option

Quand on est face à un service public important, vital comme l’ANSES, quelle hypothèse choisit-on par défaut ? (je rappelle que comme nous ne sommes pas juristes, nous ne partons pas du principe que les autres sont des moins que rien, c’est une piste !)

439. Le vendredi 14 février 2014 à 15:03 par clic

@437 Simplet: En fait l’idée m’est venue après avoir assisté à un congrès sur les cancers des personnes déficientes intellectuelles au cours duquel des chercheurs ont mentionné un taux de viol extrêmement important (70% des femmes dans deux études américaines) chez ces femmes. faites une petite recherche de papiers universitaires sur “rape, mentally retarded” et vous trouverez plein de choses tristes. Je ne veux pas leur interdire la sexualité, mais simplement, il est assez horrible que des gens profitent de la faiblesse des autres, et le fait d’avoir des relations sexuelles avec une personne qui ne les a pas véritablement consenties (en l’occurence, car elle est incapable de s’opposer à vous), c’est un viol en droit il me semble. Ceci étant, ça n’a rien à voir avec le schmilblick, c’était histoire de donner à sens à l’analogie. Ce n’était peut-être pas très pertinent, mais ça ne change pas grand chose à notre discussion sur ce brave monsieur Bluetouff.

440. Le vendredi 14 février 2014 à 15:21 par nooby

@banane :
Votre analogie est incomplète. Si je vois un vélo dans la rue, puis que j’aperçois son propriétaire, lui demande de me donner son vélo, et qu’il accepte, peut-il encore prétendre que je l’ai volé ? C’est similaire sur Internet : je suis sur Internet (~dans la rue), j’aperçois un résultat de recherche Google (~un vélo), son URL (~le propriétaire), je fais une requête au serveur pour accéder au document (~je demande s’il veut bien me le donner), je reçois une réponse HTTP 200 (~il accepte en souriant et me tend même les clefs de l’antivol), je le télécharge (~je pars avec le vélo en remerciant le bon samaritain qui distribue des bicyclettes dans la rue).
Sérieusement, quand on fait une requête pour accéder à un document, c’est comme si on demandait l’autorisation à l’autorité compétente dans le monde matériel. Si on nous donne l’autorisation, comment savoir qu’on a fait quelque chose d’illégal, sauf cas où on se retrouve devant des documents manifestement confidentiels (ce qui n’est visiblement pas le cas dans cette affaire) ? Ce qui me dérange, c’est la jurisprudence qui s’établit, et les raccourcis de raisonnement qui ne tiennent pas compte de la réalité technique d’Internet… =/

441. Le vendredi 14 février 2014 à 15:32 par KOH

@banane

Je vais dans une bibliothèque (un site), je remplis une fiche (une requête), le bibliothécaire (le serveur) me donne le livre demandé.

A quelles conditions juridiques ai-je le droit de le prendre ?

Ce n’est pourtant pas difficile à comprendre ! Et arrêtez avec vos exemples foireux.

442. Le vendredi 14 février 2014 à 15:39 par clic

@jm441
j’avoue que je ne suis pas capable de comprendre ce que vous dites.
Ceci dit, je suis allé voir la page de l’anses. On comprend tout de suite là où on est, que tout un tas d’informations sont disponibles via différents liens (dont tout un tas de rapport) et qu’il y a un onglet connexion. Même un type comme moi qui n’a qu’une maitrise basique d’internet comprend très bien qu’il a accès à pleins d’informations, et qu’il y a des informations auxquelles il n’a pas accès. Comme je ne dispose pas de compte, je n’ai pas idée de ce à quoi peut ressembler la partie qui est “derrière la connexion”.
J’ai accès au “back office” d’une institution pour laquelle je travaille, et personne ne peut douter, en étant dessus, qu’il n’est pas sur la partie accessible à tout le monde. Nous y stockons des dossiers confidentiels. Les deux trucs ne se ressemblent pas du tout. Vous semblez dire que ce n’est pas pertinent, j’avoue qu’il faut m’expliquer pourquoi. si même moi qui suis incompétent, je peux faire la différence, je ne vois pas pourquoi une personne qui est compétente ne peux pas le faire.
J’avoue que vos façons de renvoyer les gens à leur incompétence informatique sont à peu près aussi insupportable que la surdité d’Hulk au monde réel qui devrait se plier au droit.

443. Le vendredi 14 février 2014 à 15:50 par Voyante

C’est avec plaisir que je regarde votre site ; il est formidable .Je passe du temps vraiment très agréable à lire vos jolis partages .Continuez ainsi et encore merci .

444. Le vendredi 14 février 2014 à 15:54 par clic

@431 herve_02: je comprends aussi votre point de vue. J’avoue que nos deux explications me semblent tout aussi valables (même s’il va de soi que j’ai une préférence pour la mienne), et simplement qu’il aurait fallut être présent lors de la garde à vue et lors du procès pour pouvoir trancher.

445. Le vendredi 14 février 2014 à 16:01 par jm

@clic 445
“Comme je ne dispose pas de compte, je n’ai pas idée de ce à quoi peut ressembler la partie qui est “derrière la connexion”.”
Pareil, d’où le fait que si j’y accède, c’est public… puisque je ne peux pas faire la différence, et que je ne pars pas du principe que l’administrateur est incompétent.

“J’ai accès au “back office” d’une institution pour laquelle je travaille, et personne ne peut douter, en étant dessus, qu’il n’est pas sur la partie accessible à tout le monde. Nous y stockons des dossiers confidentiels. “
Si vous n’êtes pas authentifiés, est-ce que vous accéder aux documents ? Si oui, parlez-en à votre administrateur, ce n’est pas normal, c’est le cas de l’ANSES qui nous occupe ces temps-ci.
Pour faire le test, quand vous êtes authentifiés, copiez l’URL d’un document, puis dans un autre navigateur, ou après vous être déconnecter, essayez d’accéder à l’URL en question. Cela ne fonctionne pas (en tout cas ne devrait pas).

Je ne sais pas expliquer mieux que les autres ce qui nous semble tellement évident : votre backoffice vous liste des documents, et quand vous cliquez sur le lien, vous faites une requête HTTP vers le document en question. Soit le document nécessite un contrôle d’accès, et dans ce cas ne peuvent le télécharger que les personnes qui ont montré patte blanche, soit le document est accessible sans authentification, et alors soit il est public, soit le contrôle d’accès est mal configuré (et il faut le remonter à l’admin)…

En tout état de cause, vos 2 exemples sont très loin l’un de l’autre. Vous dites vous-mêmes que vous ne savez pas à quoi ressemble la partie privée, alors comment pouvez-vous savoir que ce qui est accessible n’est pas public ? D’autant que n’en déplaise aux juristes, qui arrivent avec 20 ans de retard sur le sujet, sur Internet, c’est public par défaut. C’est peut-être un tort, mais sans prime confiance, vous pouvez rendre votre connexion Internet, elle ne vous sert à rien…

“J’avoue que vos façons de renvoyer les gens à leur incompétence informatique”
Je m’excuse, mais je peux vous donner quand même la raison : vous affirmez quelque chose de faux. Vous auriez posé la question ou utiliser une tournure moins ferme, la réponse aurait suivi : ainsi “la mise en page par exemple: personne ne construit pareil une page pour le public et pour stocker des données” aurait pu être écrit “je ne pense pas que quelqu’un construise pareil une page pour le public et pour stocker des données”, la réponse aurait pu être “il ne s’agit pas d’une page construite particulièrement, mais d’une option courante de ce type de produits, désactivée par défaut, donc laissant à penser qu’elle a été spécifiquement activée par l’admin, blablabla”. Mais de fait, 200 commentaires plus tôt, j’aurais probablement utiliser une réponse moins ferme de toute façon ! :-)

446. Le vendredi 14 février 2014 à 16:03 par KOH

@tortuga - 430
Il y a quelques années j’ai eu besoin de beaucoup de données de l’INSEE, mais je n’avais pas encore internet. Je suis allé chez un ami et nous avons téléchargé tout le site : ça faisait environ un cd rom (700 Mo).
Voir ici pour la méthode, qui n’a rien d’illégal, puisqu’elle consiste seulement à automatiser une tâche qu’on pourrait faire aussi bien à la main, quoique moins rapidement : http://www.maitre-eolas.fr/post/201…

Il y avait peut-être des secrets d’état là-dessus, mais comment savoir, dans les milliers de statistiques, lesquelles étaient autorisées mais interdites ?

447. Le vendredi 14 février 2014 à 16:20 par Clément Azaïs

La musique nous sauvera de l’apocalyspse :)

448. Le vendredi 14 février 2014 à 16:35 par Pierre M. Boriliens

@clic (et à quelques autres)
Installez-vous un site internet. C’est d’une simplicité monacale.
Sous windows
1) téléchargez wamp (par exemple) : http://www.wampserver.com/
2) installez-le, comme vous faites d’habitude avec n’importe quoi d’autre.
3) autorisez votre box à transmettre les requêtes hhtp entrantes à votre ordinateur (voir mode d’emploi de la box)

Voilà, vous avez votre site internet. Sérieux, ce n’est pas plus compliqué que ça !
Et le monde entier peut s’y connecter en tapant votre IP dans son navigateur.

Reste à mettre quelque chose en ligne. Vous allez dans le répertoire \wamp\www
C’est le répertoire par défaut où le serveur va chercher les documents qu’on lui demande (s’il va ailleurs, c’est que vous l’avez configuré pour ça !). Vous effacez le fichier index.html s’il y en a un, puis vous mettez-là-dedans un scan de votre fiche de paye…
Le monde entier aura immédiatement accès à ce document, pour la simple raison que vous l’avez mis dans ce répertoire et que vous n’en avez pas interdit l’accès…

Si on n’a pas compris ça, je suis désolé, on ne fait pas un site internet et encore moins pour y mettre des secrets d’état…

449. Le vendredi 14 février 2014 à 16:42 par Pierre M. Boriliens

J’ai oublié de préciser que dès que le robot de google aura passé par là, en toute légalité, on pourra trouver votre adresse IP/votre feuille de paye en faisant une recherche parfaitement conventionnelle…

450. Le vendredi 14 février 2014 à 18:03 par Pierre M. Boriliens

@Yanick Toutain
Maître Eolas n’a rien contre vous, ni moi non plus, mais lisez ceci :
http://www.maitre-eolas.fr/pages/qu…

451. Le vendredi 14 février 2014 à 18:40 par clic

@boriliens: ben en fait, j’ai déjà eu des sites internet, wamp et tout ça. J’en ai même fabriqué quelques uns il y a longtemps à titre amateur. Et c’est tellement facile, que, oui, j’ai pu y mettre des sections privées protégées par mots de passe en copiant des lignes de code que j’aurais été incapable d’écrire. D’ailleurs certains de ces sites fonctionnent encore. Ceci dit, quelle importance? quand vous dites “si vous mettez votre fiche de paye, tout le monde va y avoir accès”, (merci, je ne suis pas neuneu à ce point) et vous ratez le cas présenté ici:
1) une personne a mal protégé des informations
2) une personne arrivée là par hasard, grâce à ce défaut de protection, a copié ces fichiers.
Je pense que ces deux points sont incontestables, et la discussion ne porte pas là dessus. La question porte sur le fait de savoir si la personne en question pouvait savoir que les informations auxquelles elle avait accès n’auraient pas du lui être accessibles.
Dans le jugement, il n’est pas retenu l’entrée frauduleuse, ce qui montre bien que le tribunal a reconnu qu’il y avait eu une erreur dans la protection du site et que l’intention frauduleuse n’était pas présente: Bluetooth est arrivée par la porte, tranquille..
Mais le tribunal juge que le maintien frauduleux est caractérisé, à partir du moment où il pouvait comprendre qu’il avait accès à des données qui auraient du être sécurisées.
Certains ici jugent que cela n’a pas de sens: ils disent soit c’est accessible, soit ça ne l’est pas.
Ce n’est pas ce qu’on décidé les juges, puisque ayant interrogé Bluetooth sur la navigation qu’il a faite sur le site, ils jugent qu’il pouvait comprendre qu’une partie de l’information n’était pas accessible à tous. Ils déduisent cela de l’existence d’un accès via login à une partie privée du site. En gros, ils disent “on se moque de savoir si l’endroit en question était bien ou mal surveillé, n’importe qui pouvait comprendre que cet endroit était privé”.
Encore une fois, je suis bien d’accord sur le fait que l’internet est en principe public. Mais ils considèrent que l’incompétence du webmestre n’excuse pas la personne qui peut sciemment comprendre qu’elle a accès à des données confidentielles. Je vous avoue que je trouve ça rassurant. Supposons que demain un type incompétent est embauché pour refaire le site internet de ma banque (et de la votre) et que mes coordonnées bancaires soient accessibles à tous. Je serai plutôt rassuré que la loi permette de condamner une personne qui se les approprie. Le fait qu’un éventuel “voleur” dise “ah mais j’ai pensé que s’ils avaient mis tous ces numéros de compte en ligne, ben c’était pour qu’on puisse les utiliser” me semble assez effrayant. Dans la mesure où des erreurs humaines sont toujours possibles, je trouve plutôt sain que la loi permette de nous protéger de ces erreurs, et qu’elle juge qu’une personne qui a accès à des données dont il peut raisonnablement comprendre qu’elles sont confidentielles, décide de se les “approprier” me semble assez salutaire pour le maintien d’un minimum d’ordre social. (vous allez me dire: ces choses sont sur des serveurs propres au banque, non connectés à internet, c’est possible j’en sais rien, mais en tout état de cause, il existe des bases de données mutiples dont on a pas envie que tout le monde ait accès même si un informaticien fait mal son travail, et cette loi existe pour ça - ou en tout cas aussi pour ça)
Sinon, on va tomber dans l’excès inverse qui était celui d’Hulk: demander à ce que des procédures surréalistes existent qui nous garantiraient tellement de nous protéger de tout qu’elles ne rendraient même plus l’existence d’internet possible.
Donc pour me résumer: je crois qu’au delà de la réponse positive du serveur à la requête, Bluetooth avait la possibilité de comprendre que les données auxquelles il avait accès étaient mal protégées. Je le crois précisément parce que, pour connaître un peu le fonctionnement de ce genre de site (en tant qu’utilisateur et non concepteur), ils sont organisés à partir de “zones” qui suivent des conventions “graphiques” relativement clairs qui permettent aux utilisateurs de faire la différence entre ce qui est accessible au grand public et ce qui est d’accès plus restreint, et parce que Bluetooth avait suffisamment visité le site pour comprendre qu’il était organisé de cette façon. Ceci étant, j’ai peut-être tort, vu que je n’ai pas accès à ce site là, et vu que je n’étais pas présent au tribunal, ni pendant les auditions. Mais ça me semble aussi improbable que, mettons, le fait qu’un boutiquier ait décidé de dépenser de l’argent dans son arrière boutique pour qu’elle ressemble à une boutique, et qu’au lieu de stocker ses produits les uns sur les autres, il se décide à peindre les murs, poser les produits sur des étagères, accrocher des bandes “soldes”. Si un type rentrait dans une telle arrière boutique, il serait sans doute fondé à croire qu’il est en fait dans une boutique accessible au public. Mais ce genre de trucs n’existe pas, et en gros, si vous trouvez une porte ouverte qui mène sur le stock d’un boutiquier qui n’est pas là, vous allez pas vous dire “super c’est ouvert, y a qu’à se servir”, vous allez vous dire “ce type a oublié de fermer”.
Pour reprendre le cas qui m’intéresse, les conventions sont suffisament fortes, à mon avis, pour que même si un serveur répond “oui” à une requête, on puisse se douter qu’il s’agit d’une erreur de programmation, et non se contenter de dire “super, ils ont décidé de distribuer des numéros de carte bleu” (même si je le reconnais, je force le trait, il s’agissait de documents et non de numéros de carte bleu).

452. Le vendredi 14 février 2014 à 18:55 par nooby

@clic :
Vous dites que, par expérience, les parties publiques et privées d’un extranet ont tendance à être différenciées graphiquement… mais ce n’est pas une obligation, et nous n’avons de toute façon aucun élément nous permettant d’affirmer quoi que ce soit là-dessus.
Notez que la principale critique faite au raisonnement exposé par Maître Eolas est celle vis à vis du raccourci : “il y a une demande d’authentification à la racine -> tout ce qui en descend est privé”. Ce qui est en général faux.

Personne de sensé ne remet en cause le fait que s’approprier des données manifestement privées mais rendues publiques par négligence est illégal (même si, à mon avis, la personne responsable de ladite négligence est au moins aussi coupable que l’éventuel voleur, surtout vu qu’il est relativement aisé d’assurer un niveau de sécurité minimal à des données sur Internet), mais, avec les éléments du dossier auxquels nous avons accès, tout ce que nous constatons, c’est une condamnation basée sur un raisonnement erroné… et quelques commentateurs qui disent d’énormes absurdités. =(

453. Le vendredi 14 février 2014 à 19:22 par Mabrouk

Excellente analyse. Cette affaire montre néanmoins au moins une chose : le manque de sensibilisation dans certaines institutions publiques ou para publiques à la sécurité informatique…

454. Le vendredi 14 février 2014 à 19:41 par jm

@clic
“ils sont organisés à partir de “zones” qui suivent des conventions “graphiques” “
Désolé mais non ! :-)
Recherche sur “Index of parent directory” Ils suivent la même charte graphique parce qu’ils n’en ont pas, c’est une fonctionnalité de base du serveur web. Qui peut être personnalisée, mais qui en pratique ne l’est jamais ou presque.

“Certains ici jugent que cela n’a pas de sens: ils disent soit c’est accessible, soit ça ne l’est pas.”
(je ne cite pas le reste, nous sommes d’accord)
Il y a 3 éléments qui sont ressortis en fait :
- l’accès est public (techniquement parlant, après bon, on connait les protocoles ou on s’en fiche, hein !)
- les documents n’étaient pas manifestement confidentiels
- Il y avait une page de login quelque part

Le premier point est simple et clair, mais pas pour les juristes, c’est ballot. Le deuxième mériterait plus d’attention, c’est-à-dire vérifié la teneur des documents. Et encore, on ne lit pas 8Go en une nuit, Olivier en a certainement parcouru 2 ou 3 “pour voir” et ni y a rien vu de confidentiel. S’attarder sur le troisième point avec l’ensemble des explications du fil de discussion serait une perte de temps, soit on a compris, soit on est borné ;-)

455. Le vendredi 14 février 2014 à 19:48 par kus

«Vous dites que, par expérience, les parties publiques et privées d’un extranet ont tendance à être différenciées graphiquement… mais ce n’est pas une obligation, et nous n’avons de toute façon aucun élément nous permettant d’affirmer quoi que ce soit là-dessus.» (nooby)

La page d’accueil en question: http://extranet.anses.fr Tandis que la page sur laquelle il est arrivé ressemblait à quelque chose du genre: http://bit.ly/1nzgJ6f, selon la déclaration, non contestée, de Bluetouff.

Voilà pour des éléments. :P

456. Le vendredi 14 février 2014 à 20:01 par SB

Sauf erreur, personne n’a cité le jugement de première instance, j’en donne donc l’adresse:

http://www.legalis.net/spip.php?pag…

457. Le vendredi 14 février 2014 à 20:01 par nooby

@kus :
Vous montrez d’un côté une interface graphique et de l’autre une arborescence, ce qui est foncièrement différent. ^^
Si on va par là, je peux vous montrer d’un côté mon terminal après avoir fait un “ls -l” et de l’autre un répertoire de mon gestionnaire graphique de fichiers. Ça représente la même chose, mais d’un côté on a une interface plus “complète” et de l’autre juste une arborescence sans chichis graphiques. ;)

Au passage, sur la capture d’écran : “last modified - 2008”. Moi, si je tombe sur ça via une recherche Google, je ne me dis pas que les dossiers sont confidentiels. XD

Bref, ça ne permet pas d’affirmer quoi que ce soit. ^^’

458. Le vendredi 14 février 2014 à 20:06 par Pierre M. Boriliens

@clic

“une personne qui a accès à des données dont il peut raisonnablement comprendre qu’elles sont confidentielles”

Comme vous y allez… Des données confidentielles ? La liste des maîtresses du patron avec leurs numéros de téléphone ou votre compte en banque, je veux bien.

Mais des rapports pdf, parmi d’autres rapports pdf ? Je ne sais pas ce que contiennent les fichiers incriminés. Mais si ce sont bien des rapports concernant la santé publique ? L’ANSES peut préférer cacher les informations dont elle dispose, moi je peux penser que les rapports en question sont publics, dès lors qu’ils sont accessibles par des voies normales. Tant qu’il n’y a pas de données à caractère privé…

L’exemple que donne RG ici : http://www.maitre-eolas.fr/post/201…
Vous en pensez quoi ?

Et encore une fois, ça n’a aucun rapport avec votre épicier : tout le monde sait qu’un épicier vend ses produits. Et c’est le cas que l’épicerie soit ouverte ou pas, ou que vous confondiez son stock avec sa boutique… Mais si vous remplissez votre panier dans le stock parce que vous n’avez pas remarqué que vous n’étiez plus dans la boutique et que vous passez à la caisse, ce serait quand même incroyable que l’épicier puisse appeler la police et vous accuser de vol…

459. Le vendredi 14 février 2014 à 20:17 par KOH

@nooby - 462

Je suis tombé là-dessus parce que je cherchais des photos des Alpes, vues des Vosges (si, si, c’est très possible, mais pas tout le temps).
http://www.baladapied.com/Images/

Public ou privé ?

460. Le vendredi 14 février 2014 à 20:21 par jm

@nooby 462
“Vous montrez d’un côté une interface graphique et de l’autre une arborescence, ce qui est foncièrement différent. ^^”
En l’occurrence, l’arborescence *est* une page web, générée automatiquement à partir du contenu d’un répertoire par le serveur web.

461. Le vendredi 14 février 2014 à 20:28 par kus

@nooby: je n’affirme rien, je donnais juste des éléments un peu plus concrets. En l’espèce, si je devais donner mon avis, je dirais que ça ne prouve rien, ni d’un côté, ni de l’autre, en effet.

@jm en effet, cette arborescence est tout autant graphique

462. Le vendredi 14 février 2014 à 20:51 par nooby

@kus :
C’est mon avis également. C’est ce que je voulais dire par “foncièrement différent” : pas que ce sont deux choses totalement différentes, mais bien que le fait que leur apparence diffère ne prouve rien, d’un côté comme de l’autre. Je ne sais pas si je suis bien clair. :hm

@KOH :
Je ne comprends pas vraiment l’intérêt de votre question. :hm

463. Le vendredi 14 février 2014 à 20:53 par clic

Ok, j’ai raté l’endroit où il était dit qu’il avait eu accès a un index de ce type, je pensais que le lien de google l’avait amené sur une page formatée de facon classique. Dans ce cas, mon argument n’a plus de force.

464. Le vendredi 14 février 2014 à 21:00 par herve_02

@clic

Si nos deux versions (pirates d’un coté ) ou (simple curieux) de l’autre sont valables par quel tour de passe passe on a décidé d’en faire un coupable ?

Parce que c’est internet et que c’est le repère du grand satan ?

Je croyais que le doute bénéficiait à l’accusé ? enfin dans une démocratie. Bien entendu dans les procés d’état des pays totalitaires c’est différent, mais nous sommes encore bien en démocratie quand même ? et il est impossible que la cour d’appel fasse juste plaisir au ministère public n’est-ce pas ? Comme il est juste impossible qu’un procureur général classe des plaintes sans suite, juste parce que son pote politique est impliqué dedans, n’est-ce pas ?

465. Le vendredi 14 février 2014 à 21:25 par clic

Je viens de me rendre compte que mon dernier commentaire était idiot et je metonne de ne pas m’être fait encore insulté ;) je vous remercie pour votre patience.
Herve: j’avoue que j’ai du mal à voir quel est l’objectif politique que vous voyez derrière tout ça. C’est lié a la sante publique? Au contrôle d’internet en général? Si j’ai tort, l’hypothèse d’incompétence n’est pas dans le fond plus probable?

466. Le vendredi 14 février 2014 à 21:55 par Pierre M. Boriliens

@tortuga et @gauvain

A plusieurs reprises vous affirmez : “Personne ne nie qu’il y a eu une erreur sur le serveur”.

Je pense que si, en réalité, même si c’est mal formulé.
Personne ne met en doute que l’ANSES considère ces documents comme privés, puisqu’elle a même porté plainte.

Mais justement, la plupart d’entre nous (vils geeks) affirme qu’il n’y avait pas moyen de savoir si c’était une erreur ou pas au moment des faits. Et c’est bien tout le problème.

Ça ne peut être considéré comme une erreur qu’à partir du moment où l’ANSES l’affirme. Donc après les faits ! Mais ce n’est pas intrinsèquement une erreur !

Cf le contre-exemple ici, parfaitement analogue : http://www.maitre-eolas.fr/post/201…

467. Le vendredi 14 février 2014 à 22:07 par herve_02

@clic

le contrôle d’internet considéré comme le repère de pirates en puissance ou le simple quidam peut devenir acteur, au même titre que la grosse boite que l’on connaît et qui est rentrée dans le moule des convention de la société de classes (castes ?).

Cette liberté qui devrait être la règle et qui a été mise en coupe par tout plein de mécanismes dans la société civile (gardes à vue abusives, franchement politiques, égalité à géométrie variable suivant que vous êtes mouloud ou dsk, piges d’état dans les quotidiens et médias nationaux, propagande en tout genre sous couvert de liberté, manipulation des opinions par des sondages orientés sur mesure…) et d’un seul coup un média que l’on ne peut contrôler à cause de sa décentralisation, il devient par défaut un repère d’ennemis.l’incompétence et la mauvaise foi fait le reste.

D’ailleurs, il est intéressant de remarquer que pour protéger un entreprise (de divertissement) hadopi considère que c’est le défaut de sécurisation le délit et pour protégé une autre c’est le fait de ne pas avoir imaginé que ce puisse être un défaut de sécurisation.

vous avez vu ce que dit la cjue à propos des liens hypertextes ? je serais très intéressé de connaître son avis sur cas d’espèce.

468. Le vendredi 14 février 2014 à 22:23 par suruo

@corrector #245 :
Quelle salade… Vous n’y connaissez rien et vous n’y comprenez rien, c’est triste…

Deux messages plus haut vous reprochiez à mauve d’avoir du “mépris” pour autrui. Vous y voici donc.

Un Web-robot est avant tout un client Web, comme votre navigateur Web, vous savez ce que vous utilisez pour poster vos inepties sur ce blog.

Faux.
Le navigateur web est conçu pour obéïr aux commandes de l’utilisateur (souris, clavier, touchpad, écran tactile, commandes vocales, etc.).
Le “Web-robot” n’existe pas : renseignez-vous sur l’architecture des systèmes d’information de Google, Bing, Yahoo, etc. Ce à quoi vous accédez lorsque vous utilisez un moteur de recherche est essentiellement une énorme base de donnée alimentée et gérée par plusieurs type de “robots” différents.
En ce qui concerne l’ANSES, il vous faut savoir que le robot qui indexe les pages n’est pas le même que le robot qui en fait une copie dans le cache de Google ; qu’il existe un délai variable entre l’instant de l’indexation par le premier robot, et l’instant de la mise en cache par le deuxième ; et que la/les pages de l’ANSES étaient, selon toute probabilité, accessibles dans les résultats de recherche Google avant qu’elles ne soient mises en cache.
En d’autre termes, lorsque Bluetouff a accédé au cache Google, les serveurs de l’ANSES avaient déjà enregistré dans leurs logs le passage des deux robots, et non pas d’un seul, passages espacés d’un intervalle de temps inconnu. Il s’agit d’heures ou de jours, puisque le robot qui met en cache est sans nul doute conçu pour ne pas mettre en cache les pages éphémères afin d’éviter que des petits malins ne saturent la base de données de Google.
Un administrateur de site web est usuellement responsable de l’indexation du site qu’il administre, ou alors il délègue cette tâche : en tout cas, il est important de vérifier le résultat de cette indexation, par exemple en consultant les résultats de recherche Google après que les logs du serveur du site administré aient indiqué le passage des robots…

Il s’agit de se conformer aux normes du Web

Veuillez définir “les normes du Web” d’un point de vue démocratique et non pas technocratique. On parle ici d’un jugement au nom du peuple français.

et surtout à la norme du sens commun

Veuillez définir “le sens commun” d’un point de vue démocratique et non pas tel que vous voudriez qu’il soit. On parle ici d’un…. (je vais pas me répéter quand même)

si un document est confidentiel il ne doit pas être accessible par n’importe qui. Il faut mettre un contrôle d’accès.

C’est très mignon, mais la réalité est sauvage. Voir ce que d’autres commentateurs ont déjà écrit à propos des usages professionnels.

Si un document n’est pas accessible sans s’être auparavant identifié, ni un quidam ni le robot de Google n’y accédera.

Sauf si ledit contrôle d’accès est piraté, et que le pirate laisse ensuite la faille ouverte pour que Bluetouff tombe dedans. La fausseté de cette hypothèse n’est pas démontrée, et il y en a déjà pour crier au scandale et à l’incompétence de l’ANSES…

Ce n’est pas Google qui inventé ces principes.

Voui, c’est bien ce que je disais : Google n’a pas fait d’OPA sur Internet.

469. Le vendredi 14 février 2014 à 22:28 par RG

@436 banane

vous confondez le caractère d’un document (public ou privé) et le caractère de son accès (contrôlé ou libre).

Sauf que la cour reconnait qu’il n’y a pas eu intrusion (donc l’accès était libre, et c’est jugé) et que l’ANSES reconnait que le document n’était pas confidentiel (non confidentiel et en accès libre = public).

D’où mon interrogation, quand le maintien est-il devenu frauduleux ? 10 S ?, 1mn ? 3/4 d’heure ?

470. Le vendredi 14 février 2014 à 22:39 par KOH

@SB - 461
Ça semble confirmer ce que tous ces sales geeks tentent vainement d’expliquer depuis le début…

471. Le vendredi 14 février 2014 à 22:45 par RG

@452 Pierre M. Boriliens

Vous avez oublié de préciser qu’en faisant son serveur web en poste unique, il peut reconstituer notre “scène de crime” sans intranet, encore moins d’extranet.

472. Le vendredi 14 février 2014 à 22:46 par KOH

@suruo :
“Sauf si ledit contrôle d’accès est piraté, et que le pirate laisse ensuite la faille ouverte pour que Bluetouff tombe dedans”.

Vous pouvez préciser ce que vous entendez par là ? Donner un exemple (au moins fictif) ?

473. Le vendredi 14 février 2014 à 22:53 par jm

@suruo:
””Un Web-robot est avant tout un client Web, comme votre navigateur Web, vous savez ce que vous utilisez pour poster vos inepties sur ce blog.
Faux.
Le navigateur web est conçu pour obéïr aux commandes de l’utilisateur (souris, clavier, touchpad, écran tactile, commandes vocales, etc.).””
Euh… il y a un programme interactif (= qui attend des entrées de l’utilisateur, au moins en partie) et un non-interactif (fonctionnement autonome). Jusque là, nous sommes d’accord je pense. Par contre, un bot est un client comme les autres du point de vue du serveur, il parle la même langue (protocole HTTP), s’identifie en tant que programme par son user-agent… et c’est tout ? Je ne comprends pas votre “faux” ?

“Le “Web-robot” n’existe pas : renseignez-vous sur l’architecture des systèmes d’information de Google, Bing, Yahoo, etc. Ce à quoi vous accédez lorsque vous utilisez un moteur de recherche est essentiellement une énorme base de donnée alimentée et gérée par plusieurs type de “robots” différents.”
Je ne vous suis pas. le robot n’existe pas parce que c’est une base de données alimentée par plusieurs robots ? Je suis confus.

474. Le vendredi 14 février 2014 à 23:02 par Pierre M. Boriliens

@RG

Ça me paraissait évident, mais vous avez raison. Il n’y a rien d’évident, quand il s’agit du nouveau Droit 2.0

475. Le samedi 15 février 2014 à 01:27 par suruo

@KOH #472 :
Vous pouvez préciser ce que vous entendez par là ? Donner un exemple (au moins fictif) ?

Vous donner un exemple ? Non.
Fictif ? Encore moins.
Préciser ? Peut-être… Qu’est-ce qui n’est pas clair au juste ?

@jm #473 :
Vous ne comprenez pas ce qui est “Faux” et, c’est le comble, vous êtes confus ? Eh bien, à cette heure-ci, il n’y a plus que la lune pour vous éclairer…

476. Le samedi 15 février 2014 à 01:44 par banane

à RG : Me Eolas l’a expliqué (faut lire l’article avant de le commenter, moi, je n’en sais pas plus). Le maintien a été jugé frauduleux car
- M Bluetouff a pu constater la présence d’un contrôle d’accès censé prévenir un accès non authentifié,
- il était, par ses compétences, capable d’en apprécier l’objectif prévu (non atteint !)
- et il est malgré cela resté plusieurs heures pour télécharger des données (je ne serais pas surpris que la présence même de ce contrôle inopérant ait motivé le téléchargement, donnant à ces données un intérêt soudain, mais là, c’est de la spéculation, hein !)

477. Le samedi 15 février 2014 à 02:37 par Nuria

Finalement, c’est plutôt le jugement de première instance qui semble mieux comprendre les enjeux techniques en cause.

Mais n’y aurait-il pas là tout bêtement un “effet de génération ” ?
Les magistrats de Cour d’Appel, plus avancés dans la carrière, donc plus âgés, sont peut-être par là même dotés d’un moindre background informatique ?

478. Le samedi 15 février 2014 à 04:22 par münchausen

Eolas, je diffère un peu de votre interprétation sur “Le vol est la soustraction frauduleuse de la chose d’autrui. “

La possession d’une information n’est pas la possession d’un bien.

Une partie de la valeur de possession d’une information tient dans ce que les autres ne la possèdent pas : être informé, c’est l’être mieux et avant les autres. Si tels autres accèdent illégalement à cette information, ils nuisent à la propriété privilégiée du premier possesseur (en fait premier connaisseur) de cette information, et le fait d’avoir accédé sans effraction à une information qu’on sait sensible et qu’on sait devoir être protégée même si elle ne l’est pas ne me semble pas rendre cet accès significativement moins illégal.

479. Le samedi 15 février 2014 à 05:59 par corrector

@malade-mental
“tandis que si vous ne tenez pas compte de la technique, c’est sans conséquence.”

C’est sûr, la technique ça sert à rien.

Accroche-toi au pinceau, je retire l’échelle.

480. Le samedi 15 février 2014 à 06:21 par corrector

@münchausen
“Une partie de la valeur de possession d’une information tient dans ce que les autres ne la possèdent pas : être informé, c’est l’être mieux et avant les autres. Si tels autres accèdent illégalement à cette information,”

Ce qui n’est pas le cas ici, rappelons-le.

“ils nuisent à la propriété privilégiée du premier possesseur (en fait premier connaisseur) de cette information, et le fait d’avoir accédé sans effraction à une information qu’on sait sensible et qu’on sait devoir être protégée même si elle ne l’est pas ne me semble pas rendre cet accès significativement moins illégal.”

Quelle salade…

La propriété d’une information N’EXISTE PAS, point final.

Donc tout ce blabla n’a rigoureusement aucun sens.

Et même si c’était illégal, ce ne serait pas un VOL, pour la raison expliquée par Eolas.

Diffuser un document sur lequel on a aucun droit viole généralement le droit d’auteur. Mais chut, faut pas le dire, sinon les gens comprendront qu’on s’est foutu d’eux avec le slogan “zone de non droit” “urgence de légiférer” et autre niaiseries.

481. Le samedi 15 février 2014 à 06:24 par corrector

@ducont
“- M Bluetouff a pu constater la présence d’un contrôle d’accès censé prévenir un accès non authentifié,”

Faux, comme on l’a dit un million de fois.

Vous ne comprenez donc pas le français.

”- il était, par ses compétences, capable d’en apprécier l’objectif prévu (non atteint !)”

Quel objectif?

“la présence même de ce contrôle inopérant”

Non, on vous dit qu’il n’y avait pas de contrôle DU TOUT.

482. Le samedi 15 février 2014 à 06:26 par corrector

@ducon3
“Le “Web-robot” n’existe pas”

On tient un autre champion!

Il en sort de partout : est-ce que ce sont des trolls payés?

483. Le samedi 15 février 2014 à 06:42 par corrector

@PMB
“Je ne vous ai pas insulté, vous m’insultez.”

Ah bon?

Et ça, c’est quoi :
“Devise du geek : la liberté c’est pour moi, pas pour les autres

Vous insultez tous les “geek” (et moi en particulier) mais bon, ça va parce que ça vient d’une pseudo-élite qui pond des bouquins.

Maintenant ça suffit vos conneries, hein. Tout le monde en a marre des trolls qui sévissent ici.

484. Le samedi 15 février 2014 à 06:47 par corrector

@clic
“Herve: j’avoue que j’ai du mal à voir quel est l’objectif politique que vous voyez derrière tout ça. C’est lié a la sante publique? Au contrôle d’internet en général?”

Non, oui.

Le message qu’on perçoit clairement est :

Ne furetez pas dans les affaires du léviathan. Les sujets penseront ce qu’on leur dit de penser, et ne révéleront pas les failles de sécu, ni l’ABSENCE de sécu.

485. Le samedi 15 février 2014 à 06:52 par corrector

“Mais n’y aurait-il pas là tout bêtement un “effet de génération ” ?”

Il y a surtout un effet “état policier”.

On peut ne pas tout savoir. Si j’avais à évaluer une affaire médicale, je m’informerais sur les éléments médicaux pertinents, je ne déciderais pas au doigt mouillé que les docteurs c’est tous des pourris donc EN TAULE!

La réaction de la Cour d’appel est du niveau primaire de la discussion de comptoir, même du niveau des réactions de masses des habitants de Springfield dans les Simpson. Mais qui se faisait encore des illusions sur la Justice française?

486. Le samedi 15 février 2014 à 06:52 par corrector

“Mais n’y aurait-il pas là tout bêtement un “effet de génération ” ?”

Il y a surtout un effet “état policier”.

On peut ne pas tout savoir. Si j’avais à évaluer une affaire médicale, je m’informerais sur les éléments médicaux pertinents, je ne déciderais pas au doigt mouillé que les docteurs c’est tous des pourris donc EN TAULE!

La réaction de la Cour d’appel est du niveau primaire de la discussion de comptoir, même du niveau des réactions de masses des habitants de Springfield dans les Simpson. Mais qui se faisait encore des illusions sur la Justice française?

487. Le samedi 15 février 2014 à 08:32 par jm

@suruo 475:
“@jm #473 :
Vous ne comprenez pas ce qui est “Faux” et, c’est le comble, vous êtes confus ? Eh bien, à cette heure-ci, il n’y a plus que la lune pour vous éclairer…”

Je ne suis pas juriste, je suis par contre ingénieur système et réseaux, je travaille chez un opérateur historique, après être passé par plein de “grands comptes”. Je pense savoir ce qu’est un client par rapport à un serveur. :-)
Ce que vous dites, enfin la façon de le dire, est faux. Mais peut-être aviez-vous quelque chose de précis en tête ? J’ai tenté d’en savoir plus. J’ai ma réponse, je ne suis pas le seul à avoir besoin de la lune la nuit, heureusement pour moi c’est sporadique :-D

488. Le samedi 15 février 2014 à 08:37 par corrector

Laissez tomber, suruo est un troll.

489. Le samedi 15 février 2014 à 11:12 par Holmes

@ corrector (488) (“Laissez tomber, suruo est un troll.”)

“Le formidable, l’incroyable, c’est Astro, le petit Robot.”

490. Le samedi 15 février 2014 à 11:52 par suruo

@corrector #482 :

On tient un autre champion!

Vous confondez le pluriel et le singulier. Je me permet d’insister : le “Web-robot” n’existe pas. Au contraire des “Transformers” (en jouets ou au cinéma), dans la réalité il est difficile de prétendre qu’assembler des robots multiples aboutisse à obtenir un unique “Web-robot”. C’est une erreur qui me semble très répandue sur ce fil de commentaires (il ne s’agit pas de votre seul fait).
En informatique professionnelle, pour ce que j’en sais, on préfère segmenter des tâches complexes en multiples sous-programmes plus ou moins indépendants les uns des autres.
Dans le cas d’espèce, l’indexation et la mise en cache sont deux tâches indépendantes, gérées par des programmes assez indépendants l’un de l’autre pour que l’on doive parler de deux robots différents.
Le fait que ces deux tâches soient liées à ce qui semble être une seule et unique base de donnée pour l’utilisateur du moteur de recherche est hors-sujet.

@jm #473 #487 :

C’est une question de point de vue, en effet : la navigation de l’humain est à vitesse humaine alors que celle du robot est à vitesse électronique.
Si un administreur détecte “en temps réel” une faille de sécurité sur le site qu’il administre alors qu’un “client Web” est en train d’y accéder, il y a deux possibilités :
- si le client est un robot, c’est déjà trop tard ou presque ;
- si le client est commandé “en temps réel” par un humain, il a une chance de pouvoir faire quelque chose.

Cela rejoint ce que je disais beaucoup plus haut à propos de la différence entre les permissions accordées à un robot et les droits accordés à un humain : rien à voir avec la notion de “client/serveur”.

—> Un robot peut causer un préjudice à un humain. La réciproque est fausse.

Pour moi, il y a du flou : qu’en serait-il d’une voiture sans pilote qui causerait un préjudice ?
—> 1) Accuserait-on le propriétaire, l’utilisateur ou le concepteur du véhicule ?
—> 2) Eolas ferait-il alors un billet pour expliquer que la voiture sans pilote est, au sens juridique le plus strict et le plus exact, un “STAD” ?

491. Le samedi 15 février 2014 à 13:01 par récap59

Bonjour suruo (490)

“qu’en serait-il d’une voiture sans pilote qui causerait un préjudice ?”

Les premiers à devoir répondre seront sans doute les juges américains. Ils pourront peut-être s’inspirer des solutions retenues pour les ascenseurs.

492. Le samedi 15 février 2014 à 14:17 par Holmes

@ suruo (490) (“Pour moi, il y a du flou : qu’en serait-il d’une voiture sans pilote qui causerait un préjudice ?”)

Demain est un autre jour.

Instructions pour remonter une montre inique :

“Tenez la montre d’une main, prenez le remontoir entre deux doigts, tournez-le doucement. Alors s’ouvre un nouveau sursis, les arbres déplient leurs feuilles, les voiliers courent des régates, le temps comme un éventail s’emplit de lui-même.(…)
Que voulez-vous de plus ? Attachez-la vite à votre poignet, laissez-la battre en liberté.
La peur rouille l’ancre, toute chose qui eût pu s’accomplir et fut oubliée ronge les veines de la montre, gangrène le sang glacé de ses rubis. Et là-bas dans le fond, il y a la mort si nous ne courons pas et n’arrivons avant et ne comprenons pas que cela n’a plus d’importance.”

Julio Cortázar (Cronopes et Fameux)

493. Le samedi 15 février 2014 à 14:28 par Hulk

@clic 442

Vous écrivez : “que la surdité d’Hulk au monde réel qui devrait se plier au droit”

La partie du monde réel qui ne se plie pas au droit c’est le monde des voyous et des délinquants. C’est ce que vous voulez, la loi de la jungle ?

494. Le samedi 15 février 2014 à 14:32 par Hulk

@clic 451

Vous écrivez : “Sinon, on va tomber dans l’excès inverse qui était celui d’Hulk: demander à ce que des procédures surréalistes existent qui nous garantiraient tellement de nous protéger de tout qu’elles ne rendraient même plus l’existence d’internet possible.”

Je ne vois pas où j’aurais demandé une aberration pareille. Mais vous allez certainement pouvoir citer mes propos en ce sens.
La seule chose que j’ai dite est que l’argument selon lequel une règle de droit ne serait pas applicable sur internet pour des raisons techniques est irrecevable. En un tel cas c’est la technique qui doit changer et s’adapter, pas la règle de droit. Par exemple, on ne va pas supprimer la règle du respect de la vie privée au motif qu’elle est techniquement difficile à garantir sur internet. Etc.

495. Le samedi 15 février 2014 à 14:45 par nooby

Hulk qui fait semblant de ne pas comprendre que le droit est déjà applicable sur Internet, notamment dans le cas qui nous préoccupe. :’)
C’est beau. :’)

496. Le samedi 15 février 2014 à 14:49 par banane

à corrector : allez, pour les malcomprenants, je me risque à une dernière explicaton. M Bluetouff tombe sur extranet.anses.fr/Docs. Il tape ensuite extanet.anses.fr et tombe sur un login/mot de passe. Et il continue de se balader peinard. Pour se justifier :
- il explique qu’un extranet, même avec un page d’accueil en forme de formulaire d’authentification, n’est pas un espace privé. Là, on peut le taxer de mauvaise foi : extranet, ça a un sens, un formulaire d’authentification sur une page d’accueil, ben c’est pas forcément là que pour faire joli. D’ailleurs, il reconnait lui-même qu’il a perçu une “erreur humaine” dans la configuration du site (comme si seul l’exploitation de failles “techniques” était répréhensible). Au passage, c’est lui qui donne l’analogie de la propriété, qu’on m’a reproché 20 fois d’utiliser ici. Le petit écriteau “propriété privée” existe bel et bien : c’est la page d’accueil du site.
- il explique également que, puisqu’il a a obtenu l’accès au répertoire par Google, c’est que c’est forcément public (comme dans la requête Google filetype:xls password MD5 sans doute, avec Google, on peut même combiner avec une attaque de brute force). Là, je ne dis pas qu’il n’est pas de bonne foi. La réaction de quelques techniciens ici prouve que cette légende est assez répandue. On a le droit d’utiliser Google (c’est le titre du billet). On n’a pas forcément le droit d’exploiter les résultats de ses requêtes.

497. Le samedi 15 février 2014 à 15:14 par Holmes

@ récap59 (491) (“Ils pourront peut-être s’inspirer des solutions retenues pour les ascenseurs.”)

C’est le moyen le plus simple pour l’être humain d’avoir quelques chance de s’élever au-dessus de lui-même.***
Face aux escaliers mécaniques, qui s’avance périlleusement au-dessus du vide…il n’y a pas de temps de téléchargement.****

Alexandre Lacroix - (Cosmos très haut débit)

498. Le samedi 15 février 2014 à 15:21 par Holmes

Une illusion à nourrir régulièrement : quelque (sans s)

499. Le samedi 15 février 2014 à 15:36 par Holmes

L’ascenseur en panne :”La scène se passe au dernier étage du Centre Georges-Pompidou, sur le ponton métallique, face aux escaliers mécaniques, qui s’avance périlleusement au-dessus du vide.”

500. Le samedi 15 février 2014 à 15:53 par Hulk

@ nooby 495

Euh… Il me semble que ce n’est pas moi, sur ce fil, qui passe mon temps à expliquer que le droit ne devrait pas s’appliquer et que la condamnation du délinquant dont il est question serait injuste.

501. Le samedi 15 février 2014 à 16:08 par Yanick Toutain

@450 Pierre M. Boriliens 14 février 2014 à 18:03
Ma question préalable est : Etes-vous l’un de ceux qui travaillent à CAMOUFLER UN ARRET DE COUR d’APPEL DE BORDEAUX pour que le public ne sache RIEN de la jurisprudence qui vient d’être fabriquée le 3 juillet 2013 ?
Arrêt du 03 juillet 2013 5ème Chambre RG n° : 12/06552
Comment se fait-il que cet arrêt extraordinairement gravissime pour les libertés publiques et que je qualifie de “jurisprudence néonazie” ne trouve aucun défenseur pour le publier ?
Comme se fait-il que, plus de 6 mois après, il ne soit visible nulle part ?

Vous dites ne rien avoir contre moi….. et au même moment la totalité de mes commentaires sont effacés ici. Est-ce vous le censeur ?
Si vous êtes le responsable de l’effacement de mes 3 messages d’avant-hier puis de ceux d’hier, dites-le. Les choses seront plus claires !
Je venais de proposer au vrai maitre Eolas de me prendre, en vrai, comme client. Il avait écrit qu’il ne refusait personne.
En lisant hier cet ancien billet
Blogueurs et Responsabilité Reloaded
[http://www.maitre-eolas.fr/post/2008/03/24/905-blogueurs-et-responsabilite-reloaded]
que j’avais lu, avec admiration en des temps anciens (admiration et ….. grosse naïveté)… j’avais la confirmation qu’il y avait la légende juridique énoncée pour les crédules et appliquée pour les voleurs, les trafiquants, les terroristes ….. mais ABSOLUMENT PAS POUR MOI….
Je suis victime d’un référé TGI Angoulême (2013/09) prétendument “vie privée” article 19 pour “propos excessifs” de nature politique. Mais les faits sont strictement les même que ceux d’une plainte classée précédemment. Ma condamnation “vie privée” qui est la requalification au civil d’une première plainte (2011/11 10 mois après l’article) qui avait été classée par le Procureur du Havre (après notre convocation comme témoin non assisté au commissariat du Havre) comme “délit de presse prescrit”.
Il est donc possible d’avoir une DEUXIEME MANCHE !
Toute affaire classée comme délit de presse peut resurgir plusieurs mois plus tard et 1 an et demi après l’article …. sous l’appellation “atteinte à la vie privée” !
De qui se moque-t-on ?
La Cour d’appel de Bordeaux invente une jurisprudence qui permettra demain de ne plus rien demander à la 17° chambre correctionnelle pour diffamation, injure ou quoi que ce soit puisque la simple appréciation subjective du juge des référés en province “propos excessifs” permet ipso facto de condamner à 31000 euros (7+24 d’astreinte) quiconque qualifie des comportements politiques ou militaires (en Afrique ici mais ailleurs demain).
Quelqu’un m’efface ici pour que l’omerta continue. Une omerta que la totalité de la presse franceàfric de gauche et de droite respecte jusqu’à présent. Avec l’activité militante de réseaux politiques (PCF au premier rang) travaillant à empêcher quelque motion de soutien que ce soit.
Dans ce billet de 2008; on apprend que le délit de presse exige du plaignant qu’il écrive au blogueur.
En janvier je n’ai pas reçu de courriel du plaignant, ni le reste de l’année 2011, ni en 2012, ni en 2013…. Ils ne savent pas que les blogueurs de Google ont une adresse GMAIL sans doute!!?? ….. Pour réagir sur mon blog, c’est encore plus simple : postez un commentaire et je pourrai le valider…..
Les gens verront dès que je validerai….
Et Google a la trace de ces demandes.
Le summum est atteint quand quelqu’un est condamné à cause de la mention de son nom sur mon OURS en colonne de droite…… pour des articles sans rapport avec le thème de la plainte (Côte d’Ivoire)
Mais, cerise sur le gâteau, cette personne, prise en otage pour son aide, est maintenant qualifiée d‘“administeur” de mon blog…. dans les dernières conclusions…. Une élucubration !
Les juges de Cour d’Appel INVENTENT qu’elle aurait reconnu ETRE CONTRIBUTRICE DE L’ARTICLE.
Un mensonge !
Elle clame qu’elle n’est QUE CONTRIBUTRICE du BLOG pour D’AUTRES ARTICLES.
Mais le président de la Cour de Cassation a trouvé une solution : la laisser être victime de saisies l’empêchant de vivre normalement depuis juillet, la transformant en SDF à partir de mardi…… TOUT EN LUI REFUSANT L’AIDE JURIDICTIONNNELLE….
Comme ça ils sont tranquilles…
La “JURISPRUDENCE” de la Cour d’Appel de Bordeaux a rester dans les coulisses.

Il y a 95% de chances que le TGI du Havre refuse le report de son audience de liquidation d’astreinte.
ET donc condamne Julie Amadis à devenir SDF dans une audience qui va se dérouler pendant qu’elle enseigne le français à ses élèves Roms en incitant leurs camarades à pratiquer l’ENTRAIDE EN CLASSE telle que je la pratiquais quand j’enseignais en primaire.
Mais ces abjections judiciaires, elles sont le traitement ordinaire appliqué aux révolutionnaires égalitaristes par ceux qui défendent les voleurs, les dealers et les terroristes.
Ceux-là, nous, nous les combattons !
IL y a deux poids deux mesures, et les avocats contactés qui nous boycottent à ne jamais donner suite aux appels montrent leur véritable visage et l’écart entre leur défense de la “justice” et leur défense du “sytème” actuel.
Cette nouvelle censure sur le blog Eolas, qu’elle soit votre fait - Pierre M. Boriliens - ou concomitante à vos pirouettes rhétoriques montre simplement la naïveté de ceux qui croient qu’il existe encore la moindre parcelle de droit en France !
Sans même parler de justice.
Il suffit de voir que le SMIC divisé par 20 en Afrique et par 5 au Maghreb par le patronat français est jugé conforme au 1° article de la Déclaration des droits de l’homme pour comprendre qu’il n’existe aucune justice en France.
A moins que le Tunisien ou le Camerounais salarié de Bolloré ne soit pas un “homme” pour les juristes français….
Cela doit être cela l’explication !
Logique donc que ma défense du réformiste président Gbagbo renversé par une attaque étrangère (de forces LICORNE ONUCI qui avaient envahi son pays en 2004 pour le “protéger” de l’attaque IB Soro venue du Burkina Faso de Blaise Compaoré) et mes articles démasquant les putschs successifs du 16/12/2010 et de l’année 2011 soient considérés comme une aide à des “NON-HUMAINS” et que cette aide de ma part bénéficie d’une JURISPRUDENCE KLEENEX !
Dont l’usage est réservé à une catégorie particulière d’individus !
La déclaration des droits de l’homme ne concerne ni moi-même, ni Julie Amadis victime de fabrication de faux en écritures dans une Cour d’Appel, ni Laurent Gbagbo, ni les 10 000 planteurs d’huile de palme de Kienké au Cameroun ni les Maliens victimes des islamistes de Ansar Eddine dont le chef vient d’être récompensé, ni les femmes victimes du MNLA qui s’est vu offrir Kidal…… qu’ils avaient envahi les 17 18 24 janvier 2012…
Les droits de l’homme sont les droits de l’HOMME ESCLAVAGISTE….
Ce sont les droits du DEMOS….
Logique donc que mes écrits soient détruits systématiquement ici et ailleurs…… COMME SOUS HITLER !!!!

502. Le samedi 15 février 2014 à 16:18 par Nuria

@ Hulk et ses collègues :

On comprend bien le sens de la démarche des juristes : réguler les activités utilisant Internet de façon à ce que n’y règne pas la loi de la jungle, de quoi il faut bien leur être reconnaissant, eh oui.

Même si perso je préfère la pédagogie de mauve aux gros bras de Hulk (et ce pseudo, mazette … pas si mal choisi, somme toute…)

Mais pour le mekeskidi de base, il est extrêmement perturbant de constater que dans l’affaire qui nous occupe, “l’appréciation concrète de FAITS”, qui visiblement échappent au moins partiellement à l’avocat général, se fait A REBOURS de celle de TOUS les praticiens du domaine qui s’expriment ici.

Un peu comme si un jugement s’appuyait sur “il est constant que le soleil se lève à l’ouest”.

Plus précisément, l’affirmation selon laquelle “l’accès à un site extranet se fait par une connexion sécurisée avec un mot de passe”, ( je cite le jugement ), n’est que partiellement exacte, on le comprend avec les nombreux exemples du contraire qui ont été fournis. La “vraie ” formulation serait “l’accès à un site extranet se fait NOTAMMENT par une connexion sécurisée avec un mot de passe”

Après çà, que “res judicata pro veritate habetur”, et bien, ça craint, et drôlement, et ce n’est pas de nature à conforter la confiance qu’on aimerait tant avoir dans l’institution judiciaire. (Par contre, une fois de plus, ça incite puissamment à la boucler en garde à vue, ça oui.)

Sinon, je serais curieuse de savoir si l’histoire du droit ne fournit pas des exemples de revirements dans l’analyse des faits lors des grandes mutations technologiques, il doit bien y avoir des précédents plus ou moins éclairants, non ?

BTW, merci à Me Eolas d’avoir laissé se développer cette discussion pleine d’intérêt.

503. Le samedi 15 février 2014 à 16:22 par KOH

@ banane
Vous prenez les juges de Créteil pour des imbéciles ?

504. Le samedi 15 février 2014 à 16:33 par KOH

@Nuria
“l’accès à un site extranet se fait NOTAMMENT par une connexion sécurisée avec un mot de passe”

Même ça me paraît abusif. Parce que “extranet” n’a aucune définition claire et chacun y met ce qu’il veut. C’est ça aussi et surtout ce que montrent les différents exemples.
On dit que le site se nomme extranet.anses et donc que…

Mais ce blog, http://secretdefense.blogs.liberati… ai-je le droit de le lire ? Je vois secretdefense dans l’adresse http. Que faut-il que j’en pense ?

505. Le samedi 15 février 2014 à 16:52 par KOH

J’en ai trouvé un autre, encore plus saisissant :
http://www.defense.gouv.fr/sga/le-s…

Ministère de la défense
Sous-répertoire : /secret-defense/secret-defense

C’est clairement interdit ! Sauf que… Il s’agit d’un article juridique précisant ce qu’est le “secret-défense”. On peut notamment lire ceci :

L’article 413-9 du code pénal dispose que « présentent un caractère de secret de la défense nationale les procédés, objets, documents, informations, réseaux informatiques ou fichiers intéressant la défense nationale qui ont fait l’objet de mesures de protection destinées à restreindre leur diffusion ou leur accès ». Ces mesures de protection consistent notamment en une réglementation de l’accès des lieux où sont conservés les documents et un marquage particulier de ceux-ci.

Intéressant !

506. Le samedi 15 février 2014 à 17:53 par récap59

Voilà un organisme public payé avec l’argent du contribuable pour défendre la santé publique et on reproche à Bluetouff de ne pas avoir deviné que les documents sur la santé publique qu’il publie sur son site auraient dû être classés confidentiels.

Les juges de 1ère instance n’étaient pas assez tordus pour comprendre cela, alors le parquet a interjeté appel. Mais quel intérêt défend-il ? Cela ne peut pas être l’intérêt général.

Et pourquoi la cour d’appel a-t-elle marché ? Seulement parce que les juges se sont laissé enfumer par ignorance de l’internet ?

507. Le samedi 15 février 2014 à 18:17 par KOH

@récap59

Vous remarquez que dans l’article 413-9 du code pénal, il n’est fait aucune mention du contenu des fichiers. Pour que ce soit secret-défense, il faut :
1) accès réglementé des lieux où sont stockés les documents
2) marquage particulier

Ça, c’est un article clair, je trouve.
On peut en déduire, je pense, que s’il n’y a ni accès réglementé, ni marquage particulier, notamment, c’est-à-dire que l’opération de classification secret-défense n’a pas été faite (et on peut pas nommer ça une faille de sécurité), le document peut ne pas être considéré comme du secret-défense. Peu importe le contenu du document ! Et si l’autorité compétente pense le contraire, c’est son problème et c’est à elle de réglementer l’accès et de procéder au marquage adéquat.

508. Le samedi 15 février 2014 à 19:07 par jm

@hulk :
“Je ne vois pas où j’aurais demandé une aberration pareille. Mais vous allez certainement pouvoir citer mes propos en ce sens.”
bah, en fait, on a l’impression que c’est le sens de vos propos. Il y a des interférences sur la ligne :-)

“La seule chose que j’ai dite est que l’argument selon lequel une règle de droit ne serait pas applicable sur internet pour des raisons techniques est irrecevable. En un tel cas c’est la technique qui doit changer et s’adapter, pas la règle de droit.”
C’est tellement caricatural ! Ah quand une loi pour interdire les crashs d’avion ? ça sauverait des vies ! :-)
Notez qu’en aucun cas je ne dis l’inverse de vous, ce serait tout autant caricatural. Juste qu’en toute chose, la modération est appréciée. Des fois oui, des fois non… Des codes et des lois apparaissent parce que la technique évolue. Ce qui ne veut pas dire que c’est toujours au législateur de s’adapter…

“Par exemple, on ne va pas supprimer la règle du respect de la vie privée au motif qu’elle est techniquement difficile à garantir sur internet. Etc.”
En même temps, personne n’a demandé cela :-) D’ailleurs, je ne crois pas que quelqu’un ait demandé à changer la loi dans ce fil ?

Bon, on va tenter une dernière fois, avec des questions simples, une par une :
est-ce qu’il y a besoin de qualifier des faits avant de pouvoir les juger (pour appliquer des lois déjà existante) ?

509. Le samedi 15 février 2014 à 19:21 par suruo

@récap59 #491 :
Les premiers à devoir répondre seront sans doute les juges américains. Ils pourront peut-être s’inspirer des solutions retenues pour les ascenseurs.

A ceci près que l’ascenseur est en un lieu donné et qu’il n’a ni à analyser son environnement ni à prendre de décision complexe.

Pareil pour le téléphérique, télécabine, ou même pour les tramways et métros dits “sans conducteur” et pour lesquels il y a en fait un contrôleur humain et non un programme informatique.

@Holmes #492 :
Demain est un autre jour.

En attendant, il pleut et ça fait des flaques d’eau.
Et les conducteurs humains évitent les flaques pour ne pas éclabousser les piétons.

510. Le samedi 15 février 2014 à 19:29 par jm

@suruo 490:
OK, on peut aussi aller détailler les langages et algorithmes utilisés, mais je ne vois pas trop le rapport avec la choucroute en fait ? C’est que vous dites est en partie vrai, mais j’ai du mal à comprendre le rapport entre l’archi réseau de google et l’authentification de l’ANSES ? (quand on veut insister, la place des guillemets est importante, -“Le” Web-Robot -c’est différent de -le “Web-Robot”-)

511. Le samedi 15 février 2014 à 21:04 par nooby

@Hulk (500) :
“Euh… Il me semble que ce n’est pas moi, sur ce fil, qui passe mon temps à expliquer que le droit ne devrait pas s’appliquer et que la condamnation du délinquant dont il est question serait injuste.”
Mais vous n’expliquez pas en quoi les protocoles déjà mis en place empêchent l’application du droit. Normal, vu que ce serait faux. Simplement, du coup, ne vous étonnez pas si tout commentateur ayant un minimum de connaissances dans le domaine dont il est question (l’informatique) vous regarde d’un air condescendant…

512. Le samedi 15 février 2014 à 21:24 par récap59

Bonjour Hulk (494)

“l’argument selon lequel une règle de droit ne serait pas applicable sur internet pour des raisons techniques est irrecevable. En un tel cas c’est la technique qui doit changer et s’adapter, pas la règle de droit. Par exemple, on ne va pas supprimer la règle du respect de la vie privée au motif qu’elle est techniquement difficile à garantir sur internet”

Dans quel monde vivez-vous ?

Dans le monde réel c’est l’état qui a trouvé que la vie privée était techniquement trop facile à faire respecter sur internet et qui a pondu de nouvelles règles, la plupart du temps de manière scélérate, pour interdire aux citoyens d’en profiter. Obligation de produire une pièce d’identité pour ouvrir un compte auprès d’un opérateur ou d’une FAI, limitations de la cryptographie, conservation obligatoire par les opérateurs et FAI de tous les faits et gestes de leurs clients pendant des années, nouvelles lois pour écarter toujours plus les juges et les avocats des procédures de piratage électronique exécutées par l’état ou ses comparses. La dernière en date était carrément un cavalier juché sur… la loi de programmation militaire.

S’il a fallu autant de lois, de décrets, d’arrêtés, de propagande et de coups tordus pour supprimer de facto le respect de la vie privée sur internet c’est que le problème n’a jamais été technique.

Évidemment il y a des dommages collatéraux. Si la police vous interdit de poser une serrure efficace sur votre porte parce qu’elle se réserve le droit d’entrer aisément chez vous par effraction et que vous trouvez cela normal il ne faudra pas vous plaindre que les cambrioleurs de droit commun profitent aussi de l’aubaine.

Vous comprendrez peut-être que l’état se moque de vous quand vous l’entendrez faire des leçons de morale grandiloquentes aux cambrioleurs de droit commun. Sinon, au plus tard quand la police exigera d’en savoir plus sur vous et votre sécurité (je ne parle pas seulement de votre sécurité sanitaire ou alimentaire) que vous n’avez le droit d’en savoir vous-même. Par exemple si elle s’approprie les plans de votre propre maison et refuse de vous les communiquer. Et nous n’en sommes plus très loin.

513. Le samedi 15 février 2014 à 21:56 par récap59

Si vous trouvez déjà normal en tant que citoyen que l’état traite les données publiques comme ses données privées vous êtes mûr pour accepter en tant qu’individu de ne plus pouvoir accéder librement à vos données privées. Seul l’état aura le niveau administrateur. Et il n’aura même pas besoin de faire son job d’administrateur sérieusement. Si par la négligence de l’administrateur vous accédez à ce qui vous appartient à titre privé vous risquerez des poursuites judiciaires.

514. Le samedi 15 février 2014 à 22:16 par corrector

@ducon3
“En informatique professionnelle, pour ce que j’en sais, on préfère segmenter des tâches complexes en multiples sous-programmes plus ou moins indépendants les uns des autres.”

Bien sûr, parce que décomposer un robot en plusieurs programmes en fait plusieurs robots?

Vous devriez lire la doc :

L’expression “robot d’exploration” désigne tout programme permettant de détecter et d’explorer automatiquement des sites Web en suivant des liens d’une page à une autre. Le robot d’exploration principal de Google s’appelle Googlebot. Le tableau ci-après répertorie les caractéristiques des robots d’exploration Google classiques qui peuvent figurer dans vos fichiers journaux, ainsi que la manière dont ils doivent être indiqués dans le fichier robots.txt, dans les balises Meta robots et dans la directive HTTP X-Robots-Tag.
https://support.google.com/webmaste…

On remarque que Googlebot est un seul robot (alors qu’il doit certainement utiliser de nombreux sous-programmes).

Rien que Google utilise de nombreux robots (8 d’après la page que j’ai indiqué), et chaque moteur a ses propres outils d’indexation.

Donc bien évidemment il existe de très nombreux robots, mais Googlebot est UN robot, pas 36.

515. Le samedi 15 février 2014 à 22:18 par corrector

@ducont
“D’ailleurs, il reconnait lui-même qu’il a perçu une “erreur humaine” dans la configuration du site”

Source?

516. Le samedi 15 février 2014 à 22:18 par corrector

@ducont
“D’ailleurs, il reconnait lui-même qu’il a perçu une “erreur humaine” dans la configuration du site”

Source?

517. Le samedi 15 février 2014 à 22:32 par corrector

@ducond
“La partie du monde réel qui ne se plie pas au droit c’est le monde des voyous et des délinquants. C’est ce que vous voulez, la loi de la jungle ?”

Les lois de la physique n’ont pas l’air de vouloir obéir aux lois des hommes non plus.

518. Le samedi 15 février 2014 à 22:53 par corrector

@ducon4
“Internet n’est que le moyen d’accéder à chacun des STAD qui le compose (ce qui, d’ailleurs, est la véritable définition d’Inter-net, l’entre-réseaux).”

Non.

Perdu, merci d’avoir joué.

519. Le samedi 15 février 2014 à 22:55 par jark

Hulk a tord sur toute la ligne en prétendant que les aspects techniques de l’affaire ne doivent pas rentrer en compte. Bluetouff est entré dans un STAD privé. Il n’y a aucune ambiguïté là dessus. Alors pourquoi a-t-il été relaxé sur l’accusation d’accès frauduleux à un STAD ? La réponse donnée par Éolas est limpide :

l’élément moral de l’infraction, son caractère frauduleux, c’est à dire la conscience d’entrer là où on n’a pas le droit d’aller, informatiquement s’entend, n’est pas constitué

Éolas dit que l’accusé doit avoir conscience de ce qu’il fait pour être condamné. Voila qui tranche singulièrement avec le discours d’Hulk qui prétend que la technique doit s’adapter aux lois pour empêcher tout accès involontaire dans un système privé.

Si il n’y a pas de condamnation sur l’accès frauduleux, c’est parce que l’accusé n’a pas agi volontairement, et c’est bel et bien un élément technique qui rentre en ligne de compte puisque l’accès a été possible grâce au manque de sécurisation sur le serveur.

Au contraire de ce que prétend Hulk, personne ne dit que la loi ne doit pas s’appliquer sur Internet, mais ce qu’il ne dit nul part, c’est que pour condamner quelqu’un, il est absolument nécessaire de prouver l’élément moral de l’infraction, de prouver que l’accusé agit bien volontairement. Et cette preuve ne peut se faire qu’en se basant sur des élément techniques, comme le prouve la relaxe sur l’accès frauduleux et la condamnation sur le maintien frauduleux. Dans ce cas précis, l’élément technique, la constatation d’un page de login à la racine, est très discutable. Cela aurait du rester au centre du débat, sans Hulk pour détourner totalement le sujet avec son discours totalement hors de propos.

520. Le samedi 15 février 2014 à 23:04 par corrector

@mauve
“bluetouff est un professionnel de l’informatique,”

donc un sous-citoyen. Forcément, c’est un technicien, donc vous les juristoïdes le méprisez.

“spécialiste des questions de sécurité, et concrètement, quand il est arrivé sur cette page d’authentification, le standard de comportement attendu était celui de la prudence.”

Quel standard?

521. Le samedi 15 février 2014 à 23:08 par corrector

@jark
“au manque de sécurisation sur le serveur”

Vraiment, c’était un manque?

Est-ce que les documents étaient réellement confidentiels?

522. Le samedi 15 février 2014 à 23:11 par corrector

@ducond
“Il me semble que ce n’est pas moi, sur ce fil, qui passe mon temps à expliquer que le droit ne devrait pas s’appliquer”

Si, c’est bien toi qui a sorti ça de ton c.l.

523. Le samedi 15 février 2014 à 23:16 par corrector

@ducont
“D’ailleurs, il reconnait lui-même qu’il a perçu une “erreur humaine” dans la configuration du site (comme si seul l’exploitation de failles “techniques” était répréhensible).”

Définissez “technique” et “humaine”.

Vous croyez que les programmes s’écrivent eux-mêmes?

LOL, vous en tenez une sacrée couche.

524. Le samedi 15 février 2014 à 23:27 par corrector

@récap59
“Dans le monde réel c’est l’état qui a trouvé que la vie privée était techniquement trop facile à faire respecter sur internet et qui a pondu de nouvelles règles, la plupart du temps de manière scélérate, pour interdire aux citoyens d’en profiter.
(…)
limitations de la cryptographie,
(…)
Évidemment il y a des dommages collatéraux.”

Oui, notamment concernant le (pseudo-)scandale des Google Cars qui accusées “d’espionner” les réseaux Wifi et même des mots de passe!

Si l’usage de la crypto avait été généralisée dès les débuts du Web, de bonnes habitudes auraient été prises, et personne n’entrerait un mot de passe sur un site en HTTP, cela paraîtrait aussi incongru que de demander à quelqu’un son code de carte bleue.

Bien sûr la crypto ne résout pas tous les problèmes de sécurité informatique, ni tous les problèmes de vie privée, et la solution à ces problèmes ne peut pas être seulement technique. La sécurité n’est pas seulement le résultat de l’usage de dispositifs de sécurité, il faut des bonnes pratiques (du systématisme, ne pas prendre de mauvaises habitudes), il faut adapter les outils aux humains qui s’en servent (pas de politique de mot de passe débile qui demande de changer le mot de passe tous les jours), il faut surveiller la bonne application des mesures, etc.

Mais la crypto est un outil essentiel pour défendre la vie privée, et les états ont lutté pour retarder son adoption et compliquer énormément son intégration dans les logiciels.

525. Le samedi 15 février 2014 à 23:30 par münchausen

@480 - Corrector

Si la propriété d’une information n’existait pas, on ne pairait pas - parfois fort cher - pour accéder de manière privilégiée à telle ou telle information. La propriété d’une information, c’est le droit à en prendre connaissance, c’est un droit que vous payez, autant en fonction de qui aura aussi pris connaissance de cette information (ie vous payez alors le fait de partager une information), qu’en fonction de qui n’en aura pas pris connaissance (ie vous payez alors le fait de savoir ce que les autres ne savent pas).

Typiquement, pour recevoir une lettre d’information (eg celle de L’Expansion, ou de tout autre journal de prévision financière), on paye un droit pour faire partie d’un groupe de gens qui ont accès à cette même information (donc on pourra traiter avec eux de cette information) et on paye aussi le fait que la diffusion de cette information est - précisément - restreinte.

Donc quiconque accède frauduleusement à cette lettre d’information, ou bien la rediffuse frauduleusement (eg sur son facebook), porte préjudice au marché initial.

En tout cas, c’est pour ça que - contrairement à vous et Eolas - je suis d’accord sur le jugement rendu.

BTW : désolé de ne pas être impressionné par l’arrogance formelle, les MAJUSCULES, la salade, les “point final”, etc…

526. Le samedi 15 février 2014 à 23:55 par KOH

@jm - 508

Je me demande s’il ne faut pas changer la loi. Ou du moins la préciser (cf mes posts 505 et 507).

Le système automatique de traitement de données, par exemple.

Les autorisations d’accès, entre autres, sont définies manuellement. Ce n’est pas le système qui décide ! Le système vérifie automatiquement s’il peut ou pas traiter une requête, mais en fonction des instructions qu’on lui a données manuellement !
Donc in fine, les autorisations ne font pas partie, logiquement, de ce qu’on peut appeler le système automatique, pas plus qu’elles ne sont une faille de sécurité dudit système.

Ou bien prenez un blog (ou autre site internet, c’est-à-dire accessible par une requête http). Si un article est en ligne, c’est que quelqu’un l’y a mis. Ça n’a rien à voir avec le fait qu’il y a un système de traitement automatique de données dans le coup, en l’occurrence un ou plusieurs ordinateurs.

Par ailleurs, si on y réfléchit un peu, il me semble qu’un document n’est pas intrinsèquement confidentiel. Il faut que quelqu’un en décide et le marque comme tel par des moyens appropriés.

Vous mettez votre courrier sous enveloppe, par exemple. C’est l’enveloppe et l’adresse, me semble-t-il, qui fait comprendre à un tiers que c’est confidentiel et donc qu’il ne doit pas lire le courrier s’il ne lui est pas adressé. Quel que soit le contenu !

De même pour le secret-défense. N’importe quel document, objet, etc., peut être classé “secret-défense”, dès lors que le ministère en a décidé ainsi et pris les mesures qui s’imposent (article 413-9 du code pénal). Mais tant qu’il n’est pas classé ?
C’est loin d’être un cas exceptionnel dans les labos de recherche, par exemple. Un chercheur publie, ce qui est son activité normale, et un jour un type de l’armée débarque et annonce “secret-défense”. Puis il explique au chercheur qu’il ne peut plus publier sur ce sujet sans autorisation de l’armée. Et sans doute d’autres mesures… Ça montre bien que ce n’est pas le sujet en tant que tel qui fait le “secret-défense” mais il le devient à partir du moment où l’armée en a décidé ainsi et pris les mesures appropriées.

Très franchement, je pense qu’il faudrait s’inspirer de cet article 413-9 du code pénal. Et qu’on ne me dise pas que la protection du secret-défense est laxiste !

527. Le dimanche 16 février 2014 à 00:08 par récap59

Bonjour münchausen (525)

Vous voulez dire que la mission de l’ANSESS, organisme public en charge de la santé publique, est de cacher aux citoyens les informations qu’elle a trouvé sur la santé publique pour pouvoir les revendre plus cher en exclusivité à quelques particuliers fortunés ?

Et accessoirement que Bluetouff était censé savoir cela. C’est quelque part dans le Journal Officiel ?

528. Le dimanche 16 février 2014 à 00:10 par corrector

@clic
“sauf que sur l’internet, en dehors des protocoles, il y a pleins de choses qui nous permettent de deviner une erreur de protection: la mise en page par exemple: personne ne construit pareil une page pour le public et pour stocker des données.”

Où allez-vous rechercher ces inepties?

529. Le dimanche 16 février 2014 à 00:10 par jm

@KOH
Non, il faut changer la technique on vous dit, pas la loi ! :-)

Franchement, oui, la loi est améliorable sur bien des points, mais ceux débattus ici me semble suffisamment pertinent en tant que tel. Il y a une infraction à constituer, et les points techniques ne permettent pas de la constituer dans le cas présent. Qu’un juge ait commis une erreur d’appréciation ne remet pas en cause la loi elle-même. Et puis je ne suis pas législateur de toute façon…

530. Le dimanche 16 février 2014 à 00:13 par corrector

@münchausen
“La propriété d’une information, c’est le droit à en prendre connaissance,”

Délire complet.

La propriété, c’est le droit de faire quelque chose?
Alors je suis propriétaire d’un droit de vous répondre? On peut vendre ses droits?

Vous voyez bien que ça n’a aucun sens, si vous avez un soupçon de bon sens.

531. Le dimanche 16 février 2014 à 00:15 par corrector

@jm
Il faudrait quand même reformuler la loi pour expliquer en quoi consiste le “maintien”.

Mes logiciels, comme mes clients, sont libres. Ce blog est délibéré sous Firefox et promulgué par Dotclear.

Tous les billets de ce blog sont la propriété exclusive du maître de ces lieux. Toute reproduction (hormis une brève citation en précisant la source et l'auteur) sans l'autorisation expresse de leur auteur est interdite. Toutefois, dans le cas de reproduction à des fins pédagogiques (formation professionnelle ou enseignement), la reproduction de l'intégralité d'un billet est autorisée d'emblée, à condition bien sûr d'en préciser la source.

Vous avez trouvé ce blog grâce à

Blog hébergé par Clever-cloud.com, la force du Chouchen, la résistance du granit, la flexibilité du korrigan.

Domaine par Gandi.net, cherchez pas, y'a pas mieux.