http://www.paranos.com/internet/tati.html
Par Capitaine Kidd - 03 mars 2002
Et oui. M. Kitetoa vient de se faire condamner à 1.000 euros
d'amende dans le
cadre de l'affaire qui l'oppose à Tati. On ne va pas vous
redétailler la
procédure qui est décrite en détail sur leur site.
Grossièrement, Kitetoa a
réussi, grâce à un bug Netscape Publisher très connu, à
accéder à une base de
données de clients qui n'avait rien à faire là. Suite à un
article de Newbiz,
Tati contre-attaque et assigne le propriétaire du site en
justice.
Apportons notre pierre à l'analyse de ce jugement et de ses
incohérences.
Le procureur et tous les médias ont repris la désormais
fameuse "image" de la
porte ouverte devant laquelle on passe (il existe une
variante avec la fenêtre).
Y jetter un oeil, sans rentrer, et encore moins voler/casser
ce qui est à
l'intérieur n'est pas en soi répréhensible. Le tribunal a
cependant rendu un
jugement pardoxal : l'infraction n'est pas constituée selon
le Procureur et la
société Tati a été déboutée de toutes ses demandes, mais
Kitetoa est tout de
même condamné à payer 1.000 euros ! Ceci illustre bien la
difficulté qu'a eu le
Tribunal à trancher dans une affaire où l'intrusion est loin
d'être avérée.
Voici quelques situations supplémentaires auxquelles la
justice aurait pu être
confrontée.
Supposons un instant que ce ne soit pas Kitetoa qui ait
téléchargé la base de
données : elle lui a été envoyée par un internaute
"anonyme". Serait-il alors
considéré comme complice ? Où est l'élément intentionnel ??
Le rapport de police
dit cependant que l'"on peut retenir à [l']encontre [du
journaliste de Newbiz]
ainsi qu'à celle de son journal, le recel de vol de base de
données". Bref, ce
que font Le Monde ou le Canard tous les jours ou presque,
sans être inquiétés.
Autre situation possible : un internaute lui envoie un mail
avec un lien
http://www.tati.fr/tati.mdb, sur lequel il clique. On lui
demande si il veut
ouvrir ou télécharger le fichier. Et hop, ça donne ça donne
ça (image envoyée
par un internaute attentif). Il n'est même pas au courant
d'une éventuelle
faille sur le site Tati, il voit juste une base de données
accessible à tous. De
quoi est-il alors coupable ? d'excès de naïveté ? tous les
jours des milliers
d'internautes cliquent sur des liens sans savoir ce qu'il y
a réellement
derrière.
Autre cas, plus que probable, un concurrent de Tati "aspire"
l'intégralité du
site afin de "benchmarker" comme ils disent chez les
consultants. Et là, une
surprise les attend : une belle liste de clients, avec
coordonnées et pleins
d'infos, pour rien ! Pas besoin de se casser à faire de
belles études
qualitatives et quantitatives qui coûtent cher, tout est là
(même pour 1.000
euros, ça reste bon marché ;-).
Mieux encore, si cette histoire avait eu lieu plus
récemment, le célèbre moteur
de recherche Google aurait surement référencé cette base de
données !! Imaginez
la surprise de l'internaute souhaitant vérifier si sa page
perso a bien été
référencée et qui tombe sur sa dernière commande de lingerie
fine pour sa copine
!
Bref, tout n'est pas si simple et en suivant certains
raisonnements on arrive
vite à la conclusion que tout internaute - curieux ou non -
est un pirate
potentiel pour la justice...
Dernier élément, non négligeable : une fois cette base de
données téléchargée
par inadvertance (cf. exemples supra), imaginons qu'une
personne reconnaisse son
nom et ses coordonnées. Hop. On inverse les rôles : Tati se
retrouve sur le banc
des accusés pour ne pas avoir su protéger les données
personnelles de ses
clients, conformément à la loi de 1978 (aussi disponible sur
le site de la
CNIL). Libre à elle de se retourner ou non contre son
prestataire de service par
la suite.
www.paranos.com - Tous droits réservés
http://citadelle.intrinsec.com/news=7642
Affaire Kitetoa contre Tati : le parquet général plaide la
relaxe Posté par
lbt, le 15/10/2002 à 11:23:47 ( Réagir | Imprimer
Envoyer par mail )
Dans l'affaire Kitetoa contre Tati, dans laquelle un
journaliste a été condamné
en première instance suite à la découverte d'une base de
données non protégée,
le parquet général de la cour d'appel de Paris a plaidé la
relaxe.
L'avocat général Etienne Madranges a en effet souligné que
découvrir une faille
de sécurité ne peut pas être assimilé à un acte de piratage
informatique.
Selon lui, "Il semble inenvisageable d'instaurer une
jurisprudence répressive
dont il résulterait une véritable insécurité permanente,
juridique et
judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui
découvrent les failles de systèmes informatiques
manifestement non sécurisés.".
http://news.zdnet.fr/story/0,,t118-s2123657,00.html
INTERNET
Affaire Kitetoa: le parquet général défend une jurisprudence
favorable aux
internautes
Par Jerome Thorel
ZDNet France
11 octobre 2002
L'affaire Kitetoa contre Tati SA passait devant la cour
d'appel de Paris le 25
septembre. Condamné en première instance pour une intrusion
imaginaire, le
webmaster du site a été défendu avec vigueur par le
ministère public. Verdict le
30 novembre.
«Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il
résulterait une véritable insécurité permanente, juridique
et judiciaire, pour
les internautes, certes avisés, mais de bonne foi, qui
découvrent les failles de
systèmes informatiques manifestement non sécurisés.»
C'est par cette limpide explication que le parquet général
de la cour d'appel de
Paris, représenté par l'avocat général Etienne Madranges, a
souligné pourquoi il
fallait relaxer le journaliste qui administre le site
internet Kitetoa.com. Ce
dernier a été condamné le 13 février 2002 pour un «accès
frauduleux» dans la
vitrine web du vendeur de prêt-à-porter Tati, laissant
apparaître des données
privées non protégées de 4000 personnes. Pour le parquet
général, conscient
qu'une jurisprudence instable pourrait s'instaurer,
découvrir une faille de
sécurité et la prouver par la suite ne doit pas être
assimilé à un acte de
piratage informatique. D'où les «réquisitions aux fins de
relaxe» du substitut.
(Lire l'intégralité des réquisitions.)
Le webmaster de Kitetoa a en effet été condamné par le
tribunal de grande
instance de Paris «au bénéfice du doute» écrit l'avocat
général, puisque le juge
a limité la peine à 1000 euros d'amende, alors qu'il
risquait jusqu'à un an
ferme. Il n'en reste pas moins que le délit est constitué
(«accès et maintien
frauduleux») et qu'il fait donc jurisprudence. Après de
mûres réflexions, le
parquet général de Paris, qui dispose de deux mois pour
faire appel, a déposé
son recours le 3 avril dernier.
Dans le rapport de police qui a servi de base à la
condamnation, le webmaster
était taxé de «pirate» et accusé de «vol de bases de
données», alors que la
faille du site internet Tati.fr ne nécessitait aucune
manipulation autre que
celle de cliquer avec son navigateur. Dans ses réquisitions,
l'avocat général
Madranges y revient allègrement en insistant: «En l'espèce,
il apparaît
clairement que le journaliste n'a utilisé aucune méthode de
piratage. Il n'a pas
cherché à "craquer" (...). Il n'est même pas établi qu'il
ait cherché à tricher,
à utiliser de façon abusive des fonctionnalités d'un
logiciel en vente libre. Il
a utilisé les fonctionnalités d'origine du logiciel
Netscape, qui est, avec
Microsoft Internet Explorer, l'un des deux grands logiciels
de navigation sur
internet, se contentant de cliquer sur les icônes
apparaissant sur son écran.
Une telle manipulation est accessible à tout internaute
averti, non ingénieur,
non technicien, non spécialisé, mais qui sait lire un mode
d'emploi. Le
caractère frauduleux de cette manipulation n'est pas établi
par la procédure.»
Nécessité de redéfinir l'infraction d'une base de données?
Et de poursuivre: «Il s'agit en définitive de décider si
l'accès par des moyens
légaux au contenu d'un système dont on n'est ni le créateur,
ni le détenteur ni
l'exploitant, dans un but de curiosité, ou dans le souci
d'en tester la
fiabilité, surtout quand on est journaliste d'investigation,
est punissable par
la seule conscience que l'on a d'y être parvenu sans
piratage, volontairement ou
involontairement.»
Le parquet général n'a pas manqué de souligner aussi ce qui
ne nous avait pas
échappé: la société Tati s'est montrée très négligeante sur
la protection des
données privées placées sous sa responsabilité, via son
prestataire technique,
une filiale du géant de la publicité Ogilvy. Jusqu'à cinq
ans d'emprisonnement
et 300000 euros d'amende: c'est ce que prévoit le code pénal
si l'on ne protège
pas ses bases de données cachant des données nominatives.
«Cette infraction»,
poursuit le substitut général dans ses réquisitions, est
«plus grave que celle
reprochée au prévenu». Il s'agit clairement d'une «carence
de la société Tati».
Lors de l'audience, l'avocate de Tati, Me Grabli, citée dans
un article de
l'hebdomadaire Lesechos.net, a reconnu que le journaliste
avait fait «un travail
de service public (sic) en permettant à 4000 clients de
protéger leur vie
privée». Mais elle a plaidé «l'interdiction pour tout
internaute, et quel qu'en
soit le mobile, d'entrer et de séjourner dans un système
sans autorisation».
Quant au président du tribunal, il s'est interrogé:
«N'a-t-on pas le devoir de
cesser de se connecter dès lors que l'on a connaissance du
contenu des données?
Poursuivre la connexion ne revient-il pas à se maintenir
dans la base?»
Pour l'avocat général, la réponse est claire: «Lorsqu'une
base de données est,
par la faute de celui qui l'exploite, en accès libre (...),
le seul fait d'en
prendre connaissance (...) ne saurait constituer une
infraction.» «Il en irait
autrement si l'internaute "testeur" forçait un passage,
réalisait un accès (...)
par une manipulation de piratage nécessairement volontaire,
intentionnelle,
frauduleuse.»
Verdict de la cour d'appel le 30 novembre
Affaire Kitetoa: la cour d'appel déboute Tati
Par Jerome Thorel
ZDNet France
4 novembre 2002
Cliquez ici
La cour d'appel de Paris a suivi les réquisitions du parquet
général, qui
demandait la relaxe du webmaster du site Kitetoa. Il était
poursuivi pour avoir
révélé une faille dans la base de données clients du célèbre
distributeur Tati.
Rendant sa décision avec un mois d'avance sur la date
prévue, la cour d'appel de
Paris a prononcé le 30 octobre la relaxe d'un journaliste,
condamné en première
instance à 1000 euros d'amende pour avoir fait son devoir
d'information.
Cette affaire, qui mettait aux prises l'animateur du site
Kitetoa.com et la
chaîne de distribution Tati, s'est donc conclue conformément
aux réquisitions du
parquet général, qui s'était rangé du côté du prévenu - un
fait plutôt rarissime
pour le représentant du ministère public (lire notre
actualité du 11/10/2002).
Tati reprochait au webmaster de Kitetoa (qui traque les
sites à sécurité
limitée) d'avoir publié plusieurs articles courant 2000 sur
une faille de
sécurité du site internet de Tati. Site administré par un
prestataire extérieur,
en l'occurence Ogilvy Interactive, filiale du géant mondial
de la publicité.
Cette faille, dont le journaliste avait pris le soin d'en
informer les sociétés
concernées avant ses lecteurs, laissait une porte ouverte
dans la base de
données des utilisateurs de Tati.fr.
Tati, débouté, n'est pas à l'abri de poursuites pénales
L'avocat général Étiennes Madrange (substitut du procureur
général de Paris
Jean-Louis Nadal) avait en effet insisté sur la dangereuse
jurisprudence que
faisait peser sur les internautes, le jugement mitigé
prononcé en première
instance par le tribunal de grande instance (TGI) de Paris.
«Il semble
inenvisageable», avait plaidé l'avocat général, «d'instaurer
une jurisprudence
répressive dont il résulterait une véritable insécurité
permanente, juridique et
judiciaire, pour les internautes, certes avisés, mais de
bonne foi, qui
découvrent les failles de systèmes informatiques
manifestement non sécurisés.»
En conséquence, Tati a été débouté de ses demandes de
dommages et intérêts et sa
plainte jugée non fondée. Par ailleurs, la société
plaignante n'est pas à
l'abri, de son côté, d'une plainte pénale pour
"non-sécurisation de données
nominatives", un délit prévu par la loi informatiques et
libertés de 1978.
Jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende:
c'est ce que prévoit
le code pénal si l'on ne protège pas ses bases de données
nominatives. «Cette
infraction», argumentait le substitut général dans ses
réquisitions, est «plus
grave que celle reprochée au prévenu». Il s'agit clairement
d'une «carence de la
société Tati», disait-il.
L'arrêt de la cour d'appel a été prononcé oralement mercredi
dernier aux deux
parties; les minutes du jugement n'ont pas encore été
publiées.
Lambda
http://www.freenix.fr/netizen/800/802.html
Un délit d'information,
et pas un crime informatique!
>>Lien direct vers le dossier de Kitetoa>>
UPDATE OCT 2002
+ Lambda 8.07 (10 octobre 2002): devant la Cour d'appel,
Kitetoa défendu -fait
rarrissime- par le parquet général!
+ Réquisitions du parquet général aux fins de relaxe
(Cour d'appel de Paris, audience du 25/09/02)
UPDATE - VERDICT COUR D'APPEL du 30 octobre 2002: Kitetoa
relaxé!!
Kitetoa.com, vous connaissez? Leur dada: repérer les trous
de sécu qui menacent
des données pesonnelles et tenter de fermer la porte...
D'abord en avertissant
le prestataire, ensuite en publiant. Antoine Champagne, qui
possède le nom de
domaine et par delà "responsable" de ce qui s'écrit sur
Kitetoa.com, s'est fait
condamné le 13 février 2002 pour "accès et maintien
frauduleux dans un STAD"
(=système de traitement automatisé de données).
Toute l'histoire est résumée ici, "vue" de l'intérieur (il y
a même une
retranscription du rapport de la PJ!! - extraits reproduits
plus bas):
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
UPDATE
+ Extraits des minutes du jugement et commentaires du lambda
+ 3/04/2002 le parquet fait appel (article de zdnet)
Cékoi l'histoire?
- Condamné mercredi 13 février à payer 1000 Euros d'amende
avec un sursis (de
cinq ans) par la 17e chambre du tribunal correctionnel de
Paris. Cette affaire
oppose Kitetoa à la chaîne de magasins Tati, épinglée en mai
2000 pour avoir
laissé en libre accès, à partir de son site Tati.fr, une
base de données
nominative de plus de 4000 internautes.
- Verdict étrangement partagé: condamné pour "accès et
maintien frauduleux" sur
un système informatique (article 323-1 du code pénal),
Kitetoa obtient pourtant
le bénéfice du doute (le code pénal précise que s'il y a
"accès frauduleux", le
tarif est d'un an de prison et 15000 Euros d'amende). Car
Tati a été débouté de
toutes ses demandes qui comprenaient la publication du
jugement dans la presse
et 1 euro symbolique de dommages et intérêts.
* Olivier Iteanu, avocat du webmaster de Kitetoa: "On
peut regretter que le
juge n'ait pas été au bout de sa logique et relaxé purement
et simplement mon
client" (zdnet.fr).
* L'avocate de Tati, Me Elizabeth Grabli: avec ce
jugement "n'importe qui ne
peut pas accéder frauduleusement à un système, sous quelque
prétexte que ce
soit" (lesEchos.net). Me Grabli, contacté par nos soins,
refuse pour l'instant
de s'exprimer à nouveau jusqu'à la publication du jugement
(prévu entre avril et
mai 2002).
* Antoine Champagne: "C'est à mon sens un jugement mi-figue,
mi-raisin et, dans
l'absolu, cela bloque nos actions futures" dit-il. "Un accès
et un maintien
frauduleux, pour tous ceux qui connaissent un minimum
l'informatique, ça revient
à casser un mot de passe pour y placer un cheval de
Troie..." Il a finalement
décidé de ne pas faire appel de ce jugement, malgré le
risque de jurisprudence.
Mais en appel, la "retenue" du juge d'instance n'aurait eu
que peu de chances
d'être "retenue": si accès frauduleux, prison ferme...
Résumé des épisodes précédents
* Juin 1999. Antoine Champagne remarque que la vitrine
commerciale Tati.fr
n'est pas suffisamment protégée. Plus précisément, grâce à
un simple navigateur,
il est possible d'afficher toute l'arborescence du site et
d'accéder librement à
une collection de fichiers. La manipulation est simple et
s'effectue donc sans
forcer la moindre porte.
* Fin juin. Champagne envoie alors un email à
l'hébergeur de Tati (une
filiale du groupe Ogilvy); il ne recevra aucune réponse:
premier article de
Kitetoa.
* Printemps 2000. Un an après: le site n'est toujours
pas protégé. Cette
fois, sa "base client", c'est-à-dire la liste des données
laissées par les
internautes visitant le site, est même en libre accès.
Nouvel e-mail d'alerte
d'Antoine Champagne au responsable de Tati.fr:
l'administrateur en tient compte,
remercie même son interlocuteur et corrige le problème:
deuxième article de
Kitetoa (15 mai 2000), dans lequel l'équipe publie des
éléments de preuve. Il
s'agit de captures d'écran, sans aucune mention permettant à
un vrai pirate de
les exploiter.
* Quelques mois plus tard, le mensuel Newbiz popularise
ces péripéties et
publie une enquête en se basant sur la faille découverte par
Kitetoa (article de
novembre 2000). Apparemment vexé, le P-DG de Tati Fabien
Ouaki dépose alors
plainte contre X en janvier 2001. Le parquet ouvrira une
information judiciaire,
sur la base de la loi Godfrain de 1991 sur les intrusions
informatiques.
L'accusation semble persuadée que la base a été dérobée par
Kitetoa pour qu'elle
puisse être ainsi exibée. Alors qu'encore une fois, rien n'a
été forcé...
* Six mois après Champagne est convoqué à la BEFTI (branche
parisienne des
cyberflics de la PJ).
Champagne publie le compte-rendu d'enquête intégral (daté du
9 avril 2002),
reproduit ici + commentaires plus bas:
Le capitaine de police Nathalie F. en fonction à la BEFTI
à Madame Cachaner, substitut auprès de la section F1 du
Tribunal de Grande
Instance de Paris, S/C. de la voie hiérarchique.
OBJET: Transmission d'une procédure comprenant cinquante
neuf feuillets et
quatre cotes, diligentées pour accès et maintien frauduleux
à un S.T.A.D., vol
de base de données, recel de vol de base de données. (...)
L'ENQUETE:
L'analyse des cotes permettait d'une part de déterminer que
le journaliste,
Stéphane Barge, n'était pas l'auteur de l'accès frauduleux
au STAD, ce dernier
désignant clairement le site KITETOA. Par ailleurs, la date
du piratage pouvait
être précisé dans la mesure où le site KITETOA, dans un de
ses articles, se
vantait d'avoir prévenu les administrateurs du site TATI de
leur carence en
matière de sécurité fin juin 1999. Enfin, il apparaissait
que le fichier
récupéré (Exprimez-vous.mdb) n'avait pu l'être que le 17
juin 1999.
Entendu au service, M. BARGE, Stéphane, journaliste de
NEWBIZ, mettait en cause
la sécurisation du STAD de TATI, trouvant légitime pour
l'information, de
s'introduire sur un STAD, d'y consulter une base de données
et de la récupérer.
Il refusait, pour le dernier point de considérer cela comme
du vol, trouvant que
KITETOA faisait de la prévention. (...) Ayant récupéré pour
son article partie
de la base de données volée, on peut retenir à son encontre
ainsi qu'à celle de
son journal, le recel de vol de base de données.
Entendu à son tour, par le service, Antoine CHAMPAGNE,
animateur du site
KITETOA, expliquait que son site avait vocation
d'information. Concernant le
STAD de TATI, il expliquait que grâce à des fonctions
présentes sur les
navigateurs NETSCAPE, il avait pu afficher le contenu du
serveur TATI, puis à
travers des liens HTML, consulter le fichier en &laqno; .mdb
» de clients
internautes de TATI et le récupérer. Il expliquait en fait
s'être rendu à
plusieurs reprises sur le STAD de TATI, une première fois en
1999, une autre en
2000 pour vérifier si la faille de sécurité existait
toujours et une dernière
fois récemment. Il concluait qu'il existait toujours des
failles de sécurité,
mais que celle qui lui avait permis de récupérer le fichier
en cause avait été
comblée. Il expliquait avoir récupéré ledit fichier pour
apporter la preuve de
sa démonstration, et n'en avoir fait aucun autre usage. On
pouvait retenir à son
encontre l'accès et le maintien frauduleux à un STAD ainsi
que le vol de base de
données.
Entendu à son tour au service, M. Jean WEISS, directeur de
la publication de
NEWBIZ, responsable pénal, déclarait n'avoir rien su de cet
article jusqu'à
parution. Il insistait sur le fait que ce n'était pas son
journaliste qui avait
commis l'accès, le maintien frauduleux et le vol de base de
données et terminait
son audition en avançant que le journaliste a le droit
d'investiguer et que dans
le cas présent, M. BARGE avait fait son travail
d'investigation.
EN CONCLUSION, il apparaît qu'Antoine CHAMPAGNE est l'auteur
de plusieurs accès
et maintiens frauduleux sur le STAD de TATI SA ainsi que du
vol d'une base de
données. M. Stéphane Barge, journaliste, et M. Jean WEISS,
directeur de la
publication, ont, d'après leurs dire, fait leur travail
d'information, cette
dernière semblant avoir tous les droits d'après leurs
auditions. Il n'en ressort
pas moins qu'ils sont susceptibles d'être poursuivis pour
recel de vol d'une
base de données.
Réponse d'Antoine Champagne:
Le capitaine de police F. est assermentée. Impossible donc
de s'attaquer au
contenu de son rapport. C'est une des merveilles du système.
La parole d'une
personne assermentée vaut plus que celle d'un simple
citoyen. Cela ne nous
empêche pas de relever ici un ou deux points...
* Dans le 1er paragraphe de la partie "L'ENQUETE", le
capitaine indique:
"Enfin, il apparaissait que le fichier récupéré
(Exprimez-vous.mdb) n'avait pu
l'être que le 17 juin 1999". Manque de chance, nous n'avons
pas récupéré le
fichier à cette date, mais en 2000. Le point de départ de
son enquête démarre
sur une inexactitude. Elle parle de "piratage" ("la date du
piratage") et
insinue ainsi qu'il n'y a aucun doute sur l'aspect
frauduleux de notre accès au
site Web de Tati. A peine orientée comme enquête...
* Dans le paragraphe suivant, le capitaine de police
indique de Stéphane
Barge a "récupéré pour son article partie de la base de
données volée".
Premièrement, où est-il prouvé que cette base de données a
été volée? Nulle
part. Pour voler un fichier informatique via un clic de
navigateur, il faut être
le diable. Ou alors... un simple internaute. A chaque clic,
nous somme tous des
voleurs de fichiers. Html ou autres. Ensuite, détail qui a
son importance,
Stéphane Barge n'a jamais récupéré une partie de la base de
données, mais une
copie d'écran représentant quelques lignes floutées de cette
base. Il l'avait
trouvée sur le site Kitetoa.com où elle illustrait l'article
(1).
* A deux reprises, le capitaine de police souligne et met en
gras des phrases
dans lesquelles elle laisse transparaître un agacement face
aux journalistes qui
font leur métier: enquêter. (...) En ce qui nous concerne,
nous aurions bien
entendu pu ne pas utiliser notre navigateur, mais plutôt
appeler le service de
presse de Tati pour lui demander si les données des
utilisateurs du site Web
étaient bien protégées. Nous aurions probablement eu une
réponse pas tout à fait
conforme à la réalité. (...)
(1) Bref, le journaliste, pour sa propre démonstration, est
obligé d'avoir lui
aussi opéré de la même manière: afficher la base de données
(et donc la
télécharger, dans le cache ou directement) en cliquant sur
le lien offert dans
l'arborescence. Il ne devait donc pas être poursuivi pour
"recel" mais également
de "vol" et donc d'accès frauduleux...
Tati s'est trompé de cible, et son patron risque encore 5
ans de taule
Inquiétant de condamner l'acte tout en le minimisant: voilà
un juge qui condamne
l'acte (montrer le contenu d'une porte mal verrouillée),
sans quoi il aurait été
impossible d'affirmer que les accès étaient mal protégés.
La démarche de Kitetoa n'est pas du tout étrangère à celle
d'une personne,
journaliste d'investigation ou auteur, qui doit avancer les
preuves de ce qu'il
avance. Les juges ont déjà inventé le délit de "recel de
documents
confidentiels», lorsque le Canard Enchaîné avait été
condamné pour avoir publié
les preuves de ses affirmations sur le salaire de Jacques
Calvet, à l'époque
patron de PSA (jugement cassé par la suite par la Cour
européenne des droits de
l'homme - retrouvez le jugement du 21/01/1999).
Pourtant, la loi de 1978 sur l'informatique, les fichiers et
les libertés
(article 29 - repris dans l'article 226-17 du code pénal)
impose aux détenteurs
de telles données de les protéger. À quel point? C'est très
clair: "Le fait de
procéder ou de faire procéder à un traitement automatisé
d'informations
nominatives, sans prendre toutes les précautions utiles pour
préserver la
sécurité de ces informations et, notamment, empêcher
qu'elles ne soient
déformées, endommagées ou communiquées à des tiers non
autorisés, est puni de
cinq ans d'emprisonnement et de 2 millions de francs
d'amende."
Le P-DG de Tati, Fabien Ouaki, comme son avocate, n'ont pas
voulu se prononcer
sur ce point. Il faudrait, certes, qu'une personne présente
dans la base de
données se retourne contre Tati pour que ce volet de
l'affaire soit éclairci. En
attendant, Tati pourrait bien sûr se retourner contre son
hébergeur, à l'époque
une filiale du groupe Ogilvy, pour avoir failli à sa
mission. Et ben non, Ogilvy
Interactive est même encore son prestataire. La niou économy
est un monde si
étrange...
Le dossier complet de Kitetoa.com - partial, évidemment,
mais c'est pour cela
que le lambda insiste lourdement:
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
Avis aux hackers autistes
Lambda 8.02 bis - 31/03/2002. -- COMMUNIQUE ORALEMENT aux
parties le 13 février,
le jugement de l'affaire Kitetoa / Tati a été publié sous
forme écrite la
dernière semaine du mois de mars. Etonnant: la personne
condamnée n'a pas été
informée en premier lieu, puisque c'est le Forum des droits
sur l'internet (FDI,
un conseil d'arbitrage ) qui est parvenu à obtenir copie des
minutes avant
qu'Antoine Champagne ne les reçoive.
D'abord, une précision: la condamnation ne se base pas
uniquement sur la loi
Godfrain de 1988 qui encadre les "accès et maintien
frauduleux" dans un système
automatisé de données ou STAD (articles 323-1 à 323-5 du
Code Pénal - nouveau
code de 1992).
Le webmaster de KITETOA est tombé AUSSI pour avoir accédé à
une base de données
personnelles EN LE SACHANT PERTINEMMENT puisque c'est prévu
dans la loi
informatique et libertés (LIL) de 1978... Et que KITETOA a
la fâcheuse habitude
de rappeler aux sociétés/prestataires pris la main dans le
sac d'un défaut de
sécurité de ne pas respecter la LIL et son article 29: "La
Loi de 78 punit ceux
qui ne prennent pas toutes les mesures pour protéger les
bases de données qu'ils
constituent...", rappelle Kitetoa à qui veut le lire.
BREF,
AVIS aux hackers autistes ou autres surfeurs inconscients:
la prochaine fois,
outre le bâillon sur la bouche, un bon petit lavage de
cerveau et de belles
ornières en cuir devraient faire l'affaire pour que le
prévenu bénéficie de
circonstances atténuantes... Et soit relaxé, comme l'avait
demandé le substitut
du procureur Michel FREZOULS.
EXTRAITS DES MINUTES
Greffe du TGI Paris, 13ème Chambre, audiences des 23 janvier
et 13 février 2002
. Verdict de 5 pages signé du vice-président Noël MINICONI:
1) Description des méthodes employées par le "pirate" A. C.:
* "Attendu que le prévenu a déclaré qu'une fonction du
navigateur NETSCAPE
permettait d'afficher dans le navigateur l'ensemble du
contenu du serveur TATI;
(...) il choisissait les fonctions "communicator," puis
"outils du serveur",
puis "service de la page", fonctionnalités présentes sur
tous les navigateurs
NETSCAPE;
* que dans "services de la page", l'ensemble du contenu du
serveur s'affichait
sous forme d'arborescence; qu'en consultant les liens HTML,
il avait trouvé
notamment le listing de clients apparaissant dans le journal
"NEWBIZ", fichier
de type ".mdb"dans lequel la société TATI enregistrait le
résultat de
questionnaires posés aux internautes, dans lequel
apparaissaient les noms,
adresses et autres données personnelles des visiteurs du
site ayant bien voulu
répondre à des questions personnelles, fichier qui
comportait selon lui environ
4000 entrées;"
2) Le juge rappelle ensuite que le prévenu n'a pas employé
d'autres méthodes
pour accéder à la base de données - base "volée" selon le
rapport de police de
la BEFTI... (Le lambda a rajouté des alinéas pour plus de
lisibilité):
* "Attendu qu'aucun élément de la procédure ne démontre
que le prévenu ait
fait usage pour avoir accès au fichier clients ci-dessus
d'autres manipulations
que celles qu'il a décrites;
* que la société TATI ne démontre pas que le fichier
litigieux ait été
protégé par des codes ou clés d'accès que le prévenu se
serait trouvé dans la
nécessité de forcer pour accéder audit fichier;
* qu'il résulte au contraire de messages e.mail produits par
le prévenu et
adressés par celui-ci à la société OGILVY INTERACTIVE,
hébergeur du site TATI et
signalant à celle-ci des failles dans le système de
protection de données que
cette société ne disconvient pas de l'existence de ces
failles; (...)"
3) S'en suit alors un court mais très sérieux réquisitoire
contre... Tati SA!
Concernant la responsabilité pénale de Tati quant à la
non-protection des
données personnelles de la base de donnée "volée".
* "Attendu que l'article 226-17 du Code Pénal [loi LIL]
réprime le fait de
procéder ou de faire procéder à un traitement automatisé
d'informations
nominatives sans prendre toutes les précautions utiles pour
préserver la
sécurité de ces informations et notamment d'empêcher
qu'elles ne soient
communiquées à des tiers non autorisés;"
4) Le juge poursuit en invoquant la loi de 1978 pour
enfoncer le prévenu, "qui
fait d'ailleurs état dans ses déclarations de la loi qui
fait obligation aux
sociétés de protéger les données nominatives collectées"
(SIC!):
* "que si cette obligation incombant à la société TATI
n'apparaît pas avoir
été respectée en l'espèce, ce non respect ne constitue en
aucun cas une excuse
ou un prétexte pour le prévenu d'accéder de manière
consciente et délibérée à
des données dont la non protection pouvait être constitutive
d'une infraction
pénale;
* qu'en accédant à plusieurs reprises au fichier litigieux
et en le
téléchargeant, le prévenu, qui fait d'ailleurs état dans ses
déclarations de la
loi qui fait obligation aux sociétés de protéger les données
nominatives
collectées, avait nécessairement conscience que son accès et
son maintien dans
le site de la société TATI étaient frauduleux; qu'il y a
lieu en conséquence
d'entrer en voie de condamnation à son encontre; (...)"
5) Enfin, statuant sur la demande de TATI de voir le
jugement publié dans la
presse et d'obtenir 1 euro de D&I, le juge en rajoute une
louche sur la
responsabilité de la société (extrait non publié sur le site
du FDI):
* "Attendu sur la constitution de partie civile de la
société TATI que celle-ci
ne saurait se prévaloir de ses propres carences et
négligences pour arguer d'un
prétendu préjudice en réalité subi par les personnes
victimes éventuelles de
violations de leur vie privée; qu'il y a lieu en conséquence
de débouter cette
société de ses demandes;"
6) Le verdict en 3 lignes:
* Déclare Antoine Champagne COUPABLE pour les faits
qualifiés de:
* ACCES FRAUDULEUX DANS UN SYSTEME DE TRAITEMENT AUTOMATISE
DE DONNEES, faits
commis du 1er novembre 1997 au 302 novembre 2000, à Paris
sur le territoire
national."
RAPPELONS que pour que la société TATI puisse être jugée à
son tour pour
non-respect de l'article 226-17 du code pénal (5 ans de
prison et 300.000 euros
d'amende), il faudrait qu'une personne présente dans la base
se retourne contre
Tati...
AVIS aux amateurs: Maître Olivier ITEANU (avocat d'Antoine
Champagne), 166, rue
du Faubourg, Saint-Honoré 75008 PARIS.
http://www.iteanu.com/
+ Jugement du 13/02/2002 (PDF):
http://www.foruminternet.org/telechargement/documents/tgi-par20020213.pdf
Accès frauduleux dans un STAD: l'autre jurisprudence
Antoine Champagne n'a pas manqué de rappeler dans son propre
dossier consacré à
l'affaire de rappeler un jugement de février 2000 qui
éclaire d'un jour nouveau
sa mésaventure: affaire "Casper" contre Ministère public
(2/02/2000, 25ème
Chambre, TGI Paris).
Extraits d'une note juridique de Infojuris.com sur,
"Répression de
l'appropriation frauduleuse de l'information électronique
commise par des
personnes physiques".
"L'application de l'article 323-1 du code pénal ("accès et
maintien frauduleux à
un système de traitement automatisé de données") a fait
l'objet d'une évolution
depuis 1988. (...)
La compréhension progressive de la loi Godfrain-Badinter par
le prétoire a fait
évoluer la répression du délit de piratage d'une conception
de responsabilité
objective au départ à la recherche préalable de l'intention
délictuelle ensuite,
à la preuve émanant du plaignant de ce qu'il a entendu se
prémunir des
intrusions informatiques enfin. (...)
L'affaire Ministère public c/ Vandoorselaere constitue une
excellente
illustration de l'adaptation du prétoire aux réalités de la
vulnérabilité des
systèmes d'information et des réseaux : Yoann
Vandoorselaere, en effet,
reconnaissait avoir accédé et s'être maintenu à l'âge de
quinze ans sur le
réseau de l'agence de renseignement de l'US Air Force
(www.aia.mil)
Le prévenu n'est jamais revenu sur ses aveux et la défense a
obtenu sa relaxe en
établissant que l'adolescent avait accédé à ce système d'
information sans
recourir au moindre logiciel ni utiliser le code d'accès
d'un tiers.
Par décision en date du 2 février 2000 la 25è chambre du
tribunal pour enfant,
le tribunal de grande instance de Paris, prononce la relaxe
du pirate en
admettant que "les prévenus se sont bien connectés sur le
réseau de l'US air
force, mais que celui-ci, dépourvu de données
confidentielles, était accessible
sans recourir à un procédé frauduleux.
Il s'ensuit qu'il n'existe point de logiciels
intrinsèquement dangereux et qu'il
appartient au plaignant de rapporter la preuve de ce qu'il
entendait protéger
son réseau de l'accès des tiers. L'on retiendra ainsi que la
fournisseur d'un
contenu accessible sur le réseau internet doit rapporter la
preuve qu'il a mis
en oeuvre toutes mesures pour se prémunir d'accès frauduleux
pour invoquer les
disposition des articles 323 du code pénal français (idem
code pénal Suisse)."
Autre commentaire de cette affaire sur Infojuris:
"... il ressortait de l'examen du disque dur du prévenu une
quinzaine de
logiciels renifleurs, dont la défense à démontré qu'ils
étaient utilisés à des
fins d'administration de réseaux.
Or, le tribunal n'est point entré en voie de condamnation et
a donné acte à la
défense de ce que rien n'interdisait au prévenu de posséder
de tels logiciels,
pourvu qu'il justifie d'une activité professionnelle ou de
la poursuite d'études
qui justifie de leur possession.
La notion de logiciel caractérisé de piratage doit être
écartée car il n'en est
point : tout comme aucune arme à feu n'est susceptible de
caractériser
l'homicide volontaire, aucun logiciel ne répute le caractère
frauduleux d'un
accès.
(...) L'assimilation de logiciels gratuits, libres de droit,
à des logiciels de
piratage revenait à pervertir l'intention libérale des
auteurs de ce logiciel
qui ont entendu mettre à la disposition du public le moins
fortuné des outils
destinés à assurer la confidentialité et l'intégrité des
données partagées entre
un réseau d'utilisateurs.
En réalité, les accès aux systèmes de traitement automatisés
de donnés sont
pratiqués sans recourir spécifiquement à des logiciels: ces
accès exploitent -
avec succès - des failles de sécurité."
NB: Infojuris est un site d'infos proche de David NATAF, du
cabinet Jean-Pierre
MILLET, qui défendait précisemment Yoann Vandoorselaere dans
cette affaire.
Alors faisons là-aussi un peu de pub pour aider les victimes
de la base de
données de TATI SA: Cabinet Jean-Pierre Millet, 28, avenue
Hoche 75008 Paris,
avocats@club-internet.fr.
COURT-CIRCUITS
http://www.freenix.fr/netizen/800/807.html
Le parquet général soutient Kitetoa
UPDATE 30/10/02: Kitetoa relaxé! La cour d'appel a suivi les
réquisitions du
parquet général - minutes de l'arrêt encore en attente de
publication
+ Lambda 8.02 (25 mars 2002): l'affaire Kitetoa vs Tati, un
délit d'information
- et pas un crime informatique!
+ La version intégrale du réquisitoire:
http://lambda.eu.org/800/kittatiprocgen.html
Cour d'appel de Paris, 13e chambre - audience du 25
septembre 2002.
"Il est inenvisageable d'instaurer une jurisprudence
répressive génératrice
d'insécurité pour les internautes qui découvrent de bonne
foi les failles de
systèmes informatiques non sécurisés. (...) Tout internaute
qui pénètre dans une
base de données non sécurisée en utilisant un logiciel de
navigation grand
public, par curiosité ou pour en tester la fiabilité, n'agit
pas
frauduleusement. [Je demande ] la relaxe au nom du droit, de
l'équité et du bon
sens."
Substitut général Etienne Madranges.
"C'est la sécurité juridique des internautes qui naviguent
sur le Net qui est en
cause, mais aussi celle des sociétés victimes de
malveillances informatiques.
(...) [Je souhaite, à l'occasion de cette] petite affaire
dont dépendent des
enjeux sociaux et économiques importants, donner une
définition claire du délit
d'accès frauduleux dans un système automatisé de donnée."
Procureur général Jean-Louis Nadal
"Ce jugement responsabilise les personnes qui consultent,
visitent ou testent la
sécurité des services Internet, ce qui est d'autant plus
aisé que l'espace
Internet ne comporte pas de portes."
Me Itéanu, avocat du prévenu
Le journaliste a fait "un travail de service public en
permettant à 4.000
clients de protéger leur vie privée. [Mais je plaide pour]
l'interdiction pour
tout internaute et quel qu'en soit le mobile d'entrer et de
séjourner dans un
système sans autorisation".
L'avocate de Tati, Me Grabli
"N'a-t-on pas le devoir de cesser de se connecter dès lors
que l'on a
connaissance du contenu des données? Poursuivre la connexion
ne revient-il pas à
se maintenir dans la base ?"
Le président de la cour d'appel.
(Cour d'appel de Paris, 25 septembre 2002. Kitetoa.com v.
Tati SA (Cf. Lambda
8.02). Kitetoa condamné en 1ere instance a 1000 euros pour
"acces et maintien
frauduleux". Appel interjeté par le parquet aux fins de
relaxe. )
Jugement prévu le 30 novembre - avancé au 30 octobre 2002
avec l'acquitement du
webmaster de Kitetoa, la plainte de Tati étant déclarée sans
fondement.
http://www.echafaud.fr.fm
> Internet > Kitetoa
Ecrit par Turduc, le Jeudi 7 Novembre 2002 à 00:18.
Voici une petite interview réalisée par mes soins auprès du
webmaster du site Kitetoa.com :
Comment t'es venu l'idée de créer Kitetoa ???
Je quittais le journal où je travaillais pour prendre un
boulot où l'on ne me permettrait pas de publier mes avis
librement. Un jour, je croise un SDF qui s'était fait une
maison autour d'une agence Foncia. J'ai pris une photo et je
l'ai publiée avec le commentaire qui figure encore
aujourd'hui sur la page d'index de Kitetoa.com
http://www.kitetoa.com/index2.shtml . Peu à peu, j'ai publié
quelques opinions sur le commerce électronique, les moyens
de paiement, etc. Puis des amis m'ont proposé des
contributions. De fil en aiguille, Kitetoa.com est devenu un
vrai site. Une auberge espagnole où plusieurs personnes
publient des papier sur les événements qui les font réagir.
Quelle a été ta première motivation en créant ce site, et
dans quel but ???
Aucune. C'était une photo qui me choquait et que je voulais
publier quelque part.
Kitetoa, c'est tout de même, et tu ne peux pas le nier, une
grande aventure... quelle a été la "péripétie" qui t'a le
plus marqué ???
Je ne sais pas si c'est une grande aventure. Je suis sans
doute trop partie prenante pour m'en rendre compte si tel
est le cas. La péripétie qui m'a le plus marqué... Il y en a
plusieurs. Par exemple, la Banque Directe qui a réussi à
faire fermer un serveur hébergé chez Atros-Origin et qui
diffusait sur le Web les logins et mots de passe de 10.000
clients en 10 minutes. Rapide... Il y a aussi Suez-Lyonnaise
des Eaux qui a fermé son site corporate pendant 3 jours pour
faire un vrai audit après un papier que l'on avait publié.
Mais il y a aussi tous ces papiers poignants publié par des
amis sur le site comme « Petite Ombre » qui ont déclenché
pas mal de retours intéressant.
(http://www.kitetoa.com/Pages/Textes/Textes/Texte7/petite_ombre.shtml) La péripétie qui m'énerve le plus, c'est sans doute le procès pour piratage informatique que Tati a déclenché contre Kitetoa.com. C'est énervant d'être confronté à ce genre de chose quand on sait que l'on a jamais rien piraté. C'est techniquement parlant, une incongruité que de parler de piratage dans cette affaire.
As-tu rencontré des problèmes pour créér Kitetoa, ou pour
trouver un hébergeur. Y a-t-il eu des entraves à ton projet
???
Non. J'ai changé d'hébergeur plusieurs fois. Au début, on
était sur Mygale. Puis, on a acheté le nom de domaine et on
s'est hébergé chez Rapidsite France. Mais lorsque ce dernier
a été racheté par France Télécom, je suis parti aux
Etats-Unis où existaient des offres similaires. Mais le
service client était déplorable. Je suis donc allé, sur le
conseil d'une amie, en suisse, chez Infomaniak.ch. Ce sont
des gens remarquables dans une profession où on trouve
rarement le moindre intérêt pour le client. Une très grosse
entreprise m'a délégué un jour deux jeunes gens pour
m'expliquer qu'il était dangereux de faire ce que je
faisais. Rien de précis, mais une drôle de démarche.
En créant ce site, assez libertaire, et contre courant,
crois tu avoir contribué à quelque chose pour notre société,
ou pour tout autre chose ??? (autre que la convoitise de
certains dont nous tairons les noms...)
Je n'ai aucune prétention de ce genre. Nous avons choisi un
pseudo commun. Cela veut dire que nous ne recherchons ni
gloire ni argent (tout est gratuit et copywrong sur le
site). Sinon, nous aurions chacun un pseudo et nous nous
ferions mousser. Nous n'avons jamais fait de racolage sur le
Web. Un peu au début dans des newsgroups ciblés. Nous
publions des articles qui reflètent notre vision du monde.
Si des gens pensent comme nous et qu'ils se fédèrent autour
de Kitetoa.com, que nous créons des échanges entre ces
personnes, je pense que c'est déjà très bien.
Pourquoi cette envie de rendre des infos assez importantes
(exemple failles) à la portée de tous et gratuitement ???
Ce ne sont pas vraiment des failles. Il y a par exemple une
différence entre dire: « je peux hacker un serveur qui est
sujet à un buffer overflow exploitable de telle manière » et
« ce serveur n'a pas été installé dans ce que les sociétés
de services informatiques (SSII) appellent « les règles de
l'art » et les données personnelles qui y sont stockées sont
accessibles avec un browser ». Nous n'avons jamais expliqué
comment nous faisions pour accéder à ces données. C'est très
simple, ce sont des informations publiques, souvent depuis
des années. Mais nous ne pensons pas utile de décrire le
processus menant à ces données. L'essentiel n'est pas à nos
yeux que les autres internautes y accèdent, mais plutôt que
les les entreprises réagissent afin de les protéger. Bien
entendu, comme ce sont généralement des sociétés qui se
disent très pointues sur le plan technologique, elles sont
un peu ridicules lorsqu'elles apparaissent dans l'un de nos
articles. Si nous étions vraiment de vilains
révolutionnaires, on ne dirait rien. On laisserait tout ça
en l'état et on diffuserait toutes les données sur
lesquelles nous tombons au détour de nos surfs sur Internet.
Encore une fois, nous n'exploitons pas les failles. En
clair, nous ne forçons jamais un serveur à nous livrer
quelque chose contre sa volonté.
Comment vois tu ta place de webmaster sur le Net et dans la
société en tant que telle ??? Te vois tu comme un messie, un
penseur, un "ouvreur de z'yeux"... ???
:))
Je ne suis que l'interface visible de Kitetoa.com et sans
les autres, le site ne serait pas ce qu'il est. De même, il
ne serait pas ce qu'il est si des gens n'avaient pas accepté
de me parler, de répondre à mes questions techniques
triviales, de m'expliquer ce que je ne comprenais pas. Je
n'ai donc aucun rôle de messie ou de penseur. Au contraire,
nous passons notre temps à répéter que les gens sont assez
grand pour penser par eux mêmes et se faire une opinion sans
avoir à passer par des intermédiaires, qu'ils soient
politiques, journalistiques ou autres... Je ne sais pas si
nous sommes des ouvreurs de z'yeux. Disons que nous avons
peut-être vulgarisé quelques trucs techniques qui démontrent
combien les entreprises sont fortes pour raconter n'importe
quoi quand ça les arrange.
Après tes déboires avec la justice, as tu toujours les mêmes
motivations, ou ont elles changé ???
C'est un peu compliqué. Il y a un nombre intéressant de
facteurs qui se sont récemment conjugués pour motiver une
réflexion. Depuis un bon moment, plus personne ne veut
entendre parler d'Internet. Des journaux refusent de publier
des sujets sur ce thème. Comme pour conjurer leur
enthousiasme ridicule (pour ne pas dire pire) de la période
dite de la « nouvelle économie »? Dans ce contexte, les
entreprises craignent moins qu'hier d'apparaître brocardées
dans les pages de Kitetoa.com. Elles se disent que ça ne
sortira pas des 50.000 lecteurs mensuels du site. Ce
qu'elles ne savent peut-être pas, c'est que tout le secteur
de l'informatique et de la banque et de l'industrie se donne
rendez-vous ici... Cela transparaît clairement dans les
emails des abonnés à la mailing-list permettant de se tenir
au courant des nouveaux papiers sur Kitetoa.com. Elles sont
toujours aussi ridicules, mais la presse classique s'y
intéresse moins. Elles se sentent donc probablement moins
poussées à améliorer la sécurité de leurs réseaux. Déjà
qu'avant, tout le monde se foutait complètement de la
sécurité informatique (ça ne rapporte rien et ça coûte de
l'argent, allez donc vendre ça à un directeur général...),
aujourd'hui c'est pire. Plus personne ou presque n'en parle.
Dans le même temps, il y a eu le 11 septembre. Et la dérive
sécuritaire (le versant répression) s'est appliquée au Net
bien avant de se faire sentir dans la rue. La conservation
des logs (lesquels???) pendant un an par les fournisseurs
d'accès peut être considéré comme une prise de note par tous
les concierges de France, les postiers, les agents de France
Télécom et les patrons de cafés du commerce de tout ce qui
est dit par tous les citoyens. Comme ça, au cas où ils
commettraient des délits, on pourrait savoir comment ils les
avaient préparés. Avec qui ils avaient parlé de ce projet au
café du coin. S'ils avaient dit un jour « putain pour manger
à la fin du mois, il ne me reste qu'à braquer une banque »
en sirotant la première bière du matin à huit heures trente
avant d'aller pointer. Et en plus ils boivent! Bientôt on
fera des descentes de police chez des gens parce qu'ils ont
dit dans un canal de l'IRC ou dans un mail privé « tous à la
potence » en parlant de tel ou tel groupe de notre société.
Le fait de penser à un crime sera enregistré sous forme
numérique... Ca me rappelle un film tiens... Tout cela se
conjugue au fait que, en plus du procès Tati (qui n'est pas
fini, le Parquet ayant fait appel pour demander ma relaxe),
il y a chaque jour plus de danger a affirmer sur un site
comme le notre que le Roi est nu. Le Roi pourrait se fâcher
et, c'est bien connu, quand le Roi se fâche, ça chie! Bref,
il nous reste une solution qui consiste à ne rien dire et à
surtout ne pas prévenir comme nous le faisions les
entreprises de leurs problèmes de sécurité. Tant pis pour
elles... Mais comme on a pas notre langue dans notre poche,
il se peut quand même que l'on continue en restant...
prudents.
Après ton expérience avec la justice, ta vision de cette
dernière et de la société en général a-t-elle changé ???
Non. J'accepte volontiers les règles de vie en commun que se
choisit notre société pour exister. En clair, même si je
trouve une décision de justice me concernant absolument
dénuée de sens, je m'y plie. Où alors, je m'en vais
ailleurs, dans un endroit où les règles me conviendraient
mieux. Cela n'empêche pas de trouver que la société actuelle
n'est pas satisfaisante. Ca n'empêche pas d'être chaque jour
un peu plus désespéré par la cécité d'une grande part de la
population.
Tu étais journaliste chez Transfert, maintenant que fais tu
et quels sont tes projets dans un avenir proche ???
Je suis en effet journaliste depuis de très nombreuses
années. Je le reste. En attendant de trouver un travail au
sein d'une rédaction, je collabore à quelques journaux de
manière ponctuelle.
As tu un message particulier à faire passer en ce qui
concerne l'actualité qu'elle soit nationale ou
internationale, un mini coup de gueule en bref ???
C'est impossible, comment concentrer en quelques mots la
détresse des gens au Moyen-Orient, des femmes dont les
droits élémentaires sont bafoués partout, y compris chez
nous, pour exprimer le délire qui consiste à laisser mourir
des millions d'enfants par an alors que l'on a des vaccins
et des médicaments pour les protéger (que font les
gouvernements, le secteur privé et les institutions
internationales? Pas assez en tout cas). Comment ne pas
s'étendre sur l'inculture politique, sur la mauvaise foi de
certains? Comment ne pas en dire des tonnes sur le besoin
qu'ont les êtres humains de se détruire les uns les autres?
Ton petit mot de la fin : (attention juste un mot !!!)
Espoir.
Encore merci d'avoir daigné répondre à ce
questionnaire-interview...
De rien.
http://www.datumlex.com/DTL-41.htm
[SEGURIDAD]
El webmaster de Kitetoa, grupo frances que mantiene una site
sobre seguridad informatica, ha sido
sentenciado por un tribunal frances al pago de 1000 euros de
multa.
Todo comenzo cuando gente de kitetoa usando tan solo el
navegador Netscape pudo acceder a ficheros de clientes y
directorios de Tati (empresa de ropa al descuento, muy
famosa en Francia); avisaron al webmaster de
Tati sobre el problema en cuestion, pero este ultimo no hizo
absolutamente nada por solucionarlo. La situacion
se mantuvo por un periodo de, mas o menos, un año en la que
los clientes de Tati estuvieron expuestos, con el
conocimiento de Tati. Finalmente kitetoa publico el agujero
de seguridad en www.kitetoa.com, (actualmente
cerrada).
Lo cierto es que tras la publicacion nada ocurrio, fue tras
la 'republicacion' del asunto en
Newbiz cuando los abogados de Tati se decidieron a
denunciar, parece que mas preocupados por la publicidad que
por el problema en
si mismo.
Finalmente el Juez que en su sentencia 'no puede
indentificar exactamente la naturaleza del fraude'
multa a kitetoa con 1000 euros; observese que Newbiz no ha
sido multada. La duda que surge de la lectura de
la sentencia es si se esta multando por publicar un problema
real y existente o si se multa por haber descubierto el
problema, demostrandolo y sin dañar ni utilizar fichero
alguno. Si se tratara de multar a la publicacion, entonces
¿por que no fue multada Newbiz? ¿demasiado poderosa?; si se
trata de lo segundo, entonces cuando pasemos delante de una
casa
con la puerta abierta ¿debemos avisar a su dueño del peligro
de robo?. Sobre la negligencia de Tati para con sus clientes
nada se dice en la sentencia.
Asi pues, despues de meses discutiendo en grupos legales la
procedencia o no de la llamada 'full disclosure', viene
un juez y cierra el asunto en Francia por la via penal y sin
demasiada profundidad de analisis.
Me pregunto, si no va siendo hora de crear tribunales
especializados en la red, con jueces que
realmente sepan sobre la materia que juzgan.
Mientras la cosa se aclara a nivel legal si se desea
publicar agujeros de seguridad de manera explicita,
lo mejor sera intentar que la informacion no sea traceada,
publicar con pseudonimos, crearse identidades falsas pero
persistentes, seguir publicando este tipo de
informacion en los grupos de noticias y...cruzar los dedos!.
Les Echos
http://216.239.51.100/search?q=cache:fRQjoNvQMQEC:www.lesechos.fr/secteurs/hightech/jjecn20020930/affaires_publiques/articleg/1064816.htm+Tati+Kitetoa&hl=en&ie=UTF-8
Affaires publiques
Les Echos du 30 septembre 2002 Page n° 14
Faille de sécurité, un délit à tester avec modération
Après une condamnation, il y a six mois, pour avoir révélé
une faille de sécurité sur le site de Tati.com, l'affaire du
webmaster Kitetoa a été examinée la semaine passée par la
cour d'appel de Paris. Enjeu des débats : définir ce qu'est
un délit d'accès frauduleux dans un système automatisé de
données.
Chez Tati, Antoine Champagne continue de faire des bulles.
Le webmaster de Kitetoa.com, condamné en février dernier par
le tribunal correctionnel de Paris à une amende de 1.000
euros avec sursis pour « accès frauduleux » au site
commercial de la société Tati, a comparu mercredi 25
septembre devant la cour d'appel de Paris saisie par le
parquet aux fins de relaxe. « Il est inenvisageable
d'instaurer une jurisprudence répressive génératrice
d'insécurité pour les internautes qui découvrent de bonne
foi les failles de systèmes informatiques non sécurisés »,
tranchent les réquisitions du substitut général Etienne
Madranges. Le webmaster avait, après avoir découvert une
faille de sécurité dans le répertoire-clients de Tati et
avoir alerté les administrateurs du site, dévoilé cette
faille dans un article publié sur son site et repris dans le
magazine « Newbiz ». Détail essentiel, l'accès au fichier
n'avait nécessité aucune autre manipulation que «
l'utilisation des fonctionnalités du navigateur Netscape »,
précise le jugement critiqué. « C'est la sécurité juridique
des internautes qui naviguent sur le Net qui est en cause,
mais aussi celle des sociétés victimes de malveillances
informatiques », prévient le procureur général Jean-Louis
Nadal qui souhaite, à l'occasion de cette « petite affaire
dont dépendent des enjeux sociaux et économiques importants,
donner une définition claire du délit d'accès frauduleux
dans un système automatisé de données » .
Les magistrats de première instance avaient jugé l'accès au
fichier punissable par la seule « conscience » d'y être
parvenu. « Ce jugement, a souligné Me Itéanu, avocat
d'Antoine Champagne, responsabilise les personnes qui
consultent, visitent ou testent la sécurité des services
Internet, ce qui est d'autant plus aisé que l'espace
Internet ne comporte pas de portes. » L'appel du parquet
vise à gommer une telle aberration. L'effraction doit être
la condition du délit. « Tout internaute qui pénètre dans
une base de données non sécurisée en utilisant un logiciel
de navigation grand public, par curiosité ou pour en tester
la fiabilité, n'agit pas frauduleusement », a plaidé le
substitut général pour solliciter, à titre principal,
l'annulation du jugement qui a « condamné Champagne au
bénéfice du doute », et, subsidiairement, la relaxe du
prévenu au nom du « droit, de l'équité et du bon sens » .
La technique provoque le droit
Evoquer la faute d'Antoine Champagne en occultant celle de
Tati aurait eu un goût d'inachevé. « On peut exiger des
sociétés de ce type qu'elles s'équipent d'un système de
protection efficace », a souligné Etienne Madranges, faisant
allusion à la loi de 1978 qui sanctionne l'absence de
protection des données personnelles. Ce qui, assurément, ne
justifie pas l'intrusion. A l'inverse, condamner le
webmaster de Kitetoa.com pour lui faire payer la faute de
Tati relèverait de l'ineptie juridique. « Le droit pénal ne
doit pas compenser la défaillance des mesures de sécurité »,
a rappelé le représentant du parquet avant de conclure
qu'Antoine Champagne a joué son rôle de journaliste
d'investigation.
Concédant que le journaliste avait fait « un travail de
service public en permettant à 4.000 clients de protéger
leur vie privée », l'avocate de Tati, Me Grabli, a plaidé «
l'interdiction pour tout internaute et quel qu'en soit le
mobile d'entrer et de séjourner dans un système sans
autorisation » . La question du maintien dans le système
retiendra finalement l'attention du président de la cour qui
s'interroge : « N'a-t-on pas le devoir de cesser de se
connecter dès lors que l'on a connaissance du contenu des
données ? Poursuivre la connexion ne revient-il pas à se
maintenir dans la base ? » Réponse, le 30 novembre.
En créant un pôle cybercrime, réunissant magistrats et
enquêteurs spécialisés dans la délinquance informatique, le
parquet général de Paris invite la justice à mieux
appréhender ce type d'infractions. « Une connaissance
précise du contexte économique et technique est
indispensable pour conduire une politique pénale éclairée »,
précise Jean-Louis Nadal. Le pôle se chargera de mettre à
disposition de l'enquêteur de police ou de gendarmerie un
interlocuteur compétent qui donnera à l'affaire une suite
judiciaire appropriée. « Un véritable champ d'investigation
s'offre à nous, souligne Jean-Louis Nadal. Identifier les
auteurs d'infractions derrière les rideaux de fumée que sont
les sites d'anonymisation ou les prestataires étrangers,
mais aussi les auteurs de certains sites dont la vue inspire
le dégoût. Ces personnes doivent être poursuivies et
condamnées. » La condamnation récente par la cour d'appel de
Paris d'un gestionnaire de sites pornographiques illustre la
volonté du parquet de définir un cadre juridique en matière
de protection des mineurs. En doublant l'amende prononcée
par le tribunal correctionnel pour la porter à 30.000 euros,
la cour a sanctionné l'absence de mesures de filtrage qui
interdisent l'accès aux mineurs, en précisant qu'une simple
mise en garde était insuffisante. Reste à déterminer les
moyens d'un filtrage efficace, question soumise à la Cour de
cassation par un pourvoi de l'exploitant, qui prétend qu'il
n'ex- iste pas de système totalement hermétique au clic des
mineurs qui souhaitent se connecter. Décidément, la
technique n'en finit pas de provoquer le droit.
LAURENCE MOATTI-NEUER
http://www.0faute.com/200202.htm
# PIRATE : En 1999, le webmestre de Kitetoa.com, spécialisé
dans la révélation de failles de sécurité sur les sites,
repère une première faille sur le site Tati.fr. Il en
avertit par mail l'administrateur du site. Un an plus tard,
alors que le site du marchand de vêtements à prix discount
s'est enrichi, le responsable de Kitetoa.com trouve à
nouveau une faille dans le système de gestion de base de
données. "En consultant le site de Tati, on pouvait accéder
à l'index des fichiers en cliquant simplement sur une option
proposée par le navigateur Netscape", explique-t-il. Bref,
une manipulation qui ne requiert pas de connaissances très
pointues en terme d'intrusion informatique. Il contacte à
nouveau l'administrateur du site Tati.fr pour lui révéler la
faille puis écrit un article à ce sujet. L'affaire prend des
proportions inattendues lorsque le cas de la faille de
sécurité est exploité et approfondi par un magazine grand
public consacré à Internet. Et ce, sans l'accord du
responsable de Kitetoa.com. La direction de Tati décide
alors de l'attaquer en justice. La conclusion est toute
récente, le webmestre en charge du site a été condamné à une
amende de 1.000 euros avec sursis. Motif officiel :
"intrusion et maintien frauduleux dans un système de
traitement automatisé de données". En clair : piratage
informatique.
Moralité : si vous trouvez une faille, même grave, gardez la
pour vous !
Kitetoa : http://www.kitetoa.com
http://www.legalis.net/cgi-iddn/french/affiche-jnet.cgi?droite=2002/actualite_11_2002.htm
Fraude informatique : l?animateur de kitetoa.com relaxé
04/11/2002
L?animateur du site kitetoa.com, condamné en première
instance pour accès frauduleux dans un traitement automatisé
de données, vient d?être relaxé par la cour d?appel de
Paris, le 30 octobre 2002. Le juges ont ainsi suivi les
réquisitions du parquet général de la cour de Paris qui
avait demandé l?infirmation du jugement TGI de Paris du 13
février 2002. Pour le procureur général, le caractère
frauduleux de la manipulation n?a pas été établi par la
procédure. Le webmaster de kitetoa.com avait pris
connaissance d?un répertoire-clients sur le site tati.fr, en
utilisant les fonctionnalités du navigateur Netscape. Or,
remarque le procureur général, il n?a utilisé aucune méthode
de piratage mais une manipulation "accessible à tout
internaute averti, non ingénieur, non technicien, non
spécialisé, mais qui sait lire un mode d?emploi". Le
procureur général a, par ailleurs, estimé que l?élément
intentionnel de l?acte n?a pas davantage été établi,
d?autant moins que l?animateur de kitetoa.com avait averti
les administrateurs de Tati de cette faille de sécurité.
"Lorsqu?une base de données est, par la faute de celui qui
l?exploite, en accès libre par le biais de l?utilisation
d?un logiciel de navigation grand public (?), le seul fait
d?en prendre connaissance (?), d?en réaliser une copie (par
simple copie d?écran, ce qui a été le cas) sans intention
malveillante, sans révélations permettant d?éventuelles
identifications (de codes, de chiffres comptables, de
clients d?une société par exemple, ?) ne saurait constituer
une infraction".
Le parquet général avait fait appel afin de permettre à la
cour de se prononcer sur la définition et la portée du délit
d?accès et de maintien frauduleux dans un système
d?information. Il faudra attendre le texte de la décision de
la cour, pas encore disponible à ce jour, pour savoir si
elle a suivi les arguments du parquet général.
http://www.01net.com/rdn?oid=194333&rub=1714
DROIT Droit
Une association pour défendre les « pirates de bonne foi »
Valérie Siddahchetty et Geoffrey Bansart, 01net., le
01/10/2002 à 18h11
Kite-Aide veut aider les internautes qui mettent à jour des
failles de sécurité à se défendre contre les entreprises
mises en cause. L'association en appelle à des avocats
bénévoles.
Le site d'information Kitetoa.com vient de créer
l'association Kite-Aide. Son but est d'assister les
personnes publiant des articles, aux informations vérifiées,
qui déplaisent aux sites détenus par de grosses entreprises.
« Les gros sites attaquent dès qu'ils se sentent menacés.
Nous traitons couramment des plaintes pour intrusion ou
détournement de marque - l'affaire Danone contre le site
JeboycotteDanone, par exemple », commente l'avocate maître
Cahen, membre de l'association Kite-Aide.
La création de Kite-Aide fait suite à la condamnation, il y
a six mois, du journaliste Antoine Champagne, et webmaster
du site Kitetoa, dont l'une des activités est de répertorier
les failles de sécurité. Ce dernier, en utilisant le moteur
de recherche Google, déniche la base de données
confidentielle du site de la marque Tati.
Il prévient alors les responsables du site de cette faille,
puis en révèle l'existence sur son site. L'information,
reprise par le magazine Newbiz arrive aux oreille du
président de l'entreprise Tati, qui porte aussitôt plainte.
En février, le tribunal de commerce de Paris condamne
Antoine Champagne à une amende de 1 000 euros, avec sursis,
pour « accès frauduleux » au site commercial de Tati.
L'affaire est passée en appel le 25 septembre dernier. Le
verdict est attendu début décembre.« J'ai été accusé de
piratage alors que je sais n'avoir rien piraté », confie
Antoine Champagne, désabusé.
L'association espère vivre des dons des internautes
L'association veut défendre les petits sites en utilisant
des ambassadeurs connus du monde du Net. « J'ai proposé au
directeur d'une boîte de sécurité informatique, un gourou
des nouvelles technologies et un juriste d'être les
ambassadeurs. J'attends leurs réponses », explique Antoine
Champagne.
Ces ambassadeurs seront chargés d'intercéder auprès des gros
sites pour éviter les conflits. « Quand Tati a découvert
notre action, poursuit Antoine Champagne, il ne nous
connaissait pas et s'est fait une idée négative de nous. Si
Tati s'était retrouvé devant un de nos ambassadeurs, le
litige se serait réglé à l'amiable. »
Et si les affaires ne peuvent se régler ainsi, l'association
fera appel à des avocats bénévoles. « Je n'étais pas
d'accord avec la décision prise en première instance. Le
droit ne fait pas la distinction entre les mauvais pirates
et les bons pirates. Je pense que c'est louable d'avoir
alerté le site de l'existence de cette faille », commente
maître Cahen.
D'après elle, cette action devrait contribuer à faire
avancer la législation. « Le droit est en train de se faire,
les juges commencent à connaître Internet, cependant il faut
plusieurs jurisprudences pour que des changements s'opèrent
en profondeur. »
L'association a déjà reçu des appels au secours, dont un
dont elle devrait s'occuper prochainement. Kite-aide espère
vivre des dons et des cotisations perçus. Elle compte sur le
soutien de ses 50 000 visiteurs uniques par mois. La
cotisation annuelle est de 30 euros. Pour le moment la
totalité des dons s'élève à 251 euros. Ils devraient couvrir
les défraiements de l'association.
http://ww2.grn.es/merce/2002/kitetoa.html
16:43 05/03/02
UN PERIODISTA FRANCÉS, CONDENADO POR ENTRAR EN UN SISTEMA Y
CONTARLO
Mercè Molist
Antoine Champagne, periodista y fundador de Kitetoa, un
sitio francés que une a entusiastas de la seguridad
informática, ha sido condenado a pagar 1.000 euros por
entrar en el sistema de una empresa de confección,
aprovechando un fallo del que avisó al responsable y
posteriormente publicó. El caso ha trascendido
internacionalmente, al ser otro golpe contra las tesis del
"full disclosure" (difusión libre de información sobre
vulnerabilidades informáticas).
Kitetoa es conocido por haber descubierto fallos
relacionados especialmente con la protección de datos
personales, en empresas como DoubleClick, Bull Groupe,
Veridian o ChoicePoint. En 1999, con la ayuda de un
navegador, Champagne entraba en el sistema de archivos de
Tati.fr y accedía libremente a información de usuarios.
Notificó el fallo a la empresa y, entre mayo del 2000 y
febrero del 2001, publicó diversas alertas en Kitetoa,
acompañadas de capturas de pantalla. Pero la denuncia no
llegó hasta que una revista de papel, "Newbiz", lo divulgó.
El juez condonó finalmente la multa a Champagne, a condición
de que no vuelva a hacerlo en los próximos cinco años. Éste
declaraba: "O sea que, por el momento, puedes encontrarte
ante un tribunal acusado de hacking sólo por estar usando
Netscape Navigator". El periodista denunció que la policía
francesa le ha amenazado con registrar su casa y confiscarle
los ordenadores si vuelve a desviarse de la ley, por lo que
no garantiza la continuidad de Kitetoa. El año pasado, el
proveedor francés de espacio web gratuito, Altern.org, que
acogía 40.000 sitios alternativos, cerró también por
presiones legales contra sus contenidos.
Kitetoa
http://www.kitetoa.com
http://www.octo.com/fr/techno/secu_doc.php3?idx=1314
Kitetoa condamné pour délit d'information sur une faille de
sécurité Le site de "trouveurs de failles de sécurité"
Kitetoa vient d'être condamné pour avoir divulgué une
faille, cependant le jugement demeure mitigé.
Notre analyse :
Le site Kitetoa est un habitué des failles de sécurité, il
publie régulièrement les failles qu'il découvre dans de
nombreux sitesWeb. Tout d'abord il semble difficile de
l'accuser de mauvaises intentions car il prévient
habituellement les sites afin que ceux-ci puissent remédier
aux failles de sécurité trouvées.
L'affaire Tati n'est visiblement qu'un des nombreux cas où
les sites Web n'ont pas réagi immédiatement et remédié aux
failles. Kitetoa a été condamné mais visiblement avec
certaines circonstances atténuantes. Des questions se
posent, juge-t-on les intentions ou uniquement les faits ?
Il est clair que l'un ne va pas sans l'autre, la justice a
pour but de juger une personne (morale ou physique) dans son
ensemble. Alors si Kitetoa a effectivement enfreint la loi,
les intentions n'étaient pas de causer du tord à Tati.
Cette décision pose aussi un autre épineux problème,
actuellement une grande partie des failles de sécurité sont
découvertes par ce genre d'initiative. Les condamner vise à
les rendre plus dangereuses et donc à inciter les auteurs de
celles-ci à ne pas avertir les sites visés. Globalement le
risque est donc que les failles soient connues d'un nombre
restreint d'individus et surtout qu'elles ne soient pas
corrigées à cause du risque constitué par la diffusion de
cette information.
Date : 2002-03-01
Source : ZD NET
http://www.macplus.org/magplus/article.php?id_article=2560
Justice
Surfer n'est pas pirater
11 octobre 2002
Par Ormerry
« Il semble inenvisageable d'instaurer une jurisprudence
répressive dont il résulterait une véritable insécurité
permanente, juridique et judiciaire, pour les internautes,
certes avisés, mais de bonne foi, qui découvrent les failles
de systèmes informatiques manifestement non sécurisés ».
Telle est la position soutenue par le parquet général de la
cour d'appel de Paris, dans l'affaire Tati contre
Kitetoa.com. Le webmestre de ce site, qui a pour habitude de
pointer les failles de sécurité parfois grotesques des
systèmes informatiques, avait été condamné le 13 février
dernier pour avoir accédé, simplement via son navigateur, à
une base de données regroupant des informations nominatives
et privées sur 4000 personnes, sur le site web de Tati. Le
parquet avait alors, fait rarissime, engagé une procédure
d'appel pour obtenir la relaxe. Le verdict sera rendu le 30
novembre.
http://www.vivrele.net/node/446.html
Mis en ligne le 5 avril 2002
Kitetoa : réponse prochainement devant la Cour d'appel
Retour à la case départ pour Kitetoa. Le responsable du site
qui avait été condamné à 1000 euros avec sursis pour avoir
officiellement "piraté" le site Internet des magasins Tati
va devoir revenir devant la justice. En effet, le ministère
public a fait appel de la décision.
Au cours d'une première instance, le responsable du site
Internet Kitetoa spécialisé dans la sécurité informatique
avait été condamné, à la suite de l'action du ministère
public, pour "accès et maintien frauduleux sur un système
automatisé de données". Néanmoins et chose exceptionnelle,
le procureur de la République avait changé de position lors
de l'audience et plaidé en faveur de la relaxe. Le juge
n'avait pas suivi cette proposition et avait condamné
Kitetoa à 1.000 euros d'amende avec sursis.
La décision de la Cour d'appel de Paris sera très attendue.
Kitetoa s'est donné pour mission de dénoncer les failles de
sécurité des sites Web, notamment vis-à-vis de tout ce qui a
trait aux données personnelles. Dans cette affaire, la
décision avait été fortement critiquée puisque, dans le
cadre de son enquête, Kitetoa n'avait utilisé que de simples
captures d'écran explicites, en n'usant que d'un simple
navigateur en restant dans la plus pure légalité, et sans
pratiquer une quelconque effraction ou violation du domicile
virtuel.
http://www.zoraxe.com/index.php?page=news&ID=890
France : Une association pour défendre les hackeurs-blancs
le 03/10/2002
Suite à la condamnation, il y a six mois, du webmaster du
site Kitetoa.com, qui avait trouvé des failles sur les
serveurs de Tati. Il prévient alors les responsables du site
de cette faille, puis en révèle l'existence sur son site.
L'information, reprise par le magazine Newbiz arrive aux
oreille du président de l'entreprise Tati, qui porte
aussitôt plainte. En février dernier le webmaster a été
condamné à 1000 euros, avec sursis, pour « accès frauduleux
» au site commercial de Tati.
Le site d'information Kitetoa.com vient de créer
l'association Kite-Aide. Son but : aider et protéger les
"hackers" qui trouvent des failles sur des serveurs
sensibles, dont le seul crime aura été de contacté les
responsables des sites en question.
http://www.washingtontechnology.com/news/1_1/daily_news/18064-1.html
04/01/02
Government agencies exposed internal databases
By Brian McWilliams
Newsbytes Staff Writer
Four U.S. government Web sites left the contents of internal
databases open to Web surfers, French security experts
revealed Thursday.
Databases operated by the Commerce Department?s
STAT-USA/Internet service, as well as the Department of
Energy?s Pacific Northwest National Laboratory and the
Federal Judicial Center, allowed remote Internet users to
browse documents ranging from correspondence to online order
data.
The insecure sites were all running IBM?s Lotus Domino
server, according to Antoine Champagne, leader of
Kitetoa.com, a group of Paris-based computer security
enthusiasts that discovered the flaws.
At the vulnerable STAT-USA/Internet site, accessible from
http://www.economy.gov and http://orders.stat-usa.gov, Web
surfers had the ability to drill into databases containing
information about customer orders for the agency's
financial, business and trade information products.
Commerce officials described Kitetoa?s report as ?an
unauthorized network intrusion? but did not immediately
provide additional information about the incident.
At a Web site operated by Pacific Northwest National
Laboratory, an insecure database contained contact
information for dozens of scientists and research
organizations from around the world.
Spokesperson Staci Maloof said the lab, one of nine operated
by the Energy Department, was grateful to Kitetoa for
pointing out the vulnerable database. Maloof said system
operators have added proper access controls to the server,
which was located at http://pnl113.pnl.gov.
Before it was locked down by administrators Thursday, the
Federal Judicial Center?s site at FJC.gov exposed e-mails
from the site?s Webmaster, such as a note to a U.S. court
official explaining that the center?s internal network had
been infected with the Nimda virus.
Federal Judicial Center representative Ted Coleman said no
intellectual property or other information that would
compromise the agency?s internal network integrity was
accessible from the exposed Domino database. Administrators
have reviewed all access controls on the database, according
to Coleman.
The center is the research and education agency of the
federal judicial system, according to the center's site.
Earlier this month, the U.S. House of Representatives
committee leading the investigation into Enron's collapse
temporarily took its Web site offline after Kitetoa informed
administrators that internal documents in a Lotus Domino
database at http://energycommerce.house.gov were exposed to
anyone with a Web browser.
The class of vulnerability affecting the government sites
has been known to computer security experts since 1998, when
a security group called L0pht published a warning about how
Web users can retrieve sensitive data from improperly
secured Domino servers.
Champagne said he was inspired to examine the government
sites' security after reading about plans by some U.S.
agencies to remove sensitive data from their Web sites.
Last month, a French court fined Champagne 1,000 euros
($870) for probing and publicizing security holes he found
at Tati.fr, the homepage of a Paris-based clothing retailer.
The court suspended the fine on the condition that Champagne
avoid any other convictions for the next five years.
Kitetoa's home page is at http://www.kitetoa.com.
http://www.journaldunet.com/0211/021106brefrance.shtml
Le Net . Nouveau rebondissement dans l'affaire qui opposait
l'animateur du site Kitetoa.com avec l'enseigne Tati. En
février 2002 (lire l'article JDNet du 18/02), l'animateur de
Kitetoa.com, spécialisé dans la révèlation de failles de
sécurité sur les sites, avait été condamné à une amende de 1
000 euros avec sursis pour "intrusion et maintien frauduleux
dans un système de traitement automatisé de données". Après
avoir fait appel, l'animateur a finalement été relaxé le 30
octobre par la cour d'appel de Paris. Les juges ont suivi
les réquisitions du procureur général qui selon lesquelles
le caractère frauduleux de la manipulation n?avait pas été
clairement établi.
http://www.cuk.ch/articles/humeur/affhumeur.php3?aff=409
Une petite minute pour une bonne nouvelle, en provenance de
France, c'est pas si fréquent ces derniers temps : il y a
quelques années, le webmaster de http://www.kitetoa.com
avait prévenu les responsables de la chaîne de magasins Tati
que sur leur site étaient facilement accessibles des listes
très renseignées de noms. En réponse, ceux ci avaient déposé
plainte pour piraterie. Or la justice vient de trancher en
appel pour une relaxation de l'accusé, et débouter la firme
pour une demande mal fondée. Voilà donc une jurisprudence du
fait qu'une société est en demeure de protéger les
informations confidentielles qui nous concernent de la
malveillance (bientôt du spam?). Je suis désolé pour notre
ami qui avait eu à faire avec Proteron ;-) , mais
réjouissons-nous pour les hackers du Bien qui ne veulent que
dénoncer pour engager à les réparer les failles du système.
Les dernières décisions allaient malheureusement dans un
tout autre sens.
Kitetoa.com ne sera pas pour autant, et c'est bien dommage,
débarrassé de son autre Casse-bonbons de trolleur, dont vous
pourrez lire l'étrange, terrible et édifiante histoire clic
ici.
http://www.droit-ntic.com/MyNews1.2/read_comment.php3?id_news=21
Actualité juridique | Newsletter | Les 20 derniers articles
|
Va-t-on vers la remise en question du journalisme
d?investigation sur le web ? - 14/02/2002 @ 19h20
Une affaire relatée par le site legalis nous amène à penser
cela.
Dans ses colonnes, ce dernier nous relate une affaire assez
surprenante :
« L'animateur de Kitetoa.com, site qui dénonce régulièrement
les sites peu sécurisés, vient d'être condamné à 1 000 euros
d'amende avec sursis, sur le fondement de la fraude
informatique (article L. 323-1 du code pénal), par la 13ème
chambre du TGI de Paris ».
Les faits seraient les suivants :
A l'occasion d'une visite sur le site tati, le journaliste
avait pu accéder aux répertoires informatiques qu'il
contenait, et notamment la base de données des clients de la
société qui avaient répondu en ligne à un questionnaire.
Pour y parvenir, il avait utilisé les fonctionnalités du
navigateur Netscape qui permettent d'accéder à l'index des
fichiers présents sur le site, sans manipulation
particulière ni utilisation d'outil spécifique. Malgré
l'avertissement adressé au responsable technique du site de
la chaîne de magasins, le problème n'a pas été traité. C'est
un an après le constat de la faille de sécurité que le
journaliste la révélera dans un article publié sur kitetoa
Legalis.net précise néanmoins ne pas encore disposé du texte
définitif de la décision.
Quoi qu?il en soit c?est une affaire qui de prime abord
paraît stricte quant aux sanctions prises. Depuis quand
révéler une information véridique qu?en bien même délicate
(surtout en prenant le soin de prévenir au préalable les
principaux intéressés) est-il répréhensible ?
N?est-ce pas là l?essence même du métier de journaliste ?
[ Auteur : sadry porlon | Source : legalis.net | Top ]
[ Ajouter un commentaire ]
David - 31/10/2002 à 09h42 - (32)
A Monsieur Julien le Clainche,
Kitetoa vient d'être relaxé en appel (20/10/2002), il n'y a
donc pas de condamnation.
De plus, vous ne savez visiblement pas ce que c'est qu'une
intrusion dans un système.
Enfin, si vous êtes juriste, je vous invite à relire la loi
de 1978.
sadry porlon - 14/02/2002 à 23h15 - (8)
Tout la question se situe bien là peut-il ou non s'en
affranchir?
Je veux bien que le délit d'intrusion soit retenu mais
l'essence même du travail de ce journaliste est de faire
état des différentes failles des systèmes et de s'en faire
l'echo.
Lui interdire l'accès ne signifie-t-il l'empecher de
travailler et par la même occasion d'informer ( cf liberté
de la presse).
Julien Le clainche - 14/02/2002 à 20h11 - (7)
Certes, le journaliste doit mener un travail
d'investigation, il ne peut cependant pas s'affranchir des
dispositions légales en l'absence de texte spécifique. Or,
en l'espèce il s'est rendu coupable du délit d'inrtrusion
défini à l'article L 323-1 al 1 du code pénal. Les premiers
mots de cet articles sont : "le fait d'accéder ou de se
maintenir frauduleusement dans tout ou partie ...". Ce qui
est sanctionné n?est pas la volonté de nuire, mais le simple
fait de s?introduire dans un système de traitement de
données sans autorisation, quel qu?en soit le moyen.
En France, en Belgique et en Angleterre, contrairement aux
Pays-Bas, à l?Allemagne ou au Danemark, l?élément matériel
de l?infraction est constaté même si le prévenu n?a accéder
qu?involontairement au systèm.
De la sorte il n'est guère surprenant que le journaliste ait
été condamné.
http://www.droit-ntic.com/MyNews1.2/read_comment.php3?id_news=63
Actualité juridique | Newsletter | Les 20 derniers articles
|
Les suites de l'affaire Kitekoa/Tati - 05/04/2002 @ 17h20
Imprimer l'info Envoyer cette info à un ami
Une affaire defrayait recemment la chronique en opposant un
journaliste du site kitekoa.com à la société "TATI".
Celui-ci s?étant vu condamner à une amende pour avoir
divulgué sur son site ainsi que par voie de presse, une
faille de sécurité constatée sur le site Internet de cette
dernière.
Cette condamnation nous avait interpellé sur quelques points
:
Même si l?on pouvait reprocher au journaliste de s?être
introduit dans le système de sécurité, il avait néanmoins
pris la précaution d?avertir les responsables de l?existence
de cette faille.
Ce n?est que plus tard, en constatant qu?il n?y avait pas eu
de modification que le journaliste a décidé de divulguer
cette faille sur son Internet spécialisé dans ce domaine.
Nous nous posions donc la question de savoir si il fallait
conclure à la fin de cette forme de « journalisme
d?investigation » sur le Web ?
Dernier rebondissements dans cette affaire ; le procureur
général près de la cour d?appel de Paris a décidé de faire
appel du jugement du tribunal correctionnel du 13 février
2002 qui avait condamné l?animateur de Kitetoa.com à 1 000
euros d?amende avec sursis, pour accès frauduleux dans un
traitement automatisé de données.
Le procureur général Jean-Louis Nadal a déclaré qu?il
s?inscrivait dans une logique de réquisitions de relaxe. Il
précise que"cet appel a pour but de permettre à la cour
d?appel de se prononcer sur la définition et la portée du
délit d?accès et de maintien frauduleux dans un système
automatisé de données et et de contribuer ainsi à
l?élaboration d?une jurisprudence en la matière"
Il ajoute également que "le champ du droit appliqué aux
technologies de l?information et de la communication
constitue un domaine nouveau auquel le parquet général de
Paris apporte une attention toute particulière".
Les suites de cette affaire auront certainement pour effet
de provoquer une refonte des règles concernant l'accès
frauduleux ou non à un système automatisé de données.
Une affaire à suivre......
http://www.foruminternet.org/actualites/lire.phtml?id=437
Le responsable du site Kitetoa relaxé en appel
31/10/2002
La 12ème chambre de la Cour d?appel de Paris a réformé le 30
octobre 2002, le jugement du Tribunal de grande instance de
Paris sanctionnant le responsable d?un site pour "accès et
maintien frauduleux dans un système automatique". Les juges
d?appel estiment en effet que la plainte était non fondée.
La possibilité d?accéder à des données stockées sur un site
avec un simple navigateur, en présence de nombreuses failles
de sécurité, n?est pas répréhensible. Telle est la solution
à laquelle a aboutie la Cour d?appel de Paris dans un arrêt
en date du 30 octobre 2002 et revenant sur un jugement du
Tribunal de grande instance de Paris du 13 février 2002.
Les juges du fond avaient condamné le responsable du site
Kiteroa.com à une amende de 1000 ¤ avec sursis pour avoir
accéder de manière répétée aux bases de données du site de
commerce électronique Tati.fr.
Dans son jugement, le tribunal estimait que l?existence des
failles de sécurité ne constituait "en aucun cas une excuse
ou un prétexte pour le prévenu d?accéder de manière
consciente et délibérée à des données dont la non protection
pouvait être constitutive d?une infraction pénale". Le
Parquet avait décidé de porter l?affaire devant la Cour
d?appel de Paris le 3 avril 2002, après avoir requis la
relaxe lors de l?audience de première instance.
Document mis en ligne le 31/10/2002
http://www.isecurelabs.com/modules.php?op=modload&name=News&file=article&sid=409
Le webmaster en charge du site Kitetoa.com, spécialisé dans
la révèlation de failles de sécurité sur les sites, en reste
estomaqué : il a été condamné mercredi dernier à une amende
de 1.000 euros avec sursis à la suite d'une plainte déposée
par la chaîne de magasins d'habillement Tati. Motif officiel
: "intrusion et maintien frauduleux dans un système de
traitement automatisé de données". En clair : piratage
informatique. Le responsable de Kitetoa.com ne comprend
toujours pas les motifs de ce jugement [NDLR : s'il souhaite
rester discret sur son identité, ce responsable indique que
son nom et ses coordonnées sont disponibles en effectuant
une recherche du propriétaire de Kitetoa.com sur l'annuaire
Whois.]
# L'article sur le journaldunet.com
http://www.lentreprise.com/article/5.1571.1.287.html
Faites faire un test d'intrusion
par Cécile Rémy
mis en ligne le 21/05/2002
Extrait du N°200 - Mai 2002 Page 1/1 - 1
Il vous permettra d'identifier les failles de votre système
contre les menaces d'attaques des "hackers".
Mi-diables mi-anges gardiens du Net, certains hackers
professionnels s'évertuent à sonder les failles des sites
internet et des réseaux d'entreprises de renom. C'est le cas
de Kitetoa.com, qui s'est fait condamner à la suite de son
intrusion dans le site commercial de Tati, le grand magasin
de Barbès, à Paris. « Même si la façon de faire est
excessive et souvent surtout très énervante, cette catégorie
de hackers est plutôt utile à la sécurité, commente Gilles
Albouy. Ils ne sont pas dangereux car ils préviennent leur
victime, lui livrent les résultats de leurs tests et ne
divulguent les failles que lorsque la victime ne veut pas
les croire. » Ils visent en général les grandes marques mais
également tous ceux qui se flattent d'être blindés...
Si vous préférez maîtriser la situation et mesurer la
fragilité de votre système d'information en toute légalité,
vous pouvez aussi acheter un test d'intrusion (compter 1 000
euros). « En fait, poursuit Gilles Albouy, c'est souvent
pour débloquer un budget que les responsables informatiques
nous appellent. Les résultats d'un test d'intrusion parlent
très concrètement aux dirigeants comme aux actionnaires. »
Les sociétés spécialistes de la sécurité informatique comme
Althès ou Lexsi le font, tout comme certaines SSII plus
généralistes, tel Azentis. Il existe aussi des services en
ligne sur internet : Mondsi.com, Secmanage.com, Intranode...
Avant de leur confier le coeur ou le poumon de votre
entreprise, vérifiez leur identité, leurs compétences et
leur pérennité : demandez des références de clients et
téléphonez-leur. L'enjeu est grand pour l'entreprise, et les
professionnels de la sécurité sont très forts et très rusés
: « Pour connaître les outils de sécurité mis en place dans
les entreprises, avoue Gilles Albouy, il nous suffit de
consulter les CV des techniciens qui souvent circulent sur
internet. »
Les pirates du web
Les petits délinquants : des « enfants » de 12 à 40 ans
Internet est un vrai supermarché du hacker en herbe. Aussi
des apprentis sorciers essaient-ils ces outils pour
s'amuser, qu'ils soient jeunes ou moins jeunes. Peu
compétents et inconscients de la portée de leurs actes, ils
visent tout le monde. Ils prennent, par exemple, une page
d'adresses internet et les essaient toutes.
Les hackers : des professionnels plutôt mégalos
Mus par un ego très développé, ils sont extrêmement
compétents et passent du temps à évaluer les outils. Ils
attaquent des sites connus, savent ce qu'ils font et
préviennent en général les responsables de la sécurité des
failles trouvées. Ils enfreignent la loi mais font également
progresser la sécurité informatique, tels de bons petits
diables du réseau. Ils s'en prennent aux beaux produits
marketing, dont l'esthétique est soignée mais la technique
souvent fragile. La façon de faire n'est pas très délicate
mais elle n'est pas dangereuse. Il est surtout très agaçant
pour les cibles de constater à quel point ils sont bons.
Les cyberterroristes : des fanatiques souvent cyniques
Portés par une idéologie ou par le besoin d'argent, ils sont
très compétents, très bien outillés et extrêmement
dangereux. Ils sont souvent pilotés ou manipulés par des
grandes puissances et participent aux actions d'espionnage
politique ou industriel. Ils représentent un danger pour les
grandes entreprises et pour les PME technologiques qui font
des envieux.
http://www.isecurelabs.com/modules.php?op=modload&name=News&file=article&sid=473
Zataz sur les traces de kitetoa ?
Transmis par: acz actif Mercredi, 12 Juin 2002 @ 16:16
News Sécurité Zataz sur les traces de kitetoa
?
Possible, lorsque l'on voit ce genre d'article
:http://www.zataz.com/zataz/news.php?id=1062&file=01.html,
un jeu dangereux auquel se prêtent de plus en plus de sites
"underground".
"Nous signons ici notre 5028 alerte visant un probléme de
sécurité sur
un site français (zataz)". /usr/bin/sed s/alerte/piratage
:-)
Serieusement, ca fait peur, ne croyez pas que prevenir une
société aprés
avoir accédé frauduleusement ses données vous protegera
d'une pleinte.
Carton rouge donc pour ZATAZ & kitetoa, méme si il faut
l'avouer que
certaines de leurs découvertes nous font bien rigoler.
Rappelons quand méme, que ca n'est ni plus ni moins que du
piratage (accès
frauduleux) et que c'est puni par la loi.
La loi du 5 janvier 1988 ou loi GODFRAIN est constituée des
articles
suivants :
- Art 462-2 alinéa 1er : délit d'intrusion dans le système
d'autrui
- Art 462-2 alinéa 2 : délit d'intrusion ayant entraîne des
dégradations
involontaires
- Art 462-3 : délit d'entrave au système
- Art 462-4 : délit d'atteinte aux données
- Art 462-7 : tentatives des délits
- Art 462-8 : participation à une association délictueuse
Exemples
- Piratage d'un compte d'un autre utilisateur en utilisant
un faux login
- Tentative de connexion dans un système en utilisant toutes
les combinaisons
possibles de login et de mots de passe.
- Recherche d'informations afin de contourner les mécanismes
de sécurité (parcours d'une hiérarchie système ou
utilisateur).
Source de cet article de loi:
http://www.cicrp.jussieu.fr/Cicrp/Web/securite/reglements2.html
http://www.wired.com/news/technology/0,1282,56219-1-13,00.html
Navy Sites Spring Security Leaks
By Brian McWilliams
Story location:
http://www.wired.com/news/technology/0,1282,56219,00.html
02:00 AM Nov. 06, 2002 PT
The U.S. Navy took one of its websites offline Tuesday and
added new security controls to a second site after Internet
surfers discovered they could access confidential Navy
databases.
The exposed Navy files included material designed to support
a machine for testing the electronics of weapon systems
called the Consolidated Automated Support System. Web
surfers were able to browse through hundreds of trouble
tickets, dating back to 1989.
Also accessible by Internet users was a site operated by the
Naval Supply Systems Command that enables Navy personnel to
order commercial software or internally developed
applications. One section of the database, known as QUADS,
allowed visitors to pull up records on who registered to use
the system and included their passwords.
A group of French security enthusiasts known as Kitetoa
discovered the vulnerable sites, which were running IBM's
Lotus Domino software. Kitetoa has reported similar security
problems with Lotus software on other government and private
websites.
A spokesperson for the Navy's North Island Naval Air Depot
said the CASS database has been "shut down both internally
and externally while we investigate possible
vulnerabilities."
A NAVSUP representative declined to comment on the QUADS
security flaw. After the Navy was notified about the
problem, the QUADS site began requiring users to log in.
Both Navy sites appeared to contain "noncritical support
systems" and were "not a military concern," said Brad
Johnson, a former Navy officer and National Security Agency
program manager.
"This is not the type of information (to which) the Navy
would want to grant unrestricted access, but it is not
something that threatens our security," said Johnson, now a
vice president of Vigilinx, a security solutions provider in
Parsippany, New Jersey.
Among the trouble tickets viewable by Internet users was a
report from an officer aboard an aircraft carrier who noted
unresolved problems with CASS systems overheating and
malfunctioning "while operating in arduous environments such
as the Arabian gulf."
William Knowles, operator of C4I.org, a computer security
and intelligence site, said the Navy would view any
intelligence leak as serious.
"Any information not already discussed on either CNN or the
Pentagon Daily Brief is information that can be used by a
motivated attacker-terrorist against U.S. interests around
the globe," Knowles said.
The current incidents follow news in October that more than
600 Navy computers -- including some containing classified
information -- were missing.
In an e-mail interview this week, Kitetoa founder Antoine
Champagne wrote that a French appeals court recently
overturned a ruling requiring him to pay a fine for
publicizing security holes he found at Tati.fr, the homepage
of a Paris-based clothing retailer.
According to Champagne, who has also identified flaws at
sites runs by DoubleClick, Bull Groupe, Veridian and
ChoicePoint, the ruling is important for computer security
whistle-blowers.
"You can get to a page that is not supposed to be there for
you, but that is unprotected, without being called an evil
hacker," Champagne wrote.
http://www.legalbiznext.com/cgi-bin/news/viewnews.cgi?category=8&id=1015247809
04/3/02
Condamnation d'un chasseur de faille?
Il n?est pas de bon augure de signaler les failles
informatiques d?un site?ou du moins de faire la publicité de
cette découverte. Voilà ce qu?a dû penser ANTOINE CHAMPAGNE
(responsable du site Kitetoa.com) qui a été condamné,
mercredi 13 février, à payer 1000 euros d'amende "avec un
sursis de cinq ans", par la 17e chambre correctionnelle du
Tribunal de Grande Instance de Paris pour " fraude
informatique ". Le journaliste de ce site spécialisé dans la
recherche de faille de sécurité dans les sites web de
grandes entreprises, avait trouvé dans le site " tati.fr",
une faille lui permettant d?accéder sans aucune difficulté à
une base de donnée nominative d?internaute. Aucune
modification n?avait été effectuée malgré les différents
avertissements du journaliste auprès de l?hébergeur de
"tati.fr" afin de lui faire remarquer que le site n?était
pas suffisamment protégé. Malgré ses bonnes intentions, l?
article 321-3 du code pénal (loi n° 88-19 du 5 janvier 1988
relative à la fraude informatique) dite loi GODFRAIN ne
s?attache qu?à la lettre, il sanctionne par une amende de
300 à 15000 Euros l? " accés et maintien frauduleux " sur un
système informatique.
Pour sa défense, le responsable de Kitetoa.com. indique que
ce n'est qu'après avoir averti l'administrateur du site de
"tati.fr" qu?il a écrit un article à ce sujet. Mais suite au
récit de l'affaire dans le mensuel grand public Newbiz, le
Procureur de la République poursuivit Kitetoa.com après
investigations de la Brigade d'Enquêtes sur les Fraudes aux
Technologies de l'Information.
Les conséquences de cette affaire entraînent les réflexions
suivantes :
Dans un premiers temps , comme l?indique Damien Bancal (
NDLR Damien Bancal est le rédacteur en chef et journaliste
du site Web : http://www.zataz.com) " ? Il est clair que ce
qui vient de toucher Kitetoa.com va refroidir bon nombre
d'internautes qui ont découvert des choses et qui vont
aujourd'hui les garder pour eux? ". Désormais comment
signaler les points faibles d'un système d'information sans
risquer une condamnation ?
De plus, la démarche de Kitetoa.com n?avait pour objet que
de permettre la correction d?un problème, mais la loi est
neutre à cet argument ,pour elle, il n?y a pas lieu à se
soucier des (bonnes) intentions du journaliste : Il n?y a
que " accès et maintien frauduleux " sur un système
informatique.
Sans vouloir minimiser les responsabilités de chacun, il
convient de s?interroger dans un second temps de la
négligence de "tati.fr "qui a été mise en lumière par cette
décision.
En effet, le journaliste n?a pas " forcé de serrure " afin
d?obtenir la base de donnée nominative d?internaute de
"tati.fr".Il a simplement utilisé les fonctionnalités de son
navigateur afin d?obtenir la liste de tous les fichiers du
site.
Ce qui met en lumière la violation par "tati.fr " de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés, dite loi Informatique et Libertés.
Car il est disposé dans son article 29 que :
" Toute personne ordonnant ou effectuant un traitement
d'informations nominatives s'engage de ce fait, vis-à-vis
des personnes concernées, à prendre toutes précautions
utiles afin de préserver la sécurité des informations et
notamment d'empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés. "
Et il est dit à l?article 226-17 du code pénal que :
"Le fait de procéder ou de faire procéder à un traitement
automatisé d'informations nominatives, sans prendre toutes
les précautions utiles pour préserver la sécurité de ces
informations et, notamment, empêcher qu'elles ne soient
déformées, endommagées ou communiquées à des tiers non
autorisés, est puni de cinq ans d'emprisonnement et de 2
millions de francs d'amende."
Il semble donc au vu des déclarations du journaliste et à la
lecture de ces textes de loi que "tati.fr " a contrevenu à
la loi : " ?Quand on veut ouvrir une porte fermée, il faut
crocheter la serrure, mais quand la porte est ouverte, il
suffit d'entrer?". Mais seul pourra agir contre "tati.fr ",
un ayant droit, dont les informations personnelles sont
intégrées dans la base de donnée nominative d?internaute de
"tati.fr".Nous ne maquerons pas de suivre cette affaire en
cas d?appel du journaliste ou des ayant droits de la base de
donnée.
SP
Sources :
-loi n° 88-19 du 5 janvier 1988 relative à la fraude
informatique et loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés, dite loi
Informatique et Libertés disponibles sur
http://ccweb.in2p3.fr/secur/legal/legal-home.html
http://www.journaldunet.com/0202/020218kitetoa.shtml
http://news.zdnet.fr/story/0,,t118-s2104590,00.html
http://www.foruminternet.org/actualites/lire.phtml?id=261
http://www.zataz.com
http://www.liberation.com/quotidien/semaine/020220-045022023INTE.html
http://www.legalbiznext.com/cgi-bin/news/viewnews.cgi?category=all&id=1037105138
12/11/02
Sécurité Informatique : L'animateur de kitetoa.com relaxé en
appel (Actu.)
Condamné en première instance pour accès frauduleux dans un
traitement automatisé de données, le webmestre du site
kitetoa.com vient d'être relaxé par la Cour d'appel de Paris
dans son arrêt du 30 octobre 2002.
Les juges ont donc suivi les réquisitions du parquet qui
avait demandé l'infirmation du jugement du TGI de Paris (13
février 2002).
En effet, la procédure n'a pas établi le caractère
frauduleux de la manipulation exercée par ce spécialiste en
sécurité qui est accessible à tout internaute averti, non
ingénieur, non technicien, non spécialisé, mais qui sait
lire un mode d'emploi assène le Procureur général.
De plus, il estime également que l'élément intentionnel de
l'infraction n'est pas davantage démontré puisque
l'animateur avait averti les administrateurs du site de
cette faille de sécurité.
Enfin, le magistrat s'attache même à relancer le débat dans
l'autre camp en déclarant que lorsqu'une base de données est
par la faute de celui qui l'exploite, en accès libre par le
biais de l'utilisation d'un logiciel de navigation grand
public, le seul fait d'en réaliser une copie d'écran sans
intention malveillante ne saurait constituer une
infraction..
Une solution guidée enfin par le bon sens puisque l'avenir
des professionnels de la sécurité se faisait bien noir au vu
de la condamnation intervenue en première instance. Car,
sous couvert d'une atteinte à son droit d'auteur et de
propriétaire de base de données, la société requérante
semblait nier sa négligence technique.
D'ailleurs, si le Ministère puiblic s'était saisi de cette
affaire c'était justement pour donner l'occasion à la Cour
d'appel de bâtir les bases d'une jurisprudence en la matière
avait déclaré le parquet lors de l'annonce de son appel.
Sébastien Guerrero
Source :
Legalis.net
Voir aussi nos articles relatifs à cette affaire :
La première association de défense des hackers ! (Actu.)
Le fil d'actus de ces derniers jours du 04/04/02
Le fil d'actus de ces derniers jours du 08/03/02
Condamnation d'un chasseur de faille
AFP
net-dis-gen,PREV
Comment la justice a volé au secours de Kitetoa, Robin des
Bois d'Internet
(MAGAZINE)
par Laurence BENHAMOU
PARIS, 14 nov (AFP) - Les sites Internet mal protégés, ceux
qui par négligence livrent à tout vent les coordonnées
personnelles de leurs clients, craindront encore longtemps
les dénonciations publiques d'un Robin des Bois de la
sécurité informatique, le caustique site Kitetoa.
Antoine Champagne, journaliste indépendant et patron du
site kitetoa.com, vient en effet de gagner en appel, grâce
au Parquet venu à sa rescousse, un procès exemplaire contre
les magasins Tati et le site tati.fr, dont il avait
publiquement dévoilé un trou béant de sécurité.
Créé en 1997, Kitetoa, sorte de Canard Enchaîné de
l'Internet, est reputé pour son habitude d'épingler les
sites commerciaux ou institutionnels qui sécurisent mal,
voire pas du tout, les données personnelles de leurs
clients.
Parmi quelque 200 sites à son actif, dont Vivendi ou la
Caisse des Dépôts, le cas le plus flagrant fut celui de
Banque Directe où, avant la réparation réclamée par Kitetoa,
le site frondeur avait pu récupérer les données et mots de
passe des clients!
"Je ne suis pas un pirate", se défend Antoine Champagne,
qui se veut au contraire un champion de l'anti-piratage: il
ne s'infiltre pas frauduleusement sur les sites, n'utilise
pas d'outils illégaux et ses tests s'appuient souvent des
logiciels grand public. Généralement, une fois constatée
l'erreur de sécurité, il prévient le gestionnaire et ne
publie un commentaire saignant qu'après que le site a été
corrigé. Il n'explique pas non plus comment il a opéré.
Mais parfois, lorsque son avertissement n'est pas suivi
d'effets, il révèle publiquement l'erreur via son site. Pour
Tati, comme ses courriers n'avaient pas entraîné de
réparation du site, Kitetoa publie en mai 2000 un article
qui stigmatisait cette faille qui permettait à tous de
télécharger le fichier où Tati stocke les données
personnelles recueillies auprès des visiteurs de son site.
En 2001, l'erreur n'est toujours pas corrigée. Pire: on
peut même changer les tarifs d'articles vendus en ligne...
ce que Kitetoa dénonce dans un nouvel article.
Découvrant l'affaire dans un magazine, les patrons de
Tati n'apprécient pas, et traînent Antoine Champagne en
justice pour piratage. Le webmestre de Kitetoa se défend en
expliquant avoir opéré uniquement avec le navigateur grand
public et gratuit Netscape, donc sans intrusion frauduleuse.
Il argue aussi que c'est Tati qui, par sa négligence à
protéger ses fichiers, livre des données personnelles en
violation de la loi Informatique et Libertés. Le Parquet lui
donne raison, reconnaît sa bonne foi et l'absence de
malveillance, et demande la relaxe.
Mais en février 2002, le tribunal correctionnel de Paris
condamne cette intrusion -non autorisée bien que
bienveillante- à 1.000 euros d'amende avec sursis. Pour ce
petit site d'information sans publicité, cette somme modique
représente une épée de Damoclès funeste pour l'avenir.
Craignant le pire, Kitetoa ne fait pas appel.
Mais le Parquet de Paris, qui s'intéresse de près au
droit de l'internet et veut susciter une jurisprudence
claire et adaptée, décide de faire appel. Il obtient gain de
cause le 30 octobre 2002: la Cour d'Appel de Paris réforme
la décision de première instance et relaxe Antoine
Champagne, ce qui permettra à Kitetoa de continuer à faire
grincer des dents les webmestres incompétents.
leb/pcm/al