02 octobre 2009

L'affaire Zataz

Je n'ai pas souhaité m'exprimer plus tôt sur cette affaire (du point de vue technique) car je ne disposais comme éléments techniques que des informations publiées sur le site zataz.com (et bien entendu l'excellente vidéo d'un certain maitreeolas;), et il me semblait plus raisonnable d'attendre d'avoir plusieurs sons de cloches avant de me faire une opinion.

Maintenant que j'ai lu l'arrêt du 9 septembre 2009 de la Cour d'Appel de Paris sur le site legalis.net, je trouve l'affaire plus intéressante.

Je ne souhaite pas faire plus de commentaires, sinon
- vous inciter à aller lire l'arrêt pour y découvrir (un peu) le travail de deux experts judiciaires effectué dans le cadre d'expertises privées,
- et bien entendu saluer leur travail consciencieux.

11 commentaires:

  1. Dure lecture pour un vendredi soir.

    Si je comprend bien, tomber sur un serveur ftp qui demande un login et un mot de passe, mais accepte n'importe quels compte et mot de passe pour se connecter est suffisant pour que l'on commette le délit d'intrusion dans un système. Il suffit de manifester son intention de protéger l'accès, sans mettre en place de protection effective, pour que tout accès devienne frauduleux ?

    RépondreSupprimer
  2. @dominik: C'est drôle, ce n'est pas comme cela que je lis l'arrêt de la Cour d'Appel...

    RépondreSupprimer
  3. @Zythom Le problème, c'est qu'il y a beaucoup d'attendu et celui qui m'a fait réagir, c'est celui ci "Considérant, en toute hypothèse, que le trouble manifestement illicite est constitué, alors même que l’accès aux données n’est pas limité par un dispositif de protection ; qu’il suffit que le "maître du système" ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées ;"

    Mais il est vrai que le système, si je comprend bien le reste, était protégé et que l'accès n'a pu être obtenu que par de nombreuses tentatives avec des compétences techniques certaines.

    RépondreSupprimer
  4. Ce n'est pas parce que la serrure est "simple" ou "fragile" que j'ai le droit de donner un coup d'épaule dans la porte ... Que penser si en rentrant chez moi, je vois une personne en train d'"essayer" d'ouvrir toutes mes portes ?
    Enfin, c'est ce que je pense etre le plus proche de l'esprit de l'arret ...

    RépondreSupprimer
  5. Attention, la décision de première instance qui a été frappée d'appel est une ordonnance de référé: il s'agit donc de savoir si le juge devait et pouvait adopter les mesures urgentes qui ont été ordonnées afin de faire cesser le trouble.
    Je suis curieuse de voir la décision au fond, mais il va falloir attendre un peu. Et je suppose que ça se jouera au pénal.

    L'intrusion frauduleuse, c'est tout accès dont on a conscience qu'il n'est pas autorisé. Après, on peut se demander si l'intention d'y accéder pour démontrer une faille de sécurité est ou non réellement frauduleux. Ou si ça ne tombe pas dans le champ de l'excuse de nécessité (ça fait peur un site où en essayant de se connecter trois fois on accède à toutes les données client).
    Par contre, retenir l'infraction d'altération de données parce que les données ont été floutées sur la vidéo, là, j'avoue qu'il faudrait qu'un pénaliste m'explique ("qu’il n’est pas contesté, par ailleurs, que Damien B. ait "flouté" les informations diffusées par la "vidéo", ce qui, quels que soient les motifs avancés par ce dernier, de "protection des personnes et des données", n’en constitue pas moins un ensemble de modifications non autorisées;"). J'aurais compris si des données du site avaient été modifiées.

    RépondreSupprimer
  6. @laurent:
    Si une personne bien intentionnée , pour vérifier son bon verrouillage, tente d'ouvrir ma porte, se rend compte de son non verrouillage et me préviens de mon oubli, je ne lui ferait sans doute pas un procès.

    Maintenant supposons que dans mon appartement je détiens les biens d'autres personnes (biens dont je suis responsable) et que je laisse ma porte ouverte, qu'une personne bien intentionnée s'en rend compte et fini par prévenir d'autres personnes de ma négligence après m'avoir averti et m'avoir laisser du temps pour corriger. Dois-je attaquer en justice ? Peut-être mais je suis moi même attaquable dans ce cas pour négligence.

    RépondreSupprimer
  7. @Milo94: Je me méfie toujours des analogies, mais que feriez-vous si en tant que propriétaire des lieux, vous laissez la serrure ouverte, qu'une personne s'en rende compte et rentre pour visiter votre appartement.

    Si à cela vous ajoutez que pour savoir que la serrure était ouverte, il fallait des outils de cambrioleur...

    RépondreSupprimer
  8. @milo94, @zythom...

    RFC 1635: How to Use Anonymous FTP

    Je cite:

    What is Anonymous FTP?
    Anonymous FTP is a means by which archive sites allow general access to their archives of information. These sites create a special account called "anonymous"


    La présence d'un accès anonyme sur un serveur FTP s'interprête comme la volonté de l'administrateur du site en question de mettre à disposition des informations. Ce n'est pas une faille, ce n'est pas une faiblesse de sécurité. Au mieux, c'est une négligence dans la configuration du serveur.

    Bref, accéder à un serveur FTP en anonyme, c'est fait pour accéder à des données comme on accède à une page web non authentifiée. Seul le moyen technique diffère, et en particulier sur le fait qu'on demande un mot de passe pour des raisons cosmétiques mais sûrement pas pour protéger l'accès. Cf. la suite de la RFC:

    Traditionally, this special anonymous user account accepts any string as a password, although it is common to use either the password "guest" or one's electronic mail (e-mail) address.

    Donc désolé de plier vos analogies de serrure, mais l'ouverture d'un accès anonyme sur un serveur FTP, c'est l'ouverture d'un accès public, que vous en diffusiez l'URI ou non. Et si vous contestez ce fait, alors vous contestez également le fait que des pages web puisse être accédée publiquement sans authentification (le fond de l'affaire Tati vs. Kitetoa) voire l'opportunité pour des outils comme les navigateur web d'implémenter le test systématique de ce type d'accès sur chaque URI FTP qu'on leur file...

    RépondreSupprimer
  9. @Sid: Si je lis bien l'arrêt, il ne s'agit pas d'un simple accès "anonymous". Mais n'ayant pas lu le rapport, je ne peux me prononcer.

    RépondreSupprimer
  10. @Zythom: moi non plus je ne peux guère me prononcer avec précision.

    Cependant, quand je lis l'arrêt, il parle bien d'accès anonyme (paragraphes 10 et 12 de la discussion). De plus, si le moteur de recherche a pu indexer les données, c'est qu'elles étaient disponibles anonymement. Parce que si Gegereka s'amusait à forcer les serveurs FTP qu'il indexe, je pense qu'on en aurait entendu parler...

    Enfin, pour les échecs, la validation de la chaîne à fournir comme mot de passe pour un accès anonyme dépend de la configuration de serveur, et il arrive de se planter quand on le fait à la main.

    Ceci dit, ça me paraît tellement évident, que j'ai du mal à croire que l'avocat de Damien Bancal n'ait pas pu démonter ça. Il doit donc y avoir autre chose... Je ne peux pas croire qu'un juge ne puisse pas entendre ce genre d'argumentaire...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.