[Kitetoa, les pizzaïolos du Ouèb

Paaapaaaaaaa... C'est quoooaaaaaa une intrusion informatiiiiiqueuuuu?

  Alors tu vois mon fils, cette bouteille de lait...

Heu... Non...

Qui sait définir avec précision ce qu'est une intrusion informatique ? Pas grand monde.

A chacun son métier. Aux techniciens de définir ce que c’est.

Le reste n’est que littérature.

Le problème c’est que en général, ceux qui disent qui a réalisé une intrusion informatique ne sont pas des techniciens. Mais plutôt, dans l’ordre (on peut toutefois le mettre dans n’importe quel sens) : la presse, la police, les faux experts, et enfin, le juge. Il ne faut voir dans ce qui suit aucune animosité envers qui que ce soit…, mais il semble que la personne accusée d’intrusion part avec un sacré handicap. Il est forcément, vu le travail de sape effectué depuis des mois, considéré comme un affreux terroriste (voir le premier papier de la trilogie), quoi qu’il ait fait.

Ca part mal. Le terroriste ne pouvant faire QUE quelque chose d’odieux les a priori seront multiples.

Nous avions deux voies possibles pour traiter ce papier. La première consistait à ne se baser que sur un plan technico-moral et à définir ce qui est bien ou mal en fonction de critères techniques. La seconde consistait à réaliser une lecture purement juridique du problème. Nous avons choisi de faire un peu des deux. Nous n’avons pas la science infuse et ne souhaitons (ni ne pouvons) rien imposer à personne. Nous pensons simplement détenir quelques clef que nous souhaitons, comme toujours, faire partager aux autres en les invitant à débattre.

Comme dit l’autre (les journalistes, les juristes, les faux experts, etc.) : "depuis 1988, la loi Godfrain nous protège contre les atteintes aux systèmes de traitement automatisé de données". Il n’est donc pas inutile de lire cette loi pour savoir de quoi on parle :


Art.323-1 Le fait d'accéder ou de se maintenir frauduleusement , dans tout ou partie d'un système de traitement automatisé de données est puni d'une peine d'emprisonnement et de 100 000 frs d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 2 ans d'emprisonnement et de 200 000 frs d'amende.

Art 323-2 Le fait d' entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300 000 frs d'amende.

Art.323-3 Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement des données qu'il contient est puni de trois ans d'emprisonnement et de 300 000 frs d'amende.

Art.323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisées par un ou plusieurs fait matériels, d'une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues pour l'infraction elle-même et pour l'infraction la plus sévèrement réprimée

[http://www.rabenou.org/penal/L3.html#art323-1]

Reprenons… Accéder ou se maintenir frauduleusement…

Que nous dit le législateur ? Qu’il est interdit de pénétrer frauduleusement sur un ordinateur ou dans un réseau sans y avoir été invité.

Accéder…

Frauduleusement…

Voilà deux termes qu’il va falloir garder à l’esprit.

Nous avons lu et relu le Lamy informatique. Histoire de voir ce que pensaient les juristes de cette loi.

Le simple fait d'"entrer" est incriminable...

Que dit-il ? Que l’accès ou le maintien indus dans un système (entendez par système un ordinateur ou un réseau) sont incriminés. Que " l’idée d’accès indu renvoie à toute pénétration dans un système ". Lire le Lamy est intéressant à plusieurs titres. Il va par exemple nous donner les interprétation des juges et des éminents juristes qui se sont penchés sur le sujet. Ainsi, on découvre que " l’accès frauduleux au sens de la loi vise tous les modes de pénétration irréguliers ". Et même, que " le simple fait " d’entrer " est incriminable " : " L’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder ". Soit. 

" Entrer ". Qu’est-ce qu’entrer ?

Pas le droit, pas le droit… Revenons à " frauduleusement ". L’ami Lamy nous dit à propos de l ‘élément moral que " ne son punissables que les accès et maintiens accomplis " frauduleusement ". C’est souligner que les auteurs de ces délits doivent avoir eu conscience de l’irrégularité de leurs actes ". Tentons d’y voir encore plus clair avec un arrêt d’une cour toulousaine : CA Toulouse, 3ème chambre, 21 janvier 99 : " l’absence de droit résulte de l’absence d’autorisation expresse du maître du système ". Etant cependant observé, nous précise le Lamy que le caractère " exprès " ne s’impose vraisemblablement pas. Ce qui voudrait dire que " la présence d’un dispositif de sécurité n’est pas nécessaire pour que s’appliquent les dispositions légales ". Sauf en cas d’erreur, même dans le cas où l’on taperait le code d’accès d’un tiers en se trompant… Attention, ceci fait, si vous vous baladez dans le système, tout le monde aura compris que ce n’est plus une " erreur "…

Autre point non négligeable, " les intrusions dans les systèmes sont incriminées sans considération des conséquences qu’elles peuvent avoir ".

Ceci étant dit, il n’y a pas grande jurisprudence dans le domaine des technologies qui nous intéressent. Au contraire, ce que l’on peut lire se réfère plutôt à des histoires de Minitel.

Revenons maintenant aux termes " accéder " et " frauduleusement " avec une vision plus technique…

Car quelque chose nous semble bien flou dans ce texte. Qu’est-ce donc, dans l’esprit du législateur, et désormais des juges, chargés d’appliquer cette loi, que " accéder " à un système ? Même frauduleusement ?

Rien dans le Lamy ne vient éclairer ce point.

De toutes façons, on a un petit problème. En 1988, personne, et encore moins l’auteur de la loi ne prévoyait qu’on allait accéder à un serveur avec une requête, puis une autre et ainsi de suite. GET HTTP était encore dans les cartons… Peut-être même dans les tréfonds des cerveaux… J’accède au serveur www.leserveur.com avec mon navigateur. Il demande la page par défaut sans même que je m’en rende compte. Une fois chargée, je ne suis plus connecté au serveur. J’ai accédé au serveur. Je ne m’y maintiens pas.

Considérons que nous allons accéder frauduleusement (pirater un serveur, même si ce terme ne veut juridiquement rien dire) à un serveur et que nous faisons cela à distance.

Pénétrer dans un ordinateur… Pour cela, il me faut un défaut important de l’OS, ou d’un programme, l’exploiter. Ou alors, " envoyer " un cheval de Troie

Pénétrer dans un réseau… Pareil, il me faut une porte d’entrée. J’ai besoin d’outils d’elite hax0r ou d’un sacré défaut logiciel.

Frauduleusement… Il faut donc que tout cela soit fait sans droits et sans se tromper.

Sans droits ? Ah. Nous y voilà… Je vais " accéder " à la page d’administration du site au format html. Pour " pirater le site ", je n’ai plus qu’à appuyer sur des boutons. Le fait d’accéder à cette page d’administration est-il déjà passible des foudres de la loi ?

N’oublions tout de même pas cet axiome : à priori, techniquement parlant, lorsque l’on place un fichier dans la racine d’un serveur Web et que l’on ne le protège pas par des droits d’accès spécifiques, on considère que ce fichier est public puisque désormais, il est placé sur un réseau public. C’est là toute la différence entre un serveur Web (ou ftp), un ordinateur et un réseau. Le contenu d’un serveur Web ou FTP est public par défaut sauf indication contraire de la part de l’administrateur. En revanche, le contenu d’un réseau privé (hors DMZ donc) ou d’un ordinateur (hors serveur Web) est privé.

Si je peux " accéder " à cette page sans m’identifier comme un utilisateur privilégié (identifiant/mot de passe), il est probable que l’administrateur ait choisi délibérément de la rendre publique.

J’ai donc " accédé " à une page comme une autre.

Il faut mettre le script d'archivage de Google en examen!

Reste à ne pas appuyer sur les boutons qui modifient le contenu du site pour ne pas verser dans la partie " piratage ".

Mais bon, il semble que tout cela soit un peu trop technique (et pourtant…) pour la justice.

Prenons un cas de figure encore pire : la société Leserveur a décidé de mettre en ligne un beau serveur Web. Seul problème, l’administrateur du site a placé dans le serveur un répertoire " /lescomptesmensuels " dans lequel il stocke les comptes mensuels de l’entreprise ainsi que quelques autres données un peu sensibles. Malheureusement pour la direction générale, l’administrateur embauché à grands frais n’a pas attribué de droits particuliers à ce répertoire. Bilan des courses, les moteurs de recherche indexent le contenu du répertoire… Or un jour, un journaliste financier qui tape " Leserveur comptes mensuels " dans Google, tombe sur le contenu du répertoire… Il décide décrire un article car les comptes n’ont rien à voir avec ce que prétend la direction de Leserveur ". Que fait-on ? On accuse le journaliste d’accès frauduleux ? On attaque le script d’archivage de Google pour accès frauduleux ? On égorge l’administrateur ?

Moralité, le texte est flou et ne résiste pas à une analyse technique ou simplement logique. Peut-être est-il temps de réviser la loi ?

Kitetoa