http://www.paranos.com/internet/tati.html


Par Capitaine Kidd - 03 mars 2002



Et oui. M. Kitetoa vient de se faire condamner à 1.000 euros 
d'amende dans le 
cadre de l'affaire qui l'oppose à Tati. On ne va pas vous 
redétailler la 
procédure qui est décrite en détail sur leur site. 
Grossièrement, Kitetoa a 
réussi, grâce à un bug Netscape Publisher très connu, à 
accéder à une base de 
données de clients qui n'avait rien à faire là. Suite à un 
article de Newbiz, 
Tati contre-attaque et assigne le propriétaire du site en 
justice.

Apportons notre pierre à l'analyse de ce jugement et de ses 
incohérences.

Le procureur et tous les médias ont repris la désormais 
fameuse "image" de la 
porte ouverte devant laquelle on passe (il existe une 
variante avec la fenêtre). 




Y jetter un oeil, sans rentrer, et encore moins voler/casser 
ce qui est à 
l'intérieur n'est pas en soi répréhensible. Le tribunal a 
cependant rendu un 
jugement pardoxal : l'infraction n'est pas constituée selon 
le Procureur et la 
société Tati a été déboutée de toutes ses demandes, mais 
Kitetoa est tout de 
même condamné à payer 1.000 euros ! Ceci illustre bien la 
difficulté qu'a eu le 
Tribunal à trancher dans une affaire où l'intrusion est loin 
d'être avérée.

Voici quelques situations supplémentaires auxquelles la 
justice aurait pu être 
confrontée.

Supposons un instant que ce ne soit pas Kitetoa qui ait 
téléchargé la base de 
données : elle lui a été envoyée par un internaute 
"anonyme". Serait-il alors 
considéré comme complice ? Où est l'élément intentionnel ?? 
Le rapport de police 




dit cependant que l'"on peut retenir à [l']encontre [du 
journaliste de Newbiz] 
ainsi qu'à celle de son journal, le recel de vol de base de 
données". Bref, ce 
que font Le Monde ou le Canard tous les jours ou presque, 
sans être inquiétés.

Autre situation possible : un internaute lui envoie un mail 
avec un lien 
http://www.tati.fr/tati.mdb, sur lequel il clique. On lui 
demande si il veut 
ouvrir ou télécharger le fichier. Et hop, ça donne ça donne 
ça (image envoyée 
par un internaute attentif). Il n'est même pas au courant 
d'une éventuelle 
faille sur le site Tati, il voit juste une base de données 
accessible à tous. De 




quoi est-il alors coupable ? d'excès de naïveté ? tous les 
jours des milliers 
d'internautes cliquent sur des liens sans savoir ce qu'il y 
a réellement 
derrière.

Autre cas, plus que probable, un concurrent de Tati "aspire" 
l'intégralité du 
site afin de "benchmarker" comme ils disent chez les 
consultants. Et là, une 
surprise les attend : une belle liste de clients, avec 
coordonnées et pleins 
d'infos, pour rien ! Pas besoin de se casser à faire de 
belles études 
qualitatives et quantitatives qui coûtent cher, tout est là 
(même pour 1.000 
euros, ça reste bon marché ;-).

Mieux encore, si cette histoire avait eu lieu plus 
récemment, le célèbre moteur 
de recherche Google aurait surement référencé cette base de 
données !! Imaginez 
la surprise de l'internaute souhaitant vérifier si sa page 
perso a bien été 
référencée et qui tombe sur sa dernière commande de lingerie 
fine pour sa copine 

!

Bref, tout n'est pas si simple et en suivant certains 
raisonnements on arrive 
vite à la conclusion que tout internaute - curieux ou non - 
est un pirate 
potentiel pour la justice...

Dernier élément, non négligeable : une fois cette base de 
données téléchargée 
par inadvertance (cf. exemples supra), imaginons qu'une 
personne reconnaisse son 


nom et ses coordonnées. Hop. On inverse les rôles : Tati se 
retrouve sur le banc


des accusés pour ne pas avoir su protéger les données 
personnelles de ses 
clients, conformément à la loi de 1978 (aussi disponible sur 
le site de la 
CNIL). Libre à elle de se retourner ou non contre son 
prestataire de service par 

la suite.



www.paranos.com - Tous droits réservés






http://citadelle.intrinsec.com/news=7642


Affaire Kitetoa contre Tati : le parquet général plaide la 
relaxe Posté par  
lbt, le 15/10/2002 à 11:23:47 ( Réagir |   Imprimer     
Envoyer par mail )

Dans l'affaire Kitetoa contre Tati, dans laquelle un 
journaliste a été condamné 
en première instance suite à la découverte d'une base de 
données non protégée, 
le parquet général de la cour d'appel de Paris a plaidé la 
relaxe.

L'avocat général Etienne Madranges a en effet souligné que 
découvrir une faille 
de sécurité ne peut pas être assimilé à un acte de piratage 
informatique.

Selon lui, "Il semble inenvisageable d'instaurer une 
jurisprudence répressive 
dont il résulterait une véritable insécurité permanente, 
juridique et
judiciaire, pour les internautes, certes avisés, mais de 
bonne foi, qui
découvrent les failles de systèmes informatiques 
manifestement non sécurisés.".





http://news.zdnet.fr/story/0,,t118-s2123657,00.html

INTERNET
Affaire Kitetoa: le parquet général défend une jurisprudence 
favorable aux 
internautes

Par Jerome Thorel
ZDNet France
11 octobre 2002

L'affaire Kitetoa contre Tati SA passait devant la cour 
d'appel de Paris le 25 
septembre. Condamné en première instance pour une intrusion 
imaginaire, le 
webmaster du site a été défendu avec vigueur par le 
ministère public. Verdict le 


30 novembre.

«Il semble inenvisageable d'instaurer une jurisprudence 
répressive dont il 
résulterait une véritable insécurité permanente, juridique 
et judiciaire, pour 
les internautes, certes avisés, mais de bonne foi, qui 
découvrent les failles de 


systèmes informatiques manifestement non sécurisés.»

C'est par cette limpide explication que le parquet général 
de la cour d'appel de 


Paris, représenté par l'avocat général Etienne Madranges, a 
souligné pourquoi il 


fallait relaxer le journaliste qui administre le site 
internet Kitetoa.com. Ce 
dernier a été condamné le 13 février 2002 pour un «accès 
frauduleux» dans la 
vitrine web du vendeur de prêt-à-porter Tati, laissant 
apparaître des données 
privées non protégées de 4000 personnes. Pour le parquet 
général, conscient 
qu'une jurisprudence instable pourrait s'instaurer, 
découvrir une faille de 
sécurité et la prouver par la suite ne doit pas être 
assimilé à un acte de 
piratage informatique. D'où les «réquisitions aux fins de 
relaxe» du substitut. 
(Lire l'intégralité des réquisitions.)

Le webmaster de Kitetoa a en effet été condamné par le 
tribunal de grande 
instance de Paris «au bénéfice du doute» écrit l'avocat 
général, puisque le juge 


a limité la peine à 1000 euros d'amende, alors qu'il 
risquait jusqu'à un an 
ferme. Il n'en reste pas moins que le délit est constitué 
(«accès et maintien 
frauduleux») et qu'il fait donc jurisprudence. Après de 
mûres réflexions, le 
parquet général de Paris, qui dispose de deux mois pour 
faire appel, a déposé 
son recours le 3 avril dernier.

Dans le rapport de police qui a servi de base à la 
condamnation, le webmaster 
était taxé de «pirate» et accusé de «vol de bases de 
données», alors que la 
faille du site internet Tati.fr ne nécessitait aucune 
manipulation autre que 
celle de cliquer avec son navigateur. Dans ses réquisitions, 
l'avocat général 
Madranges y revient allègrement en insistant: «En l'espèce, 
il apparaît 
clairement que le journaliste n'a utilisé aucune méthode de 
piratage. Il n'a pas 


cherché à "craquer" (...). Il n'est même pas établi qu'il 
ait cherché à tricher, 


à utiliser de façon abusive des fonctionnalités d'un 
logiciel en vente libre. Il 


a utilisé les fonctionnalités d'origine du logiciel 
Netscape, qui est, avec 
Microsoft Internet Explorer, l'un des deux grands logiciels 
de navigation sur 
internet, se contentant de cliquer sur les icônes 
apparaissant sur son écran. 
Une telle manipulation est accessible à tout internaute 
averti, non ingénieur, 
non technicien, non spécialisé, mais qui sait lire un mode 
d'emploi. Le 
caractère frauduleux de cette manipulation n'est pas établi 
par la procédure.»

Nécessité de redéfinir l'infraction d'une base de données?

Et de poursuivre: «Il s'agit en définitive de décider si 
l'accès par des moyens 
légaux au contenu d'un système dont on n'est ni le créateur, 
ni le détenteur ni 
l'exploitant, dans un but de curiosité, ou dans le souci 
d'en tester la 
fiabilité, surtout quand on est journaliste d'investigation, 
est punissable par 
la seule conscience que l'on a d'y être parvenu sans 
piratage, volontairement ou 


involontairement.»

Le parquet général n'a pas manqué de souligner aussi ce qui 
ne nous avait pas 
échappé: la société Tati s'est montrée très négligeante sur 
la protection des 
données privées placées sous sa responsabilité, via son 
prestataire technique, 
une filiale du géant de la publicité Ogilvy. Jusqu'à cinq 
ans d'emprisonnement 
et 300000 euros d'amende: c'est ce que prévoit le code pénal 
si l'on ne protège 
pas ses bases de données cachant des données nominatives. 
«Cette infraction», 
poursuit le substitut général dans ses réquisitions, est 
«plus grave que celle 
reprochée au prévenu». Il s'agit clairement d'une «carence 
de la société Tati».

Lors de l'audience, l'avocate de Tati, Me Grabli, citée dans 
un article de 
l'hebdomadaire Lesechos.net, a reconnu que le journaliste 
avait fait «un travail 


de service public (sic) en permettant à 4000 clients de 
protéger leur vie 
privée». Mais elle a plaidé «l'interdiction pour tout 
internaute, et quel qu'en 
soit le mobile, d'entrer et de séjourner dans un système 
sans autorisation». 
Quant au président du tribunal, il s'est interrogé: 
«N'a-t-on pas le devoir de 
cesser de se connecter dès lors que l'on a connaissance du 
contenu des données? 
Poursuivre la connexion ne revient-il pas à se maintenir 
dans la base?»

Pour l'avocat général, la réponse est claire: «Lorsqu'une 
base de données est, 
par la faute de celui qui l'exploite, en accès libre (...), 
le seul fait d'en 
prendre connaissance (...) ne saurait constituer une 
infraction.» «Il en irait 
autrement si l'internaute "testeur" forçait un passage, 
réalisait un accès (...) 


par une manipulation de piratage nécessairement volontaire, 
intentionnelle, 
frauduleuse.»

Verdict de la cour d'appel le 30 novembre




Affaire Kitetoa: la cour d'appel déboute Tati

Par Jerome Thorel
ZDNet France
4 novembre 2002
Cliquez ici
La cour d'appel de Paris a suivi les réquisitions du parquet 
général, qui 
demandait la relaxe du webmaster du site Kitetoa. Il était 
poursuivi pour avoir 
révélé une faille dans la base de données clients du célèbre 
distributeur Tati.

Rendant sa décision avec un mois d'avance sur la date 
prévue, la cour d'appel de 



Paris a prononcé le 30 octobre la relaxe d'un journaliste, 
condamné en première 
instance à 1000 euros d'amende pour avoir fait son devoir 
d'information.

Cette affaire, qui mettait aux prises l'animateur du site 
Kitetoa.com et la 
chaîne de distribution Tati, s'est donc conclue conformément 
aux réquisitions du 



parquet général, qui s'était rangé du côté du prévenu - un 
fait plutôt rarissime 



pour le représentant du ministère public (lire notre 
actualité du 11/10/2002).

Tati reprochait au webmaster de Kitetoa (qui traque les 
sites à sécurité 
limitée) d'avoir publié plusieurs articles courant 2000 sur 
une faille de 
sécurité du site internet de Tati. Site administré par un 
prestataire extérieur, 



en l'occurence Ogilvy Interactive, filiale du géant mondial 
de la publicité. 
Cette faille, dont le journaliste avait pris le soin d'en 
informer les sociétés 
concernées avant ses lecteurs, laissait une porte ouverte 
dans la base de 
données des utilisateurs de Tati.fr.

Tati, débouté, n'est pas à l'abri de poursuites pénales

L'avocat général Étiennes Madrange (substitut du procureur 
général de Paris 
Jean-Louis Nadal) avait en effet insisté sur la dangereuse 
jurisprudence que 
faisait peser sur les internautes, le jugement mitigé 
prononcé en première 
instance par le tribunal de grande instance (TGI) de Paris. 
«Il semble
inenvisageable», avait plaidé l'avocat général, «d'instaurer 
une jurisprudence 
répressive dont il résulterait une véritable insécurité 
permanente, juridique et 



judiciaire, pour les internautes, certes avisés, mais de 
bonne foi, qui 
découvrent les failles de systèmes informatiques 
manifestement non sécurisés.»

En conséquence, Tati a été débouté de ses demandes de 
dommages et intérêts et sa 



plainte jugée non fondée. Par ailleurs, la société 
plaignante n'est pas à 
l'abri, de son côté, d'une plainte pénale pour 
"non-sécurisation de données 
nominatives", un délit prévu par la loi informatiques et 
libertés de 1978. 
Jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende: 
c'est ce que prévoit 



le code pénal si l'on ne protège pas ses bases de données 
nominatives. «Cette 
infraction», argumentait le substitut général dans ses 
réquisitions, est «plus 
grave que celle reprochée au prévenu». Il s'agit clairement 
d'une «carence de la 



société Tati», disait-il.

L'arrêt de la cour d'appel a été prononcé oralement mercredi 
dernier aux deux 
parties; les minutes du jugement n'ont pas encore été 
publiées.




Lambda

http://www.freenix.fr/netizen/800/802.html


Un délit d'information,
et pas un crime informatique!


>>Lien direct vers le dossier de Kitetoa>>

UPDATE OCT 2002

+ Lambda 8.07 (10 octobre 2002): devant la Cour d'appel, 
Kitetoa défendu -fait 
rarrissime- par le parquet général!
+ Réquisitions du parquet général aux fins de relaxe
(Cour d'appel de Paris, audience du 25/09/02)

UPDATE - VERDICT COUR D'APPEL du 30 octobre 2002: Kitetoa 
relaxé!!

 

Kitetoa.com, vous connaissez? Leur dada: repérer les trous 
de sécu qui menacent 
des données pesonnelles et tenter de fermer la porte... 
D'abord en avertissant 
le prestataire, ensuite en publiant. Antoine Champagne, qui 
possède le nom de 
domaine et par delà "responsable" de ce qui s'écrit sur 
Kitetoa.com, s'est fait 
condamné le 13 février 2002 pour "accès et maintien 
frauduleux dans un STAD" 
(=système de traitement automatisé de données).

Toute l'histoire est résumée ici, "vue" de l'intérieur (il y 
a même une 
retranscription du rapport de la PJ!! - extraits reproduits 
plus bas):
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml

UPDATE

+ Extraits des minutes du jugement et commentaires du lambda

+ 3/04/2002 le parquet fait appel (article de zdnet)

 
Cékoi l'histoire?

- Condamné mercredi 13 février à payer 1000 Euros d'amende 
avec un sursis (de 
cinq ans) par la 17e chambre du tribunal correctionnel de 
Paris. Cette affaire 
oppose Kitetoa à la chaîne de magasins Tati, épinglée en mai 
2000 pour avoir 
laissé en libre accès, à partir de son site Tati.fr, une 
base de données 
nominative de plus de 4000 internautes.

- Verdict étrangement partagé: condamné pour "accès et 
maintien frauduleux" sur 
un système informatique (article 323-1 du code pénal), 
Kitetoa obtient pourtant 
le bénéfice du doute (le code pénal précise que s'il y a 
"accès frauduleux", le 
tarif est d'un an de prison et 15000 Euros d'amende). Car 
Tati a été débouté de 
toutes ses demandes qui comprenaient la publication du 
jugement dans la presse 
et 1 euro symbolique de dommages et intérêts.

    * Olivier Iteanu, avocat du webmaster de Kitetoa: "On 
peut regretter que le 
juge n'ait pas été au bout de sa logique et relaxé purement 
et simplement mon 
client" (zdnet.fr).
    * L'avocate de Tati, Me Elizabeth Grabli: avec ce 
jugement "n'importe qui ne 
peut pas accéder frauduleusement à un système, sous quelque 
prétexte que ce 
soit" (lesEchos.net). Me Grabli, contacté par nos soins, 
refuse pour l'instant 
de s'exprimer à nouveau jusqu'à la publication du jugement 
(prévu entre avril et 
mai 2002).
* Antoine Champagne: "C'est à mon sens un jugement mi-figue, 
mi-raisin et, dans 
l'absolu, cela bloque nos actions futures" dit-il. "Un accès 
et un maintien 
frauduleux, pour tous ceux qui connaissent un minimum 
l'informatique, ça revient 
à casser un mot de passe pour y placer un cheval de 
Troie..." Il a finalement 
décidé de ne pas faire appel de ce jugement, malgré le 
risque de jurisprudence. 
Mais en appel, la "retenue" du juge d'instance n'aurait eu 
que peu de chances 
d'être "retenue": si accès frauduleux, prison ferme...

Résumé des épisodes précédents

    * Juin 1999. Antoine Champagne remarque que la vitrine 
commerciale Tati.fr 
n'est pas suffisamment protégée. Plus précisément, grâce à 
un simple navigateur, 
il est possible d'afficher toute l'arborescence du site et 
d'accéder librement à 
une collection de fichiers. La manipulation est simple et 
s'effectue donc sans 
forcer la moindre porte.
    * Fin juin. Champagne envoie alors un email à 
l'hébergeur de Tati (une 
filiale du groupe Ogilvy); il ne recevra aucune réponse: 
premier article de 
Kitetoa.
    * Printemps 2000. Un an après: le site n'est toujours 
pas protégé. Cette 
fois, sa "base client", c'est-à-dire la liste des données 
laissées par les 
internautes visitant le site, est même en libre accès. 
Nouvel e-mail d'alerte 
d'Antoine Champagne au responsable de Tati.fr: 
l'administrateur en tient compte, 
remercie même son interlocuteur et corrige le problème: 
deuxième article de 
Kitetoa (15 mai 2000), dans lequel l'équipe publie des 
éléments de preuve. Il 
s'agit de captures d'écran, sans aucune mention permettant à 
un vrai pirate de 
les exploiter.
    * Quelques mois plus tard, le mensuel Newbiz popularise 
ces péripéties et 
publie une enquête en se basant sur la faille découverte par 
Kitetoa (article de 
novembre 2000). Apparemment vexé, le P-DG de Tati Fabien 
Ouaki dépose alors 
plainte contre X en janvier 2001. Le parquet ouvrira une 
information judiciaire, 
sur la base de la loi Godfrain de 1991 sur les intrusions 
informatiques. 
L'accusation semble persuadée que la base a été dérobée par 
Kitetoa pour qu'elle 
puisse être ainsi exibée. Alors qu'encore une fois, rien n'a 
été forcé...
* Six mois après Champagne est convoqué à la BEFTI (branche 
parisienne des 
cyberflics de la PJ).

 

Champagne publie le compte-rendu d'enquête intégral (daté du 
9 avril 2002), 
reproduit ici + commentaires plus bas:

Le capitaine de police Nathalie F. en fonction à la BEFTI

à Madame Cachaner, substitut auprès de la section F1 du 
Tribunal de Grande 
Instance de Paris, S/C. de la voie hiérarchique.

OBJET: Transmission d'une procédure comprenant cinquante 
neuf feuillets et 
quatre cotes, diligentées pour accès et maintien frauduleux 
à un S.T.A.D., vol 
de base de données, recel de vol de base de données. (...)

L'ENQUETE:

L'analyse des cotes permettait d'une part de déterminer que 
le journaliste, 
Stéphane Barge, n'était pas l'auteur de l'accès frauduleux 
au STAD, ce dernier 
désignant clairement le site KITETOA. Par ailleurs, la date 
du piratage pouvait 
être précisé dans la mesure où le site KITETOA, dans un de 
ses articles, se 
vantait d'avoir prévenu les administrateurs du site TATI de 
leur carence en 
matière de sécurité fin juin 1999. Enfin, il apparaissait 
que le fichier 
récupéré (Exprimez-vous.mdb) n'avait pu l'être que le 17 
juin 1999.

Entendu au service, M. BARGE, Stéphane, journaliste de 
NEWBIZ, mettait en cause 
la sécurisation du STAD de TATI, trouvant légitime pour 
l'information, de 
s'introduire sur un STAD, d'y consulter une base de données 
et de la récupérer. 
Il refusait, pour le dernier point de considérer cela comme 
du vol, trouvant que 
KITETOA faisait de la prévention. (...) Ayant récupéré pour 
son article partie 
de la base de données volée, on peut retenir à son encontre 
ainsi qu'à celle de 
son journal, le recel de vol de base de données.

Entendu à son tour, par le service, Antoine CHAMPAGNE, 
animateur du site 
KITETOA, expliquait que son site avait vocation 
d'information. Concernant le 
STAD de TATI, il expliquait que grâce à des fonctions 
présentes sur les 
navigateurs NETSCAPE, il avait pu afficher le contenu du 
serveur TATI, puis à 
travers des liens HTML, consulter le fichier en &laqno; .mdb 
» de clients 
internautes de TATI et le récupérer. Il expliquait en fait 
s'être rendu à 
plusieurs reprises sur le STAD de TATI, une première fois en 
1999, une autre en 
2000 pour vérifier si la faille de sécurité existait 
toujours et une dernière 
fois récemment. Il concluait qu'il existait toujours des 
failles de sécurité, 
mais que celle qui lui avait permis de récupérer le fichier 
en cause avait été 
comblée. Il expliquait avoir récupéré ledit fichier pour 
apporter la preuve de 
sa démonstration, et n'en avoir fait aucun autre usage. On 
pouvait retenir à son 
encontre l'accès et le maintien frauduleux à un STAD ainsi 
que le vol de base de 
données.

Entendu à son tour au service, M. Jean WEISS, directeur de 
la publication de 
NEWBIZ, responsable pénal, déclarait n'avoir rien su de cet 
article jusqu'à 
parution. Il insistait sur le fait que ce n'était pas son 
journaliste qui avait 
commis l'accès, le maintien frauduleux et le vol de base de 
données et terminait 
son audition en avançant que le journaliste a le droit 
d'investiguer et que dans 
le cas présent, M. BARGE avait fait son travail 
d'investigation.

EN CONCLUSION, il apparaît qu'Antoine CHAMPAGNE est l'auteur 
de plusieurs accès 
et maintiens frauduleux sur le STAD de TATI SA ainsi que du 
vol d'une base de 
données. M. Stéphane Barge, journaliste, et M. Jean WEISS, 
directeur de la 
publication, ont, d'après leurs dire, fait leur travail 
d'information, cette 
dernière semblant avoir tous les droits d'après leurs 
auditions. Il n'en ressort 
pas moins qu'ils sont susceptibles d'être poursuivis pour 
recel de vol d'une 
base de données.

Réponse d'Antoine Champagne:

Le capitaine de police F. est assermentée. Impossible donc 
de s'attaquer au 
contenu de son rapport. C'est une des merveilles du système. 
La parole d'une 
personne assermentée vaut plus que celle d'un simple 
citoyen. Cela ne nous 
empêche pas de relever ici un ou deux points...

    * Dans le 1er paragraphe de la partie "L'ENQUETE", le 
capitaine indique: 
"Enfin, il apparaissait que le fichier récupéré 
(Exprimez-vous.mdb) n'avait pu 
l'être que le 17 juin 1999". Manque de chance, nous n'avons 
pas récupéré le 
fichier à cette date, mais en 2000. Le point de départ de 
son enquête démarre 
sur une inexactitude. Elle parle de "piratage" ("la date du 
piratage") et 
insinue ainsi qu'il n'y a aucun doute sur l'aspect 
frauduleux de notre accès au 
site Web de Tati. A peine orientée comme enquête...
    * Dans le paragraphe suivant, le capitaine de police 
indique de Stéphane 
Barge a "récupéré pour son article partie de la base de 
données volée". 
Premièrement, où est-il prouvé que cette base de données a 
été volée? Nulle 
part. Pour voler un fichier informatique via un clic de 
navigateur, il faut être 
le diable. Ou alors... un simple internaute. A chaque clic, 
nous somme tous des 
voleurs de fichiers. Html ou autres. Ensuite, détail qui a 
son importance, 
Stéphane Barge n'a jamais récupéré une partie de la base de 
données, mais une 
copie d'écran représentant quelques lignes floutées de cette 
base. Il l'avait 
trouvée sur le site Kitetoa.com où elle illustrait l'article 
(1).
* A deux reprises, le capitaine de police souligne et met en 
gras des phrases 
dans lesquelles elle laisse transparaître un agacement face 
aux journalistes qui 
font leur métier: enquêter. (...) En ce qui nous concerne, 
nous aurions bien 
entendu pu ne pas utiliser notre navigateur, mais plutôt 
appeler le service de 
presse de Tati pour lui demander si les données des 
utilisateurs du site Web 
étaient bien protégées. Nous aurions probablement eu une 
réponse pas tout à fait 
conforme à la réalité. (...)

(1) Bref, le journaliste, pour sa propre démonstration, est 
obligé d'avoir lui 
aussi opéré de la même manière: afficher la base de données 
(et donc la 
télécharger, dans le cache ou directement) en cliquant sur 
le lien offert dans 
l'arborescence. Il ne devait donc pas être poursuivi pour 
"recel" mais également 
de "vol" et donc d'accès frauduleux...
Tati s'est trompé de cible, et son patron risque encore 5 
ans de taule

Inquiétant de condamner l'acte tout en le minimisant: voilà 
un juge qui condamne 
l'acte (montrer le contenu d'une porte mal verrouillée), 
sans quoi il aurait été 
impossible d'affirmer que les accès étaient mal protégés.

La démarche de Kitetoa n'est pas du tout étrangère à celle 
d'une personne, 
journaliste d'investigation ou auteur, qui doit avancer les 
preuves de ce qu'il 
avance. Les juges ont déjà inventé le délit de "recel de 
documents 
confidentiels», lorsque le Canard Enchaîné avait été 
condamné pour avoir publié 
les preuves de ses affirmations sur le salaire de Jacques 
Calvet, à l'époque 
patron de PSA (jugement cassé par la suite par la Cour 
européenne des droits de 
l'homme - retrouvez le jugement du 21/01/1999).

Pourtant, la loi de 1978 sur l'informatique, les fichiers et 
les libertés 
(article 29 - repris dans l'article 226-17 du code pénal) 
impose aux détenteurs 
de telles données de les protéger. À quel point? C'est très 
clair: "Le fait de 
procéder ou de faire procéder à un traitement automatisé 
d'informations 
nominatives, sans prendre toutes les précautions utiles pour 
préserver la 
sécurité de ces informations et, notamment, empêcher 
qu'elles ne soient 
déformées, endommagées ou communiquées à des tiers non 
autorisés, est puni de 
cinq ans d'emprisonnement et de 2 millions de francs 
d'amende."

Le P-DG de Tati, Fabien Ouaki, comme son avocate, n'ont pas 
voulu se prononcer 
sur ce point. Il faudrait, certes, qu'une personne présente 
dans la base de 
données se retourne contre Tati pour que ce volet de 
l'affaire soit éclairci. En 
attendant, Tati pourrait bien sûr se retourner contre son 
hébergeur, à l'époque 
une filiale du groupe Ogilvy, pour avoir failli à sa 
mission. Et ben non, Ogilvy 
Interactive est même encore son prestataire. La niou économy 
est un monde si 
étrange...

 

Le dossier complet de Kitetoa.com - partial, évidemment, 
mais c'est pour cela 
que le lambda insiste lourdement:
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml

 
Avis aux hackers autistes

Lambda 8.02 bis - 31/03/2002. -- COMMUNIQUE ORALEMENT aux 
parties le 13 février, 
le jugement de l'affaire Kitetoa / Tati a été publié sous 
forme écrite la 
dernière semaine du mois de mars. Etonnant: la personne 
condamnée n'a pas été 
informée en premier lieu, puisque c'est le Forum des droits 
sur l'internet (FDI, 
un conseil d'arbitrage ) qui est parvenu à obtenir copie des 
minutes avant 
qu'Antoine Champagne ne les reçoive.

D'abord, une précision: la condamnation ne se base pas 
uniquement sur la loi 
Godfrain de 1988 qui encadre les "accès et maintien 
frauduleux" dans un système 
automatisé de données ou STAD (articles 323-1 à 323-5 du 
Code Pénal - nouveau 
code de 1992).

Le webmaster de KITETOA est tombé AUSSI pour avoir accédé à 
une base de données 
personnelles EN LE SACHANT PERTINEMMENT puisque c'est prévu 
dans la loi 
informatique et libertés (LIL) de 1978... Et que KITETOA a 
la fâcheuse habitude 
de rappeler aux sociétés/prestataires pris la main dans le 
sac d'un défaut de 
sécurité de ne pas respecter la LIL et son article 29: "La 
Loi de 78 punit ceux 
qui ne prennent pas toutes les mesures pour protéger les 
bases de données qu'ils 
constituent...", rappelle Kitetoa à qui veut le lire.

BREF,

AVIS aux hackers autistes ou autres surfeurs inconscients: 
la prochaine fois, 
outre le bâillon sur la bouche, un bon petit lavage de 
cerveau et de belles 
ornières en cuir devraient faire l'affaire pour que le 
prévenu bénéficie de 
circonstances atténuantes... Et soit relaxé, comme l'avait 
demandé le substitut 
du procureur Michel FREZOULS.
 
EXTRAITS DES MINUTES

Greffe du TGI Paris, 13ème Chambre, audiences des 23 janvier 
et 13 février 2002 
. Verdict de 5 pages signé du vice-président Noël MINICONI:

1) Description des méthodes employées par le "pirate" A. C.:

    * "Attendu que le prévenu a déclaré qu'une fonction du 
navigateur NETSCAPE 
permettait d'afficher dans le navigateur l'ensemble du 
contenu du serveur TATI; 
(...) il choisissait les fonctions "communicator," puis 
"outils du serveur", 
puis "service de la page", fonctionnalités présentes sur 
tous les navigateurs 
NETSCAPE;
* que dans "services de la page", l'ensemble du contenu du 
serveur s'affichait 
sous forme d'arborescence; qu'en consultant les liens HTML, 
il avait trouvé 
notamment le listing de clients apparaissant dans le journal 
"NEWBIZ", fichier 
de type ".mdb"dans lequel la société TATI enregistrait le 
résultat de 
questionnaires posés aux internautes, dans lequel 
apparaissaient les noms, 
adresses et autres données personnelles des visiteurs du 
site ayant bien voulu 
répondre à des questions personnelles, fichier qui 
comportait selon lui environ 
4000 entrées;"

2) Le juge rappelle ensuite que le prévenu n'a pas employé 
d'autres méthodes 
pour accéder à la base de données - base "volée" selon le 
rapport de police de 
la BEFTI... (Le lambda a rajouté des alinéas pour plus de 
lisibilité):

    * "Attendu qu'aucun élément de la procédure ne démontre 
que le prévenu ait 
fait usage pour avoir accès au fichier clients ci-dessus 
d'autres manipulations 
que celles qu'il a décrites;
    * que la société TATI ne démontre pas que le fichier 
litigieux ait été 
protégé par des codes ou clés d'accès que le prévenu se 
serait trouvé dans la 
nécessité de forcer pour accéder audit fichier;
* qu'il résulte au contraire de messages e.mail produits par 
le prévenu et 
adressés par celui-ci à la société OGILVY INTERACTIVE, 
hébergeur du site TATI et 
signalant à celle-ci des failles dans le système de 
protection de données que 
cette société ne disconvient pas de l'existence de ces 
failles; (...)"

3) S'en suit alors un court mais très sérieux réquisitoire 
contre... Tati SA! 
Concernant la responsabilité pénale de Tati quant à la 
non-protection des 
données personnelles de la base de donnée "volée".

* "Attendu que l'article 226-17 du Code Pénal [loi LIL] 
réprime le fait de 
procéder ou de faire procéder à un traitement automatisé 
d'informations 
nominatives sans prendre toutes les précautions utiles pour 
préserver la 
sécurité de ces informations et notamment d'empêcher 
qu'elles ne soient 
communiquées à des tiers non autorisés;"

4) Le juge poursuit en invoquant la loi de 1978 pour 
enfoncer le prévenu, "qui 
fait d'ailleurs état dans ses déclarations de la loi qui 
fait obligation aux 
sociétés de protéger les données nominatives collectées" 
(SIC!):

    * "que si cette obligation incombant à la société TATI 
n'apparaît pas avoir 
été respectée en l'espèce, ce non respect ne constitue en 
aucun cas une excuse 
ou un prétexte pour le prévenu d'accéder de manière 
consciente et délibérée à 
des données dont la non protection pouvait être constitutive 
d'une infraction 
pénale;
* qu'en accédant à plusieurs reprises au fichier litigieux 
et en le 
téléchargeant, le prévenu, qui fait d'ailleurs état dans ses 
déclarations de la 
loi qui fait obligation aux sociétés de protéger les données 
nominatives 
collectées, avait nécessairement conscience que son accès et 
son maintien dans 
le site de la société TATI étaient frauduleux; qu'il y a 
lieu en conséquence 
d'entrer en voie de condamnation à son encontre; (...)"

5) Enfin, statuant sur la demande de TATI de voir le 
jugement publié dans la 
presse et d'obtenir 1 euro de D&I, le juge en rajoute une 
louche sur la 
responsabilité de la société (extrait non publié sur le site 
du FDI):

* "Attendu sur la constitution de partie civile de la 
société TATI que celle-ci 
ne saurait se prévaloir de ses propres carences et 
négligences pour arguer d'un 
prétendu préjudice en réalité subi par les personnes 
victimes éventuelles de 
violations de leur vie privée; qu'il y a lieu en conséquence 
de débouter cette 
société de ses demandes;"

6) Le verdict en 3 lignes:

    * Déclare Antoine Champagne COUPABLE pour les faits 
qualifiés de:
* ACCES FRAUDULEUX DANS UN SYSTEME DE TRAITEMENT AUTOMATISE 
DE DONNEES, faits 
commis du 1er novembre 1997 au 302 novembre 2000, à Paris 
sur le territoire 
national."

RAPPELONS que pour que la société TATI puisse être jugée à 
son tour pour 
non-respect de l'article 226-17 du code pénal (5 ans de 
prison et 300.000 euros 
d'amende), il faudrait qu'une personne présente dans la base 
se retourne contre 
Tati...

AVIS aux amateurs: Maître Olivier ITEANU (avocat d'Antoine 
Champagne), 166, rue 
du Faubourg, Saint-Honoré 75008 PARIS. 
http://www.iteanu.com/

 

+ Jugement du 13/02/2002 (PDF): 
http://www.foruminternet.org/telechargement/documents/tgi-par20020213.pdf

 
Accès frauduleux dans un STAD: l'autre jurisprudence

Antoine Champagne n'a pas manqué de rappeler dans son propre 
dossier consacré à 
l'affaire de rappeler un jugement de février 2000 qui 
éclaire d'un jour nouveau 
sa mésaventure: affaire "Casper" contre Ministère public 
(2/02/2000, 25ème 
Chambre, TGI Paris).

Extraits d'une note juridique de Infojuris.com sur, 
"Répression de 
l'appropriation frauduleuse de l'information électronique 
commise par des 
personnes physiques".

"L'application de l'article 323-1 du code pénal ("accès et 
maintien frauduleux à 
un système de traitement automatisé de données") a fait 
l'objet d'une évolution 
depuis 1988. (...)

La compréhension progressive de la loi Godfrain-Badinter par 
le prétoire a fait 
évoluer la répression du délit de piratage d'une conception 
de responsabilité 
objective au départ à la recherche préalable de l'intention 
délictuelle ensuite, 
à la preuve émanant du plaignant de ce qu'il a entendu se 
prémunir des 
intrusions informatiques enfin. (...)

L'affaire Ministère public c/ Vandoorselaere constitue une 
excellente 
illustration de l'adaptation du prétoire aux réalités de la 
vulnérabilité des 
systèmes d'information et des réseaux : Yoann 
Vandoorselaere, en effet, 
reconnaissait avoir accédé et s'être maintenu à l'âge de 
quinze ans sur le 
réseau de l'agence de renseignement de l'US Air Force 
(www.aia.mil)

Le prévenu n'est jamais revenu sur ses aveux et la défense a 
obtenu sa relaxe en 
établissant que l'adolescent avait accédé à ce système d' 
information sans 
recourir au moindre logiciel ni utiliser le code d'accès 
d'un tiers.

Par décision en date du 2 février 2000 la 25è chambre du 
tribunal pour enfant, 
le tribunal de grande instance de Paris, prononce la relaxe 
du pirate en 
admettant que "les prévenus se sont bien connectés sur le 
réseau de l'US air 
force, mais que celui-ci, dépourvu de données 
confidentielles, était accessible 
sans recourir à un procédé frauduleux.

Il s'ensuit qu'il n'existe point de logiciels 
intrinsèquement dangereux et qu'il 
appartient au plaignant de rapporter la preuve de ce qu'il 
entendait protéger 
son réseau de l'accès des tiers. L'on retiendra ainsi que la 
fournisseur d'un 
contenu accessible sur le réseau internet doit rapporter la 
preuve qu'il a mis 
en oeuvre toutes mesures pour se prémunir d'accès frauduleux 
pour invoquer les 
disposition des articles 323 du code pénal français (idem 
code pénal Suisse)."

Autre commentaire de cette affaire sur Infojuris:

"... il ressortait de l'examen du disque dur du prévenu une 
quinzaine de 
logiciels renifleurs, dont la défense à démontré qu'ils 
étaient utilisés à des 
fins d'administration de réseaux.

Or, le tribunal n'est point entré en voie de condamnation et 
a donné acte à la 
défense de ce que rien n'interdisait au prévenu de posséder 
de tels logiciels, 
pourvu qu'il justifie d'une activité professionnelle ou de 
la poursuite d'études 
qui justifie de leur possession.

La notion de logiciel caractérisé de piratage doit être 
écartée car il n'en est 
point : tout comme aucune arme à feu n'est susceptible de 
caractériser 
l'homicide volontaire, aucun logiciel ne répute le caractère 
frauduleux d'un 
accès.

(...) L'assimilation de logiciels gratuits, libres de droit, 
à des logiciels de 
piratage revenait à pervertir l'intention libérale des 
auteurs de ce logiciel 
qui ont entendu mettre à la disposition du public le moins 
fortuné des outils 
destinés à assurer la confidentialité et l'intégrité des 
données partagées entre 
un réseau d'utilisateurs.

En réalité, les accès aux systèmes de traitement automatisés 
de donnés sont 
pratiqués sans recourir spécifiquement à des logiciels: ces 
accès exploitent - 
avec succès - des failles de sécurité."

 

NB: Infojuris est un site d'infos proche de David NATAF, du 
cabinet Jean-Pierre 
MILLET, qui défendait précisemment Yoann Vandoorselaere dans 
cette affaire.

Alors faisons là-aussi un peu de pub pour aider les victimes 
de la base de 
données de TATI SA: Cabinet Jean-Pierre Millet, 28, avenue 
Hoche 75008 Paris, 
avocats@club-internet.fr.






COURT-CIRCUITS

http://www.freenix.fr/netizen/800/807.html


Le parquet général soutient Kitetoa
UPDATE 30/10/02: Kitetoa relaxé! La cour d'appel a suivi les 
réquisitions du 
parquet général - minutes de l'arrêt encore en attente de 
publication

 

+ Lambda 8.02 (25 mars 2002): l'affaire Kitetoa vs Tati, un 
délit d'information 
- et pas un crime informatique!

+ La version intégrale du réquisitoire:
http://lambda.eu.org/800/kittatiprocgen.html

 
Cour d'appel de Paris, 13e chambre - audience du 25 
septembre 2002.

 

"Il est inenvisageable d'instaurer une jurisprudence 
répressive génératrice 
d'insécurité pour les internautes qui découvrent de bonne 
foi les failles de 
systèmes informatiques non sécurisés. (...) Tout internaute 
qui pénètre dans une 

base de données non sécurisée en utilisant un logiciel de 
navigation grand 
public, par curiosité ou pour en tester la fiabilité, n'agit 
pas 
frauduleusement. [Je demande ] la relaxe au nom du droit, de 
l'équité et du bon 
sens."

Substitut général Etienne Madranges.

 

"C'est la sécurité juridique des internautes qui naviguent 
sur le Net qui est en 

cause, mais aussi celle des sociétés victimes de 
malveillances informatiques. 
(...) [Je souhaite, à l'occasion de cette] petite affaire 
dont dépendent des 
enjeux sociaux et économiques importants, donner une 
définition claire du délit 
d'accès frauduleux dans un système automatisé de donnée."

Procureur général Jean-Louis Nadal

 

"Ce jugement responsabilise les personnes qui consultent, 
visitent ou testent la 

sécurité des services Internet, ce qui est d'autant plus 
aisé que l'espace 
Internet ne comporte pas de portes."

Me Itéanu, avocat du prévenu

 

Le journaliste a fait "un travail de service public en 
permettant à 4.000 
clients de protéger leur vie privée. [Mais je plaide pour] 
l'interdiction pour 
tout internaute et quel qu'en soit le mobile d'entrer et de 
séjourner dans un 
système sans autorisation".

L'avocate de Tati, Me Grabli

 

"N'a-t-on pas le devoir de cesser de se connecter dès lors 
que l'on a 
connaissance du contenu des données? Poursuivre la connexion 
ne revient-il pas à 

se maintenir dans la base ?"

Le président de la cour d'appel.
 
(Cour d'appel de Paris, 25 septembre 2002. Kitetoa.com v. 
Tati SA (Cf. Lambda 
8.02). Kitetoa condamné en 1ere instance a 1000 euros pour 
"acces et maintien 
frauduleux". Appel interjeté par le parquet aux fins de 
relaxe. )
Jugement prévu le 30 novembre - avancé au 30 octobre 2002 
avec l'acquitement du 
webmaster de Kitetoa, la plainte de Tati étant déclarée sans 
fondement.





http://www.echafaud.fr.fm


> Internet > Kitetoa
Ecrit par Turduc, le Jeudi 7 Novembre 2002 à 00:18.
Voici une petite interview réalisée par mes soins auprès du 
webmaster du site Kitetoa.com :

Comment t'es venu l'idée de créer Kitetoa ???

Je quittais le journal où je travaillais pour prendre un 
boulot où l'on ne me permettrait pas de publier mes avis 
librement. Un jour, je croise un SDF qui s'était fait une 
maison autour d'une agence Foncia. J'ai pris une photo et je 
l'ai publiée avec le commentaire qui figure encore 
aujourd'hui sur la page d'index de Kitetoa.com 
http://www.kitetoa.com/index2.shtml . Peu à peu, j'ai publié 
quelques opinions sur le commerce électronique, les moyens 
de paiement, etc. Puis des amis m'ont proposé des 
contributions. De fil en aiguille, Kitetoa.com est devenu un 
vrai site. Une auberge espagnole où plusieurs personnes 
publient des papier sur les événements qui les font réagir.

Quelle a été ta première motivation en créant ce site, et 
dans quel but ???

Aucune. C'était une photo qui me choquait et que je voulais 
publier quelque part.

Kitetoa, c'est tout de même, et tu ne peux pas le nier, une 
grande aventure... quelle a été la "péripétie" qui t'a le 
plus marqué ???

Je ne sais pas si c'est une grande aventure. Je suis sans 
doute trop partie prenante pour m'en rendre compte si tel 
est le cas. La péripétie qui m'a le plus marqué... Il y en a 
plusieurs. Par exemple, la Banque Directe qui a réussi à 
faire fermer un serveur hébergé chez Atros-Origin et qui 
diffusait sur le Web les logins et mots de passe de 10.000 
clients en 10 minutes. Rapide... Il y a aussi Suez-Lyonnaise 
des Eaux qui a fermé son site corporate pendant 3 jours pour 
faire un vrai audit après un papier que l'on avait publié. 
Mais il y a aussi tous ces papiers poignants publié par des 
amis sur le site comme « Petite Ombre » qui ont déclenché 
pas mal de retours intéressant. 
(http://www.kitetoa.com/Pages/Textes/Textes/Texte7/petite_ombre.shtml) La péripétie qui m'énerve le plus, c'est sans doute le procès pour piratage informatique que Tati a déclenché contre Kitetoa.com. C'est énervant d'être confronté à ce genre de chose quand on sait que l'on a jamais rien piraté. C'est techniquement parlant, une incongruité que de parler de piratage dans cette affaire.

As-tu rencontré des problèmes pour créér Kitetoa, ou pour 
trouver un hébergeur. Y a-t-il eu des entraves à ton projet 
???

Non. J'ai changé d'hébergeur plusieurs fois. Au début, on 
était sur Mygale. Puis, on a acheté le nom de domaine et on 
s'est hébergé chez Rapidsite France. Mais lorsque ce dernier 
a été racheté par France Télécom, je suis parti aux 
Etats-Unis où existaient des offres similaires. Mais le 
service client était déplorable. Je suis donc allé, sur le 
conseil d'une amie, en suisse, chez Infomaniak.ch. Ce sont 
des gens remarquables dans une profession où on trouve 
rarement le moindre intérêt pour le client. Une très grosse 
entreprise m'a délégué un jour deux jeunes gens pour 
m'expliquer qu'il était dangereux de faire ce que je 
faisais. Rien de précis, mais une drôle de démarche.

En créant ce site, assez libertaire, et contre courant, 
crois tu avoir contribué à quelque chose pour notre société, 
ou pour tout autre chose ??? (autre que la convoitise de 
certains dont nous tairons les noms...)

Je n'ai aucune prétention de ce genre. Nous avons choisi un 
pseudo commun. Cela veut dire que nous ne recherchons ni 
gloire ni argent (tout est gratuit et copywrong sur le 
site). Sinon, nous aurions chacun un pseudo et nous nous 
ferions mousser. Nous n'avons jamais fait de racolage sur le 
Web. Un peu au début dans des newsgroups ciblés. Nous 
publions des articles qui reflètent notre vision du monde. 
Si des gens pensent comme nous et qu'ils se fédèrent autour 
de Kitetoa.com, que nous créons des échanges entre ces 
personnes, je pense que c'est déjà très bien.

Pourquoi cette envie de rendre des infos assez importantes 
(exemple failles) à la portée de tous et gratuitement ???

Ce ne sont pas vraiment des failles. Il y a par exemple une 
différence entre dire: « je peux hacker un serveur qui est 
sujet à un buffer overflow exploitable de telle manière » et 
« ce serveur n'a pas été installé dans ce que les sociétés 
de services informatiques (SSII) appellent « les règles de 
l'art » et les données personnelles qui y sont stockées sont 
accessibles avec un browser ». Nous n'avons jamais expliqué 
comment nous faisions pour accéder à ces données. C'est très 
simple, ce sont des informations publiques, souvent depuis 
des années. Mais nous ne pensons pas utile de décrire le 
processus menant à ces données. L'essentiel n'est pas à nos 
yeux que les autres internautes y accèdent, mais plutôt que 
les les entreprises réagissent afin de les protéger. Bien 
entendu, comme ce sont généralement des sociétés qui se 
disent très pointues sur le plan technologique, elles sont 
un peu ridicules lorsqu'elles apparaissent dans l'un de nos 
articles. Si nous étions vraiment de vilains 
révolutionnaires, on ne dirait rien. On laisserait tout ça 
en l'état et on diffuserait toutes les données sur 
lesquelles nous tombons au détour de nos surfs sur Internet. 
Encore une fois, nous n'exploitons pas les failles. En 
clair, nous ne forçons jamais un serveur à nous livrer 
quelque chose contre sa volonté.


Comment vois tu ta place de webmaster sur le Net et dans la 
société en tant que telle ??? Te vois tu comme un messie, un 
penseur, un "ouvreur de z'yeux"... ???
:))
Je ne suis que l'interface visible de Kitetoa.com et sans 
les autres, le site ne serait pas ce qu'il est. De même, il 
ne serait pas ce qu'il est si des gens n'avaient pas accepté 
de me parler, de répondre à mes questions techniques 
triviales, de m'expliquer ce que je ne comprenais pas. Je 
n'ai donc aucun rôle de messie ou de penseur. Au contraire, 
nous passons notre temps à répéter que les gens sont assez 
grand pour penser par eux mêmes et se faire une opinion sans 
avoir à passer par des intermédiaires, qu'ils soient 
politiques, journalistiques ou autres... Je ne sais pas si 
nous sommes des ouvreurs de z'yeux. Disons que nous avons 
peut-être vulgarisé quelques trucs techniques qui démontrent 
combien les entreprises sont fortes pour raconter n'importe 
quoi quand ça les arrange.

Après tes déboires avec la justice, as tu toujours les mêmes 
motivations, ou ont elles changé ???

C'est un peu compliqué. Il y a un nombre intéressant de 
facteurs qui se sont récemment conjugués pour motiver une 
réflexion. Depuis un bon moment, plus personne ne veut 
entendre parler d'Internet. Des journaux refusent de publier 
des sujets sur ce thème. Comme pour conjurer leur 
enthousiasme ridicule (pour ne pas dire pire) de la période 
dite de la « nouvelle économie »? Dans ce contexte, les 
entreprises craignent moins qu'hier d'apparaître brocardées 
dans les pages de Kitetoa.com. Elles se disent que ça ne 
sortira pas des 50.000 lecteurs mensuels du site. Ce 
qu'elles ne savent peut-être pas, c'est que tout le secteur 
de l'informatique et de la banque et de l'industrie se donne 
rendez-vous ici... Cela transparaît clairement dans les 
emails des abonnés à la mailing-list permettant de se tenir 
au courant des nouveaux papiers sur Kitetoa.com. Elles sont 
toujours aussi ridicules, mais la presse classique s'y 
intéresse moins. Elles se sentent donc probablement moins 
poussées à améliorer la sécurité de leurs réseaux. Déjà 
qu'avant, tout le monde se foutait complètement de la 
sécurité informatique (ça ne rapporte rien et ça coûte de 
l'argent, allez donc vendre ça à un directeur général...), 
aujourd'hui c'est pire. Plus personne ou presque n'en parle. 
Dans le même temps, il y a eu le 11 septembre. Et la dérive 
sécuritaire (le versant répression) s'est appliquée au Net 
bien avant de se faire sentir dans la rue. La conservation 
des logs (lesquels???) pendant un an par les fournisseurs 
d'accès peut être considéré comme une prise de note par tous 
les concierges de France, les postiers, les agents de France 
Télécom et les patrons de cafés du commerce de tout ce qui 
est dit par tous les citoyens. Comme ça, au cas où ils 
commettraient des délits, on pourrait savoir comment ils les 
avaient préparés. Avec qui ils avaient parlé de ce projet au 
café du coin. S'ils avaient dit un jour « putain pour manger 
à la fin du mois, il ne me reste qu'à braquer une banque » 
en sirotant la première bière du matin à huit heures trente 
avant d'aller pointer. Et en plus ils boivent! Bientôt on 
fera des descentes de police chez des gens parce qu'ils ont 
dit dans un canal de l'IRC ou dans un mail privé « tous à la 
potence » en parlant de tel ou tel groupe de notre société. 
Le fait de penser à un crime sera enregistré sous forme 
numérique... Ca me rappelle un film tiens... Tout cela se 
conjugue au fait que, en plus du procès Tati (qui n'est pas 
fini, le Parquet ayant fait appel pour demander ma relaxe), 
il y a chaque jour plus de danger a affirmer sur un site 
comme le notre que le Roi est nu. Le Roi pourrait se fâcher 
et, c'est bien connu, quand le Roi se fâche, ça chie! Bref, 
il nous reste une solution qui consiste à ne rien dire et à 
surtout ne pas prévenir comme nous le faisions les 
entreprises de leurs problèmes de sécurité. Tant pis pour 
elles... Mais comme on a pas notre langue dans notre poche, 
il se peut quand même que l'on continue en restant... 
prudents.

Après ton expérience avec la justice, ta vision de cette 
dernière et de la société en général a-t-elle changé ???


Non. J'accepte volontiers les règles de vie en commun que se 
choisit notre société pour exister. En clair, même si je 
trouve une décision de justice me concernant absolument 
dénuée de sens, je m'y plie. Où alors, je m'en vais 
ailleurs, dans un endroit où les règles me conviendraient 
mieux. Cela n'empêche pas de trouver que la société actuelle 
n'est pas satisfaisante. Ca n'empêche pas d'être chaque jour 
un peu plus désespéré par la cécité d'une grande part de la 
population.

Tu étais journaliste chez Transfert, maintenant que fais tu 
et quels sont tes projets dans un avenir proche ???

Je suis en effet journaliste depuis de très nombreuses 
années. Je le reste. En attendant de trouver un travail au 
sein d'une rédaction, je collabore à quelques journaux de 
manière ponctuelle.

As tu un message particulier à faire passer en ce qui 
concerne l'actualité qu'elle soit nationale ou 
internationale, un mini coup de gueule en bref ???

C'est impossible, comment concentrer en quelques mots la 
détresse des gens au Moyen-Orient, des femmes dont les 
droits élémentaires sont bafoués partout, y compris chez 
nous, pour exprimer le délire qui consiste à laisser mourir 
des millions d'enfants par an alors que l'on a des vaccins 
et des médicaments pour les protéger (que font les 
gouvernements, le secteur privé et les institutions 
internationales? Pas assez en tout cas). Comment ne pas 
s'étendre sur l'inculture politique, sur la mauvaise foi de 
certains? Comment ne pas en dire des tonnes sur le besoin 
qu'ont les êtres humains de se détruire les uns les autres?

Ton petit mot de la fin : (attention juste un mot !!!)

Espoir.

Encore merci d'avoir daigné répondre à ce 
questionnaire-interview...

De rien.




http://www.datumlex.com/DTL-41.htm


[SEGURIDAD]

El webmaster de Kitetoa, grupo frances que mantiene una site 
sobre seguridad informatica, ha sido
sentenciado por un tribunal frances al pago de 1000 euros de 
multa.

Todo comenzo cuando gente de kitetoa usando tan solo el 
navegador Netscape pudo acceder a ficheros de clientes y
directorios de Tati (empresa de ropa al descuento, muy 
famosa en Francia); avisaron al webmaster de
Tati sobre el problema en cuestion, pero este ultimo no hizo 
absolutamente nada por solucionarlo. La situacion
se mantuvo por un periodo de, mas o menos, un año en la que 
los clientes de Tati estuvieron expuestos, con el
conocimiento de Tati. Finalmente kitetoa publico el agujero 
de seguridad en www.kitetoa.com, (actualmente
cerrada).

Lo cierto es que tras la publicacion nada ocurrio, fue tras 
la 'republicacion' del asunto en
Newbiz cuando los abogados de Tati se decidieron a 
denunciar, parece que mas preocupados por la publicidad que 
por el problema en
si mismo.

Finalmente el Juez que en su sentencia 'no puede 
indentificar exactamente la naturaleza del fraude'
multa a kitetoa con 1000 euros; observese que Newbiz no ha 
sido multada. La duda que surge de la lectura de
la sentencia es si se esta multando por publicar un problema 
real y existente o si se multa por haber descubierto el
problema, demostrandolo y sin dañar ni utilizar fichero 
alguno. Si se tratara de multar a la publicacion, entonces
¿por que no fue multada Newbiz? ¿demasiado poderosa?; si se 
trata de lo segundo, entonces cuando pasemos delante de una 
casa
con la puerta abierta ¿debemos avisar a su dueño del peligro 
de robo?. Sobre la negligencia de Tati para con sus clientes
nada se dice en la sentencia.

Asi pues, despues de meses discutiendo en grupos legales la 
procedencia o no de la llamada 'full disclosure', viene
un juez y cierra el asunto en Francia por la via penal y sin 
demasiada profundidad de analisis.
Me pregunto, si no va siendo hora de crear tribunales 
especializados en la red, con jueces que
realmente sepan sobre la materia que juzgan.

Mientras la cosa se aclara a nivel legal si se desea 
publicar agujeros de seguridad de manera explicita,
lo mejor sera intentar que la informacion no sea traceada,
publicar con pseudonimos, crearse identidades falsas pero 
persistentes, seguir publicando este tipo de
informacion en los grupos de noticias y...cruzar los dedos!.


Les Echos

http://216.239.51.100/search?q=cache:fRQjoNvQMQEC:www.lesechos.fr/secteurs/hightech/jjecn20020930/affaires_publiques/articleg/1064816.htm+Tati+Kitetoa&hl=en&ie=UTF-8

Affaires publiques
Les Echos du 30 septembre 2002  Page n° 14 
  

Faille de sécurité, un délit à tester avec modération

Après une condamnation, il y a six mois, pour avoir révélé 
une faille de sécurité sur le site de Tati.com, l'affaire du 
webmaster Kitetoa a été examinée la semaine passée par la 
cour d'appel de Paris. Enjeu des débats : définir ce qu'est 
un délit d'accès frauduleux dans un système automatisé de 
données.
Chez Tati, Antoine Champagne continue de faire des bulles. 
Le webmaster de Kitetoa.com, condamné en février dernier par 
le tribunal correctionnel de Paris à une amende de 1.000 
euros avec sursis pour « accès frauduleux » au site 
commercial de la société Tati, a comparu mercredi 25 
septembre devant la cour d'appel de Paris saisie par le 
parquet aux fins de relaxe. « Il est inenvisageable 
d'instaurer une jurisprudence répressive génératrice 
d'insécurité pour les internautes qui découvrent de bonne 
foi les failles de systèmes informatiques non sécurisés », 
tranchent les réquisitions du substitut général Etienne 
Madranges. Le webmaster avait, après avoir découvert une 
faille de sécurité dans le répertoire-clients de Tati et 
avoir alerté les administrateurs du site, dévoilé cette 
faille dans un article publié sur son site et repris dans le 
magazine « Newbiz ». Détail essentiel, l'accès au fichier 
n'avait nécessité aucune autre manipulation que « 
l'utilisation des fonctionnalités du navigateur Netscape », 
précise le jugement critiqué. « C'est la sécurité juridique 
des internautes qui naviguent sur le Net qui est en cause, 
mais aussi celle des sociétés victimes de malveillances 
informatiques », prévient le procureur général Jean-Louis 
Nadal qui souhaite, à l'occasion de cette « petite affaire 
dont dépendent des enjeux sociaux et économiques importants, 
donner une définition claire du délit d'accès frauduleux 
dans un système automatisé de données » .
Les magistrats de première instance avaient jugé l'accès au 
fichier punissable par la seule « conscience » d'y être 
parvenu. « Ce jugement, a souligné Me Itéanu, avocat 
d'Antoine Champagne, responsabilise les personnes qui 
consultent, visitent ou testent la sécurité des services 
Internet, ce qui est d'autant plus aisé que l'espace 
Internet ne comporte pas de portes. » L'appel du parquet 
vise à gommer une telle aberration. L'effraction doit être 
la condition du délit. « Tout internaute qui pénètre dans 
une base de données non sécurisée en utilisant un logiciel 
de navigation grand public, par curiosité ou pour en tester 
la fiabilité, n'agit pas frauduleusement », a plaidé le 
substitut général pour solliciter, à titre principal, 
l'annulation du jugement qui a « condamné Champagne au 
bénéfice du doute », et, subsidiairement, la relaxe du 
prévenu au nom du « droit, de l'équité et du bon sens » .
La technique provoque le droit
Evoquer la faute d'Antoine Champagne en occultant celle de 
Tati aurait eu un goût d'inachevé. « On peut exiger des 
sociétés de ce type qu'elles s'équipent d'un système de 
protection efficace », a souligné Etienne Madranges, faisant 
allusion à la loi de 1978 qui sanctionne l'absence de 
protection des données personnelles. Ce qui, assurément, ne 
justifie pas l'intrusion. A l'inverse, condamner le 
webmaster de Kitetoa.com pour lui faire payer la faute de 
Tati relèverait de l'ineptie juridique. « Le droit pénal ne 
doit pas compenser la défaillance des mesures de sécurité », 
a rappelé le représentant du parquet avant de conclure 
qu'Antoine Champagne a joué son rôle de journaliste 
d'investigation.
Concédant que le journaliste avait fait « un travail de 
service public en permettant à 4.000 clients de protéger 
leur vie privée », l'avocate de Tati, Me Grabli, a plaidé « 
l'interdiction pour tout internaute et quel qu'en soit le 
mobile d'entrer et de séjourner dans un système sans 
autorisation » . La question du maintien dans le système 
retiendra finalement l'attention du président de la cour qui 
s'interroge : « N'a-t-on pas le devoir de cesser de se 
connecter dès lors que l'on a connaissance du contenu des 
données ? Poursuivre la connexion ne revient-il pas à se 
maintenir dans la base ? » Réponse, le 30 novembre.
En créant un pôle cybercrime, réunissant magistrats et 
enquêteurs spécialisés dans la délinquance informatique, le 
parquet général de Paris invite la justice à mieux 
appréhender ce type d'infractions. « Une connaissance 
précise du contexte économique et technique est 
indispensable pour conduire une politique pénale éclairée », 
précise Jean-Louis Nadal. Le pôle se chargera de mettre à 
disposition de l'enquêteur de police ou de gendarmerie un 
interlocuteur compétent qui donnera à l'affaire une suite 
judiciaire appropriée. « Un véritable champ d'investigation 
s'offre à nous, souligne Jean-Louis Nadal. Identifier les 
auteurs d'infractions derrière les rideaux de fumée que sont 
les sites d'anonymisation ou les prestataires étrangers, 
mais aussi les auteurs de certains sites dont la vue inspire 
le dégoût. Ces personnes doivent être poursuivies et 
condamnées. » La condamnation récente par la cour d'appel de 
Paris d'un gestionnaire de sites pornographiques illustre la 
volonté du parquet de définir un cadre juridique en matière 
de protection des mineurs. En doublant l'amende prononcée 
par le tribunal correctionnel pour la porter à 30.000 euros, 
la cour a sanctionné l'absence de mesures de filtrage qui 
interdisent l'accès aux mineurs, en précisant qu'une simple 
mise en garde était insuffisante. Reste à déterminer les 
moyens d'un filtrage efficace, question soumise à la Cour de 
cassation par un pourvoi de l'exploitant, qui prétend qu'il 
n'ex- iste pas de système totalement hermétique au clic des 
mineurs qui souhaitent se connecter. Décidément, la 
technique n'en finit pas de provoquer le droit.

LAURENCE MOATTI-NEUER



http://www.0faute.com/200202.htm

# PIRATE : En 1999, le webmestre de Kitetoa.com, spécialisé 
dans la révélation de failles de sécurité sur les sites, 
repère une première faille sur le site Tati.fr. Il en 
avertit par mail l'administrateur du site. Un an plus tard, 
alors que le site du marchand de vêtements à prix discount 
s'est enrichi, le responsable de Kitetoa.com trouve à 
nouveau une faille dans le système de gestion de base de 
données. "En consultant le site de Tati, on pouvait accéder 
à l'index des fichiers en cliquant simplement sur une option 
proposée par le navigateur Netscape", explique-t-il. Bref, 
une manipulation qui ne requiert pas de connaissances très 
pointues en terme d'intrusion informatique. Il contacte à 
nouveau l'administrateur du site Tati.fr pour lui révéler la 
faille puis écrit un article à ce sujet. L'affaire prend des 
proportions inattendues lorsque le cas de la faille de 
sécurité est exploité et approfondi par un magazine grand 
public consacré à Internet. Et ce, sans l'accord du 
responsable de Kitetoa.com. La direction de Tati décide 
alors de l'attaquer en justice. La conclusion est toute 
récente, le webmestre en charge du site a été condamné à une 
amende de 1.000 euros avec sursis. Motif officiel : 
"intrusion et maintien frauduleux dans un système de 
traitement automatisé de données". En clair : piratage 
informatique.
Moralité : si vous trouvez une faille, même grave, gardez la 
pour vous !
Kitetoa : http://www.kitetoa.com



http://www.legalis.net/cgi-iddn/french/affiche-jnet.cgi?droite=2002/actualite_11_2002.htm

 Fraude informatique : l?animateur de kitetoa.com relaxé    
04/11/2002
L?animateur du site kitetoa.com, condamné en première 
instance pour accès frauduleux dans un traitement automatisé 
de données, vient d?être relaxé par la cour d?appel de 
Paris, le 30 octobre 2002. Le juges ont ainsi suivi les 
réquisitions du parquet général de la cour de Paris qui 
avait demandé l?infirmation du jugement TGI de Paris du 13 
février 2002. Pour le procureur général, le caractère 
frauduleux de la manipulation n?a pas été établi par la 
procédure. Le webmaster de kitetoa.com avait pris 
connaissance d?un répertoire-clients sur le site tati.fr, en 
utilisant les fonctionnalités du navigateur Netscape. Or, 
remarque le procureur général, il n?a utilisé aucune méthode 
de piratage mais une manipulation "accessible à tout 
internaute averti, non ingénieur, non technicien, non 
spécialisé, mais qui sait lire un mode d?emploi". Le 
procureur général a, par ailleurs, estimé que l?élément 
intentionnel de l?acte n?a pas davantage été établi, 
d?autant moins que l?animateur de kitetoa.com avait averti 
les administrateurs de Tati de cette faille de sécurité. 
"Lorsqu?une base de données est, par la faute de celui qui 
l?exploite, en accès libre par le biais de l?utilisation 
d?un logiciel de navigation grand public (?), le seul fait 
d?en prendre connaissance (?), d?en réaliser une copie (par 
simple copie d?écran, ce qui a été le cas) sans intention 
malveillante, sans révélations permettant d?éventuelles 
identifications (de codes, de chiffres comptables, de 
clients d?une société par exemple, ?) ne saurait constituer 
une infraction".
Le parquet général avait fait appel afin de permettre à la 
cour de se prononcer sur la définition et la portée du délit 
d?accès et de maintien frauduleux dans un système 
d?information. Il faudra attendre le texte de la décision de 
la cour, pas encore disponible à ce jour, pour savoir si 
elle a suivi les arguments du parquet général.





http://www.01net.com/rdn?oid=194333&rub=1714

 DROIT  Droit
Une association pour défendre les « pirates de bonne foi »
Valérie Siddahchetty et Geoffrey Bansart, 01net., le 
01/10/2002 à 18h11

Kite-Aide veut aider les internautes qui mettent à jour des 
failles de sécurité à se défendre contre les entreprises 
mises en cause. L'association en appelle à des avocats 
bénévoles.

Le site d'information Kitetoa.com vient de créer 
l'association Kite-Aide. Son but est d'assister les 
personnes publiant des articles, aux informations vérifiées, 
qui déplaisent aux sites détenus par de grosses entreprises.

« Les gros sites attaquent dès qu'ils se sentent menacés. 
Nous traitons couramment des plaintes pour intrusion ou 
détournement de marque - l'affaire Danone contre le site 
JeboycotteDanone, par exemple », commente l'avocate maître 
Cahen, membre de l'association Kite-Aide.

La création de Kite-Aide fait suite à la condamnation, il y 
a six mois, du journaliste Antoine Champagne, et webmaster 
du site Kitetoa, dont l'une des activités est de répertorier 
les failles de sécurité. Ce dernier, en utilisant le moteur 
de recherche Google, déniche la base de données 
confidentielle du site de la marque Tati.

Il prévient alors les responsables du site de cette faille, 
puis en révèle l'existence sur son site. L'information, 
reprise par le magazine Newbiz arrive aux oreille du 
président de l'entreprise Tati, qui porte aussitôt plainte. 
En février, le tribunal de commerce de Paris condamne 
Antoine Champagne à une amende de 1 000 euros, avec sursis, 
pour « accès frauduleux » au site commercial de Tati.

L'affaire est passée en appel le 25 septembre dernier. Le 
verdict est attendu début décembre.« J'ai été accusé de 
piratage alors que je sais n'avoir rien piraté », confie 
Antoine Champagne, désabusé.

L'association espère vivre des dons des internautes

L'association veut défendre les petits sites en utilisant 
des ambassadeurs connus du monde du Net. « J'ai proposé au 
directeur d'une boîte de sécurité informatique, un gourou 
des nouvelles technologies et un juriste d'être les 
ambassadeurs. J'attends leurs réponses », explique Antoine 
Champagne.

Ces ambassadeurs seront chargés d'intercéder auprès des gros 
sites pour éviter les conflits. « Quand Tati a découvert 
notre action, poursuit Antoine Champagne, il ne nous 
connaissait pas et s'est fait une idée négative de nous. Si 
Tati s'était retrouvé devant un de nos ambassadeurs, le 
litige se serait réglé à l'amiable. »

Et si les affaires ne peuvent se régler ainsi, l'association 
fera appel à des avocats bénévoles. « Je n'étais pas 
d'accord avec la décision prise en première instance. Le 
droit ne fait pas la distinction entre les mauvais pirates 
et les bons pirates. Je pense que c'est louable d'avoir 
alerté le site de l'existence de cette faille », commente 
maître Cahen.

D'après elle, cette action devrait contribuer à faire 
avancer la législation. « Le droit est en train de se faire, 
les juges commencent à connaître Internet, cependant il faut 
plusieurs jurisprudences pour que des changements s'opèrent 
en profondeur. »

L'association a déjà reçu des appels au secours, dont un 
dont elle devrait s'occuper prochainement. Kite-aide espère 
vivre des dons et des cotisations perçus. Elle compte sur le 
soutien de ses 50 000 visiteurs uniques par mois. La 
cotisation annuelle est de 30 euros. Pour le moment la 
totalité des dons s'élève à 251 euros. Ils devraient couvrir 
les défraiements de l'association.




http://ww2.grn.es/merce/2002/kitetoa.html

16:43 05/03/02
 

UN PERIODISTA FRANCÉS, CONDENADO POR ENTRAR EN UN SISTEMA Y 
CONTARLO
 

Mercè Molist
Antoine Champagne, periodista y fundador de Kitetoa, un 
sitio francés que une a entusiastas de la seguridad 
informática, ha sido condenado a pagar 1.000 euros por 
entrar en el sistema de una empresa de confección, 
aprovechando un fallo del que avisó al responsable y 
posteriormente publicó. El caso ha trascendido 
internacionalmente, al ser otro golpe contra las tesis del 
"full disclosure" (difusión libre de información sobre 
vulnerabilidades informáticas).

Kitetoa es conocido por haber descubierto fallos 
relacionados especialmente con la protección de datos 
personales, en empresas como DoubleClick, Bull Groupe, 
Veridian o ChoicePoint. En 1999, con la ayuda de un 
navegador, Champagne entraba en el sistema de archivos de 
Tati.fr y accedía libremente a información de usuarios. 
Notificó el fallo a la empresa y, entre mayo del 2000 y 
febrero del 2001, publicó diversas alertas en Kitetoa, 
acompañadas de capturas de pantalla. Pero la denuncia no 
llegó hasta que una revista de papel, "Newbiz", lo divulgó.

El juez condonó finalmente la multa a Champagne, a condición 
de que no vuelva a hacerlo en los próximos cinco años. Éste 
declaraba: "O sea que, por el momento, puedes encontrarte 
ante un tribunal acusado de hacking sólo por estar usando 
Netscape Navigator". El periodista denunció que la policía 
francesa le ha amenazado con registrar su casa y confiscarle 
los ordenadores si vuelve a desviarse de la ley, por lo que 
no garantiza la continuidad de Kitetoa. El año pasado, el 
proveedor francés de espacio web gratuito, Altern.org, que 
acogía 40.000 sitios alternativos, cerró también por 
presiones legales contra sus contenidos.
 

Kitetoa
http://www.kitetoa.com 




http://www.octo.com/fr/techno/secu_doc.php3?idx=1314

Kitetoa condamné pour délit d'information sur une faille de 
sécurité   Le site de "trouveurs de failles de sécurité" 
Kitetoa vient d'être condamné pour avoir divulgué une 
faille, cependant le jugement demeure mitigé.
Notre analyse :



Le site Kitetoa est un habitué des failles de sécurité, il 
publie régulièrement les failles qu'il découvre dans de 
nombreux sitesWeb. Tout d'abord il semble difficile de 
l'accuser de mauvaises intentions car il prévient 
habituellement les sites afin que ceux-ci puissent remédier 
aux failles de sécurité trouvées.

L'affaire Tati n'est visiblement qu'un des nombreux cas où 
les sites Web n'ont pas réagi immédiatement et remédié aux 
failles. Kitetoa a été condamné mais visiblement avec 
certaines circonstances atténuantes. Des questions se 
posent, juge-t-on les intentions ou uniquement les faits ? 
Il est clair que l'un ne va pas sans l'autre, la justice a 
pour but de juger une personne (morale ou physique) dans son 
ensemble. Alors si Kitetoa a effectivement enfreint la loi, 
les intentions n'étaient pas de causer du tord à Tati.

Cette décision pose aussi un autre épineux problème, 
actuellement une grande partie des failles de sécurité sont 
découvertes par ce genre d'initiative. Les condamner vise à 
les rendre plus dangereuses et donc à inciter les auteurs de 
celles-ci à ne pas avertir les sites visés. Globalement le 
risque est donc que les failles soient connues d'un nombre 
restreint d'individus et surtout qu'elles ne soient pas 
corrigées à cause du risque constitué par la diffusion de 
cette information.

Date : 2002-03-01
Source : ZD NET




http://www.macplus.org/magplus/article.php?id_article=2560

 Justice

 Surfer n'est pas pirater

11 octobre 2002 
  Par Ormerry


« Il semble inenvisageable d'instaurer une jurisprudence 
répressive dont il résulterait une véritable insécurité 
permanente, juridique et judiciaire, pour les internautes, 
certes avisés, mais de bonne foi, qui découvrent les failles 
de systèmes informatiques manifestement non sécurisés ». 
Telle est la position soutenue par le parquet général de la 
cour d'appel de Paris, dans l'affaire Tati contre 
Kitetoa.com. Le webmestre de ce site, qui a pour habitude de 
pointer les failles de sécurité parfois grotesques des 
systèmes informatiques, avait été condamné le 13 février 
dernier pour avoir accédé, simplement via son navigateur, à 
une base de données regroupant des informations nominatives 
et privées sur 4000 personnes, sur le site web de Tati. Le 
parquet avait alors, fait rarissime, engagé une procédure 
d'appel pour obtenir la relaxe. Le verdict sera rendu le 30 
novembre.




http://www.vivrele.net/node/446.html

Mis en ligne le 5 avril 2002
Kitetoa : réponse prochainement devant la Cour d'appel
 

Retour à la case départ pour Kitetoa. Le responsable du site 
qui avait été condamné à 1000 euros avec sursis pour avoir 
officiellement "piraté" le site Internet des magasins Tati 
va devoir revenir devant la justice. En effet, le ministère 
public a fait appel de la décision.

Au cours d'une première instance, le responsable du site 
Internet Kitetoa spécialisé dans la sécurité informatique 
avait été condamné, à la suite de l'action du ministère 
public, pour "accès et maintien frauduleux sur un système 
automatisé de données". Néanmoins et chose exceptionnelle, 
le procureur de la République avait changé de position lors 
de l'audience et plaidé en faveur de la relaxe. Le juge 
n'avait pas suivi cette proposition et avait condamné 
Kitetoa à 1.000 euros d'amende avec sursis.

La décision de la Cour d'appel de Paris sera très attendue. 
Kitetoa s'est donné pour mission de dénoncer les failles de 
sécurité des sites Web, notamment vis-à-vis de tout ce qui a 
trait aux données personnelles. Dans cette affaire, la 
décision avait été fortement critiquée puisque, dans le 
cadre de son enquête, Kitetoa n'avait utilisé que de simples 
captures d'écran explicites, en n'usant que d'un simple 
navigateur en restant dans la plus pure légalité, et sans 
pratiquer une quelconque effraction ou violation du domicile 
virtuel. 



http://www.zoraxe.com/index.php?page=news&ID=890

 France : Une association pour défendre les hackeurs-blancs

le 03/10/2002
Suite à la condamnation, il y a six mois, du webmaster du 
site Kitetoa.com, qui avait trouvé des failles sur les 
serveurs de Tati. Il prévient alors les responsables du site 
de cette faille, puis en révèle l'existence sur son site.
L'information, reprise par le magazine Newbiz arrive aux 
oreille du président de l'entreprise Tati, qui porte 
aussitôt plainte. En février dernier le webmaster a été 
condamné à 1000 euros, avec sursis, pour « accès frauduleux 
» au site commercial de Tati.
Le site d'information Kitetoa.com vient de créer 
l'association Kite-Aide. Son but : aider et protéger les 
"hackers" qui trouvent des failles sur des serveurs 
sensibles, dont le seul crime aura été de contacté les 
responsables des sites en question.




http://www.washingtontechnology.com/news/1_1/daily_news/18064-1.html


04/01/02

Government agencies exposed internal databases

By Brian McWilliams
Newsbytes Staff Writer

Four U.S. government Web sites left the contents of internal 
databases open to Web surfers, French security experts 
revealed Thursday.

Databases operated by the Commerce Department?s 
STAT-USA/Internet service, as well as the Department of 
Energy?s Pacific Northwest National Laboratory and the 
Federal Judicial Center, allowed remote Internet users to 
browse documents ranging from correspondence to online order 
data.

The insecure sites were all running IBM?s Lotus Domino 
server, according to Antoine Champagne, leader of 
Kitetoa.com, a group of Paris-based computer security 
enthusiasts that discovered the flaws.

At the vulnerable STAT-USA/Internet site, accessible from 
http://www.economy.gov and http://orders.stat-usa.gov, Web 
surfers had the ability to drill into databases containing 
information about customer orders for the agency's 
financial, business and trade information products.

Commerce officials described Kitetoa?s report as ?an 
unauthorized network intrusion? but did not immediately 
provide additional information about the incident.

At a Web site operated by Pacific Northwest National 
Laboratory, an insecure database contained contact 
information for dozens of scientists and research 
organizations from around the world.

Spokesperson Staci Maloof said the lab, one of nine operated 
by the Energy Department, was grateful to Kitetoa for 
pointing out the vulnerable database. Maloof said system 
operators have added proper access controls to the server, 
which was located at http://pnl113.pnl.gov.

Before it was locked down by administrators Thursday, the 
Federal Judicial Center?s site at FJC.gov exposed e-mails 
from the site?s Webmaster, such as a note to a U.S. court 
official explaining that the center?s internal network had 
been infected with the Nimda virus.

Federal Judicial Center representative Ted Coleman said no 
intellectual property or other information that would 
compromise the agency?s internal network integrity was 
accessible from the exposed Domino database. Administrators 
have reviewed all access controls on the database, according 
to Coleman.

The center is the research and education agency of the 
federal judicial system, according to the center's site.

Earlier this month, the U.S. House of Representatives 
committee leading the investigation into Enron's collapse 
temporarily took its Web site offline after Kitetoa informed 
administrators that internal documents in a Lotus Domino 
database at http://energycommerce.house.gov were exposed to 
anyone with a Web browser.

The class of vulnerability affecting the government sites 
has been known to computer security experts since 1998, when 
a security group called L0pht published a warning about how 
Web users can retrieve sensitive data from improperly 
secured Domino servers.

Champagne said he was inspired to examine the government 
sites' security after reading about plans by some U.S. 
agencies to remove sensitive data from their Web sites.

Last month, a French court fined Champagne 1,000 euros 
($870) for probing and publicizing security holes he found 
at Tati.fr, the homepage of a Paris-based clothing retailer. 
The court suspended the fine on the condition that Champagne 
avoid any other convictions for the next five years.

Kitetoa's home page is at http://www.kitetoa.com.





http://www.journaldunet.com/0211/021106brefrance.shtml

Le Net . Nouveau rebondissement dans l'affaire qui opposait 
l'animateur du site Kitetoa.com avec l'enseigne Tati. En 
février 2002 (lire l'article JDNet du 18/02), l'animateur de 
Kitetoa.com, spécialisé dans la révèlation de failles de 
sécurité sur les sites, avait été condamné à une amende de 1 
000 euros avec sursis pour "intrusion et maintien frauduleux 
dans un système de traitement automatisé de données". Après 
avoir fait appel, l'animateur a finalement été relaxé le 30 
octobre par la cour d'appel de Paris. Les juges ont suivi 
les réquisitions du procureur général qui selon lesquelles 
le caractère frauduleux de la manipulation n?avait pas été 
clairement établi. 





http://www.cuk.ch/articles/humeur/affhumeur.php3?aff=409


 Une petite minute pour une bonne nouvelle, en provenance de 
France, c'est pas si fréquent ces derniers temps : il y a 
quelques années, le webmaster de http://www.kitetoa.com 
avait prévenu les responsables de la chaîne de magasins Tati 
que sur leur site étaient facilement accessibles des listes 
très renseignées de noms. En réponse, ceux ci avaient déposé 
plainte pour piraterie. Or la justice vient de trancher en 
appel pour une relaxation de l'accusé, et débouter la firme 
pour une demande mal fondée. Voilà donc une jurisprudence du 
fait qu'une société est en demeure de protéger les 
informations confidentielles qui nous concernent de la 
malveillance (bientôt du spam?). Je suis désolé pour notre 
ami qui avait eu à faire avec Proteron ;-) , mais 
réjouissons-nous pour les hackers du Bien qui ne veulent que 
dénoncer pour engager à les réparer les failles du système. 
Les dernières décisions allaient malheureusement dans un 
tout autre sens.

Kitetoa.com ne sera pas pour autant, et c'est bien dommage, 
débarrassé de son autre Casse-bonbons de trolleur, dont vous 
pourrez lire l'étrange, terrible et édifiante histoire clic 
ici. 





http://www.droit-ntic.com/MyNews1.2/read_comment.php3?id_news=21



Actualité juridique | Newsletter | Les 20 derniers articles 
|
Va-t-on vers la remise en question du journalisme 
d?investigation sur le web ? - 14/02/2002 @ 19h20

Une affaire relatée par le site legalis nous amène à penser 
cela.
Dans ses colonnes, ce dernier nous relate une affaire assez 
surprenante :

« L'animateur de Kitetoa.com, site qui dénonce régulièrement 
les sites peu sécurisés, vient d'être condamné à 1 000 euros 
d'amende avec sursis, sur le fondement de la fraude 
informatique (article L. 323-1 du code pénal), par la 13ème 
chambre du TGI de Paris ».

Les faits seraient les suivants :
A l'occasion d'une visite sur le site tati, le journaliste 
avait pu accéder aux répertoires informatiques qu'il 
contenait, et notamment la base de données des clients de la 
société qui avaient répondu en ligne à un questionnaire. 
Pour y parvenir, il avait utilisé les fonctionnalités du 
navigateur Netscape qui permettent d'accéder à l'index des 
fichiers présents sur le site, sans manipulation 
particulière ni utilisation d'outil spécifique. Malgré 
l'avertissement adressé au responsable technique du site de 
la chaîne de magasins, le problème n'a pas été traité. C'est 
un an après le constat de la faille de sécurité que le 
journaliste la révélera dans un article publié sur kitetoa

Legalis.net précise néanmoins ne pas encore disposé du texte 
définitif de la décision.

Quoi qu?il en soit c?est une affaire qui de prime abord 
paraît stricte quant aux sanctions prises. Depuis quand 
révéler une information véridique qu?en bien même délicate 
(surtout en prenant le soin de prévenir au préalable les 
principaux intéressés) est-il répréhensible ?
N?est-ce pas là l?essence même du métier de journaliste ?
[ Auteur : sadry porlon | Source : legalis.net | Top ]

[ Ajouter un commentaire ]

David - 31/10/2002 à 09h42 - (32)

A Monsieur Julien le Clainche,

Kitetoa vient d'être relaxé en appel (20/10/2002), il n'y a 
donc pas de condamnation.

De plus, vous ne savez visiblement pas ce que c'est qu'une 
intrusion dans un système.

Enfin, si vous êtes juriste, je vous invite à relire la loi 
de 1978.

sadry porlon - 14/02/2002 à 23h15 - (8)

Tout la question se situe bien là peut-il ou non s'en 
affranchir?

Je veux bien que le délit d'intrusion soit retenu mais 
l'essence même du travail de ce journaliste est de faire 
état des différentes failles des systèmes et de s'en faire 
l'echo.
Lui interdire l'accès ne signifie-t-il l'empecher de 
travailler et par la même occasion d'informer ( cf liberté 
de la presse).
Julien Le clainche - 14/02/2002 à 20h11 - (7)

Certes, le journaliste doit mener un travail 
d'investigation, il ne peut cependant pas s'affranchir des 
dispositions légales en l'absence de texte spécifique. Or, 
en l'espèce il s'est rendu coupable du délit d'inrtrusion 
défini à l'article L 323-1 al 1 du code pénal. Les premiers 
mots de cet articles sont : "le fait d'accéder ou de se 
maintenir frauduleusement dans tout ou partie ...". Ce qui 
est sanctionné n?est pas la volonté de nuire, mais le simple 
fait de s?introduire dans un système de traitement de 
données sans autorisation, quel qu?en soit le moyen.
En France, en Belgique et en Angleterre, contrairement aux 
Pays-Bas, à l?Allemagne ou au Danemark, l?élément matériel 
de l?infraction est constaté même si le prévenu n?a accéder 
qu?involontairement au systèm.

De la sorte il n'est guère surprenant que le journaliste ait 
été condamné.






http://www.droit-ntic.com/MyNews1.2/read_comment.php3?id_news=63


Actualité juridique | Newsletter | Les 20 derniers articles 
|
Les suites de l'affaire Kitekoa/Tati - 05/04/2002 @ 17h20

Imprimer l'info   Envoyer cette info à un ami 

Une affaire defrayait recemment la chronique en opposant un 
journaliste du site kitekoa.com à la société "TATI". 
Celui-ci s?étant vu condamner à une amende pour avoir 
divulgué sur son site ainsi que par voie de presse, une 
faille de sécurité constatée sur le site Internet de cette 
dernière.

Cette condamnation nous avait interpellé sur quelques points 
:

Même si l?on pouvait reprocher au journaliste de s?être 
introduit dans le système de sécurité, il avait néanmoins 
pris la précaution d?avertir les responsables de l?existence 
de cette faille.

Ce n?est que plus tard, en constatant qu?il n?y avait pas eu 
de modification que le journaliste a décidé de divulguer 
cette faille sur son Internet spécialisé dans ce domaine.

Nous nous posions donc la question de savoir si il fallait 
conclure à la fin de cette forme de « journalisme 
d?investigation » sur le Web ?

Dernier rebondissements dans cette affaire ; le procureur 
général près de la cour d?appel de Paris a décidé de faire 
appel du jugement du tribunal correctionnel du 13 février 
2002 qui avait condamné l?animateur de Kitetoa.com à 1 000 
euros d?amende avec sursis, pour accès frauduleux dans un 
traitement automatisé de données.

Le procureur général Jean-Louis Nadal a déclaré qu?il 
s?inscrivait dans une logique de réquisitions de relaxe. Il 
précise que"cet appel a pour but de permettre à la cour 
d?appel de se prononcer sur la définition et la portée du 
délit d?accès et de maintien frauduleux dans un système 
automatisé de données et et de contribuer ainsi à 
l?élaboration d?une jurisprudence en la matière"

Il ajoute également que "le champ du droit appliqué aux 
technologies de l?information et de la communication 
constitue un domaine nouveau auquel le parquet général de 
Paris apporte une attention toute particulière".

Les suites de cette affaire auront certainement pour effet 
de provoquer une refonte des règles concernant l'accès 
frauduleux ou non à un système automatisé de données.

Une affaire à suivre......






http://www.foruminternet.org/actualites/lire.phtml?id=437

Le responsable du site Kitetoa relaxé en appel
31/10/2002

La 12ème chambre de la Cour d?appel de Paris a réformé le 30 
octobre 2002, le jugement du Tribunal de grande instance de 
Paris sanctionnant le responsable d?un site pour "accès et 
maintien frauduleux dans un système automatique". Les juges 
d?appel estiment en effet que la plainte était non fondée.

La possibilité d?accéder à des données stockées sur un site 
avec un simple navigateur, en présence de nombreuses failles 
de sécurité, n?est pas répréhensible. Telle est la solution 
à laquelle a aboutie la Cour d?appel de Paris dans un arrêt 
en date du 30 octobre 2002 et revenant sur un jugement du 
Tribunal de grande instance de Paris du 13 février 2002.

Les juges du fond avaient condamné le responsable du site 
Kiteroa.com à une amende de 1000 ¤ avec sursis pour avoir 
accéder de manière répétée aux bases de données du site de 
commerce électronique Tati.fr.

Dans son jugement, le tribunal estimait que l?existence des 
failles de sécurité ne constituait "en aucun cas une excuse 
ou un prétexte pour le prévenu d?accéder de manière 
consciente et délibérée à des données dont la non protection 
pouvait être constitutive d?une infraction pénale". Le 
Parquet avait décidé de porter l?affaire devant la Cour 
d?appel de Paris le 3 avril 2002, après avoir requis la 
relaxe lors de l?audience de première instance.

Document mis en ligne le 31/10/2002





http://www.isecurelabs.com/modules.php?op=modload&name=News&file=article&sid=409

Le webmaster en charge du site Kitetoa.com, spécialisé dans 
la révèlation de failles de sécurité sur les sites, en reste 
estomaqué : il a été condamné mercredi dernier à une amende 
de 1.000 euros avec sursis à la suite d'une plainte déposée 
par la chaîne de magasins d'habillement Tati. Motif officiel 
: "intrusion et maintien frauduleux dans un système de 
traitement automatisé de données". En clair : piratage 
informatique. Le responsable de Kitetoa.com ne comprend 
toujours pas les motifs de ce jugement [NDLR : s'il souhaite 
rester discret sur son identité, ce responsable indique que 
son nom et ses coordonnées sont disponibles en effectuant 
une recherche du propriétaire de Kitetoa.com sur l'annuaire 
Whois.]


# L'article sur le journaldunet.com 





http://www.lentreprise.com/article/5.1571.1.287.html

Faites faire un test d'intrusion
 par  Cécile Rémy
mis en ligne le 21/05/2002
Extrait du N°200 - Mai 2002 Page 1/1 - 1

Il vous permettra d'identifier les failles de votre système 
contre les menaces d'attaques des "hackers".

Mi-diables mi-anges gardiens du Net, certains hackers 
professionnels s'évertuent à sonder les failles des sites 
internet et des réseaux d'entreprises de renom. C'est le cas 
de Kitetoa.com, qui s'est fait condamner à la suite de son 
intrusion dans le site commercial de Tati, le grand magasin 
de Barbès, à Paris. « Même si la façon de faire est 
excessive et souvent surtout très énervante, cette catégorie 
de hackers est plutôt utile à la sécurité, commente Gilles 
Albouy. Ils ne sont pas dangereux car ils préviennent leur 
victime, lui livrent les résultats de leurs tests et ne 
divulguent les failles que lorsque la victime ne veut pas 
les croire. » Ils visent en général les grandes marques mais 
également tous ceux qui se flattent d'être blindés...

Si vous préférez maîtriser la situation et mesurer la 
fragilité de votre système d'information en toute légalité, 
vous pouvez aussi acheter un test d'intrusion (compter 1 000 
euros). « En fait, poursuit Gilles Albouy, c'est souvent 
pour débloquer un budget que les responsables informatiques 
nous appellent. Les résultats d'un test d'intrusion parlent 
très concrètement aux dirigeants comme aux actionnaires. » 
Les sociétés spécialistes de la sécurité informatique comme 
Althès ou Lexsi le font, tout comme certaines SSII plus 
généralistes, tel Azentis. Il existe aussi des services en 
ligne sur internet : Mondsi.com, Secmanage.com, Intranode...

Avant de leur confier le coeur ou le poumon de votre 
entreprise, vérifiez leur identité, leurs compétences et 
leur pérennité : demandez des références de clients et 
téléphonez-leur. L'enjeu est grand pour l'entreprise, et les 
professionnels de la sécurité sont très forts et très rusés 
: « Pour connaître les outils de sécurité mis en place dans 
les entreprises, avoue Gilles Albouy, il nous suffit de 
consulter les CV des techniciens qui souvent circulent sur 
internet. »

Les pirates du web
 

Les petits délinquants :  des « enfants » de 12 à 40 ans
Internet est un vrai supermarché du hacker en herbe. Aussi 
des apprentis sorciers essaient-ils ces outils pour 
s'amuser, qu'ils soient jeunes ou moins jeunes. Peu 
compétents et inconscients de la portée de leurs actes, ils 
visent tout le monde. Ils prennent, par exemple, une page 
d'adresses internet et les essaient toutes.

Les hackers : des professionnels plutôt mégalos
Mus par un ego très développé, ils sont extrêmement 
compétents et passent du temps à évaluer les outils. Ils 
attaquent des sites connus, savent ce qu'ils font et 
préviennent en général les responsables de la sécurité des 
failles trouvées. Ils enfreignent la loi mais font également 
progresser la sécurité informatique, tels de bons petits 
diables du réseau. Ils s'en prennent aux beaux produits 
marketing, dont l'esthétique est soignée mais la technique 
souvent fragile. La façon de faire n'est pas très délicate 
mais elle n'est pas dangereuse. Il est surtout très agaçant 
pour les cibles de constater à quel point ils sont bons.

Les cyberterroristes : des fanatiques souvent cyniques
Portés par une idéologie ou par le besoin d'argent, ils sont 
très compétents, très bien outillés et extrêmement 
dangereux. Ils sont souvent pilotés ou manipulés par des 
grandes puissances et participent aux actions d'espionnage 
politique ou industriel. Ils représentent un danger pour les 
grandes entreprises et pour les PME technologiques qui font 
des envieux.







http://www.isecurelabs.com/modules.php?op=modload&name=News&file=article&sid=473


    Zataz sur les traces de kitetoa ?
Transmis par: acz actif Mercredi, 12 Juin 2002 @ 16:16
   
News Sécurité Zataz sur les traces de kitetoa
?

Possible, lorsque l'on voit ce genre d'article 
:http://www.zataz.com/zataz/news.php?id=1062&file=01.html,
un jeu dangereux auquel se prêtent de plus en plus de sites
"underground".


"Nous signons ici notre 5028 alerte visant un probléme de 
sécurité sur
un site français (zataz)". /usr/bin/sed s/alerte/piratage 
:-)


Serieusement, ca fait peur, ne croyez pas que prevenir une 
société aprés
avoir accédé frauduleusement ses données vous protegera 
d'une pleinte.

Carton rouge donc pour ZATAZ & kitetoa, méme si il faut 
l'avouer que
certaines de leurs découvertes nous font bien rigoler.

Rappelons quand méme, que ca n'est ni plus ni moins que du 
piratage (accès
frauduleux) et que c'est puni par la loi.

La loi du 5 janvier 1988 ou loi GODFRAIN est constituée des 
articles
suivants :

- Art 462-2 alinéa 1er : délit d'intrusion dans le système 
d'autrui

- Art 462-2 alinéa 2 : délit d'intrusion ayant entraîne des 
dégradations
involontaires

- Art 462-3 : délit d'entrave au système

- Art 462-4 : délit d'atteinte aux données

- Art 462-7 : tentatives des délits

- Art 462-8 : participation à une association délictueuse



Exemples

- Piratage d'un compte d'un autre utilisateur en utilisant 
un faux login

- Tentative de connexion dans un système en utilisant toutes 
les combinaisons
possibles de login et de mots de passe.

- Recherche d'informations afin de contourner les mécanismes
de sécurité (parcours d'une hiérarchie système ou 
utilisateur).

Source de cet article de loi: 
http://www.cicrp.jussieu.fr/Cicrp/Web/securite/reglements2.html







http://www.wired.com/news/technology/0,1282,56219-1-13,00.html

Navy Sites Spring Security Leaks 
By Brian McWilliams

Story location: 
http://www.wired.com/news/technology/0,1282,56219,00.html

02:00 AM Nov. 06, 2002 PT

The U.S. Navy took one of its websites offline Tuesday and 
added new security controls to a second site after Internet 
surfers discovered they could access confidential Navy 
databases.

The exposed Navy files included material designed to support 
a machine for testing the electronics of weapon systems 
called the Consolidated Automated Support System. Web 
surfers were able to browse through hundreds of trouble 
tickets, dating back to 1989.

Also accessible by Internet users was a site operated by the 
Naval Supply Systems Command that enables Navy personnel to 
order commercial software or internally developed 
applications. One section of the database, known as QUADS, 
allowed visitors to pull up records on who registered to use 
the system and included their passwords.

A group of French security enthusiasts known as Kitetoa 
discovered the vulnerable sites, which were running IBM's 
Lotus Domino software. Kitetoa has reported similar security 
problems with Lotus software on other government and private 
websites.

A spokesperson for the Navy's North Island Naval Air Depot 
said the CASS database has been "shut down both internally 
and externally while we investigate possible 
vulnerabilities."

A NAVSUP representative declined to comment on the QUADS 
security flaw. After the Navy was notified about the 
problem, the QUADS site began requiring users to log in.

Both Navy sites appeared to contain "noncritical support 
systems" and were "not a military concern," said Brad 
Johnson, a former Navy officer and National Security Agency 
program manager.

"This is not the type of information (to which) the Navy 
would want to grant unrestricted access, but it is not 
something that threatens our security," said Johnson, now a 
vice president of Vigilinx, a security solutions provider in 
Parsippany, New Jersey.

Among the trouble tickets viewable by Internet users was a 
report from an officer aboard an aircraft carrier who noted 
unresolved problems with CASS systems overheating and 
malfunctioning "while operating in arduous environments such 
as the Arabian gulf."

William Knowles, operator of C4I.org, a computer security 
and intelligence site, said the Navy would view any 
intelligence leak as serious.

"Any information not already discussed on either CNN or the 
Pentagon Daily Brief is information that can be used by a 
motivated attacker-terrorist against U.S. interests around 
the globe," Knowles said.

The current incidents follow news in October that more than 
600 Navy computers -- including some containing classified 
information -- were missing.

In an e-mail interview this week, Kitetoa founder Antoine 
Champagne wrote that a French appeals court recently 
overturned a ruling requiring him to pay a fine for 
publicizing security holes he found at Tati.fr, the homepage 
of a Paris-based clothing retailer.

According to Champagne, who has also identified flaws at 
sites runs by DoubleClick, Bull Groupe, Veridian and 
ChoicePoint, the ruling is important for computer security 
whistle-blowers.

"You can get to a page that is not supposed to be there for 
you, but that is unprotected, without being called an evil 
hacker," Champagne wrote.


http://www.legalbiznext.com/cgi-bin/news/viewnews.cgi?category=8&id=1015247809

04/3/02

Condamnation d'un chasseur de faille?

Il n?est pas de bon augure de signaler les failles 
informatiques d?un site?ou du moins de faire la publicité de 
cette découverte. Voilà ce qu?a dû penser ANTOINE CHAMPAGNE 
(responsable du site Kitetoa.com) qui a été condamné, 
mercredi 13 février, à payer 1000 euros d'amende "avec un 
sursis de cinq ans", par la 17e chambre correctionnelle du 
Tribunal de Grande Instance de Paris pour " fraude 
informatique ". Le journaliste de ce site spécialisé dans la 
recherche de faille de sécurité dans les sites web de 
grandes entreprises, avait trouvé dans le site " tati.fr", 
une faille lui permettant d?accéder sans aucune difficulté à 
une base de donnée nominative d?internaute. Aucune 
modification n?avait été effectuée malgré les différents 
avertissements du journaliste auprès de l?hébergeur de 
"tati.fr" afin de lui faire remarquer que le site n?était 
pas suffisamment protégé. Malgré ses bonnes intentions, l? 
article 321-3 du code pénal (loi n° 88-19 du 5 janvier 1988 
relative à la fraude informatique) dite loi GODFRAIN ne 
s?attache qu?à la lettre, il sanctionne par une amende de 
300 à 15000 Euros l? " accés et maintien frauduleux " sur un 
système informatique.

Pour sa défense, le responsable de Kitetoa.com. indique que 
ce n'est qu'après avoir averti l'administrateur du site de 
"tati.fr" qu?il a écrit un article à ce sujet. Mais suite au 
récit de l'affaire dans le mensuel grand public Newbiz, le 
Procureur de la République poursuivit Kitetoa.com après 
investigations de la Brigade d'Enquêtes sur les Fraudes aux 
Technologies de l'Information.
Les conséquences de cette affaire entraînent les réflexions 
suivantes :
Dans un premiers temps , comme l?indique Damien Bancal ( 
NDLR Damien Bancal est le rédacteur en chef et journaliste 
du site Web : http://www.zataz.com) " ? Il est clair que ce 
qui vient de toucher Kitetoa.com va refroidir bon nombre 
d'internautes qui ont découvert des choses et qui vont 
aujourd'hui les garder pour eux? ". Désormais comment 
signaler les points faibles d'un système d'information sans 
risquer une condamnation ?
De plus, la démarche de Kitetoa.com n?avait pour objet que 
de permettre la correction d?un problème, mais la loi est 
neutre à cet argument ,pour elle, il n?y a pas lieu à se 
soucier des (bonnes) intentions du journaliste : Il n?y a 
que " accès et maintien frauduleux " sur un système 
informatique.

Sans vouloir minimiser les responsabilités de chacun, il 
convient de s?interroger dans un second temps de la 
négligence de "tati.fr "qui a été mise en lumière par cette 
décision.
En effet, le journaliste n?a pas " forcé de serrure " afin 
d?obtenir la base de donnée nominative d?internaute de 
"tati.fr".Il a simplement utilisé les fonctionnalités de son 
navigateur afin d?obtenir la liste de tous les fichiers du 
site.
Ce qui met en lumière la violation par "tati.fr " de la loi 
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux 
fichiers et aux libertés, dite loi Informatique et Libertés. 
Car il est disposé dans son article 29 que :
" Toute personne ordonnant ou effectuant un traitement 
d'informations nominatives s'engage de ce fait, vis-à-vis 
des personnes concernées, à prendre toutes précautions 
utiles afin de préserver la sécurité des informations et 
notamment d'empêcher qu'elles ne soient déformées, 
endommagées ou communiquées à des tiers non autorisés. "
Et il est dit à l?article 226-17 du code pénal que :
"Le fait de procéder ou de faire procéder à un traitement 
automatisé d'informations nominatives, sans prendre toutes 
les précautions utiles pour préserver la sécurité de ces 
informations et, notamment, empêcher qu'elles ne soient 
déformées, endommagées ou communiquées à des tiers non 
autorisés, est puni de cinq ans d'emprisonnement et de 2 
millions de francs d'amende."
Il semble donc au vu des déclarations du journaliste et à la 
lecture de ces textes de loi que "tati.fr " a contrevenu à 
la loi : " ?Quand on veut ouvrir une porte fermée, il faut 
crocheter la serrure, mais quand la porte est ouverte, il 
suffit d'entrer?". Mais seul pourra agir contre "tati.fr ", 
un ayant droit, dont les informations personnelles sont 
intégrées dans la base de donnée nominative d?internaute de 
"tati.fr".Nous ne maquerons pas de suivre cette affaire en 
cas d?appel du journaliste ou des ayant droits de la base de 
donnée.

SP

Sources :
-loi n° 88-19 du 5 janvier 1988 relative à la fraude 
informatique et loi n° 78-17 du 6 janvier 1978 relative à 
l'informatique, aux fichiers et aux libertés, dite loi 
Informatique et Libertés disponibles sur 
http://ccweb.in2p3.fr/secur/legal/legal-home.html
http://www.journaldunet.com/0202/020218kitetoa.shtml
http://news.zdnet.fr/story/0,,t118-s2104590,00.html
http://www.foruminternet.org/actualites/lire.phtml?id=261
http://www.zataz.com
http://www.liberation.com/quotidien/semaine/020220-045022023INTE.html



http://www.legalbiznext.com/cgi-bin/news/viewnews.cgi?category=all&id=1037105138

12/11/02

Sécurité Informatique : L'animateur de kitetoa.com relaxé en 
appel (Actu.)

Condamné en première instance pour accès frauduleux dans un 
traitement automatisé de données, le webmestre du site 
kitetoa.com vient d'être relaxé par la Cour d'appel de Paris 
dans son arrêt du 30 octobre 2002.
Les juges ont donc suivi les réquisitions du parquet qui 
avait demandé l'infirmation du jugement du TGI de Paris (13 
février 2002).

En effet, la procédure n'a pas établi le caractère 
frauduleux de la manipulation exercée par ce spécialiste en 
sécurité qui est accessible à tout internaute averti, non 
ingénieur, non technicien, non spécialisé, mais qui sait 
lire un mode d'emploi assène le Procureur général.
De plus, il estime également que l'élément intentionnel de 
l'infraction n'est pas davantage démontré puisque 
l'animateur avait averti les administrateurs du site de 
cette faille de sécurité.
Enfin, le magistrat s'attache même à relancer le débat dans 
l'autre camp en déclarant que lorsqu'une base de données est 
par la faute de celui qui l'exploite, en accès libre par le 
biais de l'utilisation d'un logiciel de navigation grand 
public, le seul fait d'en réaliser une copie d'écran sans 
intention malveillante ne saurait constituer une 
infraction..

Une solution guidée enfin par le bon sens puisque l'avenir 
des professionnels de la sécurité se faisait bien noir au vu 
de la condamnation intervenue en première instance. Car, 
sous couvert d'une atteinte à son droit d'auteur et de 
propriétaire de base de données, la société requérante 
semblait nier sa négligence technique.
D'ailleurs, si le Ministère puiblic s'était saisi de cette 
affaire c'était justement pour donner l'occasion à la Cour 
d'appel de bâtir les bases d'une jurisprudence en la matière 
avait déclaré le parquet lors de l'annonce de son appel.

Sébastien Guerrero

Source :
Legalis.net

Voir aussi nos articles relatifs à cette affaire :
La première association de défense des hackers ! (Actu.)
Le fil d'actus de ces derniers jours du 04/04/02
Le fil d'actus de ces derniers jours du 08/03/02
Condamnation d'un chasseur de faille



AFP
net-dis-gen,PREV
Comment la justice a volé au secours de Kitetoa, Robin des 
Bois d'Internet
(MAGAZINE)
par Laurence BENHAMOU

PARIS, 14 nov (AFP) - Les sites Internet mal protégés, ceux 
qui par négligence livrent à tout vent les coordonnées 
personnelles de leurs clients, craindront encore longtemps 
les dénonciations publiques d'un Robin des Bois de la 
sécurité informatique, le caustique site Kitetoa.
   Antoine Champagne, journaliste indépendant et patron du 
site kitetoa.com, vient en effet de gagner en appel, grâce 
au Parquet venu à sa rescousse, un procès exemplaire contre 
les magasins Tati et le site tati.fr, dont il avait 
publiquement dévoilé un trou béant de sécurité.
   Créé en 1997, Kitetoa, sorte de Canard Enchaîné de 
l'Internet, est reputé pour son habitude d'épingler les 
sites commerciaux ou institutionnels qui sécurisent mal, 
voire pas du tout, les données personnelles de leurs 
clients.
   Parmi quelque 200 sites à son actif, dont Vivendi ou la 
Caisse des Dépôts, le cas le plus flagrant fut celui de 
Banque Directe où, avant la réparation réclamée par Kitetoa, 
le site frondeur avait pu récupérer les données et mots de 
passe des clients!
  "Je ne suis pas un pirate", se défend Antoine Champagne, 
qui se veut au contraire un champion de l'anti-piratage: il 
ne s'infiltre pas frauduleusement sur les sites, n'utilise 
pas d'outils illégaux et ses tests s'appuient souvent des 
logiciels grand public. Généralement, une fois constatée 
l'erreur de sécurité, il prévient le gestionnaire et ne 
publie un commentaire saignant qu'après que le site a été 
corrigé. Il n'explique pas non plus comment il a opéré.
   Mais parfois, lorsque son avertissement n'est pas suivi 
d'effets, il révèle publiquement l'erreur via son site. Pour 
Tati, comme ses courriers n'avaient pas entraîné de 
réparation du site, Kitetoa publie en mai 2000 un article 
qui stigmatisait cette faille qui permettait à tous de 
télécharger le fichier où Tati stocke les données 
personnelles recueillies auprès des visiteurs de son site.
   En 2001, l'erreur n'est toujours pas corrigée. Pire: on 
peut même changer les tarifs d'articles vendus en ligne... 
ce que Kitetoa dénonce dans un nouvel article.
   Découvrant l'affaire dans un magazine, les patrons de 
Tati n'apprécient pas, et traînent Antoine Champagne en 
justice pour piratage. Le webmestre de Kitetoa se défend en 
expliquant avoir opéré uniquement avec le navigateur grand 
public et gratuit Netscape, donc sans intrusion frauduleuse. 
Il argue aussi que c'est Tati qui, par sa négligence à 
protéger ses fichiers, livre des données personnelles en 
violation de la loi Informatique et Libertés. Le Parquet lui 
donne raison, reconnaît sa bonne foi et l'absence de 
malveillance, et demande la relaxe.
   Mais en février 2002, le tribunal correctionnel de Paris 
condamne cette intrusion -non autorisée bien que 
bienveillante- à 1.000 euros d'amende avec sursis. Pour ce 
petit site d'information sans publicité, cette somme modique 
représente une épée de Damoclès funeste pour l'avenir. 
Craignant le pire, Kitetoa ne fait pas appel. 
   Mais le Parquet de Paris, qui s'intéresse de près au 
droit de l'internet et veut susciter une jurisprudence 
claire et adaptée, décide de faire appel. Il obtient gain de 
cause le 30 octobre 2002: la Cour d'Appel de Paris réforme 
la décision de première instance et relaxe Antoine 
Champagne, ce qui permettra à Kitetoa de continuer à faire 
grincer des dents les webmestres incompétents.
leb/pcm/al