Affaire Bluetouff – ANSES : le point de vue d’un (autre) avocat

Peut-on ĂȘtre poursuivi en justice pour avoir « simplement » suivi un lien trouvĂ© sur Google ? C’est la question qui dĂ©fraie ces derniers jours la chronique de l’internet français avec l’affaire Bluetouff. Le point de vue d’un avocat spĂ©cialisĂ© sur la question.

bluetouff

Article Ă©crit par MaĂźtre GĂ©rald SaddeCabinet SHIFT avocats –  Avocat intervenant en droit internet et informatique. Cette tribune n’engage Ă©videmment que son auteur.

VoilĂ  une affaire totalement reprĂ©sentative de cette question de plus en plus critique de la rĂ©glementation de la sĂ©curitĂ© informatique. J’ai lu beaucoup de choses inexactes venant de gens qui s’exprimaient plus sur l’aspect technique. Car aprĂšs lecture de la dĂ©cision il y a une certaine logique Ă  tout cela (Et oui !).

Attention je ne dis pas que ce qui arrive Ă  Bluetouff est Ă©quitable ou mĂ©ritĂ© ou autre. Je dis simplement que les Ă©lĂ©ments constituant l’infraction de maintien frauduleux dans un SystĂšme de Traitement AutomatisĂ© de DonnĂ©es (STAD) semblent prĂ©sents en l’espĂšce. Tout d’abord, l’Ă©lĂ©ment matĂ©riel de l’infraction ne semble pas faire dĂ©bat. Ensuite, l’Ă©lĂ©ment moral, donc la volontĂ© de se maintenir, est plus complexe dans ces affaires car il implique que le prĂ©venu ait conscience du fait qu’il se maintient dans un STAD qui n’est pas public. Or, quand il n’y a pas eu de pĂ©nĂ©tration du STAD par des moyens techniques qui dĂ©montrent en eux-mĂȘmes cette conscience, comme c’est le cas ici, et bien la preuve du maintien devient ardue.

Mais voilĂ , Ă  ce que j’ai lu (je ne connais que de trĂšs loin mon confrĂšre ItĂ©anu[1]) notre ami Bluetouff a fouinĂ© dans les rĂ©pertoires litigieux comme un ours dans un pot de miel. Ce faisant il est remontĂ© jusqu’Ă  la racine du site pour finalement constater que pour redescendre dans les rĂ©pertoires intĂ©ressants il Ă©tait nĂ©cessaire de disposer d’un login et d’un mot de passe. Et c’est lĂ  que le bĂąt blesse ! Le fait de tomber par erreur sur un lot de donnĂ©es n’est pas rĂ©prĂ©hensible mais ce n’est plus le cas si on dĂ©couvre de façon certaine que l’on n’aurait pas dĂ» tomber dessus. La volontĂ© de commettre l’infraction peut alors ĂȘtre dĂ©montrĂ©e. Il en va ainsi en droit pĂ©nal. D’autant que le tĂ©lĂ©chargement massif qui en a suivi cadre mal avec le scĂ©nario d’un internaute qui aurait pensĂ© pouvoir retourner Ă  loisir sur la ressource prĂ©sumĂ©e publique.

Évidemment je n’ai pas le dossier en main donc je dis tout cela sur le strict plan de l’analyse juridique des Ă©lĂ©ments de la dĂ©cision. Je ne sais pas quelle utilisation a Ă©tĂ© faite des preuves et quelle a Ă©tĂ© l’interprĂ©tation des faits.

Si tout cela est fidĂšle avec la rĂ©alitĂ©, alors la moralitĂ© de l’histoire serait qu’il ne faut pas ĂȘtre trop gourmand quand on tombe sur une manne sur internet. Le fait de vouloir comprendre peut faire de vous un dĂ©linquant car vous devenez conscient de ce qui se passe.

Reste encore Ă  moduler tout cela sur un point qui est celui de la responsabilitĂ© de l’ANSES – Agence nationale de sĂ©curitĂ© sanitaire de l’alimentation, de l’environnement et du travail – qui est dĂ©signĂ©e dans la dĂ©cision comme un OpĂ©rateur d’Importance Vitale (OIV). Or, l’actuel projet de loi de programmation militaire en discussion, prĂ©voit de faire peser une obligation de sĂ©curitĂ© accrue sur ces opĂ©rateurs. Les opĂ©rateurs d’importance vitale sont les opĂ©rateurs « dont l’indisponibilitĂ© risquerait de diminuer d’une façon importante le potentiel de guerre ou Ă©conomique, la sĂ©curitĂ© ou la capacitĂ© de survie de la Nation », selon les termes de l’article L. 1332-1 du code de la dĂ©fense.

Donc on ne peut que constater une fois de plus comme le soulignait le rapport Bockel d’information sur la cyberdĂ©fense publiĂ© en juillet 2012 que le niveau de sĂ©curitĂ© des systĂšmes d’information des entreprises et administrations dĂ©signĂ©es comme opĂ©rateurs d’importance vitale est en gĂ©nĂ©ral trĂšs insuffisant pour permettre Ă  ces opĂ©rateurs d’assurer leur mission dans des conditions de sĂ©curitĂ© acceptables, si bien que cette situation constitue un vĂ©ritable « talon d’Achille » pour notre dĂ©fense et notre sĂ©curitĂ©.

DĂšs lors dans un raisonnement a contrario (mon mĂ©tier est de dĂ©fendre et le naturel reprend vite le dessus), je dirais qu’il est assez lĂ©gitime de penser que si l’on accĂšde Ă  de tels documents auprĂšs des STAD d’une OIV, cela dĂ©montre que ces documents sont certainement publics: « Sinon vous pensez bien qu’ils les auraient protĂ©gĂ©s mais enfin… »

L’élĂ©ment moral est une chose bien subjective…

[1] Note d’Eric : MaĂźtre Olivier Iteanu est l’avocat qui a reprĂ©sentĂ© ma sociĂ©tĂ© Bloobox dans le procĂšs nous opposant Ă  Olivier Martinez, procĂšs que nous avions gagnĂ© en appel, puis en cassation.


15 commentaires

  1. Voila enfin une réponse acceptable à cette affaire.

    Je ne me place généralement pas du coté des pouvoirs juridiques en ce qui concerne les délits sur internet, mais dans le cas présent, la mauvaise fois est évidente.

    Tomber « par hasard », ou « presque » sur des donnĂ©es qui « devraient » ĂȘtre confidentielles: Ok; Pour moi, ça ne devrait pas ĂȘtre rĂ©prĂ©hensible.

    Et Bluetouff (et ses avocats) ne semble jouer QUE sur ce point.

    Maintenant, tomber « par hasard », ou « presque » sur des donnĂ©es qui « devraient » ĂȘtre confidentielles, ET rester sur le site, ET chercher d’autre donnĂ©es, ET pomper l’intĂ©gralitĂ© des donnĂ©es du site, ne ressort plus du domaine de l’accident …

    On est dans l’acte purement volontaire.

    3k€ d’amende en sont finalement pas une peine absurde pour un bon rappel Ă  l’ordre.

  2. Analyse intĂ©ressante sur cette affaire car nombre de billets ont fleuri sur l’interprĂ©tation de la loi française selon certains blogueurs , sans forcĂ©ment avoir de connaissance juridique. Au final on aurait tendance Ă  vouloir que les 2 partis soient dĂ©clarĂ©s responsables(et dans le meilleur des mondes avec des peines adaptĂ©es)

  3. le site de l’ANSES Ă  un soucis de sĂ©curitĂ©, mais je ne vois pas en quoi c’est condamnable par un tribunal.

    Imaginez que vous oubliez votre tĂ©lĂ©viseur dans votre jardin et que le portail soit ouvert. Quelqu’un pourra prendre votre TV, charge Ă  la justice de dĂ©montrer qu’il Ă©tait au courrant, ou pas, qu’il « volait ». Mais en AUCUN cas VOUS ne seriez condamnable.

    Vous ĂȘtes dans le pire cas un imbĂ©cine, mais c’est tout.

  4. @amapi: attention, ici nous parlons d’OIV, pas d’un simple plan pour un tĂ©lĂ©viseur. Il existe une obligation lĂ©gislative de maintenir sĂ©curisĂ© les donnĂ©es digitales.
    Alors certes l’ANSES ne parlent pas Ă  beaucoup de gens, mais remplacez cet organisme par le ministĂšre de l’Économie(les impĂŽts) et lĂ  il devient de suite plus flagrant que les donnĂ©es numĂ©riques sont sensibles et vous serez le premier Ă  hurler si ce ministĂšre protĂšge mal(voir pas du tout) vos donnĂ©es personnelles/sensibles. ici c’est la mĂȘme chose mais au niveau gouvernementale, vola pourquoi l’ANSES a aussi une responsabilitĂ©.

  5. @amapi C’est idiot, si la tĂ©lĂ© sur le trottoir vous ne seriez pas condamnĂ© car vous pourriez penser de bonne foi que le proprio s’en Ă©tait dĂ©barrassĂ©, mais dans une propriĂ©tĂ© Ă©videmment si ! l’Anses est un organisme public qui dĂ©tient des donnĂ©es confidentielles, elle doit donc les sĂ©curiser (et avec obligation non pas de moyens mais de rĂ©sultat, sauf erreur de ma part) : si votre dossier mĂ©dical Ă©tait laissĂ© en mode public par votre hĂŽpital, et donc rĂ©fĂ©rencĂ© par Google et accessible Ă  tout le monde vous trouveriez ça normal ? Je ne comprends d’ailleurs pas que le parquet n’ait pas Ă©galement portĂ© plainte contre l’Anses d’ailleurs ?

  6. @shog @argl

    Le parquet n’a probablement pas portĂ© plainte contre l’anses car les donnĂ©es volĂ©es, bien que « privĂ©es » n’impliquaient pas le « public » (au sens donnĂ©es des citoyens).

    en gros, c’est comme si pĂŽle emploi laissait filer les stats non nominatives sur le nombre de demandeurs d’emplois, ou comme si la cours des comptes laissez filer les donnĂ©es sur les dĂ©penses rĂ©elles de l’ÉlysĂ©e.

    On ne peut donc pas imaginer faire comme si l’ANSES Ă©tait les impĂŽts ou le fisc.

    Digresser vers tout un tas de « possibilitĂ© » et de « probabilitĂ© » est une bonne mĂ©thode pour un godwin point, mais c’est tout.

    Sinon, imaginez que les donnĂ©es « volĂ©s » par bluetouff aient Ă©tĂ© des donnĂ©es de l’armĂ©e permettant de fabriquer / dĂ©clancher nos armes atomiques … On aurait put « dĂ©truire » le monde (ce n’est pas moi qui le dis, mais un des magistrat) …

  7. @amapi : je comprends ce que vous voulez dire, du moins dans votre premiĂšre phrase, et j’approfondirai la question, mais commencer Ă  parler point Godwin dĂšs qu’on essaie de discuter n’a aucun sens, vous le rĂ©alisez ? (car je suis sĂ»r que vous n’ĂȘtes pas du genre Ă  troller pour noyer le poisson pour votre exemple de la tĂ©lĂ©vision totalement inepte Ă©videmment 🙂 )

  8. Pour info, cette analyse est partagée pleinement par Maitre Eolas : http://www.maitre-eolas.fr/pos.....er-Gougleu

    AprĂšs, il y a quand mĂȘme matiĂšre Ă  s’interroger : vous tombez par hasard sur des documents clairement confidentiels (genre documents de la CIA sur JFK, de la NASA sur les aliens, de la DCRI sur Karachi, documents qui sont peut-ĂȘtre complĂštements vides d’intĂ©rĂȘt en plus !) mais laissĂ©s au vu et au su de tous, il est tout de mĂȘme assez naturel d’avoir la curiositĂ© d’y jeter un coup d’oeil !

  9. @jarno,

    Il y a une diffĂ©rence entre « jeter un coup d’oeil », et pomper des giga de donnĂ©es ….

    @argl

    Le point godwin a Ă©tĂ© ateint par un magistrat dans cette affaire, ce n’est pas une supposition, mais un fait … Justement parce qu’il y a eut GROSSE digression.

    Pour la TV, l’exemple n’Ă©tait surement pas le meilleur, mais il n’Ă©tait pas totalement a cotĂ© de la plaque. On a bien un lieu (site), avec un bien (donnĂ©e), privĂ©e mais visible et accessible par tout le monde,

    Si je me base sur les donnĂ©es volĂ©es, aucune informations nominatives, seulement des Ă©tudes/stats/avis/recommendations sur l’exploitation/utilisation de molĂ©cules/produits/mĂ©thodes.

    On est donc pas dans le cas d’un bien (donnĂ©es) capable de modifier le niveau de sĂ©curitĂ© de la population (Ă  l’inverse de donnĂ©es sensible sur l’armement).

    Ce n’est donc pas aussi neutre que ma TV, mais ce n’est pas non plus « dangereux » (d’ailleurs les donnĂ©es circulent en ce moment sur le net et ça ne semble pas spĂ©cialement faire de remoux …).

    De plus ces donnĂ©es Ă©tait sur un « extranet » et c’est cet extranet qui Ă©tait mal sĂ©curisĂ©. Les vraies donnĂ©es sensibles ne sont PAS sur cet extranet (mais sur son rĂ©seau interne).

    On diminue encore le niveau de sensibilitĂ© de ces donnĂ©es qui finalement, bien que privĂ©es, semble plus l’Ă©tre « par principe » que par nĂ©cessitĂ©. On est donc peut ĂȘtre pas sur le mĂȘme plan que la TV dans mon jardin, mais franchement pas loin (d’ailleurs l’ANSES ne voulais pas poursuivre la plainte Ă  l’origine).

    A savoir aussi que le terme OIV ne signifie pas forcement que la diffusion de ses informations peuvent engendrer des risques pour la population (et dans le cas de l’ANSES c’est mĂȘme l’inverse, le risque Ă©tant plutot pour les certaine carriĂšre politique …)

  10. « Tout d’abord, l’élĂ©ment matĂ©riel de l’infraction ne semble pas faire dĂ©bat.  »

    En effet, il ne fait pas dĂ©bat, il n’existe pas, point final.

  11. « il est remontĂ© jusqu’à la racine du site pour finalement constater que pour redescendre dans les rĂ©pertoires intĂ©ressants il Ă©tait nĂ©cessaire de disposer d’un login et d’un mot de passe »

    Cette affirmation, partagĂ©e par eolas, est totalement farfelue. Si un site possĂšde une page d’authentification Ă  la racine, cela n’implique absolument pas que l’ensemble de l’arborescence est forcĂ©ment privĂ©e.

    Prenez simplement Facebook, par exemple. Il y a un formulaire d’authentification Ă  la racine du site, et pourtant, il est possible via Google d’accĂ©der Ă  des profils publics sans ĂȘtre authentifiĂ©. Sur n’importe quel extranet aussi, il peut y avoir une partie des documents accessibles publiquement, de maniĂšre normale et sans aucune faille ni violation.

  12. My two cents.
    La vrai dĂ©monstration de cette affaire est l’incapacitĂ© manifeste des magistrats Ă  cerner les faits rĂ©els.
    N’en dĂ©plaise aux zĂ©lateurs du Droit, les faits reposent sur une analyse technique qu’ils sont manifestement incapable de faire.
    Pour commencer, Internet est un lieu public par principe. Ca ne plais pas aux magistrats et Ă  leur supporters, mais voila, c’est comme ça. Il ne s’agit pas d’une lubie mais d’un fait. Les internets ont Ă©tĂ© conçu de cette façon avec des protocoles ouverts ne prĂ©voyant, Ă  l’origine, aucune sĂ©curitĂ©.
    Toute comparaison avec des lieux par essence privĂ© (maison, voiture, jardin…) rĂ©vĂšle la profonde incomprĂ©hension de ceux qui les utilisent.
    Pour qu’un serveur web donne un document (page web, document pdf…) il faut le lui avoir demandĂ© et que cette demande lui apparaisse lĂ©gitime. Dans ce cas c’est bien ce qu’il c’est passĂ©, Bluetouff Ă  demandĂ© les documents et il lui ont Ă©tĂ© volontairement et lĂ©gitimement donnĂ©s par le serveur de l’anses. Qu’il y ait prĂ©sence d’un formulaire de connexion ne change rien au fait que les documents en question aient put ĂȘtre publics (d’ailleurs ils l’Ă©taient de fait, sinon il n’aurait pas pu les tĂ©lĂ©charger). Bluetouff n’est pas l’administrateur de l’anses, il ne pouvait donc pas deviner (se douter peut ĂȘtre, mais pas avoir de certitudes) quelles parties de l’extranet Ă©tait ouvertes, ou pas, au public. Il ne pouvait deviner non plus que la publication des documents relevait d’une erreur (de dĂ©butant) dans la configuration du serveur.
    Pour rĂ©sumer Ă  ce stade, l’accĂšs a Ă©tĂ© effectuĂ© de maniĂšre lĂ©gitime et rien ne pouvait montrer de façon certaine que les documents tĂ©lĂ©chargĂ©s ne devaient pas l’ĂȘtre, donc le maintient frauduleux ne tient pas. Quant au vol, que l’anses dise ce qui lui manque ! En fait rien, les documents sont toujours lĂ  ou Bluetouff les a trouvĂ©s. Donc, s’il ne manque rien, c’est que rien n’a Ă©tĂ© volĂ©. La copie Ă©tait permise et lĂ©gitime selon la configuration du serveur, c’est aussi un fait.
    Si au niveau du droit la décision des magistrats peut paraitre correcte, ce ne sont pas les bon faits qui ont été jugés.
    Le vrai danger de cette dĂ©cision est quelle fait peser sur tout utilisateur d’internet le risque de se voir condamner pour avoir consulter des pages manifestement publiques (rĂ©fĂ©rencĂ©es dans un moteur de recherche public), mais qui finalement, non, ne le sont pas. Bref c’est l’utilisateur final qui se retrouve condamnĂ© parce qu’un administrateur incompĂ©tent n’a pas bien fait son travail.
    Pour finir sur la publication de l’article de Bluetouff basĂ© sur les dits documents… Bluetouff est (aussi) journaliste (de fait, il publie rĂ©guliĂšrement des articles sur des sites d’information). Si demain, les journalistes ne doivent utiliser que des documents lĂ©gitimement donnĂ©s, les journalistes du Canard EnchainĂ© vont finir au violon.

  13. @Elder Avis totalement partagĂ©. Quand on connait la technique et les protocoles du web, on comprend aisĂ©ment que si l’accĂšs Ă  une ressource sur une simple demande (j’entends bien sans exploiter de faille) est autorisĂ© par le serveur, alors il n’y a pas d’intrusion.
    Bluetouff n’a pas bypassĂ© le serveur, il n’

  14. @Elder Avis totalement partagĂ©. Quand on connait la technique et les protocoles du web, on comprend aisĂ©ment que si l’accĂšs Ă  une ressource sur une simple demande conventionnelle (j’entends bien sans exploiter de faille) est autorisĂ© par le serveur, alors il n’y a pas d’intrusion.
    Bluetouff n’a pas bypassĂ© le serveur, il n’a pas bruteforcĂ© une authentification, il a simplement demandĂ© des ressources et le serveur a dit « 200 ! Ok ! Tiens ! ». Il a pas dit « 401 ! T’auras rien ! 403 ! T’as pas le droit ! ». Que vient faire la « page d’authentification » lĂ  dedans ? C’est juste une « ressource » de plus, qui, elle, est effectivement protĂ©gĂ©e. Donc ils *savent* le faire. Alors pourquoi ne l’ont-ils pas fait sur les autres ressources ? Par ignorance ? MĂ©connaissance ? Admissible pour des ressources confidentielles censĂ©es provenir d’une OIV ?

    Un admin systĂšme et rĂ©seau sait que la *premiĂšre* des choses Ă  faire c’est de mettre en place et gĂ©rer les droits d’accĂšs aux ressources sur un systĂšme. En quoi est-ce que, dĂšs que ça concerne le rĂ©seau, la diffusion des ressources, ça doit ĂȘtre diffĂ©rent ? Ils ont des administrateurs systĂšme ? Et des personnes *responsables* de ces ressources. Ne sont-ils pas bien plus responsables que Bluetouff ?
    Il n’y a pas eu de vol, juste une demande de photocopie qui a Ă©tĂ© acceptĂ©e. Si tu ne veux pas que ta ressource soit sur la toile, rĂšgle n°1, ne l’y mets pas. Ou protĂšge-la.

  15. « Tout d’abord, l’Ă©lĂ©ment matĂ©riel ne semble pas faire dĂ©bat »…
    Justement, si!
    C’est trĂšs Ă©tonnant ou inquiĂ©tant, c’est selon, qu’on le pense.
    Car si on regarde avec du recul, que s’est il passĂ©: Bluetouff a tĂ©lĂ©chargĂ© des documents d’un site Internet.
    C’est le fait de base, celui-ci est effectivement indiscutable.

    S’est-il introduit sur le site de maniĂšre frauduleuse? Non, tout le monde est d’accord.
    Ensuite, qu’y a t il a lui reprocher?
    Surfer sur Internet, télécharger des documents?

    « Voler » des documents? Ils sont toujours disponibles, Ă  ma connaissance. Ils n’ont pas Ă©tĂ© effacĂ©s par Bluetouff (ce qui aurait d’ailleurs pour le coup probablement nĂ©cessitĂ© un introduction frauduleuse dans le STAD).

    Maintien frauduleux (sans accĂšs frauduleux, c’est coton Ă  comprendre et Ă  imaginer; dans de trĂšs rares cas, peut-ĂȘtre pourrait-on trouver une configuration possible dans ce cas)?

    Frauduleux car il s’agissait de documents « confidentiels »

    Aux yeux de qui?
    Pas du serveur de l’ANSES, qui a rĂ©pondu gentiment Ă  toutes les requĂȘtes de Bluetouff, mais aussi Ă  celles de Google!
    Pas aux yeux de l’ANSES elle-mĂȘme, qui a renoncĂ© Ă  ĂȘtre partie civile, et qui a dĂ©clarĂ© que ces documents ne comportaient aucune donnĂ©es confidentielles…
    Aux yeux des magistrats, du procureur? Parce qu’il y a une page de login quelque part sur le site…! C’est en est risible. Eux mĂȘmes admettent qu’ils n’y pigent rien, mais ils dĂ©cident que ces documents Ă©taient confidentiels, et que Bluetouff devait nĂ©cessairement avoir la mĂȘme vision.

    On s’Ă©carte, je trouve, furieusement de l’Ă©lĂ©ment matĂ©riel, pour ĂȘtre en plein dans l’interprĂ©tation (erronĂ©e qui plus est), dans l’intention.

    Et en s’appuyant sur une comprĂ©hension totalement fausse de l’Ă©tat de la technique et des comportements sur Internet, on en vient Ă  une interprĂ©tation totalement biaisĂ©e des intentions de Bluetouff, et Ă  un jugement dĂ©lirant.

Send this to friend

Lire les articles précédents :
Faites de jolis montages photos sur iOS et Android avec Pho.to Lab

Il existe sur le marché un certain nombre d'applications mobiles permettant de retoucher rapidement des images. Pho.to Lab, lui, s'est...

Fermer