Passer au contenu

Affaire Bluetouff – ANSES : le point de vue d’un (autre) avocat

Peut-on être poursuivi en justice pour avoir “simplement” suivi un lien trouvé sur Google ? C’est la question qui défraie ces derniers jours la chronique de l’internet français avec l’affaire Bluetouff. Le point de vue d’un avocat spécialisé sur la question.

Article écrit par Maître Gérald SaddeCabinet SHIFT avocats –  Avocat intervenant en droit internet et informatique. Cette tribune n’engage évidemment que son auteur.

Voilà une affaire totalement représentative de cette question de plus en plus critique de la réglementation de la sécurité informatique. J’ai lu beaucoup de choses inexactes venant de gens qui s’exprimaient plus sur l’aspect technique. Car après lecture de la décision il y a une certaine logique à tout cela (Et oui !).

Attention je ne dis pas que ce qui arrive à Bluetouff est équitable ou mérité ou autre. Je dis simplement que les éléments constituant l’infraction de maintien frauduleux dans un Système de Traitement Automatisé de Données (STAD) semblent présents en l’espèce. Tout d’abord, l’élément matériel de l’infraction ne semble pas faire débat. Ensuite, l’élément moral, donc la volonté de se maintenir, est plus complexe dans ces affaires car il implique que le prévenu ait conscience du fait qu’il se maintient dans un STAD qui n’est pas public. Or, quand il n’y a pas eu de pénétration du STAD par des moyens techniques qui démontrent en eux-mêmes cette conscience, comme c’est le cas ici, et bien la preuve du maintien devient ardue.

Mais voilà, à ce que j’ai lu (je ne connais que de très loin mon confrère Itéanu[1]) notre ami Bluetouff a fouiné dans les répertoires litigieux comme un ours dans un pot de miel. Ce faisant il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe. Et c’est là que le bât blesse ! Le fait de tomber par erreur sur un lot de données n’est pas répréhensible mais ce n’est plus le cas si on découvre de façon certaine que l’on n’aurait pas dû tomber dessus. La volonté de commettre l’infraction peut alors être démontrée. Il en va ainsi en droit pénal. D’autant que le téléchargement massif qui en a suivi cadre mal avec le scénario d’un internaute qui aurait pensé pouvoir retourner à loisir sur la ressource présumée publique.

Évidemment je n’ai pas le dossier en main donc je dis tout cela sur le strict plan de l’analyse juridique des éléments de la décision. Je ne sais pas quelle utilisation a été faite des preuves et quelle a été l’interprétation des faits.

Si tout cela est fidèle avec la réalité, alors la moralité de l’histoire serait qu’il ne faut pas être trop gourmand quand on tombe sur une manne sur internet. Le fait de vouloir comprendre peut faire de vous un délinquant car vous devenez conscient de ce qui se passe.

Reste encore à moduler tout cela sur un point qui est celui de la responsabilité de l’ANSES – Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail – qui est désignée dans la décision comme un Opérateur d’Importance Vitale (OIV). Or, l’actuel projet de loi de programmation militaire en discussion, prévoit de faire peser une obligation de sécurité accrue sur ces opérateurs. Les opérateurs d’importance vitale sont les opérateurs « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon les termes de l’article L. 1332-1 du code de la défense.

Donc on ne peut que constater une fois de plus comme le soulignait le rapport Bockel d’information sur la cyberdéfense publié en juillet 2012 que le niveau de sécurité des systèmes d’information des entreprises et administrations désignées comme opérateurs d’importance vitale est en général très insuffisant pour permettre à ces opérateurs d’assurer leur mission dans des conditions de sécurité acceptables, si bien que cette situation constitue un véritable « talon d’Achille » pour notre défense et notre sécurité.

Dès lors dans un raisonnement a contrario (mon métier est de défendre et le naturel reprend vite le dessus), je dirais qu’il est assez légitime de penser que si l’on accède à de tels documents auprès des STAD d’une OIV, cela démontre que ces documents sont certainement publics: “Sinon vous pensez bien qu’ils les auraient protégés mais enfin…”

L’élément moral est une chose bien subjective…

[1] Note d’Eric : Maître Olivier Iteanu est l’avocat qui a représenté ma société Bloobox dans le procès nous opposant à Olivier Martinez, procès que nous avions gagné en appel, puis en cassation.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
15 commentaires
15 commentaires
  1. Voila enfin une réponse acceptable à cette affaire.

    Je ne me place généralement pas du coté des pouvoirs juridiques en ce qui concerne les délits sur internet, mais dans le cas présent, la mauvaise fois est évidente.

    Tomber “par hasard”, ou “presque” sur des données qui “devraient” être confidentielles: Ok; Pour moi, ça ne devrait pas être répréhensible.

    Et Bluetouff (et ses avocats) ne semble jouer QUE sur ce point.

    Maintenant, tomber “par hasard”, ou “presque” sur des données qui “devraient” être confidentielles, ET rester sur le site, ET chercher d’autre données, ET pomper l’intégralité des données du site, ne ressort plus du domaine de l’accident …

    On est dans l’acte purement volontaire.

    3k€ d’amende en sont finalement pas une peine absurde pour un bon rappel à l’ordre.

  2. Analyse intéressante sur cette affaire car nombre de billets ont fleuri sur l’interprétation de la loi française selon certains blogueurs , sans forcément avoir de connaissance juridique. Au final on aurait tendance à vouloir que les 2 partis soient déclarés responsables(et dans le meilleur des mondes avec des peines adaptées)

  3. le site de l’ANSES à un soucis de sécurité, mais je ne vois pas en quoi c’est condamnable par un tribunal.

    Imaginez que vous oubliez votre téléviseur dans votre jardin et que le portail soit ouvert. Quelqu’un pourra prendre votre TV, charge à la justice de démontrer qu’il était au courrant, ou pas, qu’il “volait”. Mais en AUCUN cas VOUS ne seriez condamnable.

    Vous êtes dans le pire cas un imbécine, mais c’est tout.

  4. @amapi: attention, ici nous parlons d’OIV, pas d’un simple plan pour un téléviseur. Il existe une obligation législative de maintenir sécurisé les données digitales.
    Alors certes l’ANSES ne parlent pas à beaucoup de gens, mais remplacez cet organisme par le ministère de l’Économie(les impôts) et là il devient de suite plus flagrant que les données numériques sont sensibles et vous serez le premier à hurler si ce ministère protège mal(voir pas du tout) vos données personnelles/sensibles. ici c’est la même chose mais au niveau gouvernementale, vola pourquoi l’ANSES a aussi une responsabilité.

  5. @amapi C’est idiot, si la télé sur le trottoir vous ne seriez pas condamné car vous pourriez penser de bonne foi que le proprio s’en était débarrassé, mais dans une propriété évidemment si ! l’Anses est un organisme public qui détient des données confidentielles, elle doit donc les sécuriser (et avec obligation non pas de moyens mais de résultat, sauf erreur de ma part) : si votre dossier médical était laissé en mode public par votre hôpital, et donc référencé par Google et accessible à tout le monde vous trouveriez ça normal ? Je ne comprends d’ailleurs pas que le parquet n’ait pas également porté plainte contre l’Anses d’ailleurs ?

  6. @shog @argl

    Le parquet n’a probablement pas porté plainte contre l’anses car les données volées, bien que “privées” n’impliquaient pas le “public” (au sens données des citoyens).

    en gros, c’est comme si pôle emploi laissait filer les stats non nominatives sur le nombre de demandeurs d’emplois, ou comme si la cours des comptes laissez filer les données sur les dépenses réelles de l’Élysée.

    On ne peut donc pas imaginer faire comme si l’ANSES était les impôts ou le fisc.

    Digresser vers tout un tas de “possibilité” et de “probabilité” est une bonne méthode pour un godwin point, mais c’est tout.

    Sinon, imaginez que les données “volés” par bluetouff aient été des données de l’armée permettant de fabriquer / déclancher nos armes atomiques … On aurait put “détruire” le monde (ce n’est pas moi qui le dis, mais un des magistrat) …

  7. @amapi : je comprends ce que vous voulez dire, du moins dans votre première phrase, et j’approfondirai la question, mais commencer à parler point Godwin dès qu’on essaie de discuter n’a aucun sens, vous le réalisez ? (car je suis sûr que vous n’êtes pas du genre à troller pour noyer le poisson pour votre exemple de la télévision totalement inepte évidemment 🙂 )

  8. Pour info, cette analyse est partagée pleinement par Maitre Eolas : http://www.maitre-eolas.fr/post/2014/02/07/NON%2C-on-ne-peut-pas-être-condamné-pour-utiliser-Gougleu

    Après, il y a quand même matière à s’interroger : vous tombez par hasard sur des documents clairement confidentiels (genre documents de la CIA sur JFK, de la NASA sur les aliens, de la DCRI sur Karachi, documents qui sont peut-être complètements vides d’intérêt en plus !) mais laissés au vu et au su de tous, il est tout de même assez naturel d’avoir la curiosité d’y jeter un coup d’oeil !

  9. @jarno,

    Il y a une différence entre “jeter un coup d’oeil”, et pomper des giga de données ….

    @argl

    Le point godwin a été ateint par un magistrat dans cette affaire, ce n’est pas une supposition, mais un fait … Justement parce qu’il y a eut GROSSE digression.

    Pour la TV, l’exemple n’était surement pas le meilleur, mais il n’était pas totalement a coté de la plaque. On a bien un lieu (site), avec un bien (donnée), privée mais visible et accessible par tout le monde,

    Si je me base sur les données volées, aucune informations nominatives, seulement des études/stats/avis/recommendations sur l’exploitation/utilisation de molécules/produits/méthodes.

    On est donc pas dans le cas d’un bien (données) capable de modifier le niveau de sécurité de la population (à l’inverse de données sensible sur l’armement).

    Ce n’est donc pas aussi neutre que ma TV, mais ce n’est pas non plus “dangereux” (d’ailleurs les données circulent en ce moment sur le net et ça ne semble pas spécialement faire de remoux …).

    De plus ces données était sur un “extranet” et c’est cet extranet qui était mal sécurisé. Les vraies données sensibles ne sont PAS sur cet extranet (mais sur son réseau interne).

    On diminue encore le niveau de sensibilité de ces données qui finalement, bien que privées, semble plus l’étre “par principe” que par nécessité. On est donc peut être pas sur le même plan que la TV dans mon jardin, mais franchement pas loin (d’ailleurs l’ANSES ne voulais pas poursuivre la plainte à l’origine).

    A savoir aussi que le terme OIV ne signifie pas forcement que la diffusion de ses informations peuvent engendrer des risques pour la population (et dans le cas de l’ANSES c’est même l’inverse, le risque étant plutot pour les certaine carrière politique …)

  10. “Tout d’abord, l’élément matériel de l’infraction ne semble pas faire débat. ”

    En effet, il ne fait pas débat, il n’existe pas, point final.

  11. “il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe”

    Cette affirmation, partagée par eolas, est totalement farfelue. Si un site possède une page d’authentification à la racine, cela n’implique absolument pas que l’ensemble de l’arborescence est forcément privée.

    Prenez simplement Facebook, par exemple. Il y a un formulaire d’authentification à la racine du site, et pourtant, il est possible via Google d’accéder à des profils publics sans être authentifié. Sur n’importe quel extranet aussi, il peut y avoir une partie des documents accessibles publiquement, de manière normale et sans aucune faille ni violation.

  12. My two cents.
    La vrai démonstration de cette affaire est l’incapacité manifeste des magistrats à cerner les faits réels.
    N’en déplaise aux zélateurs du Droit, les faits reposent sur une analyse technique qu’ils sont manifestement incapable de faire.
    Pour commencer, Internet est un lieu public par principe. Ca ne plais pas aux magistrats et à leur supporters, mais voila, c’est comme ça. Il ne s’agit pas d’une lubie mais d’un fait. Les internets ont été conçu de cette façon avec des protocoles ouverts ne prévoyant, à l’origine, aucune sécurité.
    Toute comparaison avec des lieux par essence privé (maison, voiture, jardin…) révèle la profonde incompréhension de ceux qui les utilisent.
    Pour qu’un serveur web donne un document (page web, document pdf…) il faut le lui avoir demandé et que cette demande lui apparaisse légitime. Dans ce cas c’est bien ce qu’il c’est passé, Bluetouff à demandé les documents et il lui ont été volontairement et légitimement donnés par le serveur de l’anses. Qu’il y ait présence d’un formulaire de connexion ne change rien au fait que les documents en question aient put être publics (d’ailleurs ils l’étaient de fait, sinon il n’aurait pas pu les télécharger). Bluetouff n’est pas l’administrateur de l’anses, il ne pouvait donc pas deviner (se douter peut être, mais pas avoir de certitudes) quelles parties de l’extranet était ouvertes, ou pas, au public. Il ne pouvait deviner non plus que la publication des documents relevait d’une erreur (de débutant) dans la configuration du serveur.
    Pour résumer à ce stade, l’accès a été effectué de manière légitime et rien ne pouvait montrer de façon certaine que les documents téléchargés ne devaient pas l’être, donc le maintient frauduleux ne tient pas. Quant au vol, que l’anses dise ce qui lui manque ! En fait rien, les documents sont toujours là ou Bluetouff les a trouvés. Donc, s’il ne manque rien, c’est que rien n’a été volé. La copie était permise et légitime selon la configuration du serveur, c’est aussi un fait.
    Si au niveau du droit la décision des magistrats peut paraitre correcte, ce ne sont pas les bon faits qui ont été jugés.
    Le vrai danger de cette décision est quelle fait peser sur tout utilisateur d’internet le risque de se voir condamner pour avoir consulter des pages manifestement publiques (référencées dans un moteur de recherche public), mais qui finalement, non, ne le sont pas. Bref c’est l’utilisateur final qui se retrouve condamné parce qu’un administrateur incompétent n’a pas bien fait son travail.
    Pour finir sur la publication de l’article de Bluetouff basé sur les dits documents… Bluetouff est (aussi) journaliste (de fait, il publie régulièrement des articles sur des sites d’information). Si demain, les journalistes ne doivent utiliser que des documents légitimement donnés, les journalistes du Canard Enchainé vont finir au violon.

  13. @Elder Avis totalement partagé. Quand on connait la technique et les protocoles du web, on comprend aisément que si l’accès à une ressource sur une simple demande (j’entends bien sans exploiter de faille) est autorisé par le serveur, alors il n’y a pas d’intrusion.
    Bluetouff n’a pas bypassé le serveur, il n’

  14. @Elder Avis totalement partagé. Quand on connait la technique et les protocoles du web, on comprend aisément que si l’accès à une ressource sur une simple demande conventionnelle (j’entends bien sans exploiter de faille) est autorisé par le serveur, alors il n’y a pas d’intrusion.
    Bluetouff n’a pas bypassé le serveur, il n’a pas bruteforcé une authentification, il a simplement demandé des ressources et le serveur a dit “200 ! Ok ! Tiens !”. Il a pas dit “401 ! T’auras rien ! 403 ! T’as pas le droit !”. Que vient faire la “page d’authentification” là dedans ? C’est juste une “ressource” de plus, qui, elle, est effectivement protégée. Donc ils *savent* le faire. Alors pourquoi ne l’ont-ils pas fait sur les autres ressources ? Par ignorance ? Méconnaissance ? Admissible pour des ressources confidentielles censées provenir d’une OIV ?

    Un admin système et réseau sait que la *première* des choses à faire c’est de mettre en place et gérer les droits d’accès aux ressources sur un système. En quoi est-ce que, dès que ça concerne le réseau, la diffusion des ressources, ça doit être différent ? Ils ont des administrateurs système ? Et des personnes *responsables* de ces ressources. Ne sont-ils pas bien plus responsables que Bluetouff ?
    Il n’y a pas eu de vol, juste une demande de photocopie qui a été acceptée. Si tu ne veux pas que ta ressource soit sur la toile, règle n°1, ne l’y mets pas. Ou protège-la.

  15. “Tout d’abord, l’élément matériel ne semble pas faire débat”…
    Justement, si!
    C’est très étonnant ou inquiétant, c’est selon, qu’on le pense.
    Car si on regarde avec du recul, que s’est il passé: Bluetouff a téléchargé des documents d’un site Internet.
    C’est le fait de base, celui-ci est effectivement indiscutable.

    S’est-il introduit sur le site de manière frauduleuse? Non, tout le monde est d’accord.
    Ensuite, qu’y a t il a lui reprocher?
    Surfer sur Internet, télécharger des documents?

    “Voler” des documents? Ils sont toujours disponibles, à ma connaissance. Ils n’ont pas été effacés par Bluetouff (ce qui aurait d’ailleurs pour le coup probablement nécessité un introduction frauduleuse dans le STAD).

    Maintien frauduleux (sans accès frauduleux, c’est coton à comprendre et à imaginer; dans de très rares cas, peut-être pourrait-on trouver une configuration possible dans ce cas)?

    Frauduleux car il s’agissait de documents “confidentiels”

    Aux yeux de qui?
    Pas du serveur de l’ANSES, qui a répondu gentiment à toutes les requêtes de Bluetouff, mais aussi à celles de Google!
    Pas aux yeux de l’ANSES elle-même, qui a renoncé à être partie civile, et qui a déclaré que ces documents ne comportaient aucune données confidentielles…
    Aux yeux des magistrats, du procureur? Parce qu’il y a une page de login quelque part sur le site…! C’est en est risible. Eux mêmes admettent qu’ils n’y pigent rien, mais ils décident que ces documents étaient confidentiels, et que Bluetouff devait nécessairement avoir la même vision.

    On s’écarte, je trouve, furieusement de l’élément matériel, pour être en plein dans l’interprétation (erronée qui plus est), dans l’intention.

    Et en s’appuyant sur une compréhension totalement fausse de l’état de la technique et des comportements sur Internet, on en vient à une interprétation totalement biaisée des intentions de Bluetouff, et à un jugement délirant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *