Plaidoyer pour un blog

Publié le 31 Mai 2015 par JoMendes

Récemment le petit monde de la sécurité informatique francophone s’est ému de la déroute judiciaire vécu par l’auteur du blog krach.in.

Voici un résumé (trop) rapide de l’aventure : Suite à la détection par un « bot » de contenu suspect sur le blog, le domicile de l’auteur a été perquisitionné par la gendarmerie, son matériel informatique saisi et il a ensuite été « invité » pour un entretien avec ces même gendarmes. Suite à la procédure engagé contre lui par la justice, il choisit de plaider coupable et a été condamné à payer une amende de plus de 700 EUR.

Plusieurs points posent question et ont été plus ou moins déjà développés sur la toile :

  • Le «  bot » de la gendarmerie qui fait, avouons-le très « 1984 »
  • L’acception de la CRPC par l’auteur
  • Le réquisitoire du procureur au regard du contenu des articles

Nous sommes en tant que blogueurs francophones sur des sujets sécurités particulièrement sensibles à cette affaire. Il est cependant bien difficile d’être objectif, non seulement compte tenu de ce que nous avons écrit supra, mais également du fait que nous n’avons qu’une version de l’histoire : A notre connaissance, numerama n’a pas fait de retour sur l’issue de sa requête.

A priori, au regard des informations publiées par l’auteur, les motifs de condamnation nous semble assez risibles et en démesure avec les sanctions requises par le procureur.

Néanmoins, il eut été intéressant d’avoir même en off, une version plus détaillée de la gendarmerie ou le point de vue du « parquet » sur cette histoire. N’avoir qu’un point de vue est toujours biaisant.

Pourtant, certains ont préféré ne pas prendre de risque !

Notons ici qu’en matière de SSI, nous en avons bien conscience, toutes les réponses ne peuvent être techniques. Notamment, le droit et la législation de ce domaine en sont des aspects fondamentaux. Et il ne faut pas à notre avis hésiter à les renforcer. Cependant, en pensant au père de Guargantua, il faut un minimum de discernement dans leurs définitions et leurs applications, ce qui sous-entend, d’avoir des élus et des magistrats (juges et procureurs) éclairés voire, rêvons un peu, formés.

L’informatique a cette particularité qu’on peut tester/jouer avec des outils simplement, pour mieux les maitriser les notions et concepts qui ne sont pas toujours triviaux d’un point de vue théorique. Notons que cette méthode est encouragée dans tous les lieux d’enseignement de l’informatique. Qui plus est, la sécurité est encore un domaine d’autodidactes. Même si elles commencent à arriver : rares sont les cursus universitaires poussés dans ce domaine : c’est d’ailleurs un (parmi beaucoup) sujet sur lequel l’ANSSI met l’accent. Chaque personne intéressée par ce domaine doit glaner de l’information là où elle le peut et monter en compétence souvent seule.

Dans toutes les formations que nous avons pu suivre dans ce domaine, toutes sans exception, ont à un moment ou un autre adopté le point de vue de l’attaquant pour illustrer une notion. Beaucoup lors de travaux pratiques, nous ont fait passer à l’acte.

En effet dans cette histoire, ce qui est assez troublant ce sont les faits reprochés à l’accusé :

  • « Offre, cession ou mise à disposition sans motif légitime d’équipement, d’instrument, de programme ou données conçu ou adapté pour une atteinte au fonctionnement d’un système de traitement automatisé de données »
  • « Détention sans motif légitime d’équipement, d’instrument, de programme ou données conçu ou adapté pour une atteinte au fonctionnement d’un système de traitement automatisé de données »

Dommage : il n’est pas fait explicitement références aux équipements, instrument, programme ou données.

« détention de programme » : là, on a envie de tomber aussi bas que le procureur : reproche-t-on aux propriétaires des voitures qui ont des motorisations permettant de dépasser 130km/h d’avoir des engins de la mort adaptés pour une atteinte au code de la route ?

Enfin d’ici peu avec la nouvelle loi sur le renseignement, tous les détenteurs de programmes en C++ seront arrêtés.

Au delà de la dérision, il est vrai qu’avec ce genre de condamnation nous sommes en droit de nous poser des questions :

Nous aimerions tout de même savoir à quels risques on s’expose en téléchargeant une version de Kali ou de metasploit sur son poste ? Cela rappelle dangereusement les abérations américaines en matière d’exportation de crypto.

Et puis, posons-nous la question : quelle sera la prochaine étape  ?

  • A quand une descente de police pendant le SSTIC avec un scan de toutes les machines ?
  • A quand une action en justice contre le MISC pour divulgation de faille et mise à disposition de technique de piratage ?
  • A quand l’arrestation du dangereux développeur d’aircrack (qui aux dernières nouvelles travaille à l’ANSSI) ?

Nous souhaitions également revenir sur ce soi-disant « bot » : est-ce un mécanisme légal ? La question mérite d’être posée notamment au regard de l’affaire Bluetouf.

Si d’ailleurs un juriste ou simplement quelqu’un qui connait la réponse passe sur ce blog, pourrait-il nous éclairer sur les précautions à prendre pour rendre ces scans n’ont valides sur les blogs ? Quelles informations explicites ou non doivent être présentées pour expliquer à nos amis des forces de l’ordre : « Circulez y a rien à voir » ?

Quoiqu’il en soit cela fait un beau précédent judiciaire !

Il ne vous reste que quelques heures pour terminer votre solution au challenge SSTIC : au regard de cet article, attention aux programmes que vous utilisez 🙂

A propos JoMendes

Amateur de mathématiques et d'hexadécimal. Je m'intéresse de près ou de loin suivant mon niveau à tous les sujets de sécurité de l'information.
Cet article, publié dans Sensibilisation, est tagué . Ajoutez ce permalien à vos favoris.

2 commentaires pour Plaidoyer pour un blog

  1. Ping : 504vs560 | Cryptobourrin

  2. Ping : Certains ne devraient pas dire ça | Cryptobourrin

Laisser un commentaire