Journal Le Monde : Un journaliste (zataz) condamné pour avoir signalé une faille de sécurité informatique

Posté par (page perso) .
Tags : aucun
12
24
sept.
2009
La découverte, la correction et la prévention de failles de sécurité seront-elles bientôt* répréhensibles ?

"J'en ai plein le cul de voir les policiers débarquer chez moi pour X raisons." Damien Bancal est journaliste, spécialisé dans la sécurité informatique ; il édite notamment le site Zataz.com, qui traite principalement des failles de sécurité dans les logiciels et les sites. Aujourd'hui, il songe à arrêter son site, après avoir été condamné par la cour d'appel de Paris pour "trouble illicite".

* Le lecteur averti se rappellera par exemple des déboires de hakerz magazines, lorsqu'ils se sont attaqués aux failles des sites de banque en ligne, en pleine propagande sur l'internet sûr qui visait à développer l'économie numérique (LCEN).
- Hackerz Voice is back!
(les archives ont disparu, il ne reste que l'article)
- Le pourquoi du comment :
http://linuxfr.org/comments/679980.html#679980
  • # la suite du journal...

    Posté par (page perso) . Évalué à 1.

    L'article :
    http://www.lemonde.fr/technologies/article/2009/09/23/un-jou(...)

    L'AUTEUR FAIT UN APPEL AUX DONS

    "En attendant l'appel du procès en diffamation, Damien Bancal a lancé un appel aux dons pour régler la note du procès civil, et envisage de fermer son site. "Je ne gagne pas d'argent avec Zataz"**, explique-t-il. "C'est un site que j'alimente en plus de mon travail ; depuis sa création, j'ai contribué à aider 8 000 entreprises et administrations à corriger des failles dans leurs systèmes informatiques. A quoi bon, si c'est pour qu'au final ça me coûte un bras ?" S'il se dit "confiant" pour l'appel du procès en diffamation, "parce que j'ai toutes les preuves de ma bonne foi", il est également las des procédures. Il s'est donné une semaine de réflexion avant de décider de la fermeture du site ou de son maintien."

    ** Pourquoi toute cette pub sur le site si ça ne rapporte rien ?
    On devrait envisager de financer ce type de site avec des dons.
    (non, on n'est pas vendredi)

    --
    il faudrait implémenter une fonction, "vous n'avez pas relu !"
    • [^] # Re: la suite du journal...

      Posté par (page perso) . Évalué à 1.

      Si j'ai bien suivi (j'avais découvert l'affaire par l'article sur PCInpact, http://www.pcinpact.com/actu/news/53155-zataz-plein-le-cul-f(...) ) l'appel aux dons n'est pas pour le fonctionnement du site mais "juste" pour payer les frais de la procédure judicière : avocats, condamnation.

      Vu la pérennité du site (créé en 1998 ou 1999 d'après Wikipedia : http://fr.wikipedia.org/wiki/Zataz ) il semble que soit, le site est rentable, soit le créateur a pu injecté assez d'argent pour le maintenir en vie et donc que la rentabilité du site n'était pas vitale.
      • [^] # Re: la suite du journal...

        Posté par (page perso) . Évalué à 4.

        l'appel aux dons n'est pas pour le fonctionnement du site mais "juste" pour payer les frais de la procédure judicière : avocats, condamnation.

        ...Ce qui ne fera pas plaisir au prochain juge, vu que l'appel au don pour payer une condamnation est interdite en France.
        C'est pas comme ça qu'il va pouvoir montrer sa "bonne foi"!
        • [^] # Re: la suite du journal...

          Posté par . Évalué à 6.

          Payer la procédure ça ne me semble pas la même chose que payer la condamnation. Par exemple, un bon avocat, ça coûte de l'argent quelque soit l'issue du procès.
  • # Résumé de l'affaire

    Posté par . Évalué à 2.

  • # Petite correction

    Posté par (page perso) . Évalué à 3.

    La découverte, la correction et la prévention de failles de sécurité seront-elles bientôt* répréhensibles ?

    Bon, OK, c'est dégueulasse ce qui lui arrive, mais pas la peine de propager les "erreurs" qu'il raconte : ce n'est pas pour sa découverte, ni sa correction, ni sa prévention, mais pour la mauvaise publicité qu'il apporte en en faisant un article sur son site que Zataz est attaqué (et perd).

    Alors certes c'est la publication de la faille qui donne envie aux gens de trouver les failles, mais dire que la découverte et la correction d'une faille est/sera répréhensible est faux, Zataz essaye dans sa "publicité pour internautes" de mélanger les deux parties (d'un côté découverte + correction, de l'autre publication) pour qu'on le soutienne, la réalité, bien que pas respectueuse des habitudes sur la sécurité informatique (c'est à mon sens normal d'avoir une mauvaise publicité quand on fait une connerie) est un peu moins sexy (la société a attaqué juste pour la partie "publication").

    Bon, sinon, l'interdiction de citer le nom de l'entreprise attaquante est seulement pour Zataz, donc ici on peut : c'est Forever Living Products.
    Source : http://www.legalis.net/breves-article.php3?id_article=2587
    (comme quoi, certains n'ont pas encore compris que ce genre de procès amène encore plus de mauvaise publicité à l'entreprise attaquante que si ils ne l'avaient pas fait, car ça serait resté sur Zataz.com, maintenant la toile française va être au courant. Combien faudra-t-il de procès certes gagnés pour que les entreprises comprennent que le remède est pire que de se faire un peu taper sur les doigts pour la mauvaise sécurité?)
    • [^] # Re: Petite correction

      Posté par . Évalué à 6.

      moi ce que je comprends de la lecture de l'article de legalis c'est que comme l'expert n'a pas pu reproduire l'accès anonyme après la correction de la faille par FLP, le premier accès est forcément frauduleux donc condamnation.

      Bon après je suis ni juriste de profession, ni expert informatique en sécurité accrédité par un tribunal :


      Que l’échec rencontré par les auteurs de tentatives de connexions anonymes, constaté par l’expert à l’examen des fichiers logs depuis le 10 septembre 2008 (pages 19 pièce n°4), mises en œuvre en particulier depuis la Russie (page 12, 20) et la Turquie, accrédite le fait que celles-ci n’étaient pas autorisées comme il apparaît dans la rubrique des comptes de sécurité du serveur (page 9) ; que de plus, le défendeur ne démontre nullement que le seul affichage comme mot de passe de l’adresse de courriel du moteur ci-dessus évoqué a permis de donner accès au serveur les 11 et 28 septembre ; qu’enfin, c’est l’autre utilisateur identifié par la première adresse IP (se terminant par les deux derniers chiffres 37) qui a réussi en premier lieu le 29 septembre à obtenir l’accès, traduit par l’affichage en guise de mot de passe, de l’adresse électronique (pièce n°12 du défendeur) d’un navigateur, autre qu’internet explorer évoqué dans les écritures du défendeur (page 2) ; que l’accès n’a pu être obtenu à l’aide de l’adresse IP se terminant par les chiffres 31 identifiant Damien B., à l’aide du même mot de passe ; que le 2 octobre suivant, deux minutes et vingt-trois secondes après la fin d’une nouvelle connexion obtenue de la même manière par l’utilisateur s’identifiant par l’adresse IP citée ci-dessus (pièce n°4, annexe 2, page 2) ;


      Sur ce, moi je vais me faire médecin comme ça j'aurais le droit de parler des virus que je rencontre au travail.


      Ah merde non, terrorisme biologique
    • [^] # Re: Petite correction

      Posté par . Évalué à 4.

      Non, il n'a pas été condamné QUE pour ça.

      De plus, il est à noter que la société ne lui a jamais demandé de retirer l'article, mais qu'il y a eu le procès. A partir de la notification, il a supprimé l'article en ligne. On lui demande aussi et surtout de supprimer l'ensemble des fichiers qu'il aurait pu télécharger via ce "piratage"

      De plus, en reprenant le jugement :
      "Attendu que l’ensemble, [...] constitue dans cette mesure un trouble, dont le caractère est manifestement illicite"

      et :
      Que le défendeur n’est donc pas capable de démontrer qu’il a conservé la maîtrise sans solution de continuité du processus l’ayant conduit jusqu’aux données du serveur ; qu’il précise ainsi n’avoir pu identifier son informateur

      En gros, on dit qu'il n'a aucune preuve qu'il n'a pas "pénétré" le système de manière illégale et s'y es maintenu. Que la société, grâce à son expert, montre que ce qu'il a fait n'aurait pas dû être possible.

      En gros, on lui reproche de mentir (d'après FLP, la zone était sécurisé et tout), de ne pas "balancer"/pouvoir identifier son informateur (la liberté de presse pourtant, au sujet des informateurs?), et de s'être introduit dans un système sécurisé. (Selon l'expert et l'examen des logs), et d'utiliser un moteur de recherche pour pirate pas connu du grand public.

      C'est loin d'une simple demande de suppression d'article comme vous le suggérez, il me semble...
    • [^] # Re: Petite correction

      Posté par . Évalué à 4.

      > ce n'est pas pour sa découverte, ni sa correction, ni sa prévention, mais pour la mauvaise
      > publicité qu'il apporte en en faisant un article sur son site que Zataz est attaqué (et perd).


      Non, il a gagné le procès en diffamation en première instance (l'entreprise d'aloé vera a fait appel). Donc le procès pour "mauvaise publicité" proprement dit a été gagné par notre ami, sur la base de sa bonne foi (aucune intention de nuire).

      C'est bien le deuxième procès, dont je n'ai pas vraiment compris le chef d'accusation (trouble illicite ???) qu'il a perdu en première instance et en appel. Je ne sais pas s'ils ont utilisé la loi qui punit l'introduction dans un système informatique ou autre chose.

      Après, bien sur, les deux actions en justice sont motivées par le préjudice d'image pour la société. Je pense que nos amis producteurs d'aloé vera feraient mieux d'étudier l'effet Barbara Streisand ...
      • [^] # Re: Petite correction

        Posté par (page perso) . Évalué à 1.

        Effectivement, je suis allé un peu vite en besogne.
        Donc si je résume plus en c'est la publication de l'article qui a déclenché les foudres judiciaires, et FLP a utilisé les saloperies de lois qui empêchent de montrer les failles de sécurité pour faire taire Zataz, ça devrait mieux refléter la réalité?

        Toujours est-il que la conclusion pour FLP est la même : ils vont en avoir de la publicité gratuite :), dommage que certains doivent payer pour les autres (comme pour le téléchargement illégal au final...), dommage que la justice ne réagisse pas quand elle est manipulée.
        • [^] # Re: Petite correction

          Posté par (page perso) . Évalué à 6.

          >dommage que la justice ne réagisse pas quand elle est manipulée.

          Je crois que tu te trompes, à mon humble avis. La loi n'a pas été manipulée, c'est juste que c'est une _mauvaise loi_ (lcen ou dadvsi).

          Il ne faut pas croire ce que disent les gens : que nous hurlons au loup pour rien et que nous voyons des complots mondiaux. La loi est d'interprétation stricte, au moins au pénal, et elle est utilisé par les bons et les méchants aussi. Peut importe celui qui a raison, c'est celui qui saura le mieux utiliser la loi (celui qui a le plus de fric) qui in finé aura satisfaction. Eolas le répète bien : la loi n'est pas la morale : c'est un code presque mathématique dont les rouages sont des théorèmes que l'on met en action lors d'un raisonnement qui conduit à la conclusion.

          Et chaque fois qu'on montre que l'on peut faire un mauvais usage de la loi, cela veut dire que l'on _peut_ faire un mauvais usage tant que le texte n'a pas été modifié et que ce mauvais usage sera fait : comme là par exemple. En plus, même gagnant, il ne peut pas demander le remboursement de ses frais d'avocats (car c'est au pénal). Il l'a DSC. Ce que cela montre par contre, c'est la manière de Forever Living Products à de traiter les affaires, et donc ses clients aussi. Je n'aimerais pas être client de Forever Living Products ayant de problèmes avec leurs produits car je ne pense pas que Forever Living Products soit très sympa avec moi si je suis obligé de porter l'affaire en public car Forever Living Products à du mal à admettre qu'ils se sont trompé.

          Nous ne sommes pas des cons à hurler à la mort, la preuve ici. La seule manière est d'aller jusqu'a la CEDH après la cassation pour faire condamner la france - qui se traine d'ailleurs un paquet de condamnation qui montre bien _dans les faits_ que si nous ne sommes pas en dicature nous n'en sommes pas moins dans un pays bien peu respectueux des dits droits de l'homme.
  • # Zataz.com est-il de qualité ?

    Posté par (page perso) . Évalué à 6.

    J'ai fouiné un peu sur le site à la recherche de son intérêt mais je dois avouer que je ne le trouve pas. Si l'on s'intéresse réellement à la sécurité informatique, ça ne me semble pas être le genre de sites appropriés : informations certes sur le sujet mais peu précises et donc inefficaces.

    Et vous, vous en pensez quoi ?
    • [^] # Re: Zataz.com est-il de qualité ?

      Posté par (page perso) . Évalué à 4.

      A peu près la même chose. En fait je suivais ce site il y a quelques années, mais j'ai laché l'affaire à la suite d'un brusque changement de style éditorial (presque du jour au lendemain, il est passé à un style GCU).
    • [^] # Re: Zataz.com est-il de qualité ?

      Posté par . Évalué à 7.

      Zataz, c'est quand même le site qui a annoncé qu'une board warez avait été démantelé par la police (avec des détails) alors qu'elle souffrait d'un problème technique ...
      Mais bon, ca aurait très bien pu être le cas, c'est sûr qu'avoir une info que personne n'a, ça fait de la pub et du buzz ... Mais ce genre de pratique reste discutable.
  • # Trouble à caractère manifestement illicite

    Posté par (page perso) . Évalué à 8.

    Il a été condamné pour trouble à caractère manifestement illicite. Vous savez ce qu'est ce délit ? Ça a l'air propre à condamner n'importe qui pour n'importe quoi, avec un titre pareil.
  • # Suite de l'affaire Zataz

    Posté par (page perso) . Évalué à 1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.