Comment une requête sur Google peut-elle valoir 3 000 euros ?
Ca paraît absurde, mais c’est pourtant ce qui est arrivé à Bluetouff, « journaliste hacker » qu’on connaît bien à « Place de la toile » parce qu’il fait partie de l’équipe de Reflets.info, qui a notamment exposé le savoir-faire français en matière de surveillance profonde des réseaux (avant même que « Snowden » ne fasse tout ce raffut).
En l’occurrence, le dévoilement dont Bluetouff a été reconnu coupable n’était pas aussi sensible (quoique), puisqu’il concernait des documents de l’agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (l’Anses) [1].
Que lui reproche-t-on exactement ? De s’être « maintenu frauduleusement » dans la base de données de l’Anses, et d’avoir « volé » quelques 8 000 documents. Comme s’il avait dépossédé la base de ses données, dire ça c’est vraiment méconnaître l’informatique où rien ne disparaît, tout se duplique, mais je passe. Là où ce jugement devient très bizarre, c’est que Bluetouff n’a pas été reconnu coupable d’ « accès frauduleux » à la base de données (autre accusation qui pesait sur lui).
S’il n’est pas coupable d’avoir accédé frauduleusement aux données, c’est-à-dire de piratage — et comment l’aurait-il été puisqu’il est arrivé à ces documents via Google (grâce à une certaine maîtrise de google, certes, mais rien de très compliqué (grâce au moteur de recherche il est possible de restreindre une requête à un type de fichier (si je tape « absurdité » filetype :.pdf dans google, ça me renvoie tous les PDF associés à ce mot))). Puisqu’il n’est pas coupable de piratage donc, que ces données étaient publiques, en clair, comment pourrait-il être coupable du reste ?
L’incurie dans l’affaire est donc d’abord à chercher du côté de l’Anses qui a mal sécurisé son extranet — réseau interne accessible à distance —, puis du côté du parquet qui a fait appel de la première décision du tribunal de Créteil qui avait décidé la relaxe de Bluetouff (relaxe mal digérée manifestement par le parquet), incurie enfin du côté de la cour d’appel de Paris, dont les magistrats à lire le récit de Médiapart, ne se sont pas illustrés par une grande maîtrise du sujet numérique, prononçant « googleuh » au lieu de google et « lodjin » au lieu de login.
Pas envie de rester sur un sentiment d’absurdité donc je cherche à comprendre. Ce qu’on reproche à Bluetouff, ce serait, disent certains, d’avoir téléchargé les documents et de s’en être servi dans un article (cf. captures plus haut) tout en sachant pertinemment qu’ils n’auraient pas du être publics, au lieu de simplement constater l’incurie et de la signaler gentiment à l’Anses pour qu’elle règle le problème (un peu comme on passerait un coup de fil à un voisin qui aurait laissé sa porte ouverte au lieu de lui voler son canapé ; sauf que l’analogie ne fonctionne pas vraiment puisque cette maison n’a pas de murs — à moins de considérer chaque site comme une propriété privée emmurée, chaque site web comme un intranet, ce qui serait quand même inouï — sauf que, comme je le disais, il n’a rien volé à proprement parler.
C’est sur le terrain du droit pénal on ne peut plus classique du vol, où on a 2000 ans de jurisprudence, que la cour s’est mélangée les pinceaux.
Journal d’un avocat, 9 février 2014.
Peut-être qu’en fait ce qu’on lui reproche c’est d’être mal intentionné en général.
Au-delà du cas Anses, une forme de vie, celle du hacker lanceur d’alerte, de toujours chercher la petite bête (comme quand il se penchait sur le site à 400 000 euros de Carla Bruni Sarkozy), d’exposer des failles, et pas seulement informatiques. A ce moment je me dis que ça aurait pu être plus grave, et je repense au cas de Weev, un hacker américain condamné à trois ans et demi de prison pour avoir rendu public des brèches dans le système du géant de la téléphonie ATT, le tout sans commettre, là aussi, d’intrusion frauduleuse ou de piratage !
Pour qu’une requête google coûte plusieurs milliers d’euros, il faut donc s’assurer qu’elle en dise plus long sur le chercheur que sur ce qui est cherché.
- “What Weev did was normal computer behaviour,” says Tor Ekeland, Weev’s Brooklyn-based defence attorney. “You’re talking about typing in a URL and accessing a publicly available server that’s not password protected – and that’s a fucking felony ?”
Esquire, 28/01/2014.
@bluetouff : c'est décidé, on forme le pourvoi devant la Cour de cassation contre cet arrêt inique
— Olivier Iteanu (@iteanu) 6 Février 2014
