Damien Bancal, journaliste fondateur du célèbre site Zataz.com spécialisé dans les questions de sécurité informatique, a été condamné en appel pour avoir fait état de la découverte d’une faille sur le serveur d’une multinationale, qui avait laissé des documents bancaires non chiffrés en libre accès. Dégoûté, il songe à fermer le site.

L’histoire est malheureusement banale dans le milieu de la sécurité informatique. Fin 2008, Damien Bancal publie un petit article sur Zataz.com pour faire état de la découverte d’une faille sur le serveur FTP d’une multinationale dont il a ordre aujourd’hui de taire le nom. Quelques semaines auparavant, fin septembre, un lecteur l’avait prévenu que des documents bancaires parfaitement lisibles avaient été archivés par un moteur de recherche, et qu’ils étaient donc mis en cache et trouvables par n’importe quel internaute. Une faille toute bête (le serveur FTP n’était pas protégé contre les connexions anonymes), mais potentiellement grave de conséquences s’agissant de données personnelles très sensibles.

Avant de publier son article, Damien Bancal avait soigneusement suivi un protocole défini depuis la création du site en 1996 : d’abord alerte la société par e-mail, puis par téléphone, et attendre la correction de la faille avant de publier l’article. Toutes les étapes ont été scrupuleusement suivies, et le journaliste a même reçu les remerciements de la multinationale avant la publication de l’article. « Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement« , a ainsi reçu par e-mail le créateur de Zataz.

Mais deux mois plus tard, le 24 décembre, le journaliste reçoit en guise de cadeau de Noël précoce la visite d’un huissier. La multinationale, soucieuse de protéger son image de marque, l’assigne en référé devant le Tribunal de Grande Instance de Paris. Selon elle, Damien Bancal n’a pu obtenir les informations qu’en piratant lui-même le serveur FTP. Elle le poursuit parallèlement au civil pour obtenir la suppression de l’article, et au pénal pour condamner le journaliste en diffamation. Le tribunal de grande instance accède à la première demande (qui était déjà satisfaite), tandis qu’en première instance le tribunal correctionnel de Paris suit l’avis du procureur et prononce la relaxe.

Ouf.

Sauf que la société, suivie finalement par le procureur (sic), décide d’interjeter appel. La date de l’appel sera connue le 7 octobre.

Entre temps, à la demande de Damien Bancal, la cour d’appel examine la condamnation au civil dont il conteste le bienfondé. La société produit comme preuve du piratage un log qui démontre l’existence de connexions « Anonymous » sur le serveur FTP victime de la faille. Des connexions qui n’ont rien de pirate puisqu’une connexion « Anonymous » réussie désigne simplement une connexion à un serveur FTP qui n’exige pas de login et de mot de passe spécifiques. Mais le juge n’entend pas les explications de Damien Bancal, et le condamne de nouveau à retirer l’article supprimé depuis le 23 décembre 2008, et à payer en plus à la multinationale 3500 euros de pénalités.

« Bref, résume amèrement Damien Bancal, sachez que dorénavant, même avec toutes les preuves du siécle et votre bonne foi, si une entreprise souhaite vous faire taire… Il suffira qu’elle sorte l’argent et qu’elle raconte n’importe quoi à grand coup d’experts à sa solde« .

« J’en ai plein le cul de voir les policiers débarquer chez moi pour X raisons. Plein le cul de communiquer avec le CERTA, la CNIL, … des informations qui permettent de sauver des milliers de Français de l’ardent appétit des pirates. J’ai deux enfants, une vie famille, un taff qui ne paie pas mais que j’aime. Je ne vais pas y laisser ma santé parce que je me suis dit un jour, qu’aider des gens, sans contre partie, sans aucune arrière penser, allait mettre à mal ma famille, mes enfants, ... ».

Le journaliste se donne jusqu’à la fin de la semaine pour prendre une décision sur l’avenir de Zataz. D’ici là, il sollicite les soutiens financiers des internautes qui souhaiteraient l’aider à payer sa condamnation.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !