|
|
Condamné en appel, Zataz en a "plein le cul" et songe à fermer
Guillaume Champeau -
publié le Mardi 22 Septembre 2009 à 16h04 -
posté dans Société 2.0
 Damien Bancal, journaliste fondateur du célèbre site Zataz.com spécialisé dans les questions de sécurité informatique, a été condamné en appel pour avoir fait état de la découverte d'une faille sur le serveur d'une multinationale, qui avait laissé des documents bancaires non chiffrés en libre accès. Dégoûté, il songe à fermer le site. L'histoire est malheureusement banale dans le milieu de la sécurité informatique. Fin 2008, Damien Bancal publie un petit article sur Zataz.com pour faire état de la découverte d'une faille sur le serveur FTP d'une multinationale dont il a ordre aujourd'hui de taire le nom. Quelques semaines auparavant, fin septembre, un lecteur l'avait prévenu que des documents bancaires parfaitement lisibles avaient été archivés par un moteur de recherche, et qu'ils étaient donc mis en cache et trouvables par n'importe quel internaute. Une faille toute bête (le serveur FTP n'était pas protégé contre les connexions anonymes), mais potentiellement grave de conséquences s'agissant de données personnelles très sensibles. Avant de publier son article, Damien Bancal avait soigneusement suivi un protocole défini depuis la création du site en 1996 : d'abord alerte la société par e-mail, puis par téléphone, et attendre la correction de la faille avant de publier l'article. Toutes les étapes ont été scrupuleusement suivies, et le journaliste a même reçu les remerciements de la multinationale avant la publication de l'article. "Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement", a ainsi reçu par e-mail le créateur de Zataz. Mais deux mois plus tard, le 24 décembre, le journaliste reçoit en guise de cadeau de Noël précoce la visite d'un huissier. La multinationale, soucieuse de protéger son image de marque, l'assigne en référé devant le Tribunal de Grande Instance de Paris. Selon elle, Damien Bancal n'a pu obtenir les informations qu'en piratant lui-même le serveur FTP. Elle le poursuit parallèlement au civil pour obtenir la suppression de l'article, et au pénal pour condamner le journaliste en diffamation. Le tribunal de grande instance accède à la première demande (qui était déjà satisfaite), tandis qu'en première instance le tribunal correctionnel de Paris suit l'avis du procureur et prononce la relaxe. Ouf. Sauf que la société, suivie finalement par le procureur (sic), décide d'interjeter appel. La date de l'appel sera connue le 7 octobre. Entre temps, à la demande de Damien Bancal, la cour d'appel examine la condamnation au civil dont il conteste le bienfondé. La société produit comme preuve du piratage un log qui démontre l'existence de connexions "Anonymous" sur le serveur FTP victime de la faille. Des connexions qui n'ont rien de pirate puisqu'une connexion "Anonymous" réussie désigne simplement une connexion à un serveur FTP qui n'exige pas de login et de mot de passe spécifiques. Mais le juge n'entend pas les explications de Damien Bancal, et le condamne de nouveau à retirer l'article supprimé depuis le 23 décembre 2008, et à payer en plus à la multinationale 3500 euros de pénalités. "Bref, résume amèrement Damien Bancal, sachez que dorénavant, même avec toutes les preuves du siécle et votre bonne foi, si une entreprise souhaite vous faire taire... Il suffira qu'elle sorte l'argent et qu'elle raconte n'importe quoi à grand coup d'experts à sa solde". "J'en ai plein le cul de voir les policiers débarquer chez moi pour X raisons. Plein le cul de communiquer avec le CERTA, la CNIL, ... des informations qui permettent de sauver des milliers de Français de l'ardent appétit des pirates. J'ai deux enfants, une vie famille, un taff qui ne paie pas mais que j'aime. Je ne vais pas y laisser ma santé parce que je me suis dit un jour, qu'aider des gens, sans contre partie, sans aucune arrière penser, allait mettre à mal ma famille, mes enfants, ...". Le journaliste se donne jusqu'à la fin de la semaine pour prendre une décision sur l'avenir de Zataz. D'ici là, il sollicite les soutiens financiers des internautes qui souhaiteraient l'aider à payer sa condamnation. à lire aussi
  Prix indiqués avec livraison
62
Commentaires à propos de «Condamné en appel, Zataz en a "plein le cul" et songe à fermer»
 ""Des connexions qui n'ont rien de pirate puisqu'une connexion "Anonymous" réussie désigne simplement une connexion à un serveur FTP qui n'exige pas de login et de mot de passe spécifiques"
Ce ne serait pas ce que notre (très) chère HADOPI 2 appellerait une "négligence caractérisée" ? Elle est où la condamnation du sysadmin pour n'avoir pas sécurisé son serveur ? Il y a vraiment 1 poids 2 mesures dans cette justice... enter, le 22/09/2009 - 16:35 >>>"Des connexions qui n'ont rien de pirate puisqu'une connexion "Anonymous" réussie désigne simplement une connexion à un serveur FTP qui n'exige pas de login et de mot de passe spécifiques" D'un côté la société est effectivement coupable de ne pas protéger ses fichiers. Mais d'un autre côté, ce n'est pas parce que tu laisses ta porte ouverte que ton voisin as le droit de rentrer chez toi. Même avec les meilleures raisons du monde, c'est volontairement et de manière consciente qu'il s'est connecté sur le ftp de la société. Et ça, c'est interdit.  Timekeeper, le 22/09/2009 - 19:39 C'est encore la faute à Anonymous  Ah non, vous faites erreur. Je n'y suis strictement pour rien. La règle là dedans c'est tu fermes ton clapet si tu vois une faille. Sinon ça se retournera toujours contre toi. Il y a un gars qui voudra conserver son boulot et dire un ou deux mensonges ne le gênera pas. Donc autant prendre les devants et les laisser dans leur merde car se prendre le stress d'une plainte plus les frais que cela engendre c'est cher payer pour de la bonne volonté. Après, si les sites ont des problèmes, ce ne sera pas de notre faute. C'est vraiment un conseil que je donne, moins vous en faîtes et mieux vous vous portez.
 Vous êtes pour certains, et je pèse mes mots, des débiles de vous réjouir du maheur des autres, même si ça semble mérité.Mais d'après ce que je lis le mec n'a finalement rien fait de mal, c'est son site, il le gère comme il le veut, combien d'entre vous on réussi à avoir un site tenu pendant tant de temps ? En vous lisant vous et votre rage je me dit que les système de délation en place et les futur vont avoir du succès.Bref dans tout les cas c'est un abus du système et au lieu de le soutenir vous lui crachez dessus, vous faites tiep, comme voulez vous être crédible en tant que anti hadopi ?
 heuuu je suis désolé, mais là, c'est tout le monde qui a plus ou moins tort.
Le seul en cause... est le responsable informatique de la société, d'un c'est une faute grave(l'oubli de bloquer les connexions anonymes), de deux c'est de la diffamation d'accuser sans pouvoir prouver que ce soit bien Damien Bancal(l'article ne dit pas si l'entreprise ou tout du moins le RSI à montrer des logs où son IP a été prélevé) qui a accédé à ce serveur. Et de 3, c'est une plainte abusive, car au lieu de reconnaître ses torts, pour se protéger, le RSI a fait aller la direction de l'entreprise devant les tribunaux. Donc oui certes, zataz est zataz, on l'aime ou on l'aime pas peu importe(perso la façon de présenter les choses ne m'a jamais plu), mais là par contre, concernant ce problème particulier, tout les torts vont au rsi de l'entreprise. Donc je pense qu'en tapant là où ça fait mal(sur le rsi et non pas l'entreprise, car elle ne fait que suivre l'avis de son soit-disant spécialiste), il y a de quoi faire, car pour ne pas se faire taper sur les doigts, là il vient tout simplement de se mettre une épée de Damoclès au-dessus de la tête.  enter, le 22/09/2009 - 16:35 >>>"Des connexions qui n'ont rien de pirate puisqu'une connexion "Anonymous" réussie désigne simplement une connexion à un serveur FTP qui n'exige pas de login et de mot de passe spécifiques" D'un côté la société est effectivement coupable de ne pas protéger ses fichiers. Mais d'un autre côté, ce n'est pas parce que tu laisses ta porte ouverte que ton voisin as le droit de rentrer chez toi. Même avec les meilleures raisons du monde, c'est volontairement et de manière consciente qu'il s'est connecté sur le ftp de la société. Et ça, c'est interdit. Ensuite, l'article n'explique pas ce que contiennent les logs fournis par la société. Est-ce que c'est juste une connexion à la racine du ftp, montrant par là que le ftp est ouvert. Ou est-ce que c'est le parcours de l'arborescence du ftp, avec téléchargement de fichiers ? Pour reprendre la métaphore de la maison, est-ce que ton voisin a juste poussé ta porte pour constater qu'elle n'est pas fermée à clé ou est-ce qu'il en a profité pour visiter la maison et prendre des photos ?
Si on reprend la métaphore du commerce il s'agit de parcourir les rayons, les cabines d'essayages, voire les étages, en fait tous les lieux délibérément mis en accès libres et non signalés comme interdits ou privés. Après avoir découvert ce dysfonctionnement et l'avoir signalé, c'est aussi une mauvaise publicité faite à la société. Comment réagirais-tu si ton voisin expliquait à tout le quartier que tu es une grosse buse qui ne sait pas fermer sa porte à clé ?
L'incitation à commettre un délit (si c'est le point de vue choisi) rend irrecevables toutes les preuves recueillies. De plus il y a quelques années la loi informatique et liberté sanctionnait (de plusieurs années de prison) la simple négligence de protection des données personnelles... Nous n'avons là qu'une version des faits, celle de Zataz. Or, pour se faire une opinion, ça aurait été bien d'avoir également la version de l'autre partie.
Manifestement la société en question utilise tous ses moyens pour s'en prendre à Zataz qui n'a fait que rapporter des insuffisances (pour ne pas dire des négligences) dans la sécurité informatique de cette société. Peut être espère-t-elle ainsi rattraper le coup auprès de sa clientèle en faisant d'un innocent un coupable. Ce qui moralement est à gerber, pardonnez-moi l'expression. Il serait temps d'inverser la tendance et de rééquilibrer le droit des citoyens et celui des entreprises.Pour l'analogie avec la porte de la maison. Je dirais plutôt que si tu mets tes informations concernant ton accès à ton compte bancaire sur le trottoir, un mec vient te le dire. Tu le remercies, mais quelques jours plus tard, tu apprends qu'il en a parlé à tous tes voisins, du coup, tu dis que c'est du vol, que c'est comme s'il avait pénétré chez toi, violé ta femme, â€
 Hiro, le 22/09/2009 - 21:27 Vous êtes pour certains, et je pèse mes mots, des débiles de vous réjouir du maheur des autres, même si ça semble mérité.Mais d'après ce que je lis le mec n'a finalement rien fait de mal, c'est son site, il le gère comme il le veut, combien d'entre vous on réussi à avoir un site tenu pendant tant de temps ? En vous lisant vous et votre rage je me dit que les système de délation en place et les futur vont avoir du succès.Bref dans tout les cas c'est un abus du système et au lieu de le soutenir vous lui crachez dessus, vous faites tiep, comme voulez vous être crédible en tant que anti hadopi ?Excuse moi d'atteindre le point godwin si vite, mais la comparaison vaut ce qu'elle vaut mais elle me parait pertinente : Quand un résistant finis dans les Camps, je suis deg. Quand c'est un collabo qui finis dans les Camps pour avoir gratté un ticket de rationnement, après avoir dénoncé ses voisins et ses amis, désolé, j'arrive pas à pleurer sur son sort. Pourtant je sais que personne ne devrait finir dans un Camp hein. Mais sans aller jusqu'à me réjouir, je trouve juste que bah, tant pis pour sa gueule, j'ai pas de tristesse à avoir pour un collabo, jpréfère garder mes larmes pour des mecs qui le méritent davantage. Là, toutes proportions gardées bien-sûr, c'est le même raisonnement. Un collabo des diabolisateurs du net, un monsieur propre du net propre, tombe. Et faudrait que je le plaigne ? Désolé, je préfère garder mon quota de tristesse pour les mecs de TPB. Eux au moins m'inspirent le respect depuis des années.  Il ne s'agit pas de pleurer ou pas sur le sort de quelqu'un mais d' EQUITE pour tous devant la justice.
Quon soit le plus gros c... de la terre ou pas! Et c'est ce qu'on appelle le droit fondamental premier.  je me rappelle d'un informaticien qui avait découvert une faille dans la sécurité de la carte bancaire, il en, a parlé aux grand groupes bancaire en leur proposant de bosser pour eux pour corriger le problème... et...ils l'ont fait mettre en taule pour s'emparer de ses découvertes gratuitement ! ! !
 >>>"Donc, si je te suis, je passe devant une maison, et je vois qu'il y a un début d'incendie. "
Il n'y a pas de début d'incendie. Il y a juste une porte ouverte. >>>"Enter, fervent défenseur des multinationales et des majors de l'industrie du disque " Pourquoi ? Parce que je pose des questions ? A savoir que je n'aime jamais avoir uniquement un son de cloche. >>>"Sauf que le serveur FTP était référencé par un moteur de recherche, et c'est justement ce fait qui a attiré l'attention sur la faille." Et alors ? Et si tu pars de chez toi en laissant ta porte grande ouverte, tout le monde le voit. Est-ce pour ça que n'importe qui a le droit d'entrer ? >>>"Simplement pour montrer l'ampleur que pourraient avoir les conséquences de la faille." C'est quoi le but du jeu ? Prévenir la société qu'elle a une faille ? Ou faire du buzz (entendre publicité) pour son site en disant "regardez ce que j'ai trouvé" >>>"Ca s'appelle le droit à l'information et la liberté d'expression, mauvaise pub ou pas mauvaise pub." Donc si un jour tu perds ton portefeuille, au nom du droit à l'information et à la liberté d'expression, j'aurais le droit de mettre sur Internet ton numéro de carte bleue, des scans de ta carte d'identité et ton RIB ? Tu oublies juste un truc : les informations qu'il a récupéré, ce ne sont des informations obtenues en entrant dans un système d'informations dans lequel il n'avait pas le droit d'entrer, même si ce système était ouvert. Ce n'est pas parce que tu as la possibilité d'entrer quelque part que tu as le droit d'y entrer, puis de raconter ce que tu y a vu. Ca me paraît ahurissant qu'il faille rappeler ces évidences.  enter, le 23/09/2009 - 10:29
>>>"Sauf que le serveur FTP était référencé par un moteur de recherche, et c'est justement ce fait qui a attiré l'attention sur la faille." Et alors ? Et si tu pars de chez toi en laissant ta porte grande ouverte, tout le monde le voit. Est-ce pour ça que n'importe qui a le droit d'entrer ?  Surtout en tenant compte qu'il existe quantité de serveur FTP en libre accès sur le Net ? Sûrement pas ! Et les serveurs HTTP, es-tu au courant qu'ils ont eux aussi une "porte grande ouverte" sans laquelle le Web n'existerait tout simplement pas ? Stop avec les analogies, ça fait dire des énormités ! enter, le 23/09/2009 - 10:29
>>>"Simplement pour montrer l'ampleur que pourraient avoir les conséquences de la faille." C'est quoi le but du jeu ? Prévenir la société qu'elle a une faille ? Ou faire du buzz (entendre publicité) pour son site en disant "regardez ce que j'ai trouvé" enter, le 23/09/2009 - 10:29
>>>"Ca s'appelle le droit à l'information et la liberté d'expression, mauvaise pub ou pas mauvaise pub." Donc si un jour tu perds ton portefeuille, au nom du droit à l'information et à la liberté d'expression, j'aurais le droit de mettre sur Internet ton numéro de carte bleue, des scans de ta carte d'identité et ton RIB ? enter, le 23/09/2009 - 10:29
Tu oublies juste un truc : les informations qu'il a récupéré, ce ne sont des informations obtenues en entrant dans un système d'informations dans lequel il n'avait pas le droit d'entrer, même si ce système était ouvert. Ce n'est pas parce que tu as la possibilité d'entrer quelque part que tu as le droit d'y entrer, puis de raconter ce que tu y a vu. Ca me paraît ahurissant qu'il faille rappeler ces évidences.  Si demain je laisse en accès libre toutes les données de mon disque dur par FTP, je ne pourrai m'en prendre qu'à moi-même, car les internautes n'avaient aucun moyen de savoir que c'était involontaire ! Si en revanche, je demande un login et un mot de passe, c'est que l'accès est volontairement restreint aux seules personnes autorisées ! un ftp est identique a un serveur http, il n'y a pas de difference
:huh: [...] enter , mais t'est d'une truffe dans tes comparaison c'est pas croyable ton inculture informatique  FTP = HTTP ?? Et ça parle d'inculture informatique XD Bref, s'il te plaît, apprends ce qu'est le FTP, ce qu'est un serveur HTTP, et les différences entre les deux, et puis tu reviendras nous montrer ta culture informatique, mmh ?  Il n'y a pas de début d'incendie. Il y a juste une porte ouverte.
Mmh... Pour donner à mon tour une comparaison, ce n'est pas la maison du voisin dont la porte est ouverte, et il n'y a pas d'incendie, mais le bâtiment est celui d'une entreprise d'armement, et par la porte ouverte on voit un stock de grenades et d'armes à feu sans surveillance. Qui plus est, on sait qu'il y a régulièrement des terroristes (encore eux  ) qui passent par ici. Peut-on, en conscience, décider de ne pas aller vérifier la sécurité des locaux si l'on est prévenu de la situation ? Puis, une fois l'absence de surveillance mise en évidence, décider de ne pas prévenir la société en question ? Tu oublies juste un truc : les informations qu'il a récupéré, ce ne sont des informations obtenues en entrant dans un système d'informations dans lequel il n'avait pas le droit d'entrer, même si ce système était ouvert.
C'est là tout le travail des experts en sécurité : tester les failles pour empêcher que des personnes aussi compétentes mais plus mal intentionnées ne s'en servent pour causer des dégâts (cf. ma métaphore ci-dessus). Il n'a pas récupéré d'informations, il a juste vérifié la possibilité d'y accéder de l'extérieur.C'est eux :
Forever Living Products France 107, boulevard Malesherbes 75008 PARIS Standard : 01 45 00 05 50 Call-Center : 01 70 39 22 22 Preuve : http://www.legalis.n...id_article=2587 Moi j'aime bien enter. Il me rendrait presque Damien Bancal sympathique tellement il comprend rien et il est de mauvaise foi.
De toute façon, à l'heure actuelle, rien n'indique que Damien Bancal a fait quelque chose de pénalement répréhensible. C'est au civil qu'il a été condamné. Pour enter et ses comparaisons foireuses : Si tu achètes 100m² de forêt, au milieu d'un bois public, pour y planter des arbres fruitiers et manger des fruits gratos, et que tu ne met aucune clôture, aucune barrière, aucune porte, et aucune indication indiquant que l'entrée est interdite. Si une personne entre dans ces fameux 100m² et ne dégrade rien, ne vole rien, s'il découvre qui est le proprio parce que c'est écrit sur un arbre, qu'il lui écrit pour lui dire "monsieur vous devriez mettre une cloture, j'ai failli penser que ces noisettes étaient publiques et certains s'embarasseront pas de se poser la question", et se contente de dire aux gens, "j'ai trouvé un coin dans un bois, et j'ai découvert qu'en fait il était privé, mais ptain ça se voit pas parce que le proprio a rien cloturé", et qu'il précise rien du lieu et de ce qu'on trouve dans ces 100m², hébah nan, il a rien à foutre au tribunal. On va quand-même redire les choses : Non ce que Damien Bancal a fait n'est pas "mal". Oui en soi c'est dégueulasse qu'il soit condamné. C'est juste que l'arroseur arrosé, bah ma foi, il y survivra et au moins il se calmera ptèt avec son jet d'eau ce qui serait pas un mal.
|
A LA UNE
LES + COMMENTÉS
  3 offres à partir de 1250 €
Télécharger
emule island,
logiciel alcatel,
ultrasurf,
total video converter,
voissa anonymo,
online tv adult,
antivirus avast,
my torrent client,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
It