Publié par Guillaume Champeau, le Mercredi 24 Avril 2013

Accusé de vol de données librement accessibles, Bluetouff est relaxé

En relaxant Bluetouff, qui était poursuivi pour avoir téléchargé des données qui auraient dû rester confidentielles, le tribunal correctionnel de Créteil a indiqué qu'il n'était pas possible de sanctionner le fait d'accéder librement à des données qui n'étaient pas sécurisées.

On ne peut pas être accusé d'accéder frauduleusement à des données qui étaient librement accessibles. C'est logique, mais il fallait qu'un tribunal le dise. PC Inpact révèle ainsi que le blogueur et activiste Bluetouff, qui écrit sur le site Reflets.info, a été relaxé mardi par le tribunal correctionnel de Créteil. Il y comparaissait pour avoir publié une sélection de documents en principe confidentiels, issus de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), auxquels il avait pu accéder sans la moindre difficulté.

Bluetouff avait en effet expliqué dans un article publié en septembre 2012 avoir mis la main au total sur 7,7 Go de données relatives à la santé publique, extraites du serveur extranet de l'ANSES. Il les avaient découvertes très simplement, sans avoir à opérer le moindre piratage, parce qu'elles étaient à ce moment-là indexées par Google, alors qu'elles auraient dû être protégées par un système d'identification obligatoire.

"Après avoir analysé les journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI (Direction Centrale du Renseignement Intérieur) a analysé les adresses IP à partir desquelles avaient été réalisés des téléchargements de fichiers les 27 et 28 août 2012. L’une d’entre elles renvoyait au Panama, et provenait en fait d’un serveur informatique hébergeant une solution VPN qui appartenait justement à une société dirigée par Olivier Laurelli, également connu sous le nom de Bluetouff", explique PC Inpact. "S’en est suivie une perquisition ainsi qu’une garde à vue - prolongée une fois de 24 heures - au cours de laquelle l’intéressé a expliqué avoir pu accéder et télécharger ces données suite à une simple recherche Google, sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question".

Malgré les explications fournies par l'intéressé, le parquet a tout de même souhaité poursuivre Bluetouff pour "accès et maintien frauduleux à tout ou partie d'un système de traitement automatisé de données", un délit prévu par l'article 323-1 du code pénal, puni jusqu'à deux ans de prison et 30 000 euros d'amende. Il était également poursuivi pour "vol" de données (ce qui n'a aucune cohérence juridique s'agissant d'une duplication de données), ce qui était puni de trois ans d'emprisonnement et 45 000 euros d'amende. Il est étonnant que le parquet n'ait pas préféré poursuivre sur le chef de la contrefaçon de données, qui avait beaucoup plus de chances d'aboutir.

Mais constatant qu'il n'y avait eu ni vol ni accès frauduleux, le tribunal a relaxé en toute logique.

Dans le même genre d'affaires, la société nantaise TMG, qui collecte les adresses IP des internautes avertis par l'Hadopi, avait menacé en 2011 de porter plainte - déjà contre Bluetouff, après la divulgation de données qu'elle avait négligé de sécuriser. Finalement, TMG avait retiré sa plainte, a elle-même fait l'objet d'une procédure d'enquête par la CNIL (qui n'a pas abouti à une sanction malgré la sévérité du constat).

Publié par Guillaume Champeau, le 24 Avril 2013 à 15h09
 
21
Commentaires à propos de «Accusé de vol de données librement accessibles, Bluetouff est relaxé»
Inscrit le 02/07/2008
1304 messages publiés
Des données librement accessibles via Google sans piratage d'aucune sorte, qui plus est provenant d'une agence payée par nos impôts. Un jugement parfaitement logique, donc.
Inscrit le 15/07/2009
144 messages publiés
Enfin quelque chose de logique !
Inscrit le 26/11/2003
1840 messages publiés
Ouais et donc ... il c'est fait arreter sans motif valable et pour ça la "justice" lui refile un mars ?

pourquoi ne pas avoir poursuivi google . puisque c'est par le cache du moteur de recherche qu'il accède a l'information et qui, de faite, devient receleur ? hein dite pourquoi ?
[message édité par golem le 24/04/2013 à 15:34 ]
Inscrit le 22/04/2009
595 messages publiés
Parce que google pouvait accéder à ces données sans que l'ANSES n'ait mis en place la moindre sécurisation. Les données étaient accessibles avec la bonne url, elles étaient donc publiées sur un réseau public, que cela soit désiré par l'ANSES ou non.
Inscrit le 30/08/2012
57 messages publiés
Mais dans ce cas pourquoi Google n'a rien eu, car le fichier a était indexé le moteur de recherche de Google donc leur robot et passer sur leur serveur. Donc pourquoi il on poursuivi l'utilisateur car il on relevé sont IP alors que l'IP du robot de Google n'a pas était relevé ?
Inscrit le 22/04/2009
595 messages publiés
Premièrement parce que Bluetouff a communiqué sur la récupération de ces données, attirant l'attention sur lui. Et surtout aprce que google dispose d'une machine juridique beaucoup plus dure à attaquer qu'un petit bloggeur.
Inscrit le 12/10/2009
98 messages publiés
ca me rappelle quand je cherche avec gogole, des infos et qu'il m'indique un forum.
Je clique, réponse : faut s'enregistrer pour voir les posts. un clic sur "cache" de gogole et je peux tout lire sans m'enregistrer. peut être grâce à "google bot".
Inscrit le 16/04/2013
66 messages publiés
Si tu met le UserAgent de Google le résultat est le même, ils «filtrent» pour avoir un maximum d'inscrit :
- Pour lire, les utilisateurs doivent théoriquement s'enregistrer
- Ils sont bien référencés sur Google car ils le laissent passer, pour qu'il indexe bien le forum

Pour en revenir a Bluetooth : 24h de garde à vue pour ça Oo
Inscrit le 03/10/2011
6291 messages publiés
Tu peux aussi utiliser User-Agent switcher, ça marche bien aussi.
Inscrit le 04/06/2009
697 messages publiés
Relaxé, ok, mais quand est-il de la réparation du préjudice ?
Non parce que le monsieur à la touffe bleue :
- on est venu le chercher chez lui
- du matériel à peut-être été confisqué pour preuve
- il a passé un paquet d'heure en cellule
- il a du payer un avocat pour le défendre

Alors ?
On pourrait avoir l'épilogue ?
M'en vais aller lui demander direct je pense ...
Inscrit le 09/08/2010
599 messages publiés
On a jamais autant parlé de la DCRI que ces jours ci on dirait.
Inscrit le 13/08/2010
7584 messages publiés
Détails sur Reflets.info

Et article intéressant concernant le monde des hackers chez Bugbrother, notamment l'interview de Bluetouff en intégralité.
http://bugbrother.bl...-au-vinvinteur/

Edit : la photo "de profil" dans l'article a un peu été prise de face, non ?
[message édité par mosquito33 le 24/04/2013 à 18:11 ]
Inscrit le 15/04/2013
155 messages publiés
Ce mec est louche, la photo le prouve

Inscrit le 13/08/2010
7584 messages publiés
Sûr ! On ne sait pas par quel bout le prendre, si j'ose dire... en photo, je veux dire...
Inscrit le 08/12/2010
214 messages publiés
Au moins, on peut se rendre compte dans cette affaire que quand elle veut, la DCRI est pas trop à la ramasse concernant les nouvelles technologies.
Après, c'est pas dit qu'ils sachent toujours prendre les bonnes décisions quand bien même ils ont toutes les infos en main (cf. Merah, décalage surréaliste entre la direction centrale et ses antennes locales...).
Inscrit le 23/05/2011
75 messages publiés
"Il était également poursuivi pour "vol" de données (ce qui n'a aucune cohérence juridique s'agissant d'une duplication de données)"

Bah alors M. Champeau, et le vol de contenu informationnel alors ?
Inscrit le 10/08/2010
1450 messages publiés
Pour être qualifier de vol (de contenu informationnel), il faut qu'il y est appropriation / privation (du contenu)

Si je te pique un CD avec tes documents, il y a vol du CD, mais aussi du contenu, vu que je te prive aussi du contenu

Si je copie illicitement le contenu de tes documents (photo, scan, copie de fichiers, ....) il n'y a pas vol, mais contrefaçon, n'ayant pas eu l'accord d'effectuer cette copie du contenu.

Et dans le cas de documents librement accessibles, l'intention de copier frauduleusement le contenu / utilisation frauduleuse d'un système informatique ne peut pas être démontré vu que c'était justement fait pour être accessible.
Inscrit le 23/04/2013
143 messages publiés
ca s appelle de la contrefacon... un vol dépossède la victime d un bien.

et donc ou tu te le mets, le fist?

edit : grilled .. arrrrgh
[message édité par crazy downloader le 25/04/2013 à 15:13 ]
Inscrit le 20/08/2010
909 messages publiés
Je trouve que ça craint cette histoire.
Inscrit le 31/05/2011
216 messages publiés
Défaut de sécurisation de vos données? Appelez SuperHadopi?

-> [ ] (suis déjà parti)
Inscrit le 13/09/2007
421 messages publiés
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Avril 2013
 
Lu Ma Me Je Ve Sa Di
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 1 2 3 4 5
6 7 8 9 10 11 12