Krach.in : un blogueur condamné pour avoir traité de sécurité informatique
Un blogueur a été condamné par la justice française à 750 euros d'amende, à la suite de plusieurs articles sur la sécurité informatique.
L'affaire fait beaucoup parler d'elle sur les réseaux sociaux, illustrant aux yeux de plusieurs observateurs le décalage qui existerait entre le monde de la justice et l'écosystème numérique.
Son tort, d'après ses explications ? Avoir rédigé des articles traitant de sécurité informatique, en expliquant pour le grand public comment des méthodes permettent de contourner certaines protections via des faiblesses déjà connues ou en profitant de l'insouciance des utilisateurs. Trois publications en particulier auraient retenu l'attention du tribunal de grande instance :
Le premier portait sur les risques de sécurité avec le WiFi, quand aucune authentification n'est requise ou lorsque celle-ci se contente du protocole WEP alors que celui-ci n'est plus considéré comme sûr. Selon l'auteur de Krach.in, son article expliquait l'utilisation d'un utilitaire open-source (sans doute Aircrack-ng, ndlr) pour tester la sécurité de son réseau WiFi.
Le deuxième présentait un script écrit avec le langage de programmation Python en vue de retrouver le texte brut dans un hashage MD5. "C'était juste un morceau de code python de quelques dizaines de lignes utilisant le service web d'un des nombreux sites (légaux!) permettant de chercher l'équivalence dans leur base de données", indique-t-il.
Le troisième s'est focalisé sur l'outil Teensy 3.0, et sur le fait "qu'en utilisant un microcontrôleur de ce type, il est possible de simuler un utilisateur tapant sur un clavier". Selon le blogueur, c'était une simple démonstration pour montrer l'intérêt de surveiller sa machine et de la verrouiller en cas d'absence.
Selon les premiers éléments, il semble que que le blogueur ait fait une reconnaissance préalable de culpabilité (comparution sur reconnaissance préalable de culpabilité (CRPC)), ce qui signifie qu'il a reconnu avoir commis l'infraction. C'est une sorte de plaider coupable, qui est présentée comme un moyen d'éviter la procédure classique du procès, mais qui scelle le sort du prévenu.
C'est ce que note l'avocat Maître Eolas, sur Twitter. "Il n'est coupable que parce qu'il l'a admis. Il a préféré se reconnaître coupable pour faire des économies. C'est absurde". Mais Olivier Laurelli, qui rencontre lui aussi la pression judiciaire avec l'affaire Bluetouff, assure que l'auteur de Krach.in n'a pas bénéficié des meilleurs conseils de son avocat, qui l'aurait orienté vers le CRPC.
Au regard de la description des faits effectuée par le blogueur Krach.in et du contenu des articles, la condamnation prononcée par le tribunal de grande instance de Saint-Brieuc paraît à première vue exagérée et pose la question du risque lors de la publication de documents traitant de sécurité informatique. Cela étant, le fait d'être passé par la case CRPC a sans doute pesé lourd dans la décision finale.
Nous avons pris contact avec le tribunal de grande instance de Saint-Brieuc et le blogueur afin d'obtenir une copie du jugement, ainsi que des précisions sur cette affaire, en particulier les textes de loi qui ont permis de prononcer cette condamnation. Nous attendons ces informations pour en savoir plus.