lundi 10 février 2014

Bluetouff et gogleuh

Vous n'avez pas pu le rater, Bluetouff est désormais un cybercriminel.

Résumé des faits : Bluetouff cherche à l'aide de Google diverses données. Il tombe sur le site web de l'Anses qui contient des documents très intéressants. Il en télécharge plusieurs, et commente certains d'entre eux sur le site de reflets. L'Anses s'émeut du fait de trouver ses documents et décide de mener une enquête.
Bluetouff se voit donc face à la justice, et tout geek un minimum versé dans la technique ne voit pas d'autre issue dans ce procès que la relaxe puisque Bluetouff n'a rien fait d'autre que de télécharger des documents accessibles publiquement.

Le jugement en appel, décidé par le parquet uniquement (l'Anses n'a pas voulu poursuivre la procédure) montre le contraire puisque Bluetouff est condamné. On a pu voir fleurir un bon nombre de commentaires mi amusé, mi ecoeuré sur le thème: la justice n'y connait rien, et utiliser gogleuh n'a rien de répréhensible. Le jugement est pourtant très clair et n'a rien à voir avec Google.

Le jugement, public, est disponible : Arrêt Bluetouff. Il se lit très bien (6 pages). Les juges vont devoir qualifier en droit les actes qu'on leur a soumis. Le procès va donc chercher à éclaircir trois points, pour juger de ces trois infractions:
1/ Bluetouff s'est introduit de manière frauduleuse dans le site de l'Anses
2/ Bluetouff s'est maintenu frauduleusement dans le site de l'Anses
3/ Bluetouff a volé des données sur le site de l'Anses

Et là, les juges vont faire du juridique et non pas de la technique. Sur le premier point, ils indiquent que Bluetouff n'est pas poursuivi car rien ne vient prouver l'intention frauduleuse d'accéder à ces données, puisque même l'Anses le reconnaît. Point besoin d'être expert sécu pour comprendre que si le plaignant indique n'avoir rien fait pour protéger ses données, la bonne foi du visiteur passant par là peut être acquise. Sur le second point, c'est là que tout se joue. Les juges indiquent noir sur blanc que le prévenu "a constaté la présence de contrôles d'accès" et qu'il le reconnaît. Point besoin de technique non plus pour lui mettre le dos le "maintien frauduleux". Dans l'esprit des juges, il savait que c'était protégé, il est resté, donc maintien frauduleux; c'est simple. Sur le vol, les juges indiquent que Bluetouff a copié, dupliqué et partagé ces fichiers sans plus d'explications. Les juges indiquent vol de fichiers inaccessibles au public, mais le point 1 montre qu'en tout état de cause ces fichiers étaient accessibles au public (de manière involontaire, certes). C'est un point léger dans leur argumentaire.

Que peut on en conclure? Le raisonnement des juges est assez clair et le point central repose sur cet "aveu" de Bluetouff disant qu'il est resté après avoir su qu'il s'agissait de documents protégés. Si vous vous faites arrêter un jour (et je ne le souhaite à personne), faites attention à ce que vous dites...


Pour la suite, il y a le point de vue du principal intéressé sur son blog, et un pourvoi en cassation qui est en cours. Je ne suis malheureusement pas très optimiste sur le pourvoi en cassation :-( l'histoire nous le dira.

Aucun commentaire:

Enregistrer un commentaire