Affaire Bluetouff : la Cour de cassation consacre le vol de fichiers informatiques - Next INpact
vendredi 22 mai 2015 à 10:44Les hypertextes du barbu digressif 22/05/2015
Bon ben google est un outil valide de hacking c'est la cour de cassation qui le dit
(Permalink)
GuiGui's Show - Liens 22/05/2015
« Comme prévu, la Cour de cassation a finalement rejeté le pourvoi en cassation d’Olivier Laurelli (plus connu sous son pseudo Bluetouff). [...] Le 5 février 2014, Olivier Laurelli est reconnu coupable de piratage informatique par la cour d’appel de Paris, laquelle renversait le jugement du tribunal de Créteil. Plus précisément, la justice le condamne pour maintien frauduleux dans un système de traitement automatisé de données, mais également de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). »
cf http://shaarli.guiguishow.info/?WWo2Lw
Je note :
* Accès fraduleux à un STAD : charge non retenue et c'est bien normal : en venant de Google, Bluetouff est tombé dans l'arboresence, pas sur la page d'authentification en haut de cette arborescence donc il n'avait aucune information lui indiquant qu'il était entré dans une propriété privée.
* Maintien dans un STAD : compte-tenu de ses aveux en garde à vue, ce point est beaucoup plus contestable. Il y a une page d'authentification en haut d'une arboresence mais la protection ne s'applique pas au reste de l'arborescence (il y a une porte mais pas de murs). Google a vu/parcouru l'arborescence, Bluetouff aussi. Question : les docs en bas de l'arborescence sont confidentiels ou pas si tu as commencé ta navigation par le bas, que t'es remonté et que t'as vu la page d'auth ? Les juges ont dit oui donc maintient frauduleux : il est resté après avoir vu qu'il y a une page de login car il ne savait pas si ça s'appliquait au reste de l'arborescence. Ne pas oublier que les mix infos publiques/privées/pages d'auth existent. Exemple tout bête : Facebook. Il y a bien des profiles publiques et pourtant, à la racine du site, il y a une page d'authentification... Dans le monde du travail, on voit aussi des extranet qui mélangent docs publics, docs privés pour les partenaires et docs pour que les employés de la société puissent les consulter depuis n'importe où (oui, un VPN serait plus adéquat) et les différents niveaux de sécurité sont loin d'être positionnés correctement.
* Je ne comprends pas du tout le vol de fichiers... Extraction illicite / reproduction illicite / contrefaçon, je veux bien mais pas vol : il n'y a pas eu soustraction du bien d'autrui : l'ANSES possède toujours ces fameux fichiers copiés. Peut-être un manque dans le corpus législatif en dehors de la propriété intellectuelle ? D'où la loi renforçant la lutte contre le terrorisme de 2014 qui évoque l'extraction, la détentention, la reproduction et la transmission frauduleuses là où l'article 323-3 prévoyait initialement uniquement la suppression et la modification frauduleuses.
ÉDIT du 22/05/2015 à 15h28 : L'article de Reflets, https://reflets.info/notre-pourvoi-en-cassation-est-rejete/, est partiel : il n'évoque pas le fait que Bluetouff a déclaré avoir vu la page d'auth et avoir quand même téléchargé 7.7G de documents après. C'est cela qui constitue le maintient ! Autrement dit, il n'est pas certain que la justice juge coupable quelqu'un qui clique simplement sur un des résultats d'un moteur de recherche, tombe sur des documents que l'administrateur croient confidentiels, ne remonte pas l'arborescence, ne voit donc pas la page d'auth et donc ne dira pas aux policiers "j'ai bien vu la page d'auth mais je ne savais pas si elle s'applique au reste de l'arborescence" et donc ne tombera pas dans le cas ambigu pas public/public que j'ai expliqué plus haut. L'accés fraduleux sera retoqué, le maintient aussi (car dl du document puis départ du site sans avoir vu la page d'auth), il ne restera que ce dangereux vol de documents... Comme pour Krash.in (cf http://shaarli.guiguishow.info/?HFjuRg), c'est Bluetouff qui s'est déclaré coupable. FIN DE L'ÉDIT.
(Permalink)
Le bazar du petit panda roux. 22/05/2015
T_T
(Permalink)
Bon ben google est un outil valide de hacking c'est la cour de cassation qui le dit
(Permalink)
GuiGui's Show - Liens 22/05/2015
« Comme prévu, la Cour de cassation a finalement rejeté le pourvoi en cassation d’Olivier Laurelli (plus connu sous son pseudo Bluetouff). [...] Le 5 février 2014, Olivier Laurelli est reconnu coupable de piratage informatique par la cour d’appel de Paris, laquelle renversait le jugement du tribunal de Créteil. Plus précisément, la justice le condamne pour maintien frauduleux dans un système de traitement automatisé de données, mais également de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). »
cf http://shaarli.guiguishow.info/?WWo2Lw
Je note :
* Accès fraduleux à un STAD : charge non retenue et c'est bien normal : en venant de Google, Bluetouff est tombé dans l'arboresence, pas sur la page d'authentification en haut de cette arborescence donc il n'avait aucune information lui indiquant qu'il était entré dans une propriété privée.
* Maintien dans un STAD : compte-tenu de ses aveux en garde à vue, ce point est beaucoup plus contestable. Il y a une page d'authentification en haut d'une arboresence mais la protection ne s'applique pas au reste de l'arborescence (il y a une porte mais pas de murs). Google a vu/parcouru l'arborescence, Bluetouff aussi. Question : les docs en bas de l'arborescence sont confidentiels ou pas si tu as commencé ta navigation par le bas, que t'es remonté et que t'as vu la page d'auth ? Les juges ont dit oui donc maintient frauduleux : il est resté après avoir vu qu'il y a une page de login car il ne savait pas si ça s'appliquait au reste de l'arborescence. Ne pas oublier que les mix infos publiques/privées/pages d'auth existent. Exemple tout bête : Facebook. Il y a bien des profiles publiques et pourtant, à la racine du site, il y a une page d'authentification... Dans le monde du travail, on voit aussi des extranet qui mélangent docs publics, docs privés pour les partenaires et docs pour que les employés de la société puissent les consulter depuis n'importe où (oui, un VPN serait plus adéquat) et les différents niveaux de sécurité sont loin d'être positionnés correctement.
* Je ne comprends pas du tout le vol de fichiers... Extraction illicite / reproduction illicite / contrefaçon, je veux bien mais pas vol : il n'y a pas eu soustraction du bien d'autrui : l'ANSES possède toujours ces fameux fichiers copiés. Peut-être un manque dans le corpus législatif en dehors de la propriété intellectuelle ? D'où la loi renforçant la lutte contre le terrorisme de 2014 qui évoque l'extraction, la détentention, la reproduction et la transmission frauduleuses là où l'article 323-3 prévoyait initialement uniquement la suppression et la modification frauduleuses.
ÉDIT du 22/05/2015 à 15h28 : L'article de Reflets, https://reflets.info/notre-pourvoi-en-cassation-est-rejete/, est partiel : il n'évoque pas le fait que Bluetouff a déclaré avoir vu la page d'auth et avoir quand même téléchargé 7.7G de documents après. C'est cela qui constitue le maintient ! Autrement dit, il n'est pas certain que la justice juge coupable quelqu'un qui clique simplement sur un des résultats d'un moteur de recherche, tombe sur des documents que l'administrateur croient confidentiels, ne remonte pas l'arborescence, ne voit donc pas la page d'auth et donc ne dira pas aux policiers "j'ai bien vu la page d'auth mais je ne savais pas si elle s'applique au reste de l'arborescence" et donc ne tombera pas dans le cas ambigu pas public/public que j'ai expliqué plus haut. L'accés fraduleux sera retoqué, le maintient aussi (car dl du document puis départ du site sans avoir vu la page d'auth), il ne restera que ce dangereux vol de documents... Comme pour Krash.in (cf http://shaarli.guiguishow.info/?HFjuRg), c'est Bluetouff qui s'est déclaré coupable. FIN DE L'ÉDIT.
(Permalink)
Le bazar du petit panda roux. 22/05/2015
T_T
(Permalink)