Si vous vous intéressez à l’actualité High Tech et que vous n’avez pas vécu en autarcie durant les 15 derniers jours, vous devez être au courant de l’affaire Bluetouff.

Pour rappel, le blogueur Bluetouff a été condamné ces derniers jours par la cour d’appel de Paris à 3 000 € d’amende pour « accès frauduleux dans un système de traitement automatisé de données », et « vol » de documents. Les dits-documents consistaient en des fichiers internes à l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), sur lesquels l’ami Bluetouff est tombé par hasard au moyen d’une simple recherche Google.

De là, de nombreux médias ont rapidement titré « Bluetouff, condamné pour savoir utiliser Google ». Sauf que la réalité est un peu plus complexe que cela, et que ce n’est pas ce fait qui a condamné notre blogueur activiste…

Comme le rappelle Maître Eolas, célèbre avocat blogueur et néanmoins anonyme, il y a 5 délits informatiques prévus dans le code pénal français :

Les délits en question sont aux articles 323-1 et suivants du code pénal.

Le premier est l’accès frauduleux à un système de traitement automatisé de données (ou STAD, le terme légal pour un système informatique, qui recouvre aussi bien feu le minitel que des ordinateurs, serveurs, tablettes ou smartphone). Il est caractérisé dès lors que l’on a conscience d’accéder à un STAD alors qu’on n’a pas le droit de le faire (l’accès doit être frauduleux).

Le deuxième est le fait de se maintenir frauduleusement dans un STAD. C’est l’hypothèse où on arrive par erreur, ou en cliquant sur un lien mal paramétré, dans l’interface admin du site ou dans l’arborescence des répertoires, des bases de données MySQL, ou que sais-je encore. À l’instant où on réalise qu’on n’a rien à faire là, il convient de mettre fin à cette connexion. Ne pas le faire, fut-ce pour jeter un coup d’œil, constitue le délit.

Le troisième est l’entrave au fonctionnement d’un STAD. Typiquement, c’est l’attaque par DDos (Distributed Denial of Service)pour faire tomber un site en le submergeant de requêtes inutiles et consommatrices de bande passante.

Le quatrième est l’introduction, la modification ou la suppression de données dans un STAD. On est là au cœur de ce qui constitue le piratage informatique.

Enfin, le fait, sans motif légitime (comme le serait la recherche en sécurité informatique) de détenir ou faire circuler un moyen (que ce soit un appareillage ou un programme) de commettre l’une de ces infractions est un délit puni des peines prévues pour le délit principal. C’est une sorte de délit de complicité, délit autonome car il n’exige pas la conscience de fournir une aide pour la commission d’une infraction : la simple détention constitue déjà le délit.

Dans la situation qui nous intéresse ici, Bluetouff n’a pas commis un accès frauduleux à un STAD puisqu’il existait une énorme faille dans le système de l’ANSES qui a permis que des documents à usage interne se soient vus référencés par Google. Bluetouff n’a donc pas été condamné pour « avoir su se servir de Google ».

La condamnation porte ici sur un autre délit : le fait de se maintenir frauduleusement dans un STAD. Car le blogueur a déclaré durant la garde à vue « s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. »

Dés lors qu’il a déclaré qu’il s’était rendu compte qu’il se trouvait à un endroit où il n’aurait pas dû se trouver et qu’il a continué de se balader et de télécharger des documents, Bluetouff a, malheureusement pour lui, creusé sa tombe en confirmant bien qu’il s’était maintenant dans un STAD dans lequel il n’aurait pas dû se trouver !

Il est donc difficile de contester cette première décision vis-à-vis de la loi. Sachant néanmoins que le trouble à l’ordre public a disparu avec la destruction des documents copiés par Bluetouff, et que la réinsertion du blogueur dans la société ne devrait pas poser de problème, une dispense de peine aurait pu être prononcée…

En ce qui concerne la décision de condamner aussi le blogueur pour vol, cette décision est bien plus discutable : le vol étant la soustraction frauduleuse de la chose d’autrui, et que copier n’est pas voler, la copie des fichiers n’a pas soustrait la chose à l’ANSES. Il risque donc d’être difficile de confirmer cette condamnation pour vol auprès de la Cour de cassation.

Moralité : si vous vous retrouvez un beau jour dans la même situation que Bluetouff, n’allez pas télécharger des documents auxquels vous n’avez pas normalement accès si vous vous rendez bien compte que vous êtes à un endroit où vous n’êtes pas censé vous trouver. Et si jamais vous le faites quand même (la curiosité est un vilain défaut ^^), utilisez votre droit au silence en garde à vue. C’est ici ce qui a « grillé » le blogueur en ce qui concerne le fait de se maintenir à un endroit où il ne devrait pas être : s’il avait gardé le silence durant sa garde à vue, il y a de fortes chances que la décision actuelle n’aurait pu être prononcée.

Il est fort probable que le souhait de voir Bluetouff condamné ne soit pas motivé par un rappel à l’ordre public, mais plutôt qu’il serve d’avertissement pour du futurs potentiels hackers qui oseraient aller regarder des documents mis à disposition de tous à cause d’une sécurité informatique négligée.

Bizarre que le parquet, organisation chargée de requérir l’application de la loi et de conduire l’action pénale au nom des intérêts de la société, n’ait pas songé à attaquer l’ANSES pour insuffisance de protection de données personnelles… Ne faudrait-il pas plutôt protéger correctement nos données personnelles au nom des intérêts de la société, plutôt que de condamner un blogueur qui est tombé sur des documents censés être confidentiels ?

Source et Image