Le TGI de Paris a condamné deux personnes pour l’usurpation de l’identité de Rachida Dati. Par la même occasion, il a jugé que l’exploitation d’une faille XSS (cross site scripting) était un piratage informatique qui devait à ce titre être sanctionné.
Début 2012, Rachida Dati avait porté plainte contre X pour piratage et usurpation d’identité. L’enquête confiée à la BEFTI révèlera que l’animateur du compte twitter satirique @Solferishow avait mis à disposition de @jeunespopkemon un nom de domaine et un espace d’hébergement offert par OVH grâce à des points de fidélité. Sur le site tweetpop.fr, il était alors possible de publier de faux communiqués de presse liés à l’actualité de l’eurodéputée.
Ces communiqués plutôt humoristiques présentaient alors l’apparence d’être hébergé sur le site officiel rachida-dati.eu grâce à l’exploitation d’une faille cross site scripting. Ce type de faille dite XSS permet en effet d’injecter du code notamment via une URL mal sécurisée et de faire dire à un site qui en est victime tout ce que l’on veut.
Atteinte à l'honneur de Rachida Dati en particulier, des femmes, en général
Sur le banc des accusés, l’éditeur du site évoque la parodie, l’humour, bref la blague de potache en témoigne la mention « groupe PPE » (droite européenne, parti de l'eurodéputée) remplacée par un fier « groupe PIPE », ou encore l’expression « communiqué de presse gratuit offert par Rachida Dati ». Sur cette lancée, de faux communiqués édités par des internautes annonçaient la candidature de l’actuelle maire du VIIe arrondissement de Paris dans la 10e circonscription de Seine Saint-Denis, quand d’autres affirmaient « Je soutiens le NPA » ou susurraient son amour « pour la fellation. »
Ces propos sont restés au travers de la gorge du TGI de Paris. Il a d’abord considéré que l’éditeur du site en était également le modérateur. Il aurait donc pu le fermer ou désapprouver la nature injurieuse et diffamante des contenus rédigés. « Force est de constater qu’il s’en est abstenu et qu’il a considéré, bien au contraire qu’il s’agissait là de manifestations « d’humour » ». Un humour non partagé par ces magistrats qui estiment au contraire qu’il y a atteinte à l’honneur ou à la considération de Rachida Dati en particulier, et de la femme en général.
Le tribunal a donc considéré que les éléments constitutifs de l’usurpation d’identité numérique étaient bien réunis puisque selon le Code pénal, modifié par la loi LOPPSI 2, l’infraction suppose une usurpation et un trouble de la tranquillité ou une atteinte à l’honneur ou à la considération d’une personne. C’est ici l'un des premiers jugements connus en matière d’usurpation d’identité numérique.
Faille XSS et introduction frauduleuse de données dans un STAD
Mais l’affaire se doublait d’un autre volet : est-ce que l’exploitation d’une faille XSS peut s’apparenter à un piratage informatique ? Selon les textes, « le fait d'introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. »
Pour le cas du site de Rachida Dati, la faille se nichait dans le moteur de recherche de son site, lequel filtrait mal les termes saisis par les utilisateurs. Il était alors possible d’y injecter du code informatique. Or, selon les magistrats, l’exploitant de la faille a voulu « tromper le serveur » et « faire du champ "rechercher" un usage contraire à sa vocation initiale et non souhaité par le maitre du système », bref, « une utilisation tronquée » qui « doit être considéré comme frauduleuse. »
Dans son jugement relayé par Legalis.net, le TGI a balayé par la même occasion les arguments de la défense : peu importe que la faille était connue depuis plusieurs mois par le gestionnaire puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux ». Peu importe de même que cette faille n’a pas entraîné d’altération durable du site de Rachida Dati, puisque c’est la simple introduction frauduleuse de données qui est réprimée par cet article.
Au final, l’initiateur a été condamné à 3 000 euros d’amende pour usurpation et piratage informatique. Le propriétaire de l’espace d’hébergement et du nom de domaine a lui été relaxé pour ce dernier fait, mais a été condamné à 500 euros pour complicité d’usurpation. L’un et l’autre se sont vu enfin confisquer leur matériel informatique. L'auteur du faux site a depuis fait appel.
Commentaires (52)
#1
puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »
L’éventuelle négligence… Là elle est tout sauf éventuelle, déja….
Par contre il aurait fallu aussi condamner le webmaster pour négligence caractérisée, un peu comme on fait avec la Hadopi…
On lui interdit le port 22 pendant 15 jours à compter du jugement
#2
L’introduction n’a ni queue ni tête
" />
#3
Rachida Dati et Kim Jong-Un sont sur un bateau.
#4
#5
Je l’avais dit à l’époque : c’est obligé que les auteurs soient punis.
Même si je suis réceptif à la forme d’humour utilisée, on ne peut pas dire qu’on fait du XSS “pour le fun” et que c’est pas illégal “parce que c’est le site web qui n’est pas assez sécurisé”.
A ce compte-là, si tu sais crocheter des serrures, c’est pas illégal de voler dans une maison.
#6
?!
Comment ça ?
A part une faute d’accord à “confiée”, je ne vois pas le malaise.
#7
#8
#9
#10
Les vilains pirates ont ils injecté du code sur le site de rachida dati ou ont ils copié l’apparence du site ?
" />
Parce que présenter l’apparence d’être hébergé sur le site de rachida dati grâce à une faille css…
En plus des détails inutiles… le site payé par points de fidélité… vraiment ?
#11
#12
En vrai, il n’y a pas eu “piratage” : ils envoyaient des requêtes au moteur de recherche interne du site, qui avaient pour effet de créer des contenus dans la section “tweet”. Ces tweets n’étaient même pas visibles sur tweeter je crois, juste sur le site.
Techniquement : pas d’intrusion, pas d’altération ou destruction de données.
Mais malgré tout : le but recherché était de publier des contenus discutables sous le nom officiel de quelqu’un d’autre, pour moi c’est évidemment un délit.
#13
L’un et l’autre se sont vu enfin confisquer leur matériel informatique.
Et de quel droit ? (français oui je sais)
Que le TGI soit vendu à Dati, n’ait strictement aucun honneur ni aucun humour c’est une chose, d’où la condamnation financière, mais la confiscation du matériel ça sort d’où ça ?
#14
Je viens de comprendre.
" />
Merci
#15
puisque « l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »
1 - Je vois un billet de banque par terre, je le ramasse; est-ce du vol ?
2 - Je vois quelqu’un faire tomber un billet de banque et partir, je le ramasse et je m’en vais de mon coté; est-ce du vol ?
Et je ne parle pas sur le plan “moral”, mais sur le plan “légal”.
#16
#17
qu’il y a atteinte à l’honneur ou à la considération de Rachida Dati en particulier, et….
" />
……………………………………………………………………………….. de la femme en général.
ouf, l’honneur est sauf !!!!!!
#18
« l’éventuelle négligence de la victime ne pouvant en matière pénale, exonérer l’auteur d’un fait délictueux »
C’est marrant dans le cadre d’HADOPI, on prend combien pour défaut de sécurisation de ligne?
La loi oblige un particulier qui n’a aucune compétence informatique à sécuriser son wifi…
En revanche un pro, un webmaster n’a aucune obligation de sécurisé et n’est pas responsable quand une faille permet un détournement…
Perso je trouves pas ça de bon gout, pour l’atteinte à l’honneur je dis pourquoi pas…
Pour le volet technique perso je trouves cela totalement abusif car la loi est clair
“ le fait d’introduire frauduleusement des données dans un système de traitement automatisé (STAD, NDLR) ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »
Le site contenu d’origine du site n’a jamais été alterré, ce n’est pas du piratage…
Introduction de données? l’accès au serveur n’a pas été forcé ou compromis, pas de fichiers déposés sur un FTP… juste un truc dynamique en usant d’un champ de recherhce en accès libre, l’acte technique ne porte pas à conséquence… les propos c’est autre chose
Jugement à l’emporte pièce de mon point de vue et justice à deux vitesses
#19
#20
De rien :) A la première news sur le sujet j’avais tout compris de travers jusqu’à ce que quelqu’un m’explique
#21
#22
je te rejoins sur plusieurs points : oui il n’y a pas eu de piratage au sens technique, oui la justice est partiale envers les élus, et oui, oui, la hadopi a bien fait parler d’elle pour inverser la présomption d’innocence, ce qui est moralement abject mais à été validé par toutes nos institutions législatives.
En revanche, en connaissant les faits, on ne peut que constater que les auteurs étaient mal intentionnés, qu’ils voulaient nuire et y sont parvenus. Qui plus est, ils ont automatisé le système avec un site web permettant aux internautes d’injecter tous les messages de leur choix.
A la limite, on pourrait reprocher à Dati son coté “pète-sec” et exhib’ pour avoir porté l’affaire en justice et ouverte à l’opinion publique.
Un webmaster “normal” tiendrait compte de son erreur, colmaterait la faille et fermerait sa g…
#23
#24
SI je reçoit un courrier de l’HADOPI qui m’avertit qu’on a téléchargé depuis ma ligne quel soit bien sécurisé ou non (j’ai une borne wifi première génération qui ne dispose d’aucun MAJ firmware et qui ne protège que par une simple clé WEP)… j’ai aucun moyen de prouver que le téléchargement a été fait en pétant ma sécurité… Même si je porte plainte pour effraction car le courrier de la HADOPI m’aura fait constaté le problème, ça ne change pas qu’aux yeux de la loi je suis reponsable de la sécurité de ma ligne (1500€ pour défaut de sécurisation)
#25
#26
#27
Moi j’ai très soif d’apprendre, dans ma réponse, je te disais que je suis de bonne fois, je réagi dès le premier avertissement, je vais voir la police.
Est-ce qu’ils vont déjà prendre ma plainte?
Il faut déjà insisté pour un dépot de plainte pour agression avec violence (si non ça passe en simple main courante) donc pour suspection d’intrusion sur un réseau wifi, j’aimerais bien voir s’il y a une quelquonque enquête… j’amène les log de connexion sur une clé USB à mon comisséria de quartier ?
Montre moi le texte de la HADOPI qui démontre qu’un dépot de plainte me délivre de la responsabilité de la sécurisation de ma ligne?
Enfin non en fait c’est hors sujet sur la news , désolé !^^
#28
Dans la plupart des affaires de piratage informatique, il me semble bien que le materiel informatique est confisqué.
Après je ne suis pas juriste, donc je ne peux éclairer ta lanterne sur la loi qui autorise le tribunal à la faire.
Sinon, je ne porte pas Rachida Dati dans mon cœur, mais on ne peut pas dire que le tribunal n’a pas pris une bonne décision. Si on me faisait dire des saloperies en me piquant mon identité, ça me ferait bien chier.
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
Je ne voudrais pas passer pour un vieux barbon, mais les appréciations et les commentaires d’une décision de justice sont illégaux en France.
" />
Quel que soit le verdict du TGI de Paris, la justice est passée et c’est uniquement au condamné de savoir s’il peut aller en appel.
Pour reprendre l’idée d’un post au dessus, je ne suis pas sûr qu’un citoyen lambda aurait eu droit aux mêmes investigations de la BEFTI, si il avait subit le même préjudice …
#41
Merci de citer l’article disant cela et bien vérifier que cela s’applique ici.
Bon, je vais t’aider en te renvoyant chez Maître Eolas qui connaît à peu près le droit.
#42
#43
Si je prend une photo de l’Élysée et que je fais un générateur de meme avec, personne ne m’attaquera pour vandalisme, avec raison: il n’y aura pas de peinture blanche sur la facade du batiment, et personne ne sera dupe. On est dans la même situation.
#44
Bon c’est aussi vrai qu’il y avait volonté d’usurper l’identité (de faire croire que l’info vennait bel et bien du site en question), cette comdanation est peut-être sencée. La comdamnation pour piratage reste cependant pour moi incompréhensible. C’est du même ordre que si’ils avaient publié un faux screenshot.
#45
#46
#47
#48
Il ne s’agit aps de trouver des excuses, il s’agit d’appeler un chat un chat.
Il n’y a pas eu d’intrusion dans un système informatique, il n’y a pas eu modification de données, il n’y a donc pas exploitation de faille.
C’est un peu pour reprendre l’exemple du stylo comme si quelqu’un laissait un tableau blanc dans la rue avec un feutre en disant que tout le monde pouvait s’en servir, si des petits malins utilisent le stylo pour se faire passer pour lui ils sont en effet coupables d’usurpation d’identité mais pas de vol ni de violation de domicile : ils n’ont fait qu’utiliser (de façon idiote oui) des outils mis à disposition.
#49
Bien fait pour sa gueule. Et c’est pas cher payé.
#50
L’image n’est pas très heureuse, ils n’ont pas utilisé des outils “de façon idiote” mais “de façon volontairement nuisible”.
Une meilleure transposition serait de dire que Mme Dati a laissé trainer du papier à entête de son cabinet ministériel et que les coupables s’en soient servis pour forger des faux et les utiliser. C’est plutôt ça. Et c’est un délit. Et c’est puni. Et c’est hypocrite de dire “c’est pas de notre faute, c’est elle qui a laissé trainer ses affaires”.
Le verdict est peut-être abusif pour l’accusation de piratage mais celui sur l’usurpation est tout à fait pertinent. Le juge a dû vouloir marquer le coup, histoire de leur apprendre la différence entre l’humour et le persiflage numérique industrialisé.
Les gars pouvaient faire leur “humour” sur un site à eux, en précisant que c’était une satyre de leur part. Non, là ils ont détourné un usage chez quelqu’un d’autre afin de faire croire que Dati disait officiellement ceci ou cela. C’est indéfendable.
#51
Encore une fois je n’ai jamais remis en question l’usurpation d’identité mais bien le piratage.
#52