Condamné pour avoir révélé une faille de sécurité

Vincent Genot Rédacteur en chef adjoint Newsroom

Pour avoir découvert un défaut de paramétrage dans le site de la chaîne française de magasins Tati, le responsable de Kitetoa.com vient d’être condamné à 1 000 euros d’amende avec sursis. Un jugement contestable et contesté

« Nous n’avons rien à vendre ! » Tel pourrait être le slogan des pizzaïolos du Web qui, depuis octobre 1997, sous la signature collective de Kitetoa, jouent les empêcheurs d’e-commercer tranquille en dénonçant les trous de sécurité découverts sur des serveurs. En quatre ans d’existence, pour ce qui concerne le volet « (in)sécurité informatique et mise en péril des données personnelles collectées par les entreprises », ils ont ainsi épinglé pas moins de 200 sociétés et institutions, dont la Maison-Blanche, Vivendi, BNPparibas, Zebank, Pinault-Printemps-Redoute, Matignon… pour ne mentionner que les plus prestigieuses.

En mai 2000, les pizzaïolos du Web se permettent, à l’aide d’un simple navigateur et sans jamais utiliser de techniques frauduleuses, de mettre en évidence un problème qui rend possible le téléchargement de la base de données dans laquelle Tati stocke les informations personnelles recueillies auprès de ses clients. Comme à chaque découverte, Kitetoa prévient le responsable technique du site. Celui-ci laisse les choses en l’état. Kitetoa publie alors sur son site le compte rendu de sa découverte sans jamais communiquer d’informations permettant d’exploiter la faille. L’affaire semble s’arrêter là. En fait, cantonnée au petit monde du Net, l’information n’est jamais arrivée aux oreilles de la direction de Tati. En octobre 2000, par contre, suite à un article du magazine NewBiz, celle-ci prend connaissance des faits et porte plainte. Après un passage par la brigade d’enquêtes sur les fraudes aux technologies de l’information française (le BEFTI), – dont le rapport vaut à lui seul son pesant de cacahouètes -, le responsable de Kitetoa est poursuivi. Le 23 janvier 2002, Kitetoa se retrouve devant la XIIIe chambre du tribunal de grande instance de Paris pour accès et maintien frauduleux dans un système de traitement automatisé de données et pour vol de base de données. Le 13 février 2002, le webmaster de Kitetoa.com est condamné à 1 000 euros d’amende avec sursis. Plus étonnant, le tribunal déboute Tati de sa demande du franc symbolique en dommages et intérêts et de la publication du jugement dans la presse.

Cette décision en demi-teinte laisse perplexe, un peu comme si le juge n’avait su, dans cette affaire, sur quel pied danser. En connaissant mieux le fonctionnement technique d’Internet, il aurait sans doute moins hésité. En effet, techniquement et même si un « expert » témoignant devant le tribunal a affirmé le contraire, Kitetoa n’a forcé aucune sécurité, ne s’est maintenu frauduleusement sur aucun système. Ou alors, il faudrait considérer la visite d’un site à l’aide d’un simple navigateur comme un comportement délictueux. Dans ce cas, tous les internautes qui surfent sur la Toile seraient coupables. Quant au vol de la base de données, Kitetoa, en utilisant une adresse qui pouvait être connue de tous (pour autant que l’on sache où chercher), n’a fait que la consulter. Sur ce point, transposé dans la vie réelle, le jugement équivaudrait à condamner une personne qui aurait vu une chose qu’elle n’était pas autorisée à voir à travers les fenêtres – et non pas en fracturant la porte – d’une habitation. Dernièrement, un e-mail professionnel émanant d’un répertoire d’adresses à destination des médias est arrivé à la rédaction du Vif/L’Express. Le correspondant demandait de vérifier l’exactitude de nos coordonnées et d’éventuellement les corriger en suivant une adresse de type www.repertoire.be/id2522… Premier étonnement: en cliquant sur ce lien, nous avons eu accès (en écriture) à nos données sans qu’aucun mot de passe soit exigé. Deuxième surprise: en changeant le numéro de client (id2523, id2524, etc.), les fiches des autres abonnés du répertoire étaient totalement accessibles. Nous aurions pu les récupérer, les modifier ou, plus simplement, les supprimer. Voilà le genre d’absurdité que l’équipe de Kitetoa dénonce depuis quatre ans. Ou plutôt dénonçait. Par crainte d’autres plaintes, le webmaster de Kitetoa envisage de fermer son site. En attendant sa décision définitive, il est toujours possible de consulter sur www.kitetoa.com le dossier complet de cette affaire (compte rendu de l’audience, témoignage des experts, rapport de police, etc.) où la justice montre, encore une fois, qu’en matière de nouvelles technologies, elle peine sérieusement à trouver ses marques.

Vincent Genot

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire