Désavouant les conclusions de l'enquête préliminaire menée par la BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information), le Parquet général a demandé puis obtenu la relaxe de Kitetoa sur la seule base des informations fournies par le prévenu. L'analyse de ses réquisitions semble pourtant indiquer que, s'il avait été mieux informé, le Procureur aurait au contraire fait condamner Kitetoa.

Le 13 février dernier, le Tribunal correctionnel de Paris déclarait A. C. alias Kitetoa coupable d'accès frauduleux dans le système de traitement automatisé de données (STAD) de la société Tati et le condamnait à une amende de 1.000 euros avec sursis, contre l'avis du Parquet général. Ce dernier a fait appel de la décision le 3 avril et suite au second procès du 25 septembre a finalement obtenu la relaxe du prévenu le 30 octobre dernier.

Dans ses réquisitions, le Procureur justifie l'absence de caractère frauduleux de l'accès et du maintien par le fait que Kitetoa n'a utilisé que les fonctionnalités habituelles d'un navigateur, qu'il n'a employé aucune méthode de piratage et qu'il n'a pas agit dans l'intention de nuire à la renommée ou aux clients de Tati, reprenant à son compte les arguments du prévenu en dépit des conclusions de l'enquête préliminaire menée par la BEFTI.

En apparence l'affaire est donc entendue : vexée par la médiatisation d'une faille dans son site web, une société tente de punir l'internaute à l'origine de cette découverte à l'aide d'un simple navigateur en le faisant condamner pour piratage informatique. Pourtant, les choses sont loin d'être aussi simples.

Netscape Navigator

Même dans sa version grand public, Netscape Navigator intègre la partie cliente d'un outil qui permet la détection et l'administration à distance des serveurs Netscape Entreprise Server, comme celui qui hébergeait à l'époque le site Tati.fr. L'administration se fait via une interface spécifique indiquant visiblement "Netscape Entreprise Server" ("Serveur Netscape Entreprise") et "Web Publisher Services" ("Services du webmestre"), totalement différente de la charte graphique du site Tati.fr. Le moyen d'accéder à cet outil est également explicite : dans le menu de Netscape Navigator, il faut choisir "Communicator", puis "Outils du serveur" puis "Services de la page".

Cet outil a été conçu à destination des utilisateurs du navigateur qui de par leur profession sont également administrateurs de sites web hébergés sur des serveurs Netscape Entreprise Server. Il ne concerne donc qu'une infime minorité des utilisateurs de Netscape Navigator dans le monde, les autres utilisateurs ignorant le plus souvent jusqu'à son existence puisque cette fonctionnalité n'est pas documentée dans l'aide du logiciel et qu'elle est inaccessible dans le menu du navigateur lorsque le serveur visité est différent d'un serveur Netscape Entreprise Server, soit dans la majorité des cas.

En plus de l'outil d'administration, la société Netscape aurait par ailleurs très bien pu inclure dans son navigateur d'autres outils, permettant de tester en quelques clics la sécurité des serveurs de la marque : détection de failles, automatisation d'intrusion, etc. L'intégration d'un outil dans un navigateur et/ou sa gestion via une interface web n'est donc en aucun cas un élément pertinent pour conclure que l'outil en question ne peut pas être utilisé pour pirater ou que son usage ne peut pas être détourné dans ce but.

Cet outil d'administration à distance étant propre à Netscape Navigator, la manipulation décrite plus haut ou une manipulation similaire ne pouvait pas être réalisée avec un autre navigateur. Le témoignage de l'expert présenté par Kitetoa ne dit pas autre chose : il n'atteste pas de l'utilisation des seules fonctionnalités d'un navigateur web, mais de la seule utilisation des fonctionnalités de Netscape Navigator. Or même la seule utilisation d'un navigateur n'est en aucun cas la preuve d'une absence de piratage.

En effet, qu'il s'agisse de trouver un mot de passe par ingénierie sociale, d'injecter du code dans les URL ou les formulaires de pages web ou encore d'enregistrer les pages en local pour pouvoir en retirer les protections, le navigateur web est un outil qui permet de réaliser à lui seul une grande variété de piratages en exploitant les failles des scripts mal programmés ou des serveurs mal configurés. Le cabinet d'études Gartner estime ainsi que plus de 75 % des attaques exploitent les failles des applications web.

La personne malveillante cherche alors à exécuter des commandes sur le serveur, à lister des répertoires et/ou à accéder à l'interface d'administration du site en utilisant la saisie de texte, la modification d'une URL dans la barre d'adresse ou l'enregistrement de pages web, des fonctionnalités réellement basiques présentes dans tout navigateur web et largement plus "habituelles" que l'utilisation de l'outil d'administration à distance des serveurs Netscape Entreprise Server intégré à Netscape Navigator.

Question de méthode

Pourquoi Kitetoa a-t-il tenté de se connecter en tant qu'administrateur lors de son passage sur le site Tati.fr alors que cela n'était pas dans ses attributions et que la probabilité d'une mise en oeuvre accidentelle de l'outil était quasi nulle? Kitetoa apporte lui-même un début de réponse sur son site.

En avril 1999, il écrit ainsi : "Il y a environ un mois, Kitetoa a découvert en lisant le WarDoc de Rhino9 un "truc" simplissime qui permet d'afficher le contenu (l'arborescence) d'un serveur) alors que celui-ci est paramétré pour ne pas laisser le visiteur avoir accès à ces informations. Ce truc est une fonction mise en place par l'éditeur du serveur afin de permettre, notamment la mise à jour du serveur Web". Une description qui semble désigner sans ambiguïté l'outil d'administration à distance de Netscape Navigator.

Kitetoa n'a donc pas inventé la faille du site Tati.fr : il s'est contenté d'exploiter la méthode "simplissime" diffusée par un groupe de hackers, entendez des spécialistes en sécurité. Cela permet d'écarter définitivement toute découverte accidentelle de la faille du site de la société Tati, donc il ne reste plus dès lors que deux hypothèses :

• soit Kitetoa a cherché à s'introduire expressément dans une partie non publique du STAD de Tati. Ayant procédé à une recherche d'informations sommaire à l'aide d'un traceur ou de tout autre utilitaire spécialisé mais courant, il a repéré que le site Tati.fr était hébergé sur un serveur Netscape Entreprise Server et a alors exploité la vulnérabilité découverte quelques mois plus tôt en profitant du fait qu'elle était encore inconnue de l'hébergeur du site. Pour accéder à la base de données des clients de Tati, il y a bien eu accès et utilisation sans droit et en pleine connaissance de cause de l'interface d'administration du serveur hébergeant le site Tati.fr, et non utilisation des fonctionnalités habituelles d'un navigateur web ;
• soit Kitetoa était en recherche d'un ou plusieurs sites vulnérables, sans autre spécification. Il s'est alors contenté de surfer sur un maximum de sites différents en essayant à chaque fois de se connecter en tant qu'administrateur via l'outil spécifique de Netscape Navigator. Une exploitation systématique qui n'est pas sans rappeler l'utilisation illicite des scanners de ports, d'autant que cette tâche aurait pu elle-même être facilement automatisée par un programme qui se serait chargé de se connecter à toutes les adresses IP d'une plage définie par l'utilisateur dans le but de détecter automatiquement les serveurs Netscape Entreprise Server vulnérables.

Quelle que soit l'hypothèse, un tel comportement n'est assurément pas celui d'un internaute ordinaire. L'analyse d'un système et la recherche d'une faille applicable ou bien l'exploitation systématique d'une vulnérabilité sont même des éléments méthodologiques caractéristiques d'un piratage informatique.

Intention de nuire ?

Contrairement à ce qui a souvent été écrit, c'est dès le 25 juin 1999 que Kitetoa révèle l'existence de la faille dans le site Tati.fr, sans même savoir si Tati est en mesure de la corriger : il ignore si son avertissement a été lu, s'il a été compris et même simplement s'il a bien été reçu. Par ailleurs, lorsque le 19 mai 2000 l'administrateur du site de Tati demande à Kitetoa comment sécuriser son serveur, ce dernier est incapable de répondre et se contente de renvoyer son interlocuteur vers un site et une liste de diffusion spécialisés.

A l'évidence, ce comportement n'est pas celui d'un (vrai) hacker ou d'un internaute responsable qui utilise ses connaissances dans l'intention d'aider les administrateurs à sécuriser leur serveur. L'avertissement de Kitetoa à Tati.fr ressemble plutôt à une décharge l'autorisant à révéler publiquement et précipitamment l'existence de la faille quelles que soient les conséquences pour l'entreprise et ses clients, alors même que la capture d'écran illustrant son article donne les informations suffisantes pour s'introduire dans le STAD de Tati et que pour avoir déjà dénoncé plusieurs tentatives de piratage de son propre site Kitetoa connaissait la malveillance de certains de ses lecteurs.

Enfin, pour réaliser les copies d'écran de son article, Kitetoa était techniquement obligé de télécharger la base de données des clients de Tati afin de l'ouvrir dans un environnement Windows. Soit il a sélectionné l'option "Enregistrer ce fichier sur le disque" et a sauvegardé une copie de la base dans le répertoire de son choix avant de l'ouvrir, soit il a sélectionné l'option "Ouvrir le fichier depuis son emplacement actuel" et dans ce cas le fichier s'est téléchargé dans un répertoire spécifique appelé répertoire cache du navigateur puis s'est ouvert automatiquement. Curieusement, Kitetoa a pourtant affirmé ne jamais avoir téléchargé la base de données de Tati. Or dans les deux cas, le fait d'avoir téléchargé ce fichier lui permettait d'en réaliser une copie sur un support amovible facilement monnayable sans laisser de traces supplémentaires sur son disque dur ou le serveur de Tati.

Verdict

Non, Netscape Navigator n'est pas un simple navigateur lorsqu'il est utilisé face à un serveur Netscape Entreprise Server, Kitetoa n'a pas utilisé que les "fonctionnalités habituelles" de Netscape Navigator et la manipulation effectuée n'était pas accessible à tout internaute même averti sachant "lire un mode d'emploi" faute d'être documentée dans l'aide du logiciel. Oui, Kitetoa a bien utilisé une "méthode de piratage", a bien utilisé de façon abusive les fonctionnalités d'un logiciel disponible gratuitement, a bien participé par ses révélations à la mise en danger des données personnelles des clients de Tati et a bien téléchargé la base de données de la société.

Sans pour autant minimiser la responsabilité de Tati et de son prestataire informatique, le Parquet général aurait-il prononcé les mêmes réquisitions s'il avait été mieux informé? L'analyse de sa propre démonstration à la lumière de ces nouveaux éléments laisse penser que le Procureur aurait au contraire demandé la condamnation de Kitetoa. Alors comment expliquer la présence d'autant d'erreurs favorables au prévenu dans les réquisitions et le jugement en appel? Outre l'extrême faiblesse technique des discussions, il semble que la plupart des éléments décisifs aient été occultés ou déformés, escamotant totalement le débat. Un fait d'autant plus regrettable qu'il s'agissait de définir la jurisprudence dans un domaine critique pour la sécurité des internautes, le développement du commerce électronique et même la sûreté nationale.

LIEN UTILE :

- Jurisprudence Tati/Kitetoa : une faille dans la loi anti-piratage