Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ANALYSE

Jurisprudence Tati/Kitetoa : une faille dans la loi anti-piratage
Par Emmanuel JUD (14/04/03)

Si d'un strict point de vue juridique elle peut paraître équilibrée, la jurisprudence Tati/Kitetoa est en pratique une véritable bombe à retardement. Basée sur la généralisation d'un cas très particulier, elle introduit une faille dans la loi "Godfrain" chargée de réprimer le piratage informatique et pourrait favoriser le développement d'une nouvelle forme de cyber-criminalité organisée particulièrement redoutable.

Si vous téléchargez le dernier titre de Céline Dion au format MP3 en cliquant sur le lien hypertexte d'une page personnelle vous risquez deux ans de prison et 150.000 euros d'amende. Si vous utilisez les informations d'un site spécialisé en sécurité informatique pour télécharger la base de données de 4.000 clients d'un cybermarchand en passant par l'interface d'administration de son serveur web vous risquez... rien. C'est la jurisprudence Tati/Kitetoa.

Ce constat aurait dû faire hurler les défenseurs de la vie privée, s'il n'était pas paradoxalement la conséquence malheureuse de l'action de l'un d'entre eux. Comment expliquer en effet que la Justice puisse condamner un internaute pour le téléchargement de fichiers musicaux librement accessibles sur internet, alors que dans le même temps elle laisserait n'importe qui exploiter certaines failles des sites web mal sécurisés pour en télécharger les fichiers confidentiels?

La Cour d'appel à l'origine de cette jurisprudence motive ainsi sa décision : il ne peut pas y avoir d'accès ou de maintien frauduleux "par la simple utilisation d'un logiciel grand public de navigation", donc les parties d'un site accessibles avec un navigateur doivent être considérées "non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès". Or le navigateur est l'outil de base qui permet d'exploiter les failles des serveurs et des applications web.

Extrême faiblesse technique du débat contradictoire

Dans l'affaire Tati/Kitetoa, la défense brillante de Kitetoa aura rapidement eu raison de la faiblesse voire de l'inconsistance technique des arguments avancés par la partie adverse, alors que pourtant dans les faits la seule utilisation d'un navigateur et l'absence d'obstacle à l'accès étaient largement contestables.

En effet, notre contre-enquête a déjà montré que l'accès et le maintien n'ont pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque. Un outil qui n'aurait jamais dû se trouver dans un logiciel grand public et qui a depuis été retiré du navigateur de Netscape. Par ailleurs, selon les propres termes de l'intéressé, il y a eu exploitation des informations d'un bulletin de sécurité et mise en oeuvre de cet outil d'administration à distance dans l'intention de contourner la protection qui consiste à placer des fichiers sensibles dans un répertoire spécifique et inconnu des visiteurs.

Bien que rudimentaire, ce procédé reste relativement courant et efficace y compris contre les moteurs de recherche, puisque même le tout puissant Google ne peut pas indexer spontanément le contenu d'un répertoire vers lequel ne pointe aucun lien hypertexte. Pour qu'un internaute télécharge un fichier placé dans un tel répertoire, il faudrait déjà qu'il en suspecte l'existence, puis qu'il procède par ingénierie sociale ou force brute afin d'essayer successivement toutes les combinaisons possibles de nom de répertoire, de nom de fichier et de nom d'extension, soit des techniques similaires à celles destinées à trouver le couple login/mot de passe protégeant l'accès à une zone confidentielle.

Quant à l'absence d'indication contraire, la Cour d'appel n'a visiblement pas jugé suffisant que la mise en oeuvre de l'outil d'administration fasse apparaître une interface dont l'apparence était radicalement différente de celle du site public et dont le titre "Web Publisher Services" précisait pourtant qu'elle donnait accès à des services destinés au seul webmestre. Pour satisfaire à ses exigences, il semble qu'il aurait fallu rendre les répertoires et fichiers confidentiels identifiables par un procédé compréhensible par l'ensemble des internautes de la planète, afin qu'en cas d'intrusion les documents sensibles soient reconnaissables au premier coup d'oeil. Les administrateurs apprécieront... les pirates aussi.

Généralisation d'un cas très particulier

Au-delà du débat purement technique propre à cette affaire, fallait-il partir du cas particulier d'un journaliste féru d'informatique ayant intentionnellement exploité une faille dans un site web dans le but d'en démontrer la vulnérabilité en utilisant un outil d'administration à distance retiré depuis par Netscape de son navigateur grand public pour créer une jurisprudence qui permette à n'importe qui d'exploiter certaines failles des serveurs et des applications web et d'en télécharger impunément les éventuels fichiers sensibles?

Le risque juridique et judiciaire censé peser sur les internautes dans le cas d'un accès accidentel à un fichier confidentiel et d'un usage normal du navigateur est purement théorique : si une entreprise venait à pointer un lien de son site vers un fichier sensible ou à faire en sorte que ce dernier soit indexé par les moteurs de recherche, il serait peu probable qu'elle porte plainte pour ce motif, il serait improbable qu'un procureur considère une telle plainte comme recevable et il serait impossible qu'une enquête préliminaire d'un service spécialisé de Police ou de Gendarmerie puisse conclure à un acte frauduleux. La jurisprudence Tati/Kitetoa était donc inutile pour protéger les internautes ordinaires.

Certes il était important d'assouplir la définition du délit d'accès frauduleux pour protéger la minorité d'internautes "avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés", selon les termes du Procureur général. Mais fallait-il pour autant les déresponsabiliser totalement et leur permettre en plus d'utiliser leurs découvertes pour explorer les serveurs vulnérables et en télécharger les fichiers non accessibles depuis la partie publique, sans même avoir à prévenir le webmestre des sites concernés?

Ni un administrateur, ni un juge ne peuvent connaître le but réel de celui qui téléchargeait de tels fichiers : simple curiosité pour mesurer l'étendue d'une faille ou bien vol de données pour tenter d'en tirer un profit? Se faire passer pour un "chasseur de faille" peut même être une excellente couverture pour un pirate informatique dans le cas où il serait identifié. Or une fois les fichiers téléchargés, sauf erreur grossière leur diffusion pourra échapper à tout contrôle voire leur exploitation frauduleuse sera impossible à démontrer, donc à sanctionner.

Introduction d'un nouveau risque juridique?

Dans sa décision, la Cour d'appel introduit un nouveau mode de protection des contenus sensibles : outre un obstacle à l'accès, elle semble considérer qu'une simple mention faisant état de la confidentialité d'un document accessible avec un navigateur pourrait permettre de reprocher à un internaute ayant passé outre d'avoir accédé audit document... et donc d'engager des poursuites judiciaires?

Si tel était le cas, cela créerait un risque juridique majeur. Plusieurs études ont en effet déjà montré que la navigation d'un internaute ne ressemble en rien à la lecture d'un livre, et qu'une partie importante des informations exposées échappe complètement à son attention. Sans même parler des possibilités de tromper volontairement sa vigilance, pouvoir envoyer un internaute devant les Tribunaux simplement parce qu'il aurait accédé à une page d'un site web sans avoir vu la mention "confidentiel" plus ou moins proche du lien cliqué ne serait pas réaliste.

Si tel n'était pas le cas, cela signifierait que même en cas d'indication contraire, un internaute pourrait librement télécharger des documents qu'il saurait confidentiels sans risquer d'être inquiété. Il serait donc légitime de s'interroger sur la pertinence d'un marquage distinctif des répertoires et fichiers sensibles, qui ne pourrait que faciliter la tâche d'un pirate informatique en cas d'intrusion.

Protection des curieux et des pirates informatiques

La faille exploitée par Kitetoa a fait l'objet de plusieurs mises en garde sur des sites spécialisés, destinées à sensibiliser les administrateurs, mais qui ont également conduit à populariser l'existence de l'outil d'administration de Netscape Navigator auprès d'internautes non directement concernés. Est-il normal qu'à chaque annonce d'une nouvelle faille exploitable avec un simple navigateur, les internautes curieux ou malveillants qui feront en sorte de prendre de vitesse les administrateurs dans l'application des mesures correctrices puissent désormais se sentir protégés par la loi? Faudra-t-il attendre un vrai piratage aux conséquences retentissantes pour qu'un nouveau jugement soit prononcé, accordant au moins un délai de grâce aux administrateurs?

Par ailleurs, selon la même logique qui consiste à déduire de l'impossibilité d'un accès et d'un maintien frauduleux avec un navigateur l'impossibilité d'un vol de données y compris en cas de non-respect des règles d'accès, il devrait en être de même d'une impossibilité d'atteinte volontaire aux données d'un système, sauf à considérer qu'un internaute puisse être condamné pour l'utilisation des fonctionnalités mise à sa disposition dans une page publique d'un site internet. Ainsi, tout internaute accédant à une interface de gestion d'un site ou d'une base de données de manière délibérément irrégulière mais en utilisant son seul navigateur serait théoriquement en droit d'utiliser les fonctionnalités proposées pour modifier la page d'accueil du site ou supprimer la base de données.

En ne s'intéressant plus qu'au résultat final sans considérer les paramètres méthodologiques et intentionnels, la jurisprudence Tati/Kitetoa autorise de nombreuses dérives, alors même que l'utilisation du contenu d'une alerte de sécurité pour accéder à la partie non publique d'un site étranger ne peut par définition en aucun cas être considérée comme un acte accidentel.

Vers une légalisation du piratage informatique?

La Cour d'appel semble considérer dans sa décision que la protection de la loi ne s'applique plus à un système dès lors qu'il comporte une faille. A-t-elle été informée que la plupart des piratages sont dus non pas à l'outrepassement d'un dispositif de sécurité mais à l'exploitation d'une ou plusieurs failles? Que de nouvelles failles sont découvertes tous les jours, y compris dans les logiciels chargés d'assurer la sécurité des systèmes? Que les failles et les méthodes pour les exploiter sont annoncées sur des sites ou dans des listes de diffusion publics, consultables au même moment aussi bien par les administrateurs que par les pirates? Que lorsqu'une faille est annoncée dans un logiciel, elle était en fait présente le plus souvent dès le départ, sans même que les administrateurs concernés ne puisse en avoir connaissance? Bref que la sécurité n'est pas un état stable mais temporaire, un système étant considéré sécurisé jusqu'à ce que l'on y découvre une faille? Dans ces conditions, ne plus protéger que les systèmes "verrouillés" reviendrait à légaliser le piratage informatique.

L'objectif du pirate n'est pas de faire exploser la porte d'entrée, souvent blindée et surveillée, mais le plus souvent de trouver dans la grande bibliothèque de méthodes de piratage qu'est le web la petite fenêtre entrebâillée située à l'étage qui lui permettra de passer par là où personne ne l'attend. Peut-on réellement considérer accidentel le fait pour un passant d'appliquer une échelle contre un mur et de s'introduire par la fenêtre du bâtiment? Est-il raisonnable de considérer que puisque le passant se serait ainsi introduit de manière accidentelle, il pouvait sincèrement considérer se trouver dans un lieu public et donc emporter à sa guise divers objets ou photocopies de documents trouvés dans le bâtiment?

Dans le cas de l'affaire qui nous occupe, le concepteur du site de Tati avait placé sa base de données dans un répertoire inconnu des visiteurs accédant au site par l'adresse habituelle ou les moteurs de recherche, mais il ignorait que le serveur Netscape Entreprise qui hébergeait alors le site avait la particularité de mettre à disposition des administrateurs une interface donnant accès par défaut au détail de l'arborescence des sites... et que Netscape avait intégré dans son navigateur grand public - mais sans le documenter - l'outil permettant de se connecter à distance en tant qu'administrateur aux serveurs de la marque. Un défaut d'information manifeste de la part de l'éditeur dont chacun appréciera s'il justifiait de légaliser le pillage numérique de certains de ses clients.

Priorité aux (vraies) victimes

La Justice doit-elle protéger prioritairement les internautes qui confient leurs données personnelles à des sites sans avoir les moyens d'en vérifier la sécurité, les entreprises qui subissent régulièrement les failles de leurs fournisseurs de logiciels et ont besoin d'un minimum de temps après divulgation pour appliquer les correctifs, ou bien les amateurs plus ou moins éclairés qui utilisent le contenu des bulletins d'alerte pour tester la sécurité des serveurs à la recherche de failles non corrigées à dénoncer ou de fichiers sensibles à dérober? Alors que la sécurité informatique attire chaque jour davantage d'intervenants aux motivations et aux compétences très inégales, sa réponse laisse perplexe.

Outre qu'il est essentiel qu'une entreprise ou qu'un webmestre puisse demander l'arbitrage d'un juge dans le cas de tout accès irrégulier préjudiciable ou du téléchargement d'un fichier confidentiel autrement que par le seul usage des liens hypertextes, la Justice aurait pu profiter de l'occasion pour se prononcer sur les conditions de révélation d'une faille non corrigée dans un site web : peut-on considérer qu'envoyer un avertissement à une ou plusieurs adresses email dont on ignore si elles sont effectivement relevées est suffisant pour pouvoir révéler publiquement l'existence d'une faille? Où se termine le droit à l'information et où commence la mise en danger délibérée du système d'autrui?

Etant donné que la divulgation d'une faille non corrigée dans un site transforme un risque plus ou moins grand d'exploitation malveillante en quasi-certitude, avec des conséquences potentiellement graves pour des milliers ou des dizaines de milliers de visiteurs ou de clients, la question méritait une réponse claire.

Nécessaire retour à l'éthique

En quelques années, la sécurisation bénévole des sites web a perdu beaucoup de sa sérénité - certains diront de son âme - tant la "Star Hackademisation" des esprits a fait son chemin. L'action réellement désintéressée n'a plus la cote, aussi la moindre découverte est-elle médiatisée, au mieux une fois la faille corrigée, au pire avant même que l'administrateur concerné n'en soit informé.

Pour un nombre croissant d'acteurs il s'agit avant tout de développer sa notoriété dans le petit monde de la sécurité, d'attirer l'attention des internautes ou des médias, de railler publiquement les sites pris en défaut voire de les "punir" en favorisant leur piratage. De leur côté, lorsqu'ils sont avertis d'une faille, de moins en moins de webmestres prennent le risque de remercier de peur de voir leur réponse exhibée comme un trophée dans un site ou un magazine pour apprentis pirates, voire en cas de médiatisation sont parfois tentés de nier l'existence de la faille et à ne pas la corriger pour éviter d'être mis en cause par leur hiérarchie.

On savait déjà que la publication prématurée d'une faille pouvait littéralement provoquer une vague de piratage, les administrateurs n'ayant pas le temps ou pas la possibilité d'effectuer les corrections nécessaires avant que des script-kiddies n'utilisent les informations divulguées pour s'attaquer à leur site. En allant toujours plus loin dans les investigations et les révélations, on sait maintenant que les chasseurs de faille peuvent aussi affaiblir le droit : en se comportant comme des pirates sans en avoir les intentions malveillantes, ils peuvent contraindre la Justice à légaliser des pratiques douteuses ou à rendre des décisions dont la portée est contraire à l'intérêt général.

Si tous les passants pouvaient entrer dans un bâtiment par une fenêtre laissée imprudemment entrebâillée, voire par la porte en utilisant certains outils grand public, puis en repartir avec des objets ou des photocopies de documents confidentiels pour peu qu'ils n'en fassent pas un "usage frauduleux", la Justice pourrait-elle encore lutter contre les cambriolages? Certains chasseurs de faille auront désormais intérêt à faire preuve d'un peu moins de curiosité ou d'ambition personnelle, et d'un peu plus de responsabilité et d'humilité, s'ils veulent vraiment pouvoir affirmer agir pour la sécurité et le bien de la communauté tout entière.

En résumé

Si d'un strict point de vue juridique elle peut paraître cohérente et équilibrée, la jurisprudence Tati/Kitetoa constitue en pratique une véritable faille dans la loi "Godfrain" chargée de réprimer les maintiens frauduleux et surtout le vol de données qui pourrait en résulter. Un dangereux paradoxe, alors même qu'il s'agit de contrer l'action de spécialistes dans l'exploitation des failles d'un système.

Cette bombe à retardement est une bombe silencieuse, puisque contrairement aux autres formes de piratage le vol de données est peu médiatisé... voire jamais découvert. Des entreprises verront donc leurs clients partir, des internautes constateront un accroissement du spamming ou des débits imprévus sur leur relevé de compte, mais pour chacun il sera difficile voire impossible de remonter à la cause du problème, à savoir le vol d'un fichier confidentiel ou d'une base de données sur un serveur visité peut-être des mois auparavant, parce qu'il aura été reconnu légal d'explorer les dessous des sites mal sécurisés et surtout d'en télécharger les fichiers sensibles même en cas d'accès délibérément irrégulier et malveillant. Une bombe susceptible de faire des victimes tant qu'elle ne sera pas désamorcée, par un jugement ou un texte de loi contradictoire.

Le plus inquiétant reste les conséquences que pourrait avoir une multiplication des confrontations entre le droit et les chasseurs de faille. Outre le risque d'une légalisation de fait du vol de données, une nouvelle forme de cybercriminalité organisée pourrait se développer à la faveur de la clémence des juges : de faux chasseurs de faille pourraient en effet se multiplier pour récupérer les fichiers confidentiels mal protégés et les transmettre à un complice en vue d'une revente ou d'une exploitation frauduleuse, voire pour rechercher et explorer un maximum de systèmes vulnérables et ne renseigner leurs complices que sur les seules cibles intéressantes, sans risquer eux-même davantage qu'une relaxe ou qu'une condamnation symbolique grâce à leurs apparentes bonnes intentions.

LIENS UTILES :

- Contre-enquête dans l'affaire Tati/Kitetoa
- Décision de la Cour d'appel de Paris (document PDF)

 


 

 

 
 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons