|
Si
vous téléchargez le dernier titre de Céline Dion au format
MP3 en cliquant sur le lien hypertexte d'une page personnelle
vous risquez deux ans de prison et 150.000 euros d'amende.
Si vous utilisez les informations d'un site spécialisé en
sécurité informatique pour télécharger la base
de données de 4.000 clients d'un cybermarchand en passant
par l'interface d'administration de son serveur web vous risquez...
rien. C'est la jurisprudence Tati/Kitetoa.
Ce constat
aurait dû faire hurler les défenseurs de la vie privée, s'il
n'était pas paradoxalement la conséquence malheureuse de l'action
de l'un d'entre eux.
Comment expliquer en effet que la Justice puisse condamner
un internaute pour le téléchargement de fichiers musicaux
librement accessibles sur internet, alors que dans le même
temps elle laisserait n'importe qui exploiter certaines failles
des sites web mal sécurisés pour en télécharger les fichiers
confidentiels?
La Cour
d'appel à l'origine de cette jurisprudence motive ainsi sa
décision : il ne peut pas y avoir d'accès ou de maintien frauduleux
"par la simple utilisation d'un logiciel grand public de navigation",
donc les parties d'un site accessibles avec un navigateur
doivent être considérées "non confidentielles à défaut de
toute indication contraire et de tout obstacle à l'accès".
Or le navigateur est l'outil de base qui permet d'exploiter
les failles des serveurs et des applications web.
Extrême
faiblesse technique du débat contradictoire
Dans l'affaire
Tati/Kitetoa, la défense brillante de Kitetoa aura
rapidement eu raison de la faiblesse voire de l'inconsistance
technique des arguments avancés par la partie adverse,
alors que pourtant dans les faits
la
seule utilisation d'un navigateur et l'absence d'obstacle
à l'accès étaient largement contestables.
En effet,
notre contre-enquête
a déjà montré que l'accès et le
maintien n'ont pas été rendus possibles par
l'utilisation des fonctionnalités habituelles d'un navigateur,
mais par l'utilisation d'un outil spécifique et non
documenté intégré à Netscape Navigator
qui permettait la
détection et
l'administration à distance des serveurs
de
la marque.
Un outil qui n'aurait jamais dû se trouver dans un logiciel
grand public et qui a depuis été retiré
du navigateur de Netscape. Par ailleurs, selon les propres
termes de l'intéressé, il y a eu exploitation des informations
d'un bulletin de sécurité et mise en oeuvre de cet outil d'administration
à distance dans l'intention de contourner la protection qui
consiste à placer des fichiers sensibles dans un répertoire
spécifique et inconnu des visiteurs.
Bien que
rudimentaire, ce procédé reste relativement
courant et efficace y compris contre les moteurs de recherche,
puisque même le tout puissant Google ne peut pas indexer spontanément
le contenu d'un répertoire vers lequel ne pointe aucun lien
hypertexte. Pour qu'un internaute télécharge
un fichier placé dans un tel répertoire, il
faudrait déjà qu'il en suspecte l'existence,
puis qu'il procède par ingénierie sociale ou
force brute afin d'essayer successivement toutes les combinaisons
possibles de nom de répertoire, de nom de fichier et
de nom d'extension, soit des techniques similaires à
celles destinées à trouver le couple login/mot
de passe protégeant l'accès à une zone
confidentielle.
Quant
à l'absence d'indication contraire, la Cour d'appel n'a visiblement
pas jugé suffisant que la mise en oeuvre de l'outil d'administration
fasse apparaître une interface dont l'apparence
était radicalement différente de celle du site
public et dont le titre "Web Publisher Services" précisait
pourtant qu'elle donnait accès à des services destinés au
seul webmestre. Pour satisfaire à ses exigences, il semble
qu'il aurait fallu rendre les répertoires et fichiers confidentiels
identifiables par un procédé compréhensible par l'ensemble
des internautes de la planète, afin qu'en cas d'intrusion
les documents sensibles soient reconnaissables au premier
coup d'oeil. Les administrateurs apprécieront... les pirates
aussi.
Généralisation
d'un cas très particulier
Au-delà
du débat purement technique propre à cette affaire, fallait-il
partir du cas particulier d'un journaliste féru d'informatique
ayant intentionnellement exploité une faille dans un site
web dans le but d'en démontrer la vulnérabilité en utilisant
un outil d'administration à distance retiré depuis par Netscape
de son navigateur grand public pour créer une jurisprudence
qui permette à n'importe qui d'exploiter certaines failles
des serveurs et des applications web et d'en télécharger impunément
les éventuels fichiers sensibles?
Le risque
juridique et judiciaire censé peser sur les internautes
dans le cas d'un accès accidentel à un fichier
confidentiel et d'un usage normal du navigateur est purement
théorique : si une entreprise venait à pointer un lien de
son site vers un fichier sensible ou à faire en sorte que
ce dernier soit indexé par les moteurs de recherche, il serait
peu probable qu'elle porte plainte pour ce motif, il serait
improbable qu'un procureur considère une telle plainte comme
recevable et il serait impossible qu'une enquête préliminaire
d'un service spécialisé de Police ou de Gendarmerie puisse
conclure à un acte frauduleux. La jurisprudence Tati/Kitetoa
était donc inutile pour protéger les internautes ordinaires.
Certes
il était important d'assouplir la définition du délit d'accès
frauduleux pour protéger la minorité d'internautes "avisés,
mais de bonne foi, qui découvrent les failles de systèmes
informatiques manifestement non sécurisés", selon les termes
du Procureur général. Mais
fallait-il pour autant les déresponsabiliser totalement et
leur permettre en plus d'utiliser leurs découvertes pour explorer
les serveurs vulnérables et en télécharger les fichiers non
accessibles depuis la partie publique, sans même avoir
à prévenir le webmestre des sites concernés?
Ni un
administrateur, ni un juge ne peuvent connaître le but réel
de celui qui téléchargeait de tels fichiers : simple curiosité
pour mesurer l'étendue d'une faille ou bien vol de données
pour tenter d'en tirer un profit? Se faire passer pour un
"chasseur de faille" peut même être
une excellente couverture pour un pirate informatique dans
le cas où il serait identifié. Or une fois les
fichiers téléchargés, sauf erreur grossière leur diffusion
pourra échapper à tout contrôle voire
leur exploitation frauduleuse sera impossible à démontrer,
donc à sanctionner.
Introduction
d'un nouveau risque juridique?
Dans sa
décision, la Cour d'appel introduit un nouveau mode
de protection des contenus sensibles : outre un obstacle à
l'accès, elle semble considérer qu'une simple mention faisant
état de la confidentialité d'un document accessible avec un
navigateur pourrait permettre de reprocher à un internaute
ayant passé outre d'avoir accédé audit document... et donc
d'engager des poursuites judiciaires?
Si tel
était le cas, cela créerait un risque juridique
majeur. Plusieurs études ont en effet déjà
montré que la navigation d'un internaute ne ressemble
en rien à la lecture d'un livre, et qu'une partie importante
des informations exposées échappe complètement
à son attention. Sans même parler des possibilités
de tromper volontairement sa vigilance, pouvoir envoyer un
internaute devant les Tribunaux simplement parce qu'il aurait
accédé à une page d'un site web sans
avoir vu la mention "confidentiel" plus ou moins
proche du lien cliqué ne serait pas réaliste.
Si tel
n'était pas le cas, cela signifierait que même
en cas d'indication contraire, un internaute pourrait librement
télécharger des documents qu'il saurait confidentiels
sans risquer d'être inquiété. Il serait
donc légitime de s'interroger sur la pertinence d'un
marquage distinctif des répertoires et fichiers sensibles,
qui ne pourrait que faciliter la tâche d'un pirate informatique
en cas d'intrusion.
Protection
des curieux et des pirates informatiques
La faille
exploitée par Kitetoa a fait l'objet de plusieurs mises
en garde sur des sites spécialisés, destinées
à sensibiliser les administrateurs, mais qui ont également
conduit à populariser l'existence de l'outil d'administration
de Netscape Navigator auprès d'internautes non directement
concernés. Est-il normal qu'à chaque annonce d'une
nouvelle faille exploitable avec un simple navigateur, les
internautes curieux ou malveillants qui feront en sorte de
prendre de vitesse les administrateurs dans l'application
des mesures correctrices puissent désormais se sentir
protégés par la loi? Faudra-t-il attendre un
vrai piratage aux conséquences retentissantes pour
qu'un nouveau jugement soit prononcé, accordant au
moins un délai de grâce aux administrateurs?
Par ailleurs,
selon la même logique qui consiste à déduire de l'impossibilité
d'un accès et d'un maintien frauduleux avec un navigateur
l'impossibilité d'un vol de données y compris en cas de non-respect
des règles d'accès, il devrait en être de même
d'une impossibilité d'atteinte volontaire aux données
d'un système, sauf à considérer qu'un internaute
puisse être condamné pour l'utilisation des fonctionnalités
mise à sa disposition dans une page publique d'un site
internet. Ainsi, tout internaute accédant à une interface
de gestion d'un site ou d'une base de données de manière délibérément
irrégulière mais en utilisant son seul navigateur serait théoriquement
en droit d'utiliser les fonctionnalités proposées pour modifier
la page d'accueil du site ou supprimer la base de données.
En ne
s'intéressant plus qu'au résultat final sans considérer
les paramètres méthodologiques et intentionnels, la
jurisprudence Tati/Kitetoa autorise de nombreuses dérives,
alors même que l'utilisation du contenu d'une alerte
de sécurité pour accéder à la
partie non publique d'un site étranger ne peut par
définition en aucun cas être considérée
comme un acte accidentel.
Vers
une légalisation du piratage informatique?
La Cour
d'appel semble considérer dans sa décision que la protection
de la loi ne s'applique plus à un système dès lors
qu'il comporte une faille. A-t-elle été informée que la plupart
des piratages sont dus non pas à l'outrepassement d'un dispositif
de sécurité mais à l'exploitation d'une ou plusieurs failles?
Que de nouvelles failles sont découvertes tous les
jours, y compris dans les logiciels chargés d'assurer
la sécurité des systèmes? Que les failles
et les méthodes pour les exploiter sont annoncées
sur des sites ou dans des listes de diffusion publics, consultables
au même moment aussi bien par les administrateurs que
par les pirates? Que lorsqu'une faille est annoncée
dans un logiciel, elle était en fait présente
le plus souvent dès le départ, sans même
que les administrateurs concernés ne puisse en avoir
connaissance? Bref que la sécurité n'est pas
un état stable mais temporaire, un système étant
considéré sécurisé jusqu'à
ce que l'on y découvre une faille? Dans
ces conditions, ne plus protéger que les systèmes "verrouillés"
reviendrait à légaliser le piratage informatique.
L'objectif
du pirate n'est pas de faire exploser la porte d'entrée, souvent
blindée et surveillée, mais le plus souvent de trouver dans
la grande bibliothèque de méthodes de piratage qu'est le web
la petite fenêtre entrebâillée située à l'étage qui lui permettra
de passer par là où personne ne l'attend. Peut-on réellement
considérer accidentel le fait pour un passant d'appliquer
une échelle contre un mur et de s'introduire par la fenêtre
du bâtiment? Est-il raisonnable de considérer que puisque
le passant se serait ainsi introduit de manière accidentelle,
il pouvait sincèrement considérer se trouver dans un
lieu public et donc emporter à sa guise divers objets ou photocopies
de documents trouvés dans le bâtiment?
Dans le
cas de l'affaire qui nous occupe, le concepteur du site de
Tati avait placé sa base de données dans un répertoire inconnu
des visiteurs accédant au site par l'adresse habituelle ou
les moteurs de recherche, mais il ignorait que le serveur
Netscape Entreprise qui hébergeait alors le site avait la
particularité de mettre à disposition des administrateurs
une interface donnant accès par défaut au détail de l'arborescence
des sites... et que Netscape avait intégré dans son navigateur
grand public - mais sans le documenter - l'outil permettant
de se connecter à distance en tant qu'administrateur aux serveurs
de la marque. Un défaut d'information manifeste de la part
de l'éditeur dont chacun appréciera s'il justifiait de légaliser
le pillage numérique de certains de ses clients.
Priorité
aux (vraies) victimes
La Justice
doit-elle protéger prioritairement les internautes qui confient
leurs données personnelles à des sites sans avoir les moyens
d'en vérifier la sécurité, les entreprises qui subissent régulièrement
les failles de leurs fournisseurs de logiciels et ont besoin
d'un minimum de temps après divulgation pour appliquer les
correctifs, ou bien les amateurs plus ou moins éclairés qui
utilisent le contenu des bulletins d'alerte pour tester la
sécurité des serveurs à la recherche de failles non corrigées
à dénoncer ou de fichiers sensibles à dérober? Alors
que la sécurité informatique attire chaque jour
davantage d'intervenants aux motivations et aux compétences
très inégales, sa réponse laisse perplexe.
Outre
qu'il est essentiel qu'une entreprise ou qu'un webmestre puisse
demander l'arbitrage d'un juge dans le cas de tout accès
irrégulier préjudiciable ou du téléchargement
d'un fichier confidentiel autrement que par le seul usage
des liens hypertextes,
la Justice aurait pu profiter de l'occasion pour se prononcer
sur les conditions de révélation d'une faille
non corrigée dans un site web : peut-on considérer
qu'envoyer un avertissement à une ou plusieurs adresses
email dont on ignore si elles sont effectivement relevées
est suffisant pour pouvoir révéler publiquement
l'existence d'une faille? Où se termine le droit à
l'information et où commence la mise en danger délibérée
du système d'autrui?
Etant
donné que la divulgation d'une faille non corrigée
dans un site transforme un risque plus ou moins grand d'exploitation
malveillante en quasi-certitude, avec des conséquences
potentiellement graves pour des milliers ou des dizaines de
milliers de visiteurs ou de clients, la question méritait
une réponse claire.
Nécessaire
retour à l'éthique
En quelques
années, la sécurisation bénévole
des sites web a perdu beaucoup de sa sérénité
- certains diront de son âme - tant la "Star Hackademisation"
des esprits a fait son chemin. L'action réellement
désintéressée n'a plus la cote, aussi
la moindre découverte est-elle médiatisée,
au mieux une fois la faille corrigée, au pire avant
même que l'administrateur concerné n'en soit
informé.
Pour un
nombre croissant d'acteurs il s'agit avant tout de développer
sa notoriété dans le petit monde de la sécurité,
d'attirer l'attention des internautes ou des médias,
de railler publiquement les sites pris en défaut voire
de les "punir" en favorisant leur piratage.
De leur côté, lorsqu'ils sont avertis d'une faille,
de moins en moins de webmestres prennent le risque de remercier
de peur de voir leur réponse exhibée comme un
trophée dans un site ou un magazine pour apprentis
pirates, voire en cas de médiatisation sont parfois
tentés de nier l'existence de la faille et à
ne pas la corriger pour éviter d'être mis en
cause par leur hiérarchie.
On savait
déjà que la publication prématurée
d'une faille pouvait littéralement provoquer une vague
de piratage, les administrateurs n'ayant pas le temps ou pas
la possibilité d'effectuer les corrections nécessaires
avant que des script-kiddies n'utilisent les informations
divulguées pour s'attaquer à leur site. En
allant toujours plus loin dans les investigations et les révélations,
on sait maintenant que les chasseurs de faille peuvent aussi
affaiblir le droit : en se comportant comme des pirates sans
en avoir les intentions malveillantes, ils peuvent contraindre
la Justice à légaliser des pratiques douteuses
ou à rendre des décisions dont la portée
est contraire à l'intérêt général.
Si tous
les passants pouvaient entrer dans un bâtiment par une
fenêtre laissée imprudemment entrebâillée,
voire par la porte en utilisant certains outils grand public,
puis en repartir avec des objets ou des photocopies de documents
confidentiels pour peu qu'ils n'en fassent pas un "usage
frauduleux", la Justice pourrait-elle encore lutter contre
les cambriolages? Certains chasseurs de faille auront désormais
intérêt à faire preuve d'un peu moins
de curiosité ou d'ambition personnelle, et d'un peu
plus de responsabilité et d'humilité,
s'ils veulent vraiment pouvoir affirmer agir pour la sécurité
et le bien de la communauté tout entière.
En
résumé
Si d'un
strict point de vue juridique elle peut paraître cohérente
et équilibrée, la jurisprudence Tati/Kitetoa constitue en
pratique une véritable faille dans la loi "Godfrain"
chargée de réprimer les maintiens frauduleux
et surtout le vol de données qui pourrait en résulter.
Un dangereux paradoxe, alors même qu'il s'agit de contrer
l'action de spécialistes dans l'exploitation des failles
d'un système.
Cette
bombe à retardement est une bombe silencieuse, puisque
contrairement aux autres formes de piratage le vol de données
est peu médiatisé... voire jamais découvert. Des entreprises
verront donc leurs clients partir, des internautes constateront
un accroissement du spamming ou des débits imprévus
sur leur relevé de compte, mais pour chacun il sera
difficile voire impossible de remonter à la cause du
problème, à savoir le vol d'un fichier confidentiel
ou d'une base de données sur un serveur visité
peut-être des mois auparavant, parce qu'il aura été
reconnu légal d'explorer les dessous des sites mal
sécurisés et surtout d'en télécharger
les fichiers sensibles même en cas d'accès délibérément
irrégulier et malveillant. Une
bombe susceptible de faire des victimes tant qu'elle ne sera
pas désamorcée, par un jugement ou un texte de loi contradictoire.
Le plus inquiétant
reste les conséquences que pourrait avoir une multiplication
des confrontations entre le droit et les chasseurs de faille.
Outre
le risque d'une légalisation de fait du vol de données, une nouvelle
forme de cybercriminalité organisée pourrait se développer
à la faveur de la clémence des juges : de faux chasseurs
de faille pourraient en effet se multiplier pour récupérer
les fichiers confidentiels mal protégés et les transmettre
à un complice en vue d'une revente ou d'une exploitation
frauduleuse, voire pour rechercher et explorer un maximum de systèmes
vulnérables et ne renseigner leurs complices que sur les
seules cibles intéressantes, sans risquer eux-même
davantage qu'une relaxe ou qu'une condamnation symbolique grâce
à leurs apparentes bonnes intentions.
LIENS
UTILES :
- Contre-enquête dans l'affaire
Tati/Kitetoa
- Décision
de la Cour d'appel de Paris (document PDF)
|
