Un blogueur et activiste français a été condamné la semaine dernière à 3 000 euros d’amende pour avoir pénétré sur un Extranet mal protégé et copié son contenu. La condamnation, prononcée par la Cour d’appel de Paris après que le tribunal de Créteil l’eut relaxé, a causé beaucoup d’émoi dans la blogosphère. Il faut reconnaître que la justice française s’est quelque peu ridiculisée dans cette affaire.
Olivier Laurelli, connu sur le Net sous son pseudo Bluetouff, a eu le tort de suivre en août 2012 un lien Google qui l’a amené dans l’Extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses). Il suit l’arborescence et découvre que l’ensemble des documents placés par l’Anses sur cet Extranet sont accessibles à qui dispose de leur URL, l’adresse web qui permet de les localiser. Trouvant intéressants les documents sur lesquels il est tombé, il utilise ses connaissances informatiques pour les télécharger d’un coup à l’aide d’un outil qui automatise la récupération de fichiers situés sur une arborescence. La copie des documents, d’un volume total de 7,7 gigaoctets, passe inaperçue à l’Anses. Ce n’est que plus tard, après qu’Olivier Laurelli a publié sur son blog reflets.info un article s’inspirant d’un des 8 000 articles copiés, que l’Agence s’énerve et porte plainte. La Direction centrale du renseignement intérieur (DCRI) est alertée.
La façon dont Bluetouff a accédé au serveur de l’Anses a retenu l’attention des agents de la DCRI : il est passé par une adresse IP panaméenne utilisée par un réseau privé virtuel (VPN) administré par le site reflets.info. Il n’a donc pas été trop difficile de remonter jusqu’à lui. Toutefois, au moment du procès en première instance, l’amateurisme des administrateurs de
l’Extranet de l’Anses a sauté aux yeux des juges. Le contenu était accessible aux moteurs de recherche puisque c’est une simple requête Google qui a livré la première URL dont a résulté l’excursion de Bluetouff. Loin d’être protégé, le contenu de l’Extranet était en réalité ouvert aux quatre vents à quiconque disposait des adresses. Mais la DCRI n’était pas de cet avis et a fait appel. Les juges de la Cour d’appel n’ont pas fait preuve lors de l’audience en appel (l’Anses, sans doute occupée à améliorer sa gouvernance informatique, ne s’est pas portée partie civile) d’une connaissance très développée de l’univers du Net. Selon Médiapart, la magistrate chargée de rappeler les faits disait « Gogleu » pour désigner le moteur de recherche et « lojin » pour désigner le login, sans savoir ce que désigne ce terme ; de façon plus générale les magistrats de la Cour d’appel ont fait preuve selon ce reportage d’une phénoménale méconnaissance du fonctionnement du Net. Ce qui ne les a pas empêchés de condamner Olivier Laurelli, non pas pour avoir accédé à l’Extranet, mais pour « maintien frauduleux dans un système d’information » et pour « vol » de documents. Ce qui a facilité cette condamnation est l’aveu par Bluetouff qu’il était, en remontant l’arborescence, parvenu à une page de login : il savait donc clairement qu’il se trouvait sur un serveur protégé – ou du moins sur un serveur censé être protégé.
Or, même si Olivier Laurelli savait que la documentation à laquelle il avait accédé par hasard était protégée, sa condamnation relève de l’acharnement. Ce qui compte, c’est que l’Anses avait omis de la protéger correctement et lui doit en réalité une fière chandelle : celle de l’avoir alertée sur cette vulnérabilité de son système d’information. Aucun agissement criminel (s’il s’était vraiment agi d’un hacker mal intentionné, il y aurait pu y avoir tentative d’extorsion ou publication de documents susceptibles de semer la panique) ne lui est reproché. Une fois de plus, c’est un sonneur d’alerte, même involontaire, qu’une agence de renseignement veut à tout prix transformer en bouc émissaire – alors qu’elle n’est même pas vraiment, en l’occurrence, partie prenante.