Bluetouff : le Quatrième Cavalier de l'Apocalypse

La Cour de cassation a rejeté mercredi 20 mai le pourvoi d'Olivier Laurelli, a.k.a Bluetouff, bidouilleur++ en InfoSec (sécurité informatique) et "blogueur" en particulier pour le journal en ligne Reflets. La condamnation en appel et sa confirmation sont d'une incroyable absurdité, l'acharnement du Parquet de Paris à poursuivre Bluetouff est quant à lui stupéfiant.

Bizarrement, ce sont la nature, le contenu, le caractère approximatif et l'origine de certains commentaires qui me consternent le plus et, entre nous soit dit, ont un chouille tendance à me mettre en rogne. Je vide mon sac.

Long story short

L'affaire a été abondamment commentée, j'essaye de faire un court résumé.

Alors qu'il cherchait tout autre chose, Bluetouff tombe sur une série de résultats de Google pointant vers des documents de l'Agence Nationale de SÉcurité Sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Ces documents se trouvaient dans un répertoire web (l'équivalent d'un répertoire ou d'un dossier, mais accessible sur un serveur Web), en accès public. Bluetouff décide de les télécharger. Il y a beaucoup de documents ce qui veut dire beaucoup de clics. Bluetouff est, comme nous tous ici bas, de nature feignante. Pour se simplifier la vie, il utilise un petit programme de téléchargement d'utilisation très courante chez les informaticiens (wget) pour faire le travail à sa place. Rien de très complexe ou de particulièrement technique, je puis vous l'assurer.

Le programme télécharge les documents et Bluetouff se sert de certains d'entre eux pour rédiger un article pour Reflets sur les nano-matériaux. Une semaine plus tard, un journaliste à qui il a transmis un document publie à son tour un article. L'ANSES percute que ce dernier fait référence à un document qui n'aurait pas dû se balader dans la nature. L'agence soupçonne un piratage et porte plainte. La DCRI convoque Bluetouff puis il est placé en garde à vue, son matériel est saisi, la mise en examen s'en suit. Youpi, c'est la fête.

Côté justice, Bluetouff est relaxé en première instance. Entre temps, l'ANSES a réalisé que, la grosse boulette, c'était elle qui l'avait faite. L'agence a donc décidé d'arrêter de passer pour une truffe les frais et de ne pas se porter partie civile. Il est probable que quelques paires de claques aient été distribuées au passage au sein de sa direction informatique. Mais en tout état de cause, pour Bluetouff, c'est relaxe.

Le Parquet, bien nommé vu son altitude en cette affaire, et pour une raison qui n'appartient qu'à lui, décide de faire appel du jugement. En appel donc, Bluetouff est condamné à 3000€ d'amende assortis d'une fort décorative mention au casier judiciaire. Il décide alors d'aller en cassation. Son pourvoi est rejeté, il est condamné pour maintien frauduleux dans un système de traitement automatisé de données et vol de données informatiques.

"Consternation générale". Enfin, c'est ce que je croyais.

Il s'en trouve en effet pour estimer que la condamnation est justifiée. D'autres considèrent qu'il n'aurait pas dû être condamné pour piratage informatique, mais condamné quand même. D'autres enfin semblent penser que, bien qu'il n'y ait pas d'éléments tangibles dans le dossier d'accusation, il doit quand même bien être coupable de quelque chose. Voyons tout cela.

Des documents confidentiels

Les documents étaient librement accessibles, à tel point que les crawlers du moteur de recherche Google les avaient ajoutés dans son index. C'est une évidence incontestable. Faisons donc un raisonnement bien scabreux (j'ai lu des commentaires allant dans cette direction et le raisonnement des magistrats est dans la même veine) : les documents auraient dû être protégés, donc l'ANSES souhaitait qu'ils soient "inaccessibles au public". Ainsi, par symbiose télépathique avec les sysadmin de l'ANSES, Bluetouff savait qu'il téléchargeait des documents confidentiels.

C'est du grand n'importe quoi, et ce "raisonnement" pue l'auto-suggestion. Bluetouff n'avait aucune raison a priori (ou a posteriori) de se douter que ces documents aient été publiés par erreur.

Un élément qui, lui, aurait mis la puce à l'oreille de n'importe qui, aurait été l'apparence d'une classification. Quand des documents le sont, c'est comme le Port-Salut, c'est marqué dessus. Qui plus est, la mention apparaît généralement en full caps et corps 42 sur la page de garde puis sur toutes les pages du document (par exemple en pied de page). Manque de pot, l'ANSES a déclaré qu'il s'agissait

de documents de travail internes qui sont échangés par les experts. Ces documents ne sont pas classifiés.

Ces documents n'étaient ni dans les faits, ni dans les apparences, privés ou confidentiels. Bluetouff, étant selon toute probabilité équipé du même nombre de sens et, à la louche, de la même densité de neurones que nous tous, avait toutes les raisons de penser qu'ils étaient publics.

C'est du lourd

Passons à l'autre élément censé appuyer, en filigrane, l'idée de la culpabilité de Bluetouff. Il s'agit du nombre de documents téléchargés, et surtout de la taille du téléchargement qui en totalité, s'élève à un peu moins de 8 Go. Énorme, en somme.

D'abord, il n'a pas été télécharger chaque fichier indépendamment. Il a utilisé wget qui s'est occupé de faire le boulot pour lui. On est un petit peu loin de l'image du pirate fanatique (cagoulé et penché sur son laptop, comme les médias aiment à présenter les "pirates") cliquant frénétiquement sur des milliers de liens pour parfaire sa collection de "victimes"...

Ensuite et surtout, que Bluetouff ait téléchargé deux documents ou quatre cent soixante quatorze millions ne fait aucune différence ; les documents étaient librement accessibles. Quand on aime on ne compte pas, et écrivant des articles pour Reflets, on peut imaginer qu'il soit d'un naturel relativement curieux. Sur ces 8 Go, seuls 250 Mo de documents ont été utilisés aux fins de rédaction d'un article.

De l'extraction soustractive

L'autre aspect du problème, c'est cette histoire de "vol de données" - je vous recommande la très bonne analyse de Marc Rees sur Next INPact.

Depuis 2014 et la loi sur le terrorisme, "le Code pénal réprime [...] l’extraction, la détention, la reproduction et la transmission frauduleuses de [...] données", dès lors qu'il ne s'agit pas de droit d'auteur. Cette modification récente de la législation est à mon avis assez baroque, puisque le vol implique une dépossession. Néanmoins, il faut bien interdire le fait de copier des données à des fins malveillantes, me direz-vous. Dans ce cas, il me semble que l'extraction de données n'est que le moyen, la fin étant réprimée par la loi (extorsion de fonds, fraude à la carte bancaire, violation du secret, etc.). Ensuite, pour copier ces données frauduleusement, il aura bien fallu accéder au système concerné, et s'y maintenir, frauduleusement. Bref, ces articles de loi me semblent dans la tendance actuelle à faire de l'utilisation d'Internet ou de l'informatique une circonstance aggravante. Particulièrement si la sacro-sainte lutte contre le terrorisme est invoquée pour faire passer la pilule. Je ferme la parenthèse.

Cette loi ne s'appliquait pas au moment des faits, donc retour à l'ancienne version du Code pénal qui ne comportait pas ces dispositions. L'argument de l'avocat général (je cite toujours l'article de Next INpact), c'est que le vol se caractérise "par le fait de se comporter sur la chose comme son propriétaire en se l’appropriant contre le gré de celui qui la possède. C’est très exactement ainsi que se comporte celui qui copie frauduleusement des données informatiques. Il n’importe que la victime ne soit pas dépossédée de ces données de même qu’il n’importe, en cas de photocopie frauduleuse d’un document, que l’original reste entre les mains de son propriétaire. L’extraction est en réalité une forme de soustraction".

Avouez que plus capillo-tracté, c'est difficile. Nous avons affaire à une "victime" qui n'a rien perdu (voire qui pourrait être tenue pour responsable), un "contre son gré" très subjectif dans la mesure où les documents n'étaient pas protégés, probablement depuis des éons. J'aime beaucoup le coup de la soustraction par zéro ; il n'y a pas à dire, c'est un métier.

Le reste étant tellement vide de sens, le pivot de l'affaire semble donc être le caractère frauduleux de la copie.

La mire de "lojin"

Lors de sa garde à vue Bluetouff a déclaré, en réponse à la question d'un OPJ, qu'il avait bien constaté dans un second temps qu'une invite de connexion (nom d'utilisateur - mot de passe) était présente sur une page située "plus haut dans l'arborescence". Je pense que, sûr de n'avoir commis aucun délit, j'aurais dit la même chose. Fatalitas, comme nous l'explique à regret Me Eolas : voici le maintien frauduleux démontrable sans que l'accès n'ait été frauduleux. Et le Parquet, faisant feu de toute brindille et poursuivant Bluetouff de ses assiduités, s'est empressé d'utiliser sa déclaration en garde à vue pour le démontrer.

Le problème, c'est que cela ne démontre rien. De très nombreux sites, particulièrement lorsqu'il s'agit de CMS (système de gestion de contenus, en français), proposent un système de gestion des droits d'accès élaboré. Il est donc très fréquent que contenus publics et privés se côtoient avec une hautaine indifférence sur le même serveur. Il est également d'usage que différentes permissions soient appliquées sur le même document en fonction de la personne qui y accède. Par exemple, vous pouvez librement consulter cet article, mais je suis le seul à pouvoir le modifier. Le système m'authentifie, m'identifie et, enfin, m'autorise à faire cette manip'.

Qu'il s'agisse d'accès ou de maintien, pour que le terme "frauduleux" soit utilisé, on pourrait s'attendre à ce qu'il y ait manifestement eu fraude. Si les documents avaient été protégés et que Bluetouff avait utilisé des techniques tendant à franchir une interdiction ou à outrepasser les autorisations qu'il pouvait légitimement obtenir en tant que visiteur, j'aurais compris. Mais la simple présence d'un formulaire de connexion ne démontre absolument rien, ni ne permet d'envisager une intention de la part de Bluetouff de braver un quelconque interdit.

A ce propos et quitte à faire une digression, je m'adresse à ceux qui nous expliquent que la démonstration est tout à fait valable, et qui la justifient en servant des analogies à base de maisons sans mur mais équipées d'une porte, de voitures empruntées par erreur et contenant des santiags et des documents confidentiels (ce billet est surréaliste), ou autres chosifications bizarroïdes. Une analogie doit permettre une transposition ; dans le cas d'espèce, établir un rapport entre les deux domaines ne fonctionne tout simplement pas. Une porte n'est pas à une maison ce qu'une invite de connexion est à un site, pas plus qu'une voiture n'est à un ami ce qu'un répertoire est à un serveur ou un râton-laveur à une navette spatiale.

Revenons-en à nos moutons. Bluetouff est ainsi condamné - alors que rien n'indiquait sur les documents qu'ils puissent être confidentiels et qu'ils étaient librement accessibles - à cause d'une supposée conscience de frauder liée à la présence de champs de connexion à l'autre bout du site. Jetons un coup d'oeil au Code pénal :

Il n'y a point de crime ou de délit sans intention de le commettre.

Apocalypse now

S'agissant de Bluetouff, l'intention est établie dans l'esprit de ceux qui le condamnent ou applaudissent sa condamnation, avant même que le "crime" ne soit commis. Il s'est spécialisé sur la sécurité informatique, écrit des articles pour un site d'information "hacker-friendly". Par hacker, j'entends cette définition. Le Parquet, lui, entend un "pirate". Il n'a pas manqué de le relever en audience. Tout cela leur suffit donc, et vous suffit peut-être.

Le Parquet n'est pas le seul à s'engouffrer dans la brèche. Chez les commentateurs, on trouve une quantité ahurissante de "c'est mal", "il n'est pas innocent", "il y en a un qui a voulu se la péter et ça s'est retourné contre lui", "il savait que ce qu'il copiait n'aurait pas dû être accessible", et autre variations sur le même thème. Pendant le jugement en appel, une magistrate aurait même demandé si Bluetouff s'était posé la question de savoir s'il risquait de "tuer toute la planète".

Tout cela dépasse le procès d'intention pour basculer dans le phantasme, le jugement de valeur et la condamnation morale. Le fait qu'il n'y ait aucun indice permettant de déterminer son intention de commettre un délit, celui qu'il n'ait pas utilisé une quelconque technique de piratage, qu'il n'ait exploité les documents qu'au compte-gouttes et à la seule fin d'informer, ça ne compte pas. Bluetouff, c'est le Quatrième Cavalier de l'Apocalypse.

Updates

  • Je m'étais trompé dans la date, l'arrêt de la Cour de cassation a été rendu le 20 mai, et non le 22.
  • Voir la suite ici.