3 mois de prison avec sursis pour la faille XSS du site de Rachida Dati

1
102

Alors que le prévenu croyait ne rien risquer pénalement, le parquet a requis trois mois de prison avec sursis contre cet internaute qui avait profité d’une faille XSS sur le site officiel de Rachida Dati pour mettre en ligne un outil permettant de s’en amuser, sans conséquence pour le site de l’ancienne ministre de la justice.

La magie, c’est que tout cela est réalisable sans aucune action pénalement répréhensible“, s’était réjoui auprès du Monde l’internaute qui avait découvert et permis en 2012 l’exploitation d’une faille XSS sur le blog de Rachida Rati. Deux ans plus tard, force est de constater que ce n’est pas l’avis du procureur de Paris, qui se montre d’une sévérité à peine croyable.

Une sévérité exemplaire

Le quotidien du soir raconte en effet que le représentant du ministère public a requis rien moins que trois mois de prison avec sursis contre l’un des deux prévenus, accusé d’avoir créé un site internet (Tweetpop.fr, aujourd’hui inactif) qui exploitait la faille XSS. Le site permettait aux internautes de diffuser n’importe quel message en donnant l’illusion qu’il provenait effectivement du site officiel de l’ancienne garde des Sceaux, sans avoir à pirater les bases de données ou le code source du blog. Grâce à la faille, il suffisait de glisser les paramètres dans l’URL du site avec le contenu voulu pour que celui-ci apparaisse aux yeux de l’internaute comme s’il venait effectivement du site officiel. 

Seuls ceux qui utilisaient une URL ainsi modifiée pour accéder au site de Rachida Dati voyaient le contenu potache, à l’instar du faux communiqué de candidature aux municipales publié par un militant écologiste. Il suffisait de corriger la faille pour mettre fin immédiatement à la blague. Mais des poursuites avaient été engagées.

Selon le rapport que fait Le Monde de l’audience, le président du tribunal a d’abord déploré “l’humour stupide” des prévenus, en affirmant qu’exploiter ainsi une faille technique “ne fait rire personne“. Le procureur, lui, a demandé que soient retenus deux chefs d’accusation : introduction frauduleuse de données dans un système de traitement automatisé (article 323-3 du code pénal), et usurpation d’identité. Il réclame trois mois de prison avec sursis, pour bien manifester le caractère exemplaire de la sentence demandée.

Ce dernier délit, dont l’écriture très vague n’avait pas été soumise au contrôle constitutionnel, punit le fait “de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération“. En l’espèce, Tweetpop ne faisait pas disparaître les noms ou photo de Rachida Dati, et modifiait même le logo du groupe politique de l’eurodéputée, pour remplacer “PPE” par “PIPE”, en référence à son laspsus sur l’inflation. 

L’audience a été mise en délibéré au 18 décembre…

 

Article original : Numerama

Les commentaires sont fermés.