jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Lois Dénoncer une faille de sécurité, c'est du piratage ?

Dénoncer une faille de sécurité, c’est du piratage ?

TMG avait indiqué porter plainte pour cause de vol de données, sur un serveur… non protégé. A l’origine, une faille de sécurité mise au jour par un blogueur. Finalement, il semblerait que l’affaire TMG vs Bluetouff n’aura pas lieu.

C’est une affaire dont Trident Media Guard (TMG) se serait bien passé. En plus d’avoir été négligent sur la sécurité des données personnelles, le prestataire technique spécialisé dans les technologies d’analyse des flux sur les réseaux peer-to-peer, chargé de transmettre les adresses IP utilisées par l’Hadopi pour identifier les internautes qui téléchargent des oeuvres protégées par le droit d’auteur, se retrouve aujourd’hui au centre d’un débat sur le hacking.

TMG s’est d’abord fait épingler par le blogueur Olivier Laurelli (Bluetouff) qui a découvert une faille de sécurité sur un de ses serveurs. En conséquence de quoi, l’Hadopi et la Cnil ont diligenté illico presto un contrôle, et Hadopi a suspendu sa connexion informatique avec TMG. Las, l’affaire ne s’arrête pas là puisque TMG a déclaré à Ouest-France avoir porté plainte, se déclarant “victime d’un vol de données”. Or, la SCPP, un représentant des ayants-droit cité par PC Inpact, a expliqué que le serveur concerné n’était “pas protégé car ne contenant pas d’informations confidentielles”. Lemonde.fr relevait que dans ce cas l’intrusion informatique n’est pas automatiquement caractérisée. Ne manquait plus que TMG s’en prenne sans raison légitime à Bluetouff pour catalyser le ressentiment des anti-Hadopi, déjà bien remontés à son encontre.

Cependant, contrairement aux apparences, l’affaire pourrait se calmer plus vite que prévu.

Olivier Laurelli a indiqué à lexpansion.com que Reflets.info, à l’origine de la publication, n’avait été notifié d’aucune plainte pour le moment. “Nous réfutons en tout cas toute accusation de piratage que pourrait invoquer TMG pour masquer maladroitement sa propre négligence. Nous nous amusons en outre que la divulgation de données de test, avec des IP de test, d’internautes de test, sur un serveur de test… suscite un tel émoi chez TMG”, explique-t-il.

Si aucune plainte n’est confirmée, c’est que du côté de chez TMG, on a peut-être parlé un peu trop vite. “Nous envisageons de retirer notre plainte contre X”, confie un porte-parole de la société, qui explique ne pas “vouloir jeter l’opprobre sur qui que ce soit”, à moins de trouver une preuve formelle d’intrusion d’ici là. La plainte n’aurait peut-être même pas été déposée du tout.

Est-on coupable d’intrusion quand on entre sur un serveur non protégé ?

Dans le cas où elle le serait, la jurisprudence n’est pas si floue que cela en la matière et il y a de grandes chances que l’affaire soit classée. L’affaire qui fait référence est celle de Kitetoa, en 2002. Il s’agissait là encore d’un auteur de Reflets.info, qui avait découvert une faille de sécurité sur un serveur de Tati. “La cour d’appel a posé des principes sur les limites à respecter, qui font depuis autorité, explique Benoît Louvet, avocat spécialisé dans les domaines d’internet et de l’informatique. Il y a hacking soit à partir du moment où on contourne des mesures techniques qui empêchent d’entrer sur un serveur, ce qui revient à commettre une intrusion. Soit quand il n’y a pas de protection ou que la mesure n’est pas opérante, mais qu’il est évident qu’on entre dans un espace dans lequel on n’a pas le droit d’entrer.” Un pirate coupable d’intrusion risque une amende et trois ans de prison, mais la peine est très théorique.

Qu’en est-il exactement pour TMG ? “Toutes les données étaient accessibles d’un simple clic, sans strictement aucun avertissement sur la nature confidentielle des données ni aucun dispositif de sécurité”, précise Olivier Laurelli. Il semble donc bien que dans ce cas il n’y ait pas piratage.

Là où le droit est plus flou, c’est sur la dénonciation des failles de sécurité. Benoît Louvet rappelle qu’il n’y a ni obligation de dénonciation (cela n’existe que pour les crimes), ni interdiction. Si elle procède d’une volonté manifeste de nuire, cela joue en défaveur de son auteur. En revanche, si la dénonciation est utile – ce que l’on pourrait dire de l’avertissement lancé par Olivier Laurelli, personne n’a envie que ses données se baladent dans la nature -, cela n’entraîne pas forcément la clémence.

 

Source : L’Expansion.com

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

  1. […] Pour la boutique de déco, j’ai joué le white hat et j’ai décidé de les contacter via une adresse anonyme en leur disant simplement et poliment que j’avais remarqué une faille grave sur leur site Web. Ils m’ont répondu : « Désolé, nous n’avons pas le même niveau que vous »… C’était il y a un an et la faille est toujours présente et désormais référencée sur des forums de sécurité informatique. Mais le plus drôle c’est que ledit site a été créé par une agence de création de sites Web qui ne comptent pas moins de 34 réalisations. Enfin, l’erreur est humaine mais, ne pas l’admettre est triste. Cependant, je suis content qu’on ne m’ait pas poursuivi pour ça, peut-être parce que j’avais envoyé un mail anonyme afin de ne pas tomber dans ce genre de cas. […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.