[Kitetoa, les pizzaïolos du Ouèb

Discutons un peu de l'affaire Tati versus Kitetoa

Que reproche Tati à Kitetoa.com.? (car contrairement à ce qui a été écrit ici ou là, c'est bien Tati qui a porté plainte contre X en toute connaissance de cause. Cf. le rapport de police.): Un accès et maintien frauduleux dans un système de traitement automatisé de données.

En clair, d'être des pirates informatiques. Et, il est sous-entendu qu'un profit de cette intrusion dans les serveurs de la société Tati a été tiré puisque Tati demande réparation (publication judiciaire et un euro de dommages et intérets).

Bien entendu, le Webmaster de Kitetoa.com n'a jamais soutenu un quelconque acte de piratage informatique. La simple lecture attentive des articles publiés sur notre site le démontre. Les serveurs qui ont fait l'objet d'articles sur Kitetoa.com n'ont jamais été piratés. L'accès au site Tati n'était pas "frauduleux". De plus, Kitetoa.com n'a tiré aucun bénéfice des données qu'il a pu consulter sur le site Web de Tati.

Le Webmaster de Kitetoa.com est journaliste depuis 13 ans. Initialement journaliste financier, il s'est rapidement spécialisé dans les nouvelles technologies de l'information et de la communication. Il a couvert l'arrivée puis le succès d'Internet en France. Mais il a également dénoncé les excès de tous types liés à l'explosion de ce réseau. De même que certains journalistes se spécdialisent dans la dénonciation des scandales politico-financiers, il a créé un site Web, Kitetoa.com, dans lequel il publie avec l'aide d'un groupe d'amis des articles traitant des "scandales" liés à Internet.

Plus de 200 entreprises -comme Vivendi, La Caisse des Dépôts et Consignations, Pineau-Printemps La Redoute, Banque directe, Casino, ZeBank- ont fait preuve de négligence dans la mise en place de systèmes de récolte et de traitement de données personnelles sur Internet et ont été épinglées dans des articles de Kitetoa.com.

Kitetoa.com démontre régulièrement que les entreprises présentes sur le Web contreviennent à la Loi de 1978 sur la protection des données personnelles. En plus de se mettre elles-mêmes en danger (juridique), les sociétés épinglées mettent en péril les données personnelles de leurs clients et/ou de de leurs salariés, ce qui démontre l'intérêt qu'elles leur portent. Cette situation n'est pas toujours connue des entreprises qui peuvent bien entendu agir par simple négligence de leurs services informatiques. Mais le plus souvent, il s'agit d'une mauvaise réalisation informatique de la part du prestataire de service auprès duquel les projets Internet sont externalisés.

Dans le cas précis, que veut-on nous dire? Que les auteurs de Kitetoa.com sont des pirates? Qu'ils ont piraté les serveurs de Tati?

Mais qu'est-ce qu'un pirate? Quelqu'un qui utilise des outils informatiques complexes créés pour le piratage. Qui a une claire intention de nuire à sa cible, et, partant, qui va nuire aux clients finaux de sa cible.

Quelqu'un, qui, comme le vulgaire cambrioleur, a soit créé une fausse clef, soit volé celle de sa victime, ou encore, qui dispose d'un pied de biche pour faire sauter la porte.

Or, ici, nous avons un journaliste qui utilise un navigateur Netscape sans manoeuvre particulière, l'un des outils les plus répandus pour surfer sur le Web, une activité tout sauf coupable qui peut s'apparenter à faire du lèche-vitrines.

En effet, qu'est-ce qu'un site Web comme Tati.fr?

Rien d'autre qu'une transposition dans le monde informatique d'une boutique Tati. Qu'y trouve-t-on? Une vitrine présentant les produits phare de Tati, des présentoirs, mais aussi la caisse, les livres de comptes, les listings clients, et bien d'autres choses encore.

Tati présentait donc des produits à vendre, mais avait également placé dans un endroit non protégé, et donc par définition public, son listing client. Comme posé là, sur un présentoir dans la boutique. Qu'a fait Kitetoa lorsqu'il est tombé dessus? Il a prévenu le gérant de la boutique. Celui-ci l'a même remercié (cf. mails de Ogilvy). Où est l'esprit malveillant? Et comme la publication d'articles est la vocation de Kitetoa.com, un texte a été écrit pour raconter cette histoire. Le responsable du site Tati.fr au sein de la société de services Ogilvy, Charles Dubois, n'a, à aucun moment, estimé que le webmaster de Kitetoa.com était un pirate.

Il admet qu'il y a des problèmes, demande la solution. Kitetoa lui donne de manière totalement désintéressé les moyens de trouver une solution. A aucun moment, Charles Dubois ne parle d'un piratage, d'un accès et maintient frauduleux dans ses systèmes! Au contraire, il nous remercie...

Prenons un autre exemple: l'avocat est soumis a une obligation de réserve. Imaginons qu'il laisse sur son bureau des informations concernant son client précédent. Le champ visuel du client qui suit n'est pas restreint. Si celui-ci peut lire ces données sans utiliser de procédé frauduleux, qui commet l'infraction?

Car même en téléchargeant la base de données de Tati sur son ordinateur, l'auteur de l'article incriminé ne comment pas d'acte frauduleux au plan technique. Il ne force pas le serveur à le faire. Celui-ci fournit à un visiteur lambda un fichier pour lequel le commerçant n'a pas spécifié qu'il fallait en restreindre l'accès. Pour ceux qui ont un tout petit niveau de connaissances dans le domaine informatique, il est évident que sur un site Web, par définition public, puisque placé sur un réseau public, tout fichier est par défaut lisible par tous les internautes. Il convient donc, lorsque l'on veut protéger un document spécifique (comme la base de données clients), d'attribuer à ce fichier informatique des droits spécifiques. Le saviez-vous? Chaque fichier informatique se voit attribuer des droits en lecture et en écriture. Ainsi, il semble évident que le visiteur "anonymous" (c'est à dire tous les internautes visiteurs du site Tati.fr) ne doit pas pouvoir "lire" (afficher) le fichier de la base de données. L'administrateur aurait donc dû spécifier que ce fichier ne pouvait être lu que par un groupe d'utilisateurs référencés. C'est la base de l'informatique... Pour ceux qui ont, par exemple, un système Linux, nous recommandons de taper "man chmod" pour plus d'explications. Si la base de données avait été protégée et que nous l'avions récupérée tout de même, nous aurions effectivement piraté le site. Ce n'est pas le cas. Le serveur n'a jamais été forcé à nous afficher ce document puisqu'il avait été configuré par l'administrateur de manière à ce qu'il soit lisible par tout le monde. (On se répépète, mais c'est pour etre certain que tout le monde comprend...)

En revanche, il est normal que Tati s'offusque de voir les données personnelles de ses clients s'éparpiller et être reproduites dans un mensuel à grand (?) tirage (on notera que les ventes mensuelles de NewBiz sont, si elles ne sont pas gonflées, à peu près similaires au nombre de visiteurs mensuels sur Kitetoa.com). C'est justement ce contre quoi le site Kitetoa.com se bat depuis 1997! Mais le patron de Tati, Fabien Ouaki s'est-il vraiment offusqué de voir les données de l'une de ses clientes être affichées dans NewBiz, où a-t-il plutôt été vexé de voir le nom de son entreprise être l'objet d'articles à connotation négative? Lui qui coure après les media depuis des années, ne semble pas pressé de discuter de cette affaire avec la presse, ni avec Kitetoa.com qui a tenté à deux reprises une conciliation (en fait une petite explication simple et de bon gout...). Si véritablement il s'agissait de se battre contre la diffusion des données de cette cliente, il aurait peut-être fallu s'attaquer à NewBiz?

Kitetoa.com est-il bien la cible contre qui Tati doit se tourner? Sans doute pas. Pour faire son article sur Tati au ton quelque peu sentationaliste (mais il faut bien vendre les journaux...), Stéphane Barge a du chercher des informations sur Kitetoa.com En effet, grâce à Kitetoa, justement, le site Tati avait été réparé ! Impossible pour lui de trouver la base de données sur le site de Tati...

Kitetoa qui ne vend rien et ne retire donc aucun bénéfice du site (à l'inverse de NewBiz), n'avait jamais insisté, dans son article, sur des détails concernant les personnes clientes chez Tati.

Alors, à qui la faute?

A Tati lui-même, qui n'a pas protégé ses bases de données comme le lui impose pourtant la Loi de 1978? A Stéphane Barge qui, pour les besoins d'un article un rien sentationaliste, a dévoilé des données personnelles d'une cliente de Tati? Au prestataire technique de Tati qui n'a pas travaillé dans les règles de l'art, installant un serveur présentant un bug connu depuis plusieurs années (1998)? En tout cas pas Kitetoa.com qui n'a qu'un tort, celui de faire son "métier": une forme de journalisme d'investigation et d'aider les entreprises a améliorer la sécurité leurs serveurs par une prise de parole responsable, qui pousse, du moins l'espérons-nous, à la réflexion sur "tout ça".

Retour au sommaire de ce dossier

Kitetoa