Quelques liens sur des articles parlant de cette affaire http://www.legalis.net/jnet/ Un journaliste en ligne condamné pour fraude informatique 14/02/2002 L'animateur de Kitetoa.com, site qui dénonce régulièrement les sites peu sécurisés, vient d'être condamné à 1 000 euros d'amende avec sursis, sur le fondement de la fraude informatique (article L. 323-1 du code pénal), par la 13ème chambre du TGI de Paris. A l'occasion d'une visite sur le site www.tati.fr, le journaliste avait pu accéder aux répertoires informatiques qu'il contenait, et notamment la base de données des clients de la société qui avaient répondu en ligne à un questionnaire. Pour y parvenir, il avait utilisé les fonctionnalités du navigateur Netscape qui permettent d'accéder à l'index des fichiers présents sur le site, sans manipulation particulière ni utilisation d'outil spécifique. Malgré l'avertissement adressé au responsable technique du site de la chaîne de magasins, le problème n'a pas été traité. C'est un an après le constat de la faille de sécurité que le journaliste la révélera dans un article publié sur www.kitetoa.com. Bien que nous ne disposions pas encore du texte définitif de la décision, on peut s'interroger sur la nature de l'élément frauduleux de l'accès ou du maintien reproché. On peut également se demander si cette décision ne remet pas en cause une certaine forme de journalisme d'investigation. http://www.journaldunet.com/0202/020218kitetoa.shtml Kitetoa.com condamné à une amende avec sursis pour "fraude informatique" Lundi 18 février 2002 Le webmaster en charge du site Kitetoa.com, spécialisé dans la révèlation de failles de sécurité sur les sites, en reste estomaqué : il a été condamné mercredi dernier à une amende de 1.000 euros avec sursis à la suite d'une plainte déposée par la chaîne de magasins d'habillement Tati. Motif officiel : "intrusion et maintien frauduleux dans un système de traitement automatisé de données". En clair : piratage informatique. Le responsable de Kitetoa.com ne comprend toujours pas les motifs de ce jugement [NDLR : s'il souhaite rester discret sur son identité, ce responsable indique que son nom et ses coordonnées sont disponibles en effectuant une recherche du propriétaire de Kitetoa.com sur l'annuaire Whois.] Rappel des faits : en 1999, le webmaster de Kitetoa.com repère une première faille de sécurité sur le site Tati.fr. Il en avertit par mail l'administrateur du site (la web agency Ogilvy en l'occurence, qui a pour client Tati). Un an plus tard, alors que le site du marchand de vêtements à prix discount s'est enrichi, le responsable de Kitetoa.com trouve à nouveau une faille dans le système de gestion de base de données. "En consultant le site de Tati, on pouvait accéder à l'index des fichiers en cliquant simplement sur une option proposée par le navigateur Netscape", explique-t-il. Bref, une manipulation qui ne requiert pas de connaissances très pointues en terme d'intrusion informatique. Ilcontacte à nouveau l'administrateur du site Tati.fr pour lui révéler la faille. "Ce n'est qu'après avoir averti l'administrateur que j'ai écrit un article à ce sujet", indique le responsable de Kitetoa.com. L'affaire prend des proportions inattendues lorsque ce cas précis de la faille de sécurité sur le site de Tati est exploité et approfondi par un magazine grand public consacré à Internet. Et ce, sans l'accord du responsable de Kitetoa.com. "Cette publicité malencontreuse semble avoir énervé la direction de Tati qui a décidé de m'attaquer en justice. La sécurité des fichiers clients est un sujet sensible", explique le représentant de Kitetoa.com. Celui-ci reçoit une assignation juste avant les vacances d'été 2001. Après une enquête de la Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information (BEFTI), le parquet émet un avis favorable pour l'ouverture d'un procès en pénal pour "fraude informatique". Après une première audience fin janvier, le Tribunal de grande instance de Paris a donc condamné le webmaster de Kitetoa.com à une amende de 1.000 euros avec sursis. "J'aimerais bien comprendre les motifs de cette condamnation avant de faire appel, indique le webmaster de Kitetoa.com. En tout cas, je suis persuadé que cette affaire ne serait pas allée si loin si elle avait été révélée par un support de presse plus classique que Kitetoa.com." A ses yeux, pourtant, cette condamnation à une amende avec sursis ne traduirait pas une volonté de la part de la justice de "donner l'exemple" dans le milieu des hackers. "Le jugement est mi-figue mi-raisin, commente-t-il. Tati n' a pas obtenu l'autorisation de publier le jugement dans des magazines et n'a pas eu droit à une réparation symbolique." En tout cas, le jugement fait réagir d'autres acteurs du secteur. Ainsi, Damien Bancal, rédacteur en chef du magazine Zataz, qui publie des informations sur la même thématique, juge l'affaire déplorable. "Il est clair que ce qui vient de toucher Kitetoa.com va refroidir bon nombre d'internautes qui ont découvert des choses et qui vont aujourd'hui les garder pour eux", affirme Damien Bancal. [Philippe Guerrier, JDNet] http://www.weblmi.com/daily/2002/0218/securite.htm Sécurité : Le TGI de Paris sanctionne la divulgation de failles Lundi 18 Février 2002 D.C. Le Tribunal de grande instance de Paris condamne - avec sursis - l?animateur du site kitetoa.com à verser 1 000 ? au site tati.fr pour fraude informatique. Paradoxe : Kitetoa prétend avoir simplement voulu apporter la preuve d?une faille dans le système d?information du cybermarchand. En juin 1999, à l?aide de son navigateur Netscape, l?un des animateurs avait accédé directement à l?un des fichiers clients du site. Kitetoa affirme avoir immédiatement signalé à Tati le défaut d?installation de son serveur. Mais rien n?a changé et les fouineurs de Kitetoa ont publié les preuves de la défaillance du système de Tati. Ce dernier, après que la presse s?est fait l?écho de l?information, a finalement porté plainte pour intrusion frauduleuse. Une plainte reçue sans sourciller par la 13e chambre du TGI de Paris. Cette décision s?inscrit dans une inquiétante tendance à vouloir réduire au silence tous ceux qui prennent la peine d?alerter les utilisateurs sur les failles logicielles. Et conforte les éditeurs et autres sites marchands dans leur volonté de dissimuler l?information à ce sujet. En janvier , AOL demandait aux veilleurs technologiques de bien vouloir contacter les éditeurs avant de dévoiler une défaillance. Le FAI rejoignait Microsoft, qui, à la tête d?un pseudo-comité de normalisation, milite depuis novembre 2001 pour la restriction de la diffusion des informations sur les failles de sécurité. Une tentative d?omerta sur les bogues de sécurité amorcée en avril 2001 par le Cert (*), qui souhaite imposer aux entreprises le paiement des informations de sécurité et ne les divulguer gratuitement au grand public qu?avec 45 jours de retard? (*) Computer Emergency Response Team, spécialiste des études sur la sécurité http://www.zataz.com/zataz/news.php?id=595&file=02.html Kitetoa condamné Pays : France Date de publication : 13 / 2 / 2002 Kitetoa, site connu et reconnu dans ses découvertes liées à la sécurité informatique vient d'être condamné à 1 000 euros d'amende avec sursis pour avoir tenté d'aider la marque "Tati". En 1999, Kitetoa découvre qu'avec un simple navigateur, Netscape en l'occurrence, il était possible d'accéder à la base de données clients de la société Tati via son site web. Une base de données de quelques 4 000 clients. Prévenus plusieurs fois par e-mail, le webmaster de la société ne semble pas vraiment en avoir tenu compte car un an plus tard les données étaient toujours en ligne. Il faudra attendra novembre 2000, et la parution d'un reportage dans le magazine NewBiz, pour que Tati réagisse. L'article, sur la sécurité informatique, montrait une capture d'écran de la base de données Tati. Base de données illisibles et chiffrées de manière à ne rien montrer aux lecteurs, sauf le fait qu'il était très simple, à cause d'un bug d'un navigateur, de la récupérer. Plainte déposée, Kitetoa se retrouve devant les juges, une première fois en février 2002. Nous avons assisté à cette audience lors de laquelle il avait été demandé un Euro symbolique et la publication du jugement dans la presse. Pour convaincre le tribunal, Tati avait fait appel à un expert. Ce dernier avait découvert l'utilisation "d'une clé pirate" dixie l'avocate. Clé inexistante et totalement imaginaire vu que seul le bug du navigateur était responsable. N'importe qui aurait pu le faire et rien n'empêche aujourd'hui de penser que cette base de données à pu être volée par des personnes nettement moins serviables que Kitetoa. "On aurait pu ne pas le poursuivre" expliquera l'avocate de Tati "Mais ce n'est pas parce qu'il y a une porte ouverte que l'on doit y rentrer" rétorquera-t-elle lors de l'audience de février. Le procureur répondra par : "Il peut aussi regarder et dire que l'ameublement à l'intérieur est de très mauvais goût" et que "Cela peut déplaire au propriétaire, mais il n'y a pas de quoi trainer quelqu'un devant un tribunal pénal" avant de conclure: "pour nous (ministère public) l'infraction n'est pas constituée". Le jugement a donc été rendu ce mercredi. Tati a été débouté de toutes ses demandes. Le tribunal a expliqué qu'il n'y a eu aucun préjudice pour cette société mais condamne quand même Kitetoa. Etrange... Surtout que cela va à l'encontre de ce que demandait le procureur. Bref, ça ne va pas motiver les " hackers " à vouloir donner un coup de main. (Merci à Kitetoa de nous avoir donné son accord pour parler de son histoire) Le site de Kitetoa http://www.kitetoa.com http://www.lesnouvelles.net/afficher.php?id=210 Kitetoa condamné pour avoir révélé une faille de sécurité. par Jerome Saiz, le 19/2/2002. C'est une bien triste histoire : Tati.fr ne savait pas s'occuper de son serveur web. Tati.fr publiait sans le savoir les informations privées des internautes qui lui faisaient confiance. Kitetoa.com a découvert la bourde, et l'a signalé à Tati.fr. Peu concerné, Tati.fr n'a rien fait pour la corriger pendant un an. Jusqu'à ce que la presse parle de l'affaire, et tourne Tati.fr en dérision. Aujourd'hui, le jugement est rendu : Kitetoa.com est condamné. Pitoyable. Mal configuré, le site web de Tati.fr laissait de nombreux documents privés en libre accès, dont la base de données de ses 4200 internautes réguliers. Des informations telles que leur nom, leur état civil, leur adresse ou leur préférences étaient disponibles pour quiconque "armé" d'un vulgaire navigateur web standard. Inutile de parler d'intrusion, puisque l'information était publique, sans bien sûr que les administrateurs de Tati.fr ou de son hébergeur (Ogilvy) ne soient au courant. Certainement étaient-ils moins intéressés par l'état de leur serveur que par le nombre de visites mensuelles qu'ils allaient pouvoir communiquer à leurs annonceurs. Le site de passionnés Kitetoa.com s'intéresse en revanche à l'état des serveurs des autres. Pas en tant que pirates, mais plutôt comme usagers avisés, ou empêcheurs de se prendre au sérieux en rond. Armé d'un simple navigateur, Kitetoa explore les sites des grands noms sur le web, et met le doigt sur leur incompétence. Avec pour bâton de pèlerin la loi du 6 janvier 1978, qui impose aux entreprises de protéger l'accès aux fichiers nominatifs qu'elles se constituent, l'équipe de Kitetoa.com s'amuse à désigner ceux qui échouent lamentablement dans cette obligation et exhibent leurs bases de données. En 1999, Tati.fr était donc de ceux-là. Kitetoa.com avait prévenu les administrateurs du site que la base de données des visiteurs enregistrés était librement accessible depuis Internet. Aucune réponse n'était parvenu aux "Pizzaïolos du web", comme aiment à s?appeler les fondateurs de Kitetoa.com. Le site de Tati, en revanche demeurait toujours aussi ouvert. Et il l'était encore lorsque un an plus tard, la chaîne de magasins annonçait à grand renfort de communiqués de presse sa décision de faire appel à la SSII Global Control (aujourd?hui rachetée par Thalès Secure Systems) afin de sécuriser son réseau. Fin de l'histoire ? Non, car il semble que les consultants de Global Control n'aient que peu de connaissances en matière de configuration de serveur web, puisque Tati.fr demeurait aussi désespérément ouvert qu'au premier jour. La suite de l'histoire est un classique : Kitetoa revient à la charge, en publiant une version commentée du communiqué de presse de Tati, et en précisant que la faille signalée depuis plus d'un an existe toujours. La presse, par l'intermédiaire du magazine Newbiz, publie alors l'affaire. Et la magie opère : là où des preuves techniques envoyées aux administrateurs du site n'avaient eu aucun effet, l'article de Newbiz fait réagir Tati... dont le PDG dépose plainte contre X ! Aujourd'hui, le verdict est rendu : Kitetoa doit verser 1000 euros d'amende. Le tribunal a donc suivit les recommandations de Me Elizabeth Grabli, l'avocat de Tati, en considérant que les révélations de Kitetoa constituaient un "accès et un maintient frauduleux" au système d'information de Tati. Peu importe que Kitetoa n'ait procédé à aucune intrusion, se contentant de visualiser des fichiers accessibles à tous, sans les exploiter ni même les dérober, allant jusqu'à indiquer la faille. Ni même que se sachant en infraction et prévenu par Kitetoa, Tati n'ait rien fait pour remédier à sa situation clairement illégale au regard de la loi du 6 janvier 1978. Le tribunal a en revanche débouté Tati de sa demande du franc symbolique en dommages et intérêts et de la publication du jugement dans la presse. Une bien maigre consolation en ces "tristes jours", comme les appellent l'équipe de Kitetoa sur son site. Des jours bien tristes, en effet, pour tous ceux qui croient encore qu'Internet n'est pas qu'un simple Eldorado de vendeurs et de SSII techniquement incompétentes. Plus d'infos : l'article de ZDNet.fr. Cet article a été publié sur "Les Nouvelles.net", la première agence de presse dédiée à la sécurité informatique. Il peut être librement reproduit en mentionnant sa source : Les Nouvelles.net (http://www.lesnouvelles.net ). © 2000-2001. Tous droits réservés, Jérôme Saiz / Les Nouvelles.net. http://news.zdnet.fr/story/0,,t118-s2104590,00.html INTERNET Kitetoa condamné pour délit d'information sur une faille de sécurité Par Jerome Thorel et Christophe Guillemin ZDNet France 19 février 2002 [Cliquez ici] Peut-on être condamné pour "intrusion" si l'on se contente de regarder par une "fenêtre" mal fermée? Oui, et c'est l'équipe de Kitetoa.com qui en fait les frais. Un jugement qui menace la liberté d'information avant de prévenir les intrusions. Le responsable du site Kitetoa.com a été condamné mercredi 13 février à payer 1000 euros d'amende «avec un sursis de cinq ans» par la 17e chambre du tribunal correctionnel de Paris. Cette affaire oppose Kitetoa, une équipe de fouineurs infatiguables en quête de failles de sécurité dans les recoins des sites web publics, à la chaîne de magasins Tati, épinglée en mai 2000 pour avoir laissé en libre accès, à partir de son site Tati.fr, une base de données nominative de plus de 4000 internautes. Kitetoa condamné, mais Tati débouté Le verdict est étrangement partagé: condamné pour «accès et maintien frauduleux» sur un système informatique (article 323-1 du code pénal), Kitetoa obtient pourtant... le bénéfice du doute. En effet, de son côté, Tati a été débouté de toutes ses demandes qui comprenaient la publication du jugement dans la presse et 1 euro symbolique de dommages et intérêts. «On peut regretter que le juge n'ait pas été au bout de sa logique et relaxé purement et simplement mon client», explique Olivier Iteanu. L'avocate de Tati, Me Elizabeth Grabli, a estimé auprès de confrères qu'avec ce jugement «n'importe qui ne peut pas accéder frauduleusement à un système, sous quelque prétexte que ce soit». En l'occurence, le prétexte était d'informer tout simplement le public. Me Grabli, contacté par nos soins, refuse pour l'instant de s'exprimer à nouveau jusqu'à la publication du jugement (d'ici une dizaine de jours au mieux, deux mois au pire). Antoine Champagne, webmaster et responsable juridique (il est titulaire du nom de domaine Kitetoa.com), également journaliste de profession, n'accepte que de bonne grâce la "clémence" du juge. Car le code pénal précise que s'il y a "accès frauduleux", le tarif est un an de prison et 15000 euros d'amende. «C'est à mon sens un jugement mi-figue, mi-raisin et, dans l'absolu, cela bloque nos actions futures» dit-il. «Un accès et un maintien frauduleux, pour tous ceux qui connaissent un minimum l'informatique, ça revient à casser un mot de passe pour y placer un cheval de Troie...» Il hésite encore à faire appel d'un jugement si mitigé, surtout qu'une autre plainte peut vouloir dire récidive et le sursis saute immédiatement... Armé d'un simple navigateur L'histoire débute dès l'année 1999. Antoine Champagne remarque que la vitrine commerciale "Tati.fr" n'est pas suffisamment protégée. Plus précisément, grâce à un simple navigateur - la seule "arme" que Kitetoa utilise pour lever des lièvres -, il est possible d'afficher toute l'arborescence du site et d'accéder librement à une collection de fichiers. La manipulation est simple et s'effectue donc sans forcer la moindre porte. Champagne envoie alors un email à l'hébergeur de Tati (une filiale du groupe Ogilvy); il ne recevra aucune réponse: premier article de Kitetoa, fin juin 1999. Un an après, il constate que le site n'est toujours pas protégé. Cette fois, sa "base client", c'est-à-dire la liste des données laissées par les internautes visitant le site, est même en libre accès, affirme Kitetoa. Nouvel e-mail d'alerte d'Antoine Champagne au responsable de Tati.fr: l'administrateur en tient compte, remercie même son interlocuteur et corrige le problème: deuxième article de Kitetoa (15 mai 2000), dans lequel l'équipe publie des éléments de preuve. Il s'agit de captures d'écran, sans aucune mention permettant à un vrai pirate de les exploiter. Quelques mois plus tard, le mensuel Newbiz popularise ces péripéties et publie une enquête en se basant sur la faille découverte par Kitetoa (article de novembre 2000). Apparemment vexé, le P-DG de Tati Fabien Ouaki dépose alors plainte contre X en janvier 2001. Le parquet ouvrira une information judiciaire, sur la base de la loi Godfrain de 1991 sur les intrusions informatiques. L'accusation semble persuadée que la base a été dérobée par Kitetoa pour qu'elle puisse être ainsi exibée. Alors qu'encore une fois, rien n'a été forcé... Après six mois d'enquête de la police judiciare, Champagne est convoqué à l'été 2001. L'audience au tribunal de grande instance de Paris a lieu le 23 janvier 2002, et le verdict est cité oralement devant les partis le 13 février. Les motivations écrites du tribunal ne sont pas encore connues; au pire, il faut attendre encore deux mois. Tati.fr en infraction avec la loi informatique et libertés «Maintenant, nous avons trois options» reprend Antoine Champagne. «Fermer le site, le céder ou alors agir comme nous n'avons jamais voulu le faire, c'est-à-dire non pas au grand jour, mais dans l'ombre. On ne dira plus "nous avons constaté telle faille...", mais "nous avons reçu un email nous indiquant telle faille, voici nos commentaires"... Bref, ne plus agir en notre nom propre. Mais je pense qu'il faut être transparent et de bonne foi, donc cette dernière solution n'est pas très enviable. J'hésite...» Inquiétant, pourtant, de condamner l'acte tout en le minimisant. La démarche de Kitetoa n'est pas du tout étrangère à celle d'une personne, journaliste d'investigation ou auteur, qui doit avancer les preuves de ce qu'il avance. Les juges ont déjà inventé le délit de «recel de documents confidentiels», lorsque le Canard Enchaîné avait été condamné pour avoir publié les preuves de ses affirmations sur le salaire de Jacques Calvet, à l'époque patron de PSA (jugement cassé par la suite par la Cour européenne des droits de l'homme). Voilà que le juge de l'affaire Kitetoa-Tati condamne l'acte (montrer le contenu d'une porte mal vérouillée), sans quoi il aurait été impossible d'affirmer que les accès étaient mal protégés. Pourtant, la loi de 1978 sur l'informatique, les fichiers et les libertés (article 29 - repris dans l'article 226-17 du code pénal) impose aux détenteurs de telles données de les protéger. À quel point? C'est très clair: «Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives, sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, est puni de cinq ans d'emprisonnement et de 2 millions de francs d'amende.» Le P-DG de Tati, Fabien Ouaki, comme son avocate, n'ont pas encore retourné nos appels pour les entendre sur ce point. Il faudrait, certes, qu'une personne présente dans la base de données se retourne contre Tati pour que ce volet de l'affaire soit éclaici. Tati pourra ensuite se retourner contre son hébergeur, à l'époque une filiale du groupe Ogilvy, pour avoir failli à sa mission. Affaire à suivre... http://www.libe.com/quotidien/semaine/020220-045022023INTE.html UNE VISITE CHEZ TATI.FR PEUT MENER AU TRIBUNAL Un journaliste s'était introduit dans le fichier clients afin de prouver une faille de sécurité sur le site. Par Laure NOUALHAT Le mercredi 20 février 2002 Signaler des failles de sécurité n'est pas toujours bien vu. Pour preuve, la récente mésaventure d'Antoine Champagne, animateur de Kitetoa.com, un site spécialisé dans la dénonciation des vulnérabilités des sites ou des systèmes d'information de grandes entreprises. Le journaliste en ligne a été condamné la semaine dernière à 1 000 euros d'amende avec sursis par le tribunal de grande instance de Paris pour «fraude informatique». Kitetoa avait signalé un bug dans le site du roi des «plus bas prix», Tati.fr. Le chasseur de failles se retrouve aujourd'hui coupable de s'être introduit frauduleusement dans un système informatique. Lors d'une visite sur tati.fr, le journaliste était parvenu à consulter la base de données des clients qui avaient répondu à un questionnaire en ligne. Pour ce faire, il s'était contenté d'utiliser les fonctionnalités du navigateur Netscape, lequel donne accès à la liste de tous les fichiers présents sur un site. «Ce fichier pouvait être lu par tous les utilisateurs du Web», précise Antoine Champagne. Il ne s'estime donc coupable d'aucun piratage ou intrusion. «Quand on veut ouvrir une porte fermée, il faut crocheter la serrure, mais quand la porte est ouverte, il suffit d'entrer», ironise le fouineur. Kitetoa avait ensuite alerté les responsables techniques du site de Tati, Ogilvy Interactive, qui l'ont remercié, mais sans donner suite. Insatisfaction. «C'est un jugement en demi-teinte qui ne peut satisfaire personne», estime Olivier Itéanu, l'avocat d'Antoine Champagne. Pour l'heure, comme les attendus du jugement ne sont pas encore connus, Elisabeth Grabli, avocate de Tati, préfère ne pas se prononcer. «Je ne sais pas pourquoi l'animateur du site a été condamné, ni pourquoi mon client est débouté », indique-t-elle (Tati demandait un euro symbolique de dommages et intérêts, et la publication du jugement). Ce n'est pas Tati qui poursuivait le site, mais le procureur de la République après enquête de la brigade spécialisée dans les fraudes aux technologies de l'information, et ce suite au récit de l'affaire dans le mensuel Newbiz. Le différend Tati-Kitetoa met en lumière les difficultés que peuvent rencontrer les chasseurs de failles de sécurité sur des sites, un sport souvent pratiqué au nom de la transparence ou de la défense de la vie privée des internautes. Comment signaler les points faibles d'un système d'information sans risquer une condamnation? Les professionnels de la sécurité informatique communiquent en général via des listes de diffusion comme BugTraq (lire ci-dessous). Mais le Web a donné une plus grande visibilité à ces problèmes techniques, dont les conséquences peuvent toucher des millions d'internautes, et les chasseurs de bugs se sont multipliés. Kitetoa n'est de toute évidence pas du camp des «méchants» hackers, ceux qui utilisent les défauts débusqués pour nuire. Entre journalistes d'investigation, Robins des Bois du Web et hackers, l'équipe de Kitetoa estime «faire preuve de citoyenneté en pointant là ce qui ne va pas». «Si en aidant des webmasters incompétents, on se retrouve devant un tribunal, ce n'est pas normal», s'énerve Vivipar, un jeune hacker qui passe ses nuits à «vérifier» des sites. Effraction. Découvrir une faille, c'est nécessairement aller là où on n'a pas été invité. «Le délit d'accès indu existe », rappelle Olivier Itéanu. De la même manière qu'il y a effraction quand on pénètre dans un appartement pour signaler une fuite de gaz, une intrusion non souhaitée dans un système informatique est répréhensible, même si elle doit servir à sécuriser des réseaux ou empêcher une attaque. Les «gentils» bidouilleurs conseillent en général à ceux qui découvrent un problème d'envoyer un e-mail au responsable du site. Reste cette question: Tati n'a-t-il pas lui-même contrevenu à la loi Informatique et libertés de 1978, en ne protégeant pas de manière adéquate les données personnelles de ses clients? Cet aspect ne semble pas avoir été examiné. http://www.libe.com/quotidien/semaine/020220-045022025INTE.html Internet Tout est dans l'intention Le mercredi 20 février 2002 La loi ne fait pas de distinction entre les bons et les mauvais sentiments. Une balade sur un système informatique est passible de 300 à 15 000 euros d'amende, selon la loi relative à la fraude informatique, dite loi Godfrain. Quand on tombe sur une faille de sécurité «par hasard», la démarche éthique veut que l'on prévienne le responsable de la sécurité ou l'éditeur du site en lui laissant le temps de corriger le problème avant de le révéler au grand jour. «Ne surtout pas utiliser la défaillance, ce serait prêter le flanc à la poursuite», rappelle Damien Bancal, du site spécialisé Zataz.com. Mais les problèmes que rencontrent les uns peuvent toucher les autres, il faut donc que l'information circule. Les experts en sécurité disposent de listes de diffusion comme BugTraq (de la société SecurityFocus) pour signaler les vulnérabilités des systèmes. Sur ce sujet, deux philosophies s'affrontent: la révélation détaillée (full disclosure) où l'on décrit les problèmes par le menu, et la «sécurité par l'obscurité» selon laquelle un système sûr est un système dont les défauts sont révélés uniquement auprès des spécialistes. -----Original Message----- From: Internet Actu [mailto:internet-actu@ftpresse.fr] Sent: jeudi 21 février 2002 18:27 To: internet-actu-alerteur-txt@ftpress.com Subject: IAH 125, Kitetoa d'abord ! VERSION GRATUITE INTERNET ACTU 125, jeudi 21 février 2002 _____________________________________________________ EDITORIAL * Kitetoa d'abord ! Par Martin Jouanneau Le tribunal a tranché, Kitetoa est condamné. Ce groupe de gentlemen-hackers n'aura plus le droit de nous faire sourire ou de nous révéler les aberrations qu'il découvre sur Internet. Au moyen d'un simple navigateur, comme ils aiment à le répéter, les animateurs de Kitetoa parviennent à se faire ouvrir les portes de certains serveurs prétendument sécurisés. Kitetoa dénonce des entreprises connues pour leur sérieux en matière de sécurité : des sociétés de consultants qui ne s'appliquent pas à elle-même les conseils qu'elles vendent aux autres ; des groupes qui ont porté au niveau industriel le traitement des données personnelles, mais qui ne savent pas les protéger. A son tableau de chasse : Atos-Origin, ChoicePoint, Zebank... La technique est toujours la même, Kitetoa trouve une faille, prévient son "auteur" et une fois qu'elle est réparée, Kitetoa publie les résultats de ses investigations sur son site. Si nos hackers aux gants blancs ont aussi publié des enquêtes, en masquant les données sensibles, alors que les failles n'étaient pas rebouchées, c'était parce que leurs interlocuteurs ne les croyaient pas. Il fallait bien leur prouver qu'ils se trompaient et les obliger à réparer, ne serait-ce que pour la sécurité des données, de leurs clients ou de leur personnel, qu'ils laissaient filer. Parmi les dindons des farces de Kitetoa, il en est un qui n'a pas apprécié qu'on se moque (légitimement pourtant) de son site de commerce électronique : c'est Tati. Pas celui de M. Hulot évidemment, il aurait sans doute compris l'humour de nos Arsène Lupin des claviers. Le Tati de Barbès et des bijouteries bon marché n'a surtout pas goûté la publicité que la presse a faite autour de cette affaire. Quelques temps après la parution d'un article sur son "cas Kitetoa" dans un hebdomadaire national, Tati porte plainte pour "intrusion et maintien frauduleux dans un système de traitement automatisé de données." Il vient d'obtenir gain de cause auprès du tribunal correctionnel de Paris, qui condamne les animateurs de Kitetoa à 1.000 euros d'amende (avec un sursis assorti d'une période probatoire de cinq ans). Pour Kitetoa, ce jugement en demi-teinte (le juge ne va pas au bout de la sentence prévue par la loi) revient tout de même à une interdiction d'exercer son activité de pisteur de failles. Notamment à cause de la mesure de sursis. Ce constat est peut-être à l'origine du message affiché sur la page d'accueil du site le 20 février au soir : "triste toujours". Aux abonnés à leur newsletter, les animateurs de Kitetoa promettent de diffuser prochainement un dossier complet avec toutes les pièces amassées, le compte rendu de l'audience... Une bonne raison pour aller faire un tour sur leur site et leur laisser un petit mot gentil, les soutenir, voire les consoler. Ça sert à ça aussi Internet. http://www.kitetoa.com © Internet Actu 21/02/2002 http://parodie.com/monetique/brevecondamnation_kitetoa_15022002.htm Retour page d'accueil site sur l'affaire des cartes bancaires 15/02/2002 Condamnation d'un journaliste d'investigation pour introduction frauduleuse dans un système d'information Le journaliste animant Kitetoa.com vient d'être condamné à 1000 euros d'amende avec sursis par le Tribunal correctionnel de Paris. Il avait découvert un fichier de clients du site de Tati dans une zone non protégée de leur site qu'il avait accéder avec un navigateur standard (Netscape). 1 an après avoir prévenus les responsables de Tati de l'existence de cette faille non corrigée. Suite à cette condamnation totalement scandaleuse (qu'y a t'il de frauduleux d'accéder à une zone absolument non protégée d'un site ?), nous encourageons les personnes qui auraient rempli un formulaire sur le site de Tati de les poursuivre au pénal sur le fondement de l'article 226-17 du code pénal pour négligences de la sécurité de protection de données personnelles. Voir article de Kitetoa à propos de Tati du 12/02/2001 article du 30/05/2000 révélant une faille. Retour page d'accueil site sur l'affaire des cartes bancaires http://www.01net.com/rdn?oid=176920&rub=3375 Tati.fr musèle Kitetoa L'animateur du site Kitetoa, consacré aux failles de sécurité, vient d'être condamné à 1 000 euros d'amende avec sursis pour avoir révélé un problème sur le site Tati.fr. Avec un simple navigateur, il était possible d'accéder aux fichiers de clients du site Tati. Kitetoa l'avait signalé sur son site après avoir contacté en vain le webmaster de Tati.fr. Bien que la loi Informatique et liberté oblige toute entreprise à protéger ses données, la justice a reconnu Kitetoa coupable de fraude informatique. Ce dernier n'a pas encore décidé s'il fera appel ou non de la décision. [un petit oubli dans cette brève: c'est sur la base d'un article de NewBiz, du groupe 01 que Tati a porté plainte...] http://www.newsbytes.com/news/02/174910.html Court Decision Could Gag French Security Site Kitetoa By Brian McWilliams, Newsbytes PARIS, FRANCE, 01 Mar 2002, 4:58 PM CST Antoine Champagne has been offered thanks and even job offers from high-profile Web site owners whose insecurity he's exposed. But from now on, any more white-hat hacking by "Kitetoa" could cost him. Last month, a French court fined Champagne 1,000 euros (US$865) for publicizing at his Web site, Kitetoa.com, security holes he found at Tati.fr, the homepage of a Paris-based clothing retailer. According to Champagne, a journalist by profession, the prosecutor suspended the fine on the condition that he avoid any other convictions for the next five years. The "strange judgment," as Champagne calls it, is unlikely to have any bearing on legal decisions in the United States. But word of the decision has sent a ripple though the computer security community this week. In recent years, Champagne, with the assistance of a few friends who help to run Kitetoa.com, has found and publicized security holes at sites operated by such leading companies as DoubleClick, Bull Groupe, Veridian and ChoicePoint. In each instance, Champagne said, Kitetoa has withheld publishing its discoveries until the affected companies have been given an opportunity to secure their systems. According to court documents posted at Kitetoa.com, attorneys for Tati accused Champagne at his Jan. 23 trial of fraudulently accessing a Microsoft Access database at the company's Web site from 1999 to 2001. But Champagne claimed that he merely used a Web browser to locate the file, which was stored in an improperly secured directory with "read access" to anyone on the Internet. From May 2000 through February 2001 Kitetoa.com published several short papers noting the vulnerability at Tati.fr and including screen shots of some of the databases, with personal information redacted. As proof that he intended no harm, Champagne's attorneys produced an exchange of e-mails over the period between Champagne and Tati's Webmaster, including one in which the clothing site's administrator thanked Champagne for notifying him of the exposed database and helping him secure it. Attorneys for the defendant also pointed to a 1978 French privacy law that they said requires companies to "to take all useful precautions in order to preserve the security of information" in their databases. According to Champagne, the court's decision not to slap him with an immediate fine denied Tati some satisfaction. But he said the judgment has also cast a pall over Kitetoa.com's future. "From now on, you can find yourself in front of a court accused of hacking just for using Netscape Navigator," said Champagne, who noted that French police have threatened to search his house and confiscate his computers if he similarly runs afoul of the law again. According to Champagne, he is weighing the possibility of closing Kitetoa.com and discontinuing his writings about insecure sites, but he said he has not yet made a decision. One option not being considered by Champagne is hiring himself out as a security consultant. After Kitetoa discovered several insecure internal databases at ChoicePoint's site earlier this year, officials at the online data firm inquired whether Kitetoa would be willing to assist in a security audit of ChoicePoint's Web properties. Champagne declined the offer, stating simply, "I don't sell anything." Kitetoa is at http://www.kitetoa.com . Reported by Newsbytes, http://www.newsbytes.com . 16:58 CST (20020301/WIRES TOP, ONLINE, LEGAL, PC/HOLE/PHOTO) © 2002 The Washington Post Company http://news.zdnet.fr/story/0,,t118-s2107691,00.html Coup de théâtre dans l'affaire Kitetoa: le parquet fait appel Par Jerome Thorel ZDNet France 3 avril 2002 [Cliquez ici] Cette décision est plutôt surprenante, puisque c'est le ministère public qui a poursuivi le webmaster de Kitetoa.com pour avoir révélé les failles du site internet de Tati SA. Il a été condamné, en première instance, à 1000 euros avec sursis. Le webmaster du site internet indépendant Kitetoa.com vient d'informer ZDNet d'une nouvelle plutôt rassurante à son égard. Il s'agit d'une notification du procureur général auprès de la cour d'appel de Paris, l'informant que le parquet avait décidé de faire appel du jugement, qui l'a condamné le 13 février. Une affaire longuement évoquée dans nos colonnes le 19 février. Le webmaster a été condamné à une amende de 1000 euros avec sursis pour «accès et maintien frauduleux sur un système automatisé de données». En l'occurence, il s'agissait du site de commerce en ligne du fabricant de prêt-à-porter Tati. Pour Kitetoa, infatigable pourfendeur des sites web à la sécurité limitée, c'était là une sérieuse menace à sa liberté d'expression: pour prouver que tel ou tel site recèle d'importantes failles de sécurité, des captures d'écran explicites étaient à chaque fois publiées pour accompagner l'article dénonçant lesdites failles. Kitetoa a toujours travaillé pour la "bonne cause". Sa cible préférée: les vulnérabilités concernant des données informatiques à caractère personnel. Et il a toujours usé d'un simple navigateur, ne cassant aucun mot de passe, sans effraction aucune. Dans ce cas, il s'agissait, selon nos propres conclusions, d'un véritable «délit d'information». Cette décision du parquet peut paraître surprenante, au mieux cocasse. Car c'est le même parquet (le "ministère public") qui a jugé la plainte de Tati SA recevable et qui a donc accepté son instruction. Mais lors du procès, qui s'est tenu le 23 janvier devant la 13e chambre correctionnelle du tribunal de grande instance de Paris, le substitut du procureur a changé son fusil d'épaule, estimant que le webmaster ne s'était rendu coupable d'aucun «accès frauduleux». Le substitut avait en effet requis la relaxe, demande qui n'a pas été suivie par le juge Noël Miniconi, malgré la grande sollicitude de ce dernier à l'égard du "prévenu". Tati tenu de protéger ses bases de données En effet, selon les minutes de ce jugement (publiées par le Forum des droits sur l'internet - les consulter au format PDF), le magistrat n'a pas été tendre pour le plaignant. «La société TATI (...) ne saurait se prévaloir de ses propres carences et négligences (sic) pour arguer d'un prétendu préjudice en réalité subi par les personnes victimes éventuelles de violations de leur vie privée (sic).» Car comme le rappelle inlassablement Kitetoa lorsqu'il épingle une société, la loi française oblige les détenteurs de bases de données personnelles à les protéger contre tout accès non autorisé. Le code pénal prévoit même une peine de prison de 5 ans maximum et 300 000 euros d'amende... La base de données en question contenant au bas mot 4000 entrées, on peut en effet imaginer le risque d'atteinte au droit des personnes que cette faille de sécurité aurait pu engendrer. Une faille qui a été colmatée grâce à... Kitetoa, qui avait à l'époque (en mai 2000), comme à son habitude, informé le prestataire de Tati, Ogilvy Interactive. Cette bienveillance lui a même joué des tours. Car le juge Miniconi a trouvé bon de préciser que «si cette obligation incombant à la société TATI n'apparaît pas avoir été respectée en l'espèce, ce non-respect ne constitue en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d'une infraction pénale». Traduction: en sachant qu'i ************************************************** Vous avez vu un autre article non référencé ici? * * Vous avez écrit un article sur ce sujet? * * Ecrivez à webmaster@kitetoa.com * * **************************************************