La justice et Internet, c’est comme mémé devant son mulot.

Internet a beaucoup changé notre façon de communiquer en nous donnant la parole. Nos millions de petites voix peuvent maintenant s’élever pour faire part de nos pertinents avis sur la Vie, la philosophie antique, les œuvres de Marcel Proust ou la pose d’un pot large sur une BX TZD. Cette facilité de s’exprimer et de créer fait aussi que depuis 15 ans, le Net vous a régulièrement gâté en nouveautés avec des moteurs de recherches performants, des réseaux sociaux addictifs, des applications communautaires ou encore d’étonnants sites pornos animaliers. Bref, tout bouge et très vite mais nous nous adaptons plutôt bien à ce chamboulement perpétuel.

Ce n’est cependant pas le cas de certaines entreprises qui ont du mal à comprendre le Net et sa population, et c’est encore moins le cas du législatif et du judiciaire français qui peinent à suivre. Je vous propose d’illustrer un peu ce décalage entre les mondes « réel » et « virtuel. Moment anecdotes :

Serge, le « héros que l’on mérite mais pas celui dont on a besoin aujourd’hui ».

Pour commencer, laissez moi vous parler de Serge Humpich. Serge est un ingénieur qui développait des logiciels pour les traders. Ce qui le distingue c’est son hobby : le monsieur n’entretenait pas sa roseraie ou ne passait pas ses soirées sur Call of Duty, non. Il préférait occuper son temps libre à tester la sécurité des appareils et lorsqu’il s’est attaqué au système des cartes bancaires, il a découvert une faille qui permet de créer des cartes acceptées par les terminaux sans qu’elles soient liées à un compte. Bonnard*, mais en bon citoyen, Serge a fait part de sa découverte au groupement des cartes bancaires. Que s’est-il passé selon-vous ?

  1. Le groupe a envoyé un bouquet de fleurs à Serge et a rapidement revu la sécurité de ses cartes.
  2. Des gentils lutins bleus en képis sont venus lui rendre visite et après avoir fouillé son domicile, ils l’ont emmené au merveilleux pays de Gardavue.

Si vous avez répondu par la « 1 », vous êtes bien naïfs. Serge a été condamné à 10 mois de prison avec sursis avant de se barrer aux Etats-Unis, sans doute un peu dégoûté. Mais que voulez-vous, il a été un peu bête de croire que son aide serait appréciée : une entreprise est pragmatique et il est moins cher de museler le plus longtemps possible plutôt que de revoir un système mondial fragilisé.

On ne peut cependant pas accabler notre homme qui est peut-être plus habitué à fréquenter la communauté Internet qui elle, est plutôt reconnaissante lorsqu’on pointe du doigt une faille : certains éditeurs vont tout de même jusqu’à récompenser les pirates qui leurs signalent leurs fragilitésQuand je vous dis que l’état d’esprit n’est pas le même…  

Oui, les lois sont incohérentes, et alors ?

Si ceci vous a montré que la chose juste à faire et la justice sont deux choses différentes, je vais maintenant vous rappeler que cette dernière n’est en plus pas toujours cohérente.

Souvenez-vous d’Hadopi, cet ami qui vous écrit parfois parce que vous avez téléchargé sa vidéo sous droit d’auteur sans la payer (vilain cancrelat). Et bien, dans son arsenal de lois, la Haute Autorité dispose d’une carte : « défaut de sécurisation de son accès Internet » qui vous impute tout piratage de votre ligne. Pour rire un peu, voici un extrait d’une interview de Éric Walter sur le site de l’Hadopi :

Question : avec HADOPI, si j’utilise la connexion à internet de mon voisin pour pirater, ce n’est pas moi le coupable, mais lui pour « défaut de sécurisation », et il doit prouver qu’il n’est pas à l’origine du piratage. N’y a-t-il pas là un renversement de la charge de preuve ?

EW : Bien sûr que non, dans la procédure de réponse graduée votre voisin n’est pas considéré comme coupable de quoi que ce soit. Le 1er mail l’alerte sur des faits et lui rappelle sa responsabilité de protéger et sécuriser son accès internet.

Que l’on peut traduire par « Meuh non, on lui dit d’abord qu’on ne va pas tarder à lui tomber dessus ». Sympa, mais en pratique comment quelqu’un qui ne sait pas protéger sa connexion saurait détecter un piratage ou sécuriser sa ligne ? C’est donc bel est bien vous qui êtes responsable de la sécurité de votre réseau domestique. Et oui, si vous ne pouvez pas prouver le piratage, vous l’avez dans l’os (cela dit, c’est probablement vraiment tonton Michel qui téléchargeait My Little Pony et il ne l’aurait jamais avoué de toute façon…).

A côté de ça, si vous téléchargez un document sensible en libre accès sur Internet via Google, ce n’est pas la faute de l’organisation qui a mis le document en ligne (ici, pas de « défaut de sécurisation »). C’est ce qu’a découvert un des co-rédacteurs de reflets.info alors qu’il cherchait à documenter l’un de ses articles.

Le pauvre internaute dangereux pirate est tombé sur un fichier en libre accès de l’Agence nationale de sécurité sanitaire de l’alimentation et s’en est donc servi car « on pourrait croire que si c’est sur Internet, c’est public. » Mais non : il s’agissait d’un document confidentiel et l’ANSES porte non-seulement plainte contre l’affreux corsaire, mais en plus remporte son procès. Notre ami est donc contraint de payer 3 000 € pour avoir lu un fichier indexé par Google.

Je résume donc :

  • si vous êtes une quiche en sécurisation informatique et qu’on télécharge des films illégalement via votre ligne (pas des snuff movies amateurs, ça on s’en fout), vous devrez en rendre compte devant la justice.
  • si vous êtes une administration qui laisse l’accès libre à ses fichiers confidentiels comme une cruche, c’est le pauv’téléchargeur lambda qui en répondra.

Ô cohérence, suspend ton vol !

Tremblez, ça peut vous arriver !

Routine activity theoryEt enfin, dernier exemple qui m’a inspiré cet article : la semaine dernière, j’ai reçu un e-mail provenant d’un grand journal local de mon ex-région. Il faisait suite à un article dans lequel j’expliquais comment contourner leur système d’abonnement : c’est ce qu’ils appellent une « incitation à la fraude ». Je ne prendrais pas le risque de les nommer, mais voici comment leur mécanique fonctionne : vous n’avez le droit de lire que 5 articles par mois sur leur site avant d’être invité à vous abonner. Comment savent-ils que vous en avez lu 5 ? Grâce à vos cookies, ces petits fichiers stockés sur votre navigateur.

Dans l’article j’expliquais comment se débarrasser de ces cookies, ce qui n’est pas illégal sauf si vous dites que c’est pour bypasser le système d’abonnement (c’est ce que j’ai cru comprendre). Vous serez d’accord, ça revient à pointer du doigt un portique RATP défectueux et de dire « regardez c’est ouvert », mais chut, ce n’est pas bien, il ne faut pas le dire, c’est une grave incitation à la fraude.

Voici la réponse envoyée au service juridique du journal :

Bonjour M. X.

Je vous invite à constater que l’article a bien été supprimé.

J’ai supprimé l’article par peur des poursuites judiciaires, vous vous en doutez. Cependant, je vous invite à communiquer ceci aux responsables de l’édition en ligne :

Les moyens de contournements que je proposais ne sont pas une incitation à la fraude mais la mise en évidence d’une faille technique béante dans le système d’abonnement de [votre journal].
L’utilisation de cookies pour marquer les articles lus est une hérésie technique et montre une méconnaissance du fonctionnement du Web. Les cookies sont des fichiers stockés sur le navigateur de l’utilisateur et il peut bien entendu les supprimer quand il le souhaite. Il peut ainsi réinitialiser à loisir son abonnement sans opérer aucune action malveillante.

Cet article mettait simplement en évidence cette faiblesse. Des milliers d’Internautes connaissent cette astuce sans avoir besoin de mon aide.
Je vous conseille vivement de revoir votre système d’abonnement.

Cordialement, Spi (éditeur de northgate.fr).

Ca vous rappellera peut-être mon premier exemple, le côté bon samaritain en moins. Cela dit, je comprends le journal qui doit déjà l’avoir mauvaise d’avoir fait un mauvais choix technique et qui doit payer quelqu’un pour menacer les gens afin qu’ils se taisent.

Voilà, tous ces recours en justice sont presque amusants. Si Serge ou le serveur NorthGate avaient été en Russie, on aurait pu facilement ignorer les menaces de procès et la vraie solution aurait sauté aux yeux de tout le monde : il suffisait que les entreprises pensent mieux leur sécurité. Et pour finir, l’affaire de Serge me pousse à me demander si un jour un scandale mettant en cause les cartes bancaires sans contact éclatera, car je vous rappelle qu’elle ne sont pas du tout sécurisées… J’espère que je ne me suis pas mis dans le pétrin en disant ça… 😉

Sources et trucs à lire :

« * » : masculin de « bonnasse ».

Comment apprendre à tout faire avec WikiHow (mais mal, trop mal)

Bonjour les enfants, Rak m’a fait découvrir un site qui va bouleverser ma vie de paria déboussolé ! WikiHow va vous donner des billes pour réussir dans de multiples domaines en répondant à vos questions les plus pertinentes comme : comment devenir un médium (et escroquer de la vieille légalement), comment se tatouer soi‐même à la maison (et se marquer à vie comme échec du darwinisme – et choper une hépatite) ou encore comment faire de la magie noire (et finir pendu par les tripes dans une forêt*). Alors qu’attendons-nous ? Allons visiter le monde fabuleux des grands maîtres de la connaissance, là où la science est futile. Allons apprendre la vie, la vraie !

Mettons ce site à l’épreuve

tatoo
Félicitations, c’est un très beau… euh… tatouage !

J’admets que ces premiers tutoriels peuvent prêter à sourire, mais sachez qu’on trouve aussi de bons articles bien sérieux comme « comment choisir l’endroit idéal pour un premier rendez vous amoureux« . Vous allez voir que ce n’est que du bon sens, mais si de vous même vous n’avez pas éliminé la pissotière de la gare ou le PMU du village, cet article est pour vous. Allez, place aux conseils des Hitch de WikiHow :

Rule #22 – Know Your Way Out
« Songez à ce que désire la personne avec laquelle vous allez sortir. » Le problème est qu’il n’est pas improbable que votre nouvel ami désire avant tout… s’affranchir du fardeau de sa semence dans votre intérieur tout propre (auquel cas l’arrière de la pissotière n’était pas un si mauvais choix). A votre place, je partirais plus sur un endroit éclairé avec du monde et plusieurs sorties facilement accessibles.

Rule #25 – Shoot First
« Donnez le plus de détails possible à la personne avec laquelle vous sortez. » Bien sûr, bien sûr, commencez par votre numéro de téléphone, votre adresse, les heures où vous êtes seules, et plaisantez sur votre fenêtre qui n’a pas d’alarme.

Rule #8 – Get A KickAss Partner
« Il peut être tentant de se rendre à un rendez-vous amoureux collectif, mais voyez si votre partenaire pourrait l’apprécier. » Je n’invente rien, c’est dans l’article. Pourtant on ne le répétera jamais assez, pas de fistinière le premier soir.

Deuxième chance ?

OK, c’est vrai, ce n’était pas convaincant. Tenez, essayons celui-ci : « comment neutraliser un sort lié à la magie noire« . En plus ça tombe bien, ça m’arrive assez souvent ces temps-ci. Alors voyons les solutions : « Prenez un bain de sel et de plantes magiques »… Mais en quoi, me baigner dans ma soupe va m’aider ? Et je trouve ça où ? Y’a un rayon plantes magiques à Lidl ? Sinon, je lis : « Parlez-en à un guérisseur spirituel. » Bien entendu, je vais évidemment aller voir le marabout du coin qui fera disparaître le mal aussi vite que mon liquide… Fatigue.

Tant pis, je vais essayer plus technique avec « comment prendre un bain« … Ah oui quand même, ce n’est pas sans me rappeler le « comment mettre une capuche » d’Erwan mais eux, ils sont sérieux. Ils t’apprennent à prendre un pu[*]ain de bain !

Hmmm, non.

Globalement, ce site est bourré de conseils pires que ceux de Doctissimo sur lequel chaque point noir se transforme en maladie incurable. Bienvenue au royaume de la désinformation ! Par exemple, pour avoir de plus gros seins : « Ne faites pas de sport tous les jours ou cela pourrait endommager les muscles de votre corps et vos seins mettraient beaucoup plus de temps à pousser. » : effectivement, vos seins seront beaucoup plus ronds quand vous pèserez le quintal, et pensez à manger des M&M’s, ça affine le grain de peau… Autre exemple : pour « être une vraie fille », « Douchez-vous au grand minimum une fois par jour. Personne ne voudra s’approcher d’une fille qui sent mauvais. » : bien vu à l’heure où les dermatologues préconisent de limiter les douches et bon pour la confiance en soi des jeunes filles qui vont maintenant s’astiquer frénétiquement à longueur de journée.

Je jette l’éponge. Il y a sans doute quelques trucs qui parviennent à sortir de l’involontairement drôle pour atteindre l’intéressant, mais leur fondement branlant me fait peur. Visitez donc ce site avec recul et ne tombez pas dans les stéréotypes stupides que vous y rencontrerez. Pas envie de vous croiser en Bimbo décérébrée sous prozac.

* : vous aurez-toujours « Comment neutraliser un sort lié à la magie noire ».