Internet a beaucoup changé notre façon de communiquer en nous donnant la parole. Nos millions de petites voix peuvent maintenant s’élever pour faire part de nos pertinents avis sur la Vie, la philosophie antique, les œuvres de Marcel Proust ou la pose d’un pot large sur une BX TZD. Cette facilité de s’exprimer et de créer fait aussi que depuis 15 ans, le Net vous a régulièrement gâté en nouveautés avec des moteurs de recherches performants, des réseaux sociaux addictifs, des applications communautaires ou encore d’étonnants sites pornos animaliers. Bref, tout bouge et très vite mais nous nous adaptons plutôt bien à ce chamboulement perpétuel.
Ce n’est cependant pas le cas de certaines entreprises qui ont du mal à comprendre le Net et sa population, et c’est encore moins le cas du législatif et du judiciaire français qui peinent à suivre. Je vous propose d’illustrer un peu ce décalage entre les mondes « réel » et « virtuel. Moment anecdotes :
Serge, le « héros que l’on mérite mais pas celui dont on a besoin aujourd’hui ».
Pour commencer, laissez moi vous parler de Serge Humpich. Serge est un ingénieur qui développait des logiciels pour les traders. Ce qui le distingue c’est son hobby : le monsieur n’entretenait pas sa roseraie ou ne passait pas ses soirées sur Call of Duty, non. Il préférait occuper son temps libre à tester la sécurité des appareils et lorsqu’il s’est attaqué au système des cartes bancaires, il a découvert une faille qui permet de créer des cartes acceptées par les terminaux sans qu’elles soient liées à un compte. Bonnard*, mais en bon citoyen, Serge a fait part de sa découverte au groupement des cartes bancaires. Que s’est-il passé selon-vous ?
- Le groupe a envoyé un bouquet de fleurs à Serge et a rapidement revu la sécurité de ses cartes.
- Des gentils lutins bleus en képis sont venus lui rendre visite et après avoir fouillé son domicile, ils l’ont emmené au merveilleux pays de Gardavue.
Si vous avez répondu par la « 1 », vous êtes bien naïfs. Serge a été condamné à 10 mois de prison avec sursis avant de se barrer aux Etats-Unis, sans doute un peu dégoûté. Mais que voulez-vous, il a été un peu bête de croire que son aide serait appréciée : une entreprise est pragmatique et il est moins cher de museler le plus longtemps possible plutôt que de revoir un système mondial fragilisé.
On ne peut cependant pas accabler notre homme qui est peut-être plus habitué à fréquenter la communauté Internet qui elle, est plutôt reconnaissante lorsqu’on pointe du doigt une faille : certains éditeurs vont tout de même jusqu’à récompenser les pirates qui leurs signalent leurs fragilités. Quand je vous dis que l’état d’esprit n’est pas le même…
Oui, les lois sont incohérentes, et alors ?
Si ceci vous a montré que la chose juste à faire et la justice sont deux choses différentes, je vais maintenant vous rappeler que cette dernière n’est en plus pas toujours cohérente.
Souvenez-vous d’Hadopi, cet ami qui vous écrit parfois parce que vous avez téléchargé sa vidéo sous droit d’auteur sans la payer (vilain cancrelat). Et bien, dans son arsenal de lois, la Haute Autorité dispose d’une carte : « défaut de sécurisation de son accès Internet » qui vous impute tout piratage de votre ligne. Pour rire un peu, voici un extrait d’une interview de Éric Walter sur le site de l’Hadopi :
Question : avec HADOPI, si j’utilise la connexion à internet de mon voisin pour pirater, ce n’est pas moi le coupable, mais lui pour « défaut de sécurisation », et il doit prouver qu’il n’est pas à l’origine du piratage. N’y a-t-il pas là un renversement de la charge de preuve ?
EW : Bien sûr que non, dans la procédure de réponse graduée votre voisin n’est pas considéré comme coupable de quoi que ce soit. Le 1er mail l’alerte sur des faits et lui rappelle sa responsabilité de protéger et sécuriser son accès internet.
Que l’on peut traduire par « Meuh non, on lui dit d’abord qu’on ne va pas tarder à lui tomber dessus ». Sympa, mais en pratique comment quelqu’un qui ne sait pas protéger sa connexion saurait détecter un piratage ou sécuriser sa ligne ? C’est donc bel est bien vous qui êtes responsable de la sécurité de votre réseau domestique. Et oui, si vous ne pouvez pas prouver le piratage, vous l’avez dans l’os (cela dit, c’est probablement vraiment tonton Michel qui téléchargeait My Little Pony et il ne l’aurait jamais avoué de toute façon…).
A côté de ça, si vous téléchargez un document sensible en libre accès sur Internet via Google, ce n’est pas la faute de l’organisation qui a mis le document en ligne (ici, pas de « défaut de sécurisation »). C’est ce qu’a découvert un des co-rédacteurs de reflets.info alors qu’il cherchait à documenter l’un de ses articles.
Le pauvre internaute dangereux pirate est tombé sur un fichier en libre accès de l’Agence nationale de sécurité sanitaire de l’alimentation et s’en est donc servi car « on pourrait croire que si c’est sur Internet, c’est public. » Mais non : il s’agissait d’un document confidentiel et l’ANSES porte non-seulement plainte contre l’affreux corsaire, mais en plus remporte son procès. Notre ami est donc contraint de payer 3 000 € pour avoir lu un fichier indexé par Google.
Je résume donc :
- si vous êtes une quiche en sécurisation informatique et qu’on télécharge des films illégalement via votre ligne (pas des snuff movies amateurs, ça on s’en fout), vous devrez en rendre compte devant la justice.
- si vous êtes une administration qui laisse l’accès libre à ses fichiers confidentiels comme une cruche, c’est le pauv’téléchargeur lambda qui en répondra.
Ô cohérence, suspend ton vol !
Tremblez, ça peut vous arriver !
Et enfin, dernier exemple qui m’a inspiré cet article : la semaine dernière, j’ai reçu un e-mail provenant d’un grand journal local de mon ex-région. Il faisait suite à un article dans lequel j’expliquais comment contourner leur système d’abonnement : c’est ce qu’ils appellent une « incitation à la fraude ». Je ne prendrais pas le risque de les nommer, mais voici comment leur mécanique fonctionne : vous n’avez le droit de lire que 5 articles par mois sur leur site avant d’être invité à vous abonner. Comment savent-ils que vous en avez lu 5 ? Grâce à vos cookies, ces petits fichiers stockés sur votre navigateur.
Dans l’article j’expliquais comment se débarrasser de ces cookies, ce qui n’est pas illégal sauf si vous dites que c’est pour bypasser le système d’abonnement (c’est ce que j’ai cru comprendre). Vous serez d’accord, ça revient à pointer du doigt un portique RATP défectueux et de dire « regardez c’est ouvert », mais chut, ce n’est pas bien, il ne faut pas le dire, c’est une grave incitation à la fraude.
Voici la réponse envoyée au service juridique du journal :
Bonjour M. X.
Je vous invite à constater que l’article a bien été supprimé.
J’ai supprimé l’article par peur des poursuites judiciaires, vous vous en doutez. Cependant, je vous invite à communiquer ceci aux responsables de l’édition en ligne :
Les moyens de contournements que je proposais ne sont pas une incitation à la fraude mais la mise en évidence d’une faille technique béante dans le système d’abonnement de [votre journal].
L’utilisation de cookies pour marquer les articles lus est une hérésie technique et montre une méconnaissance du fonctionnement du Web. Les cookies sont des fichiers stockés sur le navigateur de l’utilisateur et il peut bien entendu les supprimer quand il le souhaite. Il peut ainsi réinitialiser à loisir son abonnement sans opérer aucune action malveillante.
Cet article mettait simplement en évidence cette faiblesse. Des milliers d’Internautes connaissent cette astuce sans avoir besoin de mon aide.
Je vous conseille vivement de revoir votre système d’abonnement.
Cordialement, Spi (éditeur de northgate.fr).
Ca vous rappellera peut-être mon premier exemple, le côté bon samaritain en moins. Cela dit, je comprends le journal qui doit déjà l’avoir mauvaise d’avoir fait un mauvais choix technique et qui doit payer quelqu’un pour menacer les gens afin qu’ils se taisent.
Voilà, tous ces recours en justice sont presque amusants. Si Serge ou le serveur NorthGate avaient été en Russie, on aurait pu facilement ignorer les menaces de procès et la vraie solution aurait sauté aux yeux de tout le monde : il suffisait que les entreprises pensent mieux leur sécurité. Et pour finir, l’affaire de Serge me pousse à me demander si un jour un scandale mettant en cause les cartes bancaires sans contact éclatera, car je vous rappelle qu’elle ne sont pas du tout sécurisées… J’espère que je ne me suis pas mis dans le pétrin en disant ça… 😉
Sources et trucs à lire :
« * » : masculin de « bonnasse ».