Dénonciation par un bot à la gendarmerie

et condamnation pour des écrits de sécurité

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Salut à tous.

Un blogueur a été condamné en France pour ses articles sur la sécurité : http://krach.in/. Pas de quoi faire peur à la NSA, juste du WEP, recherche de mot de passe à partir d'une base de hash et attaque d'un PC par carte style Teensy. On en parle ici aussi

Outre la condamnation hallucinante, son récit indique les flics sont venus sur signalement d'un .... bot.

Est ce quelqu'un sait ce qu'il en retourne de ce truc ?

David.

Édité par Davidbrcz

+0 -0
Staff

En l'occurrence, comme l'a dit Maître Eolas et lui a conseillé son avocat, il devait aller au pénal, accepter de passer en CRPC, c'est s'avouer coupable (alors qu'il n'a rien fait et que son cas est défendable). Cela lui aurait permis de briser l'argumentaire du procureur.

J'ai pas encore regardé le cas en détail.

Édité par Arius

Staff

Au contraire, il l'a dit lui-même : son avocat lui a déconseillé de le faire. En l'occurence, c'est lui qui n'a pas tenu compte de l'avis de son conseil :

Mon avocat m'a conseillé de refuser la CRPC et d'aller au pénal, il m'a bien expliqué que c'est un 'plaidé coupable' à la française et que c'est comme si je reconnaissais ce qui m'était reproché, mais quand j'ai vu le montant du devis, j'ai préféré aller à la CRPC et voir ce que j'allais prendre.

A partir de cet instant, l'avocat a suivi la volonté de son client.

Mais au delà de cet aspect, c'est cette histoire de bot qui me dérange. C'est quoi ce truc ?

Aucune idée, je ne vis pas en France. Mais ça me parait bizarre, tu as normalement un traitement humain (puisqu'il y a toujours un risque de faux positif). Et s'il y a une commission rogatoire, ça ne se fait pas tout seul.

Édité par Arius

Staff

Après, comme le dit ce commentaire (fiou, sur numerama faut vraiment descendre la page pour trouver un commentaire intéressant), on manque d'informations (et j'ai pas encore regardé les articles pour voir s'il est vraiment borderline ou pas). Et dans la convocation, on fait référence aux articles 323-1, 323-2 CP (+ les articles répressifs liés). Typiquement un cas problématique :

Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-3-1 CP

Puisqu'il faut un motif légitime. S'il n'y a rien dans les articles permettant de prouver ce motif valable (même si WEP est dépassé), il tombe sous le coup de la loi.

Bref, s'il n'a pas fait mention qu'il s'agissait de billets à titre de prévention, d'éducation et vu qu'il a accepté de passer en CRPC, il a avoué sa culpabilité. Or, s'il avait été devant le juge, il aurait été, accompagné d'un avocat spécialisé dans les TIC, en mesure de fournir un motif valable et de défendre sa cause.

Edit : ouaip, j'ai regardé 2min, dans certains articles (exemple : Art_CrackWifi_masked.png), tu n'as pas ou pas vraiment un motif expliquant le but de l'article ou un édito bien visible signalant tout cela. Il se contente de dire "De trop nombreuses entreprises ne sont pas suffisamment protégées" mais t'as pas vraiment un disclamer pour mettre en avant un motif qui donnerait une légitimité à l'article, l'objectif poursuivi. C'est probablement cet article qui l'a mis dans la mouise, en plus (à voir s'il y en a eu d'autres du genre). C'est con car d'autres articles qu'il a mis a disposition, tu as un aspect préventif/éducatif. :(

S'il avait préféré l'action pénale, il aurait pu mettre en avant sa bonne foie en jouant sur ces autres articles. J'espère sincèrement pour lui qu'il fera confiance à Maître Eolas (ce dernier lui a probablement envoyé un mail) pour qu'il fasse appel endéans les 10 jours de délai (mais il faut qu'il se dépêche car passé ce délai, la décision aura l'autorité de la chose jugée). Je sais que les frais de justice peuvent monter assez haut mais quand on a franchement la capacité de se défendre, qu'on a un job, faut pas hésiter (d'autant que le dossier est plutôt léger, l'affaire sera vite traitée). Tous les juges et procureurs sont loin d'être des incapables ou de méconnaître le sujet et la bonne foi, le fait qu'il n'a pas d'antécédents et le fait que d'autres billets montrent un aspect préventif/éducatif jouent en sa faveur. Un avocat aussi habile qu'Eolas sera en mesure de le défendre et de gagner la cause jugée.

Édité par Arius

Banni

Il aurait dû sauvegarder son site sur https://archive.org/web et la justice française n'aurait rien pu faire.

Dommage

Édité par shaynox

Basic asm standard: reg(lowercase) - instruction(lowercase) -> instruction … dest, src (___/) (='.'=) (")_(") This is Bunny. Copy and paste bunny into… …your signature to help him gain world domination

+1 -2

Au final, en plus de la loi, c'est l'incompétence notoire des juges sur les sujets techniques qui semblent poser problème. Quand bien même cela passe par une CRPR (en fait encore plus vu cette affaire), c'est juste intolérable de voir qu'un juge n'a pas conscience qu'il aurait du imposer à ce criminel qu'il mette à jour son parefeu open-office pour empêcher qu'il ne récidive.

Et blague à part, quand on sait pas on ferme sa gueule. Cela vaut aussi pour un juge. Comparer un type qui publie un tutorial sur aircrack-ng pour casser un système qui est désuet depuis 10 ans à un pédophile ou un type qui "roule à 240km/h pour montrer qu'il peut" c'est au dela de la connerie. Alors de la part d'un juge, ça la fout mal. Sinon sachant que c'est légalement de la responsabilité de tout citoyen en France de sécuriser son réseau et que ce genre de connaissance est un moyen de tester sa propre connexion, le juge va donc dans le mauvais sens par rapport à ce qu'on attend d'un citoyen. :()

+2 -1

Si on va sur le site concerné, on voit qu'il a exposé ses raisons. Et c'est effectivement le coût financier qui l'a fait renoncer.

De plus, on peut voir aussi quels sont les articles qui ont causé problème.

La vie, c'est comme les mirabelles

+0 -0
Staff

Et blague à part, quand on sait pas on ferme sa gueule. Cela vaut aussi pour un juge. Comparer un type qui publie un tutorial sur aircrack-ng pour casser un système qui est désuet depuis 10 ans à un pédophile ou un type qui "roule à 240km/h pour montrer qu'il peut" c'est au dela de la connerie. Alors de la part d'un juge, ça la fout mal. Sinon sachant que c'est légalement de la responsabilité de tout citoyen en France de sécuriser son réseau et que ce genre de connaissance est un moyen de tester sa propre connexion, le juge va donc dans le mauvais sens par rapport à ce qu'on attend d'un citoyen. :()

Attention que ce n'est pas le juge, mais le procureur. Le juge n'intervient que pour délivrer (ou pas) l'ordonnance.

Cela dit, il y a effectivement un problème à ce niveau. On dirait qu'en France au niveau du parquet, il n'y a pas de spécialisation comme en Belgique. Chez nous, les substituts du procureur qui interviennent dans les affaires pénales ont et/ou suivent des séminaires de spécialisations. Et ceux-ci sont entourés d'autres juristes ("experts en droit" ou "juristes du parquet") qui sont eux aussi spécialisés dans certaines matières et qui vont - sous la supervision du substitut - étudier le dossier, requérir des devoirs complémentaires au besoin et recommander une suite à donner au dossier (peine, transaction pénale ou classement sans suite). Dans mon cas, je m'occupais notamment de la criminalité informatique (parmi d'autres matières) et je bossais principalement pour un substitut lui-même spécialisé dans cette matière (parmi d'autres également) qui prenait en charge la plupart des dossiers qui concernent ses spécialités et de tout autre substitut au besoin. Et je pense que c'est de même du coté des juges puisqu'ils sont assistés de référendaires. Ce système permet, même à un magistrat qui n'est pas spécialisé dans une matière X (parce qu'avec la surcharge de travail, etc. il arrive qu'on donne un dossier à un substitut qui n'est pas spécialement spécialisé (yay, I did it :P )) de traiter l'affaire en suivant les avis et points soulevés par le juriste de parquet ou l'expert en droit.

Stricto sensu, au regard des articles incriminés (enfin, de certains (cf. post précédent), il tombe sous le coup de la loi. Mais bon… Perso, un cas du genre, je classe sans suite. il suffit de chercher un peu pour voir qu'il y a des articles où figurent un motif légitime mais il aurait mieux valu qu'un édito soit bien visible sur toutes les pages et qu'un cadre légal soit clairement défini.

D'autre part (car il faut quand même le dire), le "plaider coupable" (à la manière des USA ou de la CRPC en France) est une aberration et n'existe pas en droit belge (même si certains politiques la mettent sur la table, avec une levée de bouclier de la majorité des juristes). C'est typiquement la mesure instaurée pour désengorger la justice mais c'est la pire de toutes. D'ailleurs, je ne connais pas de juristes français (avocats comme magistrats) qui soient pour cette dernière.

Le "plaider coupable", c'est renoncer à avoir droit à un procès équitable, alors que c'est essentiel. Ce qui est également essentiel, c’est le débat contradictoire, que l’accusation (ministère public ou la partie demanderesse) doit prouver la culpabilité d’un prévenu (on dit que la charge de la preuve lui incombe). Or, le "plaider coupable", c’est inciter la personne suspectée à renoncer à ce droit en acceptant de se déclarer coupable.

Et on a un exemple ici : on a un prévenu a peur d’une condamnation lourde et de frais de justice élevés et qu'il se dit qu’il vaut mieux, alors que son cas est défendable et qu'il est dans cette situation à cause d'un excès de zèle d'un procureur, plaider coupable. J'en perds ma belle fourrure car à mes yeux et au regard du droit et de la doctrine belge, les droits de la défense, le principe que l’accusation a la charge de la preuve sont des principes immuables nécessaires au fonctionnement d'une justice équitable.

pour qu'il fasse appel endéans les 10 jours de délai

J'ai découvert un mot, là. ^^ Apparemment, il ne s'utilise plus en France, celui-là…

Dominus Carnufex

Bah ce mot est assez connu, il me semble. Un mythe s'effondre. :'(

Edit : fotes.

Édité par Arius

(remarque : il n'y a pas d'inversion de la charge des preuves à mon avis ici, le procureur ayant apportées des preuves pour l'accusation qu'il portait. Et il y a eu débat "contradictoire" aussi, dans le sens où l'accusé a pu se "défendre" - en reconnaissant sa culpabilité ici. Mais peu importe, les principes de droit sont respectés).

J'ai suivi un peu l'histoire sur le blog d'Eolas. On est d'accord pour dire que la CRPC lui a retiré ses possibilités de se défendre et de faire valoir ses motifs légitimes. Par contre, je me pose la question de savoir si le procureur a eu tort dans ses accusations. (En tout cas, je crois que ce n'est pas qu'un problème de manque de compétences techniques du procureur).

Si le simple fait de mettre un "disclamer" pour dire que tel outil est diffusé pour permettre à chacun de tester la sécurité de sa propre installation et qu'ils ne doivent pas être utilisé de façon illégale, aucune personne qui diffuse des outils de piratage ou virus ou autre ne serait "coupable". Il leur suffirait de mettre ce "disclamer" pour être tranquille.

Du coup, le fait qu'il mette sur son site que c'est diffusé pour des raisons de formation à la sécurité informatique, cela me semble pas suffisant pour dire qu'il bénéficie effectivement du motif légitime.

Est-ce que le fait qu'il soit un "spécialiste de la sécurité informatique" (de mémoire) d'après son site : 1. ne veut pas dire qu'il l'est effectivement. Sans CRPC, il aurait probablement pu appuyer sur ce point. 2. et surtout. Si la possession de ce type d'information/logiciel/virus est compréhensible chez un spécialiste de la sécurité, si la diffusion des ces outils entre spécialistes ou entre un spécialiste et un client est légitime, que penser de la diffusion publique de ces informations ?

On peut imaginer sans problème que tout ceux qui lisent son blog ne sont pas forcement des personnes qui ont pour but d'apprendre à se protéger, mais que certains veulent justement apprendre à contourner ces défenses. Il peut dire qu'il ne peut pas contrôler qui va lire et utiliser les informations qu'il donne sur son blog, mais justement, le fait de ne pas pouvoir contrôler ceux qui lisent n'est pas une forme de diffusion volontaire illégale ?

(HS : et si quelqu'un écrivait un article sur ZdS concernant la sécurité informatique, en donnant le code d'un virus ou d'une technique permettant de cracker un mot de passe, est-ce que ZdS pourrait être responsable de diffusion illégale ?)

+0 -0
Staff

(remarque : il n'y a pas d'inversion de la charge des preuves à mon avis ici, le procureur ayant apportées des preuves pour l'accusation qu'il portait. Et il y a eu débat "contradictoire" aussi, dans le sens où l'accusé a pu se "défendre" - en reconnaissant sa culpabilité ici. Mais peu importe, les principes de droit sont respectés).

L'inversion de la charge de la preuve veut dire que c'est à l'autre partie (ici donc le défendeur) de prouver ses dires. Sauf que ça ne nous concerne pas ici. Dans notre cas, la charge de la preuve incombe bien au procureur. Par contre, non, il n'y a pas de débat contradictoire. Un débat contradictoire ne peut avoir lieu que devant une audience du tribunal où la personne accusée apporte des éléments pour se défendre. Ce n'est pas le cas de la CRPC où l'on te donne deux choix : soit tu reconnais ta culpabilité, soit tu vas devant le tribunal.

Si le simple fait de mettre un "disclamer" pour dire que tel outil est diffusé pour permettre à chacun de tester la sécurité de sa propre installation et qu'ils ne doivent pas être utilisé de façon illégale, aucune personne qui diffuse des outils de piratage ou virus ou autre ne serait "coupable". Il leur suffirait de mettre ce "disclamer" pour être tranquille.

Du coup, le fait qu'il mette sur son site que c'est diffusé pour des raisons de formation à la sécurité informatique, cela me semble pas suffisant pour dire qu'il bénéficie effectivement du motif légitime.

Je n'ai pas dit que c'était suffisant mais c'est un élément à prendre en compte. S'il bosse effectivement dans la sécurité informatique et que son site comporte des informations à visée préventives, qu'il n'a pas d'antécédents, qu'il semble de bonne foi. Tout cela entre en compte dans sa défense devant un juge (en plus des points potentiellement soulevés par son conseil). Cela ne veut pas dire qu'il gagnera forcément mais ce sont des éléments de défense.

On peut imaginer sans problème que tout ceux qui lisent son blog ne sont pas forcement des personnes qui ont pour but d'apprendre à se protéger, mais que certains veulent justement apprendre à contourner ces défenses. Il peut dire qu'il ne peut pas contrôler qui va lire et utiliser les informations qu'il donne sur son blog, mais justement, le fait de ne pas pouvoir contrôler ceux qui lisent n'est pas une forme de diffusion volontaire illégale ?

Non. Pour qu'un acte soit illicite, il faut aussi qu'il y ait présence d'un élément moral (qui forme, avec l'élément légal et l'élément matériel les 3 prérequis à la désignation d'un acte comme étant illégal). Si je te donne des liens vers des ressources que je sais illégales, c'est pénalement répréhensible puisqu'il y a présence d'un élément intentionnel. Si je n'aide pas une personne en danger (sauf si risque pour ma propre intégrité/autrui), c'est un élément intentionnel (ce que l'on appelle l'abstention coupable).

Édité par Arius

D'autre part (car il faut quand même le dire), le "plaider coupable" (à la manière des USA ou de la CRPC en France) est une aberration et n'existe pas en droit belge (même si certains politiques la mettent sur la table, avec une levée de bouclier de la majorité des juristes). C'est typiquement la mesure instaurée pour désengorger la justice mais c'est la pire de toutes. D'ailleurs, je ne connais pas de juristes français (avocats comme magistrats) qui soient pour cette dernière.

Peux-tu m'éclairer sur le problème de la procédure ? Car sur le concept je ne vois pas le problème, si tu plaides coupable la procédure est plus courte et la peine plus légère. Quand tu es coupable de la faute je pense que c'est gagnant de renoncer à ces droits car tu n'en as pas forcément besoin.

De manière généralisée, ce n'est pas ce que je recommande en effet.

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0
Staff

Quand tu sais que tu es coupable (genre, t'as été encore une fois arrêté pour de la consommation de stupéfiants), oui, c'est préférable. Mais quand tu as les moyens de défendre ta position, non. C'est renoncer au débat contradictoire (et donc au droit de te défendre). C'est très con.

Le problème étant que tu as des personnes (comme ici) qui, pour une raison ou une autre (argent, peur d'une peine plus lourde,…) vont accepter le plaider coupable alors que leur conseil ne le recommandent pas. Ettu en as beaucoup dans ce cas, c'est un vrai travers de la justice.

Un avocat agit comme le "premier juge". Il sait si un cas est défendable ou pas.

Édité par Arius

Quand tu sais que tu es coupable (genre, t'as été encore une fois arrêté pour de la consommation de stupéfiants), oui, c'est préférable. Mais quand tu as les moyens de défendre ta position, non. C'est renoncer au débat contradictoire (et donc au droit de te défendre). C'est très con.

Tu le précises bien : quand ton dossier est défendable ça ne vaut pas le coup. Tu semblais dire que le concept ne servait à rien, voire était dangereux. Si cela est bien utilisé je ne vois pas le problème.

Ici le gars était têtu, il n'a pas écouté l'avis de l'avocat. Peut être qu'il n'a pas été assez clair également. Il assume, c'est tout.

Donc le concept reste utile, la justice est surchargée et si on peut libérer quelques dossiers rapidement sans la lourdeur judiciaire pour défendre un cas indéfendable, c'est toujours ça de pris. Mais ça mérite une vigilance quant à son usage je suis d'accord.

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0
Staff

Le problème, c'est qu'il n'est pas toujours bien utilisé. Premièrement, comme dit plus haut, un prévenu pourrait avoir peur d’une condamnation qu’il estime inéluctable et se dire qu’il vaut mieux, alors qu’il est innocent, plaider coupable. Exemple: un personne est accusée d’attentat à la pudeur sur un mineur. Comme de coutume, ce genre de personne se dit souvent qu'elle n'a aucune chance face à la victime devant un tribunal. Estimant qu'elle n'a aucune chance de faire la preuve de son innocence et d’obtenir l’acquittement auquel elle a droit, cette personne pourrait se dire qu’il vaut mieux plaider coupable et obtenir une peine aussi légère que possible. De même, un prévenu peut avoir peur de la médiatisation qu’entraîne une comparution devant un tribunal (alors qu'il est encore considéré comme innocent ou qu’il pourrait espérer une peine peu importante devant un tribunal), typiquement, cette personne refusera comparaître car la condamnation médiatique, avec étalage de la vie privée ou intime, lui serait insupportable ou lui semblerait plus lourde que la condamnation pénale et acceptera le plaider coupable sans être en mesure de se défendre.

Alors, oui, cette procédure est utile dans des contentieux de masse - en matière de roulage et de stupéfiants par exemple - où les faits sont simples et désignent dans 90% des cas le coupable sans besoin d’un aveu.

Mais quand elle est proposée dans des délits liés aux moeurs ou plus complexes, ça part en couille. Comme ici. Et elle est presque systématiquement proposée.

Édité par Arius

Mais quand elle est proposée dans des délits liés aux moeurs ou plus complexes, ça part en couille. Comme ici.

On est d'accord, tout comme le fait que selon moi l'avocat sert d'aiguillon. Là il a été, selon moi, bien été conseillé, il a décidément autrement. C'est son droit.

Dans certaines affaires, quand tu es coupable, tu peux aussi être content de te débarrasser vite du dossier et éviter la médiatisation. Le choix est je pense utile, mais là encore il faut être bien conseillé.

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0
Staff

On est d'accord, tout comme le fait que selon moi l'avocat sert d'aiguillon. Là il a été, selon moi, bien été conseillé, il a décidément autrement. C'est son droit.

En effet mais bon accepter puis "se plaindre" du système. C'est un peu fort. Tu vois où je veux en venir ? ^^

Ok, le proc' a eu un excès de zèle AMHA, mais la boulette, c'est lui qui l'a faite.

Dans certaines affaires, quand tu es coupable, tu peux aussi être content de te débarrasser vite du dossier et éviter la médiatisation. Le choix est je pense utile, mais là encore il faut être bien conseillé.

En effet. Mais ce n'est pas ces cas qui m'intéressent. L'aberration, c'est les cas cités plus haut.

Je ne sais pas s'il a raison de se plaindre, mais il a raison d'informer, histoire qu'on sache nous aussi qu'il ne faut pas faire ce genre de bêtises (aller en CRPC). Parce que l'avis d'un avocat c'est bien, mais si on est conforté par ce qu'on a déjà lu sur le sujet c'est mieux.

FYS : une bibliothèque C++ dans le domaine public

+0 -0

il n'y a pas de débat contradictoire… J'imagine que ce concept à une définition précise. C'est juste que, intuitivement, je n'ai pas l'impression qu'il n'a pas eu la possibilité de donner son avis. Mais peu importe, ce n'est pas le sujet.

A propos de la CRPC, j'ai vu http://vosdroits.service-public.fr/particuliers/F10409.xhtml que le procureur fait normalement une proposition de CRPC, peine comprise, et l'accusé est libre d'accepter ou non. Quand je lis la description des événements par l'auteur du blog, j'ai l'impression qu'il a été surpris du montant. Mais on est bien d'accord qu'a priori, il le connaissant avant d'accepter la CRPC ?

Je n'ai pas dit que c'était suffisant mais c'est un élément à prendre en compte… Non. Pour qu'un acte soit illicite, il faut aussi qu'il y ait présence d'un élément moral…

On en revient toujours au même point, s'il avait choisit d'aller au procès, il aurait pu faire valoir ses motivations.

Je me pose la question du rôle du procureur exactement. Est-ce qu'il doit rechercher les éléments de preuves qui disculpe l'accusé (ie rechercher ici s'il y a des motifs légitimes ou non) ou simplement s'il y a des manquements à la loi ?

Quand je vois le message qu'il a mit sur son blog en ce moment, je me dis qu'il est un peu à côté de la plaque (désolé des termes) en termes d'argumentation "juridique". Et j'ai du mal à me dire que le procureur a eu tort dans sa démarche (je me pose même la question de savoir s'il n'aurait pas quand même reconnu coupable s'il avait été au procès).

Même si le WEP est obsolète, donner une méthode pour le cracker reste illégale. Même si 10000 articles sur internet explique comment utiliser aircrack_ng, cela ne rend pas légal le 10001ème qui le fait. Expliquer comment installer un keylogger idem, même si le but est d'expliquer qu'il faut verrouiller sa session.

Il aurait pu expliquer tout ces risques sans donner les outils pour pirater. Du coup, je ne suis pas sur que l'élément morale ne soit pas présent. Pas pour inciter les gens à pirater, mais il savait, je pense, qu'il diffusait des éléments illégaux.

En tout cas suffisamment borderline pour ne pas prendre les précautions rédactionnelles suffisantes. Si quelqu'un voulait publier un article sur ZdS sur comment écrire un anti-virus, en commençant par expliquer comment en créer un, vous prendriez 5 min de réflexion pour savoir si vous pouvez publier ou non. Et si vous le faisiez, vous ne le feriez probablement pas en vous disant que vous ne risquez aucune procédure juridique.

Bref, il peut expliquer les choses comme il le veut maintenant, de son propre point de vue. Mais j'ai du mal à y voir une justice aveugle et stupide, qui juge sans comprendre le fond technique.

Édité par gbdivers

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte