Publié le 22-07-2009 à 07:22:13 dans le thème Lois - Justice

Pays : France - Auteur : La rédaction

Pub : 100 DVD vierges déjà pour 22,90 EUR

Mise à jour 25/08 :  Le fondateur de ZATAZ.COM de nouveau devant la justice, le 7 octobre prochain.

Après avoir aidé une société à protéger ses clients, le fondateur de ZATAZ.COM se retrouvait devant la justice. La 17ème Chambre correctionnel a rendu son verdict.

Petit rappel des faits. Tout a débuté fin septembre 2008. Un lecteur [son anonymat est resté et restera de mise... même sous la menace, NDR] nous informait d'une découverte qu'il trouvait très étonnante. Via un moteur de recherche public et accessible sur la toile, du même type que Google, mais dédié au FTP, le lecteur s'était aperçu qu'une société internationale, leader mondiale dans son secteur, avait été référencée par le spider, le robot référenceur du moteur de recherche en question. Le moteur de recherche avait référencé un accès au disque dur de cette société, ainsi que des milliers d'informations toutes aussi sensibles les unes que les autres.

Le moteur de recherche avait aspiré et référencé le répertoire, le Directroy, l'arborescence d'un espace FTP en accès libre. Un livre ouvert qui n'aurait jamais du l'être. Comme il en est coutume, nous informons l'entreprise via notre procédure d'alerte. Le "problème" sera corrigé rapidement. Cinq jours plus tard, nous recevrons d'ailleurs un courriel, signé par une employée de l'entreprise : "Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement."

Assurés que cette porte-ouverte a bien été corrigée, nous écrivons un article sur le sujet. Nous ne donnerons ni le lieu, ni comment les données étaient accessibles. Nous ne fournirons pas non plus l'adresse du moteur de recherche. Bref, le stricte minimum qu'impose les 5W d'une brève.

24 décembre, 10 heures du matin. Un huissier sonne à notre porte. L'entreprise demande que soit retiré l'article qu'elle considère mensongé et diffamatoire. Elle nous invite, dans lafoulée, à passer devant le juge, le 19 janvier, pour faire valoir ses droits sur ce retrait. Une semaine plus tard, second huissier. Pour bien enfoncer le clou, cette même société nous assigne devant la 17ème Chambre correctionnelle (Chambre de la presse). Cette fois, pour nous demander 15.000 euros de dommages et intérêts pour les propos "diffamatoires" de notre article. Voici l'article. [Nous avons retiré le nom de la société, NDR]

"Données bancaires en accès libre chez XXXX France

Le premier producteur mondial XXXXX avait un disque dur connecté sur Internet bourré de données bancaires et informations sensibles.

Le moins que l'on puisse dire est que de l'huile aurait pu couler encore longtemps sous les ponts de la société XXX si la rédaction de ZATAZ.COM n'était pas intervenue. Qui est XXX ? Rien d'autre que le premier producteur mondial XXXX, une huile très à la mode. Une société qui affiche en 2005 un chiffre d’affaire de 27 millions d’euros, et de 32 millions d'euros en 2006.

Sésame, ouvre toi... sésame, quel sésame ?

Un internaute, nous l'appellerons Hugo, a découvert sur la toile un serveur non protégé appartenant à cette société. Un espace qui, d'après nos constations, devait servir aux stockages des données sensibles de XXX France.

Nous avons pu découvrir que des milliers de données bancaires datant de 2007 et 2008 étaient disponible d'un simple clic de souris, via un navigateur Internet, sans aucune restriction, ni mot de passe. Un serveur d'autant plus étonnant, il contenait aussi l'ensemble des données comptable de cette entreprise internationale, les exportations, le marketing et les statistiques annuelles.

Bref, une manne providentielle pour la concurrence. Contactée par la rédaction de ZATAZ.COM, notre appel téléphonique aura permis de faire fermer ce serveur.

Nous ne pouvons dire depuis combien de temps cet espace était ouvert de la sorte. Chose est certaine, cela durait depuis plus de 7 jours. Il aura fallu plus d'une semaine à cette société pour réagir. Nos deux premiers courriels étant restés lettres mortes. Notre appel téléphonique, directement dans les alcôves de la direction aura permis une action efficace.

Les données bancaires ont très bien pu tomber entre de très mauvaises mains. Des comptes bancaires, par milliers, de clients de la Société Générale, LCL, Crédit Agricole, BNP Paribas, La banque Postale, AXA, CIC, ..."

Nous terminions ce papier par des textes de la CNIL traitant de la sauvegarde des données de clients, ...

12.000 euros de frais plus tard !

Le 07 juillet, la 17ème Chambre correctionnel (Chambre de la Presse) du TGI de Paris a rendu son verdict. Lors de l'audience publique, qui s'est déroulée en juin, Madame la Procureur de la République avait indiqué publiquement, lors de l'audience : "Une enquête exemplaire et une action d'alerte irréprochable". Seul gros bémol pour le fondateur de ZATAZ.COM, son offre de preuve. La partie civile faisait prévaloir que les preuves de ZATAZ étaient... irrecevables. Pourquoi ? L'huissier en charge de remettre cette offre de preuve à la partie civile s'était trompé d'adresse. Au lieu de la remettre à l'avocat de la partie civile, l'huissier a été la transmettre à l'entreprise elle même. Bilan, les preuves de ZATAZ ne servaient plus à rien !

Lors de l'audience, cependant, le juge et le procureur, ne se sont pas privés de questions. Le 07 juillet, le verdict est tombé, extrait : " (...) Dans un contre rapport, dressé, à la demande du prévenu, XXX, expert inscrit sur la liste de la cour d'appel de Montpellier, estime que les connexions (...), qui n'étaient plus autorisées lors des constations effectuées par un huissier le 23 octobre, sur la base desquelles avait travaillé le premier expert, l'était en revanche au moment des accès litigieux, ce qui constituait "une prise de risque inutile" et "la démonstration de la légèreté du comportement [de la société] relatif à la sécurité informatique de son serveur".

En tout état de cause, il convient de relever :

- qu'à la seule lecture des termes des rapports soumis par la partie civile, il apparait que des accès frauduleux, c'est-à-dire non autorisés, avaient pu être réalisés sur un serveur contenant des données personnelles, et que ces accès réalisés sur un serveur contenant des données personnelles, et que ces accès résultaient d'une faille de sécurité, ce qui est précisément ce que dénonçait Damien BANCAL,

- que l'analyse du contre-rapport produit par ce dernier est corroborée par la teneur de la réponse apportée par la société à l'avertissement qu'il lui avait adressé, qui reconnaissait une "sérieuse anomalie" et remerciait celui qui avait permis qu'elle soit immédiatement corrigée.

Damien Bancal avait donc en sa possession, au moment où il a mis en ligne le texte litigieux, les informations qui le corroboraient, informations que les investigations techniques réalisées postérieurement sont venus confirmer.

Il a en rendu compte sur un site spécialisé en assortissant son propos du rappel utile des règles légales en la matière et sans outrepasser les limites de la prudence dans l'expression.

Dans ces conditions, il sera admis au bénéfice de la bonne foi et renvoyé des fins de la poursuite. (...)"

Bref, voilà une année assez particulière qui se termine bien. L'entreprise a été déboutée. La justice a estimé que le travail effectué par le fondateur de ZATAZ avait été exemplaire. Il aurait été de bon ton de permettre le remboursement des frais de justice. Ce que le tribunal n'a pas estimé utile. D'un autre côté, le verdict est largement suffisant. Comme nous l'indiquait un ami "Le prix de la vérité est élevé. Ceci dit, elle te le rend au centuple..."

Vous avez été plus de 2.000 lecteurs à nous avoir envoyé un don via Paypal. En quelques jours nous avons pu récolter 7.500 euros de dons qui ont permis à ZATAZ de passer ce mauvais cap. D'importantes sociétés nous ont apporté leurs soutiens (morale et/ou financiers) et vous avez été plus de 50.000 interautes à nous envoyer un courriel de soutien. Merci aussi aux nombreux confrères d'avoir suivi le sujet.

ZATAZ.COM est un webzine d'actualité. Nous continuerons de vous informer, proprement, sans mettre en danger nos sources, nos lecteurs ou les entreprises qui pourraient être concernés par notre protocole d'alerte et nos articles. Cette petite "sauterie" judiciaire nous aura coûté exactement 12 003 euros et 56 cents et des fêtes de fin d'année.

Vous pouvez continuer a proposer un don à ZATAZ.COM [ICI]. L'argent récolté permet de payer les constations d'huissier que nous effectuons, depuis, à chaque découverte de fuite de ce type. Une constatation Huissier coûte 175 euros pièce. Le prix de la preuve !

Mise à jour 29/07 : L'entreprise a attendu le dernier moment... pour faire appel de la décision.

Mise à jour 17/08 : Un huissier vient de nous apporter la date de l'appel, le 07 octobre.

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Censure du Net: rassurants amendements en commission

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Amende divisée par 35 pour une copieuse de MP3

Une mère de famille, condamnée à 1,92 millions de dollars pour avoir copié 24 Mp3 piratés, voit son amende divisée par 35.

Les sites pirates bloqués

Un nouvelle loi demande à la justice de bloquer le moindre site web favorisant le piratage de biens culturels.

Les images porno ne peuvent justifier un licenciement

Après la découverte de documents pornographiques et zoophiles dans le poste d´un employé, une entreprise décide de licencier l´individu. Le tribunal en décide autrement.

Shoot&Proof

Shoot&Proof permet de prendre des photos certifiées qui ont force probante en justice.

20 ans de prison pour avoir téléchargé des images pédopornographiques... par erreur

Un internaute de 24 ans risque 20 ans de prison pour avoir téléchargé des images pédopornographiques par erreur.

Dépôt de plainte contre des élèves pour injures sur Internet

Une enseignante marseillaise a décidé que les insultes et injures sur Internet devaient finir. Elle dépose plainte contre des élèves.

Proposition de loi sur l´usurpation d´identité

L´usurpation d´identité est devenue un délit de plus en plus fréquent dans l´hexagone. Le gouvernement travaille sur une législation spécifique pour lutter contre ces actes malveillants.