Un journaliste condamné pour avoir signalé une faille de sécurité informatique

[LE MONDE.FR | 23.09.09]

« J’en ai plein le cul de voir les policiers débarquer chez moi pour X raisons. » Damien Bancal est journaliste, spécialisé dans la sécurité informatique ; il édite notamment le site Zataz.com, qui traite principalement des failles de sécurité dans les logiciels et les sites. Aujourd’hui, il songe à arrêter son site, après avoir été condamné par la cour d’appel de Paris pour « trouble illicite ».

L’affaire remonte à l’an dernier. Un lecteur du site signale à Damien Bancal que des documents confidentiels sont librement accessibles sur le serveur de l’entreprise Forever living products, spécialisée dans la production d’aloe vera : l’entreprise a simplement oublié de sécuriser la « porte d’entrée » d’un de ses serveurs, qui est de ce fait accessible à tous. Après avoir vérifié l’existence de la faille, il la signale à l’entreprise, qui corrige l’erreur, et lui envoie un e-mail pour le remercier. Une fois la faille corrigée, Zataz.com publie un article décrivant l’origine du problème, sans publier les documents ni révéler la méthode exacte qui permettait d’y accéder, mais en illustrant l’article de captures d’écran qui attestent que le serveur informatique de l’entreprise était librement accessible.

DOUBLE PROCÈS

La procédure est classique dans le milieu de la sécurité informatique : lorsqu’on découvre une faille, on la signale, puis, une fois celle-ci corrigée, on publie une brève note décrivant le problème pour le bénéfice de la communauté, afin d’éviter que l’erreur se reproduise sur d’autres sites. Mais Forever living products ne l’entend pas ainsi : elle assigne Damien Bancal en justice, au civil et au pénal, l’accusant de s’être introduit illégalement dans son serveur et d’avoir diffamé l’entreprise.

Sur l’aspect diffamatoire de l’article écrit par Damien Bancal, le tribunal l’a relaxé en première instance, estimant que le journaliste avait agi « de bonne foi » et avec la légitimité « d’un double but d’information et de sensibilisation du public ». Forever living products a fait appel de cette décision. Au civil, en revanche, Damien Bancal est condamné pour « trouble manifestement illicite » : en clair, le tribunal juge qu’il s’est introduit illégalement dans le serveur de la société. Il fait lui aussi appel, début septembre, et est de nouveau condamné : il doit détruire toutes les données concernant Forever living products en sa possession, et verser 3 500 euros à l’entreprise en remboursement des frais de justice.

« Le tribunal a considéré qu’il s’agissait de piratage parce qu’il avait utilisé un moteur de recherche spécialisé », explique Murielle Cahen, l’avocate de Damien Bancal, qui conteste cette interprétation. « Il a bien utilisé un moteur de recherche spécialisé pour accéder à ces données, mais c’est un outil accessible à n’importe quel internaute. Si les données avaient été protégées, jamais il n’y aurait eu accès. »

RENVERSEMENT DE JURISPRUDENCE

Ce jugement constitue un renversement par rapport à la jurisprudence en vigueur, dite « jurisprudence Kitetoa ». En 2002, le site Kitetoa, lui aussi spécialisé dans la sécurité informatique, avait été poursuivi par le groupe Tati pour avoir révélé que le site de l’entreprise n’était pas sécurisé. Après avoir été condamné en première instance, le site avait été relaxé en appel. Le parquet avait alors estimé qu’il était « inenvisageable d’instaurer une jurisprudence répressive (…) pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ». Le risque étant que les internautes cessent de signaler aux responsables des sites les failles découvertes par hasard, par peur de poursuites judiciaires. Les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.

En attendant l’appel du procès en diffamation, Damien Bancal a lancé un appel aux dons pour régler la note du procès civil, et envisage de fermer son site. « Je ne gagne pas d’argent avec Zataz », explique-t-il. « C’est un site que j’alimente en plus de mon travail ; depuis sa création, j’ai contribué à aider 8 000 entreprises et administrations à corriger des failles dans leurs systèmes informatiques. A quoi bon, si c’est pour qu’au final ça me coûte un bras ? » S’il se dit « confiant » pour l’appel du procès en diffamation, « parce que j’ai toutes les preuves de ma bonne foi », il est également las des procédures. Il s’est donné une semaine de réflexion avant de décider de la fermeture du site ou de son maintien.

http://www.lemonde.fr/technologies/article/2009/09/23/un-journaliste-condamne-pour-avoir-signale-une-faille-de-securite-informatique_1244238_651865.html