Damien Bancal



Un journaliste condamné pour avoir signalé une faille de sécurité informatique

[LE MONDE.FR | 23.09.09]

« J’en ai plein le cul de voir les policiers débarquer chez moi pour X raisons. » Damien Bancal est journaliste, spécialisé dans la sécurité informatique ; il édite notamment le site Zataz.com, qui traite principalement des failles de sécurité dans les logiciels et les sites. Aujourd’hui, il songe à arrêter son site, après avoir été condamné par la cour d’appel de Paris pour « trouble illicite ».

L’affaire remonte à l’an dernier. Un lecteur du site signale à Damien Bancal que des documents confidentiels sont librement accessibles sur le serveur de l’entreprise Forever living products, spécialisée dans la production d’aloe vera : l’entreprise a simplement oublié de sécuriser la « porte d’entrée » d’un de ses serveurs, qui est de ce fait accessible à tous. Après avoir vérifié l’existence de la faille, il la signale à l’entreprise, qui corrige l’erreur, et lui envoie un e-mail pour le remercier. Une fois la faille corrigée, Zataz.com publie un article décrivant l’origine du problème, sans publier les documents ni révéler la méthode exacte qui permettait d’y accéder, mais en illustrant l’article de captures d’écran qui attestent que le serveur informatique de l’entreprise était librement accessible.

DOUBLE PROCÈS

La procédure est classique dans le milieu de la sécurité informatique : lorsqu’on découvre une faille, on la signale, puis, une fois celle-ci corrigée, on publie une brève note décrivant le problème pour le bénéfice de la communauté, afin d’éviter que l’erreur se reproduise sur d’autres sites. Mais Forever living products ne l’entend pas ainsi : elle assigne Damien Bancal en justice, au civil et au pénal, l’accusant de s’être introduit illégalement dans son serveur et d’avoir diffamé l’entreprise.

Sur l’aspect diffamatoire de l’article écrit par Damien Bancal, le tribunal l’a relaxé en première instance, estimant que le journaliste avait agi « de bonne foi » et avec la légitimité « d’un double but d’information et de sensibilisation du public ». Forever living products a fait appel de cette décision. Au civil, en revanche, Damien Bancal est condamné pour « trouble manifestement illicite » : en clair, le tribunal juge qu’il s’est introduit illégalement dans le serveur de la société. Il fait lui aussi appel, début septembre, et est de nouveau condamné : il doit détruire toutes les données concernant Forever living products en sa possession, et verser 3 500 euros à l’entreprise en remboursement des frais de justice.

« Le tribunal a considéré qu’il s’agissait de piratage parce qu’il avait utilisé un moteur de recherche spécialisé », explique Murielle Cahen, l’avocate de Damien Bancal, qui conteste cette interprétation. « Il a bien utilisé un moteur de recherche spécialisé pour accéder à ces données, mais c’est un outil accessible à n’importe quel internaute. Si les données avaient été protégées, jamais il n’y aurait eu accès. »

RENVERSEMENT DE JURISPRUDENCE

Ce jugement constitue un renversement par rapport à la jurisprudence en vigueur, dite « jurisprudence Kitetoa ». En 2002, le site Kitetoa, lui aussi spécialisé dans la sécurité informatique, avait été poursuivi par le groupe Tati pour avoir révélé que le site de l’entreprise n’était pas sécurisé. Après avoir été condamné en première instance, le site avait été relaxé en appel. Le parquet avait alors estimé qu’il était « inenvisageable d’instaurer une jurisprudence répressive (…) pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ». Le risque étant que les internautes cessent de signaler aux responsables des sites les failles découvertes par hasard, par peur de poursuites judiciaires. Les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés.

En attendant l’appel du procès en diffamation, Damien Bancal a lancé un appel aux dons pour régler la note du procès civil, et envisage de fermer son site. « Je ne gagne pas d’argent avec Zataz », explique-t-il. « C’est un site que j’alimente en plus de mon travail ; depuis sa création, j’ai contribué à aider 8 000 entreprises et administrations à corriger des failles dans leurs systèmes informatiques. A quoi bon, si c’est pour qu’au final ça me coûte un bras ? » S’il se dit « confiant » pour l’appel du procès en diffamation, « parce que j’ai toutes les preuves de ma bonne foi », il est également las des procédures. Il s’est donné une semaine de réflexion avant de décider de la fermeture du site ou de son maintien.

http://www.lemonde.fr/technologies/article/2009/09/23/un-journaliste-condamne-pour-avoir-signale-une-faille-de-securite-informatique_1244238_651865.html


Passez sur Apple Mac… ce n’est pas la panacée, mais le nombre de virus et troyens qui les affectent est quasiment nul. Et installez un filtre de sortie, du genre Little Snitch (http://www.obdev.at/products/index.html)

Pourquoi les antivirus sont inefficaces pour votre ordinateur

[Augustin Scalbert | Rue89 | 30/10/2009]

L’ESIEA, une école d’ingénieurs française, peut se vanter d’avoir semé une belle pagaille dans le petit monde des éditeurs d’antivirus. Sur son campus de Laval, elle a organisé le week-end dernier un test des logiciels de protection les plus répandus. Les résultats sont accablants, puisque six des sept antivirus testés ont été désactivés en moins de 40 minutes (et deux minutes pour le moins performant). En clair, à la seconde où vous connectez votre ordinateur à Internet, voici en combien de temps il peut être pénétré, en fonction de la marque de votre antivirus :

  • McAfee : 1 min 56
  • Norton : 4 min
  • GDATA : 5 min
  • AVG : 15 min
  • NOD32 : 33 min
  • Kaspersky : 40 min
  • Dr Web : non contourné dans le temps imparti, mais « suffisamment affaibli » pour conclure qu’il l’aurait été en « plus d’une heure ».

Très vite, l’un des éditeurs, GDATA, a dénoncé sur LePoint.fr un « protocole de test spécifique » passant par des « manipulations physiques sur la machine ».

Le directeur de la recherche de l’ESIEA, Eric Filiol, qui est aussi à la tête du « laboratoire de cryptologie et virologie opérationnelles », répond que le test a consisté à vérifier « scrupuleusement que ce qui était fait correspondait strictement à la réalité, tout en respectant la loi, bien sûr » :

« Ces réponses sont intellectuellement malhonnêtes. Depuis une dizaine d’années, il existe des virus qui attaquent et désactivent les antivirus. Il faut donc se placer dans la vision de l’attaquant. Ceux qui critiquent notre test auraient pu venir y participer. »

L’école souligne d’ailleurs que des représentants d’un autre éditeur, AVG, étaient présents à Laval :

« Ils ont particulièrement apprécié cette approche. Lorsque leur antivirus est tombé devant leurs yeux, ils ont appelé en direct leurs développeurs en République tchèque pour relayer les informations techniques récupérées. »

Le « compromis » des éditeurs : plus d’argent à moindre coût

Pourquoi ces logiciels de protection, dont le rôle est uniquement de protéger le mieux possible les ordinateurs, sont-ils si inefficaces ? Eric Filiol a une petite idée :

« Il existe des moyens de faire des antivirus efficaces, mais c’est à la fois plus cher en recherche et développement, et plus lourd pour le système d’exploitation de l’ordinateur. La plupart des éditeurs choisissent donc le compromis qui leur permet de gagner plus d’argent à moindre coût. »

Selon lui, les résultats du test réalisé par l’ESIEA reflètent très exactement les rapports entre les budgets de recherche et développement et ceux du marketing chez les différents éditeurs.

Eric Filiol considère que « notre vie privée est exposée », et appelle à l’adoption d’une réglementation pour « des seuils minimum de protection ».

Selon un organisme américain cité dans un colloque consacré à la sécurité informatique, le temps d’infection moyen d’un PC sous Windows, directement connecté à Internet sans antivirus à jour et sans firewall personnel, serait en 2009 de quatre minutes. Sans antivirus ! En 2004, ce temps était de 20 minutes, et de 40 minutes en 2003.

http://eco.rue89.com/2009/10/30/pourquoi-les-antivirus-sont-inefficaces-pour-votre-ordinateur-124032


[DegenereScience, août 2009]

Devant l’évidence de la catastrophe, il y a ceux qui s’indignent et ceux qui prennent acte, ceux qui dénoncent et ceux qui s’organisent. Nous sommes du côté de ceux qui s’organisent. (Anonyme, Appel « L’insurrection qui vient » –  Comité Invisible)

En pratique, le Contre-Net et la TAZ peuvent être considérés comme des fins en soi – mais, en théorie, ils peuvent aussi être perçus comme des formes de lutte pour une réalité différente.  (Hakim Bey, TAZ : zone d’autonomie temporaire, 1991)

I – La contre-culture hacker

Il n’a jamais été question d’être méchants ou destructeurs, même quand nous combattions les contre-vérités diffusées par les média de masse. Nous formions un ensemble de gens bizarres, qui exploraient un univers nouveau et partageaient leurs découvertes avec qui voulait bien l’entendre. Nous étions dangereux.  (Emmanuel Goldstein, The Best of 2600: A Hacker Oddyssey, 2008)

Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de juger les gens par ce qu’ils pensent et disent, pas selon leur apparence. Mon crime est de vous surpasser, quelque chose que vous ne me pardonnerez jamais. (The Mentor, The Conscience of a Hacker, 1986, paru dans le numéro 7 du magazine électronique Phrack)

Les préjugés sur le mouvement hacker sont si profondément ancrés dans l’inconscient collectif qu’ils se suffisent à eux-mêmes. Le grand public oscille entre d’une part l’image terroriste véhiculée par le complexe médiatico-policier, etd’autre part celle d’un explorateur des frontières du cyber-espace transmise par la mauvaise science-fiction. À tel point que très peu connaissent le sens réel du mot hacker, et moins encore ont une vue globale de ce dont il s’agit. (suite…)


[Zataz.com – 26/01/2009]
300 euros de dommages et intérêts, 4 mois de prison avec sursis.

Octobre 2007, un manifestant électronique <http://www.zataz.com/news/15408/site-front-national-pirate.html>  passait sur le site Internet  de la Fédération du Rhône du Front National (fn69.fr). L’hacktiviste indiquait alors sur la page index de cet espace appartenant à ce parti politique Français d’extrême droite « Une Action Citoyenne – Pour un net plus propre (…) Contre le racisme, et le fascisme ! ».

Le taggeur numérique avait affiché un logo anti FN et avait diffusé une chanson des Berurier Noir titrée « La jeunesse emmerde le Front National ». HuGe sera arrêté le 9 mai 2007 par la BEFTI, la Brigade d’enquêtes sur les fraudes aux technologies de l’information.

Le site Legalis.net vient de diffuser la décision de justice <http://www.zataz.com/news/17207/Second-jugement-pour-le-pirate-Huge.html>  à l’encontre de cet hacktiviste français. Nous vous parlions de cette décision, en mair dernier, rendue par le tribunal correctionnel de Lyon en Mai.

Legalis confirme <http://www.legalis.net/jurisprudence-decision.php3?id_article=2538>  donc les informations de ZATAZ.COM : Les juges ont retenu les actes délictueux et ont condamné le jeune homme pour accès frauduleux à un traitement automatisé de données et modification de données [Loi Godfrain]. Quatre mois de prison avec sursis, 300 euros de dommages-intérêts pour le FN et 500 euros de remboursement de frais.

En octobre 2006, ce manifestant électronique avait fait fermer un site néo nazi <http://www.zataz.com/news/12435/Un-pirate-informatique-français-passe-sur-un-site-nazi-et-fait-le-ménage.html> .

Pour rappel, s’introduire dans un serveur informatique , s’y maintenir et le modifier est puni par la loi. L’alinéa 2 de l’article 323-1 du nouveau Code pénal prévoit des sanctions « lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système ». La défiguration de sites Web peut coûter jusqu’à trois ans d’emprisonnement et 350 000 euros d’amende.

http://www.zataz.com/news/18421/jugement–defacage–loi–godfrain–piratage.html


[O1Net – 31/01/09]
Le créateur de Zataz vient d’être condamné par le tribunal de grande instance de Paris. La justice a obligé le magazine d’informations en ligne consacré à la sécurité informatique à retirer un article qui dévoilait l’existence d’une faille de sécurité dans le système informatique d’une société. Le journaliste doit également supprimer tous les documents liés à cette affaire, comme les données ou fichiers auxquels l’équipe de Zataz a pu accéder pour vérifier la réalité de cette brèche.
Selon le fondateur du site, les avocats de la partie adverse ont démontré que le piratage des serveurs de la société avait été nécessaire à l’écriture de l’article. Les minutes du procès ainsi que le jugement ne sont pas encore disponibles.
Le site d’informations rappelle : « Nous n’avons jamais rien téléchargé et ne diffusons jamais aucun élément qui puisse mettre en danger qui que ce soit. » Les données contenues dans les captures avaient été rendues floues, et la procédure pour atteindre les serveurs de la société n’avait aucunement été dévoilée.

http://www.01net.com/editorial/402114/zataz-condamne-apres-avoir-devoile-une-faille-de-securite


[Zataz – Damien Bancal – 08/09/2008]

Les Etats-Unis viennent de mettre sur orbite un satellite baptisée GeoEye-1. Une longue vue avec de gros morceaux d’espionites US à l’intérieur.

Google a signé les droits exclusifs sur les images que va prendre, dans les 10 prochaines années, le satellite commercial, avec de gros bouts de Pentagone dedans, GeoEye-1. Le satellite GeoEye-1 est un appareil photo haute résolution situé en ce moment à 676 kilomètres au-dessus de nos têtes. Un satellite commercial ordinaire ? Pas vraiment, même si Google a signé les droits exclusifs pour les images, GeoEye-1 est contrôlé par l’agence de renseignements nationale américaine du Ministère de la défense. C’est d’ailleurs noté, dans un petit paragraphe, du document mis en ligne au sujet de ce satellite, GeoEye-1 Mission Book : « GeoEye-1 will serve a wide array of applications for defense, national and homeland security, air and marine transportation, oil and gas, mining, mapping and location-based services, state and local government planning, insurance and risk management, agriculture, and environmental monitoring. »

GeoEye-1 : Larry Page et Sergey Brin, les fondateurs/patrons de Google pourront mettre la main sur les images pour Google Earth, Google Maps et leur GPS « visuel » en préparation, dans leurs cartons. L’appareil photo de GeoEye-1 peut distinguer un objets de petite taille. Boeing parle d’une précision de 41 centimetres. Autant dire qu’ils pourront voir la couleur de votre short !

Les dollars de Google et l’administration américaine vivent une belle histoire d’amour. Il y a un an, jour pour jour, la NASA offrait la possibilité aux deux big boss du moteur de recherche Google de garer leur Boeing sur une de ses bases. Alors que la plupart des pistes et bases de la NASA, l’agence spatiale américaine, sont fermées aux public, Google s’était vu offrir un passe droit notable. Larry et Sergey peuvent faire atterrir leur « gros n’avion » privé sur la bases de Moffett Field. Un partenariat assez étonnant, les deux compères en avaient marre des bouchons… dans le ciel de San Francisco. Bilan, ils garent leur Boeing à sept minutes du bureau ! Coût de cette « déviation » de luxe : 1.3 million de dollars. UPS et FedEx avaient apprécié l’humour de la NASA, les deux géants du transport s’étaient vus refuser la même possibilité, quelques mois auparavant. Mais eux, ils n’ont pas offert des dollars pour lancer un joli appareil photo dans l’espace. Radin !

http://www.zataz.com/news/17769/GeoEye-1.html


Le site de Maître Eolas est une mine d’informations toutes plus utiles que les autres, pour les pauvres justiciables que nous sommes. Ce billet en est une démonstration éclatante…

Que faire quand on reçoit un courrier d’avocat ?

[Les leçons de Maître Eolas – 25/03/2008]

Suite du billet précédent : si celui-là posait les bases théoriques, nous allons passer à la pratique : que doit faire un blogueur quand il reçoit une mise en demeure, d’un particulier ou de l’avocat d’icelui ?Retenez bien la formule : c’est la règle des trois P et des deux T :Pas de Panique, Prudence, et une Tasse de Thé.Pas de panique : si une telle lettre ne doit pas être prise à la légère, elle n’est pas synonyme d’Harmaguédon. La première urgence est de ne rien faire : pas de mise hors ligne précipitée, pas de fermeture du site. La personne qui vous envoie une telle lettre expose une demande, fondée sur des griefs. Pour décider de ce que vous allez faire, il vous faut déterminer avec précision les éléments-clefs : qui vous en veut, pourquoi, que veut-il, et est-il déterminé ? Enfin, dernière question : a-t-il raison ? Les réponses aux trois premières questions doivent découler de la lecture de la lettre. Sinon, il vous faudra demander des précisions. La réponse à la quatrième se déduira du courrier lui-même. Enfin, la cinquième question trouvera sa réponse sur mon blog, ou chez un confrère.

http://www.maitre-eolas.fr/2008/03/25/909-que-faire-quand-on-recoit-un-courrier-d-avocat


Ca va être dur, si on peut plus faire de l’aggrégation d’information. Il faut trouver un moyen d’adapter la léglisation afin de tenir compte de la réalité des « mash-up ». Il faut pouvoir condamner la source première de l’info et pas les fils RSS qui la reprennent….

Pour l’instant, en l’état du droit, c’est la diffusion de l’information diffamatoire qui est sanctionnée. Donc tous les sites reprenant des infos sont menacés, depuis Google et Yahoo jusqu’à Fazed, Slashdot… et Libertés-Internets. Ca va pas être simple.

Mise à jour du 11 mars 2008 : le propriétaire du nom de domaine n’est pas responsable

[Damien Bancal – 01net., le 29/02/2008]
Olivier Dahan, qui a réalisé le film primé à Hollywood, vient de faire condamner Lespipoles.com, pour avoir repris un flux RSS du site Gala.fr jugé diffamant. D’autres sites pourraient suivre.

C’est une décision de justice du tribunal de grande instance de Nanterre, en date du 19 février, qui risque de faire couler beaucoup d’encre dans les jours à venir.

Olivier Dahan, le réalisateur du film La Môme, pour lequel Marion Cotillard vient de recevoir l’Oscar de la meilleure actrice, avait poursuivi le magazine Gala ainsi que plusieurs sites Internet en janvier dernier, à propos d’une relation présumée entre le cinéaste et l’actrice américaine Sharon Stone.
Dans cette affaire, le site LesPipoles.com vient d’être condamné à 1800 euros de dommages et intérêts pour avoir repris dans son fil RSS cette information diffusée par le site Gala.fr.
« Je n’ai même pas eu la possibilité de lire l’article en question puisqu’au moment où l’huissier de justice a débarqué chez moi, l’article avait déjà été retiré du site de Gala, confie Eric Duperrin, le webmaster du site Lespipoles. Je me suis retrouvé avec un référé devant le tribunal sans même avoir reçu la moindre mise en demeure ».
« Un signal fort »
Ce n’est pas une première pour ce site : le comique Jean-Yves Lafesse l’avait déjà mis en demeure de retirer des liens que l’artiste considérait comme litigieux. « A l’époque j’avais reçu un recommandé, explique Eric Duperrin, j’ai contacté l’avocat, retiré les liens et tout était rentré dans l’ordre ».
Cette condamnation pour diffusion d’une information générée par un flux RSS peut-elle mettre en danger ce type de diffusion ? « Le référé n’a pas grande influence, confie l’avocat de la défense. Mais c’est un signal fort du juge. Un signe particulièrement négatif pour les mashups. »
En effet, les sites qui combinent flux RSS et autres applications tierces (API) – comme les vidéos de YouTube, les photos de Flickr – ont peut-être du souci à se faire. Une décision de justice questionne le concept même de mélange d’applications.
D’autres sites, comme Wikio, le moteur de recherche d’actualités créé par Pierre Chappaz, fondateur du comparateur de prix Kelkoo, se retrouveront aussi prochainement devant les juges, selon nos informations.
« Il va être compliqué de contrôler toutes les diffusions, je me vois mal retirer les API et RSS », estime Eric Duperrin. Google sera-t-il la prochaine cible du réalisateur ? En tapant Olivier Dahan dans le moteur de recherche, le premier lien sponsorisé à apparaître (pour Gala.fr) affiche : « On murmure que Sharon Stone et Olivier Dahan seraient ensemble ! » Le Web 2.0 n’a sans doute pas fini de faire tourner en bourrique les tribunaux…

[LE MONDE 2 | 25.01.08]
Il aurait pu être un hacker. Mais Damien Bancal a mis son savoir technique et son esprit soupçonneux au service de la sécurité : voici dix ans qu’il traque et dénonce les failles des systèmes informatiques. Un Rouletabille au pays des cyberpirates.
« Tu vas crever « . C’était il y a dix ans : un colis avec un gros pétard.  » uste une bande de gamins qui pirataient des téléphones », et dont Damien Bancal avait dénoncé les agissements. Suffisamment menaçants en tout cas pour qu’il dispose aujourd’hui d’une ligne téléphonique codée qui le rend intraçable, et qu’il donne ses rendez-vous dans des cafés anonymes et sans âme. A l’inconnu qui cherche à l’approcher, il renvoie poliment un courriel de bienvenue où il a délibérément inscrit l’adresse IP (celle qui identifie tout ordinateur connecté à Internet) de son interlocuteur, histoire de bien montrer que s’il le veut, il peut retrouver sa trace… Bienvenue dans le monde paranoïaque et mouvant du hacking.

Voilà dix ans que Damien Bancal a créé Zataz.com. 50 000 visiteurs uniques par jour, 2 millions de pages vues par mois, 120 000 abonnés à sa newsletter… Une référence pour qui s’intéresse à la chronique du vaste monde de l’insécurité virtuelle. Damien Bancal y répertorie, signale, relate et parfois traque lui-même les failles des systèmes informatiques – mais prévient d’abord les intéressés, affirme-t-il. « Parce que je ne veux pas finir en prison et que cela pourrait leur coûter cher à eux aussi. Très cher. » Sur Zataz.com, le Musée des sites piratés dont il est le gardien n’a, il faut bien le dire, pas de quoi rassurer sur la fiabilité des systèmes de sécurité. « C’est si facile de pénétrer partout ! La seule question, c’est le temps. Au début de notre aventure, en 1998, on avait fait un concours : un cadeau à celui qui nous piraterait. Cela a pris 5 secondes, pas plus… », raconte-t-il dans un éclat de rire. (suite…)