Je commence à me faire à ma vie toute neuve de cybercriminel. Il faut bien comprendre que tout ça est arrivé très vite
Je voulais simplement aujourd’hui faire la lumière sur les détails techniques qui ont conduit la cour d’appel à me condamner sur la notion de maintient dans un STAD.
Le répertoire de documents était sur l’url https://extranet.anses.fr/Docs En remontant l’arborescence, à la racine de l’extranet et surtout, de l’application web qui constitue le système d’information, on trouve une autentification, comme sur des millions de sites web parfaitement publics, ce n’est pas parce qu’on a une authentification en un point d’une arborescence que tout ce qui se trouve en dessous dans cette arborescence est privé, l’usage démontre le contraire. Mais j’insiste sur le terme application que j’oppose à un répertoire /Doc servi de manière brute par le serveur web Apache, sans aucune mise en forme. Si ce n’est pas fait, pour bien comprendre tout le contexte, vous pouvez vous référer à ce billet (sa lecture est souhaitable pour appréhender la suite).
Les faits :
- L’URL https://extranet.anses.fr/Docs est accessible sans authentification, via une simple recherche Google ;
- Nous avons une authentification sur https://extranet.anses.fr/ : il s’agit d’une page web, une application web ;
- Dans https://extranet.anses.fr/Docs on ne trouve aucun fichier système dans ce répertoire. Quand je suis tombé sur ce répertoire, il faut bien comprendre qu’il n’y avait que, des documents, aucun fichier ou répertoire système, aucun backup de base de données, aucun mot de passe, AUCUNE DONNEE PERSONNELLE : de tels éléments n’auraient conduit, comme je le fais régulièrement, à m’arrêter là et à avertir l’ANSES. Il faut également comprendre qu’il s’agissait d’une vue par défaut d’un répertoire Apache, sans aucun avertissement du caractère privé des données qu’il peut contenir, juste un container pour documents bureautiques.
Pour tous les fans de l’analogie de la maison de la porte et de la serrure, comprenez svp cette maison n’avait aucun mur, aucune porte ou fenêtre, pas de boite à lettres, ni même panneau « propriété privée » !
Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?
« Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. » peut -on lire chez Libertécherie qui transcrit bien ce que me reproche la cour d’appel, sauf que… c’est factuellement faux, mais le mot est lâché : FAILLE.
J’ai fais ce que tout internaute fait sans y prêter attention chaque jour quand il surf sur des pages web. J’ai posé à un moteur de recherche une question, il m’a répondu sous forme de liens, j’ai cliqué sur un lien, le serveur m’a répondu ok voici le document. Nous allons revenir tout de suite à cette histoire de faille imaginaire.
Le mot « extranet » lui même ne qualifie pas un espace privé, il qualifie en pratique un espace de travail collaboratif,sur lequel, grâce au bon outil, on contrôle la diffusion de l’information. Le répertoire /Doc n’était manifestement pas géré par la logique du système de gestion de contenu, donc le système d’information soumis à restrictions. Il était bien publiquement partagé, hors de l’application du SI de l’extranet de l’ANSES, par un accès standard Apache qui rappelons le est une FONCTIONNALITE PAR DEFAUT de ce logiciel, sa raison d’être… et aucunement une FAILLE. Si faille il y a eu, c’est une faille humaine, et non une faille logicielle.
Concernant la nature confidentielle des documents, elle est infirmé par l’ANSES elle-même. On trouve toujours certains en ligne chez Google Docs publiés par les auteurs eux mêmes, l’ANSES a bien expliqué dans un PV que ces documents ne sont pas confidentiels. Ici c’est intéressant car la cour s’obstine à donner une importance capitale à ces documents. Si on peut comprendre la vision fantasmée que la cour peut se faire d’Internet, la vision fantasmée des travaux de recherche publique de l’ANSES, ça me semble un peu plus curieux… je trouve ça limite anxiogène.
Comment la cour en arrive t-elle à la conclusion « évidente » que cette fonctionnalité est une faille ?
« il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe« . Peut-on lire chez Presse-Citron.
Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?
La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?
« Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. » peut on lire chez Maitre-Eolas qui constate à juste titre le raisonnement de la cour, une fois qu’elle eu évacué toute considération de réalité technique.
Merci à tous pour toutes vos réactions.