L’impact de la condamnation de bluetouff sur mon comportement

Olivier Laurelli
closeCet article a été publié il y a 8 ans 1 mois 14 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

Je ne savais pas quel titre mettre sur cet article, alors j’ai décrit clairement ce qui s’est passé. Je l’ai évoquée y’a quelques temps et j’ai mis quelques mois avant de le réaliser mais y’a eu deux impacts forts de cette condamnation sur mes pratiques. le premier sur ma manière d’enseigner la recherche d’information à des étudiants du supérieur, la seconde sur mon comportement face à une information. Ces changements ne sont pas des moindres et peuvent, potentiellement porter atteintes à des intérêts économiques. Je m’explique.

Premièrement lorsque je présentais la recherche d’information dans un cours, généralement, je leur posais des questions volontairement provocantes du genre : « comment trouvez un document pdf provenant d’une source gouvernementale américaine ayant la mention confidentiel portant sur un sujet militaire ? » Généralement, les étudiants n’avaient pas de réponse. Et puis en expliquant un peu comment ça fonctionne il suffit de faire une requête sur Google du genre : filetype:pdf site:.gov confidential army OR military. Rien de bien terrible n’est-ce pas ? Pas de ligne de code, pas de programme, juste une requête sur un moteur de recherche… Évidemment avec une requête aussi peu travaillée il n’est que très peu probable de tomber sur un truc confidentiel, mais il suffit de raffiner la requête, soit avec les même opérateurs, soit avec d’autres et il n’est pas impossible de trouver des trucs sympa en cherchant bien, la preuve avec l’affaire Bluetouff. Je me rappelle d’une fois où en classe nous avons trouvé un fichier Excel contenant les noms, prénoms, fonctions, numéros de téléphones et mails des directeurs marketing des maisons de luxe type Chanel, Dior et autre… L’impact clair que ça a eu est simple, en terme de pédagogie, j’enseigne de manière moins fun, moins extrême, alors que c’est justement avec ce genre d’image qu’on marque l’esprit pour retenir l’information. le deuxième impact c’est que, compte tenu des conclusions de l’affaire que j’ai pu lire chez Maître Eolas ou sur Village Justice j’invite les étudiants à ne surtout pas aller chercher plus loin une fois l’information obtenue pour ne pas risquer le « maintien frauduleux dans un STAD ». Oui, car, il suffit, encore moins que pour le secret,  d’écrire « site confidentiel » sans nécessairement le protéger pour que cela constitue le délit. J’en viens donc à mon second point, l’atteinte aux intérêts économiques.

Sur ce point plusieurs impacts fort, d’abord sur ma manière de faire et d’enseigner aux autres de faire, deuxièmement sur l’ignorance total de l’écosystème monde connecté, généralement appelé internet, et des conséquences économique de ce changement de méthode. Oui, mon métier est principalement d’enseigner ce que je comprends… Donc je parle ici d’enseignement sur la recherche ‘information et le comportement à adopter face aux informations. Jusqu’à présent je conseillais toujours de remontrer à la source, y compris la racine du site dans un premier temps, d’y faire un « whois » histoire de voir à qui on a affaire. Aujourd’hui j’enseigne toujours comment on peut le faire, mais j’invite à faire le contraire. J’invite à ne pas remonter directement à la source, mais à utiliser des moyens détournés. Ainsi il est impossible de qualifier un maintien frauduleux dans un STAD puisqu’on ne sait jamais qu’il y avait une intention de sécuriser un contenu. Deuxième point, il m’est arrivé plusieurs fois de tomber sur des contenus intéressants et de remonter à la racine. Avant, m’apercevant de la sécurisation loupée dudit site, j’envoyais un mail bien gentil au webmestre ou au contact affiché sur le site pour l’en informer. C’est désormais terminé, j’ai peur des conséquences donc je ne dis rien. Oui, vous avez bien lu. Ceci peut constituer une atteinte aux intérêts économiques de l’entreprise, plutôt directement d’ailleurs. Je m’explique. Premièrement un concurrent qui tombe sur les dit documents après moi, il ne dira rien et prendra tout alors que, peut-être, si j’étais dans un cadre protégeant mon aide gratuite j’aurais osé le divulguer. D’autant plus que le concurrent étranger lui, s’en tape totalement du maintien frauduleux dans un STAD, même s’il le voit… Ceci reste valable pour des gouvernements, des ONG, des entreprises, etc… Deuxièmement, je cherche désormais à masquer mes actions, à exploiter les documents sans les référencer, et c’est très mauvais pour la confiance de tous. Donner crédit à une information est le seul moyen d’être transparent et clair.

En conclusion deux chose, tout n’est pas négatif. il y a un point positif à cela, c’est l’absence de vol d’information si on copie, ce qui en soi était une aberration de penser le contraire – je vous laisse chercher… Ensuite, moins positif c’est que je vous invite à, face à des documents intéressants sur la toile :

  • vous taire ;
  • prendre ce que vous souhaitez ;
  • ne pas chercher plus loin directement ;
  • monter en compétences pour sécuriser vos pratiques…

Je n’aurais jamais pensé écrire les trois premiers points avant… Même plutôt le contraire…

4 thoughts on “L’impact de la condamnation de bluetouff sur mon comportement

  1. Merci également pour ce partage d’expérience. Sinon, grâce à cet article, on peut véritablement voir qu’il n’est vraiment pas nécessaire d’être un grand professionnel en informatique pour parvenir à mettre la main sur des documents confidentiels. C’est d’ailleurs pourquoi les agents de la cybersécurité ont encore du chemin à faire.

  2. Je suis totalement d’accord avec toi Bux et vous sur les différentes remarques. Après sur le fond c’est pas totalement bête l’idée du maintien frauduleux dans le STAD, il devrait y avoir un cadre protégeant totalement les « whitehat » même si on ne parle pas de hacking, plutôt un cadre protégeant le « responsible disclosure », je pense que c’est clairement fondamental de partir du principe qu’il existe des gens bienveillants… Après le droit est une problématique que je ne maîtrise pas du tout…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *